RU2015111430A - Система и способ распределенного обнаружения вредоносных объектов - Google Patents
Система и способ распределенного обнаружения вредоносных объектов Download PDFInfo
- Publication number
- RU2015111430A RU2015111430A RU2015111430A RU2015111430A RU2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A
- Authority
- RU
- Russia
- Prior art keywords
- security client
- objects
- malicious
- security
- computing device
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Multi Processors (AREA)
Abstract
1. Способ распределенного обнаружения вредоносных объектов, в котором:a. анализируют при помощи первого клиента безопасности объекты с целью обнаружения вредоносного объекта;b. собирают при помощи первого клиента безопасности информацию об объекте во время проведения анализа;c. запрашивают при помощи первого клиента безопасности проведение анализа объекта вторым клиентом безопасности с использованием собранной ранее информации об объекте, если на этапе анализа, проведенного первым клиентом безопасности, не удалось обнаружить вредоносный объект;d. анализируют при помощи второго клиента безопасности объект с целью обнаружения вредоносного объекта;e. передают при помощи второго клиента безопасности результаты проведенного упомянутым клиентом безопасности анализа, а также по меньшей мере одного средства для устранения вредоносного объекта, если на этапе анализа был обнаружен вредоносный объект, первому клиенту безопасности;f. устраняют при помощи первого клиента безопасности на вычислительном устройстве вредоносный объект при помощи средств для устранения вредоносного объекта, полученных со стороны второго клиента.2. Способ по п. 1, в котором в качестве объекта выступает по крайней мере файл, процесс, участок оперативной памяти вычислительного устройства.3. Способ по п. 1, в котором сбор информации об объекте включает в себя вычисление контрольных сумм объектов и их частей, формирование журнала вызовов системных функций при выполнении программного кода объекта как с использованием эмуляции исполнения, так и во время исполнения на вычислительном устройстве, определение процесса, создавшего и запустившего исполнение
Claims (10)
1. Способ распределенного обнаружения вредоносных объектов, в котором:
a. анализируют при помощи первого клиента безопасности объекты с целью обнаружения вредоносного объекта;
b. собирают при помощи первого клиента безопасности информацию об объекте во время проведения анализа;
c. запрашивают при помощи первого клиента безопасности проведение анализа объекта вторым клиентом безопасности с использованием собранной ранее информации об объекте, если на этапе анализа, проведенного первым клиентом безопасности, не удалось обнаружить вредоносный объект;
d. анализируют при помощи второго клиента безопасности объект с целью обнаружения вредоносного объекта;
e. передают при помощи второго клиента безопасности результаты проведенного упомянутым клиентом безопасности анализа, а также по меньшей мере одного средства для устранения вредоносного объекта, если на этапе анализа был обнаружен вредоносный объект, первому клиенту безопасности;
f. устраняют при помощи первого клиента безопасности на вычислительном устройстве вредоносный объект при помощи средств для устранения вредоносного объекта, полученных со стороны второго клиента.
2. Способ по п. 1, в котором в качестве объекта выступает по крайней мере файл, процесс, участок оперативной памяти вычислительного устройства.
3. Способ по п. 1, в котором сбор информации об объекте включает в себя вычисление контрольных сумм объектов и их частей, формирование журнала вызовов системных функций при выполнении программного кода объекта как с использованием эмуляции исполнения, так и во время исполнения на вычислительном устройстве, определение процесса, создавшего и запустившего исполнение объекта, определение процессов, запущенных объектом, определение сетевого адреса, с которого был загружен объект, определение сетевых адресов, к которым производится доступ со стороны объекта во время исполнения, определение областей памяти, к которым производится доступ со стороны объекта во время исполнения.
4. Способ по п. 1, в котором вторым клиентом безопасности, участвующим во взаимодействии с первым клиентом безопасности, является клиент безопасности, выбранный на основании по меньшей мере географического взаиморасположения клиентов безопасности, пропускной способности канала связи между клиентами безопасности, результатов запросов, ранее обработанных другими клиентами безопасности при помощи первого клиента безопасности.
5. Способ по п. 1, в котором устранение на вычислительном устройстве вредоносных объектов дополнительно включает в себя устранение последствий присутствия упомянутых объектов на вычислительном устройстве.
6. Система распределенного обнаружения вредоносных объектов, которая содержит:
a. первый клиент безопасности, предназначенный для анализа объектов с целью обнаружения вредоносных объектов, сбора информации о объектах во время проведения анализа, устранения на вычислительном устройстве вредоносных объектов, запроса проведения анализа объектов второму клиенту безопасности с целью обнаружения вредоносных объектов;
b. второй клиент безопасности, предназначенный для анализа объектов, запрошенных со стороны первого клиента безопасности, с использованием полученной со стороны первого клиента безопасности информации об объектах с целью обнаружения вредоносных объектов, передачи результатов проведенного анализа, а также для передачи по меньшей мере одного средства для устранения на вычислительном устройстве вредоносных объектов;
при этом первый клиент безопасности также способен использовать переданные со стороны второго клиента безопасности средства для устранения на вычислительном устройстве вредоносных объектов.
7. Система по п. 6, в которой в качестве объекта выступает по крайней мере файл, процесс, участок оперативной памяти вычислительного устройства.
8. Система по п. 6, в которой сбор информации об объекте включает в себя вычисление контрольных сумм объектов и их частей, формирование журнала вызовов системных функций при выполнении программного кода объекта как с использованием эмуляции исполнения, так и во время исполнения на вычислительном устройстве, определение процесса, создавшего и запустившего исполнение объекта, определение процессов, запущенных объектом, определение сетевого адреса, с которого был загружен объект, определение сетевых адресов, к которым производится доступ со стороны объекта во время исполнения, определение областей памяти, к которым производится доступ со стороны объекта во время исполнения.
9. Система по п. 6, в которой вторым клиентом безопасности, участвующим во взаимодействии с первым клиентом безопасности, является клиент безопасности, выбранный на основании по меньшей мере географического взаиморасположения клиентов безопасности, пропускной способности канала связи между клиентами безопасности, результатов запросов, ранее обработанных другими клиентами безопасности при помощи первого клиента безопасности.
10. Система по п. 6, в которой устранение на вычислительном устройстве вредоносных объектов дополнительно включает в себя устранение последствий присутствия упомянутых объектов на вычислительном устройстве.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015111430/08A RU2602372C2 (ru) | 2015-03-31 | 2015-03-31 | Система и способ распределенного обнаружения вредоносных объектов |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015111430/08A RU2602372C2 (ru) | 2015-03-31 | 2015-03-31 | Система и способ распределенного обнаружения вредоносных объектов |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2015111430A true RU2015111430A (ru) | 2016-10-20 |
RU2602372C2 RU2602372C2 (ru) | 2016-11-20 |
Family
ID=57138280
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2015111430/08A RU2602372C2 (ru) | 2015-03-31 | 2015-03-31 | Система и способ распределенного обнаружения вредоносных объектов |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2602372C2 (ru) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7523502B1 (en) * | 2006-09-21 | 2009-04-21 | Symantec Corporation | Distributed anti-malware |
US8166203B1 (en) * | 2009-05-29 | 2012-04-24 | Google Inc. | Server selection based upon time and query dependent hashing |
RU2481633C2 (ru) * | 2011-08-04 | 2013-05-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматического расследования инцидентов безопасности |
-
2015
- 2015-03-31 RU RU2015111430/08A patent/RU2602372C2/ru active
Also Published As
Publication number | Publication date |
---|---|
RU2602372C2 (ru) | 2016-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11233819B2 (en) | Method and apparatus for analyzing cyberattack | |
US9537897B2 (en) | Method and apparatus for providing analysis service based on behavior in mobile network environment | |
WO2019083737A8 (en) | System and method for analyzing binary code for malware classification using artificial neural network techniques | |
RU2017103901A (ru) | Устройство обнаружения радиомаяка | |
GB2594396A (en) | Cryptocurrency based malware and ransomware detection systems and methods | |
BR112018009108A8 (pt) | método para a aquisição e análise de imagens aéreas | |
JP2018501567A5 (ru) | ||
JP2018538633A5 (ru) | ||
RU2017126201A (ru) | Способы для понимания неполного запроса на естественном языке | |
MX354969B (es) | Metodo y dispositivo para tener acceso a la red del operador. | |
RU2012156448A (ru) | Система и способ автоматической модификации антивирусной базы данных | |
JP2014504399A5 (ru) | ||
US11323453B2 (en) | Data processing method, device, access control system, and storage media | |
RU2014121249A (ru) | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга | |
RU2013154735A (ru) | Способ упреждающего сканирования на наличие вредоносного программного обеспечения | |
RU2014107663A (ru) | Приемное устройство, способ приема, программа и система обработки информации | |
RU2014110601A (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
JP2015535115A5 (ru) | ||
RU2011147540A (ru) | Способ распределенного выполнения задач компьютерной безопасности | |
US20200344259A1 (en) | Detecting device masquerading in application programming interface (API) transactions | |
US20160212157A1 (en) | System and method for analyzing large-scale malicious code | |
IN2015DE01659A (ru) | ||
CN103607413A (zh) | 一种网站后门程序检测的方法及装置 | |
CN105635064B (zh) | Csrf攻击检测方法及装置 | |
SG11201900526WA (en) | Risk identification method, risk identification apparatus, and cloud risk identification apparatus and system |