RU2446459C1 - Система и способ проверки веб-ресурсов на наличие вредоносных компонент - Google Patents
Система и способ проверки веб-ресурсов на наличие вредоносных компонент Download PDFInfo
- Publication number
- RU2446459C1 RU2446459C1 RU2010130874/08A RU2010130874A RU2446459C1 RU 2446459 C1 RU2446459 C1 RU 2446459C1 RU 2010130874/08 A RU2010130874/08 A RU 2010130874/08A RU 2010130874 A RU2010130874 A RU 2010130874A RU 2446459 C1 RU2446459 C1 RU 2446459C1
- Authority
- RU
- Russia
- Prior art keywords
- web resource
- verification
- web
- parameters
- tool
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Изобретение относится к системам и способам безопасности вычислительных средств и более конкретно к системам и способам проверки веб-ресурсов на наличие вредоносных, потенциально опасных и нежелательных компонент и предназначено для решения проблемы эффективного и оперативного детектирования фактов или возможности заражений веб-ресурсов. Технический результат, заключающийся в обнаружении вредоносных, потенциально опасных и нежелательных компонент на защищенных удаленных веб-ресурсах, достигается за счет составления списка веб-ресурсов для проверки, установки времени или частоты проверки, управления авторизацией на веб-ресурсе и процесса проверки. Данная система позволяет эффективно и оперативно детектировать факт заражения одного или нескольких веб-ресурсов из списка с учетом прав доступа к данному веб-ресурсу. 2 н. и 23 з.п. ф-лы, 5 ил.
Description
Область техники
Настоящее изобретение относится к системам и способам безопасности компьютерных систем и более конкретно к системам и способам удаленной проверки защищенных веб-ресурсов на наличие вредоносных, потенциально опасных и нежелательных компонент.
Уровень техники
С развитием веб-технолий, таких как: Ajax, Java, PHP, Flash и другие - веб-сайты становятся более доступными, медиа-насыщенными и функциональными, что, несомненно, повышает их привлекательность и популярность среди пользователей компьютерных систем. С введением методики проектирования Интернет-систем, получившей название Web 2.0, пользователи получили возможность не только получать информацию из Интернета, но и непосредственно заполнять ею сайты. Помимо текстовых сообщений так же поддерживается передача медиа-файлов, таких как фото-, видеофайлы, документы, анимация и программы. Активное участие людей в непосредственном создании контента (т.е. наполнении содержимым) сайта приводит к быстрому развитию и изменению содержимого. Примером может являться новостная лента или форум.
Увеличение популярности веб-ресурсов приводит к тому, что эта среда становится более привлекательна для злоумышленников, распространяющих вредоносные программы.
Помимо файлов, загружаемых на сайт, в страницу может быть включен вредоносный сценарий, iframe (включение содержимого одной веб-страницы в другую), уязвимость (также называемая "эксплойт") и т.д. Заражению могут быть подвержены файлообменники, форумы, блоги, веб-интерфейсы почтовых серверов и любые другие ресурсы. Заражение может быть осуществлено через любой интерфейс: форму заполнения сайта (в этом случае такое заражение выполняется чаще всего вручную - инсайдером или укравшим пароли злоумышленником); уязвимость в системе управления сайтом; доступ к файлам сайта по FTP. Список ресурсов не ограничивается протоколом передачи HTTP, в него так же входят и FTP-ресурсы и другие серверы. Как правило, FTP-серверы используются в качестве вспомогательных средств для удаленного администрирования сайта, в том числе редактирования, загрузки сценариев. Однако подключение к FTP-серверу предоставляет возможность проверки всех сценариев сайта, а не только тех, которые исполняются на компьютере пользователя. При доступе к файлам сайта по FTP система безопасности может анализировать исходные коды сценариев и страниц, тогда как при доступе по HTTP система безопасности анализирует только результат работы сценария и/или результат обработки файлов сайта веб-сервером.
Несанкционированный доступ к учетной записи одного пользователя и загрузка от его имени вредоносной программы могут привести к быстрому распространению этой программы из-за доверия к этому лицу со стороны других пользователей.
Помимо общедоступных сервисов Интернета существуют также локальные сайты (корпоративные, ресурсы локальных сетей, пользовательские сайты), которые не доступны извне данной сети. Это накладывает определенные сложности в сканировании данного ресурса на наличие вирусов антивирусными службами.
Существуют технологии, которые обладают одним или несколькими признаками данного изобретения, однако интеллектуальный вклад в развитие технологии представляет новизну и позволяет исключить все имеющиеся недостатки.
В патентах US 6785732 и US 7177937 раскрывается идея проверки веб-серверов на наличие вредоносных программ, в том числе почтовых серверов, серверов обмена сообщениями и сайтов. В конце проверки пользователь информируется о наличии или отсутствии вирусов. Подобная технология неприменима для проверки защищенных веб-ресурсов, требующих авторизации пользователя. Система и способ проверки веб-ресурсов на наличие вредоносных компонент эффективно решает данную задачу благодаря специальным средствам, позволяющим получить доступ к данным, загружаемым или хранимым на веб-сервере.
В патентной заявке WO 0191350 A2 раскрывается идея управления безопасностью компьютеров в сети путем отправки запросов и проверки ответов. Система контролирует состояние компьютеров в режиме реального времени и посылает тревогу в случае нарушения правил безопасности. Однако данная система не является универсальной для всех серверов, в то время как описываемое изобретение позволяет работать с веб-серверами, поддерживающими известные протоколы передачи данных.
В патентной заявке WO 0158131 A3 описывается идея эмуляции интерактивного подключения, включая генерацию запроса, перехват ответа компьютера клиента и отображение информации. Данная технология нацелена на исследование ответа компьютера, в то время как описываемое изобретение симулирует работу приложений для построения универсального запроса, при котором представление данных не должно зависеть от типа приложения.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему и способ для удаленной проверки защищенных веб-ресурсов.
Сущность изобретения
Настоящее изобретение предназначено для решения проблемы эффективного и оперативного обнаружения заражений веб-ресурсов. Техническим результатом настоящего изобретения является обнаружение вредоносных, потенциально опасных и нежелательных компонент на защищенных удаленных веб-ресурсах. Описанное далее изобретение позволяет составлять список веб-ресурсов для проверки, устанавливать время и/или частоту проверки и управлять авторизацией на веб-ресурсе.
Согласно системе проверки веб-ресурса на наличие вредоносных компонент, содержащей: (а) средство составления списка проверки, предназначенное для выделения адресов веб-ресурсов из клиент-приложений, определения параметров проверки для соответствующего адреса веб-ресурса, при этом средство составления списка проверки связано с базой данных параметров проверки; (б) средство перехвата идентификаторов, предназначенное для выделения идентификаторов пользователей из клиент-приложений, добавления новых идентификаторов пользователей и сохранения идентификаторов пользователей для соответствующего адреса веб-ресурса в базу данных параметров проверки, при этом средство перехвата идентификаторов связано с базой данных параметров проверки; (в) средство проверки, предназначенное для авторизации на веб-ресурсе с использованием идентификаторов пользователей и для дальнейшей проверки веб-ресурса на наличие вредоносных компонент с учетом параметров проверки, при этом средство проверки связано с базой данных параметров проверки; (г) упомянутую базу данных параметров проверки, предназначенную для хранения параметров проверки веб-ресурсов и идентификаторов пользователей.
В частном варианте реализации авторизация средства проверки на веб-ресурсе производится на основе полученных идентификаторов пользователя, соответствующих данному веб-ресурсу, которые считываются из базы данных параметров проверки.
В другом частном варианте реалицазии параметры проверки составляет совокупность, по меньшей мере, адреса веб-ресурса и идентификаторов пользователя для авторизации на веб-ресурсе, и дополнительно параметры могут содержать глубину проверки или частоту проверки.
Еще в одном частном варианте реализации средство проверки предназначено для анализа загружаемых с веб-ресурса данных и хранящихся на веб-ресурсе данных.
Существует пример системы, в которой данные веб-ресурса составляют, по меньшей мере, ссылки или сценарии или фреймы или файлы.
Также в одном из примеров системы средство проверки предназначено также для имитации работы клиент-приложения во время установления соединения с веб-ресурсом и авторизации пользователя на веб-ресурсе.
В другом примере системы имитация клиент-приложения происходит путем замены заголовков в протоколе передачи данных.
Еще в одном примере системы средство проверки предназначено для проведения проверки веб-ресурса с определенной частотой, которая соответствует данному веб-ресурсу, хранится в базе данных параметров проверки и устанавливается автоматически средством проверки в зависимости от загрузки средства проверки или частоты обновления содержимого веб-ресурса или времени последнего зафиксированного заражения веб-ресурса.
Существует вариант реализации, в котором средство проверки предназначено также для составления отчета по окончании проверки, включающего совокупность, по меньшей мере, времени проверки, наименований обнаруженных вредоносных программ или угроз безопасности, адресов страниц, на которых обнаружены вредоносные программы или угрозы безопасности.
В одном из вариантов реализации отчет о проверке используется средством проверки в качестве настроек и параметров блокирования доступа к веб-ресурсу или отдельным объектам веб-ресурса.
В частном варианте реализации идентификаторами пользователей являются логин, или пароль, или идентификационный номер, или cookie-файлы, или сессионный ключ, или ссылка доступа.
Другой частный вариант реализации дополнительно содержит базу данных страниц веб-ресурсов, предназначенную для хранения проверенных объектов страниц веб-ресурсов и связанную со средством проверки.
В частном варианте реализации средство проверки предназначено также для сравнения объектов страниц веб-ресурса с сохраненными объектами страниц веб-ресурса и запуска проверки веб-ресурса на наличие вредоносных компонент в случае изменения объекта и/или атрибута объекта.
Краткое описание прилагаемых чертежей
Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 показывает типовую схему взаимодействия компьютерной системы пользователя с сервером веб-ресурса.
Фиг.2 показывает типовую схему проверки веб-ресурса в случае соединения и аутентификации пользователя с помощью клиент-приложения.
Фиг.3 показывает схему проверки веб-ресурса с помощью системы проверки веб-ресурсов, установленной в компьютерной системе пользователя, которой осуществляется соединение и аутентификации пользователя.
Фиг.4 показывает модель базы данных параметров проверки.
Фиг.5 показывает модель базы данных проверенных страниц веб-ресурса.
Подробное описание предпочтительных вариантов осуществления
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
На Фиг.1 изображена типовая схема взаимодействия компьютерной системы пользователя с сервером, представляющим собой веб-ресурс. Веб-, FTP-серверами называют программу, выполняющую функции сервера (компьютерной системы), на котором эта программа работает. Помимо web-сервера 110 или FTP-сервера 120 могут быть установлены также другие серверные приложения, например почтовый сервер, прокси-сервер, сервер системы IRC и т.д, каждый из которых предоставляет свой собственный сервис. Для доступа к подобным сервисам на пользовательских компьютерах 140 должны быть установлены программы, например браузер 130, файловый менеджер 150 и т.д. Клиенты 140 получают доступ к представляемым данным веб-сервера 100 по URL-адресу нужной им веб-страницы или другого ресурса. Каждое серверное приложение и соответствующий клиент взаимодействуют по различным протоколам. Основными протоколами передачи данных между клиентом 140 и сервером 100 являются HTTP(S), (S)FTP, POP3, SMTP, IMAP4 и другие. Большинство серверов поддерживают авторизацию, таким образом, порядок обмена данными в общем виде содержит передачу данных авторизации от клиента 140 серверу 100, где проходит авторизация, и передача данных от сервера 100 клиенту 140 с учетом выданных прав. Персонализация дает возможность сделать веб-ресурс уникальным для каждого пользователя.
Для разграничения пользователей, их прав и предоставляемых данных используется авторизация. Она осуществляется пользователем через клиентское приложение, например, через заполнение формы в браузере. Часто в этих приложениях существует возможность сохранения идентификационных данных по желанию пользователя. Таким образом, если осуществить переход на ресурс, на котором ранее была успешно пройдена авторизация, с помощью другого приложения, в котором не сохранены идентификационные данные, доступ окажется либо закрыт, либо будет предложено авторизоваться, либо ресурс будет работать в ограниченных правах гостя. Гостевая учетная запись присваивается неавторизованному пользователю. Благодаря разграничению предоставляемых данных по учетным записям, каждый пользователь может настроить свой собственный интерфейс, ограничить доступ к персональной странице или почте, определить отображаемые страницы (разделы, темы).
Для безопасной работы в зоне Интернет или на ресурсах локальной сети необходимо проверять загружаемый с них контент. В загружаемой странице, файле, документе могут содержаться вирусы, трояны, рекламные программы, эксплойты для приложений (редактор файлов, браузер, медиа-проигрыватель, flash-проигрыватель и другие).
В состав системы защиты персонального компьютера помимо файлового антивируса могут входить также спам-фильтр, сетевой экран, защита от сетевых атак, веб-антивирус, удаленные средства безопасности антивирусных компаний.
Антивирусные технологии на данный момент сильно развиваются и включают множество различных методов и систем, реализующие как эвристические, так и сигнатурные методы анализа. К сигнатурным видам анализа веб-сайтов относятся:
- Черный список страниц (URL-blacklist);
- Список доверенных приложений/компонент (Whitelisting);
- Коллекция зловредных компонент.
Эвристический анализ более насыщен методами, включающими:
- Эмуляцию программ;
- Эмуляцию сценариев (скриптов);
- Виртуализацию среды исполнения;
- Контроль приложений (анализ активности приложений);
Сетевой экран необходим для контроля и фильтрации сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами для сетевых соединений:
- Фильтрация на основе статических правил;
- Фильтрация с отслеживанием текущих приложений и контроль логики и алгоритмов работы соответствующих протоколов.
Система защиты от сетевых атак запускается при старте операционной системы и отслеживает во входящем графике активность, характерную для сетевых атак. Обнаружив попытку атаки на компьютер, система блокирует любую сетевую активность атакующего компьютера в отношении компьютера пользователя.
Веб-антивирус перехватывает и блокирует выполнение сценария, расположенного на веб-сайте, если он представляет угрозу. Строгому контролю также подвергается весь НТТР-трафик. Веб-антивирус осуществляет анализ веб-ресурсов на предмет фишинг-мошенничества и фильтрует баннеры, всплывающие окна и т.д.
Защита осуществляется не только на компьютере пользователя. Новые вредоносные компоненты исследуются в антивирусной лаборатории и собираются с компьютеров пользователей, и в случае детектирования вредоносных действий, обновляются вирусные базы, которые пользователь может загрузить. Другим рубежом защиты может являться локальный сервер защиты, который анализирует ситуацию в локальной сети, сканирует трафик и сетевую активность компьютеров.
Существуют также веб-сервисы (веб-сканеры), которые позволяют осуществить проверку Интернет-ресурса или файла. При этом пользователь загружает файл или вводит URL ресурса и вся проверка происходит на стороне веб-сервиса антивирусной компании. Однако в данном случае нет возможности проверить защищенные страницы.
Рассмотрим процесс проверки веб-ресурса средствами, установленными на компьютере клиента и на удаленном веб-сервере антивирусной компании, более детально.
В случае использования локальных средств защиты, веб-ресурс будет проверяться при его загрузке, то есть при переходе на соответствующий URL-адрес клиент-приложением. Важно отметить, что при этом пользователь авторизуется на веб-ресурсе и загружается контент, определенный для этой учетной записи. Он может содержать сценарии, ссылки, статьи, сообщения, письма от доверенных пользователей. На Фиг.2 изображена схема проверки веб-ресурса 200 на наличие вредоносных программ и ссылок на зараженные ресурсы, в которой соединение с ресурсом 200 клиент 210 устанавливает с помощью клиент-приложения 220. Клиентом-приложением 220 в этом случае может быть браузер, файловый менеджер или другое приложение, взаимодействующее с сервером 200 по протоколу передачи данных 230. Клиент-приложение 220 передает на сервер-приложение 240 идентификаторы 250. В зависимости от схемы авторизации 260, идентификаторы 250 могут представлять собой логин, пароль, сессионный ключ, cookie-файл, специальный заголовок протокола, сетевой или физический адрес компьютера, биометрические данные, сертификат и другие данные. Запрос клиент-приложения к серверу обрабатывается каждым соответствующим сервером-приложением 240, проводится авторизация 260, и в зависимости от ее результатов, сервер открывает документ или генерирует веб-страницу, FTP-страницу или другое представление данных (в зависимости от типа предоставляемого сервиса). Безопасность передаваемых и принимаемых данных осуществляет средство безопасности 270. Подобная схема может быть реализована как на персональном компьютере, так и на веб-сервере антивирусной компании. При этом скорость, актуальность антивирусных баз, эффективность эвристического анализа на стороне сервера могут быть выше, чем на стороне персонального компьютера. Но принципиальным отличием в данном случае являются данные, представляемые проверяемым веб-ресурсом 200 в зависимости от идентификационных данных 250. В случае когда проверка будет происходить на сервере, результатом авторизации будет либо отказ в доступе, либо передача прав гостевой учетной записи. Результаты проверки будут отличаться даже при равных технологических возможностях на сервере и на компьютере пользователя.
Ограничение на использование антивирусных веб-сканеров составляют также правила маршрутизации. В случае если веб-ресурс входит в состав локальной сети и не имеет внешнего сетевого адреса, он будет недоступен извне этой локальной сети и его можно будет проверить только с использованием средства безопасности, которое установлено на компьютерной системе, подключенной к данной локальной сети.
Многие злоумышленники знают о существовании подобных веб-сканеров и заведомо блокируют доступ к ресурсу, на котором выкладывают вредоносную программу, для адресов антивирусных компаний, что усложняет проверку.
До тех пор, пока пользователь не загрузит страницу веб-ресурса, она не может быть проверена с применением данной схемы. Под «страницей» далее следует понимать html-файл, файлы FTP-сервера, передаваемые со стороны сервера данные, которые зависят от прикладного протокола связи. Веб-ресурс может содержать несколько тысяч страниц, и чтобы проверить их все с применением существующей схемы проверки, показанной на Фиг.2, потребуется много времени и ресурсов. Ситуация еще больше усложняется, если необходимо проверять несколько различных веб-ресурсов, с определенной периодичностью.
Статистика свидетельствует о том, что большинство зловредных программ, ссылок на зараженные страницы и т.п. располагаются на главных страницах веб-ресурсов или на первых страницах разделов. Это не упрощает процесс проверки, так как для каждого сервера часто используются разные идентификационные данные. Для проверки списка веб-ресурсов на большинстве из них необходимым является процесс прохождения авторизации, что также усложняет сканирование сайтов на наличие вредоносного кода.
В описываемом изобретении устранены все указанные ранее недостатки. Система и способ проверки веб-ресурсов по расписанию позволяют составлять списки проверки, настраивать доступ к веб-ресурсу, определять частоту и глубину проверки, сканировать веб-ресурсы с учетом выбранных настроек без использования дополнительных клиент-приложений 220 и средств.
Система, показанная на Фиг.3, производит проверку веб-ресурсов на наличие уязвимостей и вредоносных программ и информирует об опасности. Система состоит из нескольких средств: средства составления списка проверки 310, средство перехвата идентификаторов 320, база данных параметров проверки 330, системы безопасности 340.
Система проверки веб-ресурсов по расписанию может быть реализована в виде отдельной компьютерной системы, на удаленном сервере или на компьютере пользователя.
Для эффективной работы системы необходимо настроить некоторые параметры. В первую очередь необходимо составить список проверки. Данную функцию реализует средство составления списка проверки 310. Как известно, существует ряд веб-ресурсов или даже их отдельных разделов, которые пользователь посещает чаще остальных, или ресурсы, в защите которых он заинтересован, например, в случае если пользователь является автором, администратором или владельцем данных ресурсов. В результате этого, перед пользователем стоит важная проблема - как можно скорее зафиксировать факт заражения ресурса. Большинство адресов веб-ресурсов пользователь может перечислить и указать самостоятельно, но для упрощения и исключения случаев, когда адрес веб-ресурса утерян или забыт, средство составления списка проверки 310 предлагает вносить адреса страниц по результатам сканирования. Предлагаемый список создается путем ведения и импорта журнала посещений, закладок "любимых страниц" (Favorites) или других источников. Существует возможность автоматического заполнения списка путем добавления и/или удаления ресурсов в зависимости от количества посещений и времени посещений.
Не менее важным, как было отмечено ранее, является параметр авторизации на веб-ресурсе. В зависимости от него загружаемые данные с одного адреса могут отличаться. К тому же, в некоторых частных случаях пользователь обладает несколькими учетными записями, а если он владелец или разработчик - то и правами администратора. Вопрос учета идентификации пользователя на веб-ресурсе решается с помощью средства перехвата идентификаторов 320. Существует возможность самостоятельно ввести или предоставить средству идентификационные данные, например логин и пароль, и возможность интеллектуальной регистрации идентификационных данных. Интеллектуальная регистрация осуществляется при работе клиент-приложения 220 в момент авторизации (при передаче на сервер ключей). Например, в случае HTTP протокола регистрируются cookie-файлы, заголовки запросов (get, post). Средство перехвата идентификатора 320 может быть настроено на перехват по умолчанию или по требованию, а также может импортировать данные из системных папок клиент-приложений 220, в которых эти данные хранятся. Вариантами реализации служат системы в виде модуля для браузера, который ведет журнал посещений и паролей; менеджера паролей, сохраняющего все вводимые в приложения идентификаторы; фильтра сетевого трафика, способного выделить из графика ссылки и идентификаторы; драйвера, контролирующего работу клиент-приложения и перехватывающего все команды.
Полученные параметры проверки: списки проверки и идентификаторы на соответствующих ресурсах - сохраняются в базу данных параметров проверки 330. Добавление веб-ресурса в список проверки осуществляется также в автоматическом режиме, например с использованием причинно-следственных правил на основе логики или статистики.
Если {Кол-во посещений = «много»} то {добавить в <список>} И
Если {время последнего посещения = «давно»} то {удалить из <список>}
В данном случае значения «много», «давно» могут быть нормированы в зависимости от общего количества подключений пользователем к сайтам. Если он нечасто посещает сайты - количество подключений менее ста подключений в день, и при этом он посещал интересующий веб-ресурс порядка десяти раз, то этому будет соответствовать терм «много», если же количество подключений превышает тысячу подключений в день, то терм будет «мало». Аналогично со временем последнего посещения. Срок в один месяц можно считать «давно», если последнее соединение с Интернетом состоялось один день назад, и «недавно», если последнее соединение с Интернетом состоялось три недели назад соответственно.
Помимо указанных параметров в базе данных параметров проверки также хранятся настройки по глубине сканирования и периодичности. Когда проверяется страница, в ней выделяются ссылки на разделы или другие ресурсы, которые, в свою очередь, тоже могут содержать подразделы в виде ссылок на них. Глубина сканирования - количество проверяемых подразделов при проверке указанного веб-ресурса. Если в качестве глубины сканирования указан «0», то будет проверена только страница с соответствующим адресом, если «1», то все страницы, на которые присутствуют ссылки на первой странице и т.д. Подобное решение позволяет упростить процесс проверки и ее настройки для крупных и сложно структурированных порталов. Частота проверки влияет на оперативность обнаружения заражения или угрозы заражения. Данный параметр может быть актуален в случае, если объем проверки велик и требуется ввести приоритеты для ресурсов, а так же в случае, когда существует необходимость экономии вычислительных ресурсов на процесс проверки. Частота проверки также настраивается автоматически. Зависимость частоты от загрузки компьютера, от частоты обновления содержимого веб-ресурса, от времени последнего зафиксированного заражения веб-ресурса, частоты посещения данного веб-ресурса может быть задана функционально, графически, с помощью логических правил или, например, таблично:
Частота изменения содержимого | Частота проверки |
1 раз в день | 2 раза в день |
1 раз в месяц | 1 раз в неделю |
Модель базы данных параметров проверки показана на Фиг.4. Данный пример содержит четыре сущности: «список веб-ресурсов» 400, «идентификаторы» 410, «частота проверки» 420 и «глубина проверки» 430. При этом сущность «идентификаторы» обладает атрибутами: логин, пароль, сессионный ключ, а сущность «частота проверки»: время, частота, событие. Связь сущностей обеспечивается с помощью сводной таблицы база проверки 440. В результате можем получить таблицу, в которой, например, для адреса UriID существуют учетные записи с идентификаторами SessionID. Данную UriID страницу необходимо проверять с частотой TimeID с глубиной проверки ScanID.
После того как база данных параметров проверки заполнена (имеет хотя бы одну запись в таблице база проверки), средство проверки, показанное на Фиг.3, выполняет анализ страниц с учетом заданных параметров (или с параметрами по умолчанию).
Средство проверки 340 инициирует процесс соединения с веб-ресурсом 370 по заданному адресу. После установления соединения 360 средство проверки передает серверу идентификаторы 350, выбранные из базы данных параметров проверки 330. После авторизации, сервер должен загрузить данные на компьютер пользователя, которые проверяются средством проверки.
Протокол HTTP включает передачу заголовков, содержащих информацию о браузере, операционной системе и т.д. Некоторые ресурсы разрабатываются под определенные приложения, так как большинство из них интерпретируют страницы по-разному. В случае если инициировать подключение, подставляя в качестве заголовков данные Internet Explorer, тем самым имитируя работу распространенного браузера, присутствует вероятность специфического представления страницы. Существуют сценарии, которые подключаются в зависимости от версии браузера. Описываемое изобретение позволяет исключить зависимость от клиент-приложения, имитируя большинство из них, такие как Chrome, FireFox, Opera и другие.
Процесс анализа веб-ресурса средством проверки 340 включает работу файлового- и веб-антивирусов, которые, в свою очередь, используют всевозможные эвристические и сигнатурные способы обнаружения вредоносных программ, сценариев, уязвимостей в клиент-приложениях 220. При проверке веб-страниц, передающихся по HTTP протоколу, средство проверки разбирает их на составные части и выделяет ссылки, сценарии, фреймы, изображения и другие объекты. Затем эмулирует поведение сценариев, проверяет url-адреса в черных списках, которые входят в антивирусные обновления, загружаемые с серверов антивирусных компаний, сравнивает загружаемые пакеты данных с сигнатурами зловредных компонент, проверяет загруженные файлы. После обработки средство проверки сохраняет результаты в базе данных страниц веб-ресурса 380. В случае заражения или при увеличении риска опасности для пользователя выводятся сообщения о заражении контролируемых ресурсов.
Модель базы данных страниц веб-ресурса показана на Фиг.5. Она может содержать, по меньшей мере, три сущности, которые показаны на Фиг.5, связь между которыми осуществляет таблица проверенных объектов 500. Эти сущности составляют: список проверки 510, тип объекта 520 и степень опасности 530 объекта. Хранение данных в предложенном виде обеспечивает поиск известных объектов (вредоносных, доверенных, неизвестных и других), содержащихся в базе. В результате поиска по данной базе можно определить, изменялся ли объект и насколько он безопасен.
Система проверки веб-ресурсов по расписанию взаимодействует с удаленным сервером безопасности, загружая с него сигнатуры вредоносных компонент, черные списки url-адресов, спам-сигнатуры и другие объекты. В случае обнаружения заражения веб-ресурса на сервер отправляется отчет о заражении, который содержит, по меньшей мере, url-адрес страницы, содержащей опасный или потенциально опасный объект.
Результатом работы системы проверки веб-ресурсов является отчет о проверке загружаемых страниц. Он может содержать перечень и адреса проверенных страниц и объектов, их контрольные суммы, дату и время проверки, информацию об опасности данной страницы или объекта. При этом адреса веб-страниц могут быть переданы в средства защиты, установленные на компьютере пользователя или на локальном сервере в качестве параметра. Если использовать отчет системы проверки веб-ресурсов и заблокировать адрес в сетевом фильтре на локальном сервере, никто из пользователей, осуществляющих подключение через данный сервер, не сможет загрузить страницу с этого адреса, что предотвратит заражение.
На Фиг.6 показан способ проверки защищенных веб-ресурсов. Вначале составляется список проверки, для этого составляется список адресов веб-ресурсов 610, определяются параметры проверки 620 и определяются идентификаторы пользователя, необходимые для авторизации на веб-ресурсе 630. После того как список проверки составлен, начинается проверка веб-ресурсов по данному списку. Устанавливается соединение с сервером 640 по адресу веб-ресурса согласно параметрам проверки (частоте, глубине проверки и т.д.). Далее производится авторизация на сервере 650 с использованием идентификаторов пользователя, соответствующих веб-ресурсу в списке проверки. Затем осуществляется проверка содержимого веб-ресурса 660 на наличие вредоносных программ, уязвимостей и других угроз безопасности. В заключение проверки составляется отчет 670, в котором указывается время проверки, параметры проверки и результаты проверки. По полученным результатам обновляются параметры проверки 675. Например, в случае, если проверка некоторого веб-ресурса не показала наличие угроз безопасности, период проверки этого ресурса увеличивается. Если во время проверки были найдены вредоносные программы, ссылки на зараженные объекты и другие угрозы, то пользователь (администратор) информируется об этом 690. Далее данный ресурс может быть заблокирован 695 в зависимости от настройки системы, чтобы исключить заражение других компьютеров и систем. Проверка завершается 685 до следующего цикла проверки.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующегося с сущностью и объемом настоящего изобретения.
Claims (25)
1. Система проверки веб-ресурса на наличие вредоносных компонент, содержащая:
(а) средство составления списка проверки, предназначенное для выделения адресов веб-ресурсов из клиент-приложений, определения параметров проверки для соответствующего адреса веб-ресурса, при этом средство составления списка проверки связано с базой данных параметров проверки;
(б) средство перехвата идентификаторов, предназначенное для выделения идентификаторов пользователей из клиент-приложений, добавления новых идентификаторов пользователей и сохранения идентификаторов пользователей для соответствующего адреса веб-ресурса в базу данных параметров проверки, при этом средство перехвата идентификаторов связано с базой данных параметров проверки;
(в) средство проверки, предназначенное для авторизации на веб-ресурсе с использованием идентификаторов пользователей и для дальнейшей проверки веб-ресурса на наличие вредоносных компонент с учетом параметров проверки, при этом средство проверки связано с базой данных параметров проверки;
(г) упомянутую базу данных параметров проверки, предназначенную для хранения параметров проверки веб-ресурсов и идентификаторов пользователей.
(а) средство составления списка проверки, предназначенное для выделения адресов веб-ресурсов из клиент-приложений, определения параметров проверки для соответствующего адреса веб-ресурса, при этом средство составления списка проверки связано с базой данных параметров проверки;
(б) средство перехвата идентификаторов, предназначенное для выделения идентификаторов пользователей из клиент-приложений, добавления новых идентификаторов пользователей и сохранения идентификаторов пользователей для соответствующего адреса веб-ресурса в базу данных параметров проверки, при этом средство перехвата идентификаторов связано с базой данных параметров проверки;
(в) средство проверки, предназначенное для авторизации на веб-ресурсе с использованием идентификаторов пользователей и для дальнейшей проверки веб-ресурса на наличие вредоносных компонент с учетом параметров проверки, при этом средство проверки связано с базой данных параметров проверки;
(г) упомянутую базу данных параметров проверки, предназначенную для хранения параметров проверки веб-ресурсов и идентификаторов пользователей.
2. Система по п.1, в которой авторизация средства проверки на веб-ресурсе производится на основе полученных идентификаторов пользователя, соответствующих данному веб-ресурсу, которые считываются из базы данных параметров проверки.
3. Система по п.1, в которой параметры проверки составляет совокупность, по меньшей мере, адреса веб-ресурса и идентификаторов пользователя для авторизации на веб-ресурсе.
4. Система по п.3, в которой параметры проверки дополнительно могут содержать глубину проверки или частоту проверки.
5. Система по п.1, в которой средство проверки предназначено для анализа загружаемых с веб-ресурса данных и хранящихся на веб-ресурсе данных.
6. Система по п.5, в которой данные веб-ресурса составляют, по меньшей мере, ссылки, или сценарии, или фреймы, или файлы.
7. Система по п.1, в которой средство проверки предназначено также для имитации работы клиент-приложения во время установления соединения с веб-ресурсом и авторизации пользователя на веб-ресурсе.
8. Система по п.7, в которой имитация клиент-приложения происходит путем замены заголовков в протоколе передачи данных.
9. Система по п.1, в которой средство проверки предназначено для проведения проверки веб-ресурса с определенной частотой, которая соответствует данному веб-ресурсу, хранится в базе данных параметров проверки и устанавливается автоматически средством проверки в зависимости от загрузки средства проверки или частоты обновления содержимого веб-ресурса или времени последнего зафиксированного заражения веб-ресурса.
10. Система по п.1, в которой средство проверки предназначено также для составления отчета по окончании проверки, включающего совокупность, по меньшей мере, времени проверки, наименований обнаруженных вредоносных программ или угроз безопасности, адресов страниц, на которых обнаружены вредоносные программы или угрозы безопасности.
11. Система по п.10, в которой отчет о проверке используется средством проверки в качестве настроек и параметров блокирования доступа к веб-ресурсу или отдельным объектам веб-ресурса.
12. Система по п.1, в которой идентификаторами пользователей являются логин, или пароль, или идентификационный номер, или cookie-файлы, или сессионный ключ, или ссылка доступа.
13. Система по п.1, которая дополнительно содержит базу данных страниц веб-ресурсов, предназначенную для хранения проверенных объектов страниц веб-ресурсов и связанную со средством проверки.
14. Система по п.13, в которой средство проверки предназначено также для сравнения объектов страниц веб-ресурса с сохраненными объектами страниц веб-ресурса и запуска проверки веб-ресурса на наличие вредоносных компонент в случае изменения объекта и/или атрибута объекта.
15. Способ проверки веб-ресурсов на наличие вредоносных компонент, выполняемый на компьютере, в котором:
(1) устанавливаются параметры проверки веб-ресурса:
а. составляется список адресов веб-ресурсов для проверки;
б. определяются параметры проверки, соответствующие каждому адресу веб-ресурса;
в. определяются идентификаторы пользователя для авторизации на веб-ресурсе;
(2) производится проверка веб-ресурса с учетом параметров проверки и данных авторизации:
а. устанавливается соединение с веб-ресурсом по адресу веб-ресурса;
б. производится авторизация на веб-ресурсе с использованием соответствующих данному веб-ресурсу идентификаторов пользователя;
в. осуществляется проверка веб-ресурса на наличие вредоносных программ и угроз безопасности.
(1) устанавливаются параметры проверки веб-ресурса:
а. составляется список адресов веб-ресурсов для проверки;
б. определяются параметры проверки, соответствующие каждому адресу веб-ресурса;
в. определяются идентификаторы пользователя для авторизации на веб-ресурсе;
(2) производится проверка веб-ресурса с учетом параметров проверки и данных авторизации:
а. устанавливается соединение с веб-ресурсом по адресу веб-ресурса;
б. производится авторизация на веб-ресурсе с использованием соответствующих данному веб-ресурсу идентификаторов пользователя;
в. осуществляется проверка веб-ресурса на наличие вредоносных программ и угроз безопасности.
16. Способ по п.15, в котором дополнительно имитируется работа клиент-приложения при установлении соединения с веб-ресурсом и при авторизации на веб-ресурсе.
17. Способ по п.15, в котором идентификаторами пользователей являются логин, или пароль, или идентификационный номер, или cookie-файлы, или сессионный ключ, или ссылка доступа.
18. Способ по п.15, в котором параметры проверки составляет совокупность, по меньшей мере, адреса веб-ресурса и идентификаторов пользователя для авторизации на веб-ресурсе.
19. Способ по п.18, в котором параметры проверки дополнительно могут содержать глубину проверки или частоту проверки.
20. Способ по п.15, который дополнительно содержит этап, на котором пользователь оповещается о заражении веб-ресурса.
21. Способ по п.14, в котором идентификаторы пользователя определяются путем их перехвата в клиент-приложении.
22. Способ по п.14, в котором частота проверки веб-ресурса устанавливается в зависимости от загрузки средства проверки, частоты обновления содержимого веб-ресурса, времени последнего зафиксированного заражения веб-ресурса.
23. Способ по п.14, который дополнительно содержит этап составления отчета о проверке, включающего совокупность, по меньшей мере, времени проверки, наименований обнаруженных вредоносных программ или угроз безопасности, адресов страниц, на которых обнаружены вредоносные программы или угрозы безопасности.
24. Способ по п.14, который дополнительно содержит этап блокирования доступа к страницам веб-ресурсов в случае обнаружения угрозы безопасности или вредоносных программ на данных страницах веб-ресурса.
25. Способ по п.14, который дополнительно содержит этап сохранения проверенных объектов, последующего сравнения объектов страниц веб-ресурса с сохраненными объектами страниц веб-ресурса и запуска проверки веб-ресурса на наличие вредоносных компонент в случае изменения объекта и/или атрибута объекта.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2010130874/08A RU2446459C1 (ru) | 2010-07-23 | 2010-07-23 | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
US12/906,183 US8370939B2 (en) | 2010-07-23 | 2010-10-18 | Protection against malware on web resources |
EP11158984.2A EP2410452B1 (en) | 2010-07-23 | 2011-03-21 | Protection against malware on web resources |
CN201110116427.4A CN102147842B (zh) | 2010-07-23 | 2011-05-06 | 用于对网络资源进行预定恶意软件扫描的系统和方法 |
US13/757,915 US8595803B2 (en) | 2010-07-23 | 2013-02-04 | Protection against malware on web resources utilizing scripts for content scanning |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2010130874/08A RU2446459C1 (ru) | 2010-07-23 | 2010-07-23 | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2010130874A RU2010130874A (ru) | 2012-01-27 |
RU2446459C1 true RU2446459C1 (ru) | 2012-03-27 |
Family
ID=44422105
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2010130874/08A RU2446459C1 (ru) | 2010-07-23 | 2010-07-23 | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
Country Status (4)
Country | Link |
---|---|
US (2) | US8370939B2 (ru) |
EP (1) | EP2410452B1 (ru) |
CN (1) | CN102147842B (ru) |
RU (1) | RU2446459C1 (ru) |
Cited By (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2535504C1 (ru) * | 2013-06-28 | 2014-12-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ лечения содержимого сайта |
US9253208B1 (en) | 2015-03-05 | 2016-02-02 | AO Kaspersky Lab | System and method for automated phishing detection rule evolution |
RU2580027C1 (ru) * | 2014-10-17 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ формирования правил поиска данных, используемых для фишинга |
RU2606564C1 (ru) * | 2015-09-30 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ блокировки выполнения сценариев |
RU2610254C2 (ru) * | 2015-06-30 | 2017-02-08 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения измененных веб-страниц |
RU2610418C2 (ru) * | 2014-08-29 | 2017-02-10 | Общество С Ограниченной Ответственностью "Яндекс" | Способ координации сетевого обмена данными |
RU2622870C2 (ru) * | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Система и способ оценки опасности веб-сайтов |
RU2634170C1 (ru) * | 2016-12-12 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ определения уровня доверия URL, полученного от передатчика |
RU2638710C1 (ru) * | 2016-10-10 | 2017-12-15 | Акционерное общество "Лаборатория Касперского" | Способы обнаружения вредоносных элементов веб-страниц |
RU2652451C2 (ru) * | 2016-09-08 | 2018-04-26 | Акционерное общество "Лаборатория Касперского" | Способы обнаружения аномальных элементов веб-страниц |
RU2658191C2 (ru) * | 2015-06-19 | 2018-06-19 | Сяоми Инк. | Способ и устройство для обнаружения несанкционированного использования веб-адресов |
RU2659741C1 (ru) * | 2017-09-29 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Способы обнаружения аномальных элементов веб-страниц на основании статистической значимости |
RU2662391C1 (ru) * | 2017-05-05 | 2018-07-25 | Илья Самуилович Рабинович | Система и способ проверки веб-ресурсов на наличие вредоносных вставок |
RU2668710C1 (ru) * | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
RU2671991C2 (ru) * | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
RU2676247C1 (ru) * | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
RU2677361C1 (ru) * | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
RU2701040C1 (ru) * | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
RU2702081C2 (ru) * | 2018-03-30 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения модификации веб-ресурса |
US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
RU2724782C1 (ru) * | 2018-12-24 | 2020-06-25 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления |
US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
US11108803B2 (en) | 2017-03-01 | 2021-08-31 | Synopsys, Inc. | Determining security vulnerabilities in application programming interfaces |
US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
US11128645B2 (en) | 2019-09-09 | 2021-09-21 | Yandex Europe Ag | Method and system for detecting fraudulent access to web resource |
US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
RU2781477C2 (ru) * | 2019-09-09 | 2022-10-12 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система для обнаружения мошеннического доступа к веб-ресурсу |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
Families Citing this family (208)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
KR101092024B1 (ko) * | 2010-02-19 | 2011-12-12 | 박희정 | 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템 |
EP2466506A1 (fr) * | 2010-12-17 | 2012-06-20 | Gemalto SA | Procédé dynamique de contrôle de l'intégrité de l'exécution d'un code exécutable |
US9043434B1 (en) | 2011-09-12 | 2015-05-26 | Polyvore, Inc. | Alternate page determination for a requested target page |
US20130160130A1 (en) * | 2011-12-20 | 2013-06-20 | Kirill Mendelev | Application security testing |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
CN102752279B (zh) * | 2012-04-27 | 2014-11-12 | 中国科学院信息工程研究所 | 一种社交网络恶意代码传播的仿真系统及仿真方法 |
US8892766B1 (en) * | 2012-06-28 | 2014-11-18 | Trend Micro Incorporated | Application-based network traffic redirection for cloud security service |
US9779244B1 (en) * | 2012-08-14 | 2017-10-03 | Rockwell Collins, Inc. | Establishing secure initial state in a processing platform containing both high assurance security and safety-critical functions |
CN103634366A (zh) * | 2012-08-27 | 2014-03-12 | 北京千橡网景科技发展有限公司 | 用于识别网络机器人的方法和设备 |
CN102801741A (zh) * | 2012-08-30 | 2012-11-28 | 山石网科通信技术(北京)有限公司 | 木马病毒的阻止方法及装置 |
GB2506622A (en) * | 2012-10-04 | 2014-04-09 | Ibm | Anti-virus data management |
US9460283B2 (en) * | 2012-10-09 | 2016-10-04 | Dell Products L.P. | Adaptive integrity validation for portable information handling systems |
TWI482047B (zh) * | 2012-11-06 | 2015-04-21 | Inst Information Industry | 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體 |
KR101401948B1 (ko) * | 2012-11-19 | 2014-05-30 | 한국인터넷진흥원 | 대규모 웹사이트 방문점검 방법 |
KR20140064057A (ko) * | 2012-11-19 | 2014-05-28 | 한국인터넷진흥원 | 웹사이트 악성여부 고속 판별방법 |
WO2014082599A1 (zh) * | 2012-11-30 | 2014-06-05 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9225739B2 (en) * | 2013-06-26 | 2015-12-29 | Microsoft Technology Licensing, Llc | Providing user-specific malware assessment based on social interactions |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
CN103368957B (zh) * | 2013-07-04 | 2017-03-15 | 北京奇虎科技有限公司 | 对网页访问行为进行处理的方法及系统、客户端、服务器 |
US10015191B2 (en) * | 2013-09-18 | 2018-07-03 | Paypal, Inc. | Detection of man in the browser style malware using namespace inspection |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US8739287B1 (en) * | 2013-10-10 | 2014-05-27 | Kaspersky Lab Zao | Determining a security status of potentially malicious files |
US8863284B1 (en) | 2013-10-10 | 2014-10-14 | Kaspersky Lab Zao | System and method for determining a security status of potentially malicious files |
CN103581321B (zh) * | 2013-11-06 | 2017-05-31 | 北京奇虎科技有限公司 | 一种refer链的创建方法、装置及安全检测方法和客户端 |
JP6000929B2 (ja) * | 2013-11-07 | 2016-10-05 | 株式会社ソニー・インタラクティブエンタテインメント | 情報処理装置 |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US9560062B2 (en) * | 2013-12-03 | 2017-01-31 | Secureworks Corp. | System and method for tamper resistant reliable logging of network traffic |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
CN104811418B (zh) * | 2014-01-23 | 2019-04-12 | 腾讯科技(深圳)有限公司 | 病毒检测的方法及装置 |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9912690B2 (en) * | 2014-04-08 | 2018-03-06 | Capital One Financial Corporation | System and method for malware detection using hashing techniques |
US9203851B1 (en) | 2014-05-13 | 2015-12-01 | Trend Micro Incorporated | Redirection of data from an on-premise computer to a cloud scanning service |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9619648B2 (en) | 2014-07-16 | 2017-04-11 | Microsoft Technology Licensing, Llc | Behavior change detection system for services |
US9485263B2 (en) | 2014-07-16 | 2016-11-01 | Microsoft Technology Licensing, Llc | Volatility-based classifier for security solutions |
US9094443B1 (en) * | 2014-07-30 | 2015-07-28 | Iboss, Inc. | Web redirection for content scanning |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US10110622B2 (en) | 2015-02-13 | 2018-10-23 | Microsoft Technology Licensing, Llc | Security scanner |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US9906542B2 (en) | 2015-03-30 | 2018-02-27 | Microsoft Technology Licensing, Llc | Testing frequency control using a volatility score |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
CA2983458A1 (en) * | 2015-07-16 | 2017-01-19 | Raymond CANFIELD | Cyber security system and method using intelligent agents |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
RU2613535C1 (ru) * | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
CN105635126B (zh) * | 2015-12-24 | 2018-10-09 | 北京奇虎科技有限公司 | 恶意网址访问防护方法、客户端、安全服务器及系统 |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10032023B1 (en) * | 2016-03-25 | 2018-07-24 | Symantec Corporation | Systems and methods for selectively applying malware signatures |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10616266B1 (en) | 2016-03-25 | 2020-04-07 | Fireeye, Inc. | Distributed malware detection system and submission workflow thereof |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10860715B2 (en) * | 2016-05-26 | 2020-12-08 | Barracuda Networks, Inc. | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
GB2554657B (en) * | 2016-09-30 | 2019-09-11 | F Secure Corp | Protection from malicious and/or harmful content in cloud-based service scenarios |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
RU2638001C1 (ru) * | 2017-02-08 | 2017-12-08 | Акционерное общество "Лаборатория Касперского" | Система и способ выделения части резерва производительности антивирусного сервера для выполнения антивирусной проверки веб-страницы |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
JP2018163535A (ja) * | 2017-03-27 | 2018-10-18 | サクサ株式会社 | Webページ監視装置および方法 |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
CN109214182B (zh) * | 2017-07-03 | 2022-04-15 | 阿里巴巴集团控股有限公司 | 在云平台下虚拟机运行中对勒索软件的处理方法 |
US10474805B2 (en) * | 2017-08-17 | 2019-11-12 | Blackberry Limited | Methods and devices for accessing protected applications |
US10257232B2 (en) * | 2017-09-13 | 2019-04-09 | Malwarebytes Inc. | Endpoint agent for enterprise security system |
CN107483488B (zh) * | 2017-09-18 | 2021-04-30 | 济南互信软件有限公司 | 一种恶意Http检测方法及系统 |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
EP3641259A1 (de) * | 2018-10-15 | 2020-04-22 | Siemens Aktiengesellschaft | Vorrichtung und verfahren zur prüfung von eigenschaften von ressourcen |
US10521583B1 (en) * | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
US11368475B1 (en) * | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
US12074887B1 (en) | 2018-12-21 | 2024-08-27 | Musarubra Us Llc | System and method for selectively processing content after identification and removal of malicious content |
US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11238163B1 (en) * | 2019-06-27 | 2022-02-01 | Raytheon Company | Method for objectively and completely indentifying system residual vulnerabilities |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11330010B2 (en) * | 2019-09-25 | 2022-05-10 | Fortinet, Inc. | Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
RU2739830C1 (ru) * | 2019-09-30 | 2020-12-28 | Акционерное общество "Лаборатория Касперского" | Система и способ выбора средства обнаружения вредоносных файлов |
US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
US20240291847A1 (en) * | 2021-06-24 | 2024-08-29 | Feroot Security Inc. | Security risk remediation tool |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU91202U1 (ru) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | Система обнаружения неизвестных вредоносных программ |
EP2199940A2 (en) * | 2008-12-18 | 2010-06-23 | Symantec Corporation | Methods and systems for detecting man-in-the-browser attacks |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IL140504A0 (en) | 2000-02-03 | 2002-02-10 | Bandwiz Inc | Broadcast system |
TW550485B (en) | 2000-02-21 | 2003-09-01 | De-Fang Bau | Web site system allowing multiple logins |
KR20020000225A (ko) | 2000-05-20 | 2002-01-05 | 김활중 | 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법 |
CA2960857C (en) | 2000-06-07 | 2019-07-09 | Kount Inc. | Online machine data collection and archiving process |
US6785732B1 (en) | 2000-09-11 | 2004-08-31 | International Business Machines Corporation | Web server apparatus and method for virus checking |
US6996845B1 (en) * | 2000-11-28 | 2006-02-07 | S.P.I. Dynamics Incorporated | Internet security analysis system and process |
EA001895B1 (ru) | 2001-02-15 | 2001-10-22 | Лев Лазаревич Матвеев | Способ получения, обработки и хранения ссылок на информационные источники, списков ссылок и полных копий информационных источников |
US7219138B2 (en) | 2002-01-31 | 2007-05-15 | Witness Systems, Inc. | Method, apparatus, and system for capturing data exchanged between a server and a user |
US7591017B2 (en) * | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
US20070174324A1 (en) | 2006-01-12 | 2007-07-26 | Palapudi Sriram M | Mechanism to trap obsolete web page references and auto-correct invalid web page references |
CN101195000B (zh) * | 2006-12-08 | 2012-03-28 | 天津天士力制药股份有限公司 | 一种脉络宁滴丸及其制备方法 |
CN101471818B (zh) * | 2007-12-24 | 2011-05-04 | 北京启明星辰信息技术股份有限公司 | 一种恶意注入脚本网页检测方法和系统 |
US8561162B2 (en) | 2008-02-28 | 2013-10-15 | Red Hat, Inc. | Systems and methods for unified login to multiple networked services |
BRPI0917510A2 (pt) * | 2008-08-20 | 2015-11-17 | Wherepro Llc | gerador de pacotes de dados para geração de códigos |
CN101692267B (zh) * | 2009-09-15 | 2011-09-07 | 北京大学 | 一种大规模恶意网页检测方法及系统 |
-
2010
- 2010-07-23 RU RU2010130874/08A patent/RU2446459C1/ru active
- 2010-10-18 US US12/906,183 patent/US8370939B2/en active Active
-
2011
- 2011-03-21 EP EP11158984.2A patent/EP2410452B1/en active Active
- 2011-05-06 CN CN201110116427.4A patent/CN102147842B/zh active Active
-
2013
- 2013-02-04 US US13/757,915 patent/US8595803B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2199940A2 (en) * | 2008-12-18 | 2010-06-23 | Symantec Corporation | Methods and systems for detecting man-in-the-browser attacks |
RU91202U1 (ru) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | Система обнаружения неизвестных вредоносных программ |
Cited By (54)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2535504C1 (ru) * | 2013-06-28 | 2014-12-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ лечения содержимого сайта |
RU2610418C2 (ru) * | 2014-08-29 | 2017-02-10 | Общество С Ограниченной Ответственностью "Яндекс" | Способ координации сетевого обмена данными |
RU2580027C1 (ru) * | 2014-10-17 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ формирования правил поиска данных, используемых для фишинга |
US9621570B2 (en) | 2015-03-05 | 2017-04-11 | AO Kaspersky Lab | System and method for selectively evolving phishing detection rules |
US9253208B1 (en) | 2015-03-05 | 2016-02-02 | AO Kaspersky Lab | System and method for automated phishing detection rule evolution |
US10313392B2 (en) | 2015-06-19 | 2019-06-04 | Xiaomi Inc. | Method and device for detecting web address hijacking |
RU2658191C2 (ru) * | 2015-06-19 | 2018-06-19 | Сяоми Инк. | Способ и устройство для обнаружения несанкционированного использования веб-адресов |
RU2610254C2 (ru) * | 2015-06-30 | 2017-02-08 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения измененных веб-страниц |
RU2606564C1 (ru) * | 2015-09-30 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ блокировки выполнения сценариев |
RU2622870C2 (ru) * | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Система и способ оценки опасности веб-сайтов |
US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
RU2652451C2 (ru) * | 2016-09-08 | 2018-04-26 | Акционерное общество "Лаборатория Касперского" | Способы обнаружения аномальных элементов веб-страниц |
US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
RU2638710C1 (ru) * | 2016-10-10 | 2017-12-15 | Акционерное общество "Лаборатория Касперского" | Способы обнаружения вредоносных элементов веб-страниц |
US11038917B2 (en) | 2016-10-10 | 2021-06-15 | AO Kaspersky Lab | System and methods for building statistical models of malicious elements of web pages |
US10505973B2 (en) | 2016-10-10 | 2019-12-10 | AO Kaspersky Lab | System and methods of detecting malicious elements of web pages |
RU2634170C1 (ru) * | 2016-12-12 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ определения уровня доверия URL, полученного от передатчика |
RU2671991C2 (ru) * | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
US11108803B2 (en) | 2017-03-01 | 2021-08-31 | Synopsys, Inc. | Determining security vulnerabilities in application programming interfaces |
RU2755675C2 (ru) * | 2017-03-01 | 2021-09-20 | Синопсис, Инк. | Выявление факторов уязвимости безопасности в программных интерфейсах приложения |
WO2018203775A3 (ru) * | 2017-05-05 | 2019-01-31 | Илья Самуилович РАБИНОВИЧ | Система и способ проверки веб-ресурсов на наличие вредоносных вставок |
RU2662391C1 (ru) * | 2017-05-05 | 2018-07-25 | Илья Самуилович Рабинович | Система и способ проверки веб-ресурсов на наличие вредоносных вставок |
RU2659741C1 (ru) * | 2017-09-29 | 2018-07-03 | Акционерное общество "Лаборатория Касперского" | Способы обнаружения аномальных элементов веб-страниц на основании статистической значимости |
US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
RU2668710C1 (ru) * | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
RU2677361C1 (ru) * | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
RU2676247C1 (ru) * | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
US11475670B2 (en) | 2018-01-17 | 2022-10-18 | Group Ib, Ltd | Method of creating a template of original video content |
US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
RU2702081C2 (ru) * | 2018-03-30 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения модификации веб-ресурса |
US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
RU2724782C1 (ru) * | 2018-12-24 | 2020-06-25 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления |
RU2701040C1 (ru) * | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
RU2781477C2 (ru) * | 2019-09-09 | 2022-10-12 | Общество С Ограниченной Ответственностью «Яндекс» | Способ и система для обнаружения мошеннического доступа к веб-ресурсу |
US11128645B2 (en) | 2019-09-09 | 2021-09-21 | Yandex Europe Ag | Method and system for detecting fraudulent access to web resource |
US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
Also Published As
Publication number | Publication date |
---|---|
US20120023579A1 (en) | 2012-01-26 |
EP2410452A2 (en) | 2012-01-25 |
CN102147842B (zh) | 2014-12-10 |
CN102147842A (zh) | 2011-08-10 |
US20130145437A1 (en) | 2013-06-06 |
EP2410452A3 (en) | 2013-07-10 |
RU2010130874A (ru) | 2012-01-27 |
US8595803B2 (en) | 2013-11-26 |
EP2410452B1 (en) | 2016-01-13 |
US8370939B2 (en) | 2013-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2446459C1 (ru) | Система и способ проверки веб-ресурсов на наличие вредоносных компонент | |
Nguyen-Tuong et al. | Automatically hardening web applications using precise tainting | |
Stasinopoulos et al. | Commix: automating evaluation and exploitation of command injection vulnerabilities in Web applications | |
US20140089661A1 (en) | System and method for securing network traffic | |
JP2012516502A (ja) | ネットワークリソースへの正常性ベースのアクセス | |
Akiyama et al. | HoneyCirculator: distributing credential honeytoken for introspection of web-based attack cycle | |
Nagpal et al. | SECSIX: security engine for CSRF, SQL injection and XSS attacks | |
WO2021242496A1 (en) | User interface for web server risk awareness | |
Tao et al. | Opening a Pandora's box: things you should know in the era of custom GPTs | |
Chen et al. | URadar: Discovering Unrestricted File Upload Vulnerabilities via Adaptive Dynamic Testing | |
Raman | JaSPIn: JavaScript based Anomaly Detection of Cross-site scripting attacks | |
CN113542287A (zh) | 网络请求的管理方法和装置 | |
Lakshmi | Beginning Security with Microsoft Technologies | |
Bellatriu | Penetration testing automation system | |
Sadana et al. | Analysis of cross site scripting attack | |
Turco | Web and Mobile Security Assessment in Accenture | |
Agrawall et al. | Modelling and Mitigation of Cross-Origin Request Attacks on Federated Identity Management Using Cross Origin Request Policy | |
Shahriar et al. | Classification of Web-Service-Based Attacks and Mitigation Techniques | |
Kim et al. | Systematic Security Guideline Framework through Intelligently Automated Vulnerability Analysis. | |
Antonaropoulos | NodeXP-An automated and integrated tool for detecting and exploiting Server Side JavaScript Injection vulnerability on Node. js services | |
Cordella et al. | Web application penetration testing: an analysis of a corporate application according to owasp guide-lines | |
Mendoza Jiménez | Securing a REST API Server | |
Brandsvoll | The Security Risks of DHIS2-A Vulnerability Assessment and Penetration Test | |
Clementson | Client-side threats and a honeyclient-based defense mechanism, Honeyscout | |
Org et al. | D3. 1-CYBER RISK PATTERNS |