RU2430411C1 - System and method of detecting malware - Google Patents
System and method of detecting malware Download PDFInfo
- Publication number
- RU2430411C1 RU2430411C1 RU2010107437/08A RU2010107437A RU2430411C1 RU 2430411 C1 RU2430411 C1 RU 2430411C1 RU 2010107437/08 A RU2010107437/08 A RU 2010107437/08A RU 2010107437 A RU2010107437 A RU 2010107437A RU 2430411 C1 RU2430411 C1 RU 2430411C1
- Authority
- RU
- Russia
- Prior art keywords
- events
- analyst
- malicious
- program
- programs
- Prior art date
Links
Images
Abstract
Description
Область техникиTechnical field
Изобретение относится к компьютерным системам, более конкретно к системам обнаружения вредоносного программного обеспечения при помощи анализа событий исполняемой программы.The invention relates to computer systems, and more particularly to malware detection systems by analyzing the events of an executable program.
Уровень техникиState of the art
В настоящее время компьютерное вредоносное программное обеспечение, такое как вирусы, компьютерные черви и троянские программы представляют одну из самых важных проблем компьютерной безопасности. Было подсчитано, что ежегодные финансовые потери предпринимательства от вредоносного программного обеспечения составляют десятки миллиардов долларов. Для противостояния возрастающему числу вредоносных программ было разработано большое количество антивирусных технологий. Большинство технологий обнаружения заключаются в анализе программного кода и сопоставления его частей набору частей известного вредоносного кода, содержащегося в антивирусных базах. Если схожесть между программным кодом и вредоносным фрагментом найдена, программный код отмечается как вредоносный.Computer malware, such as viruses, computer worms, and trojans, is currently one of the most important computer security issues. It has been estimated that tens of billions of dollars in annual financial loss to businesses from malware. To counter the growing number of malware, a large number of anti-virus technologies have been developed. Most detection technologies consist in analyzing program code and comparing its parts to a set of parts of known malicious code contained in anti-virus databases. If a similarity between the program code and the malicious fragment is found, the program code is marked as malicious.
Другим немало известным подходом обнаружения вредоносного программного обеспечения является эвристический анализ программного кода. Эвристический анализ представляет технологию, основанную на анализе поведения программы, эмулируемой в защищенной компьютерной среде, например в виртуальной операционной системе. Поведение эмулируемой программы анализируется на предмет наличия часто встречаемых вредоносных действий, таких как дублирование, затирание и попытки скрыть наличие подозрительных или потенциально опасных файлов. Если подобные вредоносные действия присутствуют, то программа отмечается как вредоносная.Another well-known malware detection approach is heuristic analysis of program code. Heuristic analysis is a technology based on the analysis of the behavior of a program emulated in a secure computer environment, for example, in a virtual operating system. The behavior of the emulated program is analyzed for frequently encountered malicious actions, such as duplication, overwriting and attempts to hide the presence of suspicious or potentially dangerous files. If such malicious actions are present, then the program is marked as malicious.
Однако данные технологии могут не сработать или привести к неверным результатам, если вредоносная часть кода программы не присутствует в антивирусных базах или код содержит скрытое и неочевидное вредоносное поведение. В этих случаях скрытый код может быть отправлен аналитику для рассмотрения и принятия решения о вредоносности программы. Процесс просмотра аналитиком дает точные результаты, но при этом занимает время и не эффективен с данной точки зрения.However, these technologies may not work or lead to incorrect results if the malicious part of the program code is not present in the anti-virus databases or the code contains hidden and non-obvious malicious behavior. In these cases, the hidden code can be sent to the analyst to review and decide on the harmfulness of the program. The process of viewing by the analyst gives accurate results, but it takes time and is not effective from this point of view.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно системой обнаружения вредоносного программного обеспечения.Analysis of the prior art allows us to conclude about the inefficiency and, in some cases, the impossibility of using previous technologies, the disadvantages of which are solved by the present invention, namely, a malware detection system.
Раскрытие изобретенияDisclosure of invention
Настоящее изобретение предназначено для обнаружения вредоносного программного обеспечения, в частности вредоносных программ, не поддающихся классификации ввиду недостатков существующих методов обнаружения вредоносного программного обеспечения.The present invention is intended to detect malicious software, in particular malicious programs that are not classifiable due to the disadvantages of existing methods for detecting malicious software.
Технический результат настоящего изобретения заключается в выявлении вредоносного программного обеспечения, не поддающегося классификации стандартными известными технологиями.The technical result of the present invention is to identify malicious software that is not amenable to classification by standard known technologies.
Система обнаружения вредоносного программного обеспечения содержит средство поиска программ, средство обработки данных найденных программ и рабочую станцию аналитика, связанную со средством обработки данных. Система обнаружения вредоносного программного обеспечения содержит: средство поиска программ, предназначенное для поиска программ в Интернет, связанное со средством обработки данных; средство обработки данных, предназначенное для обработки найденных программ средством поиска программ и связанное с рабочей станцией аналитика, включающее: хранилище данных о вредоносном и законном программном обеспечении, содержащее черные списки, белые списки, примеры поведения программ, примеры вредоносных и законно используемых программ, предназначенные для калибровки системы; средство проверки принадлежности найденных средством поиска программ к черному или белому списку программ; средство эмуляции кода программ, не относящихся к черному или белому списку; средство отслеживания событий, вызываемых при исполнении программы в ходе эмуляции; средство классификации отслеживаемых в ходе эмуляции событий на вредоносные и не вредоносные; средство сбора информации о событиях, не поддающихся классификации; и рабочую станцию аналитика, связанную со средством обработки данных, включающую: средство изолирования аналитика от внешних аудио- и видеораздражителей; устройство калибровки рабочей станции аналитика, формирующее калибровочный профиль аналитика на основе примеров вредоносных и законно используемых программ, хранящихся в хранилище данных; устройство вывода для предоставления списка не поддающихся классификации событий и дополнительной информации о данных событиях аналитику; устройство ввода, состоящее, по меньшей мере, из одного датчика; и анализатор, предназначенный для обнаружения вредоносного программного обеспечения с учетом параметров данных, полученных устройством ввода, и данных калибровочного профиля аналитика.The malware detection system comprises a software search tool, a data processing tool for the programs found, and an analytics workstation associated with the data processing tool. A malware detection system comprises: a software search tool for searching for programs on the Internet associated with a data processing tool; data processing tool designed to process the programs found by the program search tool and associated with the analytics workstation, including: a repository of malware and legitimate software data containing black lists, white lists, examples of program behavior, examples of malicious and legitimately used programs designed to system calibration; means for verifying that the programs found by the search tool belong to the black or white list of programs; means for emulating code of programs not related to the black or white list; means for tracking events that are called during program execution during emulation; a means of classifying events monitored during emulation into malicious and non-malicious; a means of collecting information about events that are not amenable to classification; and an analytics workstation associated with the data processing means, including: means for isolating the analyst from external audio and video irritants; analytics workstation calibration device, which forms the analyst’s calibration profile based on examples of malicious and legally used programs stored in the data warehouse; an output device for providing a list of non-categorized events and additional information about these events to the analyst; an input device consisting of at least one sensor; and an analyzer designed to detect malware taking into account data parameters received by the input device and data of the analyst’s calibration profile.
В частном варианте исполнения системы под средствами изолирования подразумевается видеоустройство, закрепляемое на голову аналитика, и наушники.In a particular embodiment of the system, isolation means refers to a video device mounted on the analyst’s head and headphones.
В частном варианте исполнения системы видеоустройством могут являться видеоочки или видеошлем.In a particular embodiment of the system, the video device may be video glasses or a video helmet.
В частном варианте исполнения системы устройство ввода может включать: кнопочное устройство, чувствительное к движениям пальцев; датчик давления, чувствительный к движениям пальцев; видеокамеру, отслеживающую движения глаз аналитика; аудиодатчик для обнаружения и анализа голосовых команд; электрический сенсор для отслеживания биосигналов аналитика.In a particular embodiment of the system, the input device may include: a button device sensitive to finger movements; pressure sensor sensitive to finger movements; video camera tracking analyst’s eye movements; an audio sensor for detecting and analyzing voice commands; electric sensor for tracking bio signals of the analyst.
В частном варианте исполнения системы дополнительная информация о событиях включает: частоту возникновения не поддающихся классификации событий в течение эмуляции программы и частоту возникновения не поддающихся классификации событий в известной вредоносной программе.In a particular embodiment of the system, additional information about events includes: the frequency of occurrence of non-classification events during program emulation and the frequency of occurrence of non-classification events in a known malicious program.
В частном варианте исполнения системы список не поддающихся классификации событий не включает дубликаты событий.In a particular embodiment of the system, the list of non-classifiable events does not include duplicate events.
В частном варианте исполнения системы калибровочный профиль аналитика содержит таблицы соответствия параметров устройства ввода вредоносному или законному программному обеспечению.In a private embodiment of the system, the analyst’s calibration profile contains tables of correspondence between the parameters of the input device and malicious or legitimate software.
Способ обнаружения вредоносного программного обеспечения состоит из: формирования калибровочного профиля аналитика на основе примеров известных вредоносных и законно используемых программ; поиска новых программ в Интернет; сравнения найденных программ с черным и белым списком программ; эмуляции исполнения программного кода; отслеживания событий исполнения программ; классификации событий как вредоносные или не вредоносные; сбора информации о событиях, не поддающихся классификации; предоставления списка не поддающихся классификации событий аналитику через видеоустройство; преобразования психологических реакций аналитика на предоставляемую ему информацию; и определения вредоносных событий из списка не поддающихся классификации событий на основании полученных данных психологических реакций аналитика.A method for detecting malicious software consists of: generating an analyst’s calibration profile based on examples of known malicious and legally used programs; search for new programs on the Internet; comparing the programs found with the black and white list of programs; emulation of program code execution; tracking program execution events; classifying events as malicious or non-malicious; collecting information on events that are not amenable to classification; providing a list of unclassifiable events to the analyst through the video device; transformations of the analyst’s psychological reactions to the information provided to him; and determining malicious events from a list of non-categorized events based on the received data of the analyst’s psychological reactions.
В частном варианте исполнения способа отслеживание событий включает, по крайней мере, один или несколько программных системных вызовов и один или несколько системных ответов на вызов.In a particular embodiment of the method, event tracking includes at least one or more software system calls and one or more system responses to the call.
В частном варианте исполнения способа классификация событий заключается в сравнении полученных в результате эмуляции программного кода событий с образцами событий, ассоциированных с вредоносными программами.In a particular embodiment of the method, the classification of events consists in comparing the events obtained as a result of emulating a program code with event samples associated with malicious programs.
В частном варианте исполнения способа информация о не поддающихся классификации событиях включает: частоту возникновения не поддающихся классификации событий в течение эмуляции программы; и частоту возникновения не поддающихся классификации событий в известной вредоносной программе.In a particular embodiment of the method, information about events that cannot be classified includes: the frequency of occurrence of events that cannot be classified during the program emulation; and the incidence of unclassifiable events in a known malware.
В частном варианте исполнения способа список не поддающихся классификации событий не включает дубликаты событий.In a particular embodiment of the method, the list of non-categorized events does not include duplicate events.
В частном варианте исполнения способа видеоустройством могут являться видеоочки или видеошлем.In a particular embodiment of the method, the video device may be video glasses or a video helmet.
В частном варианте исполнения способа психологические реакции распознаются при помощи: кнопочного устройства, чувствительного к движениям пальцев; датчика давления, чувствительного к движениям пальцев; видеокамеры, отслеживающей движения глаз аналитика; аудиодатчика для обнаружения и анализа голосовых команд; электрического сенсора для отслеживания биосигналов аналитика.In a particular embodiment of the method, psychological reactions are recognized by: a push-button device sensitive to finger movements; pressure sensor sensitive to finger movements; analyst eye tracking video camera; an audio sensor for detecting and analyzing voice commands; An electric sensor for tracking biosignals analyst.
Машиночитаемый носитель для управления доступом к запоминающему устройству, на котором сохранена компьютерная программа, при выполнении которой на компьютере выполняются следующие этапы: поиск новых программ в Интернет; эмуляция исполнения программного кода; отслеживание событий исполнения программ; классификация событий; сбор информации о событиях, не поддающихся классификации; предоставление списка не поддающихся классификации событий аналитику через видеоустройство; отслеживание психологических реакций аналитика на предоставляемую ему информацию; и определение вредоносных событий из списка не поддающихся классификации событий на основании полученных данных психологических реакций аналитика.A machine-readable medium for controlling access to a storage device on which a computer program is stored, during which the following steps are performed on a computer: search for new programs on the Internet; emulation of program code execution; tracking of program execution events; classification of events; collection of information about events that are not amenable to classification; Providing a list of non-categorizable analytics events through the video device tracking the analyst’s psychological reactions to the information provided to him; and determining malicious events from a list of non-categorizable events based on the received data of the analyst’s psychological reactions.
Краткое описание чертежейBrief Description of the Drawings
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:
Фиг.1 изображен пример архитектуры системы обнаружения вредоносного программного обеспечения.Figure 1 shows an example architecture of a malware detection system.
Фиг.2 показывает пример другого подхода осуществления архитектуры системы обнаружения вредоносного программного обеспечения.Figure 2 shows an example of another approach for implementing the malware detection system architecture.
Фиг.3 изображен пример системного интерфейса представляемого аналитику.Figure 3 shows an example of a system interface presented to an analyst.
Фиг.4A и B показывают процесс работы системы по обнаружению вредоносного программного обеспечения.Figa and B show the operation of the system for detecting malicious software.
Описание вариантов осуществления изобретенияDescription of Embodiments
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined only in the scope of the attached claims.
На Фиг.1 приведен пример архитектуры системы обнаружения вредоносного программного обеспечения. Система 100 включает средство обработки данных 105, способное производить эмуляцию, анализ и классификацию различных компьютерных объектов. Система дополнительно включает хранилище данных 110, соединенное со средством обработки данных 105. Хранилище данных содержит информацию об известном вредоносном программном обеспечении, таком как вирусы, троянские программы, компьютерные черви и о другом нежелательном и вредном программном обеспечении. Система 100 дополнительно включает одну или несколько рабочих станций аналитиков 115, соединенных со средством обработки данных 105. При помощи рабочих станций аналитики, например, вирусные аналитики, способны проводить анализ не поддающихся классификации событий, возникающих при исполнении программы. Рабочие станции 115 настроены для оптимизации эффективности работы аналитиков в сфере рассмотрения не поддающихся классификации событий и предоставления полученных результатов средству обработки данных 105.Figure 1 shows an example architecture of a malware detection system. System 100 includes data processing means 105 capable of emulating, analyzing, and classifying various computer objects. The system further includes a data warehouse 110 connected to the data processing means 105. The data warehouse contains information about known malicious software, such as viruses, trojans, computer worms, and other unwanted and harmful software. System 100 further includes one or more analyst workstations 115 connected to data processing means 105. Using workstations, analysts, such as viral analysts, are capable of analyzing classifiable events that occur during program execution. Workstations 115 are tuned to optimize the performance of analysts in examining non-categorized events and presenting the results to a data processing tool 105.
Средство обработки данных 105 может состоять из одного или нескольких серверов. Система может иметь один или несколько процессоров 125, таких как Intel Quad-Core® или AMD™ Turon 64 и исполнять одну или несколько операционных систем 135, например Windows®, Unix®, Mac® OS, а также другие типы операционных систем. Средство 105 может иметь один или несколько накопителей на жестких магнитных носителях, флэш-память, оперативное запоминающее устройство или другие типы запоминающих устройств 130 для хранения операционной системы, данных и различных программных ресурсов, необходимых для функционирования средств обработки данных 105. Система также может иметь сетевой интерфейс 140, например Ethernet, для доступа в сеть Интернет или другие локальные или широко распространенные сети, а также различные последовательные и параллельные порты ввода и вывода 145 для соединения периферийных устройств. Также средство обработки данных 105 может содержать дополнительные аппаратные или программные компоненты.The data processor 105 may consist of one or more servers. A system may have one or more processors 125, such as an Intel Quad-Core ® or AMD ™ Turon 64, and run one or more operating systems 135, such as Windows ® , Unix ® , Mac ® OS, and other types of operating systems. The tool 105 may have one or more hard disk drives, flash memory, random access memory or other types of storage devices 130 for storing the operating system, data and various software resources necessary for the operation of data processing means 105. The system may also have a network an interface 140, such as Ethernet, for access to the Internet or other local or widespread networks, as well as various serial and parallel input and output ports 145 for of the connections of peripherals. Also, the data processing means 105 may include additional hardware or software components.
Средство обработки данных 105 может быть настроено для выполнения приложения обнаружения вредоносных программ 150. Как показано на Фиг.2, приложение обнаружения вредоносных программ 150 может задействовать средства поиска 205, средство эмуляции 210, детектор событий 215 и анализатор событий 220. Средство эмуляции 210 может включать системный эмулятор 225 и программный эмулятор 230. Приложение обнаружения вредоносного программного обеспечения 150 может быть запущено как на одном, так и на нескольких серверах приложений.The data processor 105 may be configured to run the malware detection application 150. As shown in FIG. 2, the malware detection application 150 may use the
В частном примере реализации системы, приложение обнаружения вредоносных программ может включать средства поиска 205, например Google®, Yahoo®, Яндекс® или собственный механизм поиска. Средство поиска предназначено для нахождения в Интернете и других сетях новых приложений, программ и других типов программного обеспечения, для дальнейшего анализа на наличие вредоносного кода. В качестве одного из вариантов реализации системы все найденные программы могут быть сравнены с программами из белого списка программ 160, занесенных в хранилище данных 110. Белый список 160 содержит список программного обеспечения, проверенного ранее и классифицированного не содержащим вредоносный программный код или законным. Если программа не может быть найдена в белом списке, она передается средству эмуляции 210 для анализа на наличие вредоносного программного обеспечения. Другим подходом является сравнение всех новых объектов с черным списком программ 165, также занесенного в хранилище данных 110. Черный список содержит перечень ранее классифицированных вредоносными объектов. Анализ и классификация объекта не производится в том случае, если объект занесен в черный список.In a particular example of a system implementation, a malware detection application may include
Приложение обнаружения вредоносного программного обеспечения 150 может включать средство эмуляции 210, способное производить эмуляцию объектов с целью обнаружения вредоносного поведения исследуемого объекта. Для этого средство эмуляции 210 включает системный эмулятор и программный эмулятор 230. Системный эмулятор предназначен для эмуляции одного или нескольких компонентов компьютерной системы в изолированном защищенном компьютерном окружении средства обработки данных 105. Например, часть системной памяти 130 может быть задействована для создания подобного изолированного защищенного окружения для эмуляции исполнения объектов. Системный эмулятор 225 может эмулировать несколько компонент компьютерной системы, включая центральный процессор 235, эмулируемый БИОС 240 и операционную систему 245, которая может также включать эмулируемые программные интерфейсы приложений 250, такие как Win32 или, например, эмулируемые файловая система 255, системный реестр 260, планировщик потоков 265 и другие необходимые системные компоненты. Системный эмулятор 225 способен принимать различные системные настройки в зависимости от требований программы 270, эмулируемой программным эмулятором 230.The malware detection application 150 may include an emulation tool 210 capable of emulating objects in order to detect malicious behavior of an object under investigation. To this end, emulator 210 includes a system emulator and
Средство эмуляции 210 может включать программный эмулятор 230, способный выполнять одну или несколько программ 270 в изолированном безопасном окружении средства обработки данных 105, используя системный эмулятор 225. Для организации эмуляции программы 270 программный эмулятор 230 способен загружать программу 270 из системной памяти 130 или из любого другого локального или удаленного источника в область запоминающего устройства с произвольным доступом 130, расположенную в изолированной защищенной компьютерной среде. Перед эмуляцией программный эмулятор 230 может запустить сканирование программы 270 для проверки того, что системный эмулятор 225 имеет все необходимые ресурсы для проведения эмуляции программы. Программный эмулятор способен также распаковывать заархивированные программы 270 и производить дополнительные необходимые операции. Далее программный эмулятор 230 может производить чтение инструкций, таких как с 1 по N и производить их эмуляцию, используя системный эмулятор 225.The emulator 210 may include a
В частном примере реализации системы системный эмулятор 225 может быть сконфигурирован для эмуляции одного или нескольких исполнимых компонент компьютерной программы 270. Различные исполняемые компоненты могут включать как сами программы, так и различные копии программ, которые могут быть созданы в течение эмуляции программы. Исполняемые компоненты могут включать подпрограммы программы 270, функционирующие в полунезависимом режиме от программы, и создавать некоторые задачи, которые могут различаться, но относиться к программе 270. Исполняемые компоненты могут также включать связные или несвязные программы, приложения или файлы, вызываемые программой в ходе ее исполнения. Например, программа 270 может вызывать Internet Explorer® для соединения и загрузки файла из Интернет или активации Microsoft Outlook® для получения некоторой информации. Исполняемые компоненты могут также включать динамически подключаемые библиотеки (DLL), используемые программой, такие как Windows DLL и другие.In a particular embodiment of the system,
Существует несколько подходов исполнения компонентов программы 270 при помощи средства эмуляции 210. Например, компоненты могут быть исполнены как основной процесс программы 270, как различные дочерние процессы от основного процесса и как дочерние процессы от дочернего процесса и так далее. Компьютерный процесс можно определить как этап исполнения программы 270. Дочерний процесс, в свою очередь, - это процесс, созданный другим процессом. В случае другого примера, исполняемые компоненты программы 270 могут быть исполнены в одном или нескольких потоках, включая один или несколько удаленных потоков. Различные исполняемые компоненты программы 270 могут быть исполнены поочередно и/или параллельно друг с другом. Для предоставления возможности параллельного исполнения, которое, как правило, увеличивает скорость эмуляции программы, системный эмулятор 225 способен эмулировать мультизадачную компьютерную архитектуру, включая мультизадачный эмулируемый центральный процессор 235 и мультизадачную эмулируемую операционную систему 245, которая поддерживает параллельную обработку различных процессов и потоков исполнения программ 270.There are several approaches for executing
В частном варианте исполнения приложение 150 обнаружения вредоносного программного обеспечения включает детектор событий 215, который способствует обнаружению событий, полученных при эмуляции программы 270 и ее различных исполняемых компонентов. Примерами событий, которые могут быть обнаружены детектором событий 215, являются, но не ограничиваются приведенным списком: компьютерная программа, создающая копию самой себя; компьютерная программа, создающая новый файл; новый файл, копирующий себя в системный каталог; компьютерная программа, создающая новый ключ в системном реестре, изменяющая реестр и другие. Необходимо заметить, что детектор событий 215 обнаруживает не только события с явным вредоносным поведением, но и вредоносные события, созданные не вредоносными программами, не приносящие вреда средству обработки данных 105. После обнаруженные события отправляются в реальном времени для дальнейшей обработки анализатору событий 220.In a private embodiment, the malware detection application 150 includes an
В частном варианте исполнения системы анализатор событий 220 обладает возможностью сравнения полученных данных о событиях с примерами поведения вредоносных программ 170 и классификации эмулируемой программы относительно ее вредоносности. Пример поведения вредоносной программы 170 может включать одно или несколько событий, относящихся к группе вредоносных. Анализатор событий может прибегать к анализу событий, как только событие сгенерировано средством эмуляции 210. Также анализ может быть запущен только после завершения эмуляции программы. Также в случае обнаружения одного или нескольких событий анализатор событий может классифицировать данные события как вредоносные и дать команду средству эмуляции о прекращении программной эмуляции. В случае если созданные события не содержат похожих на вредоносные элементы поведения, анализатор событий 220 может отнести событие к не вредоносным и остановить программную эмуляцию. Если анализатор событий 220 не может точно классифицировать созданное событие, оно относится к не поддающимся классификации событиям.In a particular embodiment of the system, the
Не поддающиеся классификации события могут быть предоставлены аналитику для дальнейшего анализа через рабочие станции 115. Аналитик - человек с большой накопленной экспертизой в области обнаружения вредоносного программного обеспечения. Аналитик содействует приложению обнаружения вредоносного программного обеспечения 150 в тех случаях, когда приложение не может точно принять решение о принадлежности объекта к группе вредоносных или напротив не вредоносных объектов. К не поддающимся классификации событиям помимо событий, вызванных доверительными программами, но содержащих элементы потенциально вредоносного содержания, могут относиться новые виды компьютерных вирусов, червей, троянских программ, программ-шпионов и вредоносные программы с неизвестными ранее примерами поведения.Unclassifiable events can be provided to the analyst for further analysis through workstations 115. The analyst is a person with extensive accumulated expertise in the field of malware detection. The analyst promotes the malware detection application 150 in cases where the application cannot accurately decide whether an object belongs to a group of malicious or, on the contrary, non-malicious objects. Unclassifiable events, in addition to events caused by trust programs, but containing elements of potentially harmful content, may include new types of computer viruses, worms, trojans, spyware and malicious programs with previously unknown behaviors.
Для предоставления возможности аналитикам эффективно анализировать события, не поддающиеся автоматической классификации, средство обработки данных 105 способно извлекать и преобразовывать информацию, относящуюся к событиям. Например, система способна удалять все дубликаты событий из программного кода и отображать количество повторений события во время исполнения программы. Это помогает организовать информацию в более удобном для восприятия формате, как, например, список всех не поддающихся автоматической классификации событий совместно с информацией о каждом событии такой, как различные аргументы функции и другое. Система может также отображать текущий программный код, вызывающий рассматриваемые события. Существует также много способов форматирования и предоставления информации о событиях аналитику, например, информация может быть визуализирована, используя различные шрифт, размер и цвет букв при выводе информации на рабочую станцию аналитика 115.To enable analysts to efficiently analyze events that are not amenable to automatic classification, data processor 105 is capable of extracting and converting information related to events. For example, the system is able to remove all duplicate events from the program code and display the number of repetitions of the event during program execution. This helps organize information in a more readable format, such as a list of all events that are not amenable to automatic classification, together with information about each event, such as various function arguments and more. The system can also display the current program code that triggers the events in question. There are also many ways of formatting and presenting information about events to an analyst, for example, information can be visualized using various font, size, and color of letters when outputting information to an analyst workstation 115.
Средство обработки данных способно предоставлять аналитику различную информацию касательно событий, не поддающихся классификации. Подобная информация может включать, но не ограничивается приведенным списком, информацию о примерах поведений вредоносных программ 170, имеющих наиболее сходные поведения с описываемыми событиями, информацию о классах функций, объектов или программ, ассоциированных с не поддающимся классификации событием. Средство обработки данных также может предоставлять различную статистическую информацию о не поддающихся классификации событиях, такую как, частота возникновения не поддающихся классификации событий в программном коде, в известном вредоносном программном обеспечении, включая тип программы, и/или в законном программном обеспечении, включая тип программы.The data processing tool is able to provide the analyst with a variety of information regarding events that cannot be classified. Such information may include, but is not limited to, a list of examples of malware behavior 170 that have the most similar behavior to the described events, information about classes of functions, objects, or programs associated with an unclassifiable event. The data processing tool can also provide various statistical information about non-classification events, such as the frequency of occurrence of non-classification events in the program code, in known malicious software, including the type of program, and / or in legitimate software, including the type of program.
На Фиг.3 приведен примерный интерфейс системы с отображением информации о не поддающихся классификации событиях. Предоставляемая информация может включать одно или несколько не поддающихся классификации событий 310, таких как вызовы API-функций, вызванные эмулируемой программой, например API: WriteFile, и аргументы вызова: ARG1, ARG2, ARGN. Также может отображаться ссылочная информация 330, как, например, аргумент ARG1 был найден по ссылке «Полное наименование критичных системных объектов», а также, что событие было идентифицировано с поведением примера поведения «Открытие хост объекта». Также может быть включена статистическая информация 340, например, демонстрирующая, что не поддающееся классификации событие было найдено 3217 раз в черном списке программ и ни разу в белом списке. Описанный интерфейс всего лишь один из примеров реализации интерфейса, предоставляющего информацию аналитику.Figure 3 shows an exemplary system interface with the display of information about not classifiable events. The information provided may include one or more
По мере завершения просмотра информации, относящейся к событиям, аналитик сможет классифицировать события как вредоносные, не вредоносные и не поддающиеся классификации. Не поддающиеся классификации события могут быть автоматически в режиме реального времени направлены другим аналитикам для обзора и последующей классификации. В качестве альтернативного подхода, не поддающиеся классификации события могут быть временно размещены в хранилище данных системой и предоставлены тому же самому аналитику через некоторое время.As the event-related information is completed, the analyst will be able to classify the events as malicious, non-malicious, and non-categorical. Events that cannot be classified can be automatically sent to other analysts in real time for review and subsequent classification. As an alternative approach, classifiable events can be temporarily placed in the data warehouse by the system and provided to the same analyst after some time.
В частном примере реализации системы, средство обработки данных 105 может быть настроено таким образом, чтобы разделять не поддающиеся классификации события между аналитиками, основываясь на специализации, загруженности и других параметрах. Например, если приложения обнаружения вредоносных программ 150 приписывает поведению не поддающегося классификации события тип троянской программы, то система может отправить данное событие аналитику, специализирующемуся в области троянских программ. Другим примером может являться ситуация, когда у первого аналитика в очереди на обработку 500 событий, а второго 1000, то тогда система будет передавать на обработку события менее загруженному аналитику - первому. Также система может периодически отправлять классифицированные события тем же аналитикам для повторного рассмотрения для повышения точности и аккуратности анализа.In a particular example of a system implementation, the data processor 105 can be configured to separate classifiable events between analysts based on specialization, workload, and other parameters. For example, if a malware detection application 150 attributes a type of Trojan to the behavior of an unclassifiable event, the system can send the event to an analyst specializing in Trojan programs. Another example may be the situation when the first analyst is in the queue for processing 500 events, and the second is 1000, then the system will send the less loaded analyst, the first, to process the event. The system can also periodically send classified events to the same analysts for reconsideration to increase the accuracy and accuracy of the analysis.
Система 100 включает одну или несколько рабочих станций аналитиков 115. Рабочие станции могут быть компьютерными терминалами, имеющими процессор, память, сетевые интерфейсы для соединения со средством обработки данных 105 по локальной сети, такой как Ethernet. Каждая рабочая станция может также включать видеоустройство вывода, способное предоставить аналитику информацию о не поддающихся классификации событиях. Рабочая станция аналитика может также включать устройства ввода информации, способные принимать физиологические реакции аналитика, показывающие на принадлежность событий к вредоносным или законным. Рабочие станции могут быть отделены друг от друга и изолированы от внешних раздражителей. Для достижения данной цели может быть использован видеошлем или видеоочки. Данные приспособления должны быть способными к отображению, например, картинки с разрешением 640×480 с информацией о событии, как приведено на Фиг.3. Данный тип видеоустройства изолирует аналитика от внешних визуальных раздражителей. Аналитикам также могут быть предоставлены наушники или ушные затычки для блокировки внешних звуков и других аудиораздражителей. Приведенные изолирующие средства увеличивают эффективность работы аналитиков.System 100 includes one or more analyst workstations 115. Workstations may be computer terminals having a processor, memory, network interfaces for connecting to data processing means 105 over a local area network, such as Ethernet. Each workstation may also include a video output device capable of providing the analyst with information about unclassifiable events. The analyst workstation may also include information input devices capable of receiving the physiological reactions of the analyst, indicating that the events are malicious or legitimate. Workstations can be separated from each other and isolated from external stimuli. To achieve this goal, a video helmet or video glasses can be used. These devices must be capable of displaying, for example, pictures with a resolution of 640 × 480 with information about the event, as shown in Fig.3. This type of video device isolates analytics from external visual stimuli. Analysts can also be provided with headphones or earplugs to block external sounds and other audio irritants. These insulating agents increase the efficiency of analysts.
С целью предотвращения ложных срабатываний и настройки системы под различных аналитиков, рабочая станция 115 включает устройство калибровки, формирующее калибровочный профиль аналитика на основе примеров известных вредоносных и законно используемых программ 180, хранящихся в хранилище данных. Калибровочный профиль аналитика содержит таблицы соответствия параметров устройства ввода вредоносному или законному программному обеспечению.In order to prevent false alarms and configure the system for various analysts, workstation 115 includes a calibration device that generates a calibration profile for the analyst based on examples of known malicious and legally used programs 180 stored in the data warehouse. The analyst’s calibration profile contains tables that match the parameters of the input device with malicious or legitimate software.
Рабочая станция аналитика 115 содержит анализатор, предназначенный для обнаружения вредоносного программного обеспечения с учетом параметров данных, полученных устройством ввода, и данных устройства калибровки рабочей станции аналитика.Analytics Workstation 115 contains an analyzer designed to detect malware taking into account data parameters received by the input device and data from the analytic workstation calibration device.
Устройство ввода рабочей станции 115 может быть настроено для увеличения эффективности принятия решения аналитиком. Например, устройство ввода может включать кнопочное устройство или датчик давления, чувствительный к движениям пальцев. В случае если устройство однокнопочное, то одиночное нажатие может означать, что событие вредоносное, двойное - событие не вредоносное, тройное - событие не поддается классификации. Также можно применить множество других различных способов регистрации событий.The input device of the workstation 115 may be tuned to increase the decision-making efficiency of the analyst. For example, the input device may include a button device or a pressure sensor sensitive to finger movements. If the device is single-button, then a single click can mean that the event is malicious, double - the event is not malicious, triple - the event can not be classified. You can also apply many other different ways of recording events.
В качестве альтернативного подхода могут быть использованы другие способы регистрации психологических реакций на программную информацию. Например, можно использовать датчик голосовых команд или камеру, регистрирующую движения глаз аналитика, расширение зрачков которых может указывать на вредоносность или на законность программного кода. Система может быть адаптирована индивидуально под каждого аналитика, тем самым она может определять реакции аналитика с большой точностью. Также могут использоваться различные датчики наблюдения биосигналов аналитика. Подобные устройства могут включать датчики для определения кожно-гальванической реакции (GSR), систему определения электроэнцефалограммы (EEG), которая регистрирует активность мозга аналитика, систему электрокардиограммы (ECG) для наблюдения за частотой биения сердца. Приведенные и подобные системы могут быть использованы для определения принадлежности событий к классу вредоносных.As an alternative approach, other methods of recording psychological reactions to program information can be used. For example, you can use a voice command sensor or a camera that records analyst’s eye movements, the expansion of the pupils of which may indicate harmfulness or legitimacy of the program code. The system can be adapted individually for each analyst, thereby it can determine the reaction of the analyst with great accuracy. Various analytic biosignal sensors may also be used. Such devices may include sensors for detecting a skin galvanic reaction (GSR), an electroencephalogram detection system (EEG) that records the analyst’s brain activity, and an electrocardiogram system (ECG) to monitor the heart rate. The above and similar systems can be used to determine whether an event belongs to a class of malware.
На Фиг.4 приведен пример реализации метода для обнаружения вредоносных программ, используя описываемую систему. Первым действием производится калибровка рабочей станции аналитика 401 для составления таблицы соответствия параметров устройства ввода вредоносному или законному программному обеспечению. На шаге 405 система обработки данных производит поиск в Интернете новых программ и приложений. Для каждой встретившейся программы система проверяет в своей базе данных, относится ли программа к белому списку, шаг 410, или к черному, шаг 415. Если программа встречается в одном из списков, то она отбрасывается. Если программа не была встречена в черном или белом списке, то система обработки данных активирует средство эмуляции, шаг 420. Средство эмуляции загружает программу в изолированную компьютерную среду, шаг 425, и эмулирует программу, используя системный и программный эмуляторы, шаг 430. События, возникающие в результате выполнения программы, фиксируются и сравниваются с образцами поведения вредоносных программ как указано ранее, на шаге 435. Основываясь на результатах данного анализа, программа классифицируется системой обработки данных как вредоносная, не вредоносная или не поддающаяся классификации.Figure 4 shows an example implementation of a method for detecting malware using the described system. The first step is to calibrate the
В случае если программа классифицирована как вредоносная, шаг 440, она добавляется в черный список программ, шаг 445. В случае если программа классифицирована как не вредоносная, она добавляется в белый список программ, шаг 450, и эмуляция программы прекращается. Если система обработки данных определила, что программа не может быть классифицирована, то система собирает всю возможную информацию о событиях, шаг 455, преобразует ее и отправляет на рабочую станцию аналитику, шаг 460. Информация о событие предоставляется аналитику по средствам видеоустройства, закрепляемого на голову аналитика, например видеоочки или видеошлем, шаг 465. Далее система определяет психологические реакции аналитика на предоставленную информацию, реакции указывают на принадлежность события к вредоносным или не вредоносным с учетом данных калибровочного профиля аналитика, шаг 470. Если событие классифицировано как вредоносное, шаг 480, программа добавляется в черный список программ, шаг 485. Если программа классифицируется как не вредоносная, она добавляется в белый список программ, шаг 490, эмуляция программы прекращается. В случае невозможности определения принадлежность программы к тому или иному классу, информация о событии отправляется другому аналитику, шаг 495, либо могут быть применены другие действия.If the program is classified as malicious,
Необходимо отметить, что технологии обработки, основанные на эмуляции, описанные выше, могут быть реализованы альтернативными подходами. Например, система обработки данных может быть сконфигурирована для исполнения программ непосредственно в режиме реального времени, то есть не эмулируя системные ресурсы, такие как центральный процессор 125, память 130 и другие. После завершения исполнения программы, ресурсы, задействованные приложением обнаружения вредоносных программ, могут быть возвращены в первоначальное состояние, а данные исполнения программы могут быть удалены.It should be noted that the emulation-based processing technologies described above can be implemented with alternative approaches. For example, a data processing system can be configured to execute programs directly in real time, that is, without emulating system resources, such as a central processor 125, memory 130, and others. After the execution of the program is completed, the resources used by the malware detection application can be returned to their original state, and the program execution data can be deleted.
Изложенная система и метод обладают высокой эффективностью и точностью анализа известного и неизвестного программного обеспечения и приложений. Аналитики, изолированные от внешних аудио- и видеораздражителей, снабжены удобными устройствами ввода. Предоставляемые события могут быть мгновенно проанализированы. Система способна классифицировать порядка 3000 событий в час. Работа аналитика стала автоматической, зачастую рефлексивной. Более того, так как повторяющиеся события не предоставляются аналитику, классификация события применяется ко всем событиям. Это означает, что если событие А повторяется 2572 раза, то классификация одного из 2572 событий влечет классификацию всех событий данной группы.The stated system and method have high efficiency and accuracy of analysis of known and unknown software and applications. Analysts isolated from external audio and video irritators are equipped with convenient input devices. Provided events can be instantly analyzed. The system is able to classify about 3000 events per hour. The analyst’s work has become automatic, often reflective. Moreover, since recurring events are not provided to the analyst, event classification is applied to all events. This means that if event A is repeated 2572 times, then the classification of one of 2572 events entails the classification of all events in this group.
В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.In accordance with the description, components, execution steps, data structure described above can be performed using various types of operating systems, computer platforms, programs.
В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.
Claims (15)
средство поиска программ, предназначенное для поиска программ в Интернет, связанное со средством обработки данных;
средство обработки данных, предназначенное для обработки найденных программ средством поиска программ, и связанное с рабочей станцией аналитика, включающее:
хранилище данных о вредоносном и законном программном обеспечении, содержащее черные списки, белые списки, примеры поведения программ, примеры вредоносных и законно используемых программ, предназначенные для калибровки системы;
средство проверки принадлежности найденных средством поиска программ к черному или белому списку программ;
средство эмуляции кода программ, не относящихся к черному или белому списку;
средство отслеживания событий, вызываемых при исполнении программы в ходе эмуляции;
средство классификации отслеживаемых в ходе эмуляции событий на вредоносные и не вредоносные;
средство сбора информации о событиях, не поддающихся классификации; и
рабочую станцию аналитика, связанную со средством обработки данных, включающую:
средство изолирования аналитика от внешних аудиовидеораздражителей;
устройство калибровки рабочей станции аналитика, предназначенное для формирования калибровочного профиля аналитика на основе примеров известных вредоносных и законно используемых программ, хранящихся в хранилище данных, с целью предотвращения ложных срабатываний и настройки системы под различных аналитиков;
устройство вывода для предоставления списка не поддающихся классификации событий и дополнительной информации о данных событиях аналитику;
устройство ввода, состоящее, по меньшей мере, из одного датчика; и анализатор, предназначенный для обнаружения вредоносного программного обеспечения с учетом параметров данных, полученных устройством ввода, и данных устройства калибровки рабочей станции аналитика.1. The malware detection system contains:
program search tool for searching programs on the Internet associated with a data processing means;
data processing means designed to process the programs found by the program search tool and associated with the analytics workstation, including:
a repository of data on malicious and legitimate software containing black lists, white lists, examples of program behavior, examples of malicious and legitimately used programs designed to calibrate the system;
means for verifying that the programs found by the search tool belong to the black or white list of programs;
means for emulating code of programs not related to the black or white list;
means for tracking events that are called during program execution during emulation;
a means of classifying events monitored during emulation into malicious and non-malicious;
a means of collecting information about events that are not amenable to classification; and
analytics workstation associated with a data processing tool, including:
means for isolating the analyst from external audio and video irritators;
analytic workstation calibration device designed to generate the analyst’s calibration profile based on examples of known malicious and legally used programs stored in the data warehouse in order to prevent false positives and configure the system for various analysts;
an output device for providing a list of non-categorized events and additional information about these events to the analyst;
an input device consisting of at least one sensor; and an analyzer designed to detect malicious software, taking into account the parameters of the data received by the input device and the data of the calibration device of the analyst workstation.
кнопочное устройство, чувствительное к движениям пальцев;
датчик давления, чувствительный к движениям пальцев;
видеокамеру, отслеживающую движения глаз аналитика;
аудиодатчик для обнаружения и анализа голосовых команд;
электрический сенсор для отслеживания биосигналов аналитика.4. The system according to claim 1, in which the input device may include:
a button device that is sensitive to finger movements;
pressure sensor sensitive to finger movements;
video camera tracking analyst’s eye movements;
an audio sensor for detecting and analyzing voice commands;
electric sensor for tracking bio signals of the analyst.
частоту возникновения неподдающихся классификации событий в течение эмуляции программы; и
частоту возникновения неподдающихся классификации событий в известной вредоносной программе.5. The system according to claim 1, in which additional information about the events includes:
the frequency of occurrence of unclassifiable events during program emulation; and
the frequency of occurrence of unclassifiable events in a known malicious program.
формирования калибровочного профиля аналитика на основе примеров известных вредоносных и законно используемых программ;
поиска новых программ в Интернет;
сравнения найденных программ с черным и белым списком программ;
эмуляции исполнения программного кода;
отслеживания событий исполнения программ;
классификации событий как вредоносные или не вредоносные;
сбора информации о событиях, не поддающихся классификации;
предоставления списка не поддающихся классификации событий аналитику через видеоустройство;
преобразования психологических реакций аналитика на предоставляемую ему информацию; и
определения вредоносных событий из списка не поддающихся событий на основании полученных данных психологических реакций аналитика.8. The malware detection method consists of:
the formation of the analyst’s calibration profile based on examples of known malicious and legally used programs;
search for new programs on the Internet;
comparing the programs found with the black and white list of programs;
emulation of program code execution;
tracking program execution events;
classifying events as malicious or non-malicious;
collecting information on events that are not amenable to classification;
providing a list of unclassifiable events to the analyst through the video device;
transformations of the analyst’s psychological reactions to the information provided to him; and
determination of malicious events from the list of non-malleable events based on the received data of the analyst’s psychological reactions.
частоту возникновения не поддающихся классификации событий в течение эмуляции программы; и
частоту возникновения не поддающихся классификации событий в известной вредоносной программе.11. The method according to claim 8, in which information about not classifiable events includes:
the frequency of occurrence of unclassifiable events during program emulation; and
the frequency of occurrence of unclassifiable events in a known malicious program.
кнопочного устройства, чувствительного к движениям пальцев; датчика давления, чувствительного к движениям пальцев; видеокамеры, отслеживающей движения глаз аналитика; аудиодатчика для обнаружения и анализа голосовых команд; электрического сенсора для отслеживания биосигналов аналитика.14. The method of claim 8, in which psychological reactions are recognized using:
a button device that is sensitive to finger movements; pressure sensor sensitive to finger movements; analyst eye tracking video camera; an audio sensor for detecting and analyzing voice commands; An electric sensor for tracking biosignals analyst.
эмуляция исполнения программного кода;
отслеживание событий исполнения программ;
классификация событий;
сбор информации о событиях, не поддающихся классификации;
предоставление списка не поддающихся классификации событий аналитику через видеоустройство;
отслеживание психологических реакций аналитика на предоставляемую ему информацию; и
определение вредоносных событий из списка не поддающихся событий на основании полученных данных психологических реакций аналитика. 15. Machine-readable medium for controlling access to a storage device on which a computer program is stored, during which the following steps are performed on a computer:
emulation of program code execution;
tracking of program execution events;
classification of events;
collection of information about events that are not amenable to classification;
Providing a list of non-categorizable analytics events through the video device
tracking the analyst’s psychological reactions to the information provided to him; and
determination of malicious events from the list of non-malleable events based on the received data of the analyst’s psychological reactions.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2010107437/08A RU2430411C1 (en) | 2010-03-02 | 2010-03-02 | System and method of detecting malware |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2010107437/08A RU2430411C1 (en) | 2010-03-02 | 2010-03-02 | System and method of detecting malware |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2430411C1 true RU2430411C1 (en) | 2011-09-27 |
Family
ID=44804251
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2010107437/08A RU2430411C1 (en) | 2010-03-02 | 2010-03-02 | System and method of detecting malware |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2430411C1 (en) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2472215C1 (en) * | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Method of detecting unknown programs by load process emulation |
RU2485577C1 (en) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Method of increasing reliability of detecting malicious software |
RU2514142C1 (en) * | 2012-12-25 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method for enhancement of operational efficiency of hardware acceleration of application emulation |
RU2527738C1 (en) * | 2013-04-24 | 2014-09-10 | Общество с ограниченной ответственностью "НАНО Секьюрити" | Method of neutralising malware blocking pc operation using separate device for user activation of malware counteracting procedure |
WO2014145626A1 (en) * | 2013-03-15 | 2014-09-18 | Jon Rav Gagan SHENDE | Cloud forensics |
RU2652448C1 (en) * | 2017-08-10 | 2018-04-26 | Акционерное общество "Лаборатория Касперского" | System and method of adapting patterns of dangerous program behavior to users' computer systems |
RU2658132C1 (en) * | 2013-03-15 | 2018-06-19 | Макафи, Инк. | General unpacking of applications for detecting malicious programs |
RU2659742C1 (en) * | 2017-08-17 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Method for emulating the execution of files comprising instructions, different from machine instructions |
RU2679175C1 (en) * | 2015-06-12 | 2019-02-06 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Method of behavioral detection of malicious programs using a virtual interpreter machine |
RU2679783C2 (en) * | 2015-12-18 | 2019-02-12 | Закрытое акционерное общество "Лаборатория Касперского" | Method of creating script of popular activation events |
RU2680738C1 (en) * | 2015-05-17 | 2019-02-26 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Cascade classifier for the computer security applications |
RU2731467C1 (en) * | 2019-11-06 | 2020-09-03 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Method for early detection of destructive effects of botnet on a communication network |
-
2010
- 2010-03-02 RU RU2010107437/08A patent/RU2430411C1/en active
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2472215C1 (en) * | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Method of detecting unknown programs by load process emulation |
RU2485577C1 (en) * | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Method of increasing reliability of detecting malicious software |
RU2514142C1 (en) * | 2012-12-25 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Method for enhancement of operational efficiency of hardware acceleration of application emulation |
WO2014145626A1 (en) * | 2013-03-15 | 2014-09-18 | Jon Rav Gagan SHENDE | Cloud forensics |
RU2658132C1 (en) * | 2013-03-15 | 2018-06-19 | Макафи, Инк. | General unpacking of applications for detecting malicious programs |
RU2527738C1 (en) * | 2013-04-24 | 2014-09-10 | Общество с ограниченной ответственностью "НАНО Секьюрити" | Method of neutralising malware blocking pc operation using separate device for user activation of malware counteracting procedure |
US9262636B2 (en) | 2013-04-24 | 2016-02-16 | Nano Security Ltd. | Method for neutralizing PC blocking malware using a separate device for an antimalware procedure activated by user |
EA029778B1 (en) * | 2013-04-24 | 2018-05-31 | Общество с ограниченной ответственностью "НАНО Секьюрити" | Method for neutralizing pc blocking malware using a separate device for an antimalware procedure activated by user |
RU2680738C1 (en) * | 2015-05-17 | 2019-02-26 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Cascade classifier for the computer security applications |
RU2679175C1 (en) * | 2015-06-12 | 2019-02-06 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Method of behavioral detection of malicious programs using a virtual interpreter machine |
RU2679783C2 (en) * | 2015-12-18 | 2019-02-12 | Закрытое акционерное общество "Лаборатория Касперского" | Method of creating script of popular activation events |
RU2652448C1 (en) * | 2017-08-10 | 2018-04-26 | Акционерное общество "Лаборатория Касперского" | System and method of adapting patterns of dangerous program behavior to users' computer systems |
RU2659742C1 (en) * | 2017-08-17 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Method for emulating the execution of files comprising instructions, different from machine instructions |
RU2731467C1 (en) * | 2019-11-06 | 2020-09-03 | Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации | Method for early detection of destructive effects of botnet on a communication network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2430411C1 (en) | System and method of detecting malware | |
US8484727B2 (en) | System and method for computer malware detection | |
Alazab et al. | Towards understanding malware behaviour by the extraction of API calls | |
US9876812B1 (en) | Automatic malware signature extraction from runtime information | |
US11481492B2 (en) | Method and system for static behavior-predictive malware detection | |
US8850581B2 (en) | Identification of malware detection signature candidate code | |
US8762948B1 (en) | System and method for establishing rules for filtering insignificant events for analysis of software program | |
EP1543396B1 (en) | Method and apparatus for the automatic determination of potentially worm-like behaviour of a program | |
US8555385B1 (en) | Techniques for behavior based malware analysis | |
US9015814B1 (en) | System and methods for detecting harmful files of different formats | |
US20100192222A1 (en) | Malware detection using multiple classifiers | |
EP3211558B1 (en) | Multi-threat analyzer array system and method of use | |
EP3341884B1 (en) | Systems methods and devices for memory analysis and visualization | |
WO2020040878A1 (en) | Enhancing cybersecurity and operational monitoring with alert confidence assignments | |
EP2797021B1 (en) | A method for neutralizing pc blocking malware using a separate device for an antimalware procedure activated by user | |
Choi et al. | Toward extracting malware features for classification using static and dynamic analysis | |
US20210173760A1 (en) | Software diagnostic context selection and use | |
US11528298B2 (en) | Methods and systems for preventing malicious activity in a computer system | |
Canto et al. | Large scale malware collection: lessons learned | |
Sun et al. | Malware virtualization-resistant behavior detection | |
US20230153439A1 (en) | Early filtering of clean file using dynamic analysis | |
Rana et al. | Automated windows behavioral tracing for malware analysis | |
Gregory Paul et al. | A framework for dynamic malware analysis based on behavior artifacts | |
Van Randwyk et al. | Farm: An automated malware analysis environment | |
Safitri | A study: Volatility forensic on hidden files |