RU2446459C1 - Система и способ проверки веб-ресурсов на наличие вредоносных компонент - Google Patents

Система и способ проверки веб-ресурсов на наличие вредоносных компонент Download PDF

Info

Publication number
RU2446459C1
RU2446459C1 RU2010130874/08A RU2010130874A RU2446459C1 RU 2446459 C1 RU2446459 C1 RU 2446459C1 RU 2010130874/08 A RU2010130874/08 A RU 2010130874/08A RU 2010130874 A RU2010130874 A RU 2010130874A RU 2446459 C1 RU2446459 C1 RU 2446459C1
Authority
RU
Russia
Prior art keywords
web resource
verification
web
parameters
tool
Prior art date
Application number
RU2010130874/08A
Other languages
English (en)
Other versions
RU2010130874A (ru
Inventor
Олег Владимирович Зайцев (RU)
Олег Владимирович Зайцев
Виталий Игоревич Денисов (RU)
Виталий Игоревич Денисов
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2010130874/08A priority Critical patent/RU2446459C1/ru
Priority to US12/906,183 priority patent/US8370939B2/en
Priority to EP11158984.2A priority patent/EP2410452B1/en
Priority to CN201110116427.4A priority patent/CN102147842B/zh
Publication of RU2010130874A publication Critical patent/RU2010130874A/ru
Application granted granted Critical
Publication of RU2446459C1 publication Critical patent/RU2446459C1/ru
Priority to US13/757,915 priority patent/US8595803B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к системам и способам безопасности вычислительных средств и более конкретно к системам и способам проверки веб-ресурсов на наличие вредоносных, потенциально опасных и нежелательных компонент и предназначено для решения проблемы эффективного и оперативного детектирования фактов или возможности заражений веб-ресурсов. Технический результат, заключающийся в обнаружении вредоносных, потенциально опасных и нежелательных компонент на защищенных удаленных веб-ресурсах, достигается за счет составления списка веб-ресурсов для проверки, установки времени или частоты проверки, управления авторизацией на веб-ресурсе и процесса проверки. Данная система позволяет эффективно и оперативно детектировать факт заражения одного или нескольких веб-ресурсов из списка с учетом прав доступа к данному веб-ресурсу. 2 н. и 23 з.п. ф-лы, 5 ил.

Description

Область техники
Настоящее изобретение относится к системам и способам безопасности компьютерных систем и более конкретно к системам и способам удаленной проверки защищенных веб-ресурсов на наличие вредоносных, потенциально опасных и нежелательных компонент.
Уровень техники
С развитием веб-технолий, таких как: Ajax, Java, PHP, Flash и другие - веб-сайты становятся более доступными, медиа-насыщенными и функциональными, что, несомненно, повышает их привлекательность и популярность среди пользователей компьютерных систем. С введением методики проектирования Интернет-систем, получившей название Web 2.0, пользователи получили возможность не только получать информацию из Интернета, но и непосредственно заполнять ею сайты. Помимо текстовых сообщений так же поддерживается передача медиа-файлов, таких как фото-, видеофайлы, документы, анимация и программы. Активное участие людей в непосредственном создании контента (т.е. наполнении содержимым) сайта приводит к быстрому развитию и изменению содержимого. Примером может являться новостная лента или форум.
Увеличение популярности веб-ресурсов приводит к тому, что эта среда становится более привлекательна для злоумышленников, распространяющих вредоносные программы.
Помимо файлов, загружаемых на сайт, в страницу может быть включен вредоносный сценарий, iframe (включение содержимого одной веб-страницы в другую), уязвимость (также называемая "эксплойт") и т.д. Заражению могут быть подвержены файлообменники, форумы, блоги, веб-интерфейсы почтовых серверов и любые другие ресурсы. Заражение может быть осуществлено через любой интерфейс: форму заполнения сайта (в этом случае такое заражение выполняется чаще всего вручную - инсайдером или укравшим пароли злоумышленником); уязвимость в системе управления сайтом; доступ к файлам сайта по FTP. Список ресурсов не ограничивается протоколом передачи HTTP, в него так же входят и FTP-ресурсы и другие серверы. Как правило, FTP-серверы используются в качестве вспомогательных средств для удаленного администрирования сайта, в том числе редактирования, загрузки сценариев. Однако подключение к FTP-серверу предоставляет возможность проверки всех сценариев сайта, а не только тех, которые исполняются на компьютере пользователя. При доступе к файлам сайта по FTP система безопасности может анализировать исходные коды сценариев и страниц, тогда как при доступе по HTTP система безопасности анализирует только результат работы сценария и/или результат обработки файлов сайта веб-сервером.
Несанкционированный доступ к учетной записи одного пользователя и загрузка от его имени вредоносной программы могут привести к быстрому распространению этой программы из-за доверия к этому лицу со стороны других пользователей.
Помимо общедоступных сервисов Интернета существуют также локальные сайты (корпоративные, ресурсы локальных сетей, пользовательские сайты), которые не доступны извне данной сети. Это накладывает определенные сложности в сканировании данного ресурса на наличие вирусов антивирусными службами.
Существуют технологии, которые обладают одним или несколькими признаками данного изобретения, однако интеллектуальный вклад в развитие технологии представляет новизну и позволяет исключить все имеющиеся недостатки.
В патентах US 6785732 и US 7177937 раскрывается идея проверки веб-серверов на наличие вредоносных программ, в том числе почтовых серверов, серверов обмена сообщениями и сайтов. В конце проверки пользователь информируется о наличии или отсутствии вирусов. Подобная технология неприменима для проверки защищенных веб-ресурсов, требующих авторизации пользователя. Система и способ проверки веб-ресурсов на наличие вредоносных компонент эффективно решает данную задачу благодаря специальным средствам, позволяющим получить доступ к данным, загружаемым или хранимым на веб-сервере.
В патентной заявке WO 0191350 A2 раскрывается идея управления безопасностью компьютеров в сети путем отправки запросов и проверки ответов. Система контролирует состояние компьютеров в режиме реального времени и посылает тревогу в случае нарушения правил безопасности. Однако данная система не является универсальной для всех серверов, в то время как описываемое изобретение позволяет работать с веб-серверами, поддерживающими известные протоколы передачи данных.
В патентной заявке WO 0158131 A3 описывается идея эмуляции интерактивного подключения, включая генерацию запроса, перехват ответа компьютера клиента и отображение информации. Данная технология нацелена на исследование ответа компьютера, в то время как описываемое изобретение симулирует работу приложений для построения универсального запроса, при котором представление данных не должно зависеть от типа приложения.
Анализ предшествующего уровня техники и возможностей, которые появляются при комбинировании их в одной системе, позволяют получить новый результат, а именно систему и способ для удаленной проверки защищенных веб-ресурсов.
Сущность изобретения
Настоящее изобретение предназначено для решения проблемы эффективного и оперативного обнаружения заражений веб-ресурсов. Техническим результатом настоящего изобретения является обнаружение вредоносных, потенциально опасных и нежелательных компонент на защищенных удаленных веб-ресурсах. Описанное далее изобретение позволяет составлять список веб-ресурсов для проверки, устанавливать время и/или частоту проверки и управлять авторизацией на веб-ресурсе.
Согласно системе проверки веб-ресурса на наличие вредоносных компонент, содержащей: (а) средство составления списка проверки, предназначенное для выделения адресов веб-ресурсов из клиент-приложений, определения параметров проверки для соответствующего адреса веб-ресурса, при этом средство составления списка проверки связано с базой данных параметров проверки; (б) средство перехвата идентификаторов, предназначенное для выделения идентификаторов пользователей из клиент-приложений, добавления новых идентификаторов пользователей и сохранения идентификаторов пользователей для соответствующего адреса веб-ресурса в базу данных параметров проверки, при этом средство перехвата идентификаторов связано с базой данных параметров проверки; (в) средство проверки, предназначенное для авторизации на веб-ресурсе с использованием идентификаторов пользователей и для дальнейшей проверки веб-ресурса на наличие вредоносных компонент с учетом параметров проверки, при этом средство проверки связано с базой данных параметров проверки; (г) упомянутую базу данных параметров проверки, предназначенную для хранения параметров проверки веб-ресурсов и идентификаторов пользователей.
В частном варианте реализации авторизация средства проверки на веб-ресурсе производится на основе полученных идентификаторов пользователя, соответствующих данному веб-ресурсу, которые считываются из базы данных параметров проверки.
В другом частном варианте реалицазии параметры проверки составляет совокупность, по меньшей мере, адреса веб-ресурса и идентификаторов пользователя для авторизации на веб-ресурсе, и дополнительно параметры могут содержать глубину проверки или частоту проверки.
Еще в одном частном варианте реализации средство проверки предназначено для анализа загружаемых с веб-ресурса данных и хранящихся на веб-ресурсе данных.
Существует пример системы, в которой данные веб-ресурса составляют, по меньшей мере, ссылки или сценарии или фреймы или файлы.
Также в одном из примеров системы средство проверки предназначено также для имитации работы клиент-приложения во время установления соединения с веб-ресурсом и авторизации пользователя на веб-ресурсе.
В другом примере системы имитация клиент-приложения происходит путем замены заголовков в протоколе передачи данных.
Еще в одном примере системы средство проверки предназначено для проведения проверки веб-ресурса с определенной частотой, которая соответствует данному веб-ресурсу, хранится в базе данных параметров проверки и устанавливается автоматически средством проверки в зависимости от загрузки средства проверки или частоты обновления содержимого веб-ресурса или времени последнего зафиксированного заражения веб-ресурса.
Существует вариант реализации, в котором средство проверки предназначено также для составления отчета по окончании проверки, включающего совокупность, по меньшей мере, времени проверки, наименований обнаруженных вредоносных программ или угроз безопасности, адресов страниц, на которых обнаружены вредоносные программы или угрозы безопасности.
В одном из вариантов реализации отчет о проверке используется средством проверки в качестве настроек и параметров блокирования доступа к веб-ресурсу или отдельным объектам веб-ресурса.
В частном варианте реализации идентификаторами пользователей являются логин, или пароль, или идентификационный номер, или cookie-файлы, или сессионный ключ, или ссылка доступа.
Другой частный вариант реализации дополнительно содержит базу данных страниц веб-ресурсов, предназначенную для хранения проверенных объектов страниц веб-ресурсов и связанную со средством проверки.
В частном варианте реализации средство проверки предназначено также для сравнения объектов страниц веб-ресурса с сохраненными объектами страниц веб-ресурса и запуска проверки веб-ресурса на наличие вредоносных компонент в случае изменения объекта и/или атрибута объекта.
Краткое описание прилагаемых чертежей
Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 показывает типовую схему взаимодействия компьютерной системы пользователя с сервером веб-ресурса.
Фиг.2 показывает типовую схему проверки веб-ресурса в случае соединения и аутентификации пользователя с помощью клиент-приложения.
Фиг.3 показывает схему проверки веб-ресурса с помощью системы проверки веб-ресурсов, установленной в компьютерной системе пользователя, которой осуществляется соединение и аутентификации пользователя.
Фиг.4 показывает модель базы данных параметров проверки.
Фиг.5 показывает модель базы данных проверенных страниц веб-ресурса.
Подробное описание предпочтительных вариантов осуществления
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
На Фиг.1 изображена типовая схема взаимодействия компьютерной системы пользователя с сервером, представляющим собой веб-ресурс. Веб-, FTP-серверами называют программу, выполняющую функции сервера (компьютерной системы), на котором эта программа работает. Помимо web-сервера 110 или FTP-сервера 120 могут быть установлены также другие серверные приложения, например почтовый сервер, прокси-сервер, сервер системы IRC и т.д, каждый из которых предоставляет свой собственный сервис. Для доступа к подобным сервисам на пользовательских компьютерах 140 должны быть установлены программы, например браузер 130, файловый менеджер 150 и т.д. Клиенты 140 получают доступ к представляемым данным веб-сервера 100 по URL-адресу нужной им веб-страницы или другого ресурса. Каждое серверное приложение и соответствующий клиент взаимодействуют по различным протоколам. Основными протоколами передачи данных между клиентом 140 и сервером 100 являются HTTP(S), (S)FTP, POP3, SMTP, IMAP4 и другие. Большинство серверов поддерживают авторизацию, таким образом, порядок обмена данными в общем виде содержит передачу данных авторизации от клиента 140 серверу 100, где проходит авторизация, и передача данных от сервера 100 клиенту 140 с учетом выданных прав. Персонализация дает возможность сделать веб-ресурс уникальным для каждого пользователя.
Для разграничения пользователей, их прав и предоставляемых данных используется авторизация. Она осуществляется пользователем через клиентское приложение, например, через заполнение формы в браузере. Часто в этих приложениях существует возможность сохранения идентификационных данных по желанию пользователя. Таким образом, если осуществить переход на ресурс, на котором ранее была успешно пройдена авторизация, с помощью другого приложения, в котором не сохранены идентификационные данные, доступ окажется либо закрыт, либо будет предложено авторизоваться, либо ресурс будет работать в ограниченных правах гостя. Гостевая учетная запись присваивается неавторизованному пользователю. Благодаря разграничению предоставляемых данных по учетным записям, каждый пользователь может настроить свой собственный интерфейс, ограничить доступ к персональной странице или почте, определить отображаемые страницы (разделы, темы).
Для безопасной работы в зоне Интернет или на ресурсах локальной сети необходимо проверять загружаемый с них контент. В загружаемой странице, файле, документе могут содержаться вирусы, трояны, рекламные программы, эксплойты для приложений (редактор файлов, браузер, медиа-проигрыватель, flash-проигрыватель и другие).
В состав системы защиты персонального компьютера помимо файлового антивируса могут входить также спам-фильтр, сетевой экран, защита от сетевых атак, веб-антивирус, удаленные средства безопасности антивирусных компаний.
Антивирусные технологии на данный момент сильно развиваются и включают множество различных методов и систем, реализующие как эвристические, так и сигнатурные методы анализа. К сигнатурным видам анализа веб-сайтов относятся:
- Черный список страниц (URL-blacklist);
- Список доверенных приложений/компонент (Whitelisting);
- Коллекция зловредных компонент.
Эвристический анализ более насыщен методами, включающими:
- Эмуляцию программ;
- Эмуляцию сценариев (скриптов);
- Виртуализацию среды исполнения;
- Контроль приложений (анализ активности приложений);
Сетевой экран необходим для контроля и фильтрации сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами для сетевых соединений:
- Фильтрация на основе статических правил;
- Фильтрация с отслеживанием текущих приложений и контроль логики и алгоритмов работы соответствующих протоколов.
Система защиты от сетевых атак запускается при старте операционной системы и отслеживает во входящем графике активность, характерную для сетевых атак. Обнаружив попытку атаки на компьютер, система блокирует любую сетевую активность атакующего компьютера в отношении компьютера пользователя.
Веб-антивирус перехватывает и блокирует выполнение сценария, расположенного на веб-сайте, если он представляет угрозу. Строгому контролю также подвергается весь НТТР-трафик. Веб-антивирус осуществляет анализ веб-ресурсов на предмет фишинг-мошенничества и фильтрует баннеры, всплывающие окна и т.д.
Защита осуществляется не только на компьютере пользователя. Новые вредоносные компоненты исследуются в антивирусной лаборатории и собираются с компьютеров пользователей, и в случае детектирования вредоносных действий, обновляются вирусные базы, которые пользователь может загрузить. Другим рубежом защиты может являться локальный сервер защиты, который анализирует ситуацию в локальной сети, сканирует трафик и сетевую активность компьютеров.
Существуют также веб-сервисы (веб-сканеры), которые позволяют осуществить проверку Интернет-ресурса или файла. При этом пользователь загружает файл или вводит URL ресурса и вся проверка происходит на стороне веб-сервиса антивирусной компании. Однако в данном случае нет возможности проверить защищенные страницы.
Рассмотрим процесс проверки веб-ресурса средствами, установленными на компьютере клиента и на удаленном веб-сервере антивирусной компании, более детально.
В случае использования локальных средств защиты, веб-ресурс будет проверяться при его загрузке, то есть при переходе на соответствующий URL-адрес клиент-приложением. Важно отметить, что при этом пользователь авторизуется на веб-ресурсе и загружается контент, определенный для этой учетной записи. Он может содержать сценарии, ссылки, статьи, сообщения, письма от доверенных пользователей. На Фиг.2 изображена схема проверки веб-ресурса 200 на наличие вредоносных программ и ссылок на зараженные ресурсы, в которой соединение с ресурсом 200 клиент 210 устанавливает с помощью клиент-приложения 220. Клиентом-приложением 220 в этом случае может быть браузер, файловый менеджер или другое приложение, взаимодействующее с сервером 200 по протоколу передачи данных 230. Клиент-приложение 220 передает на сервер-приложение 240 идентификаторы 250. В зависимости от схемы авторизации 260, идентификаторы 250 могут представлять собой логин, пароль, сессионный ключ, cookie-файл, специальный заголовок протокола, сетевой или физический адрес компьютера, биометрические данные, сертификат и другие данные. Запрос клиент-приложения к серверу обрабатывается каждым соответствующим сервером-приложением 240, проводится авторизация 260, и в зависимости от ее результатов, сервер открывает документ или генерирует веб-страницу, FTP-страницу или другое представление данных (в зависимости от типа предоставляемого сервиса). Безопасность передаваемых и принимаемых данных осуществляет средство безопасности 270. Подобная схема может быть реализована как на персональном компьютере, так и на веб-сервере антивирусной компании. При этом скорость, актуальность антивирусных баз, эффективность эвристического анализа на стороне сервера могут быть выше, чем на стороне персонального компьютера. Но принципиальным отличием в данном случае являются данные, представляемые проверяемым веб-ресурсом 200 в зависимости от идентификационных данных 250. В случае когда проверка будет происходить на сервере, результатом авторизации будет либо отказ в доступе, либо передача прав гостевой учетной записи. Результаты проверки будут отличаться даже при равных технологических возможностях на сервере и на компьютере пользователя.
Ограничение на использование антивирусных веб-сканеров составляют также правила маршрутизации. В случае если веб-ресурс входит в состав локальной сети и не имеет внешнего сетевого адреса, он будет недоступен извне этой локальной сети и его можно будет проверить только с использованием средства безопасности, которое установлено на компьютерной системе, подключенной к данной локальной сети.
Многие злоумышленники знают о существовании подобных веб-сканеров и заведомо блокируют доступ к ресурсу, на котором выкладывают вредоносную программу, для адресов антивирусных компаний, что усложняет проверку.
До тех пор, пока пользователь не загрузит страницу веб-ресурса, она не может быть проверена с применением данной схемы. Под «страницей» далее следует понимать html-файл, файлы FTP-сервера, передаваемые со стороны сервера данные, которые зависят от прикладного протокола связи. Веб-ресурс может содержать несколько тысяч страниц, и чтобы проверить их все с применением существующей схемы проверки, показанной на Фиг.2, потребуется много времени и ресурсов. Ситуация еще больше усложняется, если необходимо проверять несколько различных веб-ресурсов, с определенной периодичностью.
Статистика свидетельствует о том, что большинство зловредных программ, ссылок на зараженные страницы и т.п. располагаются на главных страницах веб-ресурсов или на первых страницах разделов. Это не упрощает процесс проверки, так как для каждого сервера часто используются разные идентификационные данные. Для проверки списка веб-ресурсов на большинстве из них необходимым является процесс прохождения авторизации, что также усложняет сканирование сайтов на наличие вредоносного кода.
В описываемом изобретении устранены все указанные ранее недостатки. Система и способ проверки веб-ресурсов по расписанию позволяют составлять списки проверки, настраивать доступ к веб-ресурсу, определять частоту и глубину проверки, сканировать веб-ресурсы с учетом выбранных настроек без использования дополнительных клиент-приложений 220 и средств.
Система, показанная на Фиг.3, производит проверку веб-ресурсов на наличие уязвимостей и вредоносных программ и информирует об опасности. Система состоит из нескольких средств: средства составления списка проверки 310, средство перехвата идентификаторов 320, база данных параметров проверки 330, системы безопасности 340.
Система проверки веб-ресурсов по расписанию может быть реализована в виде отдельной компьютерной системы, на удаленном сервере или на компьютере пользователя.
Для эффективной работы системы необходимо настроить некоторые параметры. В первую очередь необходимо составить список проверки. Данную функцию реализует средство составления списка проверки 310. Как известно, существует ряд веб-ресурсов или даже их отдельных разделов, которые пользователь посещает чаще остальных, или ресурсы, в защите которых он заинтересован, например, в случае если пользователь является автором, администратором или владельцем данных ресурсов. В результате этого, перед пользователем стоит важная проблема - как можно скорее зафиксировать факт заражения ресурса. Большинство адресов веб-ресурсов пользователь может перечислить и указать самостоятельно, но для упрощения и исключения случаев, когда адрес веб-ресурса утерян или забыт, средство составления списка проверки 310 предлагает вносить адреса страниц по результатам сканирования. Предлагаемый список создается путем ведения и импорта журнала посещений, закладок "любимых страниц" (Favorites) или других источников. Существует возможность автоматического заполнения списка путем добавления и/или удаления ресурсов в зависимости от количества посещений и времени посещений.
Не менее важным, как было отмечено ранее, является параметр авторизации на веб-ресурсе. В зависимости от него загружаемые данные с одного адреса могут отличаться. К тому же, в некоторых частных случаях пользователь обладает несколькими учетными записями, а если он владелец или разработчик - то и правами администратора. Вопрос учета идентификации пользователя на веб-ресурсе решается с помощью средства перехвата идентификаторов 320. Существует возможность самостоятельно ввести или предоставить средству идентификационные данные, например логин и пароль, и возможность интеллектуальной регистрации идентификационных данных. Интеллектуальная регистрация осуществляется при работе клиент-приложения 220 в момент авторизации (при передаче на сервер ключей). Например, в случае HTTP протокола регистрируются cookie-файлы, заголовки запросов (get, post). Средство перехвата идентификатора 320 может быть настроено на перехват по умолчанию или по требованию, а также может импортировать данные из системных папок клиент-приложений 220, в которых эти данные хранятся. Вариантами реализации служат системы в виде модуля для браузера, который ведет журнал посещений и паролей; менеджера паролей, сохраняющего все вводимые в приложения идентификаторы; фильтра сетевого трафика, способного выделить из графика ссылки и идентификаторы; драйвера, контролирующего работу клиент-приложения и перехватывающего все команды.
Полученные параметры проверки: списки проверки и идентификаторы на соответствующих ресурсах - сохраняются в базу данных параметров проверки 330. Добавление веб-ресурса в список проверки осуществляется также в автоматическом режиме, например с использованием причинно-следственных правил на основе логики или статистики.
Если {Кол-во посещений = «много»} то {добавить в <список>} И
Если {время последнего посещения = «давно»} то {удалить из <список>}
В данном случае значения «много», «давно» могут быть нормированы в зависимости от общего количества подключений пользователем к сайтам. Если он нечасто посещает сайты - количество подключений менее ста подключений в день, и при этом он посещал интересующий веб-ресурс порядка десяти раз, то этому будет соответствовать терм «много», если же количество подключений превышает тысячу подключений в день, то терм будет «мало». Аналогично со временем последнего посещения. Срок в один месяц можно считать «давно», если последнее соединение с Интернетом состоялось один день назад, и «недавно», если последнее соединение с Интернетом состоялось три недели назад соответственно.
Помимо указанных параметров в базе данных параметров проверки также хранятся настройки по глубине сканирования и периодичности. Когда проверяется страница, в ней выделяются ссылки на разделы или другие ресурсы, которые, в свою очередь, тоже могут содержать подразделы в виде ссылок на них. Глубина сканирования - количество проверяемых подразделов при проверке указанного веб-ресурса. Если в качестве глубины сканирования указан «0», то будет проверена только страница с соответствующим адресом, если «1», то все страницы, на которые присутствуют ссылки на первой странице и т.д. Подобное решение позволяет упростить процесс проверки и ее настройки для крупных и сложно структурированных порталов. Частота проверки влияет на оперативность обнаружения заражения или угрозы заражения. Данный параметр может быть актуален в случае, если объем проверки велик и требуется ввести приоритеты для ресурсов, а так же в случае, когда существует необходимость экономии вычислительных ресурсов на процесс проверки. Частота проверки также настраивается автоматически. Зависимость частоты от загрузки компьютера, от частоты обновления содержимого веб-ресурса, от времени последнего зафиксированного заражения веб-ресурса, частоты посещения данного веб-ресурса может быть задана функционально, графически, с помощью логических правил или, например, таблично:
Частота изменения содержимого Частота проверки
1 раз в день 2 раза в день
1 раз в месяц 1 раз в неделю
Модель базы данных параметров проверки показана на Фиг.4. Данный пример содержит четыре сущности: «список веб-ресурсов» 400, «идентификаторы» 410, «частота проверки» 420 и «глубина проверки» 430. При этом сущность «идентификаторы» обладает атрибутами: логин, пароль, сессионный ключ, а сущность «частота проверки»: время, частота, событие. Связь сущностей обеспечивается с помощью сводной таблицы база проверки 440. В результате можем получить таблицу, в которой, например, для адреса UriID существуют учетные записи с идентификаторами SessionID. Данную UriID страницу необходимо проверять с частотой TimeID с глубиной проверки ScanID.
После того как база данных параметров проверки заполнена (имеет хотя бы одну запись в таблице база проверки), средство проверки, показанное на Фиг.3, выполняет анализ страниц с учетом заданных параметров (или с параметрами по умолчанию).
Средство проверки 340 инициирует процесс соединения с веб-ресурсом 370 по заданному адресу. После установления соединения 360 средство проверки передает серверу идентификаторы 350, выбранные из базы данных параметров проверки 330. После авторизации, сервер должен загрузить данные на компьютер пользователя, которые проверяются средством проверки.
Протокол HTTP включает передачу заголовков, содержащих информацию о браузере, операционной системе и т.д. Некоторые ресурсы разрабатываются под определенные приложения, так как большинство из них интерпретируют страницы по-разному. В случае если инициировать подключение, подставляя в качестве заголовков данные Internet Explorer, тем самым имитируя работу распространенного браузера, присутствует вероятность специфического представления страницы. Существуют сценарии, которые подключаются в зависимости от версии браузера. Описываемое изобретение позволяет исключить зависимость от клиент-приложения, имитируя большинство из них, такие как Chrome, FireFox, Opera и другие.
Процесс анализа веб-ресурса средством проверки 340 включает работу файлового- и веб-антивирусов, которые, в свою очередь, используют всевозможные эвристические и сигнатурные способы обнаружения вредоносных программ, сценариев, уязвимостей в клиент-приложениях 220. При проверке веб-страниц, передающихся по HTTP протоколу, средство проверки разбирает их на составные части и выделяет ссылки, сценарии, фреймы, изображения и другие объекты. Затем эмулирует поведение сценариев, проверяет url-адреса в черных списках, которые входят в антивирусные обновления, загружаемые с серверов антивирусных компаний, сравнивает загружаемые пакеты данных с сигнатурами зловредных компонент, проверяет загруженные файлы. После обработки средство проверки сохраняет результаты в базе данных страниц веб-ресурса 380. В случае заражения или при увеличении риска опасности для пользователя выводятся сообщения о заражении контролируемых ресурсов.
Модель базы данных страниц веб-ресурса показана на Фиг.5. Она может содержать, по меньшей мере, три сущности, которые показаны на Фиг.5, связь между которыми осуществляет таблица проверенных объектов 500. Эти сущности составляют: список проверки 510, тип объекта 520 и степень опасности 530 объекта. Хранение данных в предложенном виде обеспечивает поиск известных объектов (вредоносных, доверенных, неизвестных и других), содержащихся в базе. В результате поиска по данной базе можно определить, изменялся ли объект и насколько он безопасен.
Система проверки веб-ресурсов по расписанию взаимодействует с удаленным сервером безопасности, загружая с него сигнатуры вредоносных компонент, черные списки url-адресов, спам-сигнатуры и другие объекты. В случае обнаружения заражения веб-ресурса на сервер отправляется отчет о заражении, который содержит, по меньшей мере, url-адрес страницы, содержащей опасный или потенциально опасный объект.
Результатом работы системы проверки веб-ресурсов является отчет о проверке загружаемых страниц. Он может содержать перечень и адреса проверенных страниц и объектов, их контрольные суммы, дату и время проверки, информацию об опасности данной страницы или объекта. При этом адреса веб-страниц могут быть переданы в средства защиты, установленные на компьютере пользователя или на локальном сервере в качестве параметра. Если использовать отчет системы проверки веб-ресурсов и заблокировать адрес в сетевом фильтре на локальном сервере, никто из пользователей, осуществляющих подключение через данный сервер, не сможет загрузить страницу с этого адреса, что предотвратит заражение.
На Фиг.6 показан способ проверки защищенных веб-ресурсов. Вначале составляется список проверки, для этого составляется список адресов веб-ресурсов 610, определяются параметры проверки 620 и определяются идентификаторы пользователя, необходимые для авторизации на веб-ресурсе 630. После того как список проверки составлен, начинается проверка веб-ресурсов по данному списку. Устанавливается соединение с сервером 640 по адресу веб-ресурса согласно параметрам проверки (частоте, глубине проверки и т.д.). Далее производится авторизация на сервере 650 с использованием идентификаторов пользователя, соответствующих веб-ресурсу в списке проверки. Затем осуществляется проверка содержимого веб-ресурса 660 на наличие вредоносных программ, уязвимостей и других угроз безопасности. В заключение проверки составляется отчет 670, в котором указывается время проверки, параметры проверки и результаты проверки. По полученным результатам обновляются параметры проверки 675. Например, в случае, если проверка некоторого веб-ресурса не показала наличие угроз безопасности, период проверки этого ресурса увеличивается. Если во время проверки были найдены вредоносные программы, ссылки на зараженные объекты и другие угрозы, то пользователь (администратор) информируется об этом 690. Далее данный ресурс может быть заблокирован 695 в зависимости от настройки системы, чтобы исключить заражение других компьютеров и систем. Проверка завершается 685 до следующего цикла проверки.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующегося с сущностью и объемом настоящего изобретения.

Claims (25)

1. Система проверки веб-ресурса на наличие вредоносных компонент, содержащая:
(а) средство составления списка проверки, предназначенное для выделения адресов веб-ресурсов из клиент-приложений, определения параметров проверки для соответствующего адреса веб-ресурса, при этом средство составления списка проверки связано с базой данных параметров проверки;
(б) средство перехвата идентификаторов, предназначенное для выделения идентификаторов пользователей из клиент-приложений, добавления новых идентификаторов пользователей и сохранения идентификаторов пользователей для соответствующего адреса веб-ресурса в базу данных параметров проверки, при этом средство перехвата идентификаторов связано с базой данных параметров проверки;
(в) средство проверки, предназначенное для авторизации на веб-ресурсе с использованием идентификаторов пользователей и для дальнейшей проверки веб-ресурса на наличие вредоносных компонент с учетом параметров проверки, при этом средство проверки связано с базой данных параметров проверки;
(г) упомянутую базу данных параметров проверки, предназначенную для хранения параметров проверки веб-ресурсов и идентификаторов пользователей.
2. Система по п.1, в которой авторизация средства проверки на веб-ресурсе производится на основе полученных идентификаторов пользователя, соответствующих данному веб-ресурсу, которые считываются из базы данных параметров проверки.
3. Система по п.1, в которой параметры проверки составляет совокупность, по меньшей мере, адреса веб-ресурса и идентификаторов пользователя для авторизации на веб-ресурсе.
4. Система по п.3, в которой параметры проверки дополнительно могут содержать глубину проверки или частоту проверки.
5. Система по п.1, в которой средство проверки предназначено для анализа загружаемых с веб-ресурса данных и хранящихся на веб-ресурсе данных.
6. Система по п.5, в которой данные веб-ресурса составляют, по меньшей мере, ссылки, или сценарии, или фреймы, или файлы.
7. Система по п.1, в которой средство проверки предназначено также для имитации работы клиент-приложения во время установления соединения с веб-ресурсом и авторизации пользователя на веб-ресурсе.
8. Система по п.7, в которой имитация клиент-приложения происходит путем замены заголовков в протоколе передачи данных.
9. Система по п.1, в которой средство проверки предназначено для проведения проверки веб-ресурса с определенной частотой, которая соответствует данному веб-ресурсу, хранится в базе данных параметров проверки и устанавливается автоматически средством проверки в зависимости от загрузки средства проверки или частоты обновления содержимого веб-ресурса или времени последнего зафиксированного заражения веб-ресурса.
10. Система по п.1, в которой средство проверки предназначено также для составления отчета по окончании проверки, включающего совокупность, по меньшей мере, времени проверки, наименований обнаруженных вредоносных программ или угроз безопасности, адресов страниц, на которых обнаружены вредоносные программы или угрозы безопасности.
11. Система по п.10, в которой отчет о проверке используется средством проверки в качестве настроек и параметров блокирования доступа к веб-ресурсу или отдельным объектам веб-ресурса.
12. Система по п.1, в которой идентификаторами пользователей являются логин, или пароль, или идентификационный номер, или cookie-файлы, или сессионный ключ, или ссылка доступа.
13. Система по п.1, которая дополнительно содержит базу данных страниц веб-ресурсов, предназначенную для хранения проверенных объектов страниц веб-ресурсов и связанную со средством проверки.
14. Система по п.13, в которой средство проверки предназначено также для сравнения объектов страниц веб-ресурса с сохраненными объектами страниц веб-ресурса и запуска проверки веб-ресурса на наличие вредоносных компонент в случае изменения объекта и/или атрибута объекта.
15. Способ проверки веб-ресурсов на наличие вредоносных компонент, выполняемый на компьютере, в котором:
(1) устанавливаются параметры проверки веб-ресурса:
а. составляется список адресов веб-ресурсов для проверки;
б. определяются параметры проверки, соответствующие каждому адресу веб-ресурса;
в. определяются идентификаторы пользователя для авторизации на веб-ресурсе;
(2) производится проверка веб-ресурса с учетом параметров проверки и данных авторизации:
а. устанавливается соединение с веб-ресурсом по адресу веб-ресурса;
б. производится авторизация на веб-ресурсе с использованием соответствующих данному веб-ресурсу идентификаторов пользователя;
в. осуществляется проверка веб-ресурса на наличие вредоносных программ и угроз безопасности.
16. Способ по п.15, в котором дополнительно имитируется работа клиент-приложения при установлении соединения с веб-ресурсом и при авторизации на веб-ресурсе.
17. Способ по п.15, в котором идентификаторами пользователей являются логин, или пароль, или идентификационный номер, или cookie-файлы, или сессионный ключ, или ссылка доступа.
18. Способ по п.15, в котором параметры проверки составляет совокупность, по меньшей мере, адреса веб-ресурса и идентификаторов пользователя для авторизации на веб-ресурсе.
19. Способ по п.18, в котором параметры проверки дополнительно могут содержать глубину проверки или частоту проверки.
20. Способ по п.15, который дополнительно содержит этап, на котором пользователь оповещается о заражении веб-ресурса.
21. Способ по п.14, в котором идентификаторы пользователя определяются путем их перехвата в клиент-приложении.
22. Способ по п.14, в котором частота проверки веб-ресурса устанавливается в зависимости от загрузки средства проверки, частоты обновления содержимого веб-ресурса, времени последнего зафиксированного заражения веб-ресурса.
23. Способ по п.14, который дополнительно содержит этап составления отчета о проверке, включающего совокупность, по меньшей мере, времени проверки, наименований обнаруженных вредоносных программ или угроз безопасности, адресов страниц, на которых обнаружены вредоносные программы или угрозы безопасности.
24. Способ по п.14, который дополнительно содержит этап блокирования доступа к страницам веб-ресурсов в случае обнаружения угрозы безопасности или вредоносных программ на данных страницах веб-ресурса.
25. Способ по п.14, который дополнительно содержит этап сохранения проверенных объектов, последующего сравнения объектов страниц веб-ресурса с сохраненными объектами страниц веб-ресурса и запуска проверки веб-ресурса на наличие вредоносных компонент в случае изменения объекта и/или атрибута объекта.
RU2010130874/08A 2010-07-23 2010-07-23 Система и способ проверки веб-ресурсов на наличие вредоносных компонент RU2446459C1 (ru)

Priority Applications (5)

Application Number Priority Date Filing Date Title
RU2010130874/08A RU2446459C1 (ru) 2010-07-23 2010-07-23 Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US12/906,183 US8370939B2 (en) 2010-07-23 2010-10-18 Protection against malware on web resources
EP11158984.2A EP2410452B1 (en) 2010-07-23 2011-03-21 Protection against malware on web resources
CN201110116427.4A CN102147842B (zh) 2010-07-23 2011-05-06 用于对网络资源进行预定恶意软件扫描的系统和方法
US13/757,915 US8595803B2 (en) 2010-07-23 2013-02-04 Protection against malware on web resources utilizing scripts for content scanning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010130874/08A RU2446459C1 (ru) 2010-07-23 2010-07-23 Система и способ проверки веб-ресурсов на наличие вредоносных компонент

Publications (2)

Publication Number Publication Date
RU2010130874A RU2010130874A (ru) 2012-01-27
RU2446459C1 true RU2446459C1 (ru) 2012-03-27

Family

ID=44422105

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010130874/08A RU2446459C1 (ru) 2010-07-23 2010-07-23 Система и способ проверки веб-ресурсов на наличие вредоносных компонент

Country Status (4)

Country Link
US (2) US8370939B2 (ru)
EP (1) EP2410452B1 (ru)
CN (1) CN102147842B (ru)
RU (1) RU2446459C1 (ru)

Cited By (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2535504C1 (ru) * 2013-06-28 2014-12-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ лечения содержимого сайта
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
RU2580027C1 (ru) * 2014-10-17 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ формирования правил поиска данных, используемых для фишинга
RU2606564C1 (ru) * 2015-09-30 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ блокировки выполнения сценариев
RU2610254C2 (ru) * 2015-06-30 2017-02-08 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения измененных веб-страниц
RU2610418C2 (ru) * 2014-08-29 2017-02-10 Общество С Ограниченной Ответственностью "Яндекс" Способ координации сетевого обмена данными
RU2622870C2 (ru) * 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
RU2634170C1 (ru) * 2016-12-12 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ определения уровня доверия URL, полученного от передатчика
RU2638710C1 (ru) * 2016-10-10 2017-12-15 Акционерное общество "Лаборатория Касперского" Способы обнаружения вредоносных элементов веб-страниц
RU2652451C2 (ru) * 2016-09-08 2018-04-26 Акционерное общество "Лаборатория Касперского" Способы обнаружения аномальных элементов веб-страниц
RU2658191C2 (ru) * 2015-06-19 2018-06-19 Сяоми Инк. Способ и устройство для обнаружения несанкционированного использования веб-адресов
RU2659741C1 (ru) * 2017-09-29 2018-07-03 Акционерное общество "Лаборатория Касперского" Способы обнаружения аномальных элементов веб-страниц на основании статистической значимости
RU2662391C1 (ru) * 2017-05-05 2018-07-25 Илья Самуилович Рабинович Система и способ проверки веб-ресурсов на наличие вредоносных вставок
RU2668710C1 (ru) * 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
RU2671991C2 (ru) * 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" Система и способ сбора информации для обнаружения фишинга
RU2676247C1 (ru) * 2018-01-17 2018-12-26 Общество С Ограниченной Ответственностью "Группа Айби" Способ и компьютерное устройство для кластеризации веб-ресурсов
RU2677361C1 (ru) * 2018-01-17 2019-01-16 Общество с ограниченной ответственностью "Траст" Способ и система децентрализованной идентификации вредоносных программ
RU2701040C1 (ru) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
RU2702081C2 (ru) * 2018-03-30 2019-10-03 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения модификации веб-ресурса
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
RU2724782C1 (ru) * 2018-12-24 2020-06-25 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
US11108803B2 (en) 2017-03-01 2021-08-31 Synopsys, Inc. Determining security vulnerabilities in application programming interfaces
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
US11128645B2 (en) 2019-09-09 2021-09-21 Yandex Europe Ag Method and system for detecting fraudulent access to web resource
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
RU2781477C2 (ru) * 2019-09-09 2022-10-12 Общество С Ограниченной Ответственностью «Яндекс» Способ и система для обнаружения мошеннического доступа к веб-ресурсу
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources

Families Citing this family (208)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
KR101092024B1 (ko) * 2010-02-19 2011-12-12 박희정 웹 서비스의 실시간 취약성 진단 및 결과정보 제공 서비스 시스템
EP2466506A1 (fr) * 2010-12-17 2012-06-20 Gemalto SA Procédé dynamique de contrôle de l'intégrité de l'exécution d'un code exécutable
US9043434B1 (en) 2011-09-12 2015-05-26 Polyvore, Inc. Alternate page determination for a requested target page
US20130160130A1 (en) * 2011-12-20 2013-06-20 Kirill Mendelev Application security testing
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
CN102752279B (zh) * 2012-04-27 2014-11-12 中国科学院信息工程研究所 一种社交网络恶意代码传播的仿真系统及仿真方法
US8892766B1 (en) * 2012-06-28 2014-11-18 Trend Micro Incorporated Application-based network traffic redirection for cloud security service
US9779244B1 (en) * 2012-08-14 2017-10-03 Rockwell Collins, Inc. Establishing secure initial state in a processing platform containing both high assurance security and safety-critical functions
CN103634366A (zh) * 2012-08-27 2014-03-12 北京千橡网景科技发展有限公司 用于识别网络机器人的方法和设备
CN102801741A (zh) * 2012-08-30 2012-11-28 山石网科通信技术(北京)有限公司 木马病毒的阻止方法及装置
GB2506622A (en) * 2012-10-04 2014-04-09 Ibm Anti-virus data management
US9460283B2 (en) * 2012-10-09 2016-10-04 Dell Products L.P. Adaptive integrity validation for portable information handling systems
TWI482047B (zh) * 2012-11-06 2015-04-21 Inst Information Industry 資訊安全稽核管控系統、方法及其電腦可讀取紀錄媒體
KR101401948B1 (ko) * 2012-11-19 2014-05-30 한국인터넷진흥원 대규모 웹사이트 방문점검 방법
KR20140064057A (ko) * 2012-11-19 2014-05-28 한국인터넷진흥원 웹사이트 악성여부 고속 판별방법
WO2014082599A1 (zh) * 2012-11-30 2014-06-05 北京奇虎科技有限公司 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9225739B2 (en) * 2013-06-26 2015-12-29 Microsoft Technology Licensing, Llc Providing user-specific malware assessment based on social interactions
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
CN103368957B (zh) * 2013-07-04 2017-03-15 北京奇虎科技有限公司 对网页访问行为进行处理的方法及系统、客户端、服务器
US10015191B2 (en) * 2013-09-18 2018-07-03 Paypal, Inc. Detection of man in the browser style malware using namespace inspection
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US8739287B1 (en) * 2013-10-10 2014-05-27 Kaspersky Lab Zao Determining a security status of potentially malicious files
US8863284B1 (en) 2013-10-10 2014-10-14 Kaspersky Lab Zao System and method for determining a security status of potentially malicious files
CN103581321B (zh) * 2013-11-06 2017-05-31 北京奇虎科技有限公司 一种refer链的创建方法、装置及安全检测方法和客户端
JP6000929B2 (ja) * 2013-11-07 2016-10-05 株式会社ソニー・インタラクティブエンタテインメント 情報処理装置
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9560062B2 (en) * 2013-12-03 2017-01-31 Secureworks Corp. System and method for tamper resistant reliable logging of network traffic
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
CN104811418B (zh) * 2014-01-23 2019-04-12 腾讯科技(深圳)有限公司 病毒检测的方法及装置
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9912690B2 (en) * 2014-04-08 2018-03-06 Capital One Financial Corporation System and method for malware detection using hashing techniques
US9203851B1 (en) 2014-05-13 2015-12-01 Trend Micro Incorporated Redirection of data from an on-premise computer to a cloud scanning service
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9619648B2 (en) 2014-07-16 2017-04-11 Microsoft Technology Licensing, Llc Behavior change detection system for services
US9485263B2 (en) 2014-07-16 2016-11-01 Microsoft Technology Licensing, Llc Volatility-based classifier for security solutions
US9094443B1 (en) * 2014-07-30 2015-07-28 Iboss, Inc. Web redirection for content scanning
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10110622B2 (en) 2015-02-13 2018-10-23 Microsoft Technology Licensing, Llc Security scanner
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9906542B2 (en) 2015-03-30 2018-02-27 Microsoft Technology Licensing, Llc Testing frequency control using a volatility score
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
CA2983458A1 (en) * 2015-07-16 2017-01-19 Raymond CANFIELD Cyber security system and method using intelligent agents
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
RU2613535C1 (ru) * 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
CN105635126B (zh) * 2015-12-24 2018-10-09 北京奇虎科技有限公司 恶意网址访问防护方法、客户端、安全服务器及系统
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10032023B1 (en) * 2016-03-25 2018-07-24 Symantec Corporation Systems and methods for selectively applying malware signatures
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10616266B1 (en) 2016-03-25 2020-04-07 Fireeye, Inc. Distributed malware detection system and submission workflow thereof
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10860715B2 (en) * 2016-05-26 2020-12-08 Barracuda Networks, Inc. Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
GB2554657B (en) * 2016-09-30 2019-09-11 F Secure Corp Protection from malicious and/or harmful content in cloud-based service scenarios
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
RU2638001C1 (ru) * 2017-02-08 2017-12-08 Акционерное общество "Лаборатория Касперского" Система и способ выделения части резерва производительности антивирусного сервера для выполнения антивирусной проверки веб-страницы
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
JP2018163535A (ja) * 2017-03-27 2018-10-18 サクサ株式会社 Webページ監視装置および方法
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
CN109214182B (zh) * 2017-07-03 2022-04-15 阿里巴巴集团控股有限公司 在云平台下虚拟机运行中对勒索软件的处理方法
US10474805B2 (en) * 2017-08-17 2019-11-12 Blackberry Limited Methods and devices for accessing protected applications
US10257232B2 (en) * 2017-09-13 2019-04-09 Malwarebytes Inc. Endpoint agent for enterprise security system
CN107483488B (zh) * 2017-09-18 2021-04-30 济南互信软件有限公司 一种恶意Http检测方法及系统
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
EP3641259A1 (de) * 2018-10-15 2020-04-22 Siemens Aktiengesellschaft Vorrichtung und verfahren zur prüfung von eigenschaften von ressourcen
US10521583B1 (en) * 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11368475B1 (en) * 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US12074887B1 (en) 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11238163B1 (en) * 2019-06-27 2022-02-01 Raytheon Company Method for objectively and completely indentifying system residual vulnerabilities
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11330010B2 (en) * 2019-09-25 2022-05-10 Fortinet, Inc. Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
RU2739830C1 (ru) * 2019-09-30 2020-12-28 Акционерное общество "Лаборатория Касперского" Система и способ выбора средства обнаружения вредоносных файлов
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US20240291847A1 (en) * 2021-06-24 2024-08-29 Feroot Security Inc. Security risk remediation tool

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU91202U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система обнаружения неизвестных вредоносных программ
EP2199940A2 (en) * 2008-12-18 2010-06-23 Symantec Corporation Methods and systems for detecting man-in-the-browser attacks

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL140504A0 (en) 2000-02-03 2002-02-10 Bandwiz Inc Broadcast system
TW550485B (en) 2000-02-21 2003-09-01 De-Fang Bau Web site system allowing multiple logins
KR20020000225A (ko) 2000-05-20 2002-01-05 김활중 컴퓨터 시스템의 통합적인 원격 보안 관리를 수행하는시스템 및 방법
CA2960857C (en) 2000-06-07 2019-07-09 Kount Inc. Online machine data collection and archiving process
US6785732B1 (en) 2000-09-11 2004-08-31 International Business Machines Corporation Web server apparatus and method for virus checking
US6996845B1 (en) * 2000-11-28 2006-02-07 S.P.I. Dynamics Incorporated Internet security analysis system and process
EA001895B1 (ru) 2001-02-15 2001-10-22 Лев Лазаревич Матвеев Способ получения, обработки и хранения ссылок на информационные источники, списков ссылок и полных копий информационных источников
US7219138B2 (en) 2002-01-31 2007-05-15 Witness Systems, Inc. Method, apparatus, and system for capturing data exchanged between a server and a user
US7591017B2 (en) * 2003-06-24 2009-09-15 Nokia Inc. Apparatus, and method for implementing remote client integrity verification
US20070174324A1 (en) 2006-01-12 2007-07-26 Palapudi Sriram M Mechanism to trap obsolete web page references and auto-correct invalid web page references
CN101195000B (zh) * 2006-12-08 2012-03-28 天津天士力制药股份有限公司 一种脉络宁滴丸及其制备方法
CN101471818B (zh) * 2007-12-24 2011-05-04 北京启明星辰信息技术股份有限公司 一种恶意注入脚本网页检测方法和系统
US8561162B2 (en) 2008-02-28 2013-10-15 Red Hat, Inc. Systems and methods for unified login to multiple networked services
BRPI0917510A2 (pt) * 2008-08-20 2015-11-17 Wherepro Llc gerador de pacotes de dados para geração de códigos
CN101692267B (zh) * 2009-09-15 2011-09-07 北京大学 一种大规模恶意网页检测方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2199940A2 (en) * 2008-12-18 2010-06-23 Symantec Corporation Methods and systems for detecting man-in-the-browser attacks
RU91202U1 (ru) * 2009-10-01 2010-01-27 ЗАО "Лаборатория Касперского" Система обнаружения неизвестных вредоносных программ

Cited By (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2535504C1 (ru) * 2013-06-28 2014-12-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ лечения содержимого сайта
RU2610418C2 (ru) * 2014-08-29 2017-02-10 Общество С Ограниченной Ответственностью "Яндекс" Способ координации сетевого обмена данными
RU2580027C1 (ru) * 2014-10-17 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ формирования правил поиска данных, используемых для фишинга
US9621570B2 (en) 2015-03-05 2017-04-11 AO Kaspersky Lab System and method for selectively evolving phishing detection rules
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US10313392B2 (en) 2015-06-19 2019-06-04 Xiaomi Inc. Method and device for detecting web address hijacking
RU2658191C2 (ru) * 2015-06-19 2018-06-19 Сяоми Инк. Способ и устройство для обнаружения несанкционированного использования веб-адресов
RU2610254C2 (ru) * 2015-06-30 2017-02-08 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения измененных веб-страниц
RU2606564C1 (ru) * 2015-09-30 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ блокировки выполнения сценариев
RU2622870C2 (ru) * 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US10430588B2 (en) 2016-07-06 2019-10-01 Trust Ltd. Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack
US10721251B2 (en) 2016-08-03 2020-07-21 Group Ib, Ltd Method and system for detecting remote access during activity on the pages of a web resource
RU2652451C2 (ru) * 2016-09-08 2018-04-26 Акционерное общество "Лаборатория Касперского" Способы обнаружения аномальных элементов веб-страниц
US10581880B2 (en) 2016-09-19 2020-03-03 Group-Ib Tds Ltd. System and method for generating rules for attack detection feedback system
RU2638710C1 (ru) * 2016-10-10 2017-12-15 Акционерное общество "Лаборатория Касперского" Способы обнаружения вредоносных элементов веб-страниц
US11038917B2 (en) 2016-10-10 2021-06-15 AO Kaspersky Lab System and methods for building statistical models of malicious elements of web pages
US10505973B2 (en) 2016-10-10 2019-12-10 AO Kaspersky Lab System and methods of detecting malicious elements of web pages
RU2634170C1 (ru) * 2016-12-12 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ определения уровня доверия URL, полученного от передатчика
RU2671991C2 (ru) * 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" Система и способ сбора информации для обнаружения фишинга
US10778719B2 (en) 2016-12-29 2020-09-15 Trust Ltd. System and method for gathering information to detect phishing activity
US10721271B2 (en) 2016-12-29 2020-07-21 Trust Ltd. System and method for detecting phishing web pages
US11108803B2 (en) 2017-03-01 2021-08-31 Synopsys, Inc. Determining security vulnerabilities in application programming interfaces
RU2755675C2 (ru) * 2017-03-01 2021-09-20 Синопсис, Инк. Выявление факторов уязвимости безопасности в программных интерфейсах приложения
WO2018203775A3 (ru) * 2017-05-05 2019-01-31 Илья Самуилович РАБИНОВИЧ Система и способ проверки веб-ресурсов на наличие вредоносных вставок
RU2662391C1 (ru) * 2017-05-05 2018-07-25 Илья Самуилович Рабинович Система и способ проверки веб-ресурсов на наличие вредоносных вставок
RU2659741C1 (ru) * 2017-09-29 2018-07-03 Акционерное общество "Лаборатория Касперского" Способы обнаружения аномальных элементов веб-страниц на основании статистической значимости
US11755700B2 (en) 2017-11-21 2023-09-12 Group Ib, Ltd Method for classifying user action sequence
US11122061B2 (en) 2018-01-17 2021-09-14 Group IB TDS, Ltd Method and server for determining malicious files in network traffic
RU2668710C1 (ru) * 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
US11451580B2 (en) 2018-01-17 2022-09-20 Trust Ltd. Method and system of decentralized malware identification
RU2677361C1 (ru) * 2018-01-17 2019-01-16 Общество с ограниченной ответственностью "Траст" Способ и система децентрализованной идентификации вредоносных программ
RU2676247C1 (ru) * 2018-01-17 2018-12-26 Общество С Ограниченной Ответственностью "Группа Айби" Способ и компьютерное устройство для кластеризации веб-ресурсов
US11475670B2 (en) 2018-01-17 2022-10-18 Group Ib, Ltd Method of creating a template of original video content
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US10762352B2 (en) 2018-01-17 2020-09-01 Group Ib, Ltd Method and system for the automatic identification of fuzzy copies of video content
US10958684B2 (en) 2018-01-17 2021-03-23 Group Ib, Ltd Method and computer device for identifying malicious web resources
US11005779B2 (en) 2018-02-13 2021-05-11 Trust Ltd. Method of and server for detecting associated web resources
RU2702081C2 (ru) * 2018-03-30 2019-10-03 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения модификации веб-ресурса
US11153351B2 (en) 2018-12-17 2021-10-19 Trust Ltd. Method and computing device for identifying suspicious users in message exchange systems
RU2724782C1 (ru) * 2018-12-24 2020-06-25 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления
RU2701040C1 (ru) * 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11934498B2 (en) 2019-02-27 2024-03-19 Group Ib, Ltd Method and system of user identification
RU2781477C2 (ru) * 2019-09-09 2022-10-12 Общество С Ограниченной Ответственностью «Яндекс» Способ и система для обнаружения мошеннического доступа к веб-ресурсу
US11128645B2 (en) 2019-09-09 2021-09-21 Yandex Europe Ag Method and system for detecting fraudulent access to web resource
US11526608B2 (en) 2019-12-05 2022-12-13 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11250129B2 (en) 2019-12-05 2022-02-15 Group IB TDS, Ltd Method and system for determining affiliation of software to software families
US11356470B2 (en) 2019-12-19 2022-06-07 Group IB TDS, Ltd Method and system for determining network vulnerabilities
US11151581B2 (en) 2020-03-04 2021-10-19 Group-Ib Global Private Limited System and method for brand protection based on search results
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
US11847223B2 (en) 2020-08-06 2023-12-19 Group IB TDS, Ltd Method and system for generating a list of indicators of compromise
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
US11985147B2 (en) 2021-06-01 2024-05-14 Trust Ltd. System and method for detecting a cyberattack
US12088606B2 (en) 2021-06-10 2024-09-10 F.A.C.C.T. Network Security Llc System and method for detection of malicious network resources

Also Published As

Publication number Publication date
US20120023579A1 (en) 2012-01-26
EP2410452A2 (en) 2012-01-25
CN102147842B (zh) 2014-12-10
CN102147842A (zh) 2011-08-10
US20130145437A1 (en) 2013-06-06
EP2410452A3 (en) 2013-07-10
RU2010130874A (ru) 2012-01-27
US8595803B2 (en) 2013-11-26
EP2410452B1 (en) 2016-01-13
US8370939B2 (en) 2013-02-05

Similar Documents

Publication Publication Date Title
RU2446459C1 (ru) Система и способ проверки веб-ресурсов на наличие вредоносных компонент
Nguyen-Tuong et al. Automatically hardening web applications using precise tainting
Stasinopoulos et al. Commix: automating evaluation and exploitation of command injection vulnerabilities in Web applications
US20140089661A1 (en) System and method for securing network traffic
JP2012516502A (ja) ネットワークリソースへの正常性ベースのアクセス
Akiyama et al. HoneyCirculator: distributing credential honeytoken for introspection of web-based attack cycle
Nagpal et al. SECSIX: security engine for CSRF, SQL injection and XSS attacks
WO2021242496A1 (en) User interface for web server risk awareness
Tao et al. Opening a Pandora's box: things you should know in the era of custom GPTs
Chen et al. URadar: Discovering Unrestricted File Upload Vulnerabilities via Adaptive Dynamic Testing
Raman JaSPIn: JavaScript based Anomaly Detection of Cross-site scripting attacks
CN113542287A (zh) 网络请求的管理方法和装置
Lakshmi Beginning Security with Microsoft Technologies
Bellatriu Penetration testing automation system
Sadana et al. Analysis of cross site scripting attack
Turco Web and Mobile Security Assessment in Accenture
Agrawall et al. Modelling and Mitigation of Cross-Origin Request Attacks on Federated Identity Management Using Cross Origin Request Policy
Shahriar et al. Classification of Web-Service-Based Attacks and Mitigation Techniques
Kim et al. Systematic Security Guideline Framework through Intelligently Automated Vulnerability Analysis.
Antonaropoulos NodeXP-An automated and integrated tool for detecting and exploiting Server Side JavaScript Injection vulnerability on Node. js services
Cordella et al. Web application penetration testing: an analysis of a corporate application according to owasp guide-lines
Mendoza Jiménez Securing a REST API Server
Brandsvoll The Security Risks of DHIS2-A Vulnerability Assessment and Penetration Test
Clementson Client-side threats and a honeyclient-based defense mechanism, Honeyscout
Org et al. D3. 1-CYBER RISK PATTERNS