RU2018104438A - Система и способ обучения модели обнаружения вредоносных контейнеров - Google Patents

Система и способ обучения модели обнаружения вредоносных контейнеров Download PDF

Info

Publication number
RU2018104438A
RU2018104438A RU2018104438A RU2018104438A RU2018104438A RU 2018104438 A RU2018104438 A RU 2018104438A RU 2018104438 A RU2018104438 A RU 2018104438A RU 2018104438 A RU2018104438 A RU 2018104438A RU 2018104438 A RU2018104438 A RU 2018104438A
Authority
RU
Russia
Prior art keywords
container
parameters
objects
model
harmfulness
Prior art date
Application number
RU2018104438A
Other languages
English (en)
Other versions
RU2018104438A3 (ru
RU2697955C2 (ru
Inventor
Владимир Владимирович Крылов
Александр Викторович Лискин
Алексей Евгеньевич Антонов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2018104438A priority Critical patent/RU2697955C2/ru
Priority to US16/124,255 priority patent/US10902118B2/en
Priority to EP18204711.8A priority patent/EP3522080B1/en
Priority to JP2018210452A priority patent/JP6758360B2/ja
Priority to CN201811359307.5A priority patent/CN110119620B/zh
Publication of RU2018104438A publication Critical patent/RU2018104438A/ru
Publication of RU2018104438A3 publication Critical patent/RU2018104438A3/ru
Application granted granted Critical
Publication of RU2697955C2 publication Critical patent/RU2697955C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Manipulator (AREA)

Claims (16)

1. Система обучения модели обнаружения вредоносных контейнеров, при этом в качестве контейнера выступает файл, содержащий по меньшей мере два и более объектов, представляющих собой логически обособленные области данных упомянутого контейнера (далее - объекты), которая содержит
средство определения параметров, предназначенное для определения параметров каждого объекта, выбранного из анализируемого контейнера, при этом один из параметров характеризует функциональную связь объектов между собой;
средство формирования свертки, предназначенное для формирования свертки на основании параметров объектов, определенных средством определения параметров, в качестве которой выступает многомерный вектор, каждому элементу которого соответствует свой уникальный параметр из определенных параметров, а значение упомянутого элемента соответствует количеству объектов, для которых был определен упомянутый параметр;
средство обучения, предназначенное для машинного обучения модели обнаружения вредоносных контейнеров на основании по меньшей мере одной свертки, сформированной для безопасного контейнера и одного вредоносного контейнера, при этом упомянутая модель обнаружения представляет собой алгоритм вычисления степени вредоносности контейнера, а степень вредоносности контейнера - численное значение, характеризующее вероятность того, что упомянутый контейнер является вредоносным.
2. Система по п. 1, в которой дополнительно средство обучения предназначено для переобучения модели обнаружения вредоносных контейнеров в случае, когда вычисленная степень вредоносности контейнера находится в заранее заданном диапазоне пороговых значений таким образом, чтобы степень вредоносности, вычисленная на основании параметров объектов, выбранных с помощью переобученной модели определения параметров, была выше степени вредоносности контейнера, вычисленной на основании параметров объектов, выбранных с помощью непереобученной модели обнаружения вредоносных контейнеров.
3. Система по п. 1, в которой в качестве контейнера выступает по меньшей мере документ PDF; дистрибутив; файловый архив.
4. Система по п. 1, в которой в качестве объекта, выбранного из контейнера, выступает по меньшей мере исполняемый файл; сценарий; медиа-данные; контейнер.
5. Система по п. 1, в которой в качестве параметров объекта выступает по меньшей мере тип объекта; размер объекта; индекс объекта среди всех объектов, содержащихся в контейнере.
6. Способ обучения модели обнаружения вредоносных контейнеров, при этом в качестве контейнера выступает файл, содержащий по меньшей мере два и более объектов, представляющих собой логически обособленные области данных упомянутого контейнера (далее объекты), при этом способ содержит этапы, которые реализуются с помощью средств из системы по п. 1 и на которых
с помощью средства определения параметров определяют параметры каждого объекта, выбранного из по меньшей мере одного безопасного контейнера и одного вредоносного контейнера, однозначно характеризующие функциональную связь упомянутого объекта с по меньшей мере одним выбранным объектом;
с помощью средства формирования свертки формируют отдельно свертки для каждого контейнера на основании определенных параметров объектов, выбранных из упомянутого контейнера, при этом в качестве свертки выступает многомерный вектор, каждому элементу которого соответствует свой уникальный параметр из определенных параметров, а значение упомянутого элемента соответствует количеству объектов, для которых был определен упомянутый параметр;
с помощью средства обучения осуществляют машинное обучение модели обнаружения вредоносных контейнеров на основании сформированных сверток, при этом упомянутая модель обнаружения представляет собой алгоритм вычисления степени вредоносности контейнера, а степень вредоносности контейнера - численное значение, характеризующее вероятность того, что упомянутый контейнер является вредоносным.
7. Способ по п. 6, по которому дополнительно переобучают модель обнаружения вредоносных контейнеров в случае, когда вычисленная степень вредоносности контейнера находится в заранее заданном диапазоне пороговых значений таким образом, чтобы степень вредоносности, вычисленная на основании параметров объектов, выбранных с помощью переобученной модели определения параметров, была выше степени вредоносности, вычисленной на основании параметров объектов, выбранных с помощью непереобученной модели обнаружения вредоносных контейнеров.
8. Способ по п. 6, в которой в качестве контейнера выступает по меньшей мере документ PDF; дистрибутив; файловый архив.
9. Способ по п. 6, в которой в качестве объекта, выбранного из контейнера, выступает по меньшей мере исполняемый файл; сценарий; медиа-данные; контейнер.
10. Способ по п. 6, в которой в качестве параметров объекта выступает по меньшей мере тип объекта; размер объекта; индекс объекта среди всех объектов, содержащихся в контейнере.
RU2018104438A 2018-02-06 2018-02-06 Система и способ обучения модели обнаружения вредоносных контейнеров RU2697955C2 (ru)

Priority Applications (5)

Application Number Priority Date Filing Date Title
RU2018104438A RU2697955C2 (ru) 2018-02-06 2018-02-06 Система и способ обучения модели обнаружения вредоносных контейнеров
US16/124,255 US10902118B2 (en) 2018-02-06 2018-09-07 System and method of training a machine learning model for detection of malicious containers
EP18204711.8A EP3522080B1 (en) 2018-02-06 2018-11-06 System and method of training a machine learning model for detection of malicious containers
JP2018210452A JP6758360B2 (ja) 2018-02-06 2018-11-08 悪意あるコンテナを検出するための機械学習モデルをトレーニングするシステムおよび方法
CN201811359307.5A CN110119620B (zh) 2018-02-06 2018-11-15 训练用于检测恶意容器的机器学习模型的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018104438A RU2697955C2 (ru) 2018-02-06 2018-02-06 Система и способ обучения модели обнаружения вредоносных контейнеров

Publications (3)

Publication Number Publication Date
RU2018104438A true RU2018104438A (ru) 2019-08-06
RU2018104438A3 RU2018104438A3 (ru) 2019-08-06
RU2697955C2 RU2697955C2 (ru) 2019-08-21

Family

ID=67476780

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018104438A RU2697955C2 (ru) 2018-02-06 2018-02-06 Система и способ обучения модели обнаружения вредоносных контейнеров

Country Status (4)

Country Link
US (1) US10902118B2 (ru)
JP (1) JP6758360B2 (ru)
CN (1) CN110119620B (ru)
RU (1) RU2697955C2 (ru)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11461462B1 (en) * 2018-09-21 2022-10-04 Ca, Inc. Systems and methods for producing adjustments to malware-detecting services
CN110908964B (zh) * 2019-10-18 2023-08-18 平安科技(深圳)有限公司 分布式文件系统的监控方法、装置、终端及存储介质
US11537809B2 (en) * 2019-11-21 2022-12-27 Kyndryl, Inc. Dynamic container grouping
US20210243226A1 (en) * 2020-02-03 2021-08-05 Purdue Research Foundation Lifelong learning based intelligent, diverse, agile, and robust system for network attack detection
CN111327608B (zh) * 2020-02-14 2021-02-02 中南大学 基于级联深度神经网络的应用层恶意请求检测方法及系统
US12015630B1 (en) 2020-04-08 2024-06-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with vulnerability remediation circuitry
US11720686B1 (en) * 2020-04-08 2023-08-08 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with risk-entity facing cybersecurity alert engine and portal
US20220058498A1 (en) * 2020-08-24 2022-02-24 Kyndryl, Inc. Intelligent backup and restoration of containerized environment
CN112508200B (zh) * 2020-12-18 2024-01-16 北京百度网讯科技有限公司 处理机器学习模型文件的方法、装置、设备、介质和程序
CN112528284B (zh) * 2020-12-18 2024-09-24 北京明略软件系统有限公司 恶意程序的检测方法及装置、存储介质、电子设备
US11573770B2 (en) * 2021-05-05 2023-02-07 International Business Machines Corporation Container file creation based on classified non-functional requirements
US12073258B2 (en) * 2021-05-28 2024-08-27 Salesforce, Inc. Configuration map based sharding for containers in a machine learning serving infrastructure
US20230409710A1 (en) * 2022-05-26 2023-12-21 Microsoft Technology Licensing, Llc Allow list of container images based on deployment configuration at a container orchestration service

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9088601B2 (en) * 2010-12-01 2015-07-21 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US8838992B1 (en) 2011-04-28 2014-09-16 Trend Micro Incorporated Identification of normal scripts in computer systems
US20130222422A1 (en) 2012-02-29 2013-08-29 Mediatek Inc. Data buffering apparatus capable of alternately transmitting stored partial data of input images merged in one merged image to image/video processing device and related data buffering method
JP5441043B2 (ja) * 2012-04-19 2014-03-12 株式会社Ffri プログラム、情報処理装置、及び情報処理方法
RU2587429C2 (ru) * 2013-12-05 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ оценки надежности правила категоризации
US9324022B2 (en) * 2014-03-04 2016-04-26 Signal/Sense, Inc. Classifying data with deep learning neural records incrementally refined through expert input
US10078752B2 (en) * 2014-03-27 2018-09-18 Barkly Protects, Inc. Continuous malicious software identification through responsive machine learning
US10089580B2 (en) * 2014-08-11 2018-10-02 Microsoft Technology Licensing, Llc Generating and using a knowledge-enhanced model
JP2017004123A (ja) 2015-06-05 2017-01-05 日本電信電話株式会社 判定装置、判定方法および判定プログラム
CN105095756A (zh) * 2015-07-06 2015-11-25 北京金山安全软件有限公司 可移植文档格式文档的检测方法和装置
US10157279B2 (en) * 2015-07-15 2018-12-18 Cylance Inc. Malware detection
US9690938B1 (en) * 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
WO2017194637A1 (en) * 2016-05-11 2017-11-16 British Telecommunications Public Limited Company Software container profiling
EP3475822B1 (en) 2016-06-22 2020-07-22 Invincea, Inc. Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning
US10503901B2 (en) * 2016-09-01 2019-12-10 Cylance Inc. Training a machine learning model for container file analysis
US10637874B2 (en) * 2016-09-01 2020-04-28 Cylance Inc. Container file analysis using machine learning model
WO2018045165A1 (en) 2016-09-01 2018-03-08 Cylance Inc. Container file analysis using machine learning models
US10489589B2 (en) * 2016-11-21 2019-11-26 Cylance Inc. Anomaly based malware detection
CN107341401B (zh) * 2017-06-21 2019-09-20 清华大学 一种基于机器学习的恶意应用监测方法和设备
TWI677804B (zh) * 2017-11-29 2019-11-21 財團法人資訊工業策進會 計算機裝置及辨識其軟體容器行為是否異常的方法

Also Published As

Publication number Publication date
US10902118B2 (en) 2021-01-26
CN110119620A (zh) 2019-08-13
JP6758360B2 (ja) 2020-09-23
RU2018104438A3 (ru) 2019-08-06
CN110119620B (zh) 2023-05-23
RU2697955C2 (ru) 2019-08-21
JP2019192198A (ja) 2019-10-31
US20190243972A1 (en) 2019-08-08

Similar Documents

Publication Publication Date Title
RU2018104438A (ru) Система и способ обучения модели обнаружения вредоносных контейнеров
RU2018147233A (ru) Система и способ обнаружения вредоносного файла
US9923912B2 (en) Learning detector of malicious network traffic from weak labels
US11775826B2 (en) Artificial intelligence with cyber security
GB2585616A (en) Using gradients to detect backdoors in neural networks
CN110659486B (zh) 用于使用两级文件分类来检测恶意文件的系统和方法
US20150180890A1 (en) Matrix factorization for automated malware detection
RU2019137600A (ru) Управление принятием решений с использованием машинного обучения в случае оповещений, исходящих от систем текущего контроля
US20140099020A1 (en) Method of detecting smoke of forest fire using spatiotemporal bof of smoke and random forest
US20140090064A1 (en) Training classifiers for program analysis
JP2017102540A (ja) 分類装置、方法、及びプログラム
JP6039768B1 (ja) 調整装置、調整方法および調整プログラム
KR20200072169A (ko) 머신러닝을 이용한 이상징후 탐지 방법 및 시스템
JPWO2010090189A1 (ja) パターン認識装置、パターン認識方法およびパターン認識プログラム
JP7115280B2 (ja) 検出学習装置、方法、及びプログラム
CN112470131A (zh) 检测数据集中异常的装置和方法以及它们相应的计算机程序产品
TWI710970B (zh) 無監督模型評估方法、裝置、伺服器及可讀儲存媒體
RU2013125979A (ru) Система и способ обнаружения вредоносных исполняемых файлов на основании сходства ресурсов исполняемых файлов
JP2016206950A (ja) マルウェア判定のための精査教師データ出力装置、マルウェア判定システム、マルウェア判定方法およびマルウェア判定のための精査教師データ出力プログラム
JP2014092967A5 (ru)
JPWO2021130888A5 (ja) 学習装置、学習方法および学習プログラム
CN104504334A (zh) 用于评估分类规则选择性的系统及方法
RU2016136226A (ru) Способы обнаружения аномальных элементов веб-страниц
Radwan Enhancing prediction on imbalance data by thresholding technique with noise filtering
CN111488939A (zh) 模型训练方法、分类方法、装置及设备