RU2012156446A - Система и способ формирования сценариев модели поведения приложений - Google Patents

Система и способ формирования сценариев модели поведения приложений Download PDF

Info

Publication number
RU2012156446A
RU2012156446A RU2012156446/08A RU2012156446A RU2012156446A RU 2012156446 A RU2012156446 A RU 2012156446A RU 2012156446/08 A RU2012156446/08 A RU 2012156446/08A RU 2012156446 A RU2012156446 A RU 2012156446A RU 2012156446 A RU2012156446 A RU 2012156446A
Authority
RU
Russia
Prior art keywords
rule
malicious
applications
rules
behavior model
Prior art date
Application number
RU2012156446/08A
Other languages
English (en)
Other versions
RU2535506C2 (ru
Inventor
Олег Владимирович Зайцев
Original Assignee
Закрытое акционерное обшество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное обшество "Лаборатория Касперского" filed Critical Закрытое акционерное обшество "Лаборатория Касперского"
Priority to RU2012156446/08A priority Critical patent/RU2535506C2/ru
Priority to US13/844,080 priority patent/US8607349B1/en
Priority to US14/077,688 priority patent/US8978142B2/en
Publication of RU2012156446A publication Critical patent/RU2012156446A/ru
Application granted granted Critical
Publication of RU2535506C2 publication Critical patent/RU2535506C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

1. Способ создания сценариев модели поведения на основе правил рейтинга безопасности, при этом способ состоит из этапов, на которых:а) определяют проблемные правила, которые срабатывают одновременно как на вредоносных, так и на безопасных приложениях;б) для проблемного правила выделяют группу приложений, для которых это правило срабатывает;в) находят, по крайней мере, одно отличное от проблемного правило, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные, либо только безопасные приложения;г) формируют сценарий модели поведения на основе проблемного правила и, по крайней мере, одного найденного правила, отличного от проблемного правила, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные, либо только безопасные приложения.2. Способ по п.1, в котором дополнительно выделяют уточняющие признаки для сформированного сценария модели поведения, которые позволяет выделить из выделенной группы приложений только вредоносные либо только безопасные приложения.3. Способ по п.2, в котором уточняющие признаки включают частоту срабатывания правил.4. Способ по п.2, в котором уточняющим признаком может быть, по крайней мере, одна из следующих операций:- создание файла;- скачивание файла;- запись в файл;- обнаружение вредоносного поведения;- сетевой обмен данными.5. Система создания сценариев модели поведения на основе правил рейтинга безопасности, при этом система состоит из следующих средств:а) антивирусное приложение, связанное с анализатором обратной св

Claims (11)

1. Способ создания сценариев модели поведения на основе правил рейтинга безопасности, при этом способ состоит из этапов, на которых:
а) определяют проблемные правила, которые срабатывают одновременно как на вредоносных, так и на безопасных приложениях;
б) для проблемного правила выделяют группу приложений, для которых это правило срабатывает;
в) находят, по крайней мере, одно отличное от проблемного правило, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные, либо только безопасные приложения;
г) формируют сценарий модели поведения на основе проблемного правила и, по крайней мере, одного найденного правила, отличного от проблемного правила, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные, либо только безопасные приложения.
2. Способ по п.1, в котором дополнительно выделяют уточняющие признаки для сформированного сценария модели поведения, которые позволяет выделить из выделенной группы приложений только вредоносные либо только безопасные приложения.
3. Способ по п.2, в котором уточняющие признаки включают частоту срабатывания правил.
4. Способ по п.2, в котором уточняющим признаком может быть, по крайней мере, одна из следующих операций:
- создание файла;
- скачивание файла;
- запись в файл;
- обнаружение вредоносного поведения;
- сетевой обмен данными.
5. Система создания сценариев модели поведения на основе правил рейтинга безопасности, при этом система состоит из следующих средств:
а) антивирусное приложение, связанное с анализатором обратной связи, генератором сценариев модели поведения и базой данных правил рейтинга опасности, при этом антивирусное приложение предназначено для проверки срабатывания правил рейтинга опасности и сформированных сценариев модели поведения;
б) база данных правил рейтинга опасности, связанная с генератором сценариев модели поведения, при этом база данных правил рейтинга опасности предназначена для хранения правил рейтинга опасности;
в) анализатор обратной связи, связанный с генератором сценариев модели поведения, при этом анализатор обратной связи предназначен для определения проблемных правил, которые срабатывают одновременно как на вредоносных, так и на безопасных приложениях;
г) генератор сценариев модели поведения, предназначенный для выделения группы приложений, для которых срабатывает проблемное правило, нахождения, по крайней мере, одного отличного от проблемного правила из базы данных правил рейтинга опасности, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные, либо только безопасные приложения и формирования сценария модели поведения на основе проблемного правила и, по крайней мере, одного найденного правила, отличного от проблемного правила, срабатывание которого вместе со срабатыванием проблемного правила позволяет выделить из выделенной группы приложений только вредоносные, либо только безопасные приложения.
6. Система по п.5, которая дополнительно содержит генератор правил с уточняющими признаками, при этом генератор правил с уточняющими признаками связан с генератором сценариев модели поведения и базой данных правил рейтинга опасности, при этом генератор правил с уточняющими признаками предназначен для выделения уточняющих признаков для сформированного сценария модели поведения, которые позволяют выделить из выделенной группы приложений только вредоносные либо только безопасные приложения.
7. Система по п.6, которая дополнительно содержит базу данных уточняющих признаков, связанную с генератором правил с уточняющими признаками, при этом база данных уточняющих признаков предназначена для хранения уточняющих признаков.
8. Система по п.6, в которой уточняющие признаки для сформированного сценария модели поведения позволяют выделить из выделенной группы приложений только вредоносные либо только безопасные приложения.
9. Система по п.8, в котором уточняющие признаки включают частоту срабатывания правил.
10. Способ по п.6, в котором уточняющим признаком может быть, по крайней мере, одна из следующих операций:
- создание файла;
- скачивание файла;
- запись в файл;
- обнаружение вредоносного поведения;
- сетевой обмен данными.
11. Система по п.5, которая дополнительно содержит базу данных безопасных приложений и базу данных вредоносных приложений, которые связаны с генератором сценариев модели поведения, при этом база данных безопасных приложений и база данных вредоносных приложений предназначены для хранения безопасных и вредоносных приложений соответственно.
RU2012156446/08A 2012-12-25 2012-12-25 Система и способ формирования сценариев модели поведения приложений RU2535506C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2012156446/08A RU2535506C2 (ru) 2012-12-25 2012-12-25 Система и способ формирования сценариев модели поведения приложений
US13/844,080 US8607349B1 (en) 2012-12-25 2013-03-15 System and method for detection of malware using behavior model scripts of security rating rules
US14/077,688 US8978142B2 (en) 2012-12-25 2013-11-12 System and method for detection of malware using behavior model scripts of security rating rules

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012156446/08A RU2535506C2 (ru) 2012-12-25 2012-12-25 Система и способ формирования сценариев модели поведения приложений

Publications (2)

Publication Number Publication Date
RU2012156446A true RU2012156446A (ru) 2014-06-27
RU2535506C2 RU2535506C2 (ru) 2014-12-10

Family

ID=49681717

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012156446/08A RU2535506C2 (ru) 2012-12-25 2012-12-25 Система и способ формирования сценариев модели поведения приложений

Country Status (2)

Country Link
US (2) US8607349B1 (ru)
RU (1) RU2535506C2 (ru)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102752290B (zh) * 2012-06-13 2016-06-01 深圳市腾讯计算机系统有限公司 一种云安全系统中的未知文件安全信息确定方法和装置
US9251261B2 (en) * 2013-09-30 2016-02-02 Symantec Corporation Method and system for metadata driven testing of malware signatures
US9727736B1 (en) * 2014-10-17 2017-08-08 Amazon Technologies, Inc. Tracking developer behavior with respect to software analysis tools
US9800590B1 (en) * 2015-06-25 2017-10-24 Symantec Corporation Systems and methods for threat detection using a software program update profile
US9852295B2 (en) * 2015-07-14 2017-12-26 Bitdefender IPR Management Ltd. Computer security systems and methods using asynchronous introspection exceptions
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US11716348B2 (en) * 2017-10-31 2023-08-01 Bluvector, Inc. Malicious script detection
KR102046262B1 (ko) * 2017-12-18 2019-11-18 고려대학교 산학협력단 모바일 운영체제 환경에서 악성 코드 행위에 따른 위험을 관리하는 장치 및 방법, 이 방법을 수행하기 위한 기록 매체
RU2697954C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ создания антивирусной записи
EP3522058B1 (en) * 2018-02-06 2021-08-11 AO Kaspersky Lab System and method of creating antivirus records
SG11202101073PA (en) * 2018-09-11 2021-03-30 Mastercard Tech Canada Ulc Transpilation of fraud detection rules to native language source code
US11223638B2 (en) * 2018-12-27 2022-01-11 Rapid7, Inc. Stable network user account classifier
US12081577B2 (en) * 2021-08-23 2024-09-03 Fortinet, Inc. Systems and methods for automated risk-based network security focus

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6006329A (en) * 1997-08-11 1999-12-21 Symantec Corporation Detection of computer viruses spanning multiple data streams
US7913305B2 (en) * 2004-01-30 2011-03-22 Microsoft Corporation System and method for detecting malware in an executable code module according to the code module's exhibited behavior
US8713686B2 (en) * 2006-01-25 2014-04-29 Ca, Inc. System and method for reducing antivirus false positives
US8239944B1 (en) * 2008-03-28 2012-08-07 Symantec Corporation Reducing malware signature set size through server-side processing
US8087086B1 (en) * 2008-06-30 2011-12-27 Symantec Corporation Method for mitigating false positive generation in antivirus software
US8381298B2 (en) * 2008-06-30 2013-02-19 Microsoft Corporation Malware detention for suspected malware
US7530106B1 (en) 2008-07-02 2009-05-05 Kaspersky Lab, Zao System and method for security rating of computer processes
US8931086B2 (en) * 2008-09-26 2015-01-06 Symantec Corporation Method and apparatus for reducing false positive detection of malware
US8108933B2 (en) * 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8635694B2 (en) * 2009-01-10 2014-01-21 Kaspersky Lab Zao Systems and methods for malware classification
US8302191B1 (en) * 2009-03-13 2012-10-30 Symantec Corporation Filtering malware related content
US7640589B1 (en) 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
RU92551U1 (ru) * 2009-11-23 2010-03-20 Закрытое акционерное общество "Лаборатория Касперского" Система тестирования и исправления тестовых баз данных антивирусного приложения
US8719935B2 (en) * 2010-01-08 2014-05-06 Microsoft Corporation Mitigating false positives in malware detection
RU101224U1 (ru) * 2010-07-23 2011-01-10 Закрытое акционерное общество "Лаборатория Касперского" Система выявления и минимизации риска ложных срабатываний
US9413721B2 (en) * 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
RU107615U1 (ru) * 2011-03-28 2011-08-20 Закрытое акционерное общество "Лаборатория Касперского" Система уменьшения количества ложных срабатываний антивирусной системы
US8756693B2 (en) * 2011-04-05 2014-06-17 The United States Of America As Represented By The Secretary Of The Air Force Malware target recognition
US9858415B2 (en) * 2011-06-16 2018-01-02 Microsoft Technology Licensing, Llc Cloud malware false positive recovery

Also Published As

Publication number Publication date
US20140181897A1 (en) 2014-06-26
RU2535506C2 (ru) 2014-12-10
US8978142B2 (en) 2015-03-10
US8607349B1 (en) 2013-12-10

Similar Documents

Publication Publication Date Title
RU2012156446A (ru) Система и способ формирования сценариев модели поведения приложений
RU2015136264A (ru) Способ ведения базы данных и соответствующий сервер
GB2584031A (en) Malware detection using machine learning
WO2016183316A8 (en) Automatic threat detection of executable files based on static data analysis
RU2012141478A (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
WO2018043865A3 (ko) 블록체인을 기반으로 한 파일 관리/검색 시스템 및 파일 관리/검색 방법
EP2706721A3 (en) Detection of infected network devices via analysis of responseless outgoing network traffic
CN106301825B (zh) Dpi规则的生成方法及装置
WO2016011445A3 (en) System and method for verifying non-human traffic
ATE428980T1 (de) Verfahren und vorrichtung zum finden von unkontrollierten zugangspunkt-switch-ports in einem drahtlosen netzwerk
IN2014DN09363A (ru)
RU2014148962A (ru) Система и способ ограничения работы доверенных приложений при наличии подозрительных приложений
CN104346566A (zh) 检测隐私权限风险的方法、装置、终端、服务器及系统
JP2015508549A5 (ja) モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム
WO2013167036A3 (zh) 一种终端自动接入无线接入点的方法和装置
WO2015014259A8 (en) Method and device for accelerating anti-virus scanning
BR112017002076A2 (pt) sistema e método para processo comandado por significado e gerenciamento de informação para melhoria da eficiência, da qualidade de trabalho e da satisfação do consumidor em geral
CN110245273B (zh) 一种获取app业务特征库的方法及相应的装置
RU2012156434A (ru) Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу
RU2016137177A (ru) Усовершенствованное преобразование исходного кода языка программирования
PH12018501167A1 (en) User data sharing method and device
WO2016048129A3 (en) A system and method for authenticating a user based on user behaviour and environmental factors
CN104484162A (zh) 一种软件测试用例设计编写方法
CN103902906A (zh) 基于应用图标的移动终端恶意代码检测方法及系统
EA201990920A1 (ru) Способ и система для запоминания биоинформационных данных и доступа к ним

Legal Events

Date Code Title Description
HE9A Changing address for correspondence with an applicant