RU2014121249A - Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга - Google Patents

Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга Download PDF

Info

Publication number
RU2014121249A
RU2014121249A RU2014121249/08A RU2014121249A RU2014121249A RU 2014121249 A RU2014121249 A RU 2014121249A RU 2014121249/08 A RU2014121249/08 A RU 2014121249/08A RU 2014121249 A RU2014121249 A RU 2014121249A RU 2014121249 A RU2014121249 A RU 2014121249A
Authority
RU
Russia
Prior art keywords
target
hashes
computer system
hash
server
Prior art date
Application number
RU2014121249/08A
Other languages
English (en)
Other versions
RU2607231C2 (ru
Inventor
И. Влад ТОФАН
В. Сорин ДУДЯ
Д. Вьорел КАНЖА
Original Assignee
БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД filed Critical БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Publication of RU2014121249A publication Critical patent/RU2014121249A/ru
Application granted granted Critical
Publication of RU2607231C2 publication Critical patent/RU2607231C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

1. Способ, включающий в себя:выполнение в клиентской компьютерной системе начального сканирования множества целевых объектов клиентской компьютерной системы на наличие вредоносных программ; ив ответ на предварительное определение начальным сканированием на наличие вредоносных программ подозрительности целевого объекта на вредоносность:генерацию в клиентской компьютерной системе множества целевых хешей целевых объектов, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;отправку множества целевых хешей с клиентской компьютерной системы на серверную компьютерную систему, соединенную с клиентской компьютерной системой глобальной вычислительной сетью; иполучение клиентской компьютерной системой от серверной компьютерной системы серверного индикатора, указывающего, является ли целевой объект вредоносным, причем серверный индикатор генерируется серверной компьютерной системой посредством:получения множества ссылочных хешей ссылочного объекта для по меньшей мере одного целевого хеша из множества целевых хешей, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и, если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и,если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного.2. Способ по п. 1, в котором генерация с

Claims (31)

1. Способ, включающий в себя:
выполнение в клиентской компьютерной системе начального сканирования множества целевых объектов клиентской компьютерной системы на наличие вредоносных программ; и
в ответ на предварительное определение начальным сканированием на наличие вредоносных программ подозрительности целевого объекта на вредоносность:
генерацию в клиентской компьютерной системе множества целевых хешей целевых объектов, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
отправку множества целевых хешей с клиентской компьютерной системы на серверную компьютерную систему, соединенную с клиентской компьютерной системой глобальной вычислительной сетью; и
получение клиентской компьютерной системой от серверной компьютерной системы серверного индикатора, указывающего, является ли целевой объект вредоносным, причем серверный индикатор генерируется серверной компьютерной системой посредством:
получения множества ссылочных хешей ссылочного объекта для по меньшей мере одного целевого хеша из множества целевых хешей, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и, если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и,
если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного.
2. Способ по п. 1, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, то генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта; и
сравнение отфильтрованного набора целевых хешей с базой данных хешей, идентифицирующих вредоносные программы и специфичных для вредоносных программ.
3. Способ по п. 1, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта; и
сравнение отфильтрованного набора целевых хешей с базой данных хешей детектирования эпидемии, специфичных для неизвестных объектов, сообщения о которых получены в течение заданного промежутка времени от множества отдельных клиентских компьютерных систем, соединенных с серверной компьютерной системой.
4. Способ, включающий в себя:
получение серверной компьютерной системой множества целевых хешей целевого объекта клиентской компьютерной системы, соединенной с серверной компьютерной системой глобальной вычислительной сетью, причем множество целевых хешей генерируют в клиентской компьютерной системе в ответ на предварительное определение клиентской компьютерной системой подозрительности целевого объекта на вредоносность, при этом предварительное определение происходит в результате начального сканирования на наличие вредоносных программ множества целевых объектов клиентской компьютерной системы;
генерацию на серверной компьютерной системе серверного индикатора, указывающего, является ли целевой объект вредоносным, посредством:
получения множества ссылочных хешей ссылочного объекта для по меньшей мере одного целевого хеша из множества целевых хешей, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и, если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, и
если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного; и
отправку клиентской компьютерной системе серверного индикатора, указывающего, является ли целевой объект вредоносным.
5. Способ по п. 4, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта;
и сравнение отфильтрованного набора целевых хешей с базой данных хешей, идентифицирующих вредоносные программы и специфичных для вредоносных программ.
6. Способ по п. 4, в котором генерация серверного индикатора серверной компьютерной системой включает в себя:
если показатель подобия не превышает заданного порогового значения, генерацию отфильтрованного набора целевых хешей целевого объекта путем фильтрации всех целевых хешей, появляющихся в базе данных чистых хешей, из множества целевых хешей целевого объекта; и
сравнение отфильтрованного набора целевых хешей с базой данных хешей детектирования эпидемии, специфичных для неизвестных объектов, сообщения о которых получены в течение заданного промежутка времени от множества отдельных клиентских компьютерных систем, соединенных с серверной компьютерной системой.
7. Способ, включающий в себя:
получение в серверной компьютерной системе множества целевых хешей целевого объекта, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
использование для по меньшей мере одного целевого хеша из множества целевых хешей серверной вычислительной системы для:
получения множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и,
если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей;
и, если показатель подобия превышает заданное пороговое значение, использование серверной вычислительной системы для маркирования целевого объекта как невредоносного.
8. Способ по п. 7, в котором целевой хеш содержит хеш шаблона кода операции, причем шаблон кода операции содержит последовательность индикаторов инструкции, каждый из которых указывает на процессорную инструкцию отдельного блока кода.
9. Способ по п. 7, в котором последовательность процессорных инструкций содержит от 5 до 50 идущих подряд процессорных инструкций.
10. Способ по п. 9, в котором последовательность процессорных инструкций содержит от 5 до 15 идущих подряд процессорных инструкций.
11. Способ по п. 7, в котором последовательность процессорных инструкций начинается с инструкции CALL.
12. Способ по п. 7, дополнительно включающий в себя:
выполнение процедуры нормализации кода для целевого объекта для создания нормализованного целевого объекта, причем каждый отдельный блок кода содержит последовательность машинных команд нормализованного целевого объекта; и
применение к отдельному блоку кода хеширующей функции для создания целевого хеша.
13. Способ по п. 7, в котором показатель подобия определяют в виде функции
C/max(NT, NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, a ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
14. Способ по п. 7, в котором показатель подобия определяют в виде функции
C/(NT+NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, a ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
15. Способ по п. 7, в котором показатель подобия определяют в виде функции
C/NT+C/NR,
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, a ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
16. Способ по п. 7, в котором целевой объект представляет собой компьютерный файл.
17. Способ по п. 7, в котором целевой объект представляет собой компьютерный процесс.
18. Компьютерная система, содержащая по меньшей мере процессор, запрограммированный для:
получения множества целевых хешей, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
для по меньшей мере одного целевого хеша из множества целевых хешей:
получения множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и
если множество целевых хешей не идентично множеству ссылочных хешей, определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и
если показатель подобия превышает заданное пороговое значение, маркирования целевого объекта как невредоносного.
19. Система по п. 18, в которой целевой хеш содержит хеш шаблона кода операции, причем шаблон кода операции содержит последовательность индикаторов инструкции, каждый из которых указывает на процессорную инструкцию отдельного блока кода.
20. Система по п. 18, в которой последовательность процессорных инструкций содержит от 5 до 50 идущих подряд процессорных инструкций.
21. Система по п. 20, в которой последовательность процессорных инструкций содержит от 5 до 15 идущих подряд процессорных инструкций.
22. Система по п. 18, в которой последовательность процессорных инструкций начинается с инструкции CALL.
23. Система по п. 18, в которой процессор дополнительно запрограммирован для:
выполнения процедуры нормализации кода для целевого объекта для создания нормализованного целевого объекта, причем каждый отдельный блок кода содержит последовательность машинных команд нормализованного целевого объекта; и
применения хеширующей функции к отдельному блоку кода для создания целевого хеша.
24. Система по п. 18, в которой показатель подобия определяется в виде функции
C/max(NT, NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, а ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
25. Система по п. 18, в которой показатель подобия определяется в виде функции
C/(NT+NR),
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, а ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
26. Система по п. 18, в которой показатель подобия определяется в виде функции
C/ΝT+C/NR,
где С обозначает количество хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей, а ΝT и NR обозначают соответственно количество элементов множества целевых хешей и количество элементов множества ссылочных хешей.
27. Система по п. 18, в которой целевой объект представляет собой компьютерный файл.
28. Система по п. 18, в которой целевой объект представляет собой компьютерный процесс.
29. Компьютерная система, содержащая:
средство для получения множества целевых хешей, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
средство для получения множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно выбранному целевому хешу множества целевых хешей из набора объектов, занесенных в вайтлист;
средство для определения показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и
средство для маркирования целевого объекта как невредоносного согласно показателю подобия.
30. Постоянный машиночитаемый носитель данных, кодирующий инструкции, которые при их выполнении в процессоре обеспечивают выполнение процессором следующих этапов:
получение множества целевых хешей, причем каждый целевой хеш представляет отдельный блок кода целевого объекта, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
для по меньшей мере одного целевого хеша из множества целевых хешей:
получение множества ссылочных хешей ссылочного объекта, причем ссылочный объект выбирают согласно целевому хешу из набора объектов, занесенных в вайтлист, и
если множество целевых хешей не идентично множеству ссылочных хешей, то определение показателя подобия согласно количеству хешей, общих как для множества целевых хешей, так и для множества ссылочных хешей; и,
если показатель подобия превышает заданное пороговое значение, маркирование целевого объекта как невредоносного.
31. Способ, включающий в себя:
получение в серверной компьютерной системе множества целевых хешей, причем каждый целевой хеш представляет отдельный блок данных целевого объекта клиентской компьютерной системы, соединенной с серверной компьютерной системой, при этом каждый отдельный блок кода содержит последовательность процессорных инструкций целевого объекта;
использование в ответ на получение множества целевых хешей серверной компьютерной системы для получения множества ссылочных хешей, представляющих объект данных, занесенный в вайтлист; и
маркирование целевого объекта как невредоносного в ответ на определение неидентичности множества целевых хешей множеству ссылочных хешей, а также в ответ на определение совместного использования большинства элементов множеством целевых хешей и множеством ссылочных хешей.
RU2014121249A 2011-11-02 2012-09-05 Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга RU2607231C2 (ru)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201161554859P 2011-11-02 2011-11-02
US61/554,859 2011-11-02
US13/312,686 US8584235B2 (en) 2011-11-02 2011-12-06 Fuzzy whitelisting anti-malware systems and methods
US13/312,686 2011-12-06
PCT/RO2012/000020 WO2013089576A1 (en) 2011-11-02 2012-09-05 Fuzzy whitelisting anti-malware systems and methods

Publications (2)

Publication Number Publication Date
RU2014121249A true RU2014121249A (ru) 2015-12-10
RU2607231C2 RU2607231C2 (ru) 2017-01-10

Family

ID=48173895

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014121249A RU2607231C2 (ru) 2011-11-02 2012-09-05 Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга

Country Status (12)

Country Link
US (3) US8584235B2 (ru)
EP (1) EP2774076B8 (ru)
JP (1) JP6188704B2 (ru)
KR (1) KR101693370B1 (ru)
CN (1) CN104025107B (ru)
AU (1) AU2012353035B2 (ru)
CA (1) CA2854433C (ru)
ES (1) ES2685662T3 (ru)
IL (1) IL232437A (ru)
RU (1) RU2607231C2 (ru)
SG (1) SG11201401975PA (ru)
WO (1) WO2013089576A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2662391C1 (ru) * 2017-05-05 2018-07-25 Илья Самуилович Рабинович Система и способ проверки веб-ресурсов на наличие вредоносных вставок

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8732825B2 (en) * 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
CN103843003B (zh) * 2011-07-08 2016-06-08 Uab研究基金会 识别网络钓鱼网站的方法
US20150020203A1 (en) 2011-09-19 2015-01-15 Beijing Qihoo Technology Company Limited Method and device for processing computer viruses
WO2013063474A1 (en) 2011-10-28 2013-05-02 Scargo, Inc. Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
KR101908944B1 (ko) * 2011-12-13 2018-10-18 삼성전자주식회사 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법
US10409984B1 (en) * 2012-06-15 2019-09-10 Square, Inc. Hierarchical data security measures for a mobile device
US9146767B2 (en) * 2012-06-19 2015-09-29 Raytheon Company Secure cloud hypervisor monitor
US9792436B1 (en) * 2013-04-29 2017-10-17 Symantec Corporation Techniques for remediating an infected file
US9270467B1 (en) * 2013-05-16 2016-02-23 Symantec Corporation Systems and methods for trust propagation of signed files across devices
US9075989B2 (en) 2013-07-11 2015-07-07 Symantec Corporation Identifying misuse of legitimate objects
US9843622B2 (en) * 2013-09-24 2017-12-12 Mcafee, Llc Adaptive and recursive filtering for sample submission
US10073973B2 (en) * 2013-09-25 2018-09-11 Mitsubishi Electric Corporation Process testing apparatus, computer-readable medium, and process testing method
WO2015047432A1 (en) * 2013-09-27 2015-04-02 Mcafee, Inc. Digital protection that travels with data
US9294501B2 (en) * 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US9756074B2 (en) * 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US20150186649A1 (en) * 2013-12-31 2015-07-02 Cincinnati Bell, Inc. Function Fingerprinting
US20150220850A1 (en) * 2014-02-06 2015-08-06 SparkCognition, Inc. System and Method for Generation of a Heuristic
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9578053B2 (en) 2014-04-10 2017-02-21 SparkCognition, Inc. Systems and methods for using cognitive fingerprints
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
KR101649909B1 (ko) * 2014-09-25 2016-08-22 한국전자통신연구원 가상 머신 취약점 점검과 복구 방법 및 장치
US9361458B1 (en) * 2014-10-08 2016-06-07 Trend Micro Incorporated Locality-sensitive hash-based detection of malicious codes
US9805099B2 (en) * 2014-10-30 2017-10-31 The Johns Hopkins University Apparatus and method for efficient identification of code similarity
US9519780B1 (en) * 2014-12-15 2016-12-13 Symantec Corporation Systems and methods for identifying malware
US9838418B1 (en) * 2015-03-16 2017-12-05 Synack, Inc. Detecting malware in mixed content files
WO2016167801A1 (en) 2015-04-17 2016-10-20 Hewlett Packard Enterprise Development Lp Firmware map data
US9639715B2 (en) 2015-04-27 2017-05-02 Microsoft Technology Licensing, Llc Protecting user identifiable information in the transfer of telemetry data
US10733594B1 (en) 2015-05-11 2020-08-04 Square, Inc. Data security measures for mobile devices
US20160335432A1 (en) * 2015-05-17 2016-11-17 Bitdefender IPR Management Ltd. Cascading Classifiers For Computer Security Applications
RU2622626C2 (ru) * 2015-09-30 2017-06-16 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения фишинговых сценариев
RU2606564C1 (ru) * 2015-09-30 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ блокировки выполнения сценариев
US9858410B2 (en) * 2015-10-26 2018-01-02 Symantec Corporation Techniques for automated application analysis
WO2017073089A1 (ja) * 2015-10-27 2017-05-04 アラクサラネットワークス株式会社 通信装置及びシステム及び方法
US10963565B1 (en) 2015-10-29 2021-03-30 Palo Alto Networks, Inc. Integrated application analysis and endpoint protection
EP3391274B1 (en) * 2015-12-19 2019-10-02 Bitdefender IPR Management Ltd. Dual memory introspection for securing multiple network endpoints
JP2019505943A (ja) 2016-02-23 2019-02-28 カーボン ブラック, インコーポレイテッド サイバーセキュリティシステムおよび技術
US10289843B2 (en) * 2016-04-06 2019-05-14 Nec Corporation Extraction and comparison of hybrid program binary features
WO2017187520A1 (ja) * 2016-04-26 2017-11-02 三菱電機株式会社 侵入検知装置、侵入検知方法及び侵入検知プログラム
US10373167B2 (en) 2016-06-30 2019-08-06 Square, Inc. Logical validation of devices against fraud
US10546302B2 (en) * 2016-06-30 2020-01-28 Square, Inc. Logical validation of devices against fraud and tampering
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
US10356113B2 (en) * 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior
RU2649793C2 (ru) 2016-08-03 2018-04-04 ООО "Группа АйБи" Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
US10162967B1 (en) * 2016-08-17 2018-12-25 Trend Micro Incorporated Methods and systems for identifying legitimate computer files
US10372909B2 (en) * 2016-08-19 2019-08-06 Hewlett Packard Enterprise Development Lp Determining whether process is infected with malware
RU2634209C1 (ru) 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10491627B1 (en) * 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
GB2555859B (en) * 2016-11-15 2020-08-05 F Secure Corp Remote malware scanning
US10721212B2 (en) * 2016-12-19 2020-07-21 General Electric Company Network policy update with operational technology
RU2671991C2 (ru) 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" Система и способ сбора информации для обнаружения фишинга
RU2637477C1 (ru) 2016-12-29 2017-12-04 Общество с ограниченной ответственностью "Траст" Система и способ обнаружения фишинговых веб-страниц
US10783246B2 (en) 2017-01-31 2020-09-22 Hewlett Packard Enterprise Development Lp Comparing structural information of a snapshot of system memory
US10496993B1 (en) 2017-02-15 2019-12-03 Square, Inc. DNS-based device geolocation
CN107341169B (zh) * 2017-02-17 2020-02-11 武汉大学 一种基于信息检索的大规模软件信息站标签推荐方法
RU2651196C1 (ru) * 2017-06-16 2018-04-18 Акционерное общество "Лаборатория Касперского" Способ обнаружения аномальных событий по популярности свертки события
US10552308B1 (en) 2017-06-23 2020-02-04 Square, Inc. Analyzing attributes of memory mappings to identify processes running on a device
US10902124B2 (en) 2017-09-15 2021-01-26 Webroot Inc. Real-time JavaScript classifier
RU2689816C2 (ru) 2017-11-21 2019-05-29 ООО "Группа АйБи" Способ для классифицирования последовательности действий пользователя (варианты)
WO2019105571A1 (en) * 2017-12-01 2019-06-06 Huawei Technologies Co., Ltd. Secure provisioning of data to client device
US10715536B2 (en) 2017-12-29 2020-07-14 Square, Inc. Logical validation of devices against fraud and tampering
RU2677361C1 (ru) * 2018-01-17 2019-01-16 Общество с ограниченной ответственностью "Траст" Способ и система децентрализованной идентификации вредоносных программ
RU2676247C1 (ru) 2018-01-17 2018-12-26 Общество С Ограниченной Ответственностью "Группа Айби" Способ и компьютерное устройство для кластеризации веб-ресурсов
RU2680736C1 (ru) 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Сервер и способ для определения вредоносных файлов в сетевом трафике
RU2677368C1 (ru) 2018-01-17 2019-01-16 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система для автоматического определения нечетких дубликатов видеоконтента
RU2668710C1 (ru) 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов
RU2708356C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ двухэтапной классификации файлов
RU2701842C1 (ru) * 2018-06-29 2019-10-01 Акционерное общество "Лаборатория Касперского" Способ формирования запроса информации о файле для осуществления антивирусной проверки и система для реализации способа (варианты)
SG11202102264QA (en) * 2018-09-11 2021-04-29 Visa Int Service Ass System, method, and computer program product for fraud management with a shared hash map
US11507958B1 (en) 2018-09-26 2022-11-22 Block, Inc. Trust-based security for transaction payments
US11494762B1 (en) 2018-09-26 2022-11-08 Block, Inc. Device driver for contactless payments
RU2708508C1 (ru) 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями
RU2701040C1 (ru) 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
RU2739865C2 (ru) * 2018-12-28 2020-12-29 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносного файла
SG11202101624WA (en) 2019-02-27 2021-03-30 Group Ib Ltd Method and system for user identification by keystroke dynamics
US10992703B2 (en) * 2019-03-04 2021-04-27 Malwarebytes Inc. Facet whitelisting in anomaly detection
CN110311930B (zh) * 2019-08-01 2021-09-28 杭州安恒信息技术股份有限公司 远控回连行为的识别方法、装置及电子设备
WO2021038705A1 (ja) * 2019-08-27 2021-03-04 日本電気株式会社 バックドア検査装置、バックドア検査方法、及び非一時的なコンピュータ可読媒体
US11588646B2 (en) * 2019-09-05 2023-02-21 Cisco Technology, Inc. Identity-based application and file verification
RU2728498C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его исходному коду
RU2728497C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его машинному коду
RU2743974C1 (ru) 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
SG10202001963TA (en) 2020-03-04 2021-10-28 Group Ib Global Private Ltd System and method for brand protection based on the search results
US11487876B1 (en) * 2020-04-06 2022-11-01 Trend Micro Inc. Robust whitelisting of legitimate files using similarity score and suspiciousness score
US20230300114A1 (en) * 2020-04-21 2023-09-21 Zscaler, Inc. Endpoint Data Loss Prevention
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
RU2743619C1 (ru) 2020-08-06 2021-02-20 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система генерации списка индикаторов компрометации
US20220129417A1 (en) * 2020-10-22 2022-04-28 Google Llc Code Similarity Search
US11720674B2 (en) * 2021-01-28 2023-08-08 Northrop Grumman Systems Corporation Systems and methods for malware detection
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
RU2769075C1 (ru) 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов
US11531675B1 (en) * 2021-07-19 2022-12-20 Oracle International Corporation Techniques for linking data to provide improved searching capabilities
JP7494150B2 (ja) 2021-07-27 2024-06-03 Kddi株式会社 検証装置、検証方法及び検証プログラム
US12007969B2 (en) * 2022-08-11 2024-06-11 Saudi Arabian Oil Company Automatic computer data deduplication process for application whitelisting system

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US7367056B1 (en) 2002-06-04 2008-04-29 Symantec Corporation Countering malicious code infections to computer files that have been infected more than once
US7478431B1 (en) 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
JP4297345B2 (ja) 2004-01-14 2009-07-15 Kddi株式会社 マスメイル検出方式およびメイルサーバ
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
WO2006101549A2 (en) * 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US7613701B2 (en) * 2004-12-22 2009-11-03 International Business Machines Corporation Matching of complex nested objects by multilevel hashing
US7577848B2 (en) 2005-01-18 2009-08-18 Microsoft Corporation Systems and methods for validating executable file integrity using partial image hashes
US7873947B1 (en) 2005-03-17 2011-01-18 Arun Lakhotia Phylogeny generation
US8392996B2 (en) 2006-08-08 2013-03-05 Symantec Corporation Malicious software detection
MX345979B (es) 2006-10-31 2017-02-24 Tti Invent C Llc Localizacion de virus usando aplicación de funcion hash criptografica.
US9021590B2 (en) 2007-02-28 2015-04-28 Microsoft Technology Licensing, Llc Spyware detection mechanism
US8312546B2 (en) 2007-04-23 2012-11-13 Mcafee, Inc. Systems, apparatus, and methods for detecting malware
US7854002B2 (en) 2007-04-30 2010-12-14 Microsoft Corporation Pattern matching for spyware detection
US8214895B2 (en) * 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US8353041B2 (en) * 2008-05-16 2013-01-08 Symantec Corporation Secure application streaming
US8732825B2 (en) 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US8364123B2 (en) * 2009-02-25 2013-01-29 Apple Inc. Managing notification messages
CN101350822B (zh) * 2008-09-08 2011-06-15 南开大学 一种Internet恶意代码的发现和追踪方法
US20100088745A1 (en) 2008-10-06 2010-04-08 Fujitsu Limited Method for checking the integrity of large data items rapidly
US8401309B2 (en) * 2008-12-30 2013-03-19 International Business Machines Corporation Security screening image analysis simplification through object pattern identification
JP2010217950A (ja) * 2009-03-13 2010-09-30 Nec Corp 開発支援システム、開発支援方法及び開発支援プログラム
EP2443580A1 (en) * 2009-05-26 2012-04-25 Websense, Inc. Systems and methods for efficeint detection of fingerprinted data and information
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8484152B2 (en) 2009-06-26 2013-07-09 Hbgary, Inc. Fuzzy hash algorithm
GB2471716A (en) * 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
US8566943B2 (en) * 2009-10-01 2013-10-22 Kaspersky Lab, Zao Asynchronous processing of events for malware detection
US8751808B2 (en) * 2009-11-12 2014-06-10 Roy Gelbard Method and system for sharing trusted contact information
US9104872B2 (en) * 2010-01-28 2015-08-11 Bank Of America Corporation Memory whitelisting
CN103078864B (zh) * 2010-08-18 2015-11-25 北京奇虎科技有限公司 一种基于云安全的主动防御文件修复方法
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2662391C1 (ru) * 2017-05-05 2018-07-25 Илья Самуилович Рабинович Система и способ проверки веб-ресурсов на наличие вредоносных вставок

Also Published As

Publication number Publication date
US20130111591A1 (en) 2013-05-02
EP2774076B8 (en) 2018-08-29
AU2012353035A1 (en) 2014-05-29
KR101693370B1 (ko) 2017-01-17
CN104025107B (zh) 2017-02-22
EP2774076A1 (en) 2014-09-10
ES2685662T3 (es) 2018-10-10
JP6188704B2 (ja) 2017-08-30
US20140068772A1 (en) 2014-03-06
US20150326585A1 (en) 2015-11-12
JP2014534531A (ja) 2014-12-18
IL232437A0 (en) 2014-06-30
SG11201401975PA (en) 2014-09-26
CA2854433A1 (en) 2013-06-20
US8584235B2 (en) 2013-11-12
US9118703B2 (en) 2015-08-25
US9479520B2 (en) 2016-10-25
KR20140089567A (ko) 2014-07-15
WO2013089576A1 (en) 2013-06-20
CN104025107A (zh) 2014-09-03
IL232437A (en) 2016-12-29
EP2774076B1 (en) 2018-06-20
AU2012353035B2 (en) 2017-06-01
CA2854433C (en) 2018-10-09
RU2607231C2 (ru) 2017-01-10

Similar Documents

Publication Publication Date Title
RU2014121249A (ru) Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга
CN106790186B (zh) 基于多源异常事件关联分析的多步攻击检测方法
Crussell et al. Andarwin: Scalable detection of semantically similar android applications
US9135443B2 (en) Identifying malicious threads
TWI515598B (zh) 產生純化惡意程式的方法、偵測惡意程式之方法及其系統
Crussell et al. Scalable semantics-based detection of similar android applications
CN106657057B (zh) 反爬虫系统及方法
US8863284B1 (en) System and method for determining a security status of potentially malicious files
RU2015136264A (ru) Способ ведения базы данных и соответствующий сервер
US10678914B2 (en) Virus program detection method, terminal, and computer readable storage medium
US11470097B2 (en) Profile generation device, attack detection device, profile generation method, and profile generation computer program
RU2015141552A (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
Wang et al. A novel hybrid mobile malware detection system integrating anomaly detection with misuse detection
MX2009004666A (es) Localizacion de virus usando aplicación de funcion hash criptografica.
WO2017012241A1 (zh) 文件的检测方法、装置、设备及非易失性计算机存储介质
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
RU2012156434A (ru) Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу
Fan et al. Poster: Accuracy vs. time cost: Detecting Android malware through pareto ensemble pruning
US20220292201A1 (en) Backdoor inspection apparatus, backdoor inspection method, and non-transitory computer readable medium
CN109145589A (zh) 应用程序获取方法及装置
CN105447348B (zh) 一种显示窗口的隐藏方法、装置及用户终端
US10909243B2 (en) Normalizing entry point instructions in executable program files
CN107203720B (zh) 风险值计算方法及装置
KR102152317B1 (ko) 기탐지된 악성파일의 IoC를 이용한 악성의심파일의 TTPs를 추출하는 방법
CN113542200B (zh) 风险控制方法、装置和存储介质

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner