RU2013119285A - Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса - Google Patents

Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса Download PDF

Info

Publication number
RU2013119285A
RU2013119285A RU2013119285/08A RU2013119285A RU2013119285A RU 2013119285 A RU2013119285 A RU 2013119285A RU 2013119285/08 A RU2013119285/08 A RU 2013119285/08A RU 2013119285 A RU2013119285 A RU 2013119285A RU 2013119285 A RU2013119285 A RU 2013119285A
Authority
RU
Russia
Prior art keywords
code
harmfulness
criteria
critical
signs
Prior art date
Application number
RU2013119285/08A
Other languages
English (en)
Other versions
RU2531861C1 (ru
Inventor
Михаил Александрович Павлющик
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2013119285/08A priority Critical patent/RU2531861C1/ru
Priority to US13/938,966 priority patent/US9336390B2/en
Priority to CN201410020097.2A priority patent/CN103886252B/zh
Application granted granted Critical
Publication of RU2531861C1 publication Critical patent/RU2531861C1/ru
Publication of RU2013119285A publication Critical patent/RU2013119285A/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

1. Система оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса, которая содержит:а) средство мониторинга процессов, предназначенное для отслеживания запуска ненадежных процессов на основании признаков ненадежных процессов, хранящихся в базе данных признаков, и передачи идентификаторов ненадежных процессов средству перехвата вызовов критических функций;б) базу данных признаков, предназначенную для хранения информации о признаках ненадежных процессов и предоставлении указанных признаков средству мониторинга процессов;в) средство перехвата вызовов критических функций, предназначенное для перехвата вызовов критических функций, осуществляемых от имени, по крайней мере, одного ненадежного процесса, на основании информации, хранящейся в базе данных критических функций, и передачи информации о вызове критической функции средству анализа;г) базу данных критических функций, предназначенную для хранения информации о критических функциях и передачи указанной информации средству перехвата вызовов критических функций;д) средство анализа, предназначенное для идентификации путем анализа стека вызовов исполняемого кода, инициировавшего вызов критической функции, и оценки вредоносности указанного кода на основании критериев, информация о которых хранится в базе данных критериев;е) базу данных критериев, предназначенную для хранения информации о критериях вредоносности исполняемого кода и передачи указанной информации средству анализа.2. Система по п.1, в которой средство анализа производит оценку вредоносности экземпляров кода по адресам возврата функций, вызовы которых �

Claims (14)

1. Система оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса, которая содержит:
а) средство мониторинга процессов, предназначенное для отслеживания запуска ненадежных процессов на основании признаков ненадежных процессов, хранящихся в базе данных признаков, и передачи идентификаторов ненадежных процессов средству перехвата вызовов критических функций;
б) базу данных признаков, предназначенную для хранения информации о признаках ненадежных процессов и предоставлении указанных признаков средству мониторинга процессов;
в) средство перехвата вызовов критических функций, предназначенное для перехвата вызовов критических функций, осуществляемых от имени, по крайней мере, одного ненадежного процесса, на основании информации, хранящейся в базе данных критических функций, и передачи информации о вызове критической функции средству анализа;
г) базу данных критических функций, предназначенную для хранения информации о критических функциях и передачи указанной информации средству перехвата вызовов критических функций;
д) средство анализа, предназначенное для идентификации путем анализа стека вызовов исполняемого кода, инициировавшего вызов критической функции, и оценки вредоносности указанного кода на основании критериев, информация о которых хранится в базе данных критериев;
е) базу данных критериев, предназначенную для хранения информации о критериях вредоносности исполняемого кода и передачи указанной информации средству анализа.
2. Система по п.1, в которой средство анализа производит оценку вредоносности экземпляров кода по адресам возврата функций, вызовы которых в стеке предшествовали вызову критической функции.
3. Система по п.1, в которой признаками ненадежных процессов являются:
- принадлежность процесса уязвимому приложению;
- принадлежность процесса приложению, осуществляющему сетевые соединения;
- принадлежность процесса приложению, которое было запущено без использования файлового менеджера.
4. Система по п.1, в которой критическими функциями являются функция создания нового процесса и функция создания нового потока.
5. Система по п.1, в которой критериями вредоносности исполняемого кода являются:
- нахождение исполняемого кода в куче;
- присутствие в коде инструкций, с помощью которых код производит определение своего адреса;
- наличие в коде признаков позиционно-независимого кода;
- наличие в коде операционных кодов, характерных для выравнивания данных;
- наличие в коде зашифрованных хешей от имен функций.
6. Система по п.1, в которой вредоносность кода, инициировавшего вызов функции создания нового процесса, оценивается на основании следующих критериев подозрительности запускаемого при этом файла:
- источник получения файла;
- причастность пользователя к скачиванию файла;
- количество времени, прошедшее с момента сборки файла, до момента его появления на компьютере пользователя.
7. Система по п.1, в которой оценку вредоносности исполняемого кода на основании заданных критериев производят с использованием аппаратов нечеткой логики или искусственных нейронных сетей.
8. Способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса, в котором:
а) задают признаки ненадежных процессов, критические функции и критерии вредоносности исполняемого кода;
б) сохраняют заданные признаки ненадежных процессов, критические функции и критерии вредоносности исполняемого кода;
в) определяют среди запущенных в операционной системе процессов ненадежный процесс по наличию заданных признаков;
г) перехватывают вызов критической функции, осуществляемый от имени ненадежного процесса;
д) идентифицируют исполняемый код, инициировавший вызов критической функции, путем анализа стека вызовов;
е) признают исполняемый код вредоносным на основе анализа заданных критериев.
9. Способ по п.8, в котором производят оценку вредоносности экземпляров кода по адресам возврата функций, вызовы которых в стеке предшествовали вызову критической функции
10. Способ по п.8, в котором признаками ненадежных процессов являются:
- принадлежность процесса уязвимому приложению;
- принадлежность процесса приложению, осуществляющему сетевые соединения;
- принадлежность процесса приложению, которое было запущено без использования файлового менеджера.
11. Способ по п.8, в котором критическими функциями являются функция создания нового процесса и функция создания нового потока.
12. Способ по п.8, в котором критериями вредоносности исполняемого кода являются:
- нахождение исполняемого кода в куче;
- присутствие в коде инструкций, с помощью которых код производит определение своего адреса;
- наличие в коде признаков позиционно-независимого кода;
- наличие в коде операционных кодов, характерных для выравнивания данных;
- наличие в коде зашифрованных хешей от имен функций.
13. Способ по п.8, в котором вредоносность кода, инициировавшего вызов функции создания нового процесса, оценивается на основании следующих критериев подозрительности запускаемого при этом файла:
- источник получения файла;
- причастность пользователя к скачиванию файла;
- количество времени, прошедшее с момента сборки файла, до момента его появления на компьютере пользователя.
14. Способ по п.8, в котором оценку вредоносности исполняемого кода на основании заданных критериев производят с использованием аппаратов нечеткой логики или искусственных нейронных сетей.
RU2013119285/08A 2013-04-26 2013-04-26 Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса RU2531861C1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2013119285/08A RU2531861C1 (ru) 2013-04-26 2013-04-26 Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US13/938,966 US9336390B2 (en) 2013-04-26 2013-07-10 Selective assessment of maliciousness of software code executed in the address space of a trusted process
CN201410020097.2A CN103886252B (zh) 2013-04-26 2014-01-16 受信进程地址空间中执行的软件代码的恶意性的选择评估

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2013119285/08A RU2531861C1 (ru) 2013-04-26 2013-04-26 Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса

Publications (2)

Publication Number Publication Date
RU2531861C1 RU2531861C1 (ru) 2014-10-27
RU2013119285A true RU2013119285A (ru) 2014-11-10

Family

ID=50955138

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2013119285/08A RU2531861C1 (ru) 2013-04-26 2013-04-26 Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса

Country Status (3)

Country Link
US (1) US9336390B2 (ru)
CN (1) CN103886252B (ru)
RU (1) RU2531861C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2628920C2 (ru) * 2015-03-31 2017-08-22 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных сборок

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2510641A (en) * 2013-02-12 2014-08-13 F Secure Corp Detecting suspicious code injected into a process if function call return address points to suspicious memory area
US9330259B2 (en) * 2013-03-19 2016-05-03 Trusteer, Ltd. Malware discovery method and system
GB2505284B (en) * 2013-06-17 2014-07-23 F Secure Corp Anti-Malware Tool for Mobile Apparatus
KR101445634B1 (ko) * 2014-01-27 2014-10-06 주식회사 이글루시큐리티 프로그램의 취약점을 이용한 공격의 탐지 장치 및 방법
US9171154B2 (en) * 2014-02-12 2015-10-27 Symantec Corporation Systems and methods for scanning packed programs in response to detecting suspicious behaviors
EP3091466B1 (en) * 2014-03-13 2018-05-02 Nippon Telegraph and Telephone Corporation Identification device, identification method, and identification program
CN104376261B (zh) * 2014-11-27 2017-04-05 南京大学 一种在取证场景下自动检测恶意进程的方法
US10467409B2 (en) * 2014-12-23 2019-11-05 Mcafee, Llc Identification of malicious execution of a process
US10645098B2 (en) 2015-01-28 2020-05-05 Nippon Telegraph And Telephone Corporation Malware analysis system, malware analysis method, and malware analysis program
US9460284B1 (en) * 2015-06-12 2016-10-04 Bitdefender IPR Management Ltd. Behavioral malware detection using an interpreter virtual machine
US10083296B2 (en) * 2015-06-27 2018-09-25 Mcafee, Llc Detection of malicious thread suspension
RU2589862C1 (ru) 2015-06-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного кода в оперативной памяти
CN105760787B (zh) * 2015-06-30 2019-05-31 卡巴斯基实验室股份制公司 用于检测随机存取存储器中的恶意代码的系统及方法
US10089465B2 (en) * 2015-07-24 2018-10-02 Bitdefender IPR Management Ltd. Systems and methods for tracking malicious behavior across multiple software entities
US9852052B2 (en) * 2016-03-31 2017-12-26 Intel Corporation Trusted execution of called function
US12093383B2 (en) 2016-04-15 2024-09-17 Sophos Limited Tracking malware root causes with an event graph
US9967267B2 (en) 2016-04-15 2018-05-08 Sophos Limited Forensic analysis of computing activity
RU2634181C1 (ru) * 2016-06-02 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных компьютерных систем
US10223536B2 (en) * 2016-12-29 2019-03-05 Paypal, Inc. Device monitoring policy
US10061921B1 (en) * 2017-02-13 2018-08-28 Trend Micro Incorporated Methods and systems for detecting computer security threats
CN106991328B (zh) * 2017-03-30 2019-11-29 兴华永恒(北京)科技有限责任公司 一种基于动态内存指纹异常分析的漏洞利用检测识别方法
RU2654146C1 (ru) * 2017-06-16 2018-05-16 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных файлов с использованием элементов статического анализа
RU2665910C1 (ru) * 2017-09-29 2018-09-04 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного кода в адресном пространстве процессов
US10691800B2 (en) 2017-09-29 2020-06-23 AO Kaspersky Lab System and method for detection of malicious code in the address space of processes
RU2659738C1 (ru) * 2017-09-29 2018-07-03 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного скрипта
US11568050B2 (en) 2017-10-30 2023-01-31 Hewlett-Packard Development Company, L.P. Regulating execution
US10990975B2 (en) * 2017-11-08 2021-04-27 Paypal, Inc. Detecting malware by monitoring client-side memory stacks
EP3588900B1 (en) * 2018-06-29 2022-10-05 AO Kaspersky Lab System and method of analyzing the content of encrypted network traffic
US10938839B2 (en) 2018-08-31 2021-03-02 Sophos Limited Threat detection with business impact scoring
CN109657473B (zh) * 2018-11-12 2020-09-18 华中科技大学 一种基于深度特征的细粒度漏洞检测方法
CN111177717A (zh) * 2019-06-21 2020-05-19 腾讯科技(深圳)有限公司 一种恶意进程的识别方法、装置、电子设备和存储介质
CN110516439B (zh) * 2019-07-25 2021-05-25 北京奇艺世纪科技有限公司 一种检测方法、装置、服务器及计算机可读介质
JP7238996B2 (ja) * 2019-08-09 2023-03-14 日本電気株式会社 バックドア検査装置、方法及びプログラム
CN112395603B (zh) * 2019-08-15 2023-09-05 奇安信安全技术(珠海)有限公司 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备
US11182472B2 (en) * 2019-09-30 2021-11-23 Vmware, Inc. Security in a computing environment by monitoring expected operation of processes within the computing environment
CN110888781B (zh) * 2019-11-21 2021-11-16 腾讯科技(深圳)有限公司 一种应用卡顿检测方法及检测装置
CN110855705A (zh) * 2019-11-23 2020-02-28 赣南师范大学 面向网络攻击与防护的无端口隐蔽通信方法
CN112507336A (zh) * 2020-12-15 2021-03-16 四川长虹电器股份有限公司 基于代码特征和流量行为的服务端恶意程序检测方法

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6775780B1 (en) * 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US7752459B2 (en) 2001-12-06 2010-07-06 Novell, Inc. Pointguard: method and system for protecting programs against pointer corruption attacks
US7228563B2 (en) 2003-02-06 2007-06-05 Symantec Corporation Shell code blocking system and method
US7530103B2 (en) 2003-08-07 2009-05-05 Microsoft Corporation Projection of trustworthiness from a trusted environment to an untrusted environment
US7287283B1 (en) 2003-09-25 2007-10-23 Symantec Corporation Return-to-LIBC attack blocking system and method
US7284276B2 (en) * 2004-01-22 2007-10-16 Symantec Corporation Return-to-LIBC attack detection using branch trace records system and method
US7484239B1 (en) 2004-11-30 2009-01-27 Symantec Corporation Detecting heap and stack execution in the operating system using regions
US7797702B1 (en) 2005-02-22 2010-09-14 Symantec Corporation Preventing execution of remotely injected threads
US8060860B2 (en) * 2005-04-22 2011-11-15 Apple Inc. Security methods and systems
US20080229415A1 (en) * 2005-07-01 2008-09-18 Harsh Kapoor Systems and methods for processing data flows
US7861297B2 (en) * 2005-09-30 2010-12-28 Microsoft Corporation Reducing security threats from untrusted code
US7607041B2 (en) 2005-12-16 2009-10-20 Cisco Technology, Inc. Methods and apparatus providing recovery from computer and network security attacks
WO2007117636A2 (en) * 2006-04-06 2007-10-18 Smobile Systems, Inc. Malware detection system and method for comprssed data on mobile platforms
US20080016339A1 (en) * 2006-06-29 2008-01-17 Jayant Shukla Application Sandbox to Detect, Remove, and Prevent Malware
US7870612B2 (en) * 2006-09-11 2011-01-11 Fujian Eastern Micropoint Info-Tech Co., Ltd Antivirus protection system and method for computers
US8413135B2 (en) * 2006-10-30 2013-04-02 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for controlling software application installations
US20080271142A1 (en) 2007-04-30 2008-10-30 Texas Instruments Incorporated Protection against buffer overflow attacks
US7620992B2 (en) * 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US8104089B1 (en) 2007-12-31 2012-01-24 Symantec Corporation Tracking memory mapping to prevent packers from evading the scanning of dynamically created code
US8448218B2 (en) * 2008-01-17 2013-05-21 Josep Bori Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability
US7472420B1 (en) * 2008-04-23 2008-12-30 Kaspersky Lab, Zao Method and system for detection of previously unknown malware components
US8230499B1 (en) * 2008-05-29 2012-07-24 Symantec Corporation Detecting and blocking unauthorized downloads
US20100058474A1 (en) * 2008-08-29 2010-03-04 Avg Technologies Cz, S.R.O. System and method for the detection of malware
US8176556B1 (en) * 2008-10-31 2012-05-08 Symantec Corporation Methods and systems for tracing web-based attacks
US20100125830A1 (en) 2008-11-20 2010-05-20 Lockheed Martin Corporation Method of Assuring Execution for Safety Computer Code
US7607174B1 (en) * 2008-12-31 2009-10-20 Kaspersky Lab Zao Adaptive security for portable information devices
US8239932B2 (en) * 2009-08-12 2012-08-07 At&T Mobility Ii, Llc. Signal transfer point front end processor
US8271450B2 (en) * 2009-10-01 2012-09-18 Vmware, Inc. Monitoring a data structure in a virtual machine and determining if memory pages containing the data structure are swapped into or out of guest physical memory
US20110219449A1 (en) * 2010-03-04 2011-09-08 St Neitzel Michael Malware detection method, system and computer program product
US9135443B2 (en) 2010-05-06 2015-09-15 Mcafee, Inc. Identifying malicious threads
US9536089B2 (en) 2010-09-02 2017-01-03 Mcafee, Inc. Atomic detection and repair of kernel memory
US8875286B2 (en) * 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
US20120222116A1 (en) 2011-02-25 2012-08-30 Websense, Inc. System and method for detecting web browser attacks
RU2454705C1 (ru) * 2011-04-19 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты компьютерного устройства от вредоносных объектов, использующих сложные схемы заражения
US8042186B1 (en) 2011-04-28 2011-10-18 Kaspersky Lab Zao System and method for detection of complex malware
FR2974919B1 (fr) 2011-05-04 2013-12-13 St Microelectronics Rousset Protection d'une memoire volatile contre des virus par changement d'instructions
RU2514140C1 (ru) * 2012-09-28 2014-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
US8925076B2 (en) * 2012-12-11 2014-12-30 Kaspersky Lab Zao Application-specific re-adjustment of computer security settings
US9560014B2 (en) * 2013-01-23 2017-01-31 Mcafee, Inc. System and method for an endpoint hardware assisted network firewall in a security environment
US20140298462A1 (en) * 2013-03-29 2014-10-02 Sky Socket, Llc Restricted Software Automated Compliance

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2628920C2 (ru) * 2015-03-31 2017-08-22 Закрытое акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносных сборок

Also Published As

Publication number Publication date
US9336390B2 (en) 2016-05-10
US20140325650A1 (en) 2014-10-30
RU2531861C1 (ru) 2014-10-27
CN103886252B (zh) 2017-01-18
CN103886252A (zh) 2014-06-25

Similar Documents

Publication Publication Date Title
RU2013119285A (ru) Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса
US11568042B2 (en) System and methods for sandboxed malware analysis and automated patch development, deployment and validation
US11811796B2 (en) Indicator of compromise calculation system
US10445502B1 (en) Susceptible environment detection system
US9661003B2 (en) System and method for forensic cyber adversary profiling, attribution and attack identification
US20210256528A1 (en) Automated cloud security computer system for proactive risk detection and adaptive response to risks and method of using same
US11323453B2 (en) Data processing method, device, access control system, and storage media
US10666672B2 (en) Collecting domain name system traffic
US10216934B2 (en) Inferential exploit attempt detection
TW202107312A (zh) 資料處理方法、設備及儲存媒介
EP3270319B1 (en) Method and apparatus for generating dynamic security module
CN109818937A (zh) 针对安卓权限的控制方法、装置、及存储介质、电子装置
RU2013136976A (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
RU2015136264A (ru) Способ ведения базы данных и соответствующий сервер
RU2653241C1 (ru) Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом
US20170034091A1 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
WO2016073457A3 (en) Identifying a potential ddos attack using statistical analysis
US20230306114A1 (en) Method and system for automatically generating malware signature
US10142359B1 (en) System and method for identifying security entities in a computing environment
KR20120072120A (ko) 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
RU2012141466A (ru) Система и способ анализа событий запуска файлов для определения рейтинга их безопасности
US20190190930A1 (en) Method and System For Detecting Movement of Malware and Other Potential Threats
CN113965406A (zh) 网络阻断方法、装置、电子装置和存储介质
CN105323117A (zh) 应用识别方法、装置、系统与应用服务器
KR102521677B1 (ko) 피싱 피해 모니터링 시스템 및 그 방법