RU2015141552A - Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя - Google Patents

Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя Download PDF

Info

Publication number
RU2015141552A
RU2015141552A RU2015141552A RU2015141552A RU2015141552A RU 2015141552 A RU2015141552 A RU 2015141552A RU 2015141552 A RU2015141552 A RU 2015141552A RU 2015141552 A RU2015141552 A RU 2015141552A RU 2015141552 A RU2015141552 A RU 2015141552A
Authority
RU
Russia
Prior art keywords
virus
database
entries
file
statistics
Prior art date
Application number
RU2015141552A
Other languages
English (en)
Other versions
RU2617654C2 (ru
Inventor
Сергей Викторович Прокудин
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2015141552A priority Critical patent/RU2617654C2/ru
Priority to US15/044,435 priority patent/US9654486B2/en
Priority to EP16158363.8A priority patent/EP3151148B1/en
Priority to CN201610622203.3A priority patent/CN106557697B/zh
Priority to JP2016166894A priority patent/JP6353498B2/ja
Publication of RU2015141552A publication Critical patent/RU2015141552A/ru
Application granted granted Critical
Publication of RU2617654C2 publication Critical patent/RU2617654C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Claims (23)

1. Способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя, в котором:
a. при помощи средства создания антивирусных записей создают набор антивирусных записей для обнаружения каждого вредоносного файла из базы данных файлов;
при этом антивирусная запись представляет собой информацию, необходимую антивирусному приложению для обнаружения вредоносных файлов;
при этом для создания набора антивирусных записей используется набор способов создания антивирусных записей, который включает в себя по меньшей мере способы создания гибких хешей (англ. locality sensitive hash);
b. при помощи антивирусного приложения собирают статистику использования каждой созданной на этапе ранее антивирусной записи;
при этом статистика использования антивирусной записи представляет собой информацию о количестве вредоносных файлов, обнаруженных антивирусным приложением с использованием антивирусной записи, а также идентификатор каждого обнаруженного при помощи антивирусной записи файла;
при этом сбор статистики осуществляется путем использования антивирусным приложением созданных на этапе ранее антивирусных записей для обнаружения вредоносных файлов среди файлов из базы данных файлов;
c. при помощи средства оценки мощности вычисляют мощность каждой созданной антивирусной записи на основании собранной на этапе ранее статистики использования каждой антивирусной записи;
при этом мощность антивирусной записи представляет собой числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием антивирусной записи среди файлов из базы данных файлов;
d. при помощи средства формирования набора антивирусных записей формируют набор антивирусных записей таким образом, что для каждого вредоносного файла из базы данных файлов выбирается антивирусная запись, с помощью которой антивирусное приложение признало этот файл вредоносным, с наибольшей мощностью, при этом выбранные антивирусные записи добавляются средством формирования набора антивирусных записей в упомянутый набор антивирусных записей для последующей передачи компьютеру пользователя и использования антивирусным приложением на компьютере пользователя.
2. Система формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя, которая включает:
a. средство создания антивирусных записей, связанное с базой данных файлов и базой данных антивирусных записей и предназначенное для создания набора антивирусных записей для обнаружения каждого вредоносного файла из базы данных файлов;
при этом антивирусная запись представляет собой информацию, необходимую антивирусному приложению для обнаружения вредоносных файлов;
при этом для создания набора антивирусных записей используется набор способов создания антивирусных записей, который включает в себя по меньшей мере способы создания гибких хешей (англ. locality sensitive hash);
b. антивирусное приложение, связанное с базой данных файлов, базой данных антивирусных записей и базой данных статистики и предназначенное для сбора статистики использования каждой антивирусной записи из базы данных антивирусных записей;
при этом статистика использования антивирусной записи представляет собой информацию о количестве вредоносных файлов, обнаруженных антивирусным приложением с использованием антивирусной записи, а также идентификатор каждого обнаруженного при помощи антивирусной записи файла;
при этом сбор статистики осуществляется путем использования антивирусным приложением антивирусных записей для обнаружения вредоносных файлов среди файлов из базы данных файлов;
c. средство оценки мощности, связанное с базой данных статистики использования, базой данных файлов и предназначенное для вычисления мощности антивирусной записи на основании собранной статистики использования антивирусной записи, при этом упомянутая статистика хранится в базе данных статистики;
при этом мощность антивирусной записи представляет собой числовое значение, чем больше которое, тем больше вредоносных файлов было обнаружено антивирусным приложением с использованием антивирусной записи среди файлов из базы данных файлов;
d. средство формирования набора антивирусных записей, связанное со средством оценки мощности, базой данных статистики, базой данных файлов и предназначенное для формирования набора антивирусных записей таким образом, что для каждого вредоносного файла из базы данных файлов выбирается антивирусная запись, с помощью которой антивирусное приложение признало этот файл вредоносным, с наибольшей мощностью, при этом выбранные антивирусные записи добавляются средством формирования набора антивирусных записей в упомянутый набор антивирусных записей для последующей передачи компьютеру пользователя и использования антивирусным приложением на компьютере пользователя;
e. базу данных антивирусных записей, предназначенную для хранения антивирусных записей;
f. базу данных файлов, предназначенную для хранения по меньшей мере вредоносных файлов;
g. базу данных статистики, предназначенную для хранения статистики использования антивирусных записей.
RU2015141552A 2015-09-30 2015-09-30 Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя RU2617654C2 (ru)

Priority Applications (5)

Application Number Priority Date Filing Date Title
RU2015141552A RU2617654C2 (ru) 2015-09-30 2015-09-30 Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
US15/044,435 US9654486B2 (en) 2015-09-30 2016-02-16 System and method for generating sets of antivirus records for detection of malware on user devices
EP16158363.8A EP3151148B1 (en) 2015-09-30 2016-03-03 System and method for generating sets of antivirus records for detection of malware on user devices
CN201610622203.3A CN106557697B (zh) 2015-09-30 2016-08-01 生成杀毒记录集合的系统和方法
JP2016166894A JP6353498B2 (ja) 2015-09-30 2016-08-29 ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015141552A RU2617654C2 (ru) 2015-09-30 2015-09-30 Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя

Publications (2)

Publication Number Publication Date
RU2015141552A true RU2015141552A (ru) 2017-04-05
RU2617654C2 RU2617654C2 (ru) 2017-04-25

Family

ID=58409433

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015141552A RU2617654C2 (ru) 2015-09-30 2015-09-30 Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя

Country Status (4)

Country Link
US (1) US9654486B2 (ru)
JP (1) JP6353498B2 (ru)
CN (1) CN106557697B (ru)
RU (1) RU2617654C2 (ru)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860274B2 (en) 2006-09-13 2018-01-02 Sophos Limited Policy management
US10546117B1 (en) * 2016-11-15 2020-01-28 Symantec Corporation Systems and methods for managing security programs
US10885211B2 (en) 2017-09-12 2021-01-05 Sophos Limited Securing interprocess communications
EP3474175B1 (en) * 2017-10-18 2020-10-14 AO Kaspersky Lab System and method of managing computing resources for detection of malicious files based on machine learning model
EP3522058B1 (en) * 2018-02-06 2021-08-11 AO Kaspersky Lab System and method of creating antivirus records
RU2697954C2 (ru) 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ создания антивирусной записи
JP7013297B2 (ja) * 2018-03-22 2022-01-31 株式会社セキュアブレイン 不正検知装置、不正検知ネットワークシステム、及び不正検知方法
RU2702081C2 (ru) * 2018-03-30 2019-10-03 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения модификации веб-ресурса
CN109460660B (zh) * 2018-10-18 2022-04-08 广州市网欣计算机科技有限公司 一种移动设备安全管理系统
US10893090B2 (en) 2019-02-14 2021-01-12 International Business Machines Corporation Monitoring a process on an IoT device
RU2726878C1 (ru) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Способ ускорения полной антивирусной проверки файлов на мобильном устройстве
US11425092B2 (en) * 2020-05-26 2022-08-23 Radware, Ltd. System and method for analytics based WAF service configuration
JP7533058B2 (ja) * 2020-09-17 2024-08-14 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
US20230179607A1 (en) * 2021-12-03 2023-06-08 Juniper Networks, Inc. Blocking or allowing a file stream associated with a file based on an initial portion of the file
US20240152623A1 (en) * 2022-11-03 2024-05-09 Cisco Technology, Inc. System and Method for Evaluating Penetration Testing Tools

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9013849D0 (en) 1990-06-21 1990-08-15 Furigas Uk Ltd A gas burner
US5520536A (en) 1995-05-05 1996-05-28 Burner Systems International, Inc. Premixed gas burner
US7392543B2 (en) * 2003-06-30 2008-06-24 Symantec Corporation Signature extraction system and method
JP2005157650A (ja) * 2003-11-25 2005-06-16 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US8239944B1 (en) * 2008-03-28 2012-08-07 Symantec Corporation Reducing malware signature set size through server-side processing
US8239948B1 (en) * 2008-12-19 2012-08-07 Symantec Corporation Selecting malware signatures to reduce false-positive detections
US8321942B1 (en) * 2009-03-12 2012-11-27 Symantec Corporation Selecting malware signatures based on malware diversity
US8566943B2 (en) 2009-10-01 2013-10-22 Kaspersky Lab, Zao Asynchronous processing of events for malware detection
US8875292B1 (en) * 2010-04-05 2014-10-28 Symantec Corporation Systems and methods for managing malware signatures
US8776234B2 (en) 2011-04-20 2014-07-08 Kaspersky Lab, Zao System and method for dynamic generation of anti-virus databases
CN102255915A (zh) * 2011-07-20 2011-11-23 中兴通讯股份有限公司 一种互联网病毒检测方法、装置和系统
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US8925085B2 (en) * 2012-11-15 2014-12-30 Microsoft Corporation Dynamic selection and loading of anti-malware signatures
US8826431B2 (en) * 2012-11-20 2014-09-02 Symantec Corporation Using telemetry to reduce malware definition package size
CN103902897A (zh) * 2012-12-26 2014-07-02 腾讯科技(深圳)有限公司 计算机病毒的判别方法及系统
US9147073B2 (en) 2013-02-01 2015-09-29 Kaspersky Lab, Zao System and method for automatic generation of heuristic algorithms for malicious object identification
RU2580036C2 (ru) * 2013-06-28 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ создания гибкой свертки для обнаружения вредоносных программ
US9251261B2 (en) * 2013-09-30 2016-02-02 Symantec Corporation Method and system for metadata driven testing of malware signatures
EP2854065B1 (en) 2013-09-30 2018-06-06 AO Kaspersky Lab A system and method for evaluating malware detection rules
RU2568285C2 (ru) * 2013-09-30 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Способ и система анализа работы правил обнаружения программного обеспечения
EP3077944A4 (en) 2013-12-02 2017-07-12 Intel Corporation Protection system including security rule evaluation
CN104243486B (zh) * 2014-09-28 2018-03-23 中国联合网络通信集团有限公司 一种病毒检测方法及系统

Also Published As

Publication number Publication date
JP6353498B2 (ja) 2018-07-04
CN106557697A (zh) 2017-04-05
US20170093892A1 (en) 2017-03-30
CN106557697B (zh) 2020-08-18
RU2617654C2 (ru) 2017-04-25
JP2017123143A (ja) 2017-07-13
US9654486B2 (en) 2017-05-16

Similar Documents

Publication Publication Date Title
RU2015141552A (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
US8955120B2 (en) Flexible fingerprint for detection of malware
US11157652B2 (en) Obfuscation and deletion of personal data in a loosely-coupled distributed system
RU2012156434A (ru) Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу
RU2019133476A (ru) Конфигурируемые примечания для высококонфиденциального пользовательского контента
JP2016536667A5 (ru)
RU2015141551A (ru) Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере
JP2014512608A5 (ru)
EP3346664B1 (en) Binary search of byte sequences using inverted indices
WO2012047593A3 (en) Method and apparatus of ordering search results
JP2014096164A5 (ru)
JP2017509962A5 (ru)
JP2011523748A5 (ru)
JP2008123528A5 (ru)
RU2015125969A (ru) Система и способ обнаружения вредоносных файлов на мобильных устройствах
WO2015014259A8 (en) Method and device for accelerating anti-virus scanning
JP2015508205A5 (ru)
RU2016103154A (ru) Системы и способы регистрации и категоризации событий производительности
US20210158071A1 (en) Match determination device, match determination method, storage medium
RU2013125979A (ru) Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов
JP2012226738A5 (ru)
JP2018506087A5 (ru)
RU2016105426A (ru) Постоянно читаемый компьютером носитель, система и способ для обнаружения сомнительного контента в социальной сети.
EP3079091A1 (en) Method and device for virus identification, nonvolatile storage medium, and device
US10223529B2 (en) Indexing apparatus and method for search of security monitoring data