RU2014121249A - Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга - Google Patents
Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга Download PDFInfo
- Publication number
- RU2014121249A RU2014121249A RU2014121249/08A RU2014121249A RU2014121249A RU 2014121249 A RU2014121249 A RU 2014121249A RU 2014121249/08 A RU2014121249/08 A RU 2014121249/08A RU 2014121249 A RU2014121249 A RU 2014121249A RU 2014121249 A RU2014121249 A RU 2014121249A
- Authority
- RU
- Russia
- Prior art keywords
- target
- hashes
- computer system
- hash
- server
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
1. Способ, включающий в себя:выполнение в клиентской компьютерной системе начального сканирования множества целевых объектов клиентской компьютерной системы на наличие вредоносных программ; ив ответ на предварительное определение начальным сканированием на наличие вредоносных программ подозрительности целевого объекта на вредоносность:генерацию в клиентской компьютерной системе множества целевых хешей целевых объектов, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;отправку множества целевых хешей с клиентской компьютерной системы на серверную компьютерную систему, соединенную с клиентской компьютерной системой глобальной вычислительной сетью; иполучение клиентской компьютерной системой от серверной компьютерной системы серверного индикатора, указывающего, является ли целевой объект вредоносным, причем серверный индикатор генерируется серверной компьютерной системой посредством:получения множества ссылочных хешей ссылочного объекта для по меньшей мере одного целевого хеша из множества целевых хешей, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и, если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и,если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного.2. Способ по п. 1, в котором генерация с
Claims (31)
1. Способ, включающий в себя:
выполнение в клиентской компьютерной системе начального сканирования множества целевых объектов клиентской компьютерной системы на наличие вредоносных программ; и
в ответ на предварительное определение начальным сканированием на наличие вредоносных программ подозрительности целевого объекта на вредоносность:
генерацию в клиентской компьютерной системе множества целевых хешей целевых объектов, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
отправку множества целевых хешей с клиентской компьютерной системы на серверную компьютерную систему, соединенную с клиентской компьютерной системой глобальной вычислительной сетью; и
получение клиентской компьютерной системой от серверной компьютерной системы серверного индикатора, указывающего, является ли целевой объект вредоносным, причем серверный индикатор генерируется серверной компьютерной системой посредством:
получения множества ссылочных хешей ссылочного объекта для по меньшей мере одного целевого хеша из множества целевых хешей, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и, если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и,
если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного.
2. Способ по п. 1, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, то генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта; и
сравнение отфильтрованного набора целевых хешей с базой данных хешей, идентифицирующих вредоносные программы и специфичных для вредоносных программ.
3. Способ по п. 1, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта; и
сравнение отфильтрованного набора целевых хешей с базой данных хешей детектирования эпидемии, специфичных для неизвестных объектов, сообщения о которых получены в течение заданного промежутка времени от множества отдельных клиентских компьютерных систем, соединенных с серверной компьютерной системой.
4. Способ, включающий в себя:
получение серверной компьютерной системой множества целевых хешей целевого объекта клиентской компьютерной системы, соединенной с серверной компьютерной системой глобальной вычислительной сетью, причем множество целевых хешей генерируют в клиентской компьютерной системе в ответ на предварительное определение клиентской компьютерной системой подозрительности целевого объекта на вредоносность, при этом предварительное определение происходит в результате начального сканирования на наличие вредоносных программ множества целевых объектов клиентской компьютерной системы;
генерацию на серверной компьютерной системе серверного индикатора, указывающего, является ли целевой объект вредоносным, посредством:
получения множества ссылочных хешей ссылочного объекта для по меньшей мере одного целевого хеша из множества целевых хешей, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и, если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, и
если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного; и
отправку клиентской компьютерной системе серверного индикатора, указывающего, является ли целевой объект вредоносным.
5. Способ по п. 4, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта;
и сравнение отфильтрованного набора целевых хешей с базой данных хешей, идентифицирующих вредоносные программы и специфичных для вредоносных программ.
6. Способ по п. 4, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта; и
сравнение отфильтрованного набора целевых хешей с базой данных хешей детектирования эпидемии, специфичных для неизвестных объектов, сообщения о которых получены в течение заданного промежутка времени от множества отдельных клиентских компьютерных систем, соединенных с серверной компьютерной системой.
7. Способ, включающий в себя:
получение в серверной компьютерной системе множества целевых хешей целевого объекта, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
использование для по меньшей мере одного целевого хеша из множества целевых хешей серверной вычислительной системы для:
получения множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и,
если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей;
и, если показатель подобия превышает заданное пороговое значение, использование серверной вычислительной системы для маркирования целевого объекта как невредоносного.
8. Способ по п. 7, в котором целевой хеш содержит хеш шаблона кода операции, причем шаблон кода операции содержит последовательность индикаторов инструкции, каждый из которых указывает на процессорную инструкцию отдельного блока кода.
9. Способ по п. 7, в котором последовательность процессорных инструкций содержит от 5 до 50 идущих подряд процессорных инструкций.
10. Способ по п. 9, в котором последовательность процессорных инструкций содержит от 5 до 15 идущих подряд процессорных инструкций.
11. Способ по п. 7, в котором последовательность процессорных инструкций начинается с инструкции CALL.
12. Способ по п. 7, дополнительно включающий в себя:
выполнение процедуры нормализации кода для целевого объекта для создания нормализованного целевого объекта, причем каждый отдельный блок кода содержит последовательность машинных команд нормализованного целевого объекта; и
применение к отдельному блоку кода хеширующей функции для создания целевого хеша.
13. Способ по п. 7, в котором показатель подобия определяют в виде функции
C/max(NT, NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, a ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
14. Способ по п. 7, в котором показатель подобия определяют в виде функции
C/(NT+NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, a ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
15. Способ по п. 7, в котором показатель подобия определяют в виде функции
C/NT+C/NR,
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, a ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
16. Способ по п. 7, в котором целевой объект представляет собой компьютерный файл.
17. Способ по п. 7, в котором целевой объект представляет собой компьютерный процесс.
18. Компьютерная система, содержащая по меньшей мере процессор, запрограммированный для:
получения множества целевых хешей, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
для по меньшей мере одного целевого хеша из множества целевых хешей:
получения множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и
если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и
если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного.
19. Система по п. 18, в которой целевой хеш содержит хеш шаблона кода операции, причем шаблон кода операции содержит последовательность индикаторов инструкции, каждый из которых указывает на процессорную инструкцию отдельного блока кода.
20. Система по п. 18, в которой последовательность процессорных инструкций содержит от 5 до 50 идущих подряд процессорных инструкций.
21. Система по п. 20, в которой последовательность процессорных инструкций содержит от 5 до 15 идущих подряд процессорных инструкций.
22. Система по п. 18, в которой последовательность процессорных инструкций начинается с инструкции CALL.
23. Система по п. 18, в которой процессор дополнительно запрограммирован для:
выполнения процедуры нормализации кода для целевого объекта для создания нормализованного целевого объекта, причем каждый отдельный блок кода содержит последовательность машинных команд нормализованного целевого объекта; и
применения хеширующей функции к отдельному блоку кода для создания целевого хеша.
24. Система по п. 18, в которой показатель подобия определяется в виде функции
C/max(NT, NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, а ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
25. Система по п. 18, в которой показатель подобия определяется в виде функции
C/(NT+NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, а ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
26. Система по п. 18, в которой показатель подобия определяется в виде функции
C/ΝT+C/NR,
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, а ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
27. Система по п. 18, в которой целевой объект представляет собой компьютерный файл.
28. Система по п. 18, в которой целевой объект представляет собой компьютерный процесс.
29. Компьютерная система, содержащая:
средство для получения множества целевых хешей, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
средство для получения множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно выбранному целевому хешу множества целевых хешей из набора объектов, занесенных в вайтлист;
средство для определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и
средство для маркирования целевого объекта как невредоносного согласно показателю подобия.
30. Постоянный машиночитаемый носитель данных, кодирующий инструкции, которые при их выполнении в процессоре обеспечивают выполнение процессором следующих этапов:
получение множества целевых хешей, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
для по меньшей мере одного целевого хеша из множества целевых хешей:
получение множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и
если множество целевых хешей не идентично множеству ссылочных хешей, то определение показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и,
если показатель подобия превышает заданное пороговое значение, маркирование целевого объекта как невредоносного.
31. Способ, включающий в себя:
получение в серверной компьютерной системе множества целевых хешей, причем каждый целевой хеш представляет отдельный блок данных целевого объекта клиентской компьютерной системы, соединенной с серверной компьютерной системой, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
использование в ответ на получение множества целевых хешей серверной компьютерной системы для получения множества ссылочных хешей, представляющих объект данных, занесенный в вайтлист; и
маркирование целевого объекта как невредоносного в ответ на определение неидентичности множества целевых хешей множеству ссылочных хешей, а также в ответ на определение совместного использования большинства элементов множеством целевых хешей и множеством ссылочных хешей.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161554859P | 2011-11-02 | 2011-11-02 | |
US61/554,859 | 2011-11-02 | ||
US13/312,686 US8584235B2 (en) | 2011-11-02 | 2011-12-06 | Fuzzy whitelisting anti-malware systems and methods |
US13/312,686 | 2011-12-06 | ||
PCT/RO2012/000020 WO2013089576A1 (en) | 2011-11-02 | 2012-09-05 | Fuzzy whitelisting anti-malware systems and methods |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2014121249A true RU2014121249A (ru) | 2015-12-10 |
RU2607231C2 RU2607231C2 (ru) | 2017-01-10 |
Family
ID=48173895
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2014121249A RU2607231C2 (ru) | 2011-11-02 | 2012-09-05 | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга |
Country Status (12)
Country | Link |
---|---|
US (3) | US8584235B2 (ru) |
EP (1) | EP2774076B8 (ru) |
JP (1) | JP6188704B2 (ru) |
KR (1) | KR101693370B1 (ru) |
CN (1) | CN104025107B (ru) |
AU (1) | AU2012353035B2 (ru) |
CA (1) | CA2854433C (ru) |
ES (1) | ES2685662T3 (ru) |
IL (1) | IL232437A (ru) |
RU (1) | RU2607231C2 (ru) |
SG (1) | SG11201401975PA (ru) |
WO (1) | WO2013089576A1 (ru) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2662391C1 (ru) * | 2017-05-05 | 2018-07-25 | Илья Самуилович Рабинович | Система и способ проверки веб-ресурсов на наличие вредоносных вставок |
Families Citing this family (100)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
US9955352B2 (en) | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
US8640245B2 (en) * | 2010-12-24 | 2014-01-28 | Kaspersky Lab, Zao | Optimization of anti-malware processing by automated correction of detection rules |
CN103843003B (zh) * | 2011-07-08 | 2016-06-08 | Uab研究基金会 | 识别网络钓鱼网站的方法 |
US20150020203A1 (en) | 2011-09-19 | 2015-01-15 | Beijing Qihoo Technology Company Limited | Method and device for processing computer viruses |
WO2013063474A1 (en) | 2011-10-28 | 2013-05-02 | Scargo, Inc. | Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
KR101908944B1 (ko) * | 2011-12-13 | 2018-10-18 | 삼성전자주식회사 | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 |
US10409984B1 (en) * | 2012-06-15 | 2019-09-10 | Square, Inc. | Hierarchical data security measures for a mobile device |
US9146767B2 (en) * | 2012-06-19 | 2015-09-29 | Raytheon Company | Secure cloud hypervisor monitor |
US9792436B1 (en) * | 2013-04-29 | 2017-10-17 | Symantec Corporation | Techniques for remediating an infected file |
US9270467B1 (en) * | 2013-05-16 | 2016-02-23 | Symantec Corporation | Systems and methods for trust propagation of signed files across devices |
US9075989B2 (en) | 2013-07-11 | 2015-07-07 | Symantec Corporation | Identifying misuse of legitimate objects |
US9843622B2 (en) * | 2013-09-24 | 2017-12-12 | Mcafee, Llc | Adaptive and recursive filtering for sample submission |
US10073973B2 (en) * | 2013-09-25 | 2018-09-11 | Mitsubishi Electric Corporation | Process testing apparatus, computer-readable medium, and process testing method |
WO2015047432A1 (en) * | 2013-09-27 | 2015-04-02 | Mcafee, Inc. | Digital protection that travels with data |
US9294501B2 (en) * | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
US9756074B2 (en) * | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US20150186649A1 (en) * | 2013-12-31 | 2015-07-02 | Cincinnati Bell, Inc. | Function Fingerprinting |
US20150220850A1 (en) * | 2014-02-06 | 2015-08-06 | SparkCognition, Inc. | System and Method for Generation of a Heuristic |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9578053B2 (en) | 2014-04-10 | 2017-02-21 | SparkCognition, Inc. | Systems and methods for using cognitive fingerprints |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
KR101649909B1 (ko) * | 2014-09-25 | 2016-08-22 | 한국전자통신연구원 | 가상 머신 취약점 점검과 복구 방법 및 장치 |
US9361458B1 (en) * | 2014-10-08 | 2016-06-07 | Trend Micro Incorporated | Locality-sensitive hash-based detection of malicious codes |
US9805099B2 (en) * | 2014-10-30 | 2017-10-31 | The Johns Hopkins University | Apparatus and method for efficient identification of code similarity |
US9519780B1 (en) * | 2014-12-15 | 2016-12-13 | Symantec Corporation | Systems and methods for identifying malware |
US9838418B1 (en) * | 2015-03-16 | 2017-12-05 | Synack, Inc. | Detecting malware in mixed content files |
WO2016167801A1 (en) | 2015-04-17 | 2016-10-20 | Hewlett Packard Enterprise Development Lp | Firmware map data |
US9639715B2 (en) | 2015-04-27 | 2017-05-02 | Microsoft Technology Licensing, Llc | Protecting user identifiable information in the transfer of telemetry data |
US10733594B1 (en) | 2015-05-11 | 2020-08-04 | Square, Inc. | Data security measures for mobile devices |
US20160335432A1 (en) * | 2015-05-17 | 2016-11-17 | Bitdefender IPR Management Ltd. | Cascading Classifiers For Computer Security Applications |
RU2622626C2 (ru) * | 2015-09-30 | 2017-06-16 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения фишинговых сценариев |
RU2606564C1 (ru) * | 2015-09-30 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ блокировки выполнения сценариев |
US9858410B2 (en) * | 2015-10-26 | 2018-01-02 | Symantec Corporation | Techniques for automated application analysis |
WO2017073089A1 (ja) * | 2015-10-27 | 2017-05-04 | アラクサラネットワークス株式会社 | 通信装置及びシステム及び方法 |
US10963565B1 (en) | 2015-10-29 | 2021-03-30 | Palo Alto Networks, Inc. | Integrated application analysis and endpoint protection |
EP3391274B1 (en) * | 2015-12-19 | 2019-10-02 | Bitdefender IPR Management Ltd. | Dual memory introspection for securing multiple network endpoints |
JP2019505943A (ja) | 2016-02-23 | 2019-02-28 | カーボン ブラック, インコーポレイテッド | サイバーセキュリティシステムおよび技術 |
US10289843B2 (en) * | 2016-04-06 | 2019-05-14 | Nec Corporation | Extraction and comparison of hybrid program binary features |
WO2017187520A1 (ja) * | 2016-04-26 | 2017-11-02 | 三菱電機株式会社 | 侵入検知装置、侵入検知方法及び侵入検知プログラム |
US10373167B2 (en) | 2016-06-30 | 2019-08-06 | Square, Inc. | Logical validation of devices against fraud |
US10546302B2 (en) * | 2016-06-30 | 2020-01-28 | Square, Inc. | Logical validation of devices against fraud and tampering |
RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
US10356113B2 (en) * | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
US10162967B1 (en) * | 2016-08-17 | 2018-12-25 | Trend Micro Incorporated | Methods and systems for identifying legitimate computer files |
US10372909B2 (en) * | 2016-08-19 | 2019-08-06 | Hewlett Packard Enterprise Development Lp | Determining whether process is infected with malware |
RU2634209C1 (ru) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
US10491627B1 (en) * | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
GB2555859B (en) * | 2016-11-15 | 2020-08-05 | F Secure Corp | Remote malware scanning |
US10721212B2 (en) * | 2016-12-19 | 2020-07-21 | General Electric Company | Network policy update with operational technology |
RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
US10783246B2 (en) | 2017-01-31 | 2020-09-22 | Hewlett Packard Enterprise Development Lp | Comparing structural information of a snapshot of system memory |
US10496993B1 (en) | 2017-02-15 | 2019-12-03 | Square, Inc. | DNS-based device geolocation |
CN107341169B (zh) * | 2017-02-17 | 2020-02-11 | 武汉大学 | 一种基于信息检索的大规模软件信息站标签推荐方法 |
RU2651196C1 (ru) * | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
US10552308B1 (en) | 2017-06-23 | 2020-02-04 | Square, Inc. | Analyzing attributes of memory mappings to identify processes running on a device |
US10902124B2 (en) | 2017-09-15 | 2021-01-26 | Webroot Inc. | Real-time JavaScript classifier |
RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
WO2019105571A1 (en) * | 2017-12-01 | 2019-06-06 | Huawei Technologies Co., Ltd. | Secure provisioning of data to client device |
US10715536B2 (en) | 2017-12-29 | 2020-07-14 | Square, Inc. | Logical validation of devices against fraud and tampering |
RU2677361C1 (ru) * | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
RU2708356C1 (ru) * | 2018-06-29 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Система и способ двухэтапной классификации файлов |
RU2701842C1 (ru) * | 2018-06-29 | 2019-10-01 | Акционерное общество "Лаборатория Касперского" | Способ формирования запроса информации о файле для осуществления антивирусной проверки и система для реализации способа (варианты) |
SG11202102264QA (en) * | 2018-09-11 | 2021-04-29 | Visa Int Service Ass | System, method, and computer program product for fraud management with a shared hash map |
US11507958B1 (en) | 2018-09-26 | 2022-11-22 | Block, Inc. | Trust-based security for transaction payments |
US11494762B1 (en) | 2018-09-26 | 2022-11-08 | Block, Inc. | Device driver for contactless payments |
RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
RU2739865C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного файла |
SG11202101624WA (en) | 2019-02-27 | 2021-03-30 | Group Ib Ltd | Method and system for user identification by keystroke dynamics |
US10992703B2 (en) * | 2019-03-04 | 2021-04-27 | Malwarebytes Inc. | Facet whitelisting in anomaly detection |
CN110311930B (zh) * | 2019-08-01 | 2021-09-28 | 杭州安恒信息技术股份有限公司 | 远控回连行为的识别方法、装置及电子设备 |
WO2021038705A1 (ja) * | 2019-08-27 | 2021-03-04 | 日本電気株式会社 | バックドア検査装置、バックドア検査方法、及び非一時的なコンピュータ可読媒体 |
US11588646B2 (en) * | 2019-09-05 | 2023-02-21 | Cisco Technology, Inc. | Identity-based application and file verification |
RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
US11487876B1 (en) * | 2020-04-06 | 2022-11-01 | Trend Micro Inc. | Robust whitelisting of legitimate files using similarity score and suspiciousness score |
US20230300114A1 (en) * | 2020-04-21 | 2023-09-21 | Zscaler, Inc. | Endpoint Data Loss Prevention |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
US20220129417A1 (en) * | 2020-10-22 | 2022-04-28 | Google Llc | Code Similarity Search |
US11720674B2 (en) * | 2021-01-28 | 2023-08-08 | Northrop Grumman Systems Corporation | Systems and methods for malware detection |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
RU2769075C1 (ru) | 2021-06-10 | 2022-03-28 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ активного обнаружения вредоносных сетевых ресурсов |
US11531675B1 (en) * | 2021-07-19 | 2022-12-20 | Oracle International Corporation | Techniques for linking data to provide improved searching capabilities |
JP7494150B2 (ja) | 2021-07-27 | 2024-06-03 | Kddi株式会社 | 検証装置、検証方法及び検証プログラム |
US12007969B2 (en) * | 2022-08-11 | 2024-06-11 | Saudi Arabian Oil Company | Automatic computer data deduplication process for application whitelisting system |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US7367056B1 (en) | 2002-06-04 | 2008-04-29 | Symantec Corporation | Countering malicious code infections to computer files that have been infected more than once |
US7478431B1 (en) | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
JP4297345B2 (ja) | 2004-01-14 | 2009-07-15 | Kddi株式会社 | マスメイル検出方式およびメイルサーバ |
US7478429B2 (en) * | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
US10043008B2 (en) * | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
WO2006101549A2 (en) * | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
US7613701B2 (en) * | 2004-12-22 | 2009-11-03 | International Business Machines Corporation | Matching of complex nested objects by multilevel hashing |
US7577848B2 (en) | 2005-01-18 | 2009-08-18 | Microsoft Corporation | Systems and methods for validating executable file integrity using partial image hashes |
US7873947B1 (en) | 2005-03-17 | 2011-01-18 | Arun Lakhotia | Phylogeny generation |
US8392996B2 (en) | 2006-08-08 | 2013-03-05 | Symantec Corporation | Malicious software detection |
MX345979B (es) | 2006-10-31 | 2017-02-24 | Tti Invent C Llc | Localizacion de virus usando aplicación de funcion hash criptografica. |
US9021590B2 (en) | 2007-02-28 | 2015-04-28 | Microsoft Technology Licensing, Llc | Spyware detection mechanism |
US8312546B2 (en) | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
US7854002B2 (en) | 2007-04-30 | 2010-12-14 | Microsoft Corporation | Pattern matching for spyware detection |
US8214895B2 (en) * | 2007-09-26 | 2012-07-03 | Microsoft Corporation | Whitelist and blacklist identification data |
US8353041B2 (en) * | 2008-05-16 | 2013-01-08 | Symantec Corporation | Secure application streaming |
US8732825B2 (en) | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
US8364123B2 (en) * | 2009-02-25 | 2013-01-29 | Apple Inc. | Managing notification messages |
CN101350822B (zh) * | 2008-09-08 | 2011-06-15 | 南开大学 | 一种Internet恶意代码的发现和追踪方法 |
US20100088745A1 (en) | 2008-10-06 | 2010-04-08 | Fujitsu Limited | Method for checking the integrity of large data items rapidly |
US8401309B2 (en) * | 2008-12-30 | 2013-03-19 | International Business Machines Corporation | Security screening image analysis simplification through object pattern identification |
JP2010217950A (ja) * | 2009-03-13 | 2010-09-30 | Nec Corp | 開発支援システム、開発支援方法及び開発支援プログラム |
EP2443580A1 (en) * | 2009-05-26 | 2012-04-25 | Websense, Inc. | Systems and methods for efficeint detection of fingerprinted data and information |
US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
US8484152B2 (en) | 2009-06-26 | 2013-07-09 | Hbgary, Inc. | Fuzzy hash algorithm |
GB2471716A (en) * | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
US8566943B2 (en) * | 2009-10-01 | 2013-10-22 | Kaspersky Lab, Zao | Asynchronous processing of events for malware detection |
US8751808B2 (en) * | 2009-11-12 | 2014-06-10 | Roy Gelbard | Method and system for sharing trusted contact information |
US9104872B2 (en) * | 2010-01-28 | 2015-08-11 | Bank Of America Corporation | Memory whitelisting |
CN103078864B (zh) * | 2010-08-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
-
2011
- 2011-12-06 US US13/312,686 patent/US8584235B2/en active Active
-
2012
- 2012-09-05 JP JP2014539903A patent/JP6188704B2/ja active Active
- 2012-09-05 EP EP12832748.3A patent/EP2774076B8/en active Active
- 2012-09-05 RU RU2014121249A patent/RU2607231C2/ru active
- 2012-09-05 WO PCT/RO2012/000020 patent/WO2013089576A1/en active Application Filing
- 2012-09-05 CA CA2854433A patent/CA2854433C/en active Active
- 2012-09-05 AU AU2012353035A patent/AU2012353035B2/en active Active
- 2012-09-05 KR KR1020147015041A patent/KR101693370B1/ko active IP Right Grant
- 2012-09-05 CN CN201280064362.6A patent/CN104025107B/zh active Active
- 2012-09-05 SG SG11201401975PA patent/SG11201401975PA/en unknown
- 2012-09-05 ES ES12832748.3T patent/ES2685662T3/es active Active
-
2013
- 2013-11-11 US US14/076,466 patent/US9118703B2/en active Active
-
2014
- 2014-05-04 IL IL232437A patent/IL232437A/en active IP Right Grant
-
2015
- 2015-07-23 US US14/807,076 patent/US9479520B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2662391C1 (ru) * | 2017-05-05 | 2018-07-25 | Илья Самуилович Рабинович | Система и способ проверки веб-ресурсов на наличие вредоносных вставок |
Also Published As
Publication number | Publication date |
---|---|
US20130111591A1 (en) | 2013-05-02 |
EP2774076B8 (en) | 2018-08-29 |
AU2012353035A1 (en) | 2014-05-29 |
KR101693370B1 (ko) | 2017-01-17 |
CN104025107B (zh) | 2017-02-22 |
EP2774076A1 (en) | 2014-09-10 |
ES2685662T3 (es) | 2018-10-10 |
JP6188704B2 (ja) | 2017-08-30 |
US20140068772A1 (en) | 2014-03-06 |
US20150326585A1 (en) | 2015-11-12 |
JP2014534531A (ja) | 2014-12-18 |
IL232437A0 (en) | 2014-06-30 |
SG11201401975PA (en) | 2014-09-26 |
CA2854433A1 (en) | 2013-06-20 |
US8584235B2 (en) | 2013-11-12 |
US9118703B2 (en) | 2015-08-25 |
US9479520B2 (en) | 2016-10-25 |
KR20140089567A (ko) | 2014-07-15 |
WO2013089576A1 (en) | 2013-06-20 |
CN104025107A (zh) | 2014-09-03 |
IL232437A (en) | 2016-12-29 |
EP2774076B1 (en) | 2018-06-20 |
AU2012353035B2 (en) | 2017-06-01 |
CA2854433C (en) | 2018-10-09 |
RU2607231C2 (ru) | 2017-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2014121249A (ru) | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга | |
CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
Crussell et al. | Andarwin: Scalable detection of semantically similar android applications | |
US9135443B2 (en) | Identifying malicious threads | |
TWI515598B (zh) | 產生純化惡意程式的方法、偵測惡意程式之方法及其系統 | |
Crussell et al. | Scalable semantics-based detection of similar android applications | |
CN106657057B (zh) | 反爬虫系统及方法 | |
US8863284B1 (en) | System and method for determining a security status of potentially malicious files | |
RU2015136264A (ru) | Способ ведения базы данных и соответствующий сервер | |
US10678914B2 (en) | Virus program detection method, terminal, and computer readable storage medium | |
US11470097B2 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
RU2015141552A (ru) | Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя | |
Wang et al. | A novel hybrid mobile malware detection system integrating anomaly detection with misuse detection | |
MX2009004666A (es) | Localizacion de virus usando aplicación de funcion hash criptografica. | |
WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
JP6174520B2 (ja) | 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム | |
RU2012156434A (ru) | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу | |
Fan et al. | Poster: Accuracy vs. time cost: Detecting Android malware through pareto ensemble pruning | |
US20220292201A1 (en) | Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium | |
CN109145589A (zh) | 应用程序获取方法及装置 | |
CN105447348B (zh) | 一种显示窗口的隐藏方法、装置及用户终端 | |
US10909243B2 (en) | Normalizing entry point instructions in executable program files | |
CN107203720B (zh) | 风险值计算方法及装置 | |
KR102152317B1 (ko) | 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 방법 | |
CN113542200B (zh) | 风险控制方法、装置和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PD4A | Correction of name of patent owner |