RU2015136393A - Способ и продукт для предоставления обеспечивающего безопасность с предсказанием продукта и оценивания существующих обеспечивающих безопасность продуктов - Google Patents
Способ и продукт для предоставления обеспечивающего безопасность с предсказанием продукта и оценивания существующих обеспечивающих безопасность продуктов Download PDFInfo
- Publication number
- RU2015136393A RU2015136393A RU2015136393A RU2015136393A RU2015136393A RU 2015136393 A RU2015136393 A RU 2015136393A RU 2015136393 A RU2015136393 A RU 2015136393A RU 2015136393 A RU2015136393 A RU 2015136393A RU 2015136393 A RU2015136393 A RU 2015136393A
- Authority
- RU
- Russia
- Prior art keywords
- specified
- malware
- varieties
- modifications
- executable code
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Stored Programmes (AREA)
Claims (135)
1. Система, содержащая:
(a) обработчик эволюционирования вредоносного программного обеспечения, выполненный с возможностью генерирования разновидностей вредоносного программного обеспечения экземпляров вредоносного программного обеспечения; и
(b) оценщик, выполненный с возможностью оценивания указанных разновидностей вредоносного программного обеспечения на основе по меньшей мере одного из: уровня вредоносности и уровня увертливости, причем оценщик выполнен с возможностью ранжирования разновидностей на основе по меньшей мере одного из:
(a) определения уровня вредоносности и
(b) определения уровня увертливости.
2. Система по п. 1, дополнительно содержащая:
(c) сборщик вредоносного программного обеспечения, выполненный с возможностью собирания экземпляров вредоносного программного обеспечения для указанного обработчика эволюционирования по меньшей мере от одного источника, отобранного из группы, состоящей из: хранилищ, систем производства и сторонних продуктов
3. Система по п. 1, дополнительно содержащая:
(с) построитель обнаружителя, выполненный с возможностью генерирования механизма обнаружителя на основе указанных разновидностей вредоносного программного обеспечения, сгенерированных указанным обработчиком эволюционирования и оцененных указанным оценщиком.
4. Система по п. 1, в которой обработчик эволюционирования выполнен с возможностью генерирования указанных разновидностей вредоносного программного обеспечения посредством выполнения поменьшей мере одного действия, выбранного из группы, состоящей из: применения видоизменений к исполняемому коду указанных экземпляров вредоносного программного обеспечения, применения видоизменений к распространяемому вредоносным программным обеспечением сетевому трафику, применения видоизменений к исходному коду, применения видоизменений к коду на языке ассемблера и перекрестного слияния указанных разновидностей вредоносного программного обеспечения.
5. Система по п. 4, в которой обеспечена возможность отбора указанных видоизменений, применяемых к указанному исполняемому коду, из группы, состоящей из:
(i) произвольных видоизменений,
(ii) замены заданной последовательности команд на другую, функционально эквивалентную, последовательность команд,
(iii) замены вызова отобранной библиотеки на вызов другой, функционально эквивалентной, библиотеки,
(iv) замены используемой отобранной библиотеки на другую, функционально эквивалентную, библиотеку,
(v) увеличения соответствующих вероятностей указанных видоизменений в областях, идентифицированных как имеющие вредоносную функцию;
(vi) увеличения соответствующих вероятностей указанных видоизменений в областях, идентифицированных как маловероятно предотвращающие надлежащее исполнение указанного исполняемого кода;
(vii) увеличения вероятности указанных видоизменений в областях, подписанных обеспечивающими безопасность продуктами;
(viii) увеличения вероятности указанных видоизменений в областях, в которых предыдущие указанные видоизменения привели к увеличенному указанному показателю пригодности;
(ix) перезаписи заголовков указанного исполняемого кода для раздела, в который был добавлен двоичный код, приведший к расширению указанного раздела;
(x) объединения указанного исполняемого кода с другим указанным исполняемым кодом для производства объединенного кода и перезаписи связанных заголовков для предусмотрения надлежащего исполнения указанного объединенного кода; и
(xi) модифицирования некоторых разделов указанного исполняемого кода для изменения динамических вызовов функций на статическое задействование связанных вызовов операционной системы.
6. Система по п. 4, в которой атакующая машина выполнена с возможностью отправки указанного распространяемого вредоносным программным обеспечением сетевого трафика в указанный обработчик эволюционирования, причем указанный обработчик эволюционирования дополнительно выполнен с возможностью применения указанных видоизменений к указанному распространяемому вредоносным программным обеспечением сетевому трафику и отправки указанного видоизмененного распространяемого вредоносным программным обеспечением сетевого трафика в поражаемую машину,
при этом обеспечена возможность оценивания результатов указанного видоизмененного распространяемого вредоносным программным обеспечением сетевого трафика на указанной поражаемой машине посредством указанного оценщика для определения указанного уровня вредоносности.
7. Система по п. 6, в которой видоизменения, применяемые к указанному распространяемому вредоносным программным обеспечением сетевому трафику, включают изменение полей CRC/Контрольной суммы или любые другие поля сетевого пакета в различных протоколах для визуализации указанных полей CRC/Контрольной суммы или других полей действительными после различных видоизменений в полезных нагрузках или заголовках указанного пакета.
8. Система по п. 6, в которой обеспечена возможность запутывания указанного распространяемого вредоносным программным обеспечением сетевого трафика посредством обертывания сетевой связи, содержащей указанный распространяемый вредоносным программным обеспечением сетевой трафик, в защищенном канале.
9. Система по п. 4, в которой обеспечена возможность запутывания указанного исполняемого кода указанных экземпляров вредоносного программного обеспечения с использованием методик, отобранных из группы, включающей: упаковку, шифрование и кодировку.
10. Система по п. 1, в которой оценщик выполнен с возможностью присуждения Показателей Пригодности указанным разновидностям, и при этом система выполнена с возможностью отбора по меньшей мере части указанных разновидностей в качестве новых указанных экземпляров вредоносного программного обеспечения на основе указанных Показателей Пригодности.
11. Система по п. 3, в которой оценщик выполнен с возможностью присуждения Показателей Пригодности указанным разновидностям, и при этом система выполнена с возможностью отбора по меньшей мере части указанных разновидностей для указанного Построителя Обнаружителя на основе указанных Показателей Пригодности.
12. Система по п. 1, в которой обеспечена возможность осуществления указанного определения уровня вредоносности по меньшей мере частично на основе того, проявляют ли указанные разновидности по меньшей мере часть вредоносных характеристик, проявляемых указанным экземпляром вредоносного программного обеспечения.
13. Система по п. 1, в которой обеспечена возможность осуществления указанного определения уровня увертливости по меньшей мере частично на основе того, проявляют ли указанные разновидности по меньшей мере часть увертливых характеристик, проявляемых указанным экземпляром вредоносного программного обеспечения.
14. Система по п. 1, в которой обеспечена возможность определения указанного уровня увертливости по меньшей мере частично посредством предоставления разновидностей или экземпляров вредоносного программного обеспечения в каждую из множества систем обнаружения вредоносного программного обеспечения.
15. Система по п. 3, в которой построитель обнаружителя выполнен с возможностью обработки по меньшей мере одного из следующих элементов для создания обнаружителя:
(a) исполняемого двоичного кода разновидностей вредоносного программного обеспечения,
(b) сетевого трафика, распространяемого или принятого разновидностями вредоносного программного обеспечения,
(c) системных вызовов разновидностей вредоносного программного обеспечения,
(d) API-вызовов разновидностей вредоносного программного обеспечения и
(e) объема потребляемой памяти и содержимого разновидностей вредоносного программного обеспечения.
16. Система по п. 15, в которой построитель обнаружителя выполнен с возможностью производства по меньшей мере одного обнаружителя, выполненного с возможностью обнаружения по меньшей мере одного из:
(a) подписей функционирования сети,
(b) шаблонов функционирования сети,
(c) исполняемых подписей,
(d) исполняемых шаблонов,
(e) подписей системных вызовов,
(f) шаблонов системных вызовов,
(g) подписей действий CPU,
(h) шаблонов действий CPU,
(i) подписей API-вызовов и
(j) шаблоны API-вызовов.
17. Система по п. 16, в которой обнаружители выполнены с возможностью развертывания в качестве автономных модулей обнаружения на платформе, отобранной из группы, включающей: оконечную точку, шлюз, сетевой элемент, сетевое оборудование и встроенную стороннюю платформу обнаружения.
18. Система по п. 11, в которой выполнена возможность дополнительного определения указанного уровня увертливости посредством запуска указанных разновидностей или экземпляра вредоносного программного обеспечения против обнаружителей, построенных указанным построителем обнаружителя.
19. Система по п. 12, в которой указанный Оценщик дополнительно выполнен с возможностью оценивания указанного уровня вредоносности посредством запуска указанных разновидностей по меньшей мере на одном из: виртуальной машины (VM) и физического компьютера
20. Способ осуществления Процесса Эволюционирования над вредоносным программным обеспечением, содержащий этапы, на которых:
(a) принимают экземпляр вредоносного программного обеспечения;
(b) генерируют разновидности указанного экземпляра вредоносного программного обеспечения;
(c) оценивают указанные разновидности и присуждают каждой указанной разновидности соответствующий Показатель Пригодности;
(d) отбирают указанные разновидности, имеющие по меньшей мере предварительно заданный указанный соответствующий Показатель Пригодности, и
(e) используют указанные отобранные разновидности в качестве указанных экземпляров вредоносного программного обеспечения на этапе (а), из которых генерируют новое поколение указанных разновидностей.
21. Способ по п. 20, в котором этап генерирования указанных разновидностей вредоносного программного обеспечения включает этап, на котором выполняют по меньшей мере одно действие, отобранное из группы, состоящей из: применения видоизменений к исполняемому коду указанных экземпляров вредоносного программного обеспечения, применения видоизменений к распространяемому вредоносным программным обеспечением сетевому трафику и перекрестного слияния указанных разновидностей вредоносного программного обеспечения.
22. Способ по п. 21, в котором применение указанных видоизменений к указанному исполняемому коду включает по меньшей мере одно из:
(i) произвольных видоизменений,
(ii) замены заданной последовательности команд на другую, функционально эквивалентную, последовательность команд,
(iii) замены вызова отобранной библиотеки на вызовов другой, функционально эквивалентной, библиотеки,
(iv) замены используемой отобранной библиотеки на другую, функционально эквивалентную, библиотеку,
(v) увеличения соответствующих вероятностей указанных видоизменений в областях, идентифицированных как имеющие вредоносную функцию;
(vi) увеличения соответствующих вероятностей указанных видоизменений в областях, идентифицированных как маловероятно предотвращающие надлежащее исполнение указанного исполняемого кода;
(vii) увеличения вероятности указанных видоизменений в областях, подписанных обеспечивающими безопасность продуктами;
(viii) увеличения вероятности указанных видоизменений в областях, в которых предыдущие указанные видоизменения привели к увеличенному указанному показателю пригодности;
(ix) перезаписи заголовков указанного исполняемого кода для раздела, в который был добавлен двоичный код, приведший к расширению указанного раздела;
(x) объединения указанного исполняемого кода с другим указанным исполняемым кодом для производства объединенного кода и перезаписи связанных заголовков для предусмотрения надлежащего исполнения указанного объединенного кода и
(xi) модифицирования некоторых разделов указанного исполняемого кода для изменения динамических вызовов функций на статическое задействование связанных вызовов операционной системы.
23. Способ по п. 21, в котором применение видоизменений к распространяемому вредоносным программным обеспечением сетевому трафику включает этапы, на которых:
(i) отправляют указанный распространяемый вредоносным программным обеспечением сетевой трафик из атакующей машины в маршрутизатор;
(ii) видоизменяют элементы указанного распространяемого вредоносным программным обеспечением сетевого трафика и
(iii) отправляют указанный видоизмененный распространяемый вредоносным программным обеспечением сетевой трафик в поражаемую машину.
24. Способ по п. 23, дополнительно содержащий этап, на котором оценивают указанный видоизмененный распространяемый вредоносным программным обеспечением сетевой трафик, при этом данный этап оценивания включает этапы, на которых:
(iv) регистрируют результат указанного видоизмененного распространяемого вредоносным программным обеспечением сетевого трафика над указанной поражаемой машиной и
(v) оценивают указанный результат для определения указанного Показателя Пригодности.
25. Способ по п. 20, в котором этап оценивания указанных разновидностей включает по меньшей мере этап, на котором оценивают Увертливость и Вредоносность каждой из указанных разновидностей.
26. Способ по п. 25, в котором Увертливость измеряют посредством сканирования каждой указанной разновидности с помощью отобранной группы обеспечивающих безопасность продуктов и присуждения Показателя Увертливости на основе неспособности указанных обеспечивающих безопасность продуктов обнаруживать указанную разновидность.
27. Способ по п. 26, в котором Вредоносность измеряют посредством определения для каждой указанной разновидности того, оказывает ли указанная разновидность вредоносную деятельность, и присуждения Показателя Вредоносности на основе указанного определения.
28. Способ 27, в котором каждую разновидность исполняют по меньшей мере на одной из: виртуальной машины и физической машины.
29. Способ по п. 28, дополнительно содержащий этап, на котором:
(f) наблюдают за покрытием кода при исполнении указанной разновидности для идентификации неисполненных участков кода, причем указанные неисполненные участки кода указывают запускающие механизмы, встроенные в указанную разновидность.
30. Способ по п. 27, в котором указанный Показатель Пригодности вычисляют на основе, по меньшей мере, указанного Показателя Увертливости и указанного Показателя Вредоносности.
31. Способ по п. 30, в котором указанный Показатель Пригодности дополнительно вычисляют на основе степени расхождения указанной разновидности с указанным экземпляром вредоносного программного обеспечения.
32. Способ по п. 27, дополнительно содержащий этапы, на которых:
(f) собирают данные следа указанных разновидностей и неопасных файлов или сетевого потока и
(g) категоризируют указанные данные следа по меньшей мере в одну из следующих категорий: следы вредоносных разновидностей, следы неопасных файлов и следы вырожденных разновидностей вредоносного программного обеспечения, которые утратили свою вредоносную деятельность в течение указанного процесса эволюционирования.
33. Способ по п. 32, дополнительно содержащий этап, на котором:
(h) осуществляют построение Обнаружителя, выполненного с возможностью обнаружения и различения указанных вредоносных характеристик и указанных невредоносных характеристик.
34. Способ по п. 33, дополнительно содержащий этап, на котором:
(i) отбирают, из числа указанных Обнаружителей, по меньшей мере один указанный обнаружитель, имеющий разряд выше предварительно определенного уровня, причем указанный разряд основан на:
(i) количестве правильно обнаруженных указанных вредоносных характеристик;
(ii) количестве неправильно обнаруженных не вредоносных характеристик и
(iii) короткости указанного обнаружителя, причем более высокий разряд присуждают более коротким или более легким обнаружителям, определенным с точки зрения по меньшей мере одного из: длины, памяти и вычислительной рабочей нагрузки.
35. Способ по п. 26, дополнительно содержащий этап, на котором:
(d) присуждают разряд каждому из указанных обеспечивающих безопасность продуктов на основе уровня успешности в обнаружении указанных разновидностей.
36. Способ по п. 35, в котором разряд основан на указанном уровне успешности относительно других указанных обеспечивающих безопасность продуктов.
37. Способ по п. 28, дополнительно содержащий этапы, на которых:
исполняют указанную разновидность как на указанной виртуальной машине (VM), так и на указанной физической машине; и
сравнивают результаты исполнения указанной разновидности на указанной виртуальной машине и исполняют указанную разновидность на указанной физической машине для обнаружения несоответствия между указанными результатами.
38. Способ по п. 37, в котором если найдено указанное несоответствие, то указанную разновидность оценивают только по указанным результатам исполнения указанной разновидности на указанной физической машине.
39. Способ по п. 28, дополнительно содержащий этап, на котором:
(f) отправляют по меньшей мере один сигнал, отобранный из: предварительно определенных системных сигналов, данных связи, аргументов, при исполнении указанной разновидности для нейтрализации встроенных запускающих механизмов,
причем указанный по меньшей мере один сигнал захвачен агентами на устройствах оконечных точек или сетевых оборудованиях.
40. Способ обучения Обнаружителя Вредоносного Программного Обеспечения для Байтового потока, содержащий этапы, на которых:
(a) захватывают Байтовый поток Сетевого сеанса или любые другие двоичные данные и представляют указанный байтовый поток в качестве линейного вектора целых чисел, при этом указанный байтовый поток включает след разновидностей вредоносного программного обеспечения, или неопасной сетевой активности, или файлов.
(b) переформировывают указанный линейный вектор в квадратную матрицу, тем самым принимая полутоновое изображение;
(c) нормализуют указанное полутоновое изображение для объединения разрешения;
(d) извлекают признаки из указанного нормализованного изображения с использованием по меньшей мере одной методики обработки изображений;
(e) повторяют этапы с (а) по (d) и сохраняют вредоносные разновидности в первой базе данных и неопасный трафик во второй базе данных;
(f) обучают Обнаружителя Вредоносного Программного Обеспечения для различения указанных разновидностей вредоносного программного обеспечения и указанного неопасного трафика, причем указанный этап обучения реализуют с помощью Машины Опорных Векторов.
41. Способ по п. 40, в котором указанную по меньшей мере одну методику обработки изображений отбирают из группы, состоящей из: вейвлет-коэффициентов Габора, Статистики коэффициентов, Анализа главных компонент, Линейного дискриминантного анализа и Анализа независимых компонент.
42. Способ генерирования разновидностей вредоносного программного обеспечения из экземпляра вредоносного программного обеспечения, содержащий этапы, на которых:
генерируют указанные разновидности вредоносного программного обеспечения посредством выполнения по меньшей мере одного действия, отобранного из группы, состоящей из:
применения видоизменений к исполняемому коду указанных экземпляров вредоносного программного обеспечения,
применения видоизменений к распространяемому вредоносным программным обеспечением сетевому трафику, и
перекрестного слияния указанных разновидностей вредоносного программного обеспечения,
при этом применение указанных видоизменений к указанному исполняемому коду осуществляют по меньшей мере посредством одного из следующего:
(i) произвольных видоизменений,
(ii) замены заданной последовательности команд на другую, функционально эквивалентную, последовательность команд,
(iii) замены вызова отобранной библиотеки на вызов другой, функционально эквивалентной, библиотеки,
(iv) замены используемой отобранной библиотеки на другую, функционально эквивалентную, библиотеку,
(v) увеличения соответствующих вероятностей указанных видоизменений в областях, идентифицированных как имеющие вредоносную функцию;
(vi) увеличения соответствующих вероятностей указанных видоизменений в областях, идентифицированных как маловероятно предотвращающие надлежащее исполнение указанного исполняемого кода;
(vii) увеличения вероятности указанных видоизменений в областях, подписанных обеспечивающими безопасность продуктами;
(viii) увеличения вероятности указанных видоизменений в областях, в которых предыдущие указанные видоизменения привели к увеличенному указанному показателю пригодности;
(ix) перезаписи заголовков указанного исполняемого кода для раздела, в который был добавлен двоичный код, приведший к расширению указанного раздела;
(x) объединения указанного исполняемого кода с другим указанным исполняемым кодом для производства объединенного кода и перезаписи связанных заголовков для предусмотрения надлежащего исполнения указанного объединенного кода и
(xi) модифицирования некоторых разделов указанного исполняемого кода для изменения динамических вызовов функций на статическое задействование связанных вызовов операционной системы.
43. Способ по п. 42, в котором применение видоизменений к распространяемому вредоносным программным обеспечением сетевому трафику включает этапы, на которых:
(i) отправляют указанный распространяемый вредоносным программным обеспечением сетевой трафик из атакующей машины в маршрутизатор;
(ii) видоизменяют элементы указанного распространяемого вредоносным программным обеспечением сетевого трафика и
(iii) отправляют указанный видоизмененный распространяемый вредоносным программным обеспечением сетевой трафик в поражаемую машину.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201361762922P | 2013-02-10 | 2013-02-10 | |
US61/762,922 | 2013-02-10 | ||
PCT/IL2014/050144 WO2014122662A1 (en) | 2013-02-10 | 2014-02-10 | Method and product for providing a predictive security product and evaluating existing security products |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2015136393A true RU2015136393A (ru) | 2017-03-15 |
Family
ID=51299301
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2015136393A RU2015136393A (ru) | 2013-02-10 | 2014-02-10 | Способ и продукт для предоставления обеспечивающего безопасность с предсказанием продукта и оценивания существующих обеспечивающих безопасность продуктов |
Country Status (10)
Country | Link |
---|---|
US (6) | US9521156B2 (ru) |
EP (2) | EP3264313B1 (ru) |
JP (1) | JP6176868B2 (ru) |
KR (1) | KR101880796B1 (ru) |
CN (1) | CN105144187B (ru) |
AU (1) | AU2014213584B2 (ru) |
CA (1) | CA2900312A1 (ru) |
IL (1) | IL240452B (ru) |
RU (1) | RU2015136393A (ru) |
WO (1) | WO2014122662A1 (ru) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015163914A1 (en) * | 2014-04-25 | 2015-10-29 | Hewlett-Packard Development Company, L.P. | Statistics-based data trace classification |
US10474820B2 (en) | 2014-06-17 | 2019-11-12 | Hewlett Packard Enterprise Development Lp | DNS based infection scores |
KR20160001046A (ko) * | 2014-06-26 | 2016-01-06 | 삼성전자주식회사 | 전자 장치의 악성 코드 방지 방법 및 이를 지원하는 장치 |
WO2016081346A1 (en) * | 2014-11-21 | 2016-05-26 | Northrup Grumman Systems Corporation | System and method for network data characterization |
US9692773B1 (en) * | 2014-12-11 | 2017-06-27 | Symantec Corporation | Systems and methods for identifying detection-evasion behaviors of files undergoing malware analyses |
CN104573515A (zh) | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和系统 |
FR3030823B1 (fr) * | 2014-12-23 | 2017-01-27 | Thales Sa | Procede de mise en oeuvre d'un algorithme de determination de surete de fichiers informatiques, module de determination, procede de construction d'une unite de controle et produit programme d'ordinateur associes |
WO2016168368A1 (en) * | 2015-04-13 | 2016-10-20 | Secful, Inc. | System and method for identifying and preventing malicious api attacks |
JP6930742B2 (ja) * | 2015-05-04 | 2021-09-01 | ハサン・シェド・カムラン | コンピュータネットワークにおけるセキュリティを管理する方法及び装置 |
US9984231B2 (en) * | 2015-11-11 | 2018-05-29 | Qualcomm Incorporated | Detecting program evasion of virtual machines or emulators |
EP3394784B1 (en) | 2015-12-24 | 2020-10-07 | British Telecommunications public limited company | Malicious software identification |
JP5982597B1 (ja) * | 2016-03-10 | 2016-08-31 | 株式会社Ffri | 情報処理装置、情報処理方法、プログラム及びプログラムを記録したコンピュータ読み取り可能な記録媒体 |
TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
US10505960B2 (en) * | 2016-06-06 | 2019-12-10 | Samsung Electronics Co., Ltd. | Malware detection by exploiting malware re-composition variations using feature evolutions and confusions |
CN106198900B (zh) * | 2016-06-30 | 2018-06-15 | 深圳市检验检疫科学研究院 | 食品安全评价方法及装置 |
JP6801267B2 (ja) | 2016-07-04 | 2020-12-16 | 富士通株式会社 | 評価プログラム、評価方法、評価装置および情報処理装置 |
US10218729B2 (en) | 2016-07-08 | 2019-02-26 | Cisco Technology, Inc. | Specializing unsupervised anomaly detection systems using genetic programming |
WO2018178028A1 (en) | 2017-03-28 | 2018-10-04 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
EP3602371A1 (en) * | 2017-03-28 | 2020-02-05 | British Telecommunications Public Limited Company | Intialisation vector identification for malware file detection |
CN107463493B (zh) * | 2017-06-30 | 2020-04-07 | 北京北信源软件股份有限公司 | 一种面向主机防病毒产品的测试系统和测试方法 |
US11017055B2 (en) | 2017-06-30 | 2021-05-25 | Paypal, Inc. | Hotspots for probabilistic model testing and cyber analysis |
WO2019067717A1 (en) | 2017-09-27 | 2019-04-04 | Alphamorph, LLC | DESIGN TOOL AND METHOD OF USING THE SAME |
WO2019073557A1 (ja) | 2017-10-11 | 2019-04-18 | 三菱電機株式会社 | サンプルデータ生成装置、サンプルデータ生成方法およびサンプルデータ生成プログラム |
US10198342B1 (en) | 2017-10-30 | 2019-02-05 | Paypal Inc. | Advanced binary instrumentation for debugging and performance enhancement |
CN110362994B (zh) * | 2018-03-26 | 2023-06-20 | 华为技术有限公司 | 恶意文件的检测方法、设备和系统 |
CN108959925A (zh) * | 2018-06-22 | 2018-12-07 | 珠海市君天电子科技有限公司 | 一种恶意脚本的检测方法、装置、电子设备及存储介质 |
EP3623980B1 (en) | 2018-09-12 | 2021-04-28 | British Telecommunications public limited company | Ransomware encryption algorithm determination |
EP3623982B1 (en) | 2018-09-12 | 2021-05-19 | British Telecommunications public limited company | Ransomware remediation |
US11368475B1 (en) * | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
JP7188208B2 (ja) * | 2019-03-20 | 2022-12-13 | 日本電気株式会社 | マルウェア解析装置、マルウェア解析方法、及び、プログラム |
KR20210108154A (ko) | 2020-02-25 | 2021-09-02 | 국방과학연구소 | 악성코드 진화관계를 분석하는 장치 및 방법 |
US11853421B2 (en) | 2020-02-25 | 2023-12-26 | Agency For Defense Development | Method and apparatus for analyzing malicious code |
RU2738344C1 (ru) * | 2020-03-10 | 2020-12-11 | Общество с ограниченной ответственностью «Группа АйБи ТДС» | Способ и система поиска схожих вредоносных программ по результатам их динамического анализа |
KR102211846B1 (ko) | 2020-07-21 | 2021-02-03 | 국방과학연구소 | 랜섬웨어 탐지 시스템 및 그의 동작 방법 |
KR102499372B1 (ko) * | 2021-02-04 | 2023-02-10 | 강원대학교산학협력단 | 악성코드 학습 데이터 증강 장치, 방법 및 프로그램 |
KR102447280B1 (ko) * | 2022-02-09 | 2022-09-27 | 주식회사 샌즈랩 | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 |
CN115766231A (zh) * | 2022-11-17 | 2023-03-07 | 国网福建省电力有限公司 | 一种线性可分的安全脆弱点检测方法 |
Family Cites Families (49)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6357008B1 (en) * | 1997-09-23 | 2002-03-12 | Symantec Corporation | Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases |
US7210041B1 (en) * | 2001-04-30 | 2007-04-24 | Mcafee, Inc. | System and method for identifying a macro virus family using a macro virus definitions database |
JP3992136B2 (ja) * | 2001-12-17 | 2007-10-17 | 学校法人金沢工業大学 | ウイルス検出方法および装置 |
US7832011B2 (en) * | 2002-08-30 | 2010-11-09 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
US7284273B1 (en) * | 2003-05-29 | 2007-10-16 | Symantec Corporation | Fuzzy scanning system and method |
US7367057B2 (en) * | 2003-06-30 | 2008-04-29 | Intel Corporation | Processor based system and method for virus detection |
US7370361B2 (en) * | 2004-02-06 | 2008-05-06 | Trend Micro Incorporated | System and method for securing computers against computer virus |
US20070094734A1 (en) * | 2005-09-29 | 2007-04-26 | Mangione-Smith William H | Malware mutation detector |
KR100670815B1 (ko) * | 2005-12-08 | 2007-01-19 | 한국전자통신연구원 | 순차적 데이터 처리 기반의 유해 멀티미디어 서비스 차단장치 및 그 방법 |
US7809670B2 (en) * | 2005-12-09 | 2010-10-05 | Microsoft Corporation | Classification of malware using clustering that orders events in accordance with the time of occurance |
US9104871B2 (en) * | 2006-04-06 | 2015-08-11 | Juniper Networks, Inc. | Malware detection system and method for mobile platforms |
US20070250927A1 (en) * | 2006-04-21 | 2007-10-25 | Wintutis, Inc. | Application protection |
EP1933248A1 (de) * | 2006-12-12 | 2008-06-18 | secunet Security Networks Aktiengesellschaft | Verfahren zur sicheren Datenverarbeitung auf einem Computersystem |
US8250655B1 (en) * | 2007-01-12 | 2012-08-21 | Kaspersky Lab, Zao | Rapid heuristic method and system for recognition of similarity between malware variants |
US8613080B2 (en) * | 2007-02-16 | 2013-12-17 | Veracode, Inc. | Assessment and analysis of software security flaws in virtual machines |
US8312546B2 (en) * | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
US8621610B2 (en) * | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
US20090313700A1 (en) * | 2008-06-11 | 2009-12-17 | Jefferson Horne | Method and system for generating malware definitions using a comparison of normalized assembly code |
US8904536B2 (en) * | 2008-08-28 | 2014-12-02 | AVG Netherlands B.V. | Heuristic method of code analysis |
US8667583B2 (en) * | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
GB0822619D0 (en) | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
US8239948B1 (en) * | 2008-12-19 | 2012-08-07 | Symantec Corporation | Selecting malware signatures to reduce false-positive detections |
US8266698B1 (en) * | 2009-03-09 | 2012-09-11 | Symantec Corporation | Using machine infection characteristics for behavior-based detection of malware |
US8321942B1 (en) | 2009-03-12 | 2012-11-27 | Symantec Corporation | Selecting malware signatures based on malware diversity |
US8332945B2 (en) * | 2009-06-05 | 2012-12-11 | The Regents Of The University Of Michigan | System and method for detecting energy consumption anomalies and mobile malware variants |
CN102461118B (zh) * | 2009-06-11 | 2016-07-06 | 松下航空电子公司 | 用于在移动平台上提供安全性的系统和方法 |
US8375450B1 (en) | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
US8356354B2 (en) * | 2009-11-23 | 2013-01-15 | Kaspersky Lab, Zao | Silent-mode signature testing in anti-malware processing |
US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US20120072988A1 (en) | 2010-03-26 | 2012-03-22 | Telcordia Technologies, Inc. | Detection of global metamorphic malware variants using control and data flow analysis |
US8510836B1 (en) * | 2010-07-06 | 2013-08-13 | Symantec Corporation | Lineage-based reputation system |
US8869277B2 (en) * | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
US9032521B2 (en) * | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
US20120297457A1 (en) * | 2010-11-15 | 2012-11-22 | Brian Schulte | Interactive Malware Detector |
RU2454714C1 (ru) * | 2010-12-30 | 2012-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов |
KR101337874B1 (ko) * | 2010-12-31 | 2014-01-28 | 주식회사 안랩 | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 |
US9111094B2 (en) * | 2011-01-21 | 2015-08-18 | F-Secure Corporation | Malware detection |
US8997233B2 (en) * | 2011-04-13 | 2015-03-31 | Microsoft Technology Licensing, Llc | Detecting script-based malware using emulation and heuristics |
US8555388B1 (en) * | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9544323B2 (en) * | 2011-07-08 | 2017-01-10 | Rapid Focus Security, Llc | System and method for remotely conducting a security assessment and analysis of a network |
US9672355B2 (en) * | 2011-09-16 | 2017-06-06 | Veracode, Inc. | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security |
US20130152200A1 (en) * | 2011-12-09 | 2013-06-13 | Christoph Alme | Predictive Heap Overflow Protection |
US8782796B2 (en) * | 2012-06-22 | 2014-07-15 | Stratum Security, Inc. | Data exfiltration attack simulation technology |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US20140157405A1 (en) * | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
US9117080B2 (en) * | 2013-07-05 | 2015-08-25 | Bitdefender IPR Management Ltd. | Process evaluation for malware detection in virtual machines |
-
2014
- 2014-02-10 KR KR1020157024359A patent/KR101880796B1/ko active IP Right Grant
- 2014-02-10 US US14/404,457 patent/US9521156B2/en active Active
- 2014-02-10 JP JP2015556621A patent/JP6176868B2/ja active Active
- 2014-02-10 CN CN201480019991.6A patent/CN105144187B/zh active Active
- 2014-02-10 WO PCT/IL2014/050144 patent/WO2014122662A1/en active Application Filing
- 2014-02-10 EP EP17182755.3A patent/EP3264313B1/en active Active
- 2014-02-10 RU RU2015136393A patent/RU2015136393A/ru not_active Application Discontinuation
- 2014-02-10 EP EP14749038.7A patent/EP2954453B1/en active Active
- 2014-02-10 AU AU2014213584A patent/AU2014213584B2/en active Active
- 2014-02-10 CA CA2900312A patent/CA2900312A1/en not_active Abandoned
-
2015
- 2015-08-09 IL IL240452A patent/IL240452B/en active IP Right Grant
-
2016
- 2016-02-19 US US15/047,745 patent/US9838406B2/en active Active
- 2016-02-19 US US15/047,768 patent/US9680851B2/en active Active
- 2016-02-19 US US15/047,707 patent/US9654487B2/en active Active
- 2016-02-19 US US15/047,789 patent/US9769188B2/en active Active
-
2017
- 2017-09-18 US US15/707,973 patent/US10110619B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
IL240452A0 (en) | 2015-09-24 |
US20160219064A1 (en) | 2016-07-28 |
CN105144187B (zh) | 2019-01-22 |
US9521156B2 (en) | 2016-12-13 |
US20180131707A1 (en) | 2018-05-10 |
EP2954453A1 (en) | 2015-12-16 |
CA2900312A1 (en) | 2014-08-14 |
US20160173514A1 (en) | 2016-06-16 |
AU2014213584A1 (en) | 2015-10-01 |
US9680851B2 (en) | 2017-06-13 |
KR101880796B1 (ko) | 2018-08-17 |
JP2016507115A (ja) | 2016-03-07 |
US9838406B2 (en) | 2017-12-05 |
IL240452B (en) | 2019-06-30 |
EP2954453B1 (en) | 2017-08-23 |
CN105144187A (zh) | 2015-12-09 |
AU2014213584B2 (en) | 2018-01-18 |
US9654487B2 (en) | 2017-05-16 |
EP2954453A4 (en) | 2016-01-20 |
US10110619B2 (en) | 2018-10-23 |
US20150150131A1 (en) | 2015-05-28 |
EP3264313B1 (en) | 2019-06-12 |
JP6176868B2 (ja) | 2017-08-09 |
WO2014122662A1 (en) | 2014-08-14 |
US20160217285A1 (en) | 2016-07-28 |
US20160173515A1 (en) | 2016-06-16 |
EP3264313A1 (en) | 2018-01-03 |
US9769188B2 (en) | 2017-09-19 |
KR20150118186A (ko) | 2015-10-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2015136393A (ru) | Способ и продукт для предоставления обеспечивающего безопасность с предсказанием продукта и оценивания существующих обеспечивающих безопасность продуктов | |
US11258813B2 (en) | Systems and methods to fingerprint and classify application behaviors using telemetry | |
Abdelsalam et al. | Malware detection in cloud infrastructures using convolutional neural networks | |
JP2016507115A5 (ru) | ||
KR101904911B1 (ko) | 하이브리드 퍼징 기반 보안 취약점 자동 탐색 방법 및 그 장치 | |
US8806619B2 (en) | System and methods for detecting software vulnerabilities and malicious code | |
EP3566166B1 (en) | Management of security vulnerabilities | |
TW201533604A (zh) | 產生候選鈎點以偵測惡意程式之方法及其系統 | |
US20220171697A1 (en) | Fuzzy testing a software system | |
Smith et al. | Dynamic analysis of executables to detect and characterize malware | |
TWI599905B (zh) | 惡意碼的防護方法、系統及監控裝置 | |
Li et al. | Locating vulnerability in binaries using deep neural networks | |
Alrabaee et al. | Bindeep: Binary to source code matching using deep learning | |
KR20210024872A (ko) | 신경망 용 입력 데이터의 검사 적합도 평가 방법 및 그 장치 | |
Baig | Tracing Software Exploitation | |
Sinha et al. | Integrated Malware Analysis Sandbox for Static and Dynamic Analysis | |
WO2024042302A1 (en) | Method and system | |
CN117150491A (zh) | 一种恶意软件的检测方法及装置 | |
CN112579878A (zh) | 病毒的识别方法及装置、存储介质、计算机设备 | |
Gomov et al. | A Survey on Fuzzing Techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FA92 | Acknowledgement of application withdrawn (lack of supplementary materials submitted) |
Effective date: 20171024 |