RU2015111430A - Система и способ распределенного обнаружения вредоносных объектов - Google Patents

Система и способ распределенного обнаружения вредоносных объектов Download PDF

Info

Publication number
RU2015111430A
RU2015111430A RU2015111430A RU2015111430A RU2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A RU 2015111430 A RU2015111430 A RU 2015111430A
Authority
RU
Russia
Prior art keywords
security client
objects
malicious
security
computing device
Prior art date
Application number
RU2015111430A
Other languages
English (en)
Other versions
RU2602372C2 (ru
Inventor
Андрей Геннадьевич Тихонов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2015111430/08A priority Critical patent/RU2602372C2/ru
Publication of RU2015111430A publication Critical patent/RU2015111430A/ru
Application granted granted Critical
Publication of RU2602372C2 publication Critical patent/RU2602372C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Multi Processors (AREA)

Abstract

1. Способ распределенного обнаружения вредоносных объектов, в котором:a. анализируют при помощи первого клиента безопасности объекты с целью обнаружения вредоносного объекта;b. собирают при помощи первого клиента безопасности информацию об объекте во время проведения анализа;c. запрашивают при помощи первого клиента безопасности проведение анализа объекта вторым клиентом безопасности с использованием собранной ранее информации об объекте, если на этапе анализа, проведенного первым клиентом безопасности, не удалось обнаружить вредоносный объект;d. анализируют при помощи второго клиента безопасности объект с целью обнаружения вредоносного объекта;e. передают при помощи второго клиента безопасности результаты проведенного упомянутым клиентом безопасности анализа, а также по меньшей мере одного средства для устранения вредоносного объекта, если на этапе анализа был обнаружен вредоносный объект, первому клиенту безопасности;f. устраняют при помощи первого клиента безопасности на вычислительном устройстве вредоносный объект при помощи средств для устранения вредоносного объекта, полученных со стороны второго клиента.2. Способ по п. 1, в котором в качестве объекта выступает по крайней мере файл, процесс, участок оперативной памяти вычислительного устройства.3. Способ по п. 1, в котором сбор информации об объекте включает в себя вычисление контрольных сумм объектов и их частей, формирование журнала вызовов системных функций при выполнении программного кода объекта как с использованием эмуляции исполнения, так и во время исполнения на вычислительном устройстве, определение процесса, создавшего и запустившего исполнение

Claims (10)

1. Способ распределенного обнаружения вредоносных объектов, в котором:
a. анализируют при помощи первого клиента безопасности объекты с целью обнаружения вредоносного объекта;
b. собирают при помощи первого клиента безопасности информацию об объекте во время проведения анализа;
c. запрашивают при помощи первого клиента безопасности проведение анализа объекта вторым клиентом безопасности с использованием собранной ранее информации об объекте, если на этапе анализа, проведенного первым клиентом безопасности, не удалось обнаружить вредоносный объект;
d. анализируют при помощи второго клиента безопасности объект с целью обнаружения вредоносного объекта;
e. передают при помощи второго клиента безопасности результаты проведенного упомянутым клиентом безопасности анализа, а также по меньшей мере одного средства для устранения вредоносного объекта, если на этапе анализа был обнаружен вредоносный объект, первому клиенту безопасности;
f. устраняют при помощи первого клиента безопасности на вычислительном устройстве вредоносный объект при помощи средств для устранения вредоносного объекта, полученных со стороны второго клиента.
2. Способ по п. 1, в котором в качестве объекта выступает по крайней мере файл, процесс, участок оперативной памяти вычислительного устройства.
3. Способ по п. 1, в котором сбор информации об объекте включает в себя вычисление контрольных сумм объектов и их частей, формирование журнала вызовов системных функций при выполнении программного кода объекта как с использованием эмуляции исполнения, так и во время исполнения на вычислительном устройстве, определение процесса, создавшего и запустившего исполнение объекта, определение процессов, запущенных объектом, определение сетевого адреса, с которого был загружен объект, определение сетевых адресов, к которым производится доступ со стороны объекта во время исполнения, определение областей памяти, к которым производится доступ со стороны объекта во время исполнения.
4. Способ по п. 1, в котором вторым клиентом безопасности, участвующим во взаимодействии с первым клиентом безопасности, является клиент безопасности, выбранный на основании по меньшей мере географического взаиморасположения клиентов безопасности, пропускной способности канала связи между клиентами безопасности, результатов запросов, ранее обработанных другими клиентами безопасности при помощи первого клиента безопасности.
5. Способ по п. 1, в котором устранение на вычислительном устройстве вредоносных объектов дополнительно включает в себя устранение последствий присутствия упомянутых объектов на вычислительном устройстве.
6. Система распределенного обнаружения вредоносных объектов, которая содержит:
a. первый клиент безопасности, предназначенный для анализа объектов с целью обнаружения вредоносных объектов, сбора информации о объектах во время проведения анализа, устранения на вычислительном устройстве вредоносных объектов, запроса проведения анализа объектов второму клиенту безопасности с целью обнаружения вредоносных объектов;
b. второй клиент безопасности, предназначенный для анализа объектов, запрошенных со стороны первого клиента безопасности, с использованием полученной со стороны первого клиента безопасности информации об объектах с целью обнаружения вредоносных объектов, передачи результатов проведенного анализа, а также для передачи по меньшей мере одного средства для устранения на вычислительном устройстве вредоносных объектов;
при этом первый клиент безопасности также способен использовать переданные со стороны второго клиента безопасности средства для устранения на вычислительном устройстве вредоносных объектов.
7. Система по п. 6, в которой в качестве объекта выступает по крайней мере файл, процесс, участок оперативной памяти вычислительного устройства.
8. Система по п. 6, в которой сбор информации об объекте включает в себя вычисление контрольных сумм объектов и их частей, формирование журнала вызовов системных функций при выполнении программного кода объекта как с использованием эмуляции исполнения, так и во время исполнения на вычислительном устройстве, определение процесса, создавшего и запустившего исполнение объекта, определение процессов, запущенных объектом, определение сетевого адреса, с которого был загружен объект, определение сетевых адресов, к которым производится доступ со стороны объекта во время исполнения, определение областей памяти, к которым производится доступ со стороны объекта во время исполнения.
9. Система по п. 6, в которой вторым клиентом безопасности, участвующим во взаимодействии с первым клиентом безопасности, является клиент безопасности, выбранный на основании по меньшей мере географического взаиморасположения клиентов безопасности, пропускной способности канала связи между клиентами безопасности, результатов запросов, ранее обработанных другими клиентами безопасности при помощи первого клиента безопасности.
10. Система по п. 6, в которой устранение на вычислительном устройстве вредоносных объектов дополнительно включает в себя устранение последствий присутствия упомянутых объектов на вычислительном устройстве.
RU2015111430/08A 2015-03-31 2015-03-31 Система и способ распределенного обнаружения вредоносных объектов RU2602372C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015111430/08A RU2602372C2 (ru) 2015-03-31 2015-03-31 Система и способ распределенного обнаружения вредоносных объектов

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015111430/08A RU2602372C2 (ru) 2015-03-31 2015-03-31 Система и способ распределенного обнаружения вредоносных объектов

Publications (2)

Publication Number Publication Date
RU2015111430A true RU2015111430A (ru) 2016-10-20
RU2602372C2 RU2602372C2 (ru) 2016-11-20

Family

ID=57138280

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015111430/08A RU2602372C2 (ru) 2015-03-31 2015-03-31 Система и способ распределенного обнаружения вредоносных объектов

Country Status (1)

Country Link
RU (1) RU2602372C2 (ru)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7523502B1 (en) * 2006-09-21 2009-04-21 Symantec Corporation Distributed anti-malware
US8166203B1 (en) * 2009-05-29 2012-04-24 Google Inc. Server selection based upon time and query dependent hashing
RU2481633C2 (ru) * 2011-08-04 2013-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматического расследования инцидентов безопасности

Also Published As

Publication number Publication date
RU2602372C2 (ru) 2016-11-20

Similar Documents

Publication Publication Date Title
US11233819B2 (en) Method and apparatus for analyzing cyberattack
US9537897B2 (en) Method and apparatus for providing analysis service based on behavior in mobile network environment
WO2019083737A8 (en) System and method for analyzing binary code for malware classification using artificial neural network techniques
RU2017103901A (ru) Устройство обнаружения радиомаяка
GB2594396A (en) Cryptocurrency based malware and ransomware detection systems and methods
BR112018009108A8 (pt) método para a aquisição e análise de imagens aéreas
JP2018501567A5 (ru)
JP2018538633A5 (ru)
RU2017126201A (ru) Способы для понимания неполного запроса на естественном языке
MX354969B (es) Metodo y dispositivo para tener acceso a la red del operador.
RU2012156448A (ru) Система и способ автоматической модификации антивирусной базы данных
JP2014504399A5 (ru)
US11323453B2 (en) Data processing method, device, access control system, and storage media
RU2014121249A (ru) Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга
RU2013154735A (ru) Способ упреждающего сканирования на наличие вредоносного программного обеспечения
RU2014107663A (ru) Приемное устройство, способ приема, программа и система обработки информации
RU2014110601A (ru) Система и способ обнаружения мошеннических онлайн-транзакций
JP2015535115A5 (ru)
RU2011147540A (ru) Способ распределенного выполнения задач компьютерной безопасности
US20200344259A1 (en) Detecting device masquerading in application programming interface (API) transactions
US20160212157A1 (en) System and method for analyzing large-scale malicious code
IN2015DE01659A (ru)
CN103607413A (zh) 一种网站后门程序检测的方法及装置
CN105635064B (zh) Csrf攻击检测方法及装置
SG11201900526WA (en) Risk identification method, risk identification apparatus, and cloud risk identification apparatus and system