RU2677361C1 - Способ и система децентрализованной идентификации вредоносных программ - Google Patents
Способ и система децентрализованной идентификации вредоносных программ Download PDFInfo
- Publication number
- RU2677361C1 RU2677361C1 RU2018101764A RU2018101764A RU2677361C1 RU 2677361 C1 RU2677361 C1 RU 2677361C1 RU 2018101764 A RU2018101764 A RU 2018101764A RU 2018101764 A RU2018101764 A RU 2018101764A RU 2677361 C1 RU2677361 C1 RU 2677361C1
- Authority
- RU
- Russia
- Prior art keywords
- malicious program
- malware
- potentially malicious
- peer
- scan
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
Изобретение относится к способам децентрализованной проверки вредоносных программ. Технический результат заключается в повышении точности и надежности идентификации вредоносных программ. Такой результат достигается за счет децентрализованной проверки вредоносных программ, выполняемой на компьютерном устройстве, имеющем доступ к распределенному реестру вредоносных программ и пулу транзакций, реализованным на основе пиринговой сети, включающей: получение входных данных; проверку вредоносной программы на вредоносность; внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки вредоносной программы; получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной вредоносной программы; определение параметра вредоносности на основании полученных результатов распределенной проверки по меньшей мере в зависимости от репутации компьютерных устройств пиринговой сети; идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности вредоносной программы превышает предварительно заданное пороговое значение; сохранение идентифицированной вредоносной программы и сопутствующих данных в распределенный реестр вредоносных программ. 2 н. и 37 з.п. ф-лы, 2 ил.
Description
Описание уровня техники
Термин блокчейн сегодня широко используется для описания технологии децентрализованного подтверждения транзакций, в которой формируется последовательная цепочка блоков. Под транзакцией в данном случае понимается минимальная логически осмысленная операция по работе с данными, которая имеет смысл и может быть совершена только полностью. Блок транзакций - специальная структура для записи группы транзакций в системе Биткойн и аналогичных ей. Транзакция считается завершенной и подтвержденной, когда проверены ее формат и зашифрованные цифровые подписи, и когда сама транзакция объединена в группу с несколькими другими и записана в специальную структуру - блок. Блоки могут создаваться участниками пиринговой сети (майнерами), в рамках которой реализуется технология блокчейн. Узлы блокчейн-сети используют протокол консенсуса, обеспечивающий согласование содержимого реестра и гарантию того, что распределенные реестры узлов одноранговой сети являются точными копиями.
Содержимое блоков может быть проверено, так как каждый блок содержит информацию о предыдущем блоке. Все блоки выстроены в одну цепочку, которая содержит информацию обо всех совершенных когда-либо операциях в базе данных [https://ru.wikipedia.org/wiki/Блокчейн]. Изменение блока приводит к недействительности всех последующих блоков. Блоки с неподтвержденными или с незавершенными транзакциями также могут быть признаны недействительными. Цепочка, содержащая определенное число недействительных блоков также может быть признана недействительной цепочкой. Каждый блок содержит заголовок и, собственно, транзакции. Заголовок включает хеши: хеш заголовка, хеш предыдущего блока, хеши транзакций и другую служебную информацию. Алгоритмы хеширования (например, SHA-256) гарантируют, что любое небольшое изменение входных данных транзакции приведет к иному значению хеша в результате. Децентрализованность блокчейн-сети лишает отдельных участников и групп участников контроля в системе.
Известно применение блокчейна для хранения и валидации доменных имен (см., например, US 2016191243). Распределенная ответственность, децентрализация, лежащие в основе технологии блокчейн, обеспечивают защиту от ошибок в базе данных доменных имен. В частности, описанное техническое решение не допускает «загрязнения» DNS-кеша, в котором хранится потенциально ложная информация о неавторизованных резолверах. При этом устраняется опасность перенаправления запросов легальных приложений к сетевым хостам, проявляющим вредоносную активность. Обычно ответы DNS не имеют криптографической подписи. В описываемом техническом решении предложено расширение DNS, обеспечивающее поддержку криптографических подписей (ключей) для авторизации в доверенной одноранговой сети. Валидация подписей каждой из организаций в DNS происходит через «цепь доверия», включающую проверку родительских и дочерних ключей.
В патентной заявке US 2017295157 технология блокчейн используется для идентификации устройств пользователя. При подключении к сети запрашивается информация об устройстве пользователя, которая может быть инкапсулирована в блок транзакций для последующей идентификации пользователя. Информация об устройстве может включать настройки устройства, МАС-адрес, установленные приложения и сервисы, подключаемые устройства и другую характеризующую информацию.
Блокчейн может быть использован для обеспечения безопасности Интернет-ресурсов (см. US 2017324738). В данном случае блокчейн может включать в качестве участников пиринговой сети регистраторы доменов, сервисы доменных имен, автономные системы и др. Установленные правила Интернет-безопасности могут передаваться через одноранговую сеть, которая не может контролироваться в отдельности одним участником сети.
Из патентной заявки US 2017279818 известно техническое решение, включающее способ использования распределенного реестра (в частности, системы блокчейн), реализуемый на компьютере, реализующий проверку и распространение сигнатур вирусов. Указанные сигнатуры могут использоваться антивирусными ядрами на вычислительных устройствах для обнаружения и удаления вредоносных программ. Вирусные специалисты, имеющие доступ к распределенному реестру (майнеры), могут тестировать новые сигнатуры. Распределенный реестр и антивирусные приложения могут быть настроены на блокировку новых сигнатур до тех пор, пока они не будут проверены некоторым заданным минимальным числом майнеров.
Способ, описанный в заявке US 2017279818, включает получение доступа через компьютерную систему к данным, относящимся, к вирусным сигнатурам. Каждой сигнатуре соответствует рейтинг сигнатуры, определяемый на основе количества майнеров, добавивших и проверивших сигнатуру. Компьютерная система может определить достоверность вирусной сигнатуры на основе рейтинга сигнатуры. В случае, если сигнатура действительно является вирусной, она может быть использована компьютерной системой, например, для вирусного сканирования.
Указанный распределенный реестр, согласно описанию патентной заявки US 2017279818, может быть распределенной базой данных, имеющей возможность реализации технологии блокчейн. Копия электронного реестра может храниться и обслуживаться компьютерной системой. Другие копии могут храниться и обслуживаться другими компьютерными системами, являющимися узлами компьютерной сети. Компьютерная система может получать через сеть транзакции, рассылаемые другими компьютерными системами, транзакции, показывающие добавление новых вирусных сигнатур в компьютерную сеть или оповещающие о результатах проверки сигнатур другими компьютерными системами в сети.
Известны способы проверки сигнатур вредоносных программ, в которых производится централизованное подтверждение достоверности сигнатуры. Например, в патенте US 7730040 детектирование вредоносных программ происходит на основе обратной связи пользователя. Поскольку в такой системе используется централизованная база данных вредоносных программ, остается возможность внесения в нее изменений.
Одним из недостатков известных способов и компьютерных устройств для проверки вредоносных программ является чрезмерное количество компьютерных устройств в пиринговых сетях, зараженных каким-либо вирусом или зловредом в результате скачивания программного обеспечения из таких пиринговых сетей.
Таким образом, очевидна потребность в дальнейшем совершенствовании способов и компьютерных устройств для проверки вредоносных программ, в частности для снижения доли компьютерных устройств в пиринговых сетях, зараженных каким-либо вирусом или зловредом.
Следовательно, техническая проблема состоит в разработке способа и компьютерного устройства для проверки вредоносных программ, преодолевающих по меньшей мере обозначенный выше недостаток известных способов и компьютерных устройств для проверки вредоносных программ.
Раскрытие изобретения
Задача настоящего изобретения заключается в создании способа и компьютерного устройства для проверки вредоносных программ, решающих по меньшей мере обозначенную выше техническую проблему.
Первым объектом настоящего технического решения является способ децентрализованной проверки вредоносных программ, выполняемый на компьютерном устройстве, имеющем доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, при этом указанный способ включает:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы, в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе в распределенный реестр вредоносных программ.
Предложенный способ децентрализованной проверки вредоносных программ обеспечивает технический результат, заключающийся в повышении точности и надежности идентификации вредоносных программ за счет использования результатов распределенной проверки потенциально вредоносной программы на вредоносности от множества компьютерных устройств пиринговой сети в соответствии с усовершенствованным критерием идентификации, основанным на использовании репутации тех компьютерных устройств пиринговой сети, которые подтвердили результат проверки потенциально вредоносной программы на вредоносность.
Возможен вариант осуществления способа, в котором получение входных данных осуществляют от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
Возможен вариант осуществления способа, в котором входные данные включают по меньшей мере одно указание на файл потенциально вредоносной программы.
Возможен вариант осуществления способа, в котором входные данные дополнительно включают в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы.
Возможен вариант осуществления способа, в котором входные данные получают по меньшей мере частично в хешированном виде.
Возможен вариант осуществления способа, в котором выполняют хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
Возможен вариант осуществления способа, в котором после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
Возможен вариант осуществления способа, в котором проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
Возможен вариант осуществления способа, в котором проверку потенциально вредоносной программы выполняют с применением алгоритма машинного обучения.
Возможен вариант осуществления способа, в котором дополнительно производится обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
Возможен вариант осуществления способа, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом.
Возможен вариант осуществления способа, в котором дополнительно производится проверка потенциально вредоносной программы ручным способом.
Возможен вариант осуществления способа, в котором проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, включает по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверка достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
Возможен вариант осуществления способа, в котором определение данных об атрибуции потенциально вредоносной программы осуществляют на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
Возможен вариант осуществления способа, в котором определение данных об атрибуции потенциально вредоносной программы производится с применением алгоритма машинного обучения.
Возможен вариант осуществления способа, в котором на этапе внесения в пул транзакций параметров и результатов по меньшей мере одного результата проверки потенциально вредоносной программы, в пул транзакций также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
Возможен вариант осуществления способа, в котором определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
Возможен вариант осуществления способа, в котором после внесения результатов проверки потенциально вредоносной программы в распределенный реестр производится начисление токенов компьютерным устройствам распределенной пиринговой сети, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети.
Возможен вариант осуществления способа, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
Возможен вариант осуществления способа, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в обучающее множество алгоритма машинного обучения.
Другим объектом настоящего технического решения является компьютерное устройство для децентрализованной проверки вредоносных программ, имеющее доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, и включающее в себя интерфейс связи и по меньшей мере один компьютерный процессор, функционально соединенный с интерфейсом связи и выполненный с возможностью осуществлять:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы, в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.
Предложенное компьютерное устройство для децентрализованной проверки вредоносных программ также обеспечивает сформулированный выше технический результат, заключающийся в повышении точности и надежности идентификации вредоносных программ.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных включающих по меньшей мере одно указание на файл потенциально вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, дополнительно включающих в себя по меньшей мере одно из следующего:
сигнатуру вредоносной программы,
данные об атрибуции вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных по меньшей мере частично в хешированном виде.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
Возможен вариант осуществления устройства, в котором доступен по меньшей мере один дополнительный источник, причем процессор дополнительно выполнен с возможностью осуществлять извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с применением алгоритма машинного обучения.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы автоматизированным способом.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью получения результатов проверки потенциально вредоносной программы ручным способом.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, и осуществлять по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверку достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы с применением модели на основе нейронных сетей.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять внесение в пул транзакций дополнительных данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять, сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в обучающее множество алгоритма машинного обучения.
В контексте настоящего описания, если конкретно не указано иное, слова «первый», «второй», «третий» и т.д. используются в виде прилагательных исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными.
В контексте настоящего описания, если явно не указано иное, «вредоносная программа» представляет собой любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам или к информации с целью незаконного использования ресурсов или причинения вреда (нанесения ущерба) владельцу информации или сети путем копирования, искажения, удаления или подмены информации.
В контексте настоящего описания, если явно не указано иное, «потенциально вредоносная программа» представляет собой любое программное обеспечение, которое по тем или иным причинам является подозрительным и было отобрано для проведения проверки с целью подтверждения ее вредоносности. В рамках настоящей технологии любое программное обеспечение, в отношении которого не проведена проверка может считаться потенциально вредоносной программой.
В контексте настоящего описания, если явно не указано иное, под «компьютерным устройством» понимается любое аппаратное и/или программное обеспечение, подходящее для решения соответствующей задачи. Таким образом, некоторыми примерами компьютерных устройств, не имеющими ограничительного характера, могут служить компьютерные процессоры, компьютерные системы (один или несколько серверов, настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны, планшеты и т.п.
В контексте настоящего описания, если явно не указано иное, под «узлом пиринговой сети» понимается программное обеспечение, реализованное на компьютерном устройстве, связанное с другими узлами пиринговой сети и способное выполнять операции, описанные ниже.
В контексте настоящего описания, если конкретно не указано иное, под «пулом транзакций» понимается распределенная база данных, содержащая транзакции, сформированные в одном из узлов пиринговой сети, на основе которой реализован распределенный реестр, указанные транзакции, не подтвержденные другими узлами пиринговой сети.
В контексте настоящего описания, если четко не указано иное, «указание» на файл может представлять собой сам информационный элемент или указатель, отсылку, ссылку или другой косвенный способ, позволяющий получателю указания найти сеть, память, базу данных или другой машиночитаемый носитель, из которого может быть извлечен информационный элемент. Например, указание на файл вредоносной программы может включать в себя универсальный указатель ресурса (например, URL www.xyz.com/worm.exe), идентифицирующим вредоносный файл по отношению к конкретной сети (в частности, Интернет), или какими-то другими средствами передавать получателю указание на сетевую папку, адрес памяти, таблицу в базе данных или другое место, в котором можно получить доступ к вредоносному файлу, отдельным его фрагментам или сигнатуре. Как будет понятно специалистам в данной области техники, степень точности, необходимая для такого указания, зависит от степени первичного понимания того, как должна быть интерпретирована информация, которой обмениваются получатель и отправитель указателя. Например, если до передачи данных между отправителем и получателем понятно, что указатель информационного элемента принимает вид универсального указателя ресурса URL, передача указателя, ссылки на данный видеоконтент - это все, что необходимо для эффективной передачи видеоконтента получателю, несмотря на то, что сам по себе информационный элемент (например, вредоносный файл, его фрагмент или сигнатура) не передавался между отправителем и получателем указания.
В контексте настоящего описания, если явно не указано иное, под «атрибуцией» вредоносной программы понимают определение информации (атрибутов), относящейся к лицам, системам и/или организациям, разработавшим или использующим указанную вредоносную программу или ее часть.
В контексте настоящего описания, если явно не указано иное, под «сигнатурой» набор правил, позволяющий выявлять вредоносную активность. Например, под сигнатурой вредоносной программы понимаются любые признаки, уникально характеризующие указанную вредоносную программу. К сигнатурам также относятся, например, правила выявления вредоносного трафика, поведенческие правила для «песочниц», YARA-правила.
В контексте настоящего описания, если явно не указано иное, под «достоверной сигнатурой» вредоносной программы понимается сигнатура, в отношении которой определено и подтверждено участниками пиринговой сети, что указанная сигнатура уникально характеризует вредоносную программу.
В контексте настоящего описания, если явно не указано иное, под «транзакцией» понимается минимальная логически осмысленная операция по работе с данными, которая имеет смысл и может быть совершена только полностью.
В контексте настоящего описания, если конкретно не указано иное, выражение «глубокая нейронная сеть» подразумевает под собой систему программ и структур данных, созданных для приближенного моделирования процессов в человеческом мозге. Глубокие нейронные сети в общем случае включают в себя серию алгоритмов, которые могут идентифицировать лежащие в основе отношения и связи в наборе данных, используя процесс, который имитирует работу человеческого мозга. Расположения и веса связей в наборе данных в общем случае определяют вывод. Глубокая нейронная сеть, таким образом, в общем случае открыта для всех данных ввода или параметров одновременно, во всей их полноте, и, следовательно, способна моделировать их взаимозависимость. В отличие от алгоритмов машинного обучения, которые используют деревья принятия решений и, следовательно, имеют свои ограничения, глубокие нейронные сети не ограничены и, следовательно, подходят для моделирования взаимозависимостей.
В контексте настоящего описания, если конкретно не указано иное, под «ручной проверкой» понимается неавтоматизированная или частично автоматизированная проверка, требующая участия оператора.
В контексте настоящего описания «компьютерное устройство» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от клиентских устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один физический компьютер или одну физическую компьютерную систему, но ни то, ни другое не является обязательным для настоящего технического решения. В контексте настоящего технического решения использование выражения «компьютерное устройство» не означает, что каждая задача (например, полученные команды или запросы) или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же «компьютерным устройством» (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может быть одним компьютерным устройством или несколькими компьютерными устройствами, оба варианта включены в выражение «по меньшей мере одно компьютерное устройство».
В контексте настоящего описания «сервер» подразумевает под собой компьютерную программу, выполняемую на соответствующем оборудовании и, выполненную с возможностью принимать запросы (например, от компьютерных устройств) по сети, и выполнение этих запросов, или быть причиной отправки этих запросов. Аппаратными средствами может быть один физический компьютер или одна физическая компьютерная система, но ни один из них не требуется в качестве варианта, в соответствии с данной технологией. В данном контексте, использование выражения «сервер» не означает, что каждая задача (например, полученные инструкции) или любая конкретная задача будет получена, выполнена, или, послужит причиной выполнения одним и тем же сервером (т.е. одним и тем же программным и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в получение/отправку, выполнение или может служить причиной для выполнения любой задачи или запроса, или последствий любой задачи или запроса; и все это программное и аппаратное обеспечение может быть одним или несколькими серверами.
В контексте настоящего описания, если конкретно не указано иное, под «токеном» понимается объект блокчейн технологии, осуществляющий криптографически защищенное подтверждение прав его владельца на получение обещанных ему ценностей или возможности выполнения с его помощью заранее определенных функций.
В контексте настоящего описания «машиночитаемый носитель» подразумевает под собой носитель абсолютно любого типа и характера, включая ОЗУ, ПЗУ, диски (компакт диски, DVD-диски, дискеты, жесткие диски и т.д.), USB флеш-накопители, твердотельные накопители, накопители на магнитной ленте и т.д.
В контексте настоящего описания «база данных» подразумевает под собой любой структурированный набор данных, не зависящий от конкретной структуры, программного обеспечения по управлению базой данных, аппаратного обеспечения компьютера, на котором данные хранятся, используются или иным образом оказываются доступны для использования. База данных может находиться на том же оборудовании, выполняющем процесс, которое сохраняет или использует информацию, хранящуюся в базе данных, или же она может находиться на отдельном оборудовании, например, выделенном сервере или множестве серверов.
В контексте настоящего описания, если конкретно не указано иное, под «внешней базой данных» подразумевается база данных, связанная с компьютерным устройством, входящим в пиринговую сеть, посредством компьютерных устройств, не входящих в указанную пиринговую сеть.
В контексте настоящего описания, если конкретно не указано иное, под «весом результата» подразумевается численно выраженная степень достоверности результата, полученного вследствие по меньшей мере одного действия с вредоносной программой или относящимся к ней данными. Например, в неограничивающем примере вес результата определения вредоносности программы может выражать вероятность того, что программа вредоносна, определенную субъектом проверки или вычисленную на основе результатов нескольких субъектов проверки. Вес результата формирования сигнатуры вредоносной программы может подразумевать показатель, характеризующий повышение эффективности выявления вредоносных программ при использовании указанной сигнатуры. Дополнительные и/или альтернативные характеристики, аспекты и преимущества вариантов осуществления настоящего технического решения станут очевидными из последующего описания, прилагаемых чертежей и прилагаемой формулы изобретения.
Краткое описание чертежей
Для лучшего понимания настоящего технического решения, а также других его аспектов и характерных черт сделана ссылка на следующее описание, которое должно использоваться в сочетании с прилагаемыми чертежами, где:
На фиг. 1 приводится упрощенное схематическое представление одной из неограничивающих реализаций системы для осуществления настоящего технического решения.
На фиг. 2 показана блок-схема последовательности операций согласно заявляемому способу децентрализованной идентификации вредоносных программ.
Осуществление
Нижеследующее описание представлено только как описание иллюстративного примера настоящего технического решения. Это описание не предназначено для определения объема или установления границ настоящей технологии.
Некоторые полезные примеры модификаций описываемого способа и системы определения связанных сетевых ресурсов также могут быть охвачены нижеследующим описанием. Целью этого является также исключительно помощь в понимании, а не определение объема и границ настоящей технологии. Эти модификации не представляют собой исчерпывающий список, и специалистам в данной области техники будет понятно, что возможны и другие модификации. Кроме того, это не должно интерпретироваться так, что там, где это еще не было сделано, т.е. там, где не были изложены примеры модификаций, никакие модификации невозможны, и/или что-то, что описано, является единственным вариантом осуществления этого элемента настоящей технологии. Как будет понятно специалисту в данной области техники, это, скорее всего, не так. Кроме того, следует иметь в виду, что способ и система определения связанных сетевых ресурсов представляет собой в некоторых конкретных проявлениях достаточно простые варианты осуществления настоящей технологии, и в подобных случаях представлены здесь с целью облегчения понимания. Как будет понятно специалисту в данной области техники, многие варианты осуществления настоящей технологии будут обладать гораздо большей сложностью.
На фиг. 1 изображено схематичное представление одной из неограничивающих реализаций системы 100 для осуществления способа, описываемого в настоящем техническом решении. В одной из неограничивающих реализаций технического решения система 100 включает множество компьютерных устройств 1021, 1022, …, 102N, с которыми связаны пользовательские устройства первое 1041 и второе 1042 N-ное 104N, причем первое пользовательское устройство 1041 связано с компьютерным устройством 1021, второе пользовательское устройство 1042 с компьютерным устройством 1022, а N-ное пользовательское устройство 104N с N-ным компьютерным устройством 102N Дополнительно система 100 включает базу данных 106, связанную с компьютерным устройством 1021. Очевидно, что система 100, может содержать различное количество пользовательских устройств, баз данных и иных внешних источников, связанных с одним или несколькими из множества компьютерных устройств 1021, 1022, …, 102N. Возможен также вариант осуществления настоящего технического решения, в котором с одним или несколькими компьютерными устройствами из множества компьютерных устройств не связано ни одного пользовательского устройства.
Каждое из множества компьютерных устройств 1021, 1022, …, 102N соединено друг с другом (каждое с каждым) посредством канала связи с образованием пиринговой сети 150. Каждое из множества компьютерных устройств 1021, 1022, …, 102N является узлом пиринговой сети 150 и выполнено с возможностью принимать и передавать сообщения, представленные в виде блоков транзакций в соответствии с технологией блокчейн.
Следует понимать, что количество узлов пиринговой сети 150, а именно число компьютерных устройств множества 1021, 1022, …, 102N никак конкретно не ограничено. В качестве примера, но не ограничения пиринговая сеть 150 может содержать 48, 100, 3000, или иное количество узлов.
Для целей осуществления настоящей технологии каждый узел пиринговой сети 150 может быть реализован в качестве компьютерного устройства 1021, 1022, …, 102N, причем каждый узел включает в себя распределенный реестр 108 вредоносных программ, пул транзакций 109, модуль машинного обучения 110, а также по меньшей мере одну виртуальную машину 1121, 1122, …, 112N для запуска файлов потенциально вредоносных программ в виртуальной среде.
Компьютерные устройства 1021, 1022, …, 102N могут быть реализованы например, в виде компьютерного сервера Dell™ PowerEdge™, на котором используется операционная система Ubuntu Server. В качестве неограничивающего примера реализации компьютерные устройство 1021 обладать следующими характеристиками: 2ТВ памяти, 4 или более ЦПУ для параллельной работы одной или нескольких виртуальных машин, 256Gb или более оперативной памяти, а также по меньшей мере один графический процессор для реализации модуля 110 машинного обучения. Компьютерные устройства 1022, …, 102N могут быть реализованы аналогичным образом. Очевидно, что компьютерные устройства 1021, 1022, …, 102N могут иметь одинаковую или различную конфигурацию. Приведенные характеристики не являются ограничивающими и несут лишь иллюстративный характер для целей пояснения настоящего технического решения.
С учетом технологии блокчейн, посредством которой реализована пиринговая сеть 150, каждый узел включает в себя одинаковый распределенный реестр 108 вредоносных программ, одинаковый пул транзакций 109, и одинаковый модуль машинного обучения 110. Виртуальные машины 1121, 1122, …, 112N для запуска файлов потенциально вредоносных программ в виртуальной среде могут совпадать или отличаться в различных узлах пиринговой сети 150.
Причем все или некоторые из узлов могут включать в себя несколько одинаковых и/или различных образов виртуальных машин. В качестве примера, но не ограничения одна из виртуальных машин может быть реализована со следующим заданным набором атрибутов настройки: операционная система - Windows ХР, архитектура - х86 (32-разрядная), язык - русский (rus) для запуска в ней 32-разрядных потенциально вредоносных программ. Для запуска 64-разрядных потенциально вредоносных программ может быть использована, например, виртуальная машина со следующим заданным набором атрибутов настройки: операционная система - Ubuntu, архитектура - х64 (64-разрядная), язык - английский (eng).
Распределенный реестр 108 может представлять собой базу данных, размещенную на соответствующем физическом оборудовании, которое может представлять собой один или несколько машиночитаемых носителей. Распределенный реестр 108 вредоносных программ одного или нескольких узлов пиринговой сети 150 может быть дополнительно доступен (только для чтения) одному или нескольким внешним устройствам. Например, согласно неограничивающему варианту осуществления системы 100, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 1021 может быть доступен первому пользовательскому устройству 1041 и базе данных 106 вредоносных компьютерных программ, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 1022 может быть доступен второму пользовательскому устройству 1042, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 102N может быть доступен пользовательскому устройству 104N.
Пул транзакций 109 может представлять собой базу данных, размещенную на соответствующем физическом оборудовании, которое может представлять собой один или несколько машиночитаемых носителей. Возможен вариант осуществления, в котором пул транзакций 109 и распределенный реестр 108 вредоносных программ некоторых узлов могут быть реализованы на одном физическом оборудовании. Стоит отметить, что в общем случае доступ к пулу транзакций 109 имеют только узлы пиринговой сети 150. Информация, вносимая узлом пиринговой сети 150 в пул транзакций 109 становится доступна всем узлам пиринговой сети 150.
В одной из неограничивающих реализаций настоящего технического решения пиринговая сеть 150 выполнена с возможностью передачи блоков транзакций в соответствии с технологией блокчейн, указанных транзакций, отражающих информацию о по меньшей мере одном из следующего: сигнатуры вредоносных/потенциально вредоносных программ, хеш-суммы файлов вредоносных/потенциально вредоносных программ, указания на файлы вредоносных/потенциально вредоносных программ, результаты проверки вредоносных/потенциально вредоносных программ автоматизированным способом и параметры алгоритмов, используемых в указанном способе, результаты проверки вредоносных/потенциально вредоносных программ ручным способом каждого узла пиринговой сети, общий результат проверки, определенный на основе полученных результатов проверки вредоносных/потенциально вредоносных программ компьютерными устройствами, репутацию узлов, выполняющих автоматизированную проверку, репутацию узлов, выполняющих ручную проверку, параметры формирования.
В одной из неограничивающих реализаций настоящего технического решения помимо пиринговой сети 150 дополнительно каждое из множества компьютерных устройств 1021, 1022, …, 102N устройств может быть выполнено с возможностью передачи данных в других сетях передачи данных (не показаны), в частности, в сети Интернет, локальной или иной сети передачи данных.
Первое пользовательское устройство 1041 может быть связано с компьютерным устройством 1021, например посредством сети передачи данных 160, которая может представлять собой сеть Интернет, база данных 106 может быть доступна компьютерному устройству 1021 также по сети передачи данных 160 или по иной сети (не показана). Первое пользовательское устройство 1041 в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой персональный компьютер (настольный компьютер, ноутбук и т.д.)., на котором может быть установлено программное обеспечение, например, осуществляющее выявление подозрительных потенциально вредоносных программ и файлов, и осуществлять их отправку в качестве входных данных компьютерному устройству 1021, являющемуся узлом пиринговой сети 150 по сети передачи данных 160.
Кроме того, первое пользовательское устройство 1041 может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа, ее хеш-сумма и по меньшей мере часть сопутствующих данных, относящихся к вредоносной программе будут внесены в распределенный реестр вредоносных программ 108. Таким образом, первое пользовательское устройство 1041 может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150. В базе данных 106 могут быть предварительно сохранены потенциально вредоносные программы или указания на них. Первое пользовательское устройство 1041 может быть выполнено с возможностью получения входных данных, относящихся к потенциально вредоносной программе из базы данных 106.
Второе пользовательское устройство 1042 может быть связано с компьютерным устройством 1022, например, по локальной сети 170 на базе проводной сети Ethernet или беспроводной сети (wi-fi, Bluetooth, 3g/4g/ LTE и т.д.)
Второе пользовательское устройство 1042 в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой сервер или активное сетевое оборудование, выполненное с возможностью сбора данных о потенциально вредоносных программах от множества устройств, связанных с данным сервером (не пронумерованы). При этом на втором пользовательском устройстве 1042 может быть установлено программное обеспечение, выполняющее проверку трафика с устройств корпоративной сети и поиск вредоносной активности или сбор информации с программного обеспечения, установленного на устройствах, входящих, например, в корпоративную сеть.
Возможен вариант осуществления, в котором второе пользовательское устройство 1042 может включать в себя или иметь доступ к устройству захвата сетевого трафика и получения данных о потенциально вредоносных программах на основе анализа сетевого трафика. Например, без введения ограничений устройство захвата сетевого трафика может представлять собой одно из следующего: сетевые коммутаторы L2-уровня, работающие с использованием технологии зеркалирования сетевого трафика необходимых сегментов сети, такой как, например, SPAN-технология зеркалирования сетевого трафика в оборудовании компании «CISCO», средства обеспечения прозрачности сети, также называемые как платформы доставки безопасности (Security Delivery Platform) или сетевые пакетные брокеры (NPB), и ответвители сетевого трафика (Test Access Point) различных типов, а также прокси-серверы с поддержкой ICAP-протокола, работающие в рамках установленного TCP-соединения, почтовые серверы с поддержкой SMTP-протокола и др.
Второе пользовательское устройство 1042 в некоторых неограничивающих вариантах осуществления настоящего технического решения может осуществлять отправку потенциально вредоносных программ в качестве входных данных компьютерному устройству 1022, являющемуся узлом пиринговой сети 150 по сети передачи данных 170.
Кроме того, второе пользовательское устройство 1042 может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа будет внесена в распределенный реестр вредоносных программ 108. Таким образом, второе пользовательское устройство 1042 может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150.
N-ное пользовательское устройство 104N может быть связано с компьютерным устройством 102N, например, по локальной сети 180 на базе проводной сети Ethernet или беспроводной сети (wi-fi, Bluetooth, 3g/4g/ LTE и т.д.).
N-ное пользовательское устройство 104N в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой сервер для поиска и анализа киберугроз, осуществляющий сбор данных в частности о потенциально вредоносных программах и атрибуции (информации (атрибутов), относящейся к лицам, системам и/или организациям, разработавшим или использующим указанную вредоносную программу или ее часть.), связанной с данными потенциально вредоносными программами. N-ное пользовательское устройство 104N в некоторых неограничивающих вариантах осуществления настоящего технического решения может осуществлять отправку потенциально вредоносных программ в качестве входных данных компьютерному устройству 102N, являющемуся узлом пиринговой сети 150 по сети передачи данных 180.
N-ное пользовательское устройство 104N может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа будет внесена в распределенный реестр вредоносных программ 108. Таким образом, N-ное пользовательское устройство 104N может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150.
N-ное пользовательское устройство 104N может представлять собой обычный компьютерный сервер. В примере варианта осуществления настоящего технического решения N-ное пользовательское устройство 104N может представлять собой сервер Dell™ PowerEdge™, на котором используется операционная система Ubuntu Server. Излишне говорить, что N-ное пользовательское устройство 104N может представлять собой любое другое подходящее аппаратное и/или прикладное программное, и/или системное программное обеспечение или их комбинацию. В представленном варианте осуществления настоящего технического решения, не ограничивающем его объем, N-ное пользовательское устройство 104N является одиночным сервером. В других вариантах осуществления настоящего технического решения, не ограничивающих его объем, функциональность N-ного пользовательского устройства 104N может быть разделена между несколькими пользовательскими устройствами, и например, может выполняться с помощью нескольких серверов.
Стоит отметить, что каждое пользовательское устройство 1041, 1042, …, 104N, имеющее доступ к распределенному реестру 108 вредоносных программ может получать данные о любых подтвержденных вредоносных программах, которые были проверены множеством узлов пиринговой сети 150 вне зависимости от источника данной вредоносной программы. Так, например, вредоносная программа, полученная компьютерным устройством 1021 от первого пользовательского устройства 1041 после подтверждения будет доступна второму пользовательскому устройству 1042 и другим пользовательским устройствам включая N-ное пользовательское устройство 104N.
Модуль 110 машинного обучения выполнен с возможностью осуществления алгоритма машинного обучения, способного осуществлять проверку и подтверждение вредоносности потенциально вредоносного файла,. В некоторых вариантах осуществления настоящего технического решения, один или несколько алгоритмов машинного обучения могут представлять собой любой подходящий алгоритм машинного обучения с учителем или полуконтролируемого обучения, такой как, например:
- Искусственная нейронная сеть
- Гауссовский процесс регрессии
- Деревья решений
- И так далее
В общем случае, модуль 110 машинного обучения выполняет один или несколько алгоритмов машинного обучения для анализа потенциально вредоносной программы на основе результатов запуска потенциально вредоносной программы на по меньшей мере одной виртуальной машине 1121, 1122, …, 112N.
Как будет понятно специалистам возможны и иные аналогичные варианты реализации системы 100 в рамках приведенного выше описания системы 100.
Со ссылкой на фиг. 2 будет подробнее рассмотрен заявляемый способ 200 децентрализованной проверки вредоносных программ. Способ 200 может быть выполнен на любом из множества компьютерных устройств 1021 … 102N и, конкретнее, процессором (не показан) указанного любого компьютерного устройства в соответствии с неограничивающим вариантом системы 100, показанной на фиг. 1. Для целей настоящего описания рассмотрим иллюстративный пример, в котором способ 200 выполняется на компьютерном устройстве 1021.
Этап 202 - получение входных данных, относящихся к потенциально вредоносной программе
Способ 200 начинается на этапе 202, где компьютерное устройство 1021 получает входные данные, относящихся к потенциально вредоносной программе. Под потенциально вредоносной программой в контексте настоящей заявки понимается любое программное обеспечение, которое в процессе выполнения осуществляет или может осуществлять вредоносную активность, осуществлять несанкционированный доступ к информации, незаконное использование, копирование, искажение, удаление или подмену информации.
Входные данные могут быть получены от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в пиринговую сеть 150, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя. Следует отметить, что специалисту могут быть очевидны и другие источники информации, связанные с по меньшей мере одним компьютерным устройством 1021.
Входные данные могут включать по меньшей мере одно указание на файл потенциально вредоносной программы. В одном из неограничивающих вариантов реализации настоящего изобретения указание на файл вредоносной программы может включать в себя универсальный указатель ресурса (например, URL www.xyz.com), идентифицирующий вредоносный файл по отношению к конкретной сети (в частности, Интернет), или какими-то другими средствами передавать получателю указание на сетевую папку, адрес памяти, таблицу в базе данных или другое место, в котором можно получить доступ к вредоносному файлу, отдельным его фрагментам или сигнатуре.
Входные данные могут дополнительно включать в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы, метаданные потенциально вредоносного файла, информацию о файлах, связанных с потенциально вредоносным файлом. Сигнатура вредоносной программы представляет собой любые признаки, уникально характеризующие указанную вредоносную программу. Файлами, связанными с потенциально вредоносной программой могут быть, например, файлы, полученные вместе с потенциально вредоносными файлами из того же источника и в то же время. Связанные файлы могут иметь общие признаки, например, часть названия файла, цифровую подпись и др. Метаданные потенциально вредоносного файла могут включать по меньшей мере источник, из которого был получен файл, размер файла, дату последнего изменения файла и другую подобную информацию.
Входные данные могут быть получены по меньшей мере частично в хешированном виде. В ответ на то, что по меньшей мере часть входных данных получена в нехешированном виде может быть выполнено хеширование по меньшей мере части входных данных.
В одном из неограничивающих вариантов реализации настоящего изобретения после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству 1021 пиринговой сети. В данном варианте реализации изобретения проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
Например, из дополнительных источников может быть получена информация о типе файла - троянская программа и источнике файла - антивирус, установленный на конечном устройстве пользователя. В этом случае проверка потенциально вредоносной программы будет осуществляться, например, алгоритмом, оптимизированным для выявления троянских программ. Дополнительно могут учитываться, например, параметры аппаратного и программного обеспечения пользовательского устройства.
Способ 200 далее переходит к выполнению этапа 204.
Этап 204 - проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе
На этапе 204 процессор компьютерного устройства 1021 производит проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе.
Проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, может включать по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
Определение вредоносности может происходить любым из способов, известных из уровня техники. В одном из неограничивающих вариантов реализации вредоносная программа запускается в виртуальной машине 1121. Виртуальная машина 1121 может быть специальным образом адаптирована для выявления вредоносной программы, в частности, на виртуальной машине могут быть установлены пользовательские приложения и запущены службы. Параметры виртуальной машины 1121, используемой для проверки вредоносной программы могут определяться на основе по меньшей мере одного из: входные данные, относящиеся к потенциально вредоносной программе; параметры модели анализа вредоносных программ. Указанные параметры виртуальной машины 1121 могут быть сохранены в пуле 109 транзакций. Таким образом, параметры виртуальной машины 1121, используемой для проверки вредоносной программы компьютерным устройством 1021 могут быть использованы для проверки вредоносного файла другими компьютерными устройствами пиринговой сети 150.
Определение данных об атрибуции потенциально вредоносной программы может осуществляться на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
Например, вредоносная программа может являться модификацией ранее известной программы, причем указанная известная программа была ранее определена как вредоносная и может храниться в базе данных 106.
Определение данных об атрибуции потенциально вредоносной программы может производиться с применением модуля 110 машинного обучения, использующего модель вредоносной программы. Например, модель может описывать характерные особенности вредоносных программ, разрабатываемых известной хакерской группировкой. При построении модели могут быть использованы, например, данные киберразведки.
В одном из неограничивающих вариантов реализации настоящего изобретения проверка потенциально вредоносной программы выполняется процессором компьютерного устройства 1021 с применением алгоритма машинного обучения для анализа вредоносных программ. При этом используется модуль машинного обучения 110. В частности, в некоторых неограничивающих вариантах осуществления настоящего технического решения модуль машинного обучения может выполнять определение вредоносности потенциально вредоносной программы, производить оценку результатов проверки других узлов пиринговой сети, имеющих доступ к распределенному реестру. Модель анализа вредоносных программ предварительно обучают на выборке данных, относящихся к вредоносным программам.
Дополнительно модель анализа вредоносных программ может быть переобучена на обновленной выборке, учитывающей результаты, подтвержденные компьютерными устройствами 1021 … 102N.
Входными данными модели являются по меньшей мере полученные компьютерным устройством 1021 пиринговой сети входные данные, относящиеся к потенциально вредоносной программе. Возможен вариант осуществления способа 200, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом. Например, проверка может выполняться с помощью модуля 110 машинного обучения. По меньшей мере часть параметров автоматического алгоритма может быть задана вручную. Например, вручную может быть задано пороговое значение веса результата проверки потенциально вредоносной программы, достаточное для записи указанного результата в распределенный реестр 108.
Возможен вариант осуществления способа 200, в котором проверка потенциально вредоносной программы дополнительно выполняется ручным способом. Условия выполнения ручной проверки могут быть различными или отсутствовать. Например, условием ручной проверки может быть удовлетворение значения веса общего результата проверки заданному диапазону весов. Указанный общий результат проверки представляет собой результат, определенный на основе результатов проверки, полученных от по меньшей мере части компьютерных устройств 1021 … 102N, выполнявших проверку. Результаты проверки по меньшей мере части компьютерных устройств 1021 … 102N пиринговой сети могут храниться, например, в пуле 109 транзакций. В другом неограничивающем примере реализации способа 200 ручная проверка может осуществляться вне зависимости от результатов автоматической проверки.
Способ 200 далее переходит к выполнению этапа 206.
Этап 206 - внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы
На этапе 206 результаты и параметры проверки вредоносной программы, осуществленной процессором компьютерного устройства 1021, записываются в пул транзакций 109, доступный каждому из компьютерных устройств 1021 … 102N. Примером параметров проверки могут быть, например, параметры виртуальной машины 1121. Таким образом, каждое компьютерное устройство из множества устройств 1022 … 102N может осуществить проверку вредоносности потенциально вредоносного файла, применяя одинаковые параметры проверки - параметры, используемые компьютерным устройством 1021.
В одном из неограничивающих вариантов реализации способа 200 на этапе 206 в пул транзакций 109 также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству 1021. В некоторых неограничивающих примерах данного варианта реализации дополнительными источниками данных, относящихся к потенциально вредоносной программе могут быть база данных 106, внешняя база данных вредоносных программ.
Способ 200 далее переходит к выполнению этапа 208.
Этап 208 - получение от по меньшей мере части компьютерных устройств, входящих в пиринговую сеть, результатов распределенной проверки потенциально вредоносной программы
На этапе 208 компьютерное устройство 1021 получает от по меньшей мере части компьютерных устройств 1022 … 102N результаты распределенной проверки потенциально вредоносной программы. Указанные результаты могут передаваться посредством каналов передачи данных, доступных каждому из компьютерных устройств 1021 … 102N, позволяющих передавать указанные результаты в хешированном виде.
Результаты распределенной проверки потенциально вредоносной программы могут быть сохранены каждым из компьютерных устройств, входящих в пиринговую сеть 150 в виде блоков в пуле 109 транзакций в соответствии с технологией блокчейн.
Способ 200 далее переходит к выполнению этапа 210.
Этап 210 - определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества узлов пиринговой сети
На этапе 212 процессор компьютерного устройства 1021 производит определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от по меньшей мере части компьютерных устройств 1022... 102N.
Параметр вредоносности представляет собой функцию, которая зависит от количества N компьютерных устройств 1021 … 102N пиринговой сети 150, репутации каждого из указанных устройств и результатов определения вредоносности потенциально вредоносной программы, полученных каждым из компьютерных устройств [1021 … 102N]. Например, параметр вредоносности может быть найден так:
В одном из неограничивающих вариантов осуществления способа 200 определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от по меньшей мере части компьютерных устройств, входящих в пиринговую сеть, осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств из множества компьютерных устройств 1021 … 102N, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств из множества компьютерных устройств 1021 … 102N, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств из множества компьютерных устройств 1021 … 102N, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств из множества компьютерных устройств 1021 … 102N, подтвердивших результат проверки указанной потенциально вредоносной программы.
Способ 200 далее переходит к выполнению этапа 212.
Этап 212 - идентификация вредоносной программы в ответ на то, что параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение
На этапе 212 процессор компьютерного устройства 1021 производит идентификацию вредоносной программы в ответ на то, что параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение.
Например, может быть задано пороговое значение параметра вредоносности, равное 7. В ответ на то, что рассчитанный параметр вредоносности равен 8 соответствующая потенциально вредоносная программа будет отмечена как вредоносная.
Способ 200 далее переходит к выполнению этапа 214.
Этап 214 - сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ
На этапе 214 процессор компьютерного устройства 1021 сохраняет вредоносную программу в распределенный реестр 108 вредоносных программ. Способ сохранения информации и структура сохраненной информации, относящейся к вредоносной программе могут регламентироваться, например, в соответствии с технологией блокчейн. Доступ к сохраненной информации о вредоносной программе компьютерных устройств 1021 … 102N производится посредством пиринговой сети 150. Каждое из компьютерных устройств 1021 … 102N имеет хранит актуальную копию распределенного реестра 108.
Под идентифицированной вредоносной программой в данном случае может пониматься по меньшей мере одно из: файл вредоносной программы, хеш-сумма файла вредоносной программы, сигнатура вредоносной программы. Под сопутствующими данными, относящимися к вредоносной программе, полученными в ходе выполнения способа 200, может пониматься любая информация, имеющая отношение к вредоносной программе и подтвержденная компьютерными устройствами пиринговой сети 150, например,, указание на файл вредоносной программы, сигнатуру вредоносной программы, файлы, связанные с вредоносной программой, подобные вредоносные программы, метаданные вредоносного файла, результаты проверки каждого из компьютерных устройств пиринговой сети 150, репутация указанных компьютерных устройств и другое.
После этапа 214 способ может завершаться.
В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 производит начисление токенов компьютерным устройствам распределенной пиринговой сети 150, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети 150.
В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 дополнительно производит сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству, например в базу данных 106.
В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 дополнительно производит сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в обучающее множество алгоритма машинного обучения, используемого модулем 110 машинного обучения.
ПРИМЕР
Ниже приводится неограничивающий пример одной из реализаций настоящего технического решения.
В указанном неограничивающем примере децентрализованная проверка вредоносной программы осуществляется на узле 1021 пиринговой сети.
Например, могут быть получены следующие входные данные: вредоносный файл с метаданными (имя, размер, расширение, дата создания, дата изменения и т.д.), URL веб-ресурса, на котором был обнаружен файл, данные пользовательского устройства (аппаратное и программное обеспечение, логи и т.д.), на котором файл был запущен, YARA-сигнатура вредоносной программы. Например, была получена следующая YARA-сигнатура [https://xakep.ru/2011/10/31/57409/#toc03.]:
Проверка автоматизированным способом включает запуск вредоносного файла в виртуальной среде и применение к нему предварительно обученного алгоритма машинного обучения.
После проверки в пул транзакций распределенного реестра записываются следующие данные:
1) Хеш-сумма файла
2) Результат проверки на вредоносность потенциально вредоносной программы узлом 1021 пиринговой сети
3) Вредоносные индикаторы, включающие настройки виртуальной машины 1121
После того, как получены результаты проверки вредоносной программы другими узлами пиринговой сети, осуществляется определение параметра вредоносности. Параметр вредоносности представляет собой функцию, которая зависит от количества N узлов [1021 … 102N] пиринговой сети, рейтинга каждого из узлов и результатов определения вредоносности потенциально вредоносной программы, полученных каждым из узлов.
На основании значения параметра вредоносности происходит определение вредоносности потенциально вредоносной программы, идентификация вредоносной программы.
После идентификации вредоносной программы в распределенный реестр вносятся следующие данные:
1) Указание на вредоносный файл
2) Хеш-сумма вредоносного файла
3) Результаты предсказаний каждого узла пиринговой сети с параметрами (например, веса и архитектура при обучении нейронной сети)
4) Результаты ручной проверки
5) Общий результат, полученный на основании результатов распределенной проверки в целом, на основе скоринга
6) Репутация, количество узлов пиринговой сети, проводивших проверку и тип проверки (автоматизированная или ручная)
7) Уникальные признаки вредоносной программы: описание поведения вредоносной программы в зараженной системе; изменения в системном реестре, вносимые вредоносной программой; генерируемые вредоносной программой файлы.
Далее указанные данные вносятся во внешнюю базу данных, используемую для обнаружения вредоносных программ, например, базу данных антивирусной компании
Модификации и улучшения вышеописанных вариантов осуществления настоящего технического решения будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не несет никаких ограничений. Таким образом, объем настоящего технического решения ограничен только объемом прилагаемой формулы изобретения.
Claims (75)
1. Способ децентрализованной проверки вредоносных программ, выполняемый на компьютерном устройстве, имеющем доступ к распределенному реестру вредоносных программ и пулу транзакций, реализованным на основе пиринговой сети, при этом указанный способ включает:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.
2. Способ по п. 1, в котором получение входных данных осуществляют от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
3. Способ по п. 1, в котором входные данные включают по меньшей мере одно указание на файл потенциально вредоносной программы.
4. Способ по п. 1, в котором входные данные дополнительно включают в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы.
5. Способ по п. 1, в котором входные данные получают по меньшей мере частично в хешированном виде.
6. Способ по п. 1, в котором выполняют хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
7. Способ по п. 1, в котором после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
8. Способ по п. 7, в котором проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
9. Способ по п. 1, в котором проверку потенциально вредоносной программы выполняют с применением алгоритма машинного обучения.
10. Способ по п. 9, в котором дополнительно производится обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
11. Способ по п. 1, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом.
12. Способ по п. 11, в котором дополнительно производится проверка потенциально вредоносной программы ручным способом.
13. Способ по п. 1, в котором проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, включает по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверка достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
14. Способ по п. 13, в котором определение данных об атрибуции потенциально вредоносной программы осуществляют на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
15. Способ по п. 13, в котором определение данных об атрибуции потенциально вредоносной программы производится с применением алгоритма машинного обучения.
16. Способ по п. 1, в котором на этапе внесения в пул транзакций параметров и результатов по меньшей мере одного результата проверки потенциально вредоносной программы, в пул транзакций также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
17. Способ по п. 1, в котором определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети, осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
18. Способ по п. 1, в котором после внесения результатов проверки потенциально вредоносной программы в распределенный реестр производится начисление токенов компьютерным устройствам распределенной пиринговой сети, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети.
19. Способ по п. 1, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
20. Способ по п. 1, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в обучающее множество алгоритма машинного обучения.
21. Компьютерное устройство для децентрализованной проверки вредоносных программ, имеющее доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, и включающее в себя интерфейс связи и по меньшей мере один компьютерный процессор, функционально соединенный с интерфейсом связи и выполненный с возможностью осуществлять:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.
22. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
23. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, включающих по меньшей мере одно указание на файл потенциально вредоносной программы.
24. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, дополнительно включающих в себя по меньшей мере одно из следующего:
сигнатуру вредоносной программы,
данные об атрибуции вредоносной программы.
25. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных по меньшей мере частично в хешированном виде.
26. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять хеширование по меньшей мере части входных данных в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
27. Устройство по п. 21, которому доступен по меньшей мере один дополнительный источник, причем процессор дополнительно выполнен с возможностью осуществлять извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника.
28. Устройство по п. 27, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
29. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с применением алгоритма машинного обучения.
30. Устройство по п. 29, в котором процессор дополнительно выполнен с возможностью осуществлять обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
31. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы автоматизированным способом.
32. Устройство по п. 31, в котором процессор дополнительно выполнен с возможностью получения результатов проверки потенциально вредоносной программы ручным способом.
33. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, и осуществлять по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверку достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
34. Устройство по п. 33, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные;
распределенный реестр вредоносных программ;
база данных вредоносных ресурсов.
35. Устройство по п. 33, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы с применением модели на основе нейронных сетей.
36. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять внесение в пул транзакций дополнительных данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
37. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети, осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
38. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
39. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять, сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в обучающее множество алгоритма машинного обучения.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018101764A RU2677361C1 (ru) | 2018-01-17 | 2018-01-17 | Способ и система децентрализованной идентификации вредоносных программ |
SG10201900062SA SG10201900062SA (en) | 2018-01-17 | 2019-01-03 | Method and system of decentralized malware identification |
US16/243,530 US11451580B2 (en) | 2018-01-17 | 2019-01-09 | Method and system of decentralized malware identification |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018101764A RU2677361C1 (ru) | 2018-01-17 | 2018-01-17 | Способ и система децентрализованной идентификации вредоносных программ |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2677361C1 true RU2677361C1 (ru) | 2019-01-16 |
Family
ID=65024984
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2018101764A RU2677361C1 (ru) | 2018-01-17 | 2018-01-17 | Способ и система децентрализованной идентификации вредоносных программ |
Country Status (3)
Country | Link |
---|---|
US (1) | US11451580B2 (ru) |
RU (1) | RU2677361C1 (ru) |
SG (1) | SG10201900062SA (ru) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11258809B2 (en) * | 2018-07-26 | 2022-02-22 | Wallarm, Inc. | Targeted attack detection system |
US11526610B2 (en) * | 2019-05-21 | 2022-12-13 | Veracode, Inc. | Peer-to-peer network for blockchain security |
US11115191B2 (en) * | 2019-05-31 | 2021-09-07 | Hcl America Inc | System and method for modifying content stored in a blockchain |
CN112287336A (zh) * | 2019-11-21 | 2021-01-29 | 北京京东乾石科技有限公司 | 基于区块链的主机安全监控方法、装置、介质及电子设备 |
US11575694B2 (en) * | 2021-01-20 | 2023-02-07 | Bank Of America Corporation | Command and control steganographic communications detection engine |
US11082445B1 (en) * | 2021-01-21 | 2021-08-03 | Netskope, Inc. | Preventing phishing attacks via document sharing |
CN114692098B (zh) * | 2022-06-01 | 2022-08-26 | 中国海洋大学 | 基于区块链和联邦学习的软件行为智能管控方法 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138342A1 (en) * | 2001-11-14 | 2009-05-28 | Retaildna, Llc | Method and system for providing an employee award using artificial intelligence |
WO2012015171A2 (ko) * | 2010-07-26 | 2012-02-02 | Kim Ki Yong | 해커 바이러스 보안통합관리기 |
RU2446459C1 (ru) * | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
RU2487406C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
US20130340080A1 (en) * | 2012-06-19 | 2013-12-19 | Kaspersky Lab Zao | System and Method for Preventing Spread of Malware in Peer-to-Peer Network |
RU2536664C2 (ru) * | 2012-12-25 | 2014-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматической модификации антивирусной базы данных |
US20160149943A1 (en) * | 2014-11-21 | 2016-05-26 | Northrop Grumman Systems Corporation | System and method for network data characterization |
RU2607231C2 (ru) * | 2011-11-02 | 2017-01-10 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга |
Family Cites Families (178)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7389351B2 (en) | 2001-03-15 | 2008-06-17 | Microsoft Corporation | System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts |
US7565692B1 (en) | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
DE60124295T8 (de) | 2000-11-30 | 2007-12-06 | Lancope, Inc. | Flussbasierte erfassung eines eindringens in ein netzwerk |
US7325252B2 (en) | 2001-05-18 | 2008-01-29 | Achilles Guard Inc. | Network security testing |
US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
EP1349081A1 (en) | 2002-03-28 | 2003-10-01 | LION Bioscience AG | Method and apparatus for querying relational databases |
US7496628B2 (en) | 2003-02-25 | 2009-02-24 | Susquehanna International Group, Llp | Electronic message filter |
US20040221171A1 (en) | 2003-05-02 | 2004-11-04 | Ahmed Ahmed Awad E. | Intrusion detector based on mouse dynamics analysis |
US8984640B1 (en) | 2003-12-11 | 2015-03-17 | Radix Holdings, Llc | Anti-phishing |
US7392278B2 (en) | 2004-01-23 | 2008-06-24 | Microsoft Corporation | Building and using subwebs for focused search |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US7953814B1 (en) | 2005-02-28 | 2011-05-31 | Mcafee, Inc. | Stopping and remediating outbound messaging abuse |
US8255532B2 (en) | 2004-09-13 | 2012-08-28 | Cisco Technology, Inc. | Metric-based monitoring and control of a limited resource |
US7540025B2 (en) | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
US8719924B1 (en) * | 2005-03-04 | 2014-05-06 | AVG Technologies N.V. | Method and apparatus for detecting harmful software |
US20060253582A1 (en) | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Indicating website reputations within search results |
US7836133B2 (en) | 2005-05-05 | 2010-11-16 | Ironport Systems, Inc. | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources |
US7609625B2 (en) | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
US7730040B2 (en) | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
US7707284B2 (en) | 2005-08-03 | 2010-04-27 | Novell, Inc. | System and method of searching for classifying user activity performed on a computer system |
KR20070049514A (ko) | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | 악성 코드 감시 시스템 및 이를 이용한 감시 방법 |
US8650080B2 (en) | 2006-04-10 | 2014-02-11 | International Business Machines Corporation | User-browser interaction-based fraud detection system |
WO2007118657A1 (en) | 2006-04-13 | 2007-10-25 | Art Of Defence Gmbh | Method for providing web application security |
US7984500B1 (en) | 2006-10-05 | 2011-07-19 | Amazon Technologies, Inc. | Detecting fraudulent activity by analysis of information requests |
US7865953B1 (en) | 2007-05-31 | 2011-01-04 | Trend Micro Inc. | Methods and arrangement for active malicious web pages discovery |
US8117657B1 (en) * | 2007-06-20 | 2012-02-14 | Extreme Networks, Inc. | Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming |
US8238669B2 (en) | 2007-08-22 | 2012-08-07 | Google Inc. | Detection and classification of matches between time-based media |
US7958555B1 (en) | 2007-09-28 | 2011-06-07 | Trend Micro Incorporated | Protecting computer users from online frauds |
US7620992B2 (en) * | 2007-10-02 | 2009-11-17 | Kaspersky Lab Zao | System and method for detecting multi-component malware |
US9779403B2 (en) | 2007-12-07 | 2017-10-03 | Jpmorgan Chase Bank, N.A. | Mobile fraud prevention system and method |
US20110222787A1 (en) | 2008-02-28 | 2011-09-15 | Stefan Thiemert | Frame sequence comparison in multimedia streams |
US8082187B2 (en) | 2008-05-07 | 2011-12-20 | AcademixDirect, Inc. | Method of generating a referral website URL using website listings in a cookie |
US8856937B1 (en) | 2008-06-27 | 2014-10-07 | Symantec Corporation | Methods and systems for identifying fraudulent websites |
US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
US8086480B2 (en) | 2008-09-25 | 2011-12-27 | Ebay Inc. | Methods and systems for activity-based recommendations |
US9177144B2 (en) | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8285830B1 (en) | 2009-01-06 | 2012-10-09 | Citizenhawk, Inc. | System and method for combating cybersquatting |
US8448245B2 (en) | 2009-01-17 | 2013-05-21 | Stopthehacker.com, Jaal LLC | Automated identification of phishing, phony and malicious web sites |
US8695091B2 (en) | 2009-02-11 | 2014-04-08 | Sophos Limited | Systems and methods for enforcing policies for proxy website detection using advertising account ID |
US8429751B2 (en) | 2009-03-13 | 2013-04-23 | Trustwave Holdings, Inc. | Method and apparatus for phishing and leeching vulnerability detection |
US8229219B1 (en) | 2009-08-06 | 2012-07-24 | Google Inc. | Full-length video fingerprinting |
US8600993B1 (en) | 2009-08-26 | 2013-12-03 | Google Inc. | Determining resource attributes from site address attributes |
US8396857B2 (en) | 2009-08-31 | 2013-03-12 | Accenture Global Services Limited | System to modify websites for organic search optimization |
EP2323046A1 (en) | 2009-10-16 | 2011-05-18 | Telefónica, S.A. | Method for detecting audio and video copy in multimedia streams |
US8625033B1 (en) | 2010-02-01 | 2014-01-07 | Google Inc. | Large-scale matching of audio and video |
US9501644B2 (en) | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US8612463B2 (en) | 2010-06-03 | 2013-12-17 | Palo Alto Research Center Incorporated | Identifying activities using a hybrid user-activity model |
US8260914B1 (en) | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
US8924488B2 (en) | 2010-07-27 | 2014-12-30 | At&T Intellectual Property I, L.P. | Employing report ratios for intelligent mobile messaging classification and anti-spam defense |
EP2609538B1 (en) | 2010-08-25 | 2016-10-19 | Lookout Inc. | System and method for server-coupled malware prevention |
AU2011293160B2 (en) | 2010-08-26 | 2015-04-09 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
US8837769B2 (en) | 2010-10-06 | 2014-09-16 | Futurewei Technologies, Inc. | Video signature based on image hashing and shot detection |
US9626677B2 (en) | 2010-11-29 | 2017-04-18 | Biocatch Ltd. | Identification of computerized bots, and identification of automated cyber-attack modules |
US8521667B2 (en) | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
CN102082792A (zh) | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
US8972412B1 (en) | 2011-01-31 | 2015-03-03 | Go Daddy Operating Company, LLC | Predicting improvement in website search engine rankings based upon website linking relationships |
US20130247192A1 (en) * | 2011-03-01 | 2013-09-19 | Sven Krasser | System and method for botnet detection by comprehensive email behavioral analysis |
US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
US8402543B1 (en) | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
RU107616U1 (ru) | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
US9363278B2 (en) | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
US8151341B1 (en) | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
EP2729895B1 (en) | 2011-07-08 | 2016-07-06 | The UAB Research Foundation | Syntactical fingerprinting |
US20140173287A1 (en) | 2011-07-11 | 2014-06-19 | Takeshi Mizunuma | Identifier management method and system |
GB2493514B (en) | 2011-08-02 | 2015-04-08 | Qatar Foundation | Copy detection |
US8677472B1 (en) | 2011-09-27 | 2014-03-18 | Emc Corporation | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server |
US8645355B2 (en) | 2011-10-21 | 2014-02-04 | Google Inc. | Mapping Uniform Resource Locators of different indexes |
US9519781B2 (en) | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
US8660296B1 (en) | 2012-01-10 | 2014-02-25 | Google Inc. | Systems and methods for facilitating video fingerprinting using local descriptors |
US9111090B2 (en) | 2012-04-02 | 2015-08-18 | Trusteer, Ltd. | Detection of phishing attempts |
RU2523114C2 (ru) | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
US10304036B2 (en) | 2012-05-07 | 2019-05-28 | Nasdaq, Inc. | Social media profiling for one or more authors using one or more social media platforms |
RU2488880C1 (ru) | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
EP2877956B1 (en) | 2012-07-24 | 2019-07-17 | Webroot Inc. | System and method to provide automatic classification of phishing sites |
RU2495486C1 (ru) | 2012-08-10 | 2013-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа и выявления вредоносных промежуточных узлов в сети |
CN103685174B (zh) | 2012-09-07 | 2016-12-21 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9215239B1 (en) * | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
US10965775B2 (en) | 2012-11-20 | 2021-03-30 | Airbnb, Inc. | Discovering signature of electronic social networks |
RU2530210C2 (ru) | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
RU2522019C1 (ru) | 2012-12-25 | 2014-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной |
RU129279U1 (ru) | 2013-01-09 | 2013-06-20 | ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" | Устройство обнаружения и защиты от аномальной активности на сети передачи данных |
US20160127402A1 (en) | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
US10425429B2 (en) | 2013-04-10 | 2019-09-24 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
GB201306628D0 (en) | 2013-04-11 | 2013-05-29 | F Secure Oyj | Detecting and marking client devices |
US20160055490A1 (en) | 2013-04-11 | 2016-02-25 | Brandshield Ltd. | Device, system, and method of protecting brand names and domain names |
EP2901665A4 (en) | 2013-05-13 | 2015-10-21 | Yandex Europe Ag | METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME |
US9357469B2 (en) | 2013-05-29 | 2016-05-31 | Rivada Networks, Llc | Methods and system for dynamic spectrum arbitrage with mobility management |
US9443075B2 (en) | 2013-06-27 | 2016-09-13 | The Mitre Corporation | Interception and policy application for malicious communications |
CN103368958A (zh) | 2013-07-05 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 一种网页检测方法、装置和系统 |
RU2538292C1 (ru) | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
KR102120823B1 (ko) | 2013-08-14 | 2020-06-09 | 삼성전자주식회사 | 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템 |
CN103491205B (zh) | 2013-09-30 | 2016-08-17 | 北京奇虎科技有限公司 | 一种基于视频搜索的关联资源地址的推送方法和装置 |
US9330258B1 (en) | 2013-09-30 | 2016-05-03 | Symantec Corporation | Systems and methods for identifying uniform resource locators that link to potentially malicious resources |
CN105917359B (zh) | 2013-10-21 | 2021-01-26 | 微软技术许可有限责任公司 | 移动视频搜索 |
GB2520987B (en) | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
IN2013CH05744A (ru) | 2013-12-12 | 2015-06-19 | Infosys Ltd | |
US20150363791A1 (en) | 2014-01-10 | 2015-12-17 | Hybrid Application Security Ltd. | Business action based fraud detection system and method |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9060018B1 (en) | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
KR101514984B1 (ko) | 2014-03-03 | 2015-04-24 | (주)엠씨알시스템 | 홈페이지 악성코드 유포 탐지 시스템 및 방법 |
US9338181B1 (en) | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
US10176428B2 (en) * | 2014-03-13 | 2019-01-08 | Qualcomm Incorporated | Behavioral analysis for securing peripheral devices |
RU2543564C1 (ru) | 2014-03-20 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам |
US9853997B2 (en) | 2014-04-14 | 2017-12-26 | Drexel University | Multi-channel change-point malware detection |
US9332022B1 (en) | 2014-07-07 | 2016-05-03 | Symantec Corporation | Systems and methods for detecting suspicious internet addresses |
US9357397B2 (en) * | 2014-07-23 | 2016-05-31 | Qualcomm Incorporated | Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device |
US20160036837A1 (en) | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
US9800592B2 (en) | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
US9942250B2 (en) | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
KR101587161B1 (ko) | 2014-09-03 | 2016-01-20 | 한국전자통신연구원 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
US9026840B1 (en) | 2014-09-09 | 2015-05-05 | Belkin International, Inc. | Coordinated and device-distributed detection of abnormal network device operation |
RU2589310C2 (ru) | 2014-09-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ расчета интервала повторного определения категорий сетевого ресурса |
WO2016064919A1 (en) | 2014-10-21 | 2016-04-28 | Abramowitz Marc Lauren | Dynamic security rating for cyber insurance products |
US10338191B2 (en) | 2014-10-30 | 2019-07-02 | Bastille Networks, Inc. | Sensor mesh and signal transmission architectures for electromagnetic signature analysis |
US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
US9367872B1 (en) | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US10230526B2 (en) | 2014-12-31 | 2019-03-12 | William Manning | Out-of-band validation of domain name system records |
CN104504307B (zh) | 2015-01-08 | 2017-09-29 | 北京大学 | 基于拷贝单元的音视频拷贝检测方法和装置 |
US9712549B2 (en) | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
KR20160095856A (ko) | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
US11328307B2 (en) | 2015-02-24 | 2022-05-10 | OpSec Online, Ltd. | Brand abuse monitoring system with infringement detection engine and graphical user interface |
EP3065076A1 (en) | 2015-03-04 | 2016-09-07 | Secure-Nok AS | System and method for responding to a cyber-attack-related incident against an industrial control system |
US9253208B1 (en) | 2015-03-05 | 2016-02-02 | AO Kaspersky Lab | System and method for automated phishing detection rule evolution |
US9769201B2 (en) | 2015-03-06 | 2017-09-19 | Radware, Ltd. | System and method thereof for multi-tiered mitigation of cyber-attacks |
US9712553B2 (en) | 2015-03-27 | 2017-07-18 | The Boeing Company | System and method for developing a cyber-attack scenario |
US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US9917852B1 (en) | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
RU164629U1 (ru) | 2015-06-30 | 2016-09-10 | Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" | Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5 |
EP3125147B1 (en) | 2015-07-27 | 2020-06-03 | Swisscom AG | System and method for identifying a phishing website |
US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
CN106506435B (zh) | 2015-09-08 | 2019-08-06 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
WO2017049045A1 (en) | 2015-09-16 | 2017-03-23 | RiskIQ, Inc. | Using hash signatures of dom objects to identify website similarity |
KR101703446B1 (ko) | 2015-10-15 | 2017-02-06 | 숭실대학교산학협력단 | DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버 |
CN105429956B (zh) | 2015-11-02 | 2018-09-25 | 重庆大学 | 基于p2p动态云的恶意软件检测系统及方法 |
US10200382B2 (en) | 2015-11-05 | 2019-02-05 | Radware, Ltd. | System and method for detecting abnormal traffic behavior using infinite decaying clusters |
US9894036B2 (en) | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
RU2622870C2 (ru) | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Система и способ оценки опасности веб-сайтов |
CN106709777A (zh) | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种订单聚类方法及装置,以及反恶意信息的方法及装置 |
WO2017087840A1 (en) | 2015-11-20 | 2017-05-26 | Webroot Inc. | Binocular fusion analytics security |
RU2613535C1 (ru) | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
WO2017103974A1 (ja) | 2015-12-14 | 2017-06-22 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
US9723344B1 (en) | 2015-12-29 | 2017-08-01 | Google Inc. | Early detection of policy violating media |
US11069370B2 (en) | 2016-01-11 | 2021-07-20 | University Of Tennessee Research Foundation | Tampering detection and location identification of digital audio recordings |
RU2628192C2 (ru) | 2016-01-27 | 2017-08-15 | Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" | Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов |
US9849364B2 (en) * | 2016-02-02 | 2017-12-26 | Bao Tran | Smart device |
US9900338B2 (en) | 2016-02-09 | 2018-02-20 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data |
EP3424177B1 (en) | 2016-02-29 | 2021-10-13 | SecureKey Technologies Inc. | Systems and methods for distributed identity verification |
US10063572B2 (en) | 2016-03-28 | 2018-08-28 | Accenture Global Solutions Limited | Antivirus signature distribution with distributed ledger |
US10313382B2 (en) | 2016-03-29 | 2019-06-04 | The Mitre Corporation | System and method for visualizing and analyzing cyber-attacks using a graph model |
US10178107B2 (en) | 2016-04-06 | 2019-01-08 | Cisco Technology, Inc. | Detection of malicious domains using recurring patterns in domain names |
US10212145B2 (en) | 2016-04-06 | 2019-02-19 | Avaya Inc. | Methods and systems for creating and exchanging a device specific blockchain for device authentication |
CN105897714B (zh) | 2016-04-11 | 2018-11-09 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
RU2625050C1 (ru) | 2016-04-25 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Система и способ признания транзакций доверенными |
US11223598B2 (en) | 2016-05-03 | 2022-01-11 | Nokia Of America Corporation | Internet security |
RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
RU2636702C1 (ru) | 2016-07-07 | 2017-11-27 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций |
US20180012144A1 (en) | 2016-07-11 | 2018-01-11 | Qualcomm Innovation Center, Inc. | Incremental and speculative analysis of javascripts based on a multi-instance model for web security |
CN106131016B (zh) | 2016-07-13 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、系统及装置 |
US10212133B2 (en) | 2016-07-29 | 2019-02-19 | ShieldX Networks, Inc. | Accelerated pattern matching using pattern functions |
US20180309787A1 (en) | 2016-07-31 | 2018-10-25 | Cymmetria, Inc. | Deploying deception campaigns using communication breadcrumbs |
US10498761B2 (en) | 2016-08-23 | 2019-12-03 | Duo Security, Inc. | Method for identifying phishing websites and hindering associated activity |
US10313352B2 (en) | 2016-10-26 | 2019-06-04 | International Business Machines Corporation | Phishing detection with machine learning |
WO2018095192A1 (zh) | 2016-11-23 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 网站攻击的检测和防护方法及系统 |
CN106713312A (zh) | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
WO2019010182A1 (en) | 2017-07-06 | 2019-01-10 | Pixm | METHOD AND SYSTEM FOR DETECTING HOOKING |
CN107392456A (zh) | 2017-07-14 | 2017-11-24 | 武汉理工大学 | 一种融合互联网信息的多角度企业信用评估建模方法 |
US11265347B2 (en) * | 2017-09-18 | 2022-03-01 | Fortinet, Inc. | Automated testing of network security policies against a desired set of security controls |
US10567156B2 (en) * | 2017-11-30 | 2020-02-18 | Bank Of America Corporation | Blockchain-based unexpected data detection |
RU2670906C9 (ru) | 2017-12-28 | 2018-12-12 | Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" | Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
-
2018
- 2018-01-17 RU RU2018101764A patent/RU2677361C1/ru active
-
2019
- 2019-01-03 SG SG10201900062SA patent/SG10201900062SA/en unknown
- 2019-01-09 US US16/243,530 patent/US11451580B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090138342A1 (en) * | 2001-11-14 | 2009-05-28 | Retaildna, Llc | Method and system for providing an employee award using artificial intelligence |
RU2446459C1 (ru) * | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
WO2012015171A2 (ko) * | 2010-07-26 | 2012-02-02 | Kim Ki Yong | 해커 바이러스 보안통합관리기 |
RU2607231C2 (ru) * | 2011-11-02 | 2017-01-10 | БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга |
RU2487406C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
US20130340080A1 (en) * | 2012-06-19 | 2013-12-19 | Kaspersky Lab Zao | System and Method for Preventing Spread of Malware in Peer-to-Peer Network |
RU2536664C2 (ru) * | 2012-12-25 | 2014-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматической модификации антивирусной базы данных |
US20160149943A1 (en) * | 2014-11-21 | 2016-05-26 | Northrop Grumman Systems Corporation | System and method for network data characterization |
Also Published As
Publication number | Publication date |
---|---|
SG10201900062SA (en) | 2019-08-27 |
US20190222586A1 (en) | 2019-07-18 |
US11451580B2 (en) | 2022-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2677361C1 (ru) | Способ и система децентрализованной идентификации вредоносных программ | |
US10511616B2 (en) | Method and system for detecting and remediating polymorphic attacks across an enterprise | |
JP6553524B2 (ja) | 専用のコンピュータセキュリティサービスを利用するシステムおよび方法 | |
RU2622870C2 (ru) | Система и способ оценки опасности веб-сайтов | |
KR101558715B1 (ko) | 서버 결합된 멀웨어 방지를 위한 시스템 및 방법 | |
RU2613535C1 (ru) | Способ обнаружения вредоносных программ и элементов | |
US11381578B1 (en) | Network-based binary file extraction and analysis for malware detection | |
JP6408395B2 (ja) | ブラックリストの管理方法 | |
US20040210769A1 (en) | Apparatus, methods and articles of manufacture for computer virus testing | |
US20180234234A1 (en) | System for describing and tracking the creation and evolution of digital files | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
US11374946B2 (en) | Inline malware detection | |
KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
EP3987728B1 (en) | Dynamically controlling access to linked content in electronic communications | |
JP5752642B2 (ja) | 監視装置および監視方法 | |
US20210006592A1 (en) | Phishing Detection based on Interaction with End User | |
NL2031466B1 (en) | System and method for active detection of malicious network resources | |
RU2601162C1 (ru) | Способ использования выделенного сервиса компьютерной безопасности | |
US10462180B1 (en) | System and method for mitigating phishing attacks against a secured computing device | |
RU2750628C2 (ru) | Система и способ определения уровня доверия файла | |
JP6955527B2 (ja) | 情報処理装置、情報処理方法、及び情報処理プログラム | |
EP3999985A1 (en) | Inline malware detection | |
RU107615U1 (ru) | Система уменьшения количества ложных срабатываний антивирусной системы | |
RU108870U1 (ru) | Система увеличения количества обнаружений вредоносных объектов | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines |