RU2634211C1 - Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак - Google Patents
Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак Download PDFInfo
- Publication number
- RU2634211C1 RU2634211C1 RU2016127245A RU2016127245A RU2634211C1 RU 2634211 C1 RU2634211 C1 RU 2634211C1 RU 2016127245 A RU2016127245 A RU 2016127245A RU 2016127245 A RU2016127245 A RU 2016127245A RU 2634211 C1 RU2634211 C1 RU 2634211C1
- Authority
- RU
- Russia
- Prior art keywords
- requests
- malware
- parameters
- data
- control center
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2127—Bluffing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
Изобретение относится к системам и способам обнаружения компьютерных атак. Технический результат заключается в повышении эффективности выявления компьютерных атак. Способ характеризуется тем, что запускают вредоносную программу в виртуальной среде; собирают запросы, отправляемые вредоносной программой в центр управления вредоносными программами; определяют в собранных запросах параметры и их порядок; группируют запросы с одинаковыми наборами параметров; для каждой группы запросов формируют регулярное выражение, описывающее параметры данной группы запросов; формируют и отправляют запрос, описываемый полученным на предыдущем шаге регулярным выражением, центру управления вредоносных программ; получают ответ от центра управления, при этом, если ответ закодирован и/или зашифрован, то производят его декодирование и/или расшифровку; анализируют ответ на наличие сведений, характерных для проведения сетевых атак; сохраняют полученные результаты; выявляют компьютерные атаки с использованием полученных результатов анализа. 2 н. и 15 з.п. ф-лы, 3 ил.
Description
ОБЛАСТЬ ТЕХНИКИ
[0001] Данное техническое решение относится к системам и способам обнаружения компьютерных атак, а более конкретно к способам и системам анализа протоколов взаимодействия вредоносных программ с центрами (серверами) управления и выявления компьютерных атак.
УРОВЕНЬ ТЕХНИКИ
[0002] В связи с развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема, связанная с обнаружением компьютерных атак.
[0003] На текущий момент существуют разные технологии по обнаружению компьютерных атак путем анализа файлов, сетевого трафика, поведенческого анализа. Такими технологиями можно достаточно эффективно обнаруживать атаки в защищаемом сегменте сети. Однако возникает необходимость обнаруживать и отлеживать атаки даже там, где нет средств для выявления подобных атак.
[0004] Для выявления сетевых атак на незащищаемые ресурсы можно запускать вредоносные программы, которые могут получать инструкции с удаленных серверов управления, в которых будут указаны атакуемые цели и параметры атаки. Однако у такого подхода существует ряд ограничений и недостатков:
[0005] при запуске вредоносной программы необходимо ждать, пока она обратится к удаленному серверу за инструкцией или начнет атаку. В зависимости от настроек вредоносной программы интервал взаимодействия с удаленным сервером может занимать от нескольких минут до нескольких часов;
[0006] для постоянного анализа команд с определенного сервера управления необходимо постоянно держать включенным компьютер с вредоносной программой;
[0007] инструкции с сервера управления могут приходит в зашифрованном или закодированном виде;
[0008] для анализа инструкций с большого количества серверов управления разных вредоносных программ необходимо поддерживать изолированную среду для запуска каждой вредоносной программы, иначе такие вредоносные программы могут конфликтовать между собой.
[0009] Из уровня техники известно техническое решение, описанное в патентной заявке US 20150007250 A1, заявитель: MITRE Corp, опубликовано: 01.01.2015. Данное техническое решение описывает способ перехвата и применения для вредоносных программ, адаптирующийся к деятельности вредоносных программ на скомпрометированной компьютерной системе. Данное техническое решение анализируют трафик между зараженным компьютером и сервером, что сужает зону покрытия, поскольку становится невозможным исследовать вредоносные ссылки, которые никогда не встречались в защищаемой сети. Еще одной особенностью данного решения является необходимость в ручном реверс-инжиниринге протокола взаимодействия вредоносной программы с сервером, что не позволяет автоматизировать процесс анализа.
СУЩНОСТЬ
[00010] Данное техническое решение направлено на устранение недостатков, присущих существующим решениям в известном уровне техники.
[00011] Технической задачей, решаемой в данном техническом решении, является создание способа и системы анализа протоколов взаимодействия вредоносных программ с серверами управления и выявления компьютерных атак посредством эмуляции сетевой активности вредоносных программ.
[00012] Техническим результатом данного технического решения является повышение эффективности выявления компьютерных атак.
Указанный технический результат достигается благодаря способу анализа протокола взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак, который включает следующие шаги: запускают, по крайней мере, одну вредоносную программу в, по крайней мере, одной виртуальной среде; собирают запросы, отправляемые, по крайней мере, одной вышеупомянутой вредоносной программой в, по крайней мере, один центр управления вредоносными программами; определяют в собранных запросах параметры и их порядок; группируют запросы с одинаковыми наборами параметров; для каждой группы запросов, включающей два и более запроса, формируют регулярное выражение, описывающее параметры данной группы запросов; формируют и отправляют, по крайней мере, один запрос, описываемый полученным на предыдущем шаге регулярным выражением, по крайней мере, одному центру управления вредоносными программами; получают, по крайней мере, один ответ от, по крайней мере, одного центра управления вредоносными программами, при этом, если ответ закодирован и/или зашифрован, то производят его декодирование и/или расшифровку; анализируют, по крайней мере, один вышеупомянутый ответ на наличие сведений, характерных для проведения сетевых атак и сохраняют полученные результаты.
[00013] В некоторых вариантах осуществления при запуске вредоносной программы в виртуальной среде, виртуальная среда создается посредством средств аппаратной или программной виртуализации.
[00014] В некоторых вариантах осуществления при запуске вредоносной программы в виртуальной среде используют виртуализацию на уровне операционной системы.
[00015] В некоторых вариантах осуществления при запуске вредоносной программы в виртуальной среде получают настройки виртуальной среды из внешних источников и применяют к виртуальной среде.
[00016] В некоторых вариантах осуществления собирают запросы, отправляемые вредоносной программой в центр управления по протоколу прикладного уровня передачи данных http, или FTP, или DNS, или IRC.
[00017] В некоторых вариантах осуществления собранные запросы, отправляемые вредоносной программой в центр управления, сохраняют в энергонезависимую память, или энергозависимую память, или хранилище данных.
[00018] В некоторых вариантах осуществления хранилищем данных является файл, или плоский файл, или key-value хранилище, или база данных.
[00019] В некоторых вариантах осуществления при определении в собранных запросах параметров и их порядка выделяют параметры в текстовых протоколах, используя разбиение строки по разделителям.
[00020] В некоторых вариантах осуществления производят группировку запросов по совпадению названий параметров и/или их количеству.
[00021] В некоторых вариантах осуществления при формировании регулярных выражений, описывающих параметры группы запросов, сохраняют их в энергонезависимую память, или энергозависимую память, или хранилище данных.
[00022] В некоторых вариантах осуществления запрос формируется с использованием протокола, который использует для обмена данными с вредоносной программой данный конкретный центр управления.
[00023] В некоторых вариантах осуществления для избежания блокирования запросов центром управления используют различные анонимайзеры.
[00024] В некоторых вариантах осуществления в качестве анонимайзера используют динамические proxy серверы или TOR (The Union Router) или VPN (Virtual Private Network).
[00025] В некоторых вариантах осуществления при декодировании ответа используют декодирование по Base64 или преобразование из Hex формата в строковый.
[00026] В некоторых вариантах осуществления при расшифровке ответа используют ROT13 То Text Converter или HTML Encoder.
[00027] В некоторых вариантах осуществления сохраняют полученные результаты в энергонезависимую память, или энергозависимую память, или хранилище данных.
[00028] Также указанный технический результат достигается благодаря системе анализа протокола взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак, включающей следующие модули, выполняемые(запускаемые) на сервере: агрегатор центров управления, выполненный с возможностью: сбора данных о центрах управления вредоносными программами из открытых источников и анализаторов сетевого трафика (систем обнаружения/предотвращения вторжений), проверки корректности полученных адресов центров управления и их доступности, передачи вышеуказанных данных на эмулятор протоколов вредоносных программ; шаблонизатор сетевого трафика, выполненный с возможностью: получения и сбора фрагментов сетевого трафика, включающего запросы и ответы, генерируемого вредоносными программами после их запуска в виртуальной среде, определения в запросах параметров и их порядка, группирования запросов с одинаковыми наборами параметров и формирования для каждой группы запросов, включающей два и более запроса, регулярных выражений, описывающие параметры группы запросов, передачи сформированных шаблонов на эмулятор протоколов вредоносных программ; эмулятор протоколов вредоносных программ, выполненный с возможностью получения шаблонов запросов от шаблонизатора сетевого трафика и данные о центрах управления от агрегатора центров управления, формирования запросов, описываемых полученными от шаблонизатора сетевого трафика регулярными выражениями, отправки сформированных запросов центрам управления вредоносных программ, полученным от агрегатора серверов управления, получения ответов от центров управления и их декодирования и/или расшифровки в случае, если ответ закодирован и/или зашифрован, анализа полученных от центров управления ответов на наличие сведений, характерных для проведения сетевых атак, передачи данных в хранилище данных; хранилище данных, выполненное с возможностью хранения данных, полученных от эмулятора протоколов вредоносных программ.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[00029] Признаки и преимущества настоящего технического решения станут очевидными из приводимого ниже подробного описания и прилагаемых чертежей, на которых:
[00030] На Фиг. 1 показан пример возможной конфигурации виртуальных сред для запуска вредоносных программ.
[00031] На Фиг. 2 показан пример осуществления варианта технического решения согласно способу анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак.
[00032] На Фиг. 3 показан пример осуществления варианта технического решения согласно системе анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак. На всех фигурах линии означают наличие взаимодействия между объектами.
ПОДРОБНОЕ ОПИСАНИЕ
[00033] Данное техническое решение может быть реализовано на сервере или в виде машиночитаемого носителя, содержащего инструкции для выполнения вышеупомянутого способа или содержащего вышеупомянутую систему.
[00034] Техническое решение может быть реализовано в виде распределенной компьютерной системы, включающей два или более сервера, соединенных каналами связи. В данном техническом решении под сервером подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций), имеющие возможность получать данные, отправлять запросы и принимать ответы от других серверов или устройств через каналы связи.
[00035] Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).
[00036] Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройств хранения данных. В роли устройства хранения данных могут выступать, но не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.
[00037] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.
[00038] Ниже будут описаны понятия и определения, необходимые для подробного раскрытия осуществляемого технического решения.
[00039] Вредоносная программа - любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда (нанесения ущерба) владельцу информации, и/или владельцу ЭВМ, и/или владельцу сети ЭВМ путем копирования, искажения, удаления или подмены информации.
[00040] RFC (Request for Comments) - документ из серии пронумерованных информационных документов Интернета, охватывающих технические спецификации и Стандарты, широко используемые во Всемирной сети.
[00041] DoS-атака - хакерская атака на вычислительную систему с целью довести ее до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднен.
[00042] Регулярные выражения - формальный язык поиска и осуществления манипуляций с подстроками в тексте, основанный на использовании метасимволов. По сути это строка-образец, состоящая из символов и метасимволов и задающая правило поиска.
[00043] Удаленная сетевая атака - информационное разрушающее воздействие на распределенную вычислительную систему (ВС), осуществляемое программно по каналам связи.
[00044] Песочница - специально выделенная среда для безопасного исполнения компьютерных программ. Обычно представляет собой жестко контролируемый набор ресурсов для исполнения гостевой программы, например место на диске или в памяти. Доступ к сети, возможность сообщаться с главной операционной системой или считывать информацию с устройств ввода обычно либо частично эмулируют, либо сильно ограничивают. Песочницы представляют собой пример виртуализации.
[00045] Центр управления - в области компьютерной безопасности включает в себя серверы и другие технические инфраструктуры, используемые для контроля вредоносных программ в целом и в частности ботнетов.
[00046] Ботнет (botnet) - сеть компьютеров, которая состоит из некоторого количества хостов с запущенными ботами - программами, которые устанавливаются на компьютер жертвы без ее ведома и дают злоумышленнику возможность выполнять некие действия с использованием ресурсов зараженного компьютера.
[00047] Виртуальная машина - программная и/или аппаратная система, эмулирующая аппаратное обеспечение некоторой платформы (target - целевая или гостевая платформа) и исполняющая программы для target-платформы на host-платформе (host - хост-платформа, платформа-хозяин) или виртуализирующая некоторую платформу и создающая на ней среды, изолирующие друг от друга программы и даже операционные системы.
[00048] Виртуализация - предоставление набора вычислительных ресурсов или их логического объединения, абстрагированное от аппаратной реализации и обеспечивающее при этом логическую изоляцию друг от друга вычислительных процессов, выполняемых на одном физическом ресурсе.
[00049] Нижерассмотренный пример реализации является иллюстративным и не ограничивает сущность технического решения.
[00050] В одном из вариантов реализации, показанном на Фиг.2, способ анализа протокола взаимодействия вредоносных программ с серверами управления и выявления компьютерных атак, выполняемый на сервере, включает следующие шаги:
[00051] Шаг 201: запускают, по крайней мере, одну вредоносную программу в, по крайней мере, одной виртуальной среде.
[00052] После запуска на сервере (100 или 101) в виртуальной среде (песочнице), вредоносная программа сообщает свой статус и получает инструкции с удаленного сервера, на котором установлен центр управления (103 или 102) для данной вредоносной программы.
[00053] Виртуальная среда создается посредством технологий аппаратной или программной виртуализации, известных из уровня техники. В качестве технологий аппаратной виртуализации могут использоваться Intel VT (VT-x, Intel Virtualization Technology for ×86) или, например, AMD-V. В качестве технологий программной виртуализации могут использоваться динамическая трансляция, паравиртуализация, встроенная виртуализация.
[00054] В некоторых вариантах реализации используют виртуализацию на уровне операционной системы, что позволяет запускать изолированные и безопасные виртуальные машины на одном физическом узле.
[00055] В некоторых вариантах реализации в качестве виртуальной машины (виртуальной среды) используют VirtualBox, или KVM, или VMware Workstation, или XenServer.
[00056] В некоторых вариантах реализации на сервере запускается множество вредоносных программ в отдельных виртуальных средах. Данный подход позволяет ускорить процесс сбора необходимой информации для работы способа. Согласно фиг. 1 на одном сервере (100) может быть запущено несколько виртуальных сред (104, 105, 106), в каждой из которых запущена, по крайней мере, одна вредоносная программа, которая обращается к, по крайней мере, одному центру управления (в качестве иллюстративного примера приведены только два центра управления - 102 и 103). Также может быть конфигурация (101), при которой каждая виртуальная среда запускается на своем сервере. Вместо сервера может использоваться компьютер, планшет, вычислительный кластер или другое вычислительное устройство, позволяющее создать и выполнять виртуальную среду (запустить виртуальную машину) и имеющее возможность обмена данными, отправки запросов и получения ответов от других серверов или устройств.
[00057] Некоторые вредоносные программы, будучи запущенными в виртуальной среде, умеют это определять и менять свое поведение. Для детектирования запуска в виртуальной среде они проверяют настройки драйверов, название устройств, проверяют службы, реестр операционной системы и др. параметры. Для целей решения этой проблемы могут задаваться настройки виртуальной среды, препятствующие обнаружению виртуализации и зависящие от используемых средств виртуализации.
[00058] Некоторые вредоносные программы могут менять свое поведение в зависимости от параметров среды, в которой она запущена. Так, например, если зловредная программа определяет, что установлена русская раскладка клавиатуры, а она предназначена для атак на англоязычных пользователей, то она может прекратить свою работу. Или, например, если у компьютера внешний IP-адрес не соответствует целевому региону, то также может завершить работу без общения с сервером управления. В случае обнаружения аномального поведения программы (отсутствие общения с центром управления или завершение работы после запуска) производят перенастройку чувствительных для зловредных программ параметров среды с целью обеспечить ее нормальную активность.
[00059] В некоторых вариантах реализации настройки виртуальной среды получают из внешних источников и применяют к виртуальной среде.
[00060] В некоторых вариантах реализации в виртуальной среде дополнительно используют анонимайзеры (средства анонимизации).
[00061] В некоторых вариантах реализации в качестве анонимайзера используют динамические proxy серверы, или TOR (The Union Router), или VPN (Virtual Private Network), или другие средства, но не ограничиваясь. Используемые средства анонимизации не влияют на сущность технического решения.
[00062] Шаг 202: собирают запросы, отправляемые, по крайней мере, одной вышеупомянутой вредоносной программой в, по крайней мере, один центр управления вредоносными программами
[00063] Запущенная на сервере (100) в виртуальной среде вредоносная программа посылает запросы через канал связи центру управления вредоносными программам и получает ответы на них. Время, в течение которого программе разрешается быть запущенной в виртуальной среде, может задаваться статически или определяться динамически на основании количества отправленных запросов и полученных ответов от вышеупомянутого центра управления.
[00064] В качестве канала связи могут использоваться как проводные (Ethernet), так и беспроводные каналы связи (Wi-Fi).
[00065] Вредоносная программа может отправлять запросы через каналы связи, используя широко распространенные протоколы прикладного уровня передачи данных HTTP, FTP, DNS, IRC, не ограничиваясь или используя собственный протокол взаимодействия.
[00066] Для отслеживания отправляемых вредоносной программой запросов и получаемых ей ответов могут использоваться различные анализаторы трафика (снифферы) и мониторы сетевой активности, отслеживающие сетевую активность сервера
[00067] Все отправленные вредоносной программой запросы и ответы центра управления на них сохраняются в энергонезависимую или энергозависимую память сервера (100). Сохраняемая информация о запросе может включать, но не ограничиваясь, по крайней мере, метод запроса, протокол, тело запроса. В некоторых вариантах реализации может сохраняться дополнительная информация, включающая метод сжатия, информацию о клиенте, сделавшем запрос (например, user-agent в http).
[00068] В некоторых вариантах реализации запросы, отправленные вредоносной программой, и ответы на них центра управления вредоносных программ сохраняют в хранилище данных, расположенном на сервере (100). В качестве хранилища данных могут выступать файлы, плоские файлы, key-value хранилища, различные базы данных, но не ограничиваясь.
[00069] Шаг 203: определяют в собранных запросах параметры и их порядок.
[00070] Далее сервер (109) по каналу(-ам) связи получает запросы, ответы и информацию о них, полученные на предыдущем шаге сервером (100). В некоторых вариантах реализации серверы (100) и (109) могут быть объединены в один.
[00071] В зависимости от используемого вредоносной программой протокола для общения с центром управления на сервере (109) используют различные методы для выделения (парсинга) параметров в запросе или ответе.
[00072] В случае использования протокола HTTP для определения параметров (парсинга параметров) сервер (109) использует RFC 2068/2616 или другие RFC, описывающие данный конкретный протокол или его более поздние версии.
[00073] При использовании зловредной программой общеизвестных протоколов разбор запросов и ответов (парсинг) осуществляются сервером (109) согласно RFC данного протокола.
[00074] В общем случае, для выделения параметров в текстовых (недвоичных) протоколах сервер (109) использует разбиение строки (содержащейся в запросе или ответе) по разделителям. В качестве разделителей могут использоваться символы ",;&-+_|" (символы-разделители), но не ограничиваясь. В том числе могут использоваться управляющие символы (\n - переход на новую строку, \r - возврат каретки и др.). Полученные фрагменты принимаются за пары, содержащие параметр и его значение. Далее в каждой паре определяют параметр и его значение. Для этого также может использоваться разбиение пары по разделителям "=:", но не ограничиваясь. Символы для разделения фрагмента на параметры и на пары параметр-значения могут получаться из внешних источников.
[00075] Для примера, выделим параметры во фрагменте запроса "id=1819847107&traff=0". Разделим фрагмент на части, используя перечисленные выше разделители. Получим две части "id=1819847107" и "traff=0". Далее разобьем части на пары параметр-значение, используя разделители "=:". В результате получаем два параметра id и traff, имеющие значения 1819847107 и 0 соответственно.
[00076] В некоторых вариантах реализации, если не удалось разобрать запрос стандартными методами, сервер (109) использует дополнительные процедуры разбора, правила, получаемые из внешних источников. Такие правила и процедуры могут формироваться автоматически или вручную на основе информации, полученной путем дизассемблирования или декомпиляции и анализа зловредных программ.
[00077] Все разобранные (распарсенные) запросы, содержащие, по крайней мере, информацию о протоколе, методе и параметрах запроса, сохраняют в оперативной памяти и/или хранилище данных на сервере (109). В некоторых вариантах реализации данные могут сохраняться на отдельном сервере, отличном от (109).
[00078] В качестве хранилища данных могут выступать файлы, плоские файлы, key-value хранилища, различные базы данных, но не ограничиваясь.
[00079] Шаг 204: группируют запросы с одинаковыми наборами параметров.
[00080] На сервере (109) производят группировку запросов по совпадению названий параметров, их количеству. В зависимости от хранилища данных, где хранятся разобранные запросы, могут использоваться различные встроенные в хранилище или внешние способы группировки. Так, например, при использовании реляционных баз данных могут использоваться SQL запросы, содержащие параметр GROUP BY.
[00081] Например, имея следующий пул фрагментов запросов, произведем их группировку:
[00082] 
[00083] 
[00084] 
[00085] 
[00086] 
[00087] Произведя группировку по совпадению названия параметров, их количеству, образуются 3 группы, включающие следующие элементы: {1,3} (группа 1), {2,5} (группа 2), {4} (группа 3).
[00088] Шаг 205: для каждой группы запросов, включающей два и более запроса, формируют регулярные выражения, описывающие параметры группы запросов.
[00089] После того как произведена группировка, сервер (109) отбирает группы запросов, включающие, по крайней мере, два запроса. Для каждой такой группы сервер (109) формирует регулярные выражения, описывающие значения параметров. Для описания значения параметров определяют количество допустимых символов в параметре и их тип (буква, цифра, буква или цифра, специальные символы).
[00090] Например, для группы 1, указанной выше, регулярным выражением, описывающим данную группу и значения параметров, будет: “id=\d{3}\×26traff=\d", где \d - означает цифру от 0 до 9, ×26 - символ "&", \d{3} - три цифры от 0 до 9 подряд. Регулярные выражения, используемые для описания значений параметров, могут отличаться в различных вариантах реализации и не влияют на сущность технического решения.
[00091] Все сформированные регулярные выражения сохраняются в оперативной памяти и/или хранилище данных на сервере (109). В некоторых вариантах реализации данные могут сохраняться на отдельный сервер, отличный от (109). В качестве хранилища данных могут выступать файлы, плоские файлы, key-value хранилища, различные базы данных, но не ограничиваясь.
[00092] Шаг 206: формируют и отправляют, по крайней мере, один запрос, описываемый полученными на предыдущем шаге регулярными выражениями, по крайней мере, одному центру управления вредоносными программами.
[00093] Используя сформированные на предыдущем шаге регулярные выражения, сервер (109) формирует запросы и отправляет их по каналам связи, по крайней мере, одному центру управления (103, 102). Для каждого параметра сервер (109) случайным образом задает значение согласно регулярному выражению, описывающему параметр. Так, например, для регулярного выражения "id=\d{3}\×26traff=\d" сервером (109) будет сформирован запрос, содержащий в параметре id три случайные цифры от 0 до 9 и содержащий в параметре traff одну случайную цифру от 0 до 9. Запросы формируются с использованием протокола, который использует для обмена данными с вредоносной программой данный конкретный центр управления. Список центров управления вредоносными программами может формироваться путем сбора данных о центрах управления вредоносными программами из открытых источников и анализаторов сетевого трафика (систем обнаружения/предотвращения вторжений) с последующей проверкой корректности полученных адресов и их доступности. В качестве открытых источников таких данных могут источники, где публикуются списки вредоносных ссылок, коммерческие подписки на списки вредоносных ресурсов, данные, получаемые от анализаторов сетевого трафика (систем обнаружения/предотвращения вторжений). Данные могут включать, но не ограничиваясь: адрес центра управления вредоносных программ (ЦУВП), тип вредоносной программы (червь, банковский троян, ddos троян и т.д.), название вредоносной программы.
[00094] После получения данных в некоторых вариантах реализации сервер (109) проверяет, что адрес центра управления (ЦУВП) указан в корректном формате. Если адрес центра управления (ЦУВП) представлен в URL-формате (URI-формате), то сервер (109) производит проверку на основании RFC 1738/1630. Если адрес центра управления представлен в виде IP-адреса (IPv4/IPv6), то сервер (109) производит проверку на основании регулярных выражений. Если адрес центра управления некорректен, то он отбрасывается и не используется при отправке запросов.
[00095] Запросы отправляются сервером (109) с учетом метода запроса и протокола, который понимает центр управления.
[00096] Если по каким-либо причинам центр управления вредоносными программами не доступен, то сервер (109) прекращает отправку запросов. Недоступность центра управления может определяться по кодам состояния 4хх и 5хх для протокола HTTP, по долгому тайм-ауту ответа от сервера и другим признакам и не влияет на сущность технического решения.
[00097] В некоторых вариантах реализации для избежания блокирования запросов центром управления на сервере используют различные анонимайзеры.
[00098] В некоторых вариантах реализации на сервере (109) в качестве анонимайзера используют динамические proxy серверы, или TOR (The Union Router), или VPN (Virtual Private Network), или другие средства, но не ограничиваясь. Выбранное средство анонимизации (анонимайзер) не влияет на сущность технического решения.
[00099] Шаг 207: получают, по крайней мере, один ответ от, по крайней мере, одного центра управления, при этом, если ответ закодирован и/или зашифрован, то производят его декодирование и/или расшифровку.
[000100] После отправки сервером (109) запроса центру управления сервер получает ответ от центра управления на данный запрос. При этом запросы, ответы на которые не получены или на которые центр управления сообщил об ошибке, помечаются как нерелевантные и не обрабатываются дальше.
[000101] Для определения, является ли полученный ответ закодированным или зашифрованным, сервер (109) проводит анализ на наличие в ответе сведений, характерных для проведения сетевых атак, описываемый далее или анализ на наличие url-адреса, или ip-адреса, или домена в ответе.
[000102] В случае если ответ был получен в кодированном или зашифрованном виде, сервер производит его раскодирование и/или дешифровку. Для этого сервер (109) прямым перебором применяет алгоритмы приведения полученных данных в читаемый для человека вид. В качестве таких алгоритмов используется декодирование по Base64, преобразование из Hex формата в строковый, расшифровка данных другими известными из уровня техники способами (ROT13 То Text Converter, HTML Encoder и т.д.). В случае зашифрованных данных на сервере (109) производят их расшифровку, используя перебор наиболее популярных алгоритмов шифрования (используя базу популярных алгоритмов шифрования и процедур расшифровки), применяя для расшифровки ключи, полученные сервером (109) из внешних источников, ip-адрес или домен центра управления или другие данные, используемые зловредными программами в качестве ключей шифрования.
[000103] Шаг 208: анализируют, по крайней мере, один вышеупомянутый ответ на наличие сведений, характерных для проведения сетевых атак
[000104] Для того чтобы зловредная программа могла произвести атаку, в ответе центра управления на запрос, отправленный зловредной программой, должны быть указаны, по крайней мере, цель атаки и параметры атаки, но не ограничиваясь. Для определения сведений, характерных для проведения сетевых атак, сервер (109) может использовать анализ на основе регулярных выражений и/или сигнатур. Так, например, наличие url-адреса, или ip-адреса, или домена в ответе может расцениваться как цель атаки. Помимо цели атаки, в ответе могут присутствовать одна или несколько команд определяющих тип атаки, но не ограничиваясь: ddos, flood, syn, grab, intercept, redirect.
[000105] Регулярные выражения, url-адреса, список команд и сигнатуры, используемые для анализа, могут получаться сервером (109) из внешних источников или формироваться на основе автоматического или ручного анализа зловредных программ.
[000106] Шаг 209: сохраняют полученные результаты.
[000107] Полученную пару запрос - ответ, декодированный и расшифрованный ответ, данные об используемых алгоритмах кодирования, алгоритмах шифрования с ключами расшифровки сохраняют на сервере (109) в энергозависимой памяти, или энергонезависимой памяти, или внешнем хранилище данных. В некоторых вариантах реализации данные могут сохраняться на отдельном сервере, отличном от (109). В качестве хранилища данных могут выступать файлы, плоские файлы, key-value хранилища, различные базы данных, не ограничиваясь.
[000108] Полученные и сохраненные на сервере (109) результаты могут использоваться различными системами для анализа, построения статистики, отображения оператору или другим заинтересованным лицам. В некоторых вариантах реализации полученные данные используются в системах предотвращения атак (например, в системах ddos prevention).
[000109] В некоторых вариантах реализации серверы (100, 101) и другие, выполняющие шаги способа 201-202, на которых происходит запуск виртуальных сред, могут быть объединены в один сервер с сервером (109) и другими, которые выполняют шаги способа 203-209.
[000110] В некоторых вариантах реализации система анализа протокола взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак, выполняемая на сервере, включает:
[000111] агрегатор центров управления, выполненный в виде выполняемого на сервере (300) модуля (310), отвечающего за сбор данных о центрах управления вредоносными программами. В качестве источников таких данных могут быть открытые источники, где публикуются списки вредоносных ссылок, коммерческие подписки на списки вредоносных ресурсов, данные, получаемые от анализаторов сетевого трафика (систем обнаружения/предотвращения вторжений). Данные могут включать, но не ограничиваясь: адрес центра управления вредоносных программ (ЦУВП), тип вредоносной программы (червь, банковский троян, ddos троян и т.д.), название вредоносной программы.
[000112] После получения данных агрегатор проверяет, что адрес центра управления (ЦУВП) указан в корректном формате. Если адрес центра управления (ЦУВП) представлен в URL-формате (URI-формате), то производят проверку на основании RFC 1738/1630. Если адрес центра управления представлен в виде IP-адреса (IPv4/IPv6), то производят проверку на основании регулярных выражений. Если адрес центра управления некорректен, то он отбрасывается и не используется.
[000113] Если адрес указан в правильном формате, то агрегатор производит проверку доступности вредоносного ресурса.
[000114] Если вредоносный ресурс доступен, то данные о центре управления вредоносными программами передаются на эмулятор протоколов вредоносных программ.
[000115] Шаблонизатор сетевого трафика, выполненный в виде выполняемого на сервере (300) модуля (320), обеспечивающего сбор фрагментов сетевого трафика, генерируемого вредоносными программами после их запуска.
[000116] Данный модуль получает фрагменты сетевого трафика из виртуальных сред (104, 105,106, 107), в которых осуществляется запуск вредоносных программ. После запуска на сервере 100 в виртуальной среде (песочнице) вредоносная программа, запущенная в одной из вышеуказанных виртуальных сред, сообщает свой статус и получает инструкции от центра управления (103 или 102) для данной вредоносной программы. Все запросы и ответы собираются сервером (100) и отправляются на шаблонизатор сетевого трафика (320). После получения запросов модуль (320) определяет в запросах полученные параметры и их порядок, группирует запросы с одинаковыми наборами параметров, затем для каждой группы запросов, включающей два и более запроса, формирует регулярное выражение, описывающее параметры данной группы запросов. Данные регулярные выражения и, по крайней мере, информация о методе запроса и протоколе сохраняются модулем для дальнейшего использования. В случае обнаружения идентичного шаблона такой шаблон отбрасывается и повторно не сохраняется.
[000117] В некоторых вариантах реализации регулярные выражения сохраняются в хранилище шаблонов. В качестве хранилища шаблонов могут выступать файлы, плоские файлы, key-value хранилища, различные базы данных, не ограничиваясь.
[000118] Доступ эмулятора протоколов вредоносных программ (330) к сформированным шаблонам может осуществляться через программный интерфейс (API) путем обращения к хранилищу шаблонов.
[000119] Эмулятор протоколов вредоносных программ, выполненный в виде выполняемого на сервере (300) модуля (330), отвечающего за эмуляцию протоколов сетевого взаимодействия вредоносных программ с центрами управления, откуда они получают инструкции. Эмуляция осуществляется путем отправки сетевых запросов по шаблонам центру управления (103, 102) вредоносных программ так же, как это делает вредоносная программа. Модуль получает шаблоны запросов от шаблонизатора сетевого трафика (320) и данные о центрах управления от агрегатора центров управления (310).
[000120] После получения данных эмулятор формирует запросы, описываемые полученными от шаблонизатора сетевого трафика регулярными выражениями, с учетом протокола и метода запроса. Значения параметров запросов, описываемые регулярными выражениями, задаются случайным образом.
[000121] Затем эмулятор отправляет сформированные запросы центрам управления вредоносных программ, полученным от агрегатора центров управления.
[000122] В некоторых вариантах реализации эмулятор протоколов (330) получает данные от шаблонизатора (320) через программный интерфейс (API).
[000123] В некоторых вариантах реализации эмулятор протоколов (330) получает шаблоны, сформированные шаблонизатором (320), обращаясь к хранилищу шаблонов, сформированному модулем (320).
[000124] В некоторых вариантах реализации для избежания блокирования запросов системы центром управления используют различные анонимайзеры.
[000125] В некоторых вариантах реализации в качестве анонимайзера используют динамические proxy серверы, или TOR (The Union Router), или VPN (Virtual Private Network), или другие средства, но не ограничиваясь.
[000126] После отправки запросов модуль получает ответы от центров управления, при этом, если ответ закодирован и/или зашифрован, то производит его декодирование и/или расшифровку и анализирует ответы на наличие сведений, характерных для проведения сетевых атак. В случае обнаружения сведений, характерных для проведения сетевых атак, модуль передает соответствующие данные в хранилище данных (340).
[000127] Хранилище данных, выполненное в виде выполняемого на сервере (300) модуля (340), который осуществляет хранение результатов работы системы, включая, но не ограничиваясь следующими данными: адрес центра управления, шаблоны запросов, на которые получен корректный ответ от центров управления (ЦУВП), дата и время получения ответов, оригинальное и декодированное/расшифрованное содержимое ответов от центра управления, содержащее инструкции для вредоносной программы.
[000128] Модуль (340) выполнен с возможностью хранения различных типов данных для поддержки работы системы. Примеры таких данных включают в себя текстовые данные, бинарные данные, дату и/или время, целые и дробные числа и т.д. Модуль (340) может хранить данные в файлах, плоских файлах, key-value хранилище, различных базах данных, но не ограничиваясь. Физически данные могут быть расположены в энергозависимом запоминающем устройстве, энергонезависимом запоминающем устройстве или их комбинации.
[000129] В некоторых вариантах реализации модули могут располагаться на одном или нескольких серверах. Например, агрегатор серверов управления (310) и шаблонизатор сетевого трафика (320) могут находится на первом сервере, эмулятор протоколов вредоносных программ (330) на втором сервере, а хранилище данных (340) на третьем, при этом все три сервера должны иметь возможность обмена данными друг с другом по каналам связи.
[000130] В некоторых вариантах реализации связь между агрегатором серверов управления (310), шаблонизатором сетевого трафика (320), эмулятором протоколов вредоносных программ (330), хранилищем данных (340) может быть программной на уровне API-интерфейсов (вызовов функций/методов).
[000131] Результаты работы системы анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак могут использоваться различными системами для анализа, построения статистики, отображения оператору или другим заинтересованным лицам. В некоторых вариантах реализации полученные данные используются в системах предотвращения атак (например, в системах ddos prevention).
[000132] Специалист в данной области техники может легко понять различные варианты реализации настоящего технического решения из рассмотренного описания и уровня техники, раскрытого технического решения. Предполагается, что описание и примеры рассматриваются только как примерные с сущностью и объемом настоящего технического решения, обозначенных формулой.
[000133] Следует принимать во внимание, что настоящее техническое решение не ограничивается точными конструкциями, которые были описаны выше и проиллюстрированы на прилагаемых чертежах, и что различные модификации и изменения могут быть сделаны без отхода от области его применения.
Claims (45)
1. Способ анализа протокола взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак, выполняемый на сервере, включает следующие шаги:
- запускают по крайней мере одну вредоносную программу в по крайней мере одной виртуальной среде;
- собирают запросы, отправляемые по крайней мере одной вышеупомянутой вредоносной программой в по крайней мере один центр управления вредоносными программами;
- определяют в собранных запросах параметры и их порядок;
- группируют запросы с одинаковыми наборами параметров;
- для каждой группы запросов, включающей два и более запроса, формируют регулярное выражение, описывающее параметры данной группы запросов;
- формируют и отправляют по крайней мере один запрос, описываемый полученным на предыдущем шаге регулярным выражением, по крайней мере одному центру управления вредоносных программ;
- получают по крайней мере один ответ от по крайней мере одного центра управления, при этом, если ответ закодирован и/или зашифрован, то производят его декодирование и/или расшифровку;
- анализируют по крайней мере один вышеупомянутый ответ на наличие сведений, характерных для проведения сетевых атак;
- сохраняют полученные результаты;
- выявляют компьютерные атаки с использованием полученных результатов анализа.
2. Способ по п. 1, характеризующийся тем, что при запуске вредоносной программы в виртуальной среде виртуальная среда создается посредством средств аппаратной или программной виртуализации.
3. Способ по п. 1, характеризующийся тем, что при запуске вредоносной программы в виртуальной среде используют виртуализацию на уровне операционной системы.
4. Способ по п. 1, характеризующийся тем, что при запуске вредоносной программы в виртуальной среде получают настройки виртуальной среды из внешних источников и применяют к виртуальной среде.
5. Способ по п. 1, характеризующийся тем, что собирают запросы, отправляемые вредоносной программой в центр управления по протоколу прикладного уровня передачи данных HTTP, или FTP, или DNS, или IRC.
6. Способ по п. 1, характеризующийся тем, что собранные запросы, отправляемые вредоносной программой в центр управления, сохраняют в энергонезависимую память, или энергозависимую память, или хранилище данных.
7. Способ по п. 6, характеризующийся тем, что хранилищем данных является файл, или плоский файл, или key-value хранилище, или база данных.
8. Способ по п. 1, характеризующийся тем, что при определении в собранных запросах параметров и их порядка выделяют параметры в текстовых протоколах, используя разбиение строки по разделителям.
9. Способ по п. 1, характеризующийся тем, что производят группировку запросов по совпадению названий параметров и/или их количеству.
10. Способ по п. 1, характеризующийся тем, что при формировании регулярных выражений, описывающих параметры группы запросов, сохраняют их в энергонезависимую память, или энергозависимую память, или хранилище данных.
11. Способ по п. 1, характеризующийся тем, что запрос формируется с использованием протокола, который использует для обмена данными с вредоносной программой данный конкретный центр управления.
12. Способ по п. 1, характеризующийся тем, что для избежания блокирования запросов центром управления используют различные анонимайзеры.
13. Способ по п. 12, характеризующийся тем, что в качестве анонимайзера используют динамические proxy серверы, или TOR (The Union Router), или VPN (Virtual Private Network).
14. Способ по п. 1, характеризующийся тем, что при декодировании ответа используют декодирование по Base64 или преобразование из Hex формата в строковый.
15. Способ по п. 1, характеризующийся тем, что при расшифровке ответа используют ROT13 То Text Converter или HTML Encoder.
16. Способ по п. 1, характеризующийся тем, что сохраняют полученные результаты в энергонезависимую память, или энергозависимую память, или хранилище данных.
17. Система анализа протокола взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак, включающая следующие модули, выполняемые на сервере:
агрегатор центров управления, выполненный с возможностью:
- сбора данных о центрах управления вредоносными программами из открытых источников и анализаторов сетевого трафика,
- проверки корректности полученных адресов центров управления и их доступности,
- передачи вышеуказанных данных на эмулятор протоколов вредоносных программ;
шаблонизатор сетевого трафика, выполненный с возможностью:
- получения и сбора фрагментов сетевого трафика, включающего запросы и ответы, генерируемого вредоносными программами после их запуска в виртуальной среде,
- определения в запросах параметров и их порядка, группирования запросов с одинаковыми наборами параметров и формирования для каждой группы запросов, включающей два и более запроса, регулярного выражения, описывающего параметры каждой группы запросов,
- передачи сформированных шаблонов на эмулятор протоколов вредоносных программ;
эмулятор протоколов вредоносных программ, выполненный с возможностью:
- получения шаблонов запросов от шаблонизатора сетевого трафика и данных о центрах управления от агрегатора центров управления,
- формирования запросов, описываемых полученными от шаблонизатора сетевого трафика регулярными выражениями,
- отправки сформированных запросов центрам управления вредоносных программ, полученным от агрегатора серверов управления,
- получения ответов от центров управления вредоносных программ и их декодирования и/или расшифровки в случае, если ответ закодирован и/или зашифрован,
- анализа полученных от центров управления вредоносных программ ответов на наличие сведений, характерных для проведения сетевых атак,
- передачи данных в хранилище данных;
хранилище данных, выполненное с возможностью:
- хранения данных, полученных от эмулятора протоколов вредоносных программ;
модуль обнаружения компьютерных атак, выполненный с возможностью использования результатов анализа ответов, полученных от центров управления вредоносных программ.
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016127245A RU2634211C1 (ru) | 2016-07-06 | 2016-07-06 | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| EP17180099.8A EP3267350B1 (en) | 2016-07-06 | 2017-07-06 | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
| US15/642,529 US10430588B2 (en) | 2016-07-06 | 2017-07-06 | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016127245A RU2634211C1 (ru) | 2016-07-06 | 2016-07-06 | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2634211C1 true RU2634211C1 (ru) | 2017-10-24 |
Family
ID=59772346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2016127245A RU2634211C1 (ru) | 2016-07-06 | 2016-07-06 | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10430588B2 (ru) |
| EP (1) | EP3267350B1 (ru) |
| RU (1) | RU2634211C1 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111737693A (zh) * | 2020-05-09 | 2020-10-02 | 北京启明星辰信息安全技术有限公司 | 确定恶意软件特征的方法、恶意软件的检测方法及装置 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2634211C1 (ru) * | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| KR102107277B1 (ko) * | 2016-08-08 | 2020-05-06 | (주)나무소프트 | 피싱 또는 랜섬웨어 공격을 차단하는 방법 및 시스템 |
| RU2634209C1 (ru) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
| RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
| WO2019013266A1 (ja) * | 2017-07-12 | 2019-01-17 | 日本電信電話株式会社 | 判定装置、判定方法、および、判定プログラム |
| TWI648650B (zh) * | 2017-07-20 | 2019-01-21 | 中華電信股份有限公司 | 閘道裝置、其惡意網域與受駭主機的偵測方法及非暫態電腦可讀取媒體 |
| RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
| RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
| RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
| RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
| RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
| CN110060703B (zh) * | 2018-01-19 | 2021-05-04 | 深圳大学 | 一种检测并定位语音片段内的平滑处理的方法 |
| US11050783B2 (en) * | 2018-01-31 | 2021-06-29 | International Business Machines Corporation | System and method for detecting client participation in malware activity |
| RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
| US11249819B2 (en) * | 2018-05-11 | 2022-02-15 | Jade Global, Inc. | Middleware for enabling interoperation between a chatbot and different computing systems |
| JP6867552B2 (ja) * | 2018-05-21 | 2021-04-28 | 日本電信電話株式会社 | 判定方法、判定装置および判定プログラム |
| AU2019273974B2 (en) * | 2018-05-21 | 2022-03-17 | Nippon Telegraph And Telephone Corporation | Determination method, determination device and determination program |
| US11095666B1 (en) * | 2018-08-28 | 2021-08-17 | Ca, Inc. | Systems and methods for detecting covert channels structured in internet protocol transactions |
| KR101990022B1 (ko) * | 2018-11-28 | 2019-06-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
| RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
| RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
| EP3842968B1 (en) | 2019-02-27 | 2024-04-24 | "Group IB" Ltd. | Method and system for identifying a user according to keystroke dynamics |
| JP7315023B2 (ja) * | 2019-11-28 | 2023-07-26 | 日本電信電話株式会社 | ルール生成装置およびルール生成プログラム |
| RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
| RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
| RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
| US11848958B2 (en) * | 2019-12-23 | 2023-12-19 | Mcafee, Llc | Methods and apparatus to detect malware based on network traffic analysis |
| CN111241173B (zh) * | 2019-12-29 | 2024-03-12 | 航天信息股份有限公司 | 一种用于多个系统间数据交互的方法及系统 |
| IL296136A (en) * | 2020-03-02 | 2022-11-01 | Intel 471 Inc | Automatic malware monitoring and information extraction |
| SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
| US11698965B2 (en) | 2020-04-09 | 2023-07-11 | International Business Machines Corporation | Detection of encrypting malware attacks |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060107321A1 (en) * | 2004-11-18 | 2006-05-18 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
| RU107616U1 (ru) * | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
| US8561177B1 (en) * | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US20150007250A1 (en) * | 2013-06-27 | 2015-01-01 | The Mitre Corporation | Interception and Policy Application for Malicious Communications |
| RU2543564C1 (ru) * | 2014-03-20 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам |
| RU2566329C2 (ru) * | 2010-03-15 | 2015-10-20 | Ф-Секьюэ Корпорейшен | Способ защиты компьютерной системы от вредоносного программного обеспечения |
| RU2571594C2 (ru) * | 2010-08-25 | 2015-12-20 | Лукаут, Инк. | Система и способ защиты от вредоносного программного обеспечения, связывающаяся с сервером |
Family Cites Families (95)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7565692B1 (en) | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
| AU2002230541B2 (en) | 2000-11-30 | 2007-08-23 | Cisco Technology, Inc. | Flow-based detection of network intrusions |
| US7325252B2 (en) | 2001-05-18 | 2008-01-29 | Achilles Guard Inc. | Network security testing |
| US20090138342A1 (en) | 2001-11-14 | 2009-05-28 | Retaildna, Llc | Method and system for providing an employee award using artificial intelligence |
| US20040221171A1 (en) | 2003-05-02 | 2004-11-04 | Ahmed Ahmed Awad E. | Intrusion detector based on mouse dynamics analysis |
| US7392278B2 (en) | 2004-01-23 | 2008-06-24 | Microsoft Corporation | Building and using subwebs for focused search |
| US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US7730040B2 (en) | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| US7707284B2 (en) | 2005-08-03 | 2010-04-27 | Novell, Inc. | System and method of searching for classifying user activity performed on a computer system |
| US8650080B2 (en) | 2006-04-10 | 2014-02-11 | International Business Machines Corporation | User-browser interaction-based fraud detection system |
| US7984500B1 (en) | 2006-10-05 | 2011-07-19 | Amazon Technologies, Inc. | Detecting fraudulent activity by analysis of information requests |
| US7865953B1 (en) | 2007-05-31 | 2011-01-04 | Trend Micro Inc. | Methods and arrangement for active malicious web pages discovery |
| US8238669B2 (en) | 2007-08-22 | 2012-08-07 | Google Inc. | Detection and classification of matches between time-based media |
| US7958555B1 (en) | 2007-09-28 | 2011-06-07 | Trend Micro Incorporated | Protecting computer users from online frauds |
| US9779403B2 (en) | 2007-12-07 | 2017-10-03 | Jpmorgan Chase Bank, N.A. | Mobile fraud prevention system and method |
| US8856937B1 (en) | 2008-06-27 | 2014-10-07 | Symantec Corporation | Methods and systems for identifying fraudulent websites |
| US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
| US8086480B2 (en) | 2008-09-25 | 2011-12-27 | Ebay Inc. | Methods and systems for activity-based recommendations |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8448245B2 (en) | 2009-01-17 | 2013-05-21 | Stopthehacker.com, Jaal LLC | Automated identification of phishing, phony and malicious web sites |
| US8229219B1 (en) | 2009-08-06 | 2012-07-24 | Google Inc. | Full-length video fingerprinting |
| US8396857B2 (en) | 2009-08-31 | 2013-03-12 | Accenture Global Services Limited | System to modify websites for organic search optimization |
| EP2323046A1 (en) | 2009-10-16 | 2011-05-18 | Telefónica, S.A. | Method for detecting audio and video copy in multimedia streams |
| US8625033B1 (en) | 2010-02-01 | 2014-01-07 | Google Inc. | Large-scale matching of audio and video |
| US8612463B2 (en) | 2010-06-03 | 2013-12-17 | Palo Alto Research Center Incorporated | Identifying activities using a hybrid user-activity model |
| RU2446459C1 (ru) | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
| US20130074187A1 (en) | 2010-07-26 | 2013-03-21 | Ki Yong Kim | Hacker virus security-integrated control device |
| AU2011293160B2 (en) * | 2010-08-26 | 2015-04-09 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
| US8521667B2 (en) | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
| CN102082792A (zh) | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
| US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| US8402543B1 (en) | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
| US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| US8151341B1 (en) | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| WO2013009713A2 (en) | 2011-07-08 | 2013-01-17 | Uab Research Foundation | Syntactical fingerprinting |
| WO2013008778A1 (ja) * | 2011-07-11 | 2013-01-17 | Mizunuma Takeshi | 識別名管理方法およびシステム |
| US8677472B1 (en) | 2011-09-27 | 2014-03-18 | Emc Corporation | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server |
| US8584235B2 (en) | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
| RU2487406C1 (ru) | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
| US8660296B1 (en) | 2012-01-10 | 2014-02-25 | Google Inc. | Systems and methods for facilitating video fingerprinting using local descriptors |
| US9111090B2 (en) | 2012-04-02 | 2015-08-18 | Trusteer, Ltd. | Detection of phishing attempts |
| RU2523114C2 (ru) | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
| RU2488880C1 (ru) | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
| US9154517B2 (en) | 2012-06-19 | 2015-10-06 | AO Kaspersky Lab | System and method for preventing spread of malware in peer-to-peer network |
| RU2495486C1 (ru) | 2012-08-10 | 2013-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа и выявления вредоносных промежуточных узлов в сети |
| CN103685174B (zh) | 2012-09-07 | 2016-12-21 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
| US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
| US9215239B1 (en) | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
| RU2522019C1 (ru) | 2012-12-25 | 2014-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной |
| RU2530210C2 (ru) | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
| RU2536664C2 (ru) | 2012-12-25 | 2014-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматической модификации антивирусной базы данных |
| RU129279U1 (ru) | 2013-01-09 | 2013-06-20 | ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" | Устройство обнаружения и защиты от аномальной активности на сети передачи данных |
| GB201306628D0 (en) | 2013-04-11 | 2013-05-29 | F Secure Oyj | Detecting and marking client devices |
| EP2901665A4 (en) | 2013-05-13 | 2015-10-21 | Yandex Europe Ag | METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME |
| CN103368958A (zh) | 2013-07-05 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 一种网页检测方法、装置和系统 |
| RU2538292C1 (ru) | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
| KR102120823B1 (ko) * | 2013-08-14 | 2020-06-09 | 삼성전자주식회사 | 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템 |
| US9330258B1 (en) | 2013-09-30 | 2016-05-03 | Symantec Corporation | Systems and methods for identifying uniform resource locators that link to potentially malicious resources |
| CN105917359B (zh) | 2013-10-21 | 2021-01-26 | 微软技术许可有限责任公司 | 移动视频搜索 |
| GB2520987B (en) * | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
| US20150363791A1 (en) | 2014-01-10 | 2015-12-17 | Hybrid Application Security Ltd. | Business action based fraud detection system and method |
| US9060018B1 (en) | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
| US9332022B1 (en) | 2014-07-07 | 2016-05-03 | Symantec Corporation | Systems and methods for detecting suspicious internet addresses |
| US20160036837A1 (en) * | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
| US9800592B2 (en) * | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
| KR101587161B1 (ko) | 2014-09-03 | 2016-01-20 | 한국전자통신연구원 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
| RU2589310C2 (ru) | 2014-09-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ расчета интервала повторного определения категорий сетевого ресурса |
| US20160110819A1 (en) * | 2014-10-21 | 2016-04-21 | Marc Lauren Abramowitz | Dynamic security rating for cyber insurance products |
| JP6916112B2 (ja) | 2014-11-21 | 2021-08-11 | ブルヴェクター, インコーポレーテッドBluvector, Inc. | ネットワークデータ特性評価のシステムと方法 |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US10230526B2 (en) | 2014-12-31 | 2019-03-12 | William Manning | Out-of-band validation of domain name system records |
| US9712549B2 (en) * | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
| EP3065076A1 (en) * | 2015-03-04 | 2016-09-07 | Secure-Nok AS | System and method for responding to a cyber-attack-related incident against an industrial control system |
| US9253208B1 (en) | 2015-03-05 | 2016-02-02 | AO Kaspersky Lab | System and method for automated phishing detection rule evolution |
| US9769201B2 (en) * | 2015-03-06 | 2017-09-19 | Radware, Ltd. | System and method thereof for multi-tiered mitigation of cyber-attacks |
| US9712553B2 (en) * | 2015-03-27 | 2017-07-18 | The Boeing Company | System and method for developing a cyber-attack scenario |
| US9917852B1 (en) | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
| RU164629U1 (ru) | 2015-06-30 | 2016-09-10 | Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" | Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5 |
| US9894036B2 (en) * | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
| RU2622870C2 (ru) | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Система и способ оценки опасности веб-сайтов |
| RU2613535C1 (ru) | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
| US11069370B2 (en) * | 2016-01-11 | 2021-07-20 | University Of Tennessee Research Foundation | Tampering detection and location identification of digital audio recordings |
| RU2628192C2 (ru) | 2016-01-27 | 2017-08-15 | Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" | Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов |
| US9900338B2 (en) * | 2016-02-09 | 2018-02-20 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data |
| US10063572B2 (en) | 2016-03-28 | 2018-08-28 | Accenture Global Solutions Limited | Antivirus signature distribution with distributed ledger |
| US10313382B2 (en) * | 2016-03-29 | 2019-06-04 | The Mitre Corporation | System and method for visualizing and analyzing cyber-attacks using a graph model |
| US10212145B2 (en) | 2016-04-06 | 2019-02-19 | Avaya Inc. | Methods and systems for creating and exchanging a device specific blockchain for device authentication |
| US10178107B2 (en) | 2016-04-06 | 2019-01-08 | Cisco Technology, Inc. | Detection of malicious domains using recurring patterns in domain names |
| RU2625050C1 (ru) | 2016-04-25 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Система и способ признания транзакций доверенными |
| US11223598B2 (en) | 2016-05-03 | 2022-01-11 | Nokia Of America Corporation | Internet security |
| RU2634211C1 (ru) * | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| RU2636702C1 (ru) | 2016-07-07 | 2017-11-27 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций |
-
2016
- 2016-07-06 RU RU2016127245A patent/RU2634211C1/ru active
-
2017
- 2017-07-06 EP EP17180099.8A patent/EP3267350B1/en active Active
- 2017-07-06 US US15/642,529 patent/US10430588B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8561177B1 (en) * | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US20060107321A1 (en) * | 2004-11-18 | 2006-05-18 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
| RU2566329C2 (ru) * | 2010-03-15 | 2015-10-20 | Ф-Секьюэ Корпорейшен | Способ защиты компьютерной системы от вредоносного программного обеспечения |
| RU2571594C2 (ru) * | 2010-08-25 | 2015-12-20 | Лукаут, Инк. | Система и способ защиты от вредоносного программного обеспечения, связывающаяся с сервером |
| RU107616U1 (ru) * | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
| US20150007250A1 (en) * | 2013-06-27 | 2015-01-01 | The Mitre Corporation | Interception and Policy Application for Malicious Communications |
| RU2543564C1 (ru) * | 2014-03-20 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111737693A (zh) * | 2020-05-09 | 2020-10-02 | 北京启明星辰信息安全技术有限公司 | 确定恶意软件特征的方法、恶意软件的检测方法及装置 |
| CN111737693B (zh) * | 2020-05-09 | 2023-06-02 | 北京启明星辰信息安全技术有限公司 | 确定恶意软件特征的方法、恶意软件的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3267350B1 (en) | 2019-08-21 |
| EP3267350A1 (en) | 2018-01-10 |
| US10430588B2 (en) | 2019-10-01 |
| US20180012021A1 (en) | 2018-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2634211C1 (ru) | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак | |
| US10447730B2 (en) | Detection of SQL injection attacks | |
| EP2659416B1 (en) | Systems and methods for malware detection and scanning | |
| Feng et al. | Understanding and securing device vulnerabilities through automated bug report analysis | |
| US10757135B2 (en) | Bot characteristic detection method and apparatus | |
| US20150242628A1 (en) | System and Method for Detection of Malicious Hypertext Transfer Protocol Chains | |
| US11647037B2 (en) | Penetration tests of systems under test | |
| US11863571B2 (en) | Context profiling for malware detection | |
| RU2653241C1 (ru) | Обнаружение угрозы нулевого дня с использованием сопоставления ведущего приложения/программы с пользовательским агентом | |
| Liu et al. | An integrated architecture for IoT malware analysis and detection | |
| CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| US11949694B2 (en) | Context for malware forensics and detection | |
| US20220116411A1 (en) | Deobfuscating and decloaking web-based malware with abstract execution | |
| US20240037231A1 (en) | Sample traffic based self-learning malware detection | |
| KR20200092508A (ko) | IoT 기기 악성코드 분석을 위한 대규모 허니팟 시스템 | |
| WO2019152421A1 (en) | Context profiling for malware detection | |
| Salemi et al. | " Automated rules generation into Web Application Firewall using Runtime Application Self-Protection | |
| Ngwawe | Near Real Time Machine Driven Signature Detection, Generation and Collection |