RU2011138462A - Использование решений пользователей для обнаружения неизвестных компьютерных угроз - Google Patents

Использование решений пользователей для обнаружения неизвестных компьютерных угроз Download PDF

Info

Publication number
RU2011138462A
RU2011138462A RU2011138462/08A RU2011138462A RU2011138462A RU 2011138462 A RU2011138462 A RU 2011138462A RU 2011138462/08 A RU2011138462/08 A RU 2011138462/08A RU 2011138462 A RU2011138462 A RU 2011138462A RU 2011138462 A RU2011138462 A RU 2011138462A
Authority
RU
Russia
Prior art keywords
user
computer
actions
event
role
Prior art date
Application number
RU2011138462/08A
Other languages
English (en)
Inventor
Андрей Петрович Духвалов
Антон Владимирович Тихомиров
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2011138462/08A priority Critical patent/RU2011138462A/ru
Priority to EP12174907.1A priority patent/EP2584488B1/en
Priority to CN201210352269.7A priority patent/CN103065088B/zh
Publication of RU2011138462A publication Critical patent/RU2011138462A/ru

Links

Abstract

1. Способ определения компьютерных угроз, содержащий:а) выявляют связанное с компьютерной безопасностью событие на компьютере пользователя и связанный с этим событием объект;б) отслеживают действие пользователя на компьютере пользователя, которое связано с выявленным событием;в) отправляют данные о связанном с выявленным событием объекте и о связанном с выявленным событием действии пользователя на сторону облачного сервиса;г) определяют связанный с выявленным событием объект как компьютерную угрозу в зависимости от связанного с выявленным событием действия пользователя и роли пользователя.2. Способ по п.1, в котором компьютерными угрозами могут быть:а) вредоносные программы и нежелательные программы;б) ссылки, которые ведут на веб-страницы с вредоносными и нежелательными программами;в) уязвимости.3. Способ по п.1, в котором событием, связанным с компьютерной безопасностью, может быть, по крайней мере, одно из:а) запуск неизвестного файла;б) открытие неизвестной ссылки.4. Способ по п.1, в котором выделенным объектом может быть, по крайней мере, один из:а) файл;б) ссылка.5. Способ по п.1, в котором действием пользователя может быть, по крайней мере, одно из:а) блокировка или разрешение запуска файла;б) блокировка или разрешения открытия неизвестной ссылки в браузере.6. Способ по п.1, в котором роль пользователя определяется на основании, по крайней мере, одного из следующих параметров:а) репутации, которая складывается из активностей пользователя;б) аномалий, связанных с активностями пользователя;в) информации об используемом антивирусном приложении;а) информации о компьютере пользователя.7. Способ по п.6, в котором актив

Claims (21)

1. Способ определения компьютерных угроз, содержащий:
а) выявляют связанное с компьютерной безопасностью событие на компьютере пользователя и связанный с этим событием объект;
б) отслеживают действие пользователя на компьютере пользователя, которое связано с выявленным событием;
в) отправляют данные о связанном с выявленным событием объекте и о связанном с выявленным событием действии пользователя на сторону облачного сервиса;
г) определяют связанный с выявленным событием объект как компьютерную угрозу в зависимости от связанного с выявленным событием действия пользователя и роли пользователя.
2. Способ по п.1, в котором компьютерными угрозами могут быть:
а) вредоносные программы и нежелательные программы;
б) ссылки, которые ведут на веб-страницы с вредоносными и нежелательными программами;
в) уязвимости.
3. Способ по п.1, в котором событием, связанным с компьютерной безопасностью, может быть, по крайней мере, одно из:
а) запуск неизвестного файла;
б) открытие неизвестной ссылки.
4. Способ по п.1, в котором выделенным объектом может быть, по крайней мере, один из:
а) файл;
б) ссылка.
5. Способ по п.1, в котором действием пользователя может быть, по крайней мере, одно из:
а) блокировка или разрешение запуска файла;
б) блокировка или разрешения открытия неизвестной ссылки в браузере.
6. Способ по п.1, в котором роль пользователя определяется на основании, по крайней мере, одного из следующих параметров:
а) репутации, которая складывается из активностей пользователя;
б) аномалий, связанных с активностями пользователя;
в) информации об используемом антивирусном приложении;
а) информации о компьютере пользователя.
7. Способ по п.6, в котором активностью пользователя является по крайней мере одно из:
а) количество обнаруженных угроз;
б) количество уникальных обнаруженных угроз;
в) активность работы с интерфейсом;
г) активность заражения компьютера.
8. Способ по п.7, в котором активности пользователя динамически изменяются со временем.
9. Способ по п.1, в котором роль пользователя имеет заданный вес.
10. Способ по п.9, в котором вес роли пользователя учитывается для определения объекта как компьютерной угрозы в соответствии с действием пользователя.
11. Способ по п.10, в котором для определения объекта как компьютерной угрозы могут учитываться действия, по меньшей мере, двух различных пользователей.
12. Способ по п.1, в котором для определения объекта как компьютерной угрозы в соответствии с действием пользователя используется вес решения пользователя по объекту.
13. Способ по одному из пп.9 и 12, в котором вес решения пользователя по объекту изменяется в соответствии с весом роли пользователя.
14. Способ по п.13, в котором для определения объекта как компьютерной угрозы вес решения пользователя по объекту должен превысить заданный порог.
15. Способ по п.9, в котором вес роли пользователя может изменяться по мере обработки статистики по действиям всех пользователей с данной ролью.
16. Способ по п.1, в котором дополнительно изменяют параметры роли пользователя после подтверждения события как связанного или не связанного с компьютерной угрозой.
17. Система определения компьютерных угроз, содержащая:
а) средство регистрации событий на компьютере пользователе, связанное со средством отправки нотификаций, при этом средство регистрации событий предназначено для:
(i) выявления связанного с компьютерной безопасностью события на компьютере пользователя,
(ii) отслеживания действия пользователя на компьютере пользователя, которое связано с выявленном событием,
(iii) выделения объекта на компьютере пользователя, который породил выявленное событие;
б) средство отправки нотификаций, связанное со средством обсчета действий пользователей, при этом средство отправки нотификаций предназначено для отправки данных об объекте на компьютере пользователя, который породил выявленное событие, а также данных о действии пользователя на компьютере пользователя;
в) средство обсчета действий пользователей, предназначенное для определения объекта на компьютере пользователя, который породил выявленное событие, как компьютерную угрозу в соответствии с действием пользователя и ролью пользователя.
18. Система по п.17, в которой средство обсчета действий пользователей также связано с базой данных правил репутации, в которой хранятся правила для обсчета действий пользователя по определенным активностям.
19. Система по п.17, в которой средство обсчета действий пользователей также связано с базой данных репутации пользователей, в которой хранятся данные об обнаруженных объектах на компьютере пользователя, которые породили выявленные события, а также данные о действиях пользователя.
20. Система по п.17, в которой также присутствуют:
а) средство верификации действий пользователей, связанное с средством обсчета действий пользователей, базой данных репутации пользователей, базой данных правил верификации, при этом средство верификации действий пользователей проверяет достоверность данных об объекте на компьютере пользователя, который породил выявленное событие, а также данных о действии пользователя на компьютере пользователя;
б) база данных правил верификации, связанная со средством верификации действий пользователей, при этом средство верификации действий пользователей предназначено для хранения правил проверки достоверности получаемых данных от пользователей.
21. Система по п.17, в которой также используется средство отслеживания действий пользователя, которое связано со средством регистрации событий, при этом средство отслеживания действий пользователя предназначено для определения конкретного пользователя, работающего за компьютером.
RU2011138462/08A 2011-09-20 2011-09-20 Использование решений пользователей для обнаружения неизвестных компьютерных угроз RU2011138462A (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2011138462/08A RU2011138462A (ru) 2011-09-20 2011-09-20 Использование решений пользователей для обнаружения неизвестных компьютерных угроз
EP12174907.1A EP2584488B1 (en) 2011-09-20 2012-07-04 System and method for detecting computer security threats based on verdicts of computer users
CN201210352269.7A CN103065088B (zh) 2011-09-20 2012-09-20 基于计算机用户的裁决检测计算机安全威胁的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2011138462/08A RU2011138462A (ru) 2011-09-20 2011-09-20 Использование решений пользователей для обнаружения неизвестных компьютерных угроз

Publications (1)

Publication Number Publication Date
RU2011138462A true RU2011138462A (ru) 2013-04-10

Family

ID=48107716

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2011138462/08A RU2011138462A (ru) 2011-09-20 2011-09-20 Использование решений пользователей для обнаружения неизвестных компьютерных угроз

Country Status (2)

Country Link
CN (1) CN103065088B (ru)
RU (1) RU2011138462A (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2646352C2 (ru) * 2013-09-27 2018-03-02 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ
RU2679783C2 (ru) * 2015-12-18 2019-02-12 Закрытое акционерное общество "Лаборатория Касперского" Способ создания сценария популярных событий активации
RU2723665C1 (ru) * 2016-10-27 2020-06-17 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104283703A (zh) * 2013-07-08 2015-01-14 中国移动通信集团黑龙江有限公司 一种用户登录提醒方法及系统
US9697365B2 (en) * 2013-09-06 2017-07-04 Microsoft Technology Licensing, Llc World-driven access control using trusted certificates
CN104572844B (zh) * 2014-12-11 2018-03-23 百度在线网络技术(北京)有限公司 提供目标搜索结果所对应的提示消息的方法与设备
RU2587424C1 (ru) * 2015-02-20 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Способ контроля приложений
WO2017200942A1 (en) * 2016-05-15 2017-11-23 John Steven Systems and methods for model-based analysis of software
RU2637997C1 (ru) * 2016-09-08 2017-12-08 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного кода в файле
CN107403097A (zh) * 2017-08-10 2017-11-28 清远博云软件有限公司 一种核心系统软件运行过程保护方法
CN109241734A (zh) * 2018-08-10 2019-01-18 航天信息股份有限公司 一种防护软件运行效率优化方法及系统
RU2708353C1 (ru) * 2018-12-28 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ стойкой к атакам проверки ЭЦП файлов
RU2739866C2 (ru) * 2018-12-28 2020-12-29 Акционерное общество "Лаборатория Касперского" Способ обнаружения совместимых средств для систем с аномалиями
CN110602119A (zh) * 2019-09-19 2019-12-20 迈普通信技术股份有限公司 病毒防护方法、装置及系统
CN112231750B (zh) * 2020-10-14 2021-10-08 海南大学 多模态隐私保护方法
CN114064360B (zh) * 2021-11-15 2024-04-09 南方电网数字电网研究院有限公司 基于大数据分析与云计算结合的重要信息备份及加密方法
CN114826707B (zh) * 2022-04-13 2022-11-25 中国人民解放军战略支援部队航天工程大学 处理用户威胁的方法、装置、电子设备和计算机可读介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100058474A1 (en) * 2008-08-29 2010-03-04 Avg Technologies Cz, S.R.O. System and method for the detection of malware
US8196203B2 (en) * 2008-09-25 2012-06-05 Symantec Corporation Method and apparatus for determining software trustworthiness
US8931086B2 (en) * 2008-09-26 2015-01-06 Symantec Corporation Method and apparatus for reducing false positive detection of malware
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2646352C2 (ru) * 2013-09-27 2018-03-02 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ
RU2679783C2 (ru) * 2015-12-18 2019-02-12 Закрытое акционерное общество "Лаборатория Касперского" Способ создания сценария популярных событий активации
RU2723665C1 (ru) * 2016-10-27 2020-06-17 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности

Also Published As

Publication number Publication date
CN103065088A (zh) 2013-04-24
CN103065088B (zh) 2016-03-30

Similar Documents

Publication Publication Date Title
RU2011138462A (ru) Использование решений пользователей для обнаружения неизвестных компьютерных угроз
Arabo et al. Detecting ransomware using process behavior analysis
Kouliaridis et al. A survey on mobile malware detection techniques
US20190215335A1 (en) Method and system for delaying message delivery to users categorized with low level of awareness to suspicius messages
CN105247532B (zh) 使用硬件特征的对异常进程的无监督的检测
Virvilis et al. Mobile devices: A phisher's paradise
CN105229612A (zh) 使用基于硬件的微体系结构数据的异常程序执行的检测
Vidal et al. A novel pattern recognition system for detecting Android malware by analyzing suspicious boot sequences
RU2012142156A (ru) Способ защиты компьютерной системы от вредоносного программного обеспечения
Medhat et al. A new static-based framework for ransomware detection
CN108369541A (zh) 用于安全威胁的威胁风险评分的系统和方法
Malhotra et al. A survey on various malware detection techniques on mobile platform
Abdullah et al. Mobile botnet detection: Proof of concept
US20200012788A1 (en) Analysis device, analysis method and computer-readable recording medium
KR101535529B1 (ko) Apt 공격 분석을 위한 의심파일 및 추적정보 수집 방법
CN106375303A (zh) 攻击防御方法及装置
Ben Salem et al. Combining a baiting and a user search profiling techniques for masquerade detection
Farishta et al. XSS attack prevention using machine learning
Akour et al. The malware detection challenge of accuracy
Halawa et al. Harvesting the low-hanging fruits: defending against automated large-scale cyber-intrusions by focusing on the vulnerable population
Mathew Cybersecurity pros warn–COVID‐19 pandemic as a tool
Gupta et al. System cum program-wide lightweight malicious program execution detection scheme for cloud
Uma et al. Survey on Android malware detection and protection using data mining algorithms
Markina et al. Information security audit specificity
Bejoy et al. An intrusion detection and prevention system using AIS—An NK cell-based approach