RU2011138462A - Использование решений пользователей для обнаружения неизвестных компьютерных угроз - Google Patents
Использование решений пользователей для обнаружения неизвестных компьютерных угроз Download PDFInfo
- Publication number
- RU2011138462A RU2011138462A RU2011138462/08A RU2011138462A RU2011138462A RU 2011138462 A RU2011138462 A RU 2011138462A RU 2011138462/08 A RU2011138462/08 A RU 2011138462/08A RU 2011138462 A RU2011138462 A RU 2011138462A RU 2011138462 A RU2011138462 A RU 2011138462A
- Authority
- RU
- Russia
- Prior art keywords
- user
- computer
- actions
- event
- role
- Prior art date
Links
Abstract
1. Способ определения компьютерных угроз, содержащий:а) выявляют связанное с компьютерной безопасностью событие на компьютере пользователя и связанный с этим событием объект;б) отслеживают действие пользователя на компьютере пользователя, которое связано с выявленным событием;в) отправляют данные о связанном с выявленным событием объекте и о связанном с выявленным событием действии пользователя на сторону облачного сервиса;г) определяют связанный с выявленным событием объект как компьютерную угрозу в зависимости от связанного с выявленным событием действия пользователя и роли пользователя.2. Способ по п.1, в котором компьютерными угрозами могут быть:а) вредоносные программы и нежелательные программы;б) ссылки, которые ведут на веб-страницы с вредоносными и нежелательными программами;в) уязвимости.3. Способ по п.1, в котором событием, связанным с компьютерной безопасностью, может быть, по крайней мере, одно из:а) запуск неизвестного файла;б) открытие неизвестной ссылки.4. Способ по п.1, в котором выделенным объектом может быть, по крайней мере, один из:а) файл;б) ссылка.5. Способ по п.1, в котором действием пользователя может быть, по крайней мере, одно из:а) блокировка или разрешение запуска файла;б) блокировка или разрешения открытия неизвестной ссылки в браузере.6. Способ по п.1, в котором роль пользователя определяется на основании, по крайней мере, одного из следующих параметров:а) репутации, которая складывается из активностей пользователя;б) аномалий, связанных с активностями пользователя;в) информации об используемом антивирусном приложении;а) информации о компьютере пользователя.7. Способ по п.6, в котором актив
Claims (21)
1. Способ определения компьютерных угроз, содержащий:
а) выявляют связанное с компьютерной безопасностью событие на компьютере пользователя и связанный с этим событием объект;
б) отслеживают действие пользователя на компьютере пользователя, которое связано с выявленным событием;
в) отправляют данные о связанном с выявленным событием объекте и о связанном с выявленным событием действии пользователя на сторону облачного сервиса;
г) определяют связанный с выявленным событием объект как компьютерную угрозу в зависимости от связанного с выявленным событием действия пользователя и роли пользователя.
2. Способ по п.1, в котором компьютерными угрозами могут быть:
а) вредоносные программы и нежелательные программы;
б) ссылки, которые ведут на веб-страницы с вредоносными и нежелательными программами;
в) уязвимости.
3. Способ по п.1, в котором событием, связанным с компьютерной безопасностью, может быть, по крайней мере, одно из:
а) запуск неизвестного файла;
б) открытие неизвестной ссылки.
4. Способ по п.1, в котором выделенным объектом может быть, по крайней мере, один из:
а) файл;
б) ссылка.
5. Способ по п.1, в котором действием пользователя может быть, по крайней мере, одно из:
а) блокировка или разрешение запуска файла;
б) блокировка или разрешения открытия неизвестной ссылки в браузере.
6. Способ по п.1, в котором роль пользователя определяется на основании, по крайней мере, одного из следующих параметров:
а) репутации, которая складывается из активностей пользователя;
б) аномалий, связанных с активностями пользователя;
в) информации об используемом антивирусном приложении;
а) информации о компьютере пользователя.
7. Способ по п.6, в котором активностью пользователя является по крайней мере одно из:
а) количество обнаруженных угроз;
б) количество уникальных обнаруженных угроз;
в) активность работы с интерфейсом;
г) активность заражения компьютера.
8. Способ по п.7, в котором активности пользователя динамически изменяются со временем.
9. Способ по п.1, в котором роль пользователя имеет заданный вес.
10. Способ по п.9, в котором вес роли пользователя учитывается для определения объекта как компьютерной угрозы в соответствии с действием пользователя.
11. Способ по п.10, в котором для определения объекта как компьютерной угрозы могут учитываться действия, по меньшей мере, двух различных пользователей.
12. Способ по п.1, в котором для определения объекта как компьютерной угрозы в соответствии с действием пользователя используется вес решения пользователя по объекту.
13. Способ по одному из пп.9 и 12, в котором вес решения пользователя по объекту изменяется в соответствии с весом роли пользователя.
14. Способ по п.13, в котором для определения объекта как компьютерной угрозы вес решения пользователя по объекту должен превысить заданный порог.
15. Способ по п.9, в котором вес роли пользователя может изменяться по мере обработки статистики по действиям всех пользователей с данной ролью.
16. Способ по п.1, в котором дополнительно изменяют параметры роли пользователя после подтверждения события как связанного или не связанного с компьютерной угрозой.
17. Система определения компьютерных угроз, содержащая:
а) средство регистрации событий на компьютере пользователе, связанное со средством отправки нотификаций, при этом средство регистрации событий предназначено для:
(i) выявления связанного с компьютерной безопасностью события на компьютере пользователя,
(ii) отслеживания действия пользователя на компьютере пользователя, которое связано с выявленном событием,
(iii) выделения объекта на компьютере пользователя, который породил выявленное событие;
б) средство отправки нотификаций, связанное со средством обсчета действий пользователей, при этом средство отправки нотификаций предназначено для отправки данных об объекте на компьютере пользователя, который породил выявленное событие, а также данных о действии пользователя на компьютере пользователя;
в) средство обсчета действий пользователей, предназначенное для определения объекта на компьютере пользователя, который породил выявленное событие, как компьютерную угрозу в соответствии с действием пользователя и ролью пользователя.
18. Система по п.17, в которой средство обсчета действий пользователей также связано с базой данных правил репутации, в которой хранятся правила для обсчета действий пользователя по определенным активностям.
19. Система по п.17, в которой средство обсчета действий пользователей также связано с базой данных репутации пользователей, в которой хранятся данные об обнаруженных объектах на компьютере пользователя, которые породили выявленные события, а также данные о действиях пользователя.
20. Система по п.17, в которой также присутствуют:
а) средство верификации действий пользователей, связанное с средством обсчета действий пользователей, базой данных репутации пользователей, базой данных правил верификации, при этом средство верификации действий пользователей проверяет достоверность данных об объекте на компьютере пользователя, который породил выявленное событие, а также данных о действии пользователя на компьютере пользователя;
б) база данных правил верификации, связанная со средством верификации действий пользователей, при этом средство верификации действий пользователей предназначено для хранения правил проверки достоверности получаемых данных от пользователей.
21. Система по п.17, в которой также используется средство отслеживания действий пользователя, которое связано со средством регистрации событий, при этом средство отслеживания действий пользователя предназначено для определения конкретного пользователя, работающего за компьютером.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011138462/08A RU2011138462A (ru) | 2011-09-20 | 2011-09-20 | Использование решений пользователей для обнаружения неизвестных компьютерных угроз |
EP12174907.1A EP2584488B1 (en) | 2011-09-20 | 2012-07-04 | System and method for detecting computer security threats based on verdicts of computer users |
CN201210352269.7A CN103065088B (zh) | 2011-09-20 | 2012-09-20 | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2011138462/08A RU2011138462A (ru) | 2011-09-20 | 2011-09-20 | Использование решений пользователей для обнаружения неизвестных компьютерных угроз |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2011138462A true RU2011138462A (ru) | 2013-04-10 |
Family
ID=48107716
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2011138462/08A RU2011138462A (ru) | 2011-09-20 | 2011-09-20 | Использование решений пользователей для обнаружения неизвестных компьютерных угроз |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103065088B (ru) |
RU (1) | RU2011138462A (ru) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2646352C2 (ru) * | 2013-09-27 | 2018-03-02 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ |
RU2679783C2 (ru) * | 2015-12-18 | 2019-02-12 | Закрытое акционерное общество "Лаборатория Касперского" | Способ создания сценария популярных событий активации |
RU2723665C1 (ru) * | 2016-10-27 | 2020-06-17 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283703A (zh) * | 2013-07-08 | 2015-01-14 | 中国移动通信集团黑龙江有限公司 | 一种用户登录提醒方法及系统 |
US9697365B2 (en) * | 2013-09-06 | 2017-07-04 | Microsoft Technology Licensing, Llc | World-driven access control using trusted certificates |
CN104572844B (zh) * | 2014-12-11 | 2018-03-23 | 百度在线网络技术(北京)有限公司 | 提供目标搜索结果所对应的提示消息的方法与设备 |
RU2587424C1 (ru) * | 2015-02-20 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ контроля приложений |
WO2017200942A1 (en) * | 2016-05-15 | 2017-11-23 | John Steven | Systems and methods for model-based analysis of software |
RU2637997C1 (ru) * | 2016-09-08 | 2017-12-08 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного кода в файле |
CN107403097A (zh) * | 2017-08-10 | 2017-11-28 | 清远博云软件有限公司 | 一种核心系统软件运行过程保护方法 |
CN109241734A (zh) * | 2018-08-10 | 2019-01-18 | 航天信息股份有限公司 | 一种防护软件运行效率优化方法及系统 |
RU2708353C1 (ru) * | 2018-12-28 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Система и способ стойкой к атакам проверки ЭЦП файлов |
RU2739866C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения совместимых средств для систем с аномалиями |
CN110602119A (zh) * | 2019-09-19 | 2019-12-20 | 迈普通信技术股份有限公司 | 病毒防护方法、装置及系统 |
CN112231750B (zh) * | 2020-10-14 | 2021-10-08 | 海南大学 | 多模态隐私保护方法 |
CN114064360B (zh) * | 2021-11-15 | 2024-04-09 | 南方电网数字电网研究院有限公司 | 基于大数据分析与云计算结合的重要信息备份及加密方法 |
CN114826707B (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100058474A1 (en) * | 2008-08-29 | 2010-03-04 | Avg Technologies Cz, S.R.O. | System and method for the detection of malware |
US8196203B2 (en) * | 2008-09-25 | 2012-06-05 | Symantec Corporation | Method and apparatus for determining software trustworthiness |
US8931086B2 (en) * | 2008-09-26 | 2015-01-06 | Symantec Corporation | Method and apparatus for reducing false positive detection of malware |
US8572740B2 (en) * | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
-
2011
- 2011-09-20 RU RU2011138462/08A patent/RU2011138462A/ru unknown
-
2012
- 2012-09-20 CN CN201210352269.7A patent/CN103065088B/zh active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2646352C2 (ru) * | 2013-09-27 | 2018-03-02 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ |
RU2679783C2 (ru) * | 2015-12-18 | 2019-02-12 | Закрытое акционерное общество "Лаборатория Касперского" | Способ создания сценария популярных событий активации |
RU2723665C1 (ru) * | 2016-10-27 | 2020-06-17 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности |
Also Published As
Publication number | Publication date |
---|---|
CN103065088A (zh) | 2013-04-24 |
CN103065088B (zh) | 2016-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2011138462A (ru) | Использование решений пользователей для обнаружения неизвестных компьютерных угроз | |
Arabo et al. | Detecting ransomware using process behavior analysis | |
Kouliaridis et al. | A survey on mobile malware detection techniques | |
US20190215335A1 (en) | Method and system for delaying message delivery to users categorized with low level of awareness to suspicius messages | |
CN105247532B (zh) | 使用硬件特征的对异常进程的无监督的检测 | |
Virvilis et al. | Mobile devices: A phisher's paradise | |
CN105229612A (zh) | 使用基于硬件的微体系结构数据的异常程序执行的检测 | |
Vidal et al. | A novel pattern recognition system for detecting Android malware by analyzing suspicious boot sequences | |
RU2012142156A (ru) | Способ защиты компьютерной системы от вредоносного программного обеспечения | |
Medhat et al. | A new static-based framework for ransomware detection | |
CN108369541A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
Malhotra et al. | A survey on various malware detection techniques on mobile platform | |
Abdullah et al. | Mobile botnet detection: Proof of concept | |
US20200012788A1 (en) | Analysis device, analysis method and computer-readable recording medium | |
KR101535529B1 (ko) | Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법 | |
CN106375303A (zh) | 攻击防御方法及装置 | |
Ben Salem et al. | Combining a baiting and a user search profiling techniques for masquerade detection | |
Farishta et al. | XSS attack prevention using machine learning | |
Akour et al. | The malware detection challenge of accuracy | |
Halawa et al. | Harvesting the low-hanging fruits: defending against automated large-scale cyber-intrusions by focusing on the vulnerable population | |
Mathew | Cybersecurity pros warn–COVID‐19 pandemic as a tool | |
Gupta et al. | System cum program-wide lightweight malicious program execution detection scheme for cloud | |
Uma et al. | Survey on Android malware detection and protection using data mining algorithms | |
Markina et al. | Information security audit specificity | |
Bejoy et al. | An intrusion detection and prevention system using AIS—An NK cell-based approach |