KR101484023B1 - 평판 시스템을 통한 멀웨어 탐지 - Google Patents

평판 시스템을 통한 멀웨어 탐지 Download PDF

Info

Publication number
KR101484023B1
KR101484023B1 KR1020127020220A KR20127020220A KR101484023B1 KR 101484023 B1 KR101484023 B1 KR 101484023B1 KR 1020127020220 A KR1020127020220 A KR 1020127020220A KR 20127020220 A KR20127020220 A KR 20127020220A KR 101484023 B1 KR101484023 B1 KR 101484023B1
Authority
KR
South Korea
Prior art keywords
file
digital file
malicious
hash
computer
Prior art date
Application number
KR1020127020220A
Other languages
English (en)
Other versions
KR20120112696A (ko
Inventor
스벤 크라세르
유천 탕
얀첸 헤
젠유 종
Original Assignee
맥아피 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 맥아피 인코퍼레이티드 filed Critical 맥아피 인코퍼레이티드
Publication of KR20120112696A publication Critical patent/KR20120112696A/ko
Application granted granted Critical
Publication of KR101484023B1 publication Critical patent/KR101484023B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

컴퓨터 네트워크 디바이스는 디지털 파일을 수신하고, 그 파일로부터 복수의 높은 수준의 특징을 추출한다. 복수의 높은 수준의 특징은 그 파일이 양성인지 악성인지 여부를 판정하기 위해 분류자를 사용하여 평가된다. 이 파일은 이 파일이 양성인 것으로 판정되면 요청하는 컴퓨터로 보내지고, 이 파일이 악성인 것으로 판정되면 차단된다.

Description

평판 시스템을 통한 멀웨어 탐지{MALWARE DETECTION VIA REPUTATION SYSTEM}
본 발명은 일반적으로 컴퓨터 시스템 내의 악성 프로그램 코드를 탐지하는 것에 관한 것이고, 더욱 상세하게는 평판 시스템을 통한 멀웨어 탐지에 관한 것이다.
컴퓨터는 다른 컴퓨터 시스템과 통신하고 컴퓨터 네트워크를 통해 정보를 검색할 수 있는 매우 유용한 도구이다. 네트워크는 전형적으로 컴퓨터에 컴퓨터에서 컴퓨터로 정보를 전달하는 능력을 제공하기 위해 와이어, 광섬유, 무선(radio), 또는 다른 데이터 전송 수단에 의해 연결되어 있는 상호연결된 컴퓨터 그룹을 포함한다. 인터넷은 아마도 가장 잘 알려진 컴퓨터 네트워크이고, 예컨대, 웹페이지를 보고 이메일을 보냄으로써 또는 다른 컴퓨터-투-컴퓨터 통신을 수행함으로써 수백만의 사람들이 수백만의 다른 컴퓨터에 액세스할 수 있게 한다.
그러나, 인터넷의 크기가 매우 크고 인터넷 사용자들의 관심이 매우 다양하기 때문에, 악성 사용자 또는 범죄자들이 다른 사용자에게 위험을 가하는 방식으로 다른 사용자의 컴퓨터와 통신하고자 시도하는 것이 드문 일은 아니다. 예를 들어, 해커는 정보를 훔치거나, 삭제, 또는 변경하기 위해 기업 컴퓨터에 로그인하고자 시도할 수 있다. 컴퓨터 바이러스 또는 트로이 목마 프로그램이 다수의 컴퓨터 사용자에 의해 다른 컴퓨터로 배포되거나, 모르게 다운로드 되거나, 실행될 수 있다. 또한, 기업과 같은 조직에 속한 컴퓨터 사용자는 종종 파일 공유 프로그램을 실행하는 것 또는 기업의 네트워크 내부로부터 기업 기밀을 인터넷으로 전송하는 것과 같이 권한 없는 네트워크 통신을 수행하고자 시도할 수 있다.
이러한 및 다른 이유로, 다수의 컴퓨터 시스템은 특정한 위협으로부터 컴퓨터 시스템을 보호하도록 설계된 다양한 세이프가드(safeguard)를 채용한다. 방화벽은 네트워크를 통해 일어날 수 있는 통신 타입을 제한하도록 설계된 것이고, 안티바이러스 프로그램은 악성 코드가 컴퓨터 시스템상에서 로딩되거나 실행되는 것을 방지하도록 설계된 것이고, 멀웨어 탐지 프로그램은 리메일러(remailers), 키스트로크 로거(keystroke logger), 및 컴퓨터로부터 정보를 훔치는 것 또는 의도하지 않은 목적으로 컴퓨터를 사용하는 것과 같은 바람직하지 않은 오퍼레이션을 수행하도록 설계된 다른 소프트웨어를 탐지하도록 설계된 것이다. 애드웨어, 스파이웨어, 및 트로이 목마 프로그램과 같은 다양한 다른 멀웨어는 일반적으로 이와 같은 보호 시스템을 통해 탐지되고 컨트롤 된다.
다수의 이러한 보호 시스템은 위협을 탐지하고 컨트롤하기 위해 주지된 멀웨어 위협의 서명을 사용한다. 예를 들어, 안티바이러스 소프트웨어는 전형적으로 하드 드라이브와 같은 저장기기를 스캔하고 실행 프로그램을 스캔하여, 그것이 손상을 일으키기 전에 컴퓨터 시스템으로부터 공격 코드를 제거하기 위한 코드 세그먼트 또는 다른 식별 정보를 포함하는 서명의 큰 라이브러리를 사용한다.
새로운 위협, 또는 서명 기반의 탐지의 효과를 감소시키기 위해 그들의 실행가능한 코드를 재정렬할 수 있는 위협의 탐지는 멀웨어 방지 애플리케이션에 대한 해결과제로 남아 있다.
새로운 타입의 멀웨어가 끊임없이 개발되고 있고, 종종 탐지를 피하도록 구성되는 것을 고려하면, 멀웨어의 효율적이고 정확한 탐지는 멀웨어 탐지 소프트웨어에 대한 지속적인 해결과제로 남아 있다.
본 발명의 몇몇 예시적인 실시예는 디지털 파일을 수신하고, 그 파일로부터 복수의 높은 수준의 특징을 추출하도록 동작가능한 컴퓨터 네트워크 디바이스를 포함한다. 복수의 높은 수준의 특징은 그 파일이 양성(benign)인지 악성(malicious)인지 판정하기 위해 분류자를 사용하여 평가된다. 이 파일은 파일이 양성으로 판정되면 요청하는 컴퓨터로 보내지고, 파일이 악성으로 판정되면 차단된다. 본 발명의 실시예는 방화벽과 같은 게이트웨이 디바이스 내에, 또는 악성 파일을 액세스하는 것을 방지하기 위한 앤드호스트 상에 채용될 수 있다. 다른 예로서, 백엔드 멀웨어 분석 플랫폼이 악성 파일을 탐지하고 추적하기 위해 채용된다.
파일이 양성(benign)인지 악성(malicious)인지 판정하기 위해 분류자를 사용하여 복수의 높은 수준의 특징을 평가하는 상기 단계는 적어도 하나의 의심스러운 파일을 식별하기 위해 로컬 시스템상에서 제1 평가를 수행하는 단계, 최종 판정을 위해 상기 의심스러운 파일의 높은 수준의 특징을 평판 서버로 보내는 단계, 상기 평판 서버로부터 상기 의심스러운 파일에 대한 최종 판정을 수신하는 단계, 및 상기 평판 서버에 의해 악성으로 판정된 파일만 차단하는 단계를 포함한다. 상기 로컬 시스템은 또한 상기 파일의 해쉬를 상기 평판 서버로 전송한다. 상기 평판 서버는 상기 파일 해쉬의 하나 이상의 특성을 추적한다. 상기 파일 해쉬의 하나 이상의 특성을 추적하는 것은 해쉬 당 조회 볼륨, 해쉬의 최초 출현 이후 시간, 해쉬를 조회하는 클라이언트의 개수, 및 해쉬를 조회하는 클라이언트의 분포 중 하나 이상을 포함한다.
도 1은 본 발명의 하나의 예시적인 실시예와 일치하는 컴퓨터 네트워크를 도시한다.
도 2는 본 발명의 하나의 예시적인 실시예와 일치하는, 파일이 멀웨어인지 판정하기 위해 높은 수준의 파일 특성 및 판정 트리 분류 엔진의 사용을 설명하는 플로우차트이다.
본 발명의 예시적인 실시예의 아래의 상세한 설명에서, 도면 및 설명을 통해 특정한 예에 대한 참조가 이루어진다. 이러한 예들은 당업자들이 본 발명을 실시할 수 있도록 충분히 상세하게 서술되어 있고, 본 발명이 다양한 목적 또는 실시예에 적용될 수 있는지 설명하는 역할을 한다. 본 발명의 다른 실시예가 존재하고, 본 발명의 범위 내에 속하며, 논리적, 기계적, 전기적 및 다른 변형이 본 발명의 주제 또는 정신을 벗어나지 않고 이루어질 수 있다. 그러나, 그들이 통합되어 있는 예시적인 실시예에 대하여 필수적인 본 명세서에 서술된 본 발명의 다양한 실시예의 특징 또는 한정은 본 발명을 전체적으로 한정하지 않고, 본 발명에 대한 임의의 참조, 그 엘리먼트, 오퍼레이션, 및 애플리케이션은 전체적으로 본 발명을 한정하지 않으며, 단지 이러한 예시적인 실시예를 정의하는 역할이다. 그러므로, 아래의 상세한 설명은 본 발명의 범위를 한정하지 않으며, 본 발명의 범위는 첨부된 청구항에 의해서만 정의된다.
본 발명의 몇몇 예시적인 실시예는 그 파일이 멀웨어일 가능성에 대한 효율적이고 정확한 판정을 산출하는, 파일의 높은 수준의 특성 및 판정 트리를 사용하는 실행가능한 프로그램과 같은, 전자 이진 파일의 분류를 포함한다.
멀웨어 프로듀서가 탐지를 피하도록 프로그램을 설계하므로 서명만 사용하는 멀웨어 탐지가 덜 효과적이 되기 때문에, 바람직하지 않은 기능을 수행하는 프로그램의 탐지율을 향상시키기 위해 다른 방법이 요구된다. 멀웨어 탐지율을 높이는 것을 돕기 위해, 본 발명의 몇몇 실시예에서 멀웨어를 포함하거나 멀웨어에 감염된 소프트웨어의 다른 낮은 수준의 특징 또는 서명을 넘어서는 기술이 구현된다.
파일은 파일 자체를 사용하는 것, 파일의 해쉬(hash)를 사용하는 것, 파일의 높은 수준의 특성을 사용하는 것을 포함한, 상이한 실시예에서 적어도 3개의 상이한 방법으로 처리되거나 표현될 수 있다. 연구는 높은 수준의 특징이 이진수들로부터 높은 수준의 특징을 추출하기 위한 추출 프로그램을 사용함으로써, 더욱 상세하게 일반화된 멀웨어 탐지 시스템 예에서 악성 행위를 탐지하기 위해 성공적으로 사용될 수 있음을 보여준다. 이러한 피처는 파일 크기 정보, 엔트로피, 시간스탬프, 동적으로 링크된 라이브러리, 및 다른 이러한 높은 수준의 특성을 포함한다. 이러한 피처 각각이 이진수의 악의성 그 자체만으로 확실한 것은 아니지만, 모든 피처의 조합은 특정한 샘플을 깨끗한지 더러운지 라벨링하기 위해 정확한 결과를 산출할 수 있다.
엔드호스트 배치를 위한 컴팩트한 고속 분류자, 게이트웨이 배치를 위한 컴팩트한 고속 분류자, 백엔드 샘플 프로세싱을 위한 복잡한 분류자, 및 조회(queries)의 실시간 분류에 적합한 복잡하고 고속의 분류자를 포함하는, 다양한 실시예에서 더욱 효과적이고 효율적인 멀웨어 인식을 제공하기 위한 멀웨어의 탐지의 상이한 단계(tier)에서의 작업을 위해 몇가지 기술이 사용된다.
추출자를 사용하여, 이진 파일은 쉽게 추출될 수 있는 정적인 속성은 물론, 사용된 다른 리소스 또는 라이브러리 또는 네트워크 동작과 같은 동작 데이터를 포함하는, 파일의 다양한 피처 또는 속성으로 나누어진다. 또한, 피처들은 밀집되거나(항상 나타난다, 예컨대, 파일 크기에서), 또는 희박할 수 있다(드물게 나타난다, 예컨대, 엔트리 포인트에서의 첫번째 2 바이트가 xyzz이다).
파일의 높은 수준의 특징은 파일 크기, 파일 내의 무질서도, 파일 내의 시작 또는 끝의 코드 스트링, 및 파일 지오메트리(geometry)와 같은 피처를 다양한 실시예에서 포함한다. 파일 지오메트리는 크기, 뿐만 아니라, 파일 내의 섹션의 개수, 섹션의 조직, 실행가능한 코드 섹션의 포함여부 및 특성 등과 같은 다른 특징을 포함한다. 예를 들어, 마지막 섹션이 높은 엔트로피 또는 무질서도를 가지는 실행가능한 코드인 5개의 색션을 가진 파일은 다른 컨텐트를 가진 파일 내에 숨겨진 악성 코드인 것으로 합리적으로 추정될 수 있다.
멀웨어로부터 깨끗한 이진수를 구별하기 위해, 깨끗한 및 더러운 샘플의 데이터 세트가 형성된다. 이를 사용하여, 기계 학습 알고리즘은 더러운 샘플로부터 깨끗한 샘플을 분리하기 위한 피처 공간 내의 경계를 도출하도록 채용된다. 다양한 구현은 엔드포인트, 게이트웨이, 또는 백엔드 분류 시스템을 형성하기 위해 희박한 피처의 밀집된 피처로의 변환, 및 데이터를 평가하기 위한 판정 트리와 같은 컴팩트 모델의 사용을 포함한다.
특정한 배치에서, 엔드 유저 컴퓨터 시스템 또는 휴대용 디바이스 상에 구현하는 것과 같이, 작은 분류 모델이 바람직하다. 표준 기술은 큰 모델을 야기할 수 있으므로 실용적이지 않다. 하나의 이러한 예에서, 작은 모델 파일은 중간적인 긍정오류 비율(false positive rate)을 가지도록 산출된다. 멀웨어로 탐지되는 파일들은 그들이 실제로 멀웨어인지 여부를 판정하기 위해 네트워크 서버에 대하여 검색되어, 서버는 최종적인 멀웨어 판정을 내린다.
소형 모델이 요구될 때, 하나의 시리즈의 네스팅된(nested) 이프문(if statements)으로 표현되는 판정 트리 분류자를 사용한다. 악성 분류 결과를 야기하지 않는 모든 경로 및 그 경우에 깨끗한/알지 못하는 것에 대한 디폴트를 가지치기 한다(prune). 또한, 입력 데이터 내의 모든 희박한 피처를 밀집된 피처로 변환하여, 분류 성능에 다소 영향을 미침으로써 모델 크기를 크게 줄인다.
희박한 피처의 밀집된 피처로의 변환은 판정 트리 내에서 더 적은 개수의 판정의 사용을 가능하게 한다. 수천개의 희박한 피처를 사용하는 대신, 다수의 밀집된 피처를 검색하기 위해 피처 아이디(id)를 사용한다. 매우 효율적인 방식으로 해쉬 데이터를 저장하기 위해 압축된 비트마스크(bitmask)와 함께 해쉬 구현을 사용하여, 신속한 검색 및 작은 메모리 풋프린트를 야기한다. 예컨대, 파일의 시작 비트, 종료 비트, 및 다른 다른 이러한 피처들은 하나 이상의 해쉬 값으로 변환될 수 있고, 알고 있는 배드 파일의 해쉬 값과 비교된다.
다른 예에서, 엔드호스트 또는 게이트웨이 디바이스 상에서와 같이, 낮은 긍정오류 비율을 가진 중간 크기의 모델이 채용된다. 잠재적으로 악성인 것으로 식별된 파일들은 긍정오류 비율을 더 줄이기 위해, 서버에 저장되거나, 지역적으로 캐싱되고(cashed) 갱신되는, 알고 있는 파일의 화이트리스트(whitelist)에 대하여 조회된다.
더 큰 모델은 지역적으로 비교적 큰 룩업(lookup) 파일을 사용함으로써, 그리고 추가적인 정보 또는 확인을 위해 서버를 조회하지 않고, 몇몇 실시예에서 긍정오류 비율을 더 줄일 수 있다. 이러한 모델은 충분한 컴퓨팅 리소스가 엔드호스트 상에서 사용가능한 경우, 또는 네트워킹된 룩업 서비스가 사용가능하지 않거나, 산발적인 때에 유용할 수 있다.
이러한 모델은 엔드포인트, 게이트웨이, 백엔드 또는 클라우드 분류를 위해 사용될 수 있다. 소형 모델 및 희박한 피처 변환을 사용하여, 하나의 모델은 판정 트리 내에 수만개의 모델 엘리먼트를 가진 것과 같은, 엔드포인트 분류를 위해 계산된다. 일반적으로, 긍정오류 비율은 클라우드 또는 네트워크-룩업을 위한 조회 선택자로서 이러한 모델의 사용을 허용하지만, 확실히 더 높은 수준도 가능하다. 이 기술은 또한 긍정오류의 주도적인 감소를 위해 데이터 서버에 의해 제공되는 화이트리스트와 결합하여 사용될 수 있다. 마지막으로, 분류자는 유명한 파일에 대한 히팅을 피하기 위해 바이어싱될 수 있고, 몇몇 실시예에서 파일 확산(file proliferation)에 대한 정보를 위해 데이터 서버를 사용하는 것을 더 포함한다.
대부분 양호한 파일을 보는 엔드포인트 검출을 사용하는 작은 머신이 바람직하게 작고 효율적인 분류 모델에 더해 낮은 긍정오류 비율을 가질 것이지만, 보다 높은 긍정오류 비율이 용인될 수 있고 훨씬 더 높은 퍼센트의 악성 파일을 보는 게이트웨이 또는 다른 디바이스내의 악성 파일을 놓치는 것을 피하기 위해 바람직할 수 있다. 컴팩트 모델 및 희박한 피처 변환을 사용하여, 하나의 예시의 게이트웨이 모델이 0.1%의 오더의 긍정오류 비율을 갖는 것으로 계산되는데, 이것은 엔드포인트 게이트웨이 분류자로서 적합하고 분류에 바람직한 것보다 높을 수 있다.
희박한 피처와 같은 보다 복잡한 피처 및 보다 높은 치수는 백엔드 분류에서 용인될 수 있고, 데이터 서버와 같은 시스템은 다른 분류 포인트에서 특정 기준을 충족시키는 미지의 파일을 산정하는데 사용된다. 수십 또는 수백 메가바이트의 오더의 데이터에 대한 보다 큰 모델이 전용 백엔드 시스템에서 유용한 추가 처리 파워를 사용하여 신속하고 효율적으로 데이터 파일에 적용될 수 있다.
클라우드 분류에서, 룩업에 대한 백엔드 데이터 서버에 제공된 데이터는 특징이 추출되어 분류를 위해 전용 서버에 전송될 때 플라이 상의 데이터를 분류하는데 사용될 수 있다. 입력 특징은 엔드포인트 분류에 유사하지만, 모델 파일은 보다 더 클 수 있다. 또한, IP 주소, 확산, 룩업의 버스트등에 기초하여 샘플의 분포와 같은 추가 글로벌 정보를 집적할 수 있다. 마지막으로, 이러한 데이터는 이메일 또는 웹 평판 룩업과 통합될 수 있어서, 이메일 및 웹상의 새로운 아웃브레이크에 대해 배울 수 있고, 이것은 피싱 이메일 및 URL이 이메일과 웹 평판과 관련하여 처리되는 방법과 유사하다.
도 1은 본 발명의 일 실시예에 따른, 높은 수준의 특징 데이터 분류를 포함하는 네트워킹된 컴퓨팅 환경을 도시한다. 여기서, 다양한 앤드 유저 컴퓨터 시스템(101)은 게이트웨이(102)를 통해 인터넷(103)과 같은 네트워크에 연결되어 있다. 컴퓨터는 원격 컴퓨터 시스템(105)과 같은 외부 컴퓨터 시스템에 연결될 수 있는데, 이는 양성 또는 유해한 콘텐츠를 제공할 수 있다. 데이터 서버(104)는 몇몇의 추가 실시예에서 제공되는데, 백앤드 또는 클라우드 분류 및 평판 서버 기능을 제공한다.
작동시, 인터넷에 연결된 퍼스널 컴퓨터 또는 "스마트" 폰과 같은 컴퓨터화된 디바이스(101)의 유저는 원격 컴퓨터 시스템(105)으로부터 파일을 요청한다. 요청된 데이터는 앤드 유저에게 도착하기 전에 인터넷(103) 및, 방화벽과 같은 게이트웨이(102)을 통해 이동한다. 높은 수준의 분석은 파일 지오메트리, 무질서도, 크기, 시작 코드 스트링 및 다른 특징과 같은, 파일의 특성에 대해 이루어진다.
양성 또는 멀웨어로서의 파일의 분류는, 파일이 실행되거나 오픈될 수 있기 전에 파일이 스캔되도록 본 발명의 다양한 실시예의 다양한 스테이지에서 수행되는 데, 예를 들면, 앤드 유저 분류에서는 앤드 유저의 컴퓨터 시스템(101) 등에서 수행된다. 만약 파일이 악성으로 판정된다면, 게이트웨이(102)에서의 게이트웨이 분류는 파일이 앤드 유저에 도착하는 것을 방지할 수 있고, 게이트웨이 또는 다른 시스템은 파일이 보더라인(borderline)인지 또는 게이트웨이 또는 앤드 유저 분류가 제공되지 않는지와 같은 클라우드 분류를 수행하기 위해 데이터 서버(104)에 의지할 수 있다. 클라우드 분류는 새로운 또는 미지의 위협을 보다 효율적으로 평가하기 위하여 다중 서버(104)와 같은 분산 컴퓨터 시스템을 사용하여 분류를 제공한다. 추가의 실시예에서, 새로운 또는 미지의 파일의 백앤드 분류는 분석된 파일이 악성인지를 판정하기 위해서 사용되고, 또 미래의 위험 탐지를 돕기 위해 서명 및 해쉬 데이터와 같은 정보를 게이트웨이(102) 및 클라우드 서버(104)에 제공하기 위해 사용된다.
도 1의 환경에 대한 더 상세한 배치의 예들은 이전에 논의된 다양한 배치 모델들 중 하나를 사용하여 앤드 호스트(101) 상에 멀웨어 탐지 엔진의 배치, 게이트웨이(102) 상의 배치, 앤드 호스트에 의해 전송된 특징들을 분류하기 위해 평판 서버(104)의 사용, 서명 생성과 같은 파일의 후속적 특성과 함께 라지(large) 코퍼스(corpus)에서 악성 파일의 백앤드 시스템 탐지를 포함한다. 이러한 예들에서, 평판 서버와 백앤드 시스템 탐지는, 상기 평판 서버는 커스터머 룩업 반응을 제공하기 위해 존재하는 반면, 백앤드 탐지 시스템은 시스템에 알려진 파일의 바디에서 파일을 선택하는 데 인사이트(insight)를 얻기 위해 사용된다는 점에서 차이가 있다.
도 2는 본 발명의 일 실시예에 따른, 파일이 양성 또는 멀웨어인지를 판정하기 위해 파일의 높은 수준의 특성을 사용하는 예시적 방법의 플로우차트이다. 도 1의 컴퓨터(101)와 같은 사용자는 실행가능한 파일을 인터넷 웹사이트로부터 다운로딩함으로써 원격 컴퓨터 시스템으로부터 파일을 요청한다(단계(201)). 원격 컴퓨터는 파일 요청을 수신하고, 단계(202)에서 파일을 전송하고, 파일은 파일이 멀웨어 또는 양성인지를 판정하기 위해 파일을 평가하도록 작동되는 앤드 포인트 분류 엔진 또는 게이트웨이에 수신된다.
높은 수준의 파일 특성은 파일로부터 추출되고(단계(203)), 분류 엔진은 파일 지오메트리, 무질서도, 크기, 시작 코드 스트링 데이터, 다양한 파일 데이터의 해쉬값들 또는 다른 특성 등을 사용함으로써 이러한 높은 수준의 특성과 결정 트리 룰을 사용하고(단계(204)), 파일이 악성 파일로서 알려진 것과 유사한 위험을 갖고 있는지를 판정하다(단계(205)).
파일이 악성 파일임을 나타내는 결정 트리 룰과 파일이 매칭되면, 파일은 차단된다(단계(206)). 양성 파일의 발견을 초래하는 룰이 몇몇 실시예에서 결정 트리로부터 트렁케이팅(truncated)되기 때문에, 악성으로 발견됨 없이 결정 트리의 브랜치의 단부에 도달하는 파일은 양성인 것으로 추정되고, 파일은 요청한 유저에게 전달된다(단계(207)).
추출된 높은 수준의 특징을 사용하는, 결정된 트리에 적용되는 이 새로운 분류 기법은 전통적인 서명-기반 검사 방법에 대하여 다양한 이점을 가질 것이다. 첫째, 이 방법은 낮은 수준의 기술과는 대조적으로 샘플의 높은 수준의 특징에 작용한다는 점에서 주도적인 작업을 수행하는데, 이는 커스터머에게 제공되는 보호의 수준을 증가시키기 위해 상세 데이터가 이용가능해지기 전에 많은 새로운 또는 미지의 위험을 검출할 수 있다. 둘째, 많은 수의 잠재적 멀웨어 파일이 지극히 컴팩트한 패션(fashion)으로 표현될 수 있는데, 이는 정의(definition) 데이터 파일의 전체 크기를 줄인다. 셋째, 멀웨어 파일로부터 추출된 특징들은 멀웨어 상에 글로벌 인텔리젼스를 모으는데 사용될 수 있는데, 이는 백앤드 데이터 분류 시스템의 효율을 향상시키고, 앤드포인트 또는 게이트웨이에 분산된 모델의 효율을 향상시킨다. 이 데이터는 또한 몇몇 실시예에서 IP 평판 데이터를 포함하는 통합(consolidated) 서버 룩업에서 웹 데이터 또는 이메일과 서로 연관되고, 이는 인텔리젼스 능력을 추가로 향상시킨다. 넷째, 제안된 기술은 일반적이며, 멀웨어 탐지의 모든 수준(앤드 호스트, 게이트 웨이, 백앤드 및 온라인 쿼리)에서 이점이 있다.
이상에서는 본 발명의 특정의 바람직한 실시예에 대하여 설명하였으나, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능한 것은 물론이고, 그와 같은 변형은 청구 범위 기재의 범위 내에 있게 된다.

Claims (29)

  1. 디지털 전자 콘텐츠를 필터링하는 방법으로서,
    제1 컴퓨터 시스템이 디지털 파일에 액세스하는 단계;
    상기 제1 컴퓨터 시스템이 상기 디지털 파일로부터 복수의 높은 수준의 특징(high level features)을 추출하는 단계;
    상기 제1 컴퓨터 시스템이, 상기 디지털 파일이 양성인지 또는 악성인지 여부에 대한 최초 판정을 위해, 상기 제1 컴퓨터 시스템상의 분류자를 사용하여 상기 복수의 높은 수준의 특징을 평가하는 단계로서, 상기 제1 컴퓨터 시스템상의 분류자는 제1 분류 모델을 사용하는, 단계;
    상기 제1 컴퓨터 시스템이, 상기 디지털 파일이 양성인지 또는 악성인지 여부에 대한 평판 서버의 2차 판정을 위해, 상기 디지털 파일의 해쉬를 네트워크를 통해 상기 평판 서버에 전송하는 단계로서, 상기 2차 판정은 제2 분류 모델을 사용하고, 상기 평판 서버는 상기 디지털 파일의 해쉬의 하나 이상의 특성을 추적하고, 상기 하나 이상의 특성은 해쉬 당 조회 볼륨, 해쉬의 최초 출현 이후 시간, 해쉬를 조회하는 클라이언트의 개수, 및 해쉬를 조회하는 클라이언트의 분포를 포함하는, 단계; 및
    상기 제1 컴퓨터 시스템이 상기 평판 서버로부터 상기 2차 판정의 지시를 수신하는 단계로서, 상기 2차 판정은 상기 최초 판정 이후에 이루어지고, 상기 제1 분류 모델은 상기 제2 분류 모델보다 더 높은 긍정오류 비율을 갖는, 단계;를 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  2. 삭제
  3. 제 1 항에 있어서, 상기 디지털 파일이 양성인지 또는 악성인지 여부에 대한 상기 평판 서버의 2차 판정은, 상기 해쉬가 알려진 악성 파일과 매칭한다면 상기 디지털 파일이 악성인 것으로 판정하는 것, 및 상기 해쉬가 알려진 양성 파일과 매칭하지 않는다면 상기 디지털 파일이 악성인 것으로 판정하는 것 중 적어도 하나를 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  4. 제 1 항에 있어서, 상기 분류자는 하나 이상의 판정 트리를 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  5. 제 1 항에 있어서, 상기 복수의 높은 수준의 특징은 파일 크기, 파일 무질서도, 시작 코드 스트링, 및 파일 지오메트리 중 적어도 하나를 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  6. 제 1 항에 있어서, 상기 제1 컴퓨터 시스템이, 상기 디지털 파일이 양성인지 또는 악성인지 여부를 판정하기 위해, 상기 디지털 파일의 실행 시간 속성으로부터 추출된 동작 데이터를 사용하여 상기 디지털 파일을 평가하는 단계;를 더 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  7. 제 1 항에 있어서, 상기 평가하는 단계는 상기 디지털 파일에 의해 사용되는 라이브러리 또는 리소스 중 적어도 하나를 판정하는 단계;를 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  8. 제 1 항에 있어서, 상기 제1 컴퓨터 시스템은 클라이언트 컴퓨터, 게이트웨이 디바이스, 백엔드 서버, 또는 실시간 클라우드 내 분류 시스템인 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  9. 제 1 항에 있어서, 상기 디지털 파일이 양성인 것으로 판정되면 상기 제1 컴퓨터 시스템이 요청하는 컴퓨터로 상기 디지털 파일을 보내는 단계; 및 상기 디지털 파일이 악성인 것으로 판정되면 상기 제1 컴퓨터 시스템이 상기 디지털 파일의 전송을 차단하는 단계;를 더 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  10. 제 1 항에 있어서, 상기 평가하는 단계는 상기 제1 컴퓨터 시스템이 상기 디지털 파일의 높은 수준의 특징을 상기 2차 판정을 위해 상기 평판 서버에 보내는 단계; 및 상기 제1 컴퓨터 시스템이 상기 평판 서버에 의해 악성으로 판정된 파일만 차단하는 단계;를 포함하는 것을 특징으로 하는 디지털 전자 콘텐츠를 필터링하는 방법.
  11. 삭제
  12. 삭제
  13. 삭제
  14. 컴퓨터 네트워크 디바이스로서,
    디지털 파일에 액세스하도록 작동가능한 네트워크 연결;
    상기 디지털 파일로부터 복수의 높은 수준의 특징을 추출하도록 작동가능한 추출 모듈;
    상기 디지털 파일이 양성인지 악성인지 여부에 대한 최초 판정을 위해 분류자를 사용하여 상기 복수의 높은 수준의 특징을 평가하도록 작동가능한 평가 모듈로서, 상기 분류자는 제1 분류 모델을 사용하는, 평가 모듈;
    평판 서버가 상기 디지털 파일이 양성인지 또는 악성인지 여부에 대한 2차 판정을 하기 위해 상기 디지털 파일의 해쉬를 상기 네트워크 연결을 통해 상기 평판 서버에 전송하도록 작동가능한 전송 기능부로서, 상기 2차 판정은 제2 분류 모델을 사용하고, 상기 평판 서버는 상기 디지털 파일의 해쉬의 하나 이상의 특성을 추적하고, 상기 하나 이상의 특성은 해쉬 당 조회 볼륨, 해쉬의 최초 출현 이후 시간, 해쉬를 조회하는 클라이언트의 개수, 및 해쉬를 조회하는 클라이언트의 분포를 포함하는, 전송 기능부; 및
    상기 2차 판정의 지시를 상기 평판 서버로부터 수신하도록 작동가능한 수신 기능부로서, 상기 2차 판정은 상기 최초 판정 이후에 이루어지고, 상기 제1 분류 모델은 상기 제2 분류 모델보다 더 높은 긍정오류 비율을 갖는, 수신 기능부;를 포함하는 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  15. 제 14 항에 있어서, 상기 분류자는 판정 트리를 포함하는 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  16. 제 14 항에 있어서, 상기 복수의 높은 수준의 특징은 파일 크기, 파일 무질서도, 시작 코드 스트링, 및 파일 지오메트리 중 적어도 하나를 포함하는 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  17. 제 14 항에 있어서, 상기 평가 모듈은 또한 상기 디지털 파일이 양성인지 또는 악성인지 여부를 판정하기 위해 상기 디지털 파일의 실행 시간 속성으로부터 추출된 동작 데이터를 사용하여 상기 디지털 파일을 평가하도록 작동가능한 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  18. 제 14 항에 있어서, 상기 평가 모듈은 또한 상기 디지털 파일에 의해 사용되는 라이브러리 또는 리소스 중 적어도 하나를 판정하도록 작동가능한 것을 포함하는 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  19. 제 14 항에 있어서, 상기 디바이스는 클라이언트 컴퓨터, 게이트웨이 디바이스, 백엔드 서버, 및 실시간 클라우드 분류 시스템 중 하나 이상을 포함하는 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  20. 제 14 항에 있어서, 상기 평가 모듈은 또한 상기 디지털 파일이 양성인 것으로 판정되면 요청한 컴퓨터로 상기 디지털 파일을 보내고, 상기 디지털 파일이 악성인 것으로 판정되면 파일 전송을 차단하도록 작동가능한 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  21. 제 14 항에 있어서, 상기 평가 모듈은 또한 상기 평판 서버에 의해 악성으로 판정된 디지털 파일만 차단하도록 작동가능한 것을 특징으로 하는 컴퓨터 네트워크 디바이스.
  22. 명령어를 내장한 비-일시적인 기계 판독가능한 매체로서,
    상기 명령어는 실행될 때 컴퓨터 시스템으로 하여금:
    디지털 파일에 액세스하는 단계;
    상기 디지털 파일로부터 복수의 높은 수준의 특징을 추출하는 단계;
    상기 파일이 양성인지 또는 악성인지 여부에 대한 최초 판정을 하기 위해 제1 컴퓨터 시스템상의 분류자를 사용하여 상기 복수의 높은 수준의 특징을 평가하는 단계;
    평판 서버가 상기 디지털 파일이 양성인지 또는 악성인지 여부에 대한 2차 판정을 하기 위해 상기 디지털 파일의 해쉬를 네트워크를 통해 상기 평판 서버에 전송하는 단계; 및
    상기 2차 판정의 지시를 상기 평판 서버로부터 상기 제1 컴퓨터 시스템에서 수신하는 단계;를 수행하도록 하고,
    상기 제1 컴퓨터 시스템상의 분류자는 제1 분류 모델을 사용하고,
    상기 2차 판정은 제2 분류 모델을 사용하고, 상기 평판 서버는 상기 디지털 파일의 해쉬의 하나 이상의 특성을 추적하고, 상기 하나 이상의 특성은 해쉬 당 조회 볼륨, 해쉬의 최초 출현 이후 시간, 해쉬를 조회하는 클라이언트의 개수, 및 해쉬를 조회하는 클라이언트의 분포를 포함하고,
    상기 2차 판정은 상기 최초 판정 이후에 이루어지고,
    상기 제1 분류 모델은 상기 제2 분류 모델보다 더 높은 긍정오류 비율을 갖는 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  23. 제 22 항에 있어서, 상기 분류자는 판정 트리를 포함하는 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  24. 제 22 항에 있어서, 상기 복수의 높은 수준의 특징은 파일 크기, 파일 무질서도, 시작 코드 스트링, 및 파일 지오메트리 중 적어도 하나를 포함하는 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  25. 제 22 항에 있어서, 상기 명령어는 실행될 때 또한 상기 디지털 파일이 양성인지 또는 악성인지 판정하기 위해 상기 디지털 파일의 실행 시간 속성으로부터 추출된 동작 데이터를 사용하여 상기 디지털 파일을 평가하도록 작동가능한 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  26. 제 22 항에 있어서, 상기 평가하는 단계는 상기 디지털 파일에 의해 사용되는 라이브러리 또는 리소스 중 적어도 하나를 판정하는 단계를 포함하는 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  27. 제 22 항에 있어서, 상기 추출하는 단계 및 상기 평가하는 단계 중 적어도 하나는 클라이언트 컴퓨터, 게이트웨이 디바이스, 백엔드 서버, 및 실시간 클라우드 분류 시스템 중 하나 이상으로 구현되는 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  28. 제 22 항에 있어서, 상기 명령어는 실행될 때 또한 상기 디지털 파일이 양성인 것으로 판정되면 요청한 컴퓨터로 상기 디지털 파일을 보내고, 상기 디지털 파일이 악성인 것으로 판정되면 파일 전송을 차단하도록 작동가능한 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
  29. 제 22 항에 있어서, 상기 복수의 높은 수준의 특징을 평가하는 단계는 상기 평판 서버에 의해 악성으로 판정된 디지털 파일만 차단하는 단계를 포함하는 것을 특징으로 하는 명령어를 내장한 비-일시적인 기계 판독가능한 매체.
KR1020127020220A 2009-12-31 2010-12-22 평판 시스템을 통한 멀웨어 탐지 KR101484023B1 (ko)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US29156809P 2009-12-31 2009-12-31
US61/291,568 2009-12-31
US12/693,765 US8719939B2 (en) 2009-12-31 2010-01-26 Malware detection via reputation system
US12/693,765 2010-01-26
PCT/US2010/061889 WO2011082084A2 (en) 2009-12-31 2010-12-22 Malware detection via reputation system

Publications (2)

Publication Number Publication Date
KR20120112696A KR20120112696A (ko) 2012-10-11
KR101484023B1 true KR101484023B1 (ko) 2015-01-19

Family

ID=44189155

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127020220A KR101484023B1 (ko) 2009-12-31 2010-12-22 평판 시스템을 통한 멀웨어 탐지

Country Status (6)

Country Link
US (1) US8719939B2 (ko)
EP (1) EP2519911A4 (ko)
KR (1) KR101484023B1 (ko)
CN (1) CN102822839B (ko)
AU (1) AU2010336989B2 (ko)
WO (1) WO2011082084A2 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220092184A1 (en) * 2020-09-22 2022-03-24 International Business Machines Corporation Computer file metadata segmentation security system

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9306796B1 (en) 2008-03-18 2016-04-05 Mcafee, Inc. System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
US8627461B2 (en) 2009-03-04 2014-01-07 Mcafee, Inc. System, method, and computer program product for verifying an identification of program information as unwanted
CN101621801B (zh) * 2009-08-11 2012-11-28 华为终端有限公司 无线局域网的认证方法、系统及服务器、终端
US8719939B2 (en) 2009-12-31 2014-05-06 Mcafee, Inc. Malware detection via reputation system
US9038184B1 (en) * 2010-02-17 2015-05-19 Symantec Corporation Detection of malicious script operations using statistical analysis
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
JP5135389B2 (ja) * 2010-06-30 2013-02-06 株式会社日立情報システムズ 情報漏えいファイル検知装置、及びその方法とプログラム
US9111094B2 (en) * 2011-01-21 2015-08-18 F-Secure Corporation Malware detection
US8683585B1 (en) * 2011-02-10 2014-03-25 Symantec Corporation Using file reputations to identify malicious file sources in real time
US10445528B2 (en) * 2011-09-07 2019-10-15 Microsoft Technology Licensing, Llc Content handling for applications
US9781151B1 (en) * 2011-10-11 2017-10-03 Symantec Corporation Techniques for identifying malicious downloadable applications
US9558348B1 (en) * 2012-03-01 2017-01-31 Mcafee, Inc. Ranking software applications by combining reputation and code similarity
US8856930B2 (en) 2012-03-30 2014-10-07 F-Secure Corporation Download control
CN102694820B (zh) * 2012-06-13 2015-01-21 华为技术有限公司 签名规则的处理方法、服务器及入侵防御系统
US9043920B2 (en) 2012-06-27 2015-05-26 Tenable Network Security, Inc. System and method for identifying exploitable weak points in a network
CN102779249B (zh) * 2012-06-28 2015-07-29 北京奇虎科技有限公司 恶意程序检测方法及扫描引擎
US9088606B2 (en) 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
CN103117992A (zh) * 2012-09-10 2013-05-22 微软公司 应用的内容处理
US9292688B2 (en) 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US9274816B2 (en) 2012-12-21 2016-03-01 Mcafee, Inc. User driven emulation of applications
US9495542B2 (en) 2013-02-28 2016-11-15 Trustees Of Boston University Software inspection system
CA2916880C (en) 2013-03-01 2021-02-09 Stealth Biotherapeutics Corp Methods and compositions for the prevention or treatment of barth syndrome
EP2961378B1 (en) 2013-03-01 2019-10-23 Stealth Biotherapeutics Corp Methods for the treatment of mitochondrial disease
US20140373137A1 (en) * 2013-03-05 2014-12-18 Mcafee Inc. Modification of application store output
WO2014143000A1 (en) * 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware
WO2014142986A1 (en) * 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware client
US9467464B2 (en) 2013-03-15 2016-10-11 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
US9143519B2 (en) 2013-03-15 2015-09-22 Mcafee, Inc. Remote malware remediation
US9686304B1 (en) * 2013-06-25 2017-06-20 Symantec Corporation Systems and methods for healing infected document files
WO2014209905A2 (en) 2013-06-26 2014-12-31 Stealth Peptides International, Inc. Methods and compositions for detecting and diagnosing diseases and conditions
CN105431859A (zh) * 2013-07-31 2016-03-23 惠普发展公司,有限责任合伙企业 指示恶意软件的信号标记
US9591003B2 (en) * 2013-08-28 2017-03-07 Amazon Technologies, Inc. Dynamic application security verification
ES2731774T3 (es) * 2013-09-25 2019-11-19 Veracode Inc Sistema y método de solución automática de vulnerabilidades de seguridad
CN105556526B (zh) * 2013-09-30 2018-10-30 安提特软件有限责任公司 提供分层威胁智能的非暂时性机器可读介质、系统和方法
CN104933059B (zh) * 2014-03-18 2019-02-01 华为技术有限公司 文件信誉获取方法、网关设备和文件信誉服务器
US9319382B2 (en) 2014-07-14 2016-04-19 Cautela Labs, Inc. System, apparatus, and method for protecting a network using internet protocol reputation information
CN105451188B (zh) 2014-08-08 2018-11-16 阿里巴巴集团控股有限公司 实现信息推送的方法、服务器、共享者客户端、第三方客户端
CN104239795B (zh) * 2014-09-16 2017-11-24 百度在线网络技术(北京)有限公司 文件的扫描方法及装置
US9398036B2 (en) 2014-09-17 2016-07-19 Microsoft Technology Licensing, Llc Chunk-based file acquisition and file reputation evaluation
US10909086B2 (en) * 2014-11-17 2021-02-02 Red Hat, Inc. File lookup in a distributed file system
US9832216B2 (en) 2014-11-21 2017-11-28 Bluvector, Inc. System and method for network data characterization
US9870420B2 (en) * 2015-01-19 2018-01-16 Google Llc Classification and storage of documents
CN106295333B (zh) * 2015-05-27 2018-08-17 安一恒通(北京)科技有限公司 用于检测恶意代码的方法和系统
US10248789B2 (en) * 2015-11-11 2019-04-02 AVAST Software s.r.o. File clustering using filters working over file attributes
EP3370183B1 (en) * 2017-03-02 2021-05-05 X Development LLC Characterizing malware files for similarity searching
US10546123B1 (en) * 2017-06-23 2020-01-28 Ca, Inc. Systems and methods for identifying malicious computer files
CN109510800B (zh) * 2017-09-14 2020-11-27 北京金山云网络技术有限公司 一种网络请求处理方法、装置、电子设备及存储介质
US10878090B2 (en) * 2017-10-18 2020-12-29 AO Kaspersky Lab System and method of detecting malicious files using a trained machine learning model
US20190207966A1 (en) * 2017-12-28 2019-07-04 Fireeye, Inc. Platform and Method for Enhanced Cyber-Attack Detection and Response Employing a Global Data Store
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
CN108470126B (zh) * 2018-03-19 2020-05-01 腾讯科技(深圳)有限公司 数据处理方法、装置及存储介质
RU2708356C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ двухэтапной классификации файлов
US10897480B2 (en) * 2018-07-27 2021-01-19 The Boeing Company Machine learning data filtering in a cross-domain environment
US11451561B2 (en) * 2018-09-14 2022-09-20 Cisco Technology, Inc. Automated creation of lightweight behavioral indicators of compromise (IOCS)
CN112100619B (zh) * 2019-06-18 2024-01-05 深信服科技股份有限公司 一种恶意文件检测方法、系统、设备及计算机存储介质
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
US11599635B2 (en) 2020-06-30 2023-03-07 Mcafee, Llc Methods and apparatus to improve detection of malware based on ecosystem specific data
RU2770570C2 (ru) * 2020-08-24 2022-04-18 Акционерное общество "Лаборатория Касперского" Система и способ определения процесса, связанного с вредоносным программным обеспечением, шифрующим файлы компьютерной системы
US11757975B1 (en) * 2022-12-09 2023-09-12 Sophos Limited Systems and methods for monitoring a file download

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073810A1 (en) 2002-10-10 2004-04-15 International Business Machines Corporation Antiviral network system
US20080313738A1 (en) 2007-06-15 2008-12-18 Broadcom Corporation Multi-Stage Deep Packet Inspection for Lightweight Devices

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6697948B1 (en) 1999-05-05 2004-02-24 Michael O. Rabin Methods and apparatus for protecting information
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US7095716B1 (en) 2001-03-30 2006-08-22 Juniper Networks, Inc. Internet security device and method
US7487544B2 (en) * 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US20080196099A1 (en) 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7512977B2 (en) 2003-06-11 2009-03-31 Symantec Corporation Intrustion protection system utilizing layers
US20040203589A1 (en) 2002-07-11 2004-10-14 Wang Jiwei R. Method and system for controlling messages in a communication network
US20040042416A1 (en) 2002-08-27 2004-03-04 Ngo Chuong Ngoc Virtual Local Area Network auto-discovery methods
US20040054925A1 (en) 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US20040123117A1 (en) 2002-12-18 2004-06-24 Symantec Corporation Validation for behavior-blocking system
ES2409936T3 (es) 2003-01-31 2013-06-28 Good Technology Corporation Recuperación asíncrona de datos en tiempo real
US7409712B1 (en) 2003-07-16 2008-08-05 Cisco Technology, Inc. Methods and apparatus for network message traffic redirection
US20050015455A1 (en) 2003-07-18 2005-01-20 Liu Gary G. SPAM processing system and methods including shared information among plural SPAM filters
US7209908B2 (en) 2003-09-18 2007-04-24 Microsoft Corporation Data classification using stochastic key feature generation
WO2005114539A2 (en) 2004-05-20 2005-12-01 Computer Associates Think, Inc. Systems and methods for excluding user specified applications
US7660865B2 (en) 2004-08-12 2010-02-09 Microsoft Corporation Spam filtering with probabilistic secure hashes
US7434261B2 (en) 2004-09-27 2008-10-07 Microsoft Corporation System and method of identifying the source of an attack on a computer network
WO2006060581A2 (en) * 2004-11-30 2006-06-08 Sensory Networks Inc. Apparatus and method for acceleration of security applications through pre-filtering
WO2006101549A2 (en) 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US7752667B2 (en) 2004-12-28 2010-07-06 Lenovo (Singapore) Pte Ltd. Rapid virus scan using file signature created during file write
US8103868B2 (en) * 2005-04-20 2012-01-24 M-Qube, Inc. Sender identification system and method
US7854007B2 (en) * 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US8272058B2 (en) * 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US20070226804A1 (en) 2006-03-22 2007-09-27 Method and system for preventing an unauthorized message
US8321941B2 (en) 2006-04-06 2012-11-27 Juniper Networks, Inc. Malware modeling detection system and method for mobile platforms
US7890612B2 (en) 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
US20080126779A1 (en) 2006-09-19 2008-05-29 Ned Smith Methods and apparatus to perform secure boot
US20110047618A1 (en) * 2006-10-18 2011-02-24 University Of Virginia Patent Foundation Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
US7797746B2 (en) 2006-12-12 2010-09-14 Fortinet, Inc. Detection of undesired computer files in archives
JP2008158686A (ja) 2006-12-21 2008-07-10 Toshiba Corp プログラム検証装置及び方法、プログラム検証に基づく署名システム
CN101232536A (zh) 2007-01-22 2008-07-30 中兴通讯股份有限公司 恶意呼叫识别方法
US7945787B2 (en) 2007-04-13 2011-05-17 Computer Associates Think, Inc. Method and system for detecting malware using a remote server
WO2009003059A1 (en) 2007-06-25 2008-12-31 Google Inc. Zero-hour quarantine of suspect electronic messages
US8621610B2 (en) * 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
CN102932136B (zh) 2007-09-14 2017-05-17 安全第一公司 用于管理加密密钥的系统和方法
US8150372B2 (en) 2007-09-28 2012-04-03 Symbol Technologies, Inc. Method and system for distributing data within a group of mobile units
US8171554B2 (en) 2008-02-04 2012-05-01 Yuval Elovici System that provides early detection, alert, and response to electronic threats
US7512911B1 (en) * 2008-09-04 2009-03-31 International Business Machines Corporation Method for creating a parameterized cell library dual-layered rule system for rapid technology migration
US8627461B2 (en) 2009-03-04 2014-01-07 Mcafee, Inc. System, method, and computer program product for verifying an identification of program information as unwanted
US8353037B2 (en) 2009-12-03 2013-01-08 International Business Machines Corporation Mitigating malicious file propagation with progressive identifiers
US8719939B2 (en) 2009-12-31 2014-05-06 Mcafee, Inc. Malware detection via reputation system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073810A1 (en) 2002-10-10 2004-04-15 International Business Machines Corporation Antiviral network system
US20080313738A1 (en) 2007-06-15 2008-12-18 Broadcom Corporation Multi-Stage Deep Packet Inspection for Lightweight Devices

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220092184A1 (en) * 2020-09-22 2022-03-24 International Business Machines Corporation Computer file metadata segmentation security system
US11526612B2 (en) * 2020-09-22 2022-12-13 International Business Machines Corporation Computer file metadata segmentation security system

Also Published As

Publication number Publication date
AU2010336989A1 (en) 2012-08-23
WO2011082084A2 (en) 2011-07-07
EP2519911A4 (en) 2013-12-11
AU2010336989B2 (en) 2014-04-10
CN102822839B (zh) 2015-11-25
CN102822839A (zh) 2012-12-12
US8719939B2 (en) 2014-05-06
EP2519911A2 (en) 2012-11-07
KR20120112696A (ko) 2012-10-11
US20110162070A1 (en) 2011-06-30
WO2011082084A3 (en) 2011-10-27

Similar Documents

Publication Publication Date Title
KR101484023B1 (ko) 평판 시스템을 통한 멀웨어 탐지
CN111935192B (zh) 网络攻击事件溯源处理方法、装置、设备和存储介质
Shibahara et al. Efficient dynamic malware analysis based on network behavior using deep learning
US10305923B2 (en) Server-supported malware detection and protection
US9639697B2 (en) Method and apparatus for retroactively detecting malicious or otherwise undesirable software
CN110730175B (zh) 一种基于威胁情报的僵尸网络检测方法及检测系统
CN107066883B (zh) 用于阻断脚本执行的系统和方法
EP2310974B1 (en) Intelligent hashes for centralized malware detection
WO2015120752A1 (zh) 网络威胁处理方法及设备
US20150381626A1 (en) Systems and methods for efficient detection of fingerprinted data and information
CN109951477B (zh) 一种基于威胁情报检测网络攻击的方法和装置
CN106384048B (zh) 一种威胁信息处理方法与装置
JP6674036B2 (ja) 分類装置、分類方法及び分類プログラム
US8719352B2 (en) Reputation management for network content classification
WO2018076697A1 (zh) 僵尸特征的检测方法和装置
CN107070845B (zh) 用于检测网络钓鱼脚本的系统和方法
US9239907B1 (en) Techniques for identifying misleading applications
JPWO2020075662A1 (ja) データ分類装置、データ分類方法、および、データ分類プログラム
Hatada et al. Detecting and classifying Android PUAs by similarity of DNS queries
WO2016118153A1 (en) Marking nodes for analysis based on domain name system resolution
Yan CAS: A framework of online detecting advance malware families for cloud-based security
Bhanu et al. Protecting Android based applications from malware affected through SMS messages
Rowe Finding contextual clues to malware using a large corpus
US20230247050A1 (en) Systems and methods for signature-based phishing detection by url feed processing
Li M-ISDS: A Mobilized Intrusion and Spam Detection System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171229

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191217

Year of fee payment: 6