RU2677361C1 - Способ и система децентрализованной идентификации вредоносных программ - Google Patents

Способ и система децентрализованной идентификации вредоносных программ Download PDF

Info

Publication number
RU2677361C1
RU2677361C1 RU2018101764A RU2018101764A RU2677361C1 RU 2677361 C1 RU2677361 C1 RU 2677361C1 RU 2018101764 A RU2018101764 A RU 2018101764A RU 2018101764 A RU2018101764 A RU 2018101764A RU 2677361 C1 RU2677361 C1 RU 2677361C1
Authority
RU
Russia
Prior art keywords
malicious program
malware
potentially malicious
peer
scan
Prior art date
Application number
RU2018101764A
Other languages
English (en)
Inventor
Илья Константинович Сачков
Александр Вячеславович Лазаренко
Original Assignee
Общество с ограниченной ответственностью "Траст"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Траст" filed Critical Общество с ограниченной ответственностью "Траст"
Priority to RU2018101764A priority Critical patent/RU2677361C1/ru
Priority to SG10201900062SA priority patent/SG10201900062SA/en
Priority to US16/243,530 priority patent/US11451580B2/en
Application granted granted Critical
Publication of RU2677361C1 publication Critical patent/RU2677361C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

Изобретение относится к способам децентрализованной проверки вредоносных программ. Технический результат заключается в повышении точности и надежности идентификации вредоносных программ. Такой результат достигается за счет децентрализованной проверки вредоносных программ, выполняемой на компьютерном устройстве, имеющем доступ к распределенному реестру вредоносных программ и пулу транзакций, реализованным на основе пиринговой сети, включающей: получение входных данных; проверку вредоносной программы на вредоносность; внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки вредоносной программы; получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной вредоносной программы; определение параметра вредоносности на основании полученных результатов распределенной проверки по меньшей мере в зависимости от репутации компьютерных устройств пиринговой сети; идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности вредоносной программы превышает предварительно заданное пороговое значение; сохранение идентифицированной вредоносной программы и сопутствующих данных в распределенный реестр вредоносных программ. 2 н. и 37 з.п. ф-лы, 2 ил.

Description

Описание уровня техники
Термин блокчейн сегодня широко используется для описания технологии децентрализованного подтверждения транзакций, в которой формируется последовательная цепочка блоков. Под транзакцией в данном случае понимается минимальная логически осмысленная операция по работе с данными, которая имеет смысл и может быть совершена только полностью. Блок транзакций - специальная структура для записи группы транзакций в системе Биткойн и аналогичных ей. Транзакция считается завершенной и подтвержденной, когда проверены ее формат и зашифрованные цифровые подписи, и когда сама транзакция объединена в группу с несколькими другими и записана в специальную структуру - блок. Блоки могут создаваться участниками пиринговой сети (майнерами), в рамках которой реализуется технология блокчейн. Узлы блокчейн-сети используют протокол консенсуса, обеспечивающий согласование содержимого реестра и гарантию того, что распределенные реестры узлов одноранговой сети являются точными копиями.
Содержимое блоков может быть проверено, так как каждый блок содержит информацию о предыдущем блоке. Все блоки выстроены в одну цепочку, которая содержит информацию обо всех совершенных когда-либо операциях в базе данных [https://ru.wikipedia.org/wiki/Блокчейн]. Изменение блока приводит к недействительности всех последующих блоков. Блоки с неподтвержденными или с незавершенными транзакциями также могут быть признаны недействительными. Цепочка, содержащая определенное число недействительных блоков также может быть признана недействительной цепочкой. Каждый блок содержит заголовок и, собственно, транзакции. Заголовок включает хеши: хеш заголовка, хеш предыдущего блока, хеши транзакций и другую служебную информацию. Алгоритмы хеширования (например, SHA-256) гарантируют, что любое небольшое изменение входных данных транзакции приведет к иному значению хеша в результате. Децентрализованность блокчейн-сети лишает отдельных участников и групп участников контроля в системе.
Известно применение блокчейна для хранения и валидации доменных имен (см., например, US 2016191243). Распределенная ответственность, децентрализация, лежащие в основе технологии блокчейн, обеспечивают защиту от ошибок в базе данных доменных имен. В частности, описанное техническое решение не допускает «загрязнения» DNS-кеша, в котором хранится потенциально ложная информация о неавторизованных резолверах. При этом устраняется опасность перенаправления запросов легальных приложений к сетевым хостам, проявляющим вредоносную активность. Обычно ответы DNS не имеют криптографической подписи. В описываемом техническом решении предложено расширение DNS, обеспечивающее поддержку криптографических подписей (ключей) для авторизации в доверенной одноранговой сети. Валидация подписей каждой из организаций в DNS происходит через «цепь доверия», включающую проверку родительских и дочерних ключей.
В патентной заявке US 2017295157 технология блокчейн используется для идентификации устройств пользователя. При подключении к сети запрашивается информация об устройстве пользователя, которая может быть инкапсулирована в блок транзакций для последующей идентификации пользователя. Информация об устройстве может включать настройки устройства, МАС-адрес, установленные приложения и сервисы, подключаемые устройства и другую характеризующую информацию.
Блокчейн может быть использован для обеспечения безопасности Интернет-ресурсов (см. US 2017324738). В данном случае блокчейн может включать в качестве участников пиринговой сети регистраторы доменов, сервисы доменных имен, автономные системы и др. Установленные правила Интернет-безопасности могут передаваться через одноранговую сеть, которая не может контролироваться в отдельности одним участником сети.
Из патентной заявки US 2017279818 известно техническое решение, включающее способ использования распределенного реестра (в частности, системы блокчейн), реализуемый на компьютере, реализующий проверку и распространение сигнатур вирусов. Указанные сигнатуры могут использоваться антивирусными ядрами на вычислительных устройствах для обнаружения и удаления вредоносных программ. Вирусные специалисты, имеющие доступ к распределенному реестру (майнеры), могут тестировать новые сигнатуры. Распределенный реестр и антивирусные приложения могут быть настроены на блокировку новых сигнатур до тех пор, пока они не будут проверены некоторым заданным минимальным числом майнеров.
Способ, описанный в заявке US 2017279818, включает получение доступа через компьютерную систему к данным, относящимся, к вирусным сигнатурам. Каждой сигнатуре соответствует рейтинг сигнатуры, определяемый на основе количества майнеров, добавивших и проверивших сигнатуру. Компьютерная система может определить достоверность вирусной сигнатуры на основе рейтинга сигнатуры. В случае, если сигнатура действительно является вирусной, она может быть использована компьютерной системой, например, для вирусного сканирования.
Указанный распределенный реестр, согласно описанию патентной заявки US 2017279818, может быть распределенной базой данных, имеющей возможность реализации технологии блокчейн. Копия электронного реестра может храниться и обслуживаться компьютерной системой. Другие копии могут храниться и обслуживаться другими компьютерными системами, являющимися узлами компьютерной сети. Компьютерная система может получать через сеть транзакции, рассылаемые другими компьютерными системами, транзакции, показывающие добавление новых вирусных сигнатур в компьютерную сеть или оповещающие о результатах проверки сигнатур другими компьютерными системами в сети.
Известны способы проверки сигнатур вредоносных программ, в которых производится централизованное подтверждение достоверности сигнатуры. Например, в патенте US 7730040 детектирование вредоносных программ происходит на основе обратной связи пользователя. Поскольку в такой системе используется централизованная база данных вредоносных программ, остается возможность внесения в нее изменений.
Одним из недостатков известных способов и компьютерных устройств для проверки вредоносных программ является чрезмерное количество компьютерных устройств в пиринговых сетях, зараженных каким-либо вирусом или зловредом в результате скачивания программного обеспечения из таких пиринговых сетей.
Таким образом, очевидна потребность в дальнейшем совершенствовании способов и компьютерных устройств для проверки вредоносных программ, в частности для снижения доли компьютерных устройств в пиринговых сетях, зараженных каким-либо вирусом или зловредом.
Следовательно, техническая проблема состоит в разработке способа и компьютерного устройства для проверки вредоносных программ, преодолевающих по меньшей мере обозначенный выше недостаток известных способов и компьютерных устройств для проверки вредоносных программ.
Раскрытие изобретения
Задача настоящего изобретения заключается в создании способа и компьютерного устройства для проверки вредоносных программ, решающих по меньшей мере обозначенную выше техническую проблему.
Первым объектом настоящего технического решения является способ децентрализованной проверки вредоносных программ, выполняемый на компьютерном устройстве, имеющем доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, при этом указанный способ включает:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы, в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе в распределенный реестр вредоносных программ.
Предложенный способ децентрализованной проверки вредоносных программ обеспечивает технический результат, заключающийся в повышении точности и надежности идентификации вредоносных программ за счет использования результатов распределенной проверки потенциально вредоносной программы на вредоносности от множества компьютерных устройств пиринговой сети в соответствии с усовершенствованным критерием идентификации, основанным на использовании репутации тех компьютерных устройств пиринговой сети, которые подтвердили результат проверки потенциально вредоносной программы на вредоносность.
Возможен вариант осуществления способа, в котором получение входных данных осуществляют от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
Возможен вариант осуществления способа, в котором входные данные включают по меньшей мере одно указание на файл потенциально вредоносной программы.
Возможен вариант осуществления способа, в котором входные данные дополнительно включают в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы.
Возможен вариант осуществления способа, в котором входные данные получают по меньшей мере частично в хешированном виде.
Возможен вариант осуществления способа, в котором выполняют хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
Возможен вариант осуществления способа, в котором после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
Возможен вариант осуществления способа, в котором проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
Возможен вариант осуществления способа, в котором проверку потенциально вредоносной программы выполняют с применением алгоритма машинного обучения.
Возможен вариант осуществления способа, в котором дополнительно производится обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
Возможен вариант осуществления способа, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом.
Возможен вариант осуществления способа, в котором дополнительно производится проверка потенциально вредоносной программы ручным способом.
Возможен вариант осуществления способа, в котором проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, включает по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверка достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
Возможен вариант осуществления способа, в котором определение данных об атрибуции потенциально вредоносной программы осуществляют на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
Возможен вариант осуществления способа, в котором определение данных об атрибуции потенциально вредоносной программы производится с применением алгоритма машинного обучения.
Возможен вариант осуществления способа, в котором на этапе внесения в пул транзакций параметров и результатов по меньшей мере одного результата проверки потенциально вредоносной программы, в пул транзакций также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
Возможен вариант осуществления способа, в котором определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
Возможен вариант осуществления способа, в котором после внесения результатов проверки потенциально вредоносной программы в распределенный реестр производится начисление токенов компьютерным устройствам распределенной пиринговой сети, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети.
Возможен вариант осуществления способа, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
Возможен вариант осуществления способа, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в обучающее множество алгоритма машинного обучения.
Другим объектом настоящего технического решения является компьютерное устройство для децентрализованной проверки вредоносных программ, имеющее доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, и включающее в себя интерфейс связи и по меньшей мере один компьютерный процессор, функционально соединенный с интерфейсом связи и выполненный с возможностью осуществлять:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы, в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.
Предложенное компьютерное устройство для децентрализованной проверки вредоносных программ также обеспечивает сформулированный выше технический результат, заключающийся в повышении точности и надежности идентификации вредоносных программ.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных включающих по меньшей мере одно указание на файл потенциально вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, дополнительно включающих в себя по меньшей мере одно из следующего:
сигнатуру вредоносной программы,
данные об атрибуции вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных по меньшей мере частично в хешированном виде.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
Возможен вариант осуществления устройства, в котором доступен по меньшей мере один дополнительный источник, причем процессор дополнительно выполнен с возможностью осуществлять извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с применением алгоритма машинного обучения.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы автоматизированным способом.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью получения результатов проверки потенциально вредоносной программы ручным способом.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, и осуществлять по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверку достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы с применением модели на основе нейронных сетей.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять внесение в пул транзакций дополнительных данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
Возможен вариант осуществления устройства, в котором процессор дополнительно выполнен с возможностью осуществлять, сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в обучающее множество алгоритма машинного обучения.
В контексте настоящего описания, если конкретно не указано иное, слова «первый», «второй», «третий» и т.д. используются в виде прилагательных исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными.
В контексте настоящего описания, если явно не указано иное, «вредоносная программа» представляет собой любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам или к информации с целью незаконного использования ресурсов или причинения вреда (нанесения ущерба) владельцу информации или сети путем копирования, искажения, удаления или подмены информации.
В контексте настоящего описания, если явно не указано иное, «потенциально вредоносная программа» представляет собой любое программное обеспечение, которое по тем или иным причинам является подозрительным и было отобрано для проведения проверки с целью подтверждения ее вредоносности. В рамках настоящей технологии любое программное обеспечение, в отношении которого не проведена проверка может считаться потенциально вредоносной программой.
В контексте настоящего описания, если явно не указано иное, под «компьютерным устройством» понимается любое аппаратное и/или программное обеспечение, подходящее для решения соответствующей задачи. Таким образом, некоторыми примерами компьютерных устройств, не имеющими ограничительного характера, могут служить компьютерные процессоры, компьютерные системы (один или несколько серверов, настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны, планшеты и т.п.
В контексте настоящего описания, если явно не указано иное, под «узлом пиринговой сети» понимается программное обеспечение, реализованное на компьютерном устройстве, связанное с другими узлами пиринговой сети и способное выполнять операции, описанные ниже.
В контексте настоящего описания, если конкретно не указано иное, под «пулом транзакций» понимается распределенная база данных, содержащая транзакции, сформированные в одном из узлов пиринговой сети, на основе которой реализован распределенный реестр, указанные транзакции, не подтвержденные другими узлами пиринговой сети.
В контексте настоящего описания, если четко не указано иное, «указание» на файл может представлять собой сам информационный элемент или указатель, отсылку, ссылку или другой косвенный способ, позволяющий получателю указания найти сеть, память, базу данных или другой машиночитаемый носитель, из которого может быть извлечен информационный элемент. Например, указание на файл вредоносной программы может включать в себя универсальный указатель ресурса (например, URL www.xyz.com/worm.exe), идентифицирующим вредоносный файл по отношению к конкретной сети (в частности, Интернет), или какими-то другими средствами передавать получателю указание на сетевую папку, адрес памяти, таблицу в базе данных или другое место, в котором можно получить доступ к вредоносному файлу, отдельным его фрагментам или сигнатуре. Как будет понятно специалистам в данной области техники, степень точности, необходимая для такого указания, зависит от степени первичного понимания того, как должна быть интерпретирована информация, которой обмениваются получатель и отправитель указателя. Например, если до передачи данных между отправителем и получателем понятно, что указатель информационного элемента принимает вид универсального указателя ресурса URL, передача указателя, ссылки на данный видеоконтент - это все, что необходимо для эффективной передачи видеоконтента получателю, несмотря на то, что сам по себе информационный элемент (например, вредоносный файл, его фрагмент или сигнатура) не передавался между отправителем и получателем указания.
В контексте настоящего описания, если явно не указано иное, под «атрибуцией» вредоносной программы понимают определение информации (атрибутов), относящейся к лицам, системам и/или организациям, разработавшим или использующим указанную вредоносную программу или ее часть.
В контексте настоящего описания, если явно не указано иное, под «сигнатурой» набор правил, позволяющий выявлять вредоносную активность. Например, под сигнатурой вредоносной программы понимаются любые признаки, уникально характеризующие указанную вредоносную программу. К сигнатурам также относятся, например, правила выявления вредоносного трафика, поведенческие правила для «песочниц», YARA-правила.
В контексте настоящего описания, если явно не указано иное, под «достоверной сигнатурой» вредоносной программы понимается сигнатура, в отношении которой определено и подтверждено участниками пиринговой сети, что указанная сигнатура уникально характеризует вредоносную программу.
В контексте настоящего описания, если явно не указано иное, под «транзакцией» понимается минимальная логически осмысленная операция по работе с данными, которая имеет смысл и может быть совершена только полностью.
В контексте настоящего описания, если конкретно не указано иное, выражение «глубокая нейронная сеть» подразумевает под собой систему программ и структур данных, созданных для приближенного моделирования процессов в человеческом мозге. Глубокие нейронные сети в общем случае включают в себя серию алгоритмов, которые могут идентифицировать лежащие в основе отношения и связи в наборе данных, используя процесс, который имитирует работу человеческого мозга. Расположения и веса связей в наборе данных в общем случае определяют вывод. Глубокая нейронная сеть, таким образом, в общем случае открыта для всех данных ввода или параметров одновременно, во всей их полноте, и, следовательно, способна моделировать их взаимозависимость. В отличие от алгоритмов машинного обучения, которые используют деревья принятия решений и, следовательно, имеют свои ограничения, глубокие нейронные сети не ограничены и, следовательно, подходят для моделирования взаимозависимостей.
В контексте настоящего описания, если конкретно не указано иное, под «ручной проверкой» понимается неавтоматизированная или частично автоматизированная проверка, требующая участия оператора.
В контексте настоящего описания «компьютерное устройство» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от клиентских устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один физический компьютер или одну физическую компьютерную систему, но ни то, ни другое не является обязательным для настоящего технического решения. В контексте настоящего технического решения использование выражения «компьютерное устройство» не означает, что каждая задача (например, полученные команды или запросы) или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же «компьютерным устройством» (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может быть одним компьютерным устройством или несколькими компьютерными устройствами, оба варианта включены в выражение «по меньшей мере одно компьютерное устройство».
В контексте настоящего описания «сервер» подразумевает под собой компьютерную программу, выполняемую на соответствующем оборудовании и, выполненную с возможностью принимать запросы (например, от компьютерных устройств) по сети, и выполнение этих запросов, или быть причиной отправки этих запросов. Аппаратными средствами может быть один физический компьютер или одна физическая компьютерная система, но ни один из них не требуется в качестве варианта, в соответствии с данной технологией. В данном контексте, использование выражения «сервер» не означает, что каждая задача (например, полученные инструкции) или любая конкретная задача будет получена, выполнена, или, послужит причиной выполнения одним и тем же сервером (т.е. одним и тем же программным и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в получение/отправку, выполнение или может служить причиной для выполнения любой задачи или запроса, или последствий любой задачи или запроса; и все это программное и аппаратное обеспечение может быть одним или несколькими серверами.
В контексте настоящего описания, если конкретно не указано иное, под «токеном» понимается объект блокчейн технологии, осуществляющий криптографически защищенное подтверждение прав его владельца на получение обещанных ему ценностей или возможности выполнения с его помощью заранее определенных функций.
В контексте настоящего описания «машиночитаемый носитель» подразумевает под собой носитель абсолютно любого типа и характера, включая ОЗУ, ПЗУ, диски (компакт диски, DVD-диски, дискеты, жесткие диски и т.д.), USB флеш-накопители, твердотельные накопители, накопители на магнитной ленте и т.д.
В контексте настоящего описания «база данных» подразумевает под собой любой структурированный набор данных, не зависящий от конкретной структуры, программного обеспечения по управлению базой данных, аппаратного обеспечения компьютера, на котором данные хранятся, используются или иным образом оказываются доступны для использования. База данных может находиться на том же оборудовании, выполняющем процесс, которое сохраняет или использует информацию, хранящуюся в базе данных, или же она может находиться на отдельном оборудовании, например, выделенном сервере или множестве серверов.
В контексте настоящего описания, если конкретно не указано иное, под «внешней базой данных» подразумевается база данных, связанная с компьютерным устройством, входящим в пиринговую сеть, посредством компьютерных устройств, не входящих в указанную пиринговую сеть.
В контексте настоящего описания, если конкретно не указано иное, под «весом результата» подразумевается численно выраженная степень достоверности результата, полученного вследствие по меньшей мере одного действия с вредоносной программой или относящимся к ней данными. Например, в неограничивающем примере вес результата определения вредоносности программы может выражать вероятность того, что программа вредоносна, определенную субъектом проверки или вычисленную на основе результатов нескольких субъектов проверки. Вес результата формирования сигнатуры вредоносной программы может подразумевать показатель, характеризующий повышение эффективности выявления вредоносных программ при использовании указанной сигнатуры. Дополнительные и/или альтернативные характеристики, аспекты и преимущества вариантов осуществления настоящего технического решения станут очевидными из последующего описания, прилагаемых чертежей и прилагаемой формулы изобретения.
Краткое описание чертежей
Для лучшего понимания настоящего технического решения, а также других его аспектов и характерных черт сделана ссылка на следующее описание, которое должно использоваться в сочетании с прилагаемыми чертежами, где:
На фиг. 1 приводится упрощенное схематическое представление одной из неограничивающих реализаций системы для осуществления настоящего технического решения.
На фиг. 2 показана блок-схема последовательности операций согласно заявляемому способу децентрализованной идентификации вредоносных программ.
Осуществление
Нижеследующее описание представлено только как описание иллюстративного примера настоящего технического решения. Это описание не предназначено для определения объема или установления границ настоящей технологии.
Некоторые полезные примеры модификаций описываемого способа и системы определения связанных сетевых ресурсов также могут быть охвачены нижеследующим описанием. Целью этого является также исключительно помощь в понимании, а не определение объема и границ настоящей технологии. Эти модификации не представляют собой исчерпывающий список, и специалистам в данной области техники будет понятно, что возможны и другие модификации. Кроме того, это не должно интерпретироваться так, что там, где это еще не было сделано, т.е. там, где не были изложены примеры модификаций, никакие модификации невозможны, и/или что-то, что описано, является единственным вариантом осуществления этого элемента настоящей технологии. Как будет понятно специалисту в данной области техники, это, скорее всего, не так. Кроме того, следует иметь в виду, что способ и система определения связанных сетевых ресурсов представляет собой в некоторых конкретных проявлениях достаточно простые варианты осуществления настоящей технологии, и в подобных случаях представлены здесь с целью облегчения понимания. Как будет понятно специалисту в данной области техники, многие варианты осуществления настоящей технологии будут обладать гораздо большей сложностью.
На фиг. 1 изображено схематичное представление одной из неограничивающих реализаций системы 100 для осуществления способа, описываемого в настоящем техническом решении. В одной из неограничивающих реализаций технического решения система 100 включает множество компьютерных устройств 1021, 1022, …, 102N, с которыми связаны пользовательские устройства первое 1041 и второе 1042 N-ное 104N, причем первое пользовательское устройство 1041 связано с компьютерным устройством 1021, второе пользовательское устройство 1042 с компьютерным устройством 1022, а N-ное пользовательское устройство 104N с N-ным компьютерным устройством 102N Дополнительно система 100 включает базу данных 106, связанную с компьютерным устройством 1021. Очевидно, что система 100, может содержать различное количество пользовательских устройств, баз данных и иных внешних источников, связанных с одним или несколькими из множества компьютерных устройств 1021, 1022, …, 102N. Возможен также вариант осуществления настоящего технического решения, в котором с одним или несколькими компьютерными устройствами из множества компьютерных устройств не связано ни одного пользовательского устройства.
Каждое из множества компьютерных устройств 1021, 1022, …, 102N соединено друг с другом (каждое с каждым) посредством канала связи с образованием пиринговой сети 150. Каждое из множества компьютерных устройств 1021, 1022, …, 102N является узлом пиринговой сети 150 и выполнено с возможностью принимать и передавать сообщения, представленные в виде блоков транзакций в соответствии с технологией блокчейн.
Следует понимать, что количество узлов пиринговой сети 150, а именно число компьютерных устройств множества 1021, 1022, …, 102N никак конкретно не ограничено. В качестве примера, но не ограничения пиринговая сеть 150 может содержать 48, 100, 3000, или иное количество узлов.
Для целей осуществления настоящей технологии каждый узел пиринговой сети 150 может быть реализован в качестве компьютерного устройства 1021, 1022, …, 102N, причем каждый узел включает в себя распределенный реестр 108 вредоносных программ, пул транзакций 109, модуль машинного обучения 110, а также по меньшей мере одну виртуальную машину 1121, 1122, …, 112N для запуска файлов потенциально вредоносных программ в виртуальной среде.
Компьютерные устройства 1021, 1022, …, 102N могут быть реализованы например, в виде компьютерного сервера Dell™ PowerEdge™, на котором используется операционная система Ubuntu Server. В качестве неограничивающего примера реализации компьютерные устройство 1021 обладать следующими характеристиками: 2ТВ памяти, 4 или более ЦПУ для параллельной работы одной или нескольких виртуальных машин, 256Gb или более оперативной памяти, а также по меньшей мере один графический процессор для реализации модуля 110 машинного обучения. Компьютерные устройства 1022, …, 102N могут быть реализованы аналогичным образом. Очевидно, что компьютерные устройства 1021, 1022, …, 102N могут иметь одинаковую или различную конфигурацию. Приведенные характеристики не являются ограничивающими и несут лишь иллюстративный характер для целей пояснения настоящего технического решения.
С учетом технологии блокчейн, посредством которой реализована пиринговая сеть 150, каждый узел включает в себя одинаковый распределенный реестр 108 вредоносных программ, одинаковый пул транзакций 109, и одинаковый модуль машинного обучения 110. Виртуальные машины 1121, 1122, …, 112N для запуска файлов потенциально вредоносных программ в виртуальной среде могут совпадать или отличаться в различных узлах пиринговой сети 150.
Причем все или некоторые из узлов могут включать в себя несколько одинаковых и/или различных образов виртуальных машин. В качестве примера, но не ограничения одна из виртуальных машин может быть реализована со следующим заданным набором атрибутов настройки: операционная система - Windows ХР, архитектура - х86 (32-разрядная), язык - русский (rus) для запуска в ней 32-разрядных потенциально вредоносных программ. Для запуска 64-разрядных потенциально вредоносных программ может быть использована, например, виртуальная машина со следующим заданным набором атрибутов настройки: операционная система - Ubuntu, архитектура - х64 (64-разрядная), язык - английский (eng).
Распределенный реестр 108 может представлять собой базу данных, размещенную на соответствующем физическом оборудовании, которое может представлять собой один или несколько машиночитаемых носителей. Распределенный реестр 108 вредоносных программ одного или нескольких узлов пиринговой сети 150 может быть дополнительно доступен (только для чтения) одному или нескольким внешним устройствам. Например, согласно неограничивающему варианту осуществления системы 100, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 1021 может быть доступен первому пользовательскому устройству 1041 и базе данных 106 вредоносных компьютерных программ, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 1022 может быть доступен второму пользовательскому устройству 1042, распределенный реестр 108 вредоносных программ, размещенный на компьютерном устройстве 102N может быть доступен пользовательскому устройству 104N.
Пул транзакций 109 может представлять собой базу данных, размещенную на соответствующем физическом оборудовании, которое может представлять собой один или несколько машиночитаемых носителей. Возможен вариант осуществления, в котором пул транзакций 109 и распределенный реестр 108 вредоносных программ некоторых узлов могут быть реализованы на одном физическом оборудовании. Стоит отметить, что в общем случае доступ к пулу транзакций 109 имеют только узлы пиринговой сети 150. Информация, вносимая узлом пиринговой сети 150 в пул транзакций 109 становится доступна всем узлам пиринговой сети 150.
В одной из неограничивающих реализаций настоящего технического решения пиринговая сеть 150 выполнена с возможностью передачи блоков транзакций в соответствии с технологией блокчейн, указанных транзакций, отражающих информацию о по меньшей мере одном из следующего: сигнатуры вредоносных/потенциально вредоносных программ, хеш-суммы файлов вредоносных/потенциально вредоносных программ, указания на файлы вредоносных/потенциально вредоносных программ, результаты проверки вредоносных/потенциально вредоносных программ автоматизированным способом и параметры алгоритмов, используемых в указанном способе, результаты проверки вредоносных/потенциально вредоносных программ ручным способом каждого узла пиринговой сети, общий результат проверки, определенный на основе полученных результатов проверки вредоносных/потенциально вредоносных программ компьютерными устройствами, репутацию узлов, выполняющих автоматизированную проверку, репутацию узлов, выполняющих ручную проверку, параметры формирования.
В одной из неограничивающих реализаций настоящего технического решения помимо пиринговой сети 150 дополнительно каждое из множества компьютерных устройств 1021, 1022, …, 102N устройств может быть выполнено с возможностью передачи данных в других сетях передачи данных (не показаны), в частности, в сети Интернет, локальной или иной сети передачи данных.
Первое пользовательское устройство 1041 может быть связано с компьютерным устройством 1021, например посредством сети передачи данных 160, которая может представлять собой сеть Интернет, база данных 106 может быть доступна компьютерному устройству 1021 также по сети передачи данных 160 или по иной сети (не показана). Первое пользовательское устройство 1041 в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой персональный компьютер (настольный компьютер, ноутбук и т.д.)., на котором может быть установлено программное обеспечение, например, осуществляющее выявление подозрительных потенциально вредоносных программ и файлов, и осуществлять их отправку в качестве входных данных компьютерному устройству 1021, являющемуся узлом пиринговой сети 150 по сети передачи данных 160.
Кроме того, первое пользовательское устройство 1041 может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа, ее хеш-сумма и по меньшей мере часть сопутствующих данных, относящихся к вредоносной программе будут внесены в распределенный реестр вредоносных программ 108. Таким образом, первое пользовательское устройство 1041 может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150. В базе данных 106 могут быть предварительно сохранены потенциально вредоносные программы или указания на них. Первое пользовательское устройство 1041 может быть выполнено с возможностью получения входных данных, относящихся к потенциально вредоносной программе из базы данных 106.
Второе пользовательское устройство 1042 может быть связано с компьютерным устройством 1022, например, по локальной сети 170 на базе проводной сети Ethernet или беспроводной сети (wi-fi, Bluetooth, 3g/4g/ LTE и т.д.)
Второе пользовательское устройство 1042 в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой сервер или активное сетевое оборудование, выполненное с возможностью сбора данных о потенциально вредоносных программах от множества устройств, связанных с данным сервером (не пронумерованы). При этом на втором пользовательском устройстве 1042 может быть установлено программное обеспечение, выполняющее проверку трафика с устройств корпоративной сети и поиск вредоносной активности или сбор информации с программного обеспечения, установленного на устройствах, входящих, например, в корпоративную сеть.
Возможен вариант осуществления, в котором второе пользовательское устройство 1042 может включать в себя или иметь доступ к устройству захвата сетевого трафика и получения данных о потенциально вредоносных программах на основе анализа сетевого трафика. Например, без введения ограничений устройство захвата сетевого трафика может представлять собой одно из следующего: сетевые коммутаторы L2-уровня, работающие с использованием технологии зеркалирования сетевого трафика необходимых сегментов сети, такой как, например, SPAN-технология зеркалирования сетевого трафика в оборудовании компании «CISCO», средства обеспечения прозрачности сети, также называемые как платформы доставки безопасности (Security Delivery Platform) или сетевые пакетные брокеры (NPB), и ответвители сетевого трафика (Test Access Point) различных типов, а также прокси-серверы с поддержкой ICAP-протокола, работающие в рамках установленного TCP-соединения, почтовые серверы с поддержкой SMTP-протокола и др.
Второе пользовательское устройство 1042 в некоторых неограничивающих вариантах осуществления настоящего технического решения может осуществлять отправку потенциально вредоносных программ в качестве входных данных компьютерному устройству 1022, являющемуся узлом пиринговой сети 150 по сети передачи данных 170.
Кроме того, второе пользовательское устройство 1042 может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа будет внесена в распределенный реестр вредоносных программ 108. Таким образом, второе пользовательское устройство 1042 может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150.
N-ное пользовательское устройство 104N может быть связано с компьютерным устройством 102N, например, по локальной сети 180 на базе проводной сети Ethernet или беспроводной сети (wi-fi, Bluetooth, 3g/4g/ LTE и т.д.).
N-ное пользовательское устройство 104N в некоторых неограничивающих вариантах осуществления настоящего технического решения может представлять собой сервер для поиска и анализа киберугроз, осуществляющий сбор данных в частности о потенциально вредоносных программах и атрибуции (информации (атрибутов), относящейся к лицам, системам и/или организациям, разработавшим или использующим указанную вредоносную программу или ее часть.), связанной с данными потенциально вредоносными программами. N-ное пользовательское устройство 104N в некоторых неограничивающих вариантах осуществления настоящего технического решения может осуществлять отправку потенциально вредоносных программ в качестве входных данных компьютерному устройству 102N, являющемуся узлом пиринговой сети 150 по сети передачи данных 180.
N-ное пользовательское устройство 104N может иметь доступ к распределенному реестру вредоносных программ 108. После осуществления проверки потенциально вредоносной программы множеством узлов пиринговой сети 150 вредоносность программы может быть подтверждена, после чего программа будет внесена в распределенный реестр вредоносных программ 108. Таким образом, N-ное пользовательское устройство 104N может получать данные о вредоносных программах, подтвержденных множеством узлов пиринговой сети 150.
N-ное пользовательское устройство 104N может представлять собой обычный компьютерный сервер. В примере варианта осуществления настоящего технического решения N-ное пользовательское устройство 104N может представлять собой сервер Dell™ PowerEdge™, на котором используется операционная система Ubuntu Server. Излишне говорить, что N-ное пользовательское устройство 104N может представлять собой любое другое подходящее аппаратное и/или прикладное программное, и/или системное программное обеспечение или их комбинацию. В представленном варианте осуществления настоящего технического решения, не ограничивающем его объем, N-ное пользовательское устройство 104N является одиночным сервером. В других вариантах осуществления настоящего технического решения, не ограничивающих его объем, функциональность N-ного пользовательского устройства 104N может быть разделена между несколькими пользовательскими устройствами, и например, может выполняться с помощью нескольких серверов.
Стоит отметить, что каждое пользовательское устройство 1041, 1042, …, 104N, имеющее доступ к распределенному реестру 108 вредоносных программ может получать данные о любых подтвержденных вредоносных программах, которые были проверены множеством узлов пиринговой сети 150 вне зависимости от источника данной вредоносной программы. Так, например, вредоносная программа, полученная компьютерным устройством 1021 от первого пользовательского устройства 1041 после подтверждения будет доступна второму пользовательскому устройству 1042 и другим пользовательским устройствам включая N-ное пользовательское устройство 104N.
Модуль 110 машинного обучения выполнен с возможностью осуществления алгоритма машинного обучения, способного осуществлять проверку и подтверждение вредоносности потенциально вредоносного файла,. В некоторых вариантах осуществления настоящего технического решения, один или несколько алгоритмов машинного обучения могут представлять собой любой подходящий алгоритм машинного обучения с учителем или полуконтролируемого обучения, такой как, например:
- Искусственная нейронная сеть
- Гауссовский процесс регрессии
- Деревья решений
- И так далее
В общем случае, модуль 110 машинного обучения выполняет один или несколько алгоритмов машинного обучения для анализа потенциально вредоносной программы на основе результатов запуска потенциально вредоносной программы на по меньшей мере одной виртуальной машине 1121, 1122, …, 112N.
Как будет понятно специалистам возможны и иные аналогичные варианты реализации системы 100 в рамках приведенного выше описания системы 100.
Со ссылкой на фиг. 2 будет подробнее рассмотрен заявляемый способ 200 децентрализованной проверки вредоносных программ. Способ 200 может быть выполнен на любом из множества компьютерных устройств 1021 … 102N и, конкретнее, процессором (не показан) указанного любого компьютерного устройства в соответствии с неограничивающим вариантом системы 100, показанной на фиг. 1. Для целей настоящего описания рассмотрим иллюстративный пример, в котором способ 200 выполняется на компьютерном устройстве 1021.
Этап 202 - получение входных данных, относящихся к потенциально вредоносной программе
Способ 200 начинается на этапе 202, где компьютерное устройство 1021 получает входные данные, относящихся к потенциально вредоносной программе. Под потенциально вредоносной программой в контексте настоящей заявки понимается любое программное обеспечение, которое в процессе выполнения осуществляет или может осуществлять вредоносную активность, осуществлять несанкционированный доступ к информации, незаконное использование, копирование, искажение, удаление или подмену информации.
Входные данные могут быть получены от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в пиринговую сеть 150, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя. Следует отметить, что специалисту могут быть очевидны и другие источники информации, связанные с по меньшей мере одним компьютерным устройством 1021.
Входные данные могут включать по меньшей мере одно указание на файл потенциально вредоносной программы. В одном из неограничивающих вариантов реализации настоящего изобретения указание на файл вредоносной программы может включать в себя универсальный указатель ресурса (например, URL www.xyz.com), идентифицирующий вредоносный файл по отношению к конкретной сети (в частности, Интернет), или какими-то другими средствами передавать получателю указание на сетевую папку, адрес памяти, таблицу в базе данных или другое место, в котором можно получить доступ к вредоносному файлу, отдельным его фрагментам или сигнатуре.
Входные данные могут дополнительно включать в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы, метаданные потенциально вредоносного файла, информацию о файлах, связанных с потенциально вредоносным файлом. Сигнатура вредоносной программы представляет собой любые признаки, уникально характеризующие указанную вредоносную программу. Файлами, связанными с потенциально вредоносной программой могут быть, например, файлы, полученные вместе с потенциально вредоносными файлами из того же источника и в то же время. Связанные файлы могут иметь общие признаки, например, часть названия файла, цифровую подпись и др. Метаданные потенциально вредоносного файла могут включать по меньшей мере источник, из которого был получен файл, размер файла, дату последнего изменения файла и другую подобную информацию.
Входные данные могут быть получены по меньшей мере частично в хешированном виде. В ответ на то, что по меньшей мере часть входных данных получена в нехешированном виде может быть выполнено хеширование по меньшей мере части входных данных.
В одном из неограничивающих вариантов реализации настоящего изобретения после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству 1021 пиринговой сети. В данном варианте реализации изобретения проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
Например, из дополнительных источников может быть получена информация о типе файла - троянская программа и источнике файла - антивирус, установленный на конечном устройстве пользователя. В этом случае проверка потенциально вредоносной программы будет осуществляться, например, алгоритмом, оптимизированным для выявления троянских программ. Дополнительно могут учитываться, например, параметры аппаратного и программного обеспечения пользовательского устройства.
Способ 200 далее переходит к выполнению этапа 204.
Этап 204 - проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе
На этапе 204 процессор компьютерного устройства 1021 производит проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе.
Проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, может включать по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
Определение вредоносности может происходить любым из способов, известных из уровня техники. В одном из неограничивающих вариантов реализации вредоносная программа запускается в виртуальной машине 1121. Виртуальная машина 1121 может быть специальным образом адаптирована для выявления вредоносной программы, в частности, на виртуальной машине могут быть установлены пользовательские приложения и запущены службы. Параметры виртуальной машины 1121, используемой для проверки вредоносной программы могут определяться на основе по меньшей мере одного из: входные данные, относящиеся к потенциально вредоносной программе; параметры модели анализа вредоносных программ. Указанные параметры виртуальной машины 1121 могут быть сохранены в пуле 109 транзакций. Таким образом, параметры виртуальной машины 1121, используемой для проверки вредоносной программы компьютерным устройством 1021 могут быть использованы для проверки вредоносного файла другими компьютерными устройствами пиринговой сети 150.
Определение данных об атрибуции потенциально вредоносной программы может осуществляться на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
Например, вредоносная программа может являться модификацией ранее известной программы, причем указанная известная программа была ранее определена как вредоносная и может храниться в базе данных 106.
Определение данных об атрибуции потенциально вредоносной программы может производиться с применением модуля 110 машинного обучения, использующего модель вредоносной программы. Например, модель может описывать характерные особенности вредоносных программ, разрабатываемых известной хакерской группировкой. При построении модели могут быть использованы, например, данные киберразведки.
В одном из неограничивающих вариантов реализации настоящего изобретения проверка потенциально вредоносной программы выполняется процессором компьютерного устройства 1021 с применением алгоритма машинного обучения для анализа вредоносных программ. При этом используется модуль машинного обучения 110. В частности, в некоторых неограничивающих вариантах осуществления настоящего технического решения модуль машинного обучения может выполнять определение вредоносности потенциально вредоносной программы, производить оценку результатов проверки других узлов пиринговой сети, имеющих доступ к распределенному реестру. Модель анализа вредоносных программ предварительно обучают на выборке данных, относящихся к вредоносным программам.
Дополнительно модель анализа вредоносных программ может быть переобучена на обновленной выборке, учитывающей результаты, подтвержденные компьютерными устройствами 1021 … 102N.
Входными данными модели являются по меньшей мере полученные компьютерным устройством 1021 пиринговой сети входные данные, относящиеся к потенциально вредоносной программе. Возможен вариант осуществления способа 200, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом. Например, проверка может выполняться с помощью модуля 110 машинного обучения. По меньшей мере часть параметров автоматического алгоритма может быть задана вручную. Например, вручную может быть задано пороговое значение веса результата проверки потенциально вредоносной программы, достаточное для записи указанного результата в распределенный реестр 108.
Возможен вариант осуществления способа 200, в котором проверка потенциально вредоносной программы дополнительно выполняется ручным способом. Условия выполнения ручной проверки могут быть различными или отсутствовать. Например, условием ручной проверки может быть удовлетворение значения веса общего результата проверки заданному диапазону весов. Указанный общий результат проверки представляет собой результат, определенный на основе результатов проверки, полученных от по меньшей мере части компьютерных устройств 1021 … 102N, выполнявших проверку. Результаты проверки по меньшей мере части компьютерных устройств 1021 … 102N пиринговой сети могут храниться, например, в пуле 109 транзакций. В другом неограничивающем примере реализации способа 200 ручная проверка может осуществляться вне зависимости от результатов автоматической проверки.
Способ 200 далее переходит к выполнению этапа 206.
Этап 206 - внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы
На этапе 206 результаты и параметры проверки вредоносной программы, осуществленной процессором компьютерного устройства 1021, записываются в пул транзакций 109, доступный каждому из компьютерных устройств 1021 … 102N. Примером параметров проверки могут быть, например, параметры виртуальной машины 1121. Таким образом, каждое компьютерное устройство из множества устройств 1022 … 102N может осуществить проверку вредоносности потенциально вредоносного файла, применяя одинаковые параметры проверки - параметры, используемые компьютерным устройством 1021.
В одном из неограничивающих вариантов реализации способа 200 на этапе 206 в пул транзакций 109 также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству 1021. В некоторых неограничивающих примерах данного варианта реализации дополнительными источниками данных, относящихся к потенциально вредоносной программе могут быть база данных 106, внешняя база данных вредоносных программ.
Способ 200 далее переходит к выполнению этапа 208.
Этап 208 - получение от по меньшей мере части компьютерных устройств, входящих в пиринговую сеть, результатов распределенной проверки потенциально вредоносной программы
На этапе 208 компьютерное устройство 1021 получает от по меньшей мере части компьютерных устройств 1022 … 102N результаты распределенной проверки потенциально вредоносной программы. Указанные результаты могут передаваться посредством каналов передачи данных, доступных каждому из компьютерных устройств 1021 … 102N, позволяющих передавать указанные результаты в хешированном виде.
Результаты распределенной проверки потенциально вредоносной программы могут быть сохранены каждым из компьютерных устройств, входящих в пиринговую сеть 150 в виде блоков в пуле 109 транзакций в соответствии с технологией блокчейн.
Способ 200 далее переходит к выполнению этапа 210.
Этап 210 - определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества узлов пиринговой сети
На этапе 212 процессор компьютерного устройства 1021 производит определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от по меньшей мере части компьютерных устройств 1022... 102N.
Параметр вредоносности представляет собой функцию, которая зависит от количества N компьютерных устройств 1021 … 102N пиринговой сети 150, репутации каждого из указанных устройств и результатов определения вредоносности потенциально вредоносной программы, полученных каждым из компьютерных устройств [1021 … 102N]. Например, параметр вредоносности может быть найден так:
Figure 00000001
В одном из неограничивающих вариантов осуществления способа 200 определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от по меньшей мере части компьютерных устройств, входящих в пиринговую сеть, осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств из множества компьютерных устройств 1021 … 102N, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств из множества компьютерных устройств 1021 … 102N, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств из множества компьютерных устройств 1021 … 102N, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств из множества компьютерных устройств 1021 … 102N, подтвердивших результат проверки указанной потенциально вредоносной программы.
Способ 200 далее переходит к выполнению этапа 212.
Этап 212 - идентификация вредоносной программы в ответ на то, что параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение
На этапе 212 процессор компьютерного устройства 1021 производит идентификацию вредоносной программы в ответ на то, что параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение.
Например, может быть задано пороговое значение параметра вредоносности, равное 7. В ответ на то, что рассчитанный параметр вредоносности равен 8 соответствующая потенциально вредоносная программа будет отмечена как вредоносная.
Способ 200 далее переходит к выполнению этапа 214.
Этап 214 - сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ
На этапе 214 процессор компьютерного устройства 1021 сохраняет вредоносную программу в распределенный реестр 108 вредоносных программ. Способ сохранения информации и структура сохраненной информации, относящейся к вредоносной программе могут регламентироваться, например, в соответствии с технологией блокчейн. Доступ к сохраненной информации о вредоносной программе компьютерных устройств 1021 … 102N производится посредством пиринговой сети 150. Каждое из компьютерных устройств 1021 … 102N имеет хранит актуальную копию распределенного реестра 108.
Под идентифицированной вредоносной программой в данном случае может пониматься по меньшей мере одно из: файл вредоносной программы, хеш-сумма файла вредоносной программы, сигнатура вредоносной программы. Под сопутствующими данными, относящимися к вредоносной программе, полученными в ходе выполнения способа 200, может пониматься любая информация, имеющая отношение к вредоносной программе и подтвержденная компьютерными устройствами пиринговой сети 150, например,, указание на файл вредоносной программы, сигнатуру вредоносной программы, файлы, связанные с вредоносной программой, подобные вредоносные программы, метаданные вредоносного файла, результаты проверки каждого из компьютерных устройств пиринговой сети 150, репутация указанных компьютерных устройств и другое.
После этапа 214 способ может завершаться.
В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 производит начисление токенов компьютерным устройствам распределенной пиринговой сети 150, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети 150.
В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 дополнительно производит сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству, например в базу данных 106.
В одном из неограничивающих вариантов осуществления способа 200 после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в распределенный реестр 108 вредоносных программ процессор компьютерного устройства 1021 дополнительно производит сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в обучающее множество алгоритма машинного обучения, используемого модулем 110 машинного обучения.
ПРИМЕР
Ниже приводится неограничивающий пример одной из реализаций настоящего технического решения.
В указанном неограничивающем примере децентрализованная проверка вредоносной программы осуществляется на узле 1021 пиринговой сети.
Например, могут быть получены следующие входные данные: вредоносный файл с метаданными (имя, размер, расширение, дата создания, дата изменения и т.д.), URL веб-ресурса, на котором был обнаружен файл, данные пользовательского устройства (аппаратное и программное обеспечение, логи и т.д.), на котором файл был запущен, YARA-сигнатура вредоносной программы. Например, была получена следующая YARA-сигнатура [https://xakep.ru/2011/10/31/57409/#toc03.]:
Figure 00000002
Проверка автоматизированным способом включает запуск вредоносного файла в виртуальной среде и применение к нему предварительно обученного алгоритма машинного обучения.
После проверки в пул транзакций распределенного реестра записываются следующие данные:
1) Хеш-сумма файла
2) Результат проверки на вредоносность потенциально вредоносной программы узлом 1021 пиринговой сети
3) Вредоносные индикаторы, включающие настройки виртуальной машины 1121
После того, как получены результаты проверки вредоносной программы другими узлами пиринговой сети, осуществляется определение параметра вредоносности. Параметр вредоносности представляет собой функцию, которая зависит от количества N узлов [1021 … 102N] пиринговой сети, рейтинга каждого из узлов и результатов определения вредоносности потенциально вредоносной программы, полученных каждым из узлов.
На основании значения параметра вредоносности происходит определение вредоносности потенциально вредоносной программы, идентификация вредоносной программы.
После идентификации вредоносной программы в распределенный реестр вносятся следующие данные:
1) Указание на вредоносный файл
2) Хеш-сумма вредоносного файла
3) Результаты предсказаний каждого узла пиринговой сети с параметрами (например, веса и архитектура при обучении нейронной сети)
4) Результаты ручной проверки
5) Общий результат, полученный на основании результатов распределенной проверки в целом, на основе скоринга
6) Репутация, количество узлов пиринговой сети, проводивших проверку и тип проверки (автоматизированная или ручная)
7) Уникальные признаки вредоносной программы: описание поведения вредоносной программы в зараженной системе; изменения в системном реестре, вносимые вредоносной программой; генерируемые вредоносной программой файлы.
Далее указанные данные вносятся во внешнюю базу данных, используемую для обнаружения вредоносных программ, например, базу данных антивирусной компании
Модификации и улучшения вышеописанных вариантов осуществления настоящего технического решения будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не несет никаких ограничений. Таким образом, объем настоящего технического решения ограничен только объемом прилагаемой формулы изобретения.

Claims (75)

1. Способ децентрализованной проверки вредоносных программ, выполняемый на компьютерном устройстве, имеющем доступ к распределенному реестру вредоносных программ и пулу транзакций, реализованным на основе пиринговой сети, при этом указанный способ включает:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки указанной потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.
2. Способ по п. 1, в котором получение входных данных осуществляют от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
3. Способ по п. 1, в котором входные данные включают по меньшей мере одно указание на файл потенциально вредоносной программы.
4. Способ по п. 1, в котором входные данные дополнительно включают в себя по меньшей мере одно из следующего: сигнатуру вредоносной программы, данные об атрибуции вредоносной программы.
5. Способ по п. 1, в котором входные данные получают по меньшей мере частично в хешированном виде.
6. Способ по п. 1, в котором выполняют хеширование по меньшей мере части входных данных, в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
7. Способ по п. 1, в котором после получения входных данных осуществляют извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
8. Способ по п. 7, в котором проверку потенциально вредоносной программы осуществляют с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
9. Способ по п. 1, в котором проверку потенциально вредоносной программы выполняют с применением алгоритма машинного обучения.
10. Способ по п. 9, в котором дополнительно производится обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
11. Способ по п. 1, в котором проверка потенциально вредоносной программы выполняется автоматизированным способом.
12. Способ по п. 11, в котором дополнительно производится проверка потенциально вредоносной программы ручным способом.
13. Способ по п. 1, в котором проверка потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, включает по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверка достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
14. Способ по п. 13, в котором определение данных об атрибуции потенциально вредоносной программы осуществляют на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные,
распределенный реестр вредоносных программ,
база данных вредоносных ресурсов.
15. Способ по п. 13, в котором определение данных об атрибуции потенциально вредоносной программы производится с применением алгоритма машинного обучения.
16. Способ по п. 1, в котором на этапе внесения в пул транзакций параметров и результатов по меньшей мере одного результата проверки потенциально вредоносной программы, в пул транзакций также вносят дополнительные данные, относящиеся к потенциально вредоносной программе, полученные из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
17. Способ по п. 1, в котором определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети, осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
18. Способ по п. 1, в котором после внесения результатов проверки потенциально вредоносной программы в распределенный реестр производится начисление токенов компьютерным устройствам распределенной пиринговой сети, на которых были получены результаты проверки, соответствующие параметру вредоносности, определенному на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети.
19. Способ по п. 1, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
20. Способ по п. 1, в котором после сохранения идентифицированной вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа, в распределенный реестр вредоносных программ дополнительно производят сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, полученных в ходе выполнения способа в обучающее множество алгоритма машинного обучения.
21. Компьютерное устройство для децентрализованной проверки вредоносных программ, имеющее доступ к распределенному реестру и пулу транзакций, реализованным на основе пиринговой сети, и включающее в себя интерфейс связи и по меньшей мере один компьютерный процессор, функционально соединенный с интерфейсом связи и выполненный с возможностью осуществлять:
получение входных данных, относящихся к потенциально вредоносной программе;
проверку потенциально вредоносной программы на вредоносность на основе полученных входных данных;
внесение в пул транзакций параметров проверки и по меньшей мере одного результата проверки потенциально вредоносной программы на вредоносность;
получение от множества компьютерных устройств пиринговой сети, каждое из которых имеет свою репутацию, результатов распределенной проверки потенциально вредоносной программы на вредоносность;
определение параметра вредоносности на основании полученных результатов распределенной проверки потенциально вредоносной программы на вредоносность по меньшей мере в зависимости от репутации компьютерных устройств из указанного множества компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
идентификацию вредоносной программы в ответ на то, что определенный параметр вредоносности потенциально вредоносной программы превышает предварительно заданное пороговое значение;
сохранение идентифицированной вредоносной программы и сопутствующих данных, относящихся к этой вредоносной программе, в распределенный реестр вредоносных программ.
22. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных от по меньшей мере одного из следующих источников: компьютерных устройств, входящих в данную пиринговую сеть, от по меньшей мере одного клиентского устройства, из предварительно сформированной базы данных, от удаленного сервера, с машиночитаемого носителя.
23. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, включающих по меньшей мере одно указание на файл потенциально вредоносной программы.
24. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных, дополнительно включающих в себя по меньшей мере одно из следующего:
сигнатуру вредоносной программы,
данные об атрибуции вредоносной программы.
25. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять получение входных данных по меньшей мере частично в хешированном виде.
26. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять хеширование по меньшей мере части входных данных в ответ на то, что указанная по меньшей мере часть входных данных получена в нехешированном виде.
27. Устройство по п. 21, которому доступен по меньшей мере один дополнительный источник, причем процессор дополнительно выполнен с возможностью осуществлять извлечение по меньшей мере части дополнительных входных данных, относящихся к данной вредоносной программе из по меньшей мере одного дополнительного источника.
28. Устройство по п. 27, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с учетом дополнительных входных данных, относящихся к данной потенциально вредоносной программе.
29. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы с применением алгоритма машинного обучения.
30. Устройство по п. 29, в котором процессор дополнительно выполнен с возможностью осуществлять обновление обучающей выборки алгоритма машинного обучения в соответствии с подтвержденными результатами.
31. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы автоматизированным способом.
32. Устройство по п. 31, в котором процессор дополнительно выполнен с возможностью получения результатов проверки потенциально вредоносной программы ручным способом.
33. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять проверку потенциально вредоносной программы на основе полученных данных, относящихся к потенциально вредоносной программе, и осуществлять по меньшей мере одно из следующего:
определение вредоносности потенциально вредоносной программы;
проверку достоверности сигнатуры потенциально вредоносной программы;
определение данных об атрибуции потенциально вредоносной программы.
34. Устройство по п. 33, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы на основе данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного из следующих источников:
полученные входные данные;
распределенный реестр вредоносных программ;
база данных вредоносных ресурсов.
35. Устройство по п. 33, в котором процессор дополнительно выполнен с возможностью осуществлять определение данных об атрибуции потенциально вредоносной программы с применением модели на основе нейронных сетей.
36. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять внесение в пул транзакций дополнительных данных, относящихся к потенциально вредоносной программе, полученных из по меньшей мере одного дополнительного источника, доступного компьютерному устройству.
37. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять определение параметра вредоносности на основании результатов распределенной проверки потенциально вредоносной программы, полученных от множества компьютерных устройств пиринговой сети, осуществляют на основе по меньшей мере одного из следующих параметров:
количество компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
репутация компьютерных устройств пиринговой сети, загрузивших данные об указанной потенциально вредоносной программе;
количество компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы;
репутация компьютерных устройств пиринговой сети, подтвердивших результат проверки указанной потенциально вредоносной программы.
38. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в по меньшей мере одну базу данных вредоносных программ, доступную компьютерному устройству.
39. Устройство по п. 21, в котором процессор дополнительно выполнен с возможностью осуществлять, сохранение вредоносной программы и сопутствующих данных, относящихся к вредоносной программе, в обучающее множество алгоритма машинного обучения.
RU2018101764A 2018-01-17 2018-01-17 Способ и система децентрализованной идентификации вредоносных программ RU2677361C1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2018101764A RU2677361C1 (ru) 2018-01-17 2018-01-17 Способ и система децентрализованной идентификации вредоносных программ
SG10201900062SA SG10201900062SA (en) 2018-01-17 2019-01-03 Method and system of decentralized malware identification
US16/243,530 US11451580B2 (en) 2018-01-17 2019-01-09 Method and system of decentralized malware identification

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018101764A RU2677361C1 (ru) 2018-01-17 2018-01-17 Способ и система децентрализованной идентификации вредоносных программ

Publications (1)

Publication Number Publication Date
RU2677361C1 true RU2677361C1 (ru) 2019-01-16

Family

ID=65024984

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018101764A RU2677361C1 (ru) 2018-01-17 2018-01-17 Способ и система децентрализованной идентификации вредоносных программ

Country Status (3)

Country Link
US (1) US11451580B2 (ru)
RU (1) RU2677361C1 (ru)
SG (1) SG10201900062SA (ru)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11258809B2 (en) * 2018-07-26 2022-02-22 Wallarm, Inc. Targeted attack detection system
US11526610B2 (en) * 2019-05-21 2022-12-13 Veracode, Inc. Peer-to-peer network for blockchain security
US11115191B2 (en) * 2019-05-31 2021-09-07 Hcl America Inc System and method for modifying content stored in a blockchain
CN112287336A (zh) * 2019-11-21 2021-01-29 北京京东乾石科技有限公司 基于区块链的主机安全监控方法、装置、介质及电子设备
US11575694B2 (en) * 2021-01-20 2023-02-07 Bank Of America Corporation Command and control steganographic communications detection engine
US11082445B1 (en) * 2021-01-21 2021-08-03 Netskope, Inc. Preventing phishing attacks via document sharing
CN114692098B (zh) * 2022-06-01 2022-08-26 中国海洋大学 基于区块链和联邦学习的软件行为智能管控方法

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090138342A1 (en) * 2001-11-14 2009-05-28 Retaildna, Llc Method and system for providing an employee award using artificial intelligence
WO2012015171A2 (ko) * 2010-07-26 2012-02-02 Kim Ki Yong 해커 바이러스 보안통합관리기
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
RU2487406C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US20130340080A1 (en) * 2012-06-19 2013-12-19 Kaspersky Lab Zao System and Method for Preventing Spread of Malware in Peer-to-Peer Network
RU2536664C2 (ru) * 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической модификации антивирусной базы данных
US20160149943A1 (en) * 2014-11-21 2016-05-26 Northrop Grumman Systems Corporation System and method for network data characterization
RU2607231C2 (ru) * 2011-11-02 2017-01-10 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга

Family Cites Families (178)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389351B2 (en) 2001-03-15 2008-06-17 Microsoft Corporation System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts
US7565692B1 (en) 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
DE60124295T8 (de) 2000-11-30 2007-12-06 Lancope, Inc. Flussbasierte erfassung eines eindringens in ein netzwerk
US7325252B2 (en) 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
EP1349081A1 (en) 2002-03-28 2003-10-01 LION Bioscience AG Method and apparatus for querying relational databases
US7496628B2 (en) 2003-02-25 2009-02-24 Susquehanna International Group, Llp Electronic message filter
US20040221171A1 (en) 2003-05-02 2004-11-04 Ahmed Ahmed Awad E. Intrusion detector based on mouse dynamics analysis
US8984640B1 (en) 2003-12-11 2015-03-17 Radix Holdings, Llc Anti-phishing
US7392278B2 (en) 2004-01-23 2008-06-24 Microsoft Corporation Building and using subwebs for focused search
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US8255532B2 (en) 2004-09-13 2012-08-28 Cisco Technology, Inc. Metric-based monitoring and control of a limited resource
US7540025B2 (en) 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US8719924B1 (en) * 2005-03-04 2014-05-06 AVG Technologies N.V. Method and apparatus for detecting harmful software
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
US7836133B2 (en) 2005-05-05 2010-11-16 Ironport Systems, Inc. Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US7609625B2 (en) 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7730040B2 (en) 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
US7707284B2 (en) 2005-08-03 2010-04-27 Novell, Inc. System and method of searching for classifying user activity performed on a computer system
KR20070049514A (ko) 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
US8650080B2 (en) 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
WO2007118657A1 (en) 2006-04-13 2007-10-25 Art Of Defence Gmbh Method for providing web application security
US7984500B1 (en) 2006-10-05 2011-07-19 Amazon Technologies, Inc. Detecting fraudulent activity by analysis of information requests
US7865953B1 (en) 2007-05-31 2011-01-04 Trend Micro Inc. Methods and arrangement for active malicious web pages discovery
US8117657B1 (en) * 2007-06-20 2012-02-14 Extreme Networks, Inc. Detection and mitigation of rapidly propagating threats from P2P, IRC and gaming
US8238669B2 (en) 2007-08-22 2012-08-07 Google Inc. Detection and classification of matches between time-based media
US7958555B1 (en) 2007-09-28 2011-06-07 Trend Micro Incorporated Protecting computer users from online frauds
US7620992B2 (en) * 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US9779403B2 (en) 2007-12-07 2017-10-03 Jpmorgan Chase Bank, N.A. Mobile fraud prevention system and method
US20110222787A1 (en) 2008-02-28 2011-09-15 Stefan Thiemert Frame sequence comparison in multimedia streams
US8082187B2 (en) 2008-05-07 2011-12-20 AcademixDirect, Inc. Method of generating a referral website URL using website listings in a cookie
US8856937B1 (en) 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8086480B2 (en) 2008-09-25 2011-12-27 Ebay Inc. Methods and systems for activity-based recommendations
US9177144B2 (en) 2008-10-30 2015-11-03 Mcafee, Inc. Structural recognition of malicious code patterns
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8285830B1 (en) 2009-01-06 2012-10-09 Citizenhawk, Inc. System and method for combating cybersquatting
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US8695091B2 (en) 2009-02-11 2014-04-08 Sophos Limited Systems and methods for enforcing policies for proxy website detection using advertising account ID
US8429751B2 (en) 2009-03-13 2013-04-23 Trustwave Holdings, Inc. Method and apparatus for phishing and leeching vulnerability detection
US8229219B1 (en) 2009-08-06 2012-07-24 Google Inc. Full-length video fingerprinting
US8600993B1 (en) 2009-08-26 2013-12-03 Google Inc. Determining resource attributes from site address attributes
US8396857B2 (en) 2009-08-31 2013-03-12 Accenture Global Services Limited System to modify websites for organic search optimization
EP2323046A1 (en) 2009-10-16 2011-05-18 Telefónica, S.A. Method for detecting audio and video copy in multimedia streams
US8625033B1 (en) 2010-02-01 2014-01-07 Google Inc. Large-scale matching of audio and video
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8612463B2 (en) 2010-06-03 2013-12-17 Palo Alto Research Center Incorporated Identifying activities using a hybrid user-activity model
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
US8924488B2 (en) 2010-07-27 2014-12-30 At&T Intellectual Property I, L.P. Employing report ratios for intelligent mobile messaging classification and anti-spam defense
EP2609538B1 (en) 2010-08-25 2016-10-19 Lookout Inc. System and method for server-coupled malware prevention
AU2011293160B2 (en) 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8837769B2 (en) 2010-10-06 2014-09-16 Futurewei Technologies, Inc. Video signature based on image hashing and shot detection
US9626677B2 (en) 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US8521667B2 (en) 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN102082792A (zh) 2010-12-31 2011-06-01 成都市华为赛门铁克科技有限公司 钓鱼网页检测方法及设备
US8972412B1 (en) 2011-01-31 2015-03-03 Go Daddy Operating Company, LLC Predicting improvement in website search engine rankings based upon website linking relationships
US20130247192A1 (en) * 2011-03-01 2013-09-19 Sven Krasser System and method for botnet detection by comprehensive email behavioral analysis
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
US8402543B1 (en) 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
RU107616U1 (ru) 2011-03-28 2011-08-20 Закрытое акционерное общество "Лаборатория Касперского" Система быстрого анализа потока данных на наличие вредоносных объектов
US9363278B2 (en) 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
EP2729895B1 (en) 2011-07-08 2016-07-06 The UAB Research Foundation Syntactical fingerprinting
US20140173287A1 (en) 2011-07-11 2014-06-19 Takeshi Mizunuma Identifier management method and system
GB2493514B (en) 2011-08-02 2015-04-08 Qatar Foundation Copy detection
US8677472B1 (en) 2011-09-27 2014-03-18 Emc Corporation Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
US8645355B2 (en) 2011-10-21 2014-02-04 Google Inc. Mapping Uniform Resource Locators of different indexes
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US8660296B1 (en) 2012-01-10 2014-02-25 Google Inc. Systems and methods for facilitating video fingerprinting using local descriptors
US9111090B2 (en) 2012-04-02 2015-08-18 Trusteer, Ltd. Detection of phishing attempts
RU2523114C2 (ru) 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
US10304036B2 (en) 2012-05-07 2019-05-28 Nasdaq, Inc. Social media profiling for one or more authors using one or more social media platforms
RU2488880C1 (ru) 2012-05-11 2013-07-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз
EP2877956B1 (en) 2012-07-24 2019-07-17 Webroot Inc. System and method to provide automatic classification of phishing sites
RU2495486C1 (ru) 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
CN103685174B (zh) 2012-09-07 2016-12-21 中国科学院计算机网络信息中心 一种不依赖样本的钓鱼网站检测方法
US9386030B2 (en) 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9215239B1 (en) * 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US10965775B2 (en) 2012-11-20 2021-03-30 Airbnb, Inc. Discovering signature of electronic social networks
RU2530210C2 (ru) 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
RU2522019C1 (ru) 2012-12-25 2014-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
RU129279U1 (ru) 2013-01-09 2013-06-20 ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US20160127402A1 (en) 2014-11-04 2016-05-05 Patternex, Inc. Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system
US10425429B2 (en) 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
GB201306628D0 (en) 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
US20160055490A1 (en) 2013-04-11 2016-02-25 Brandshield Ltd. Device, system, and method of protecting brand names and domain names
EP2901665A4 (en) 2013-05-13 2015-10-21 Yandex Europe Ag METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME
US9357469B2 (en) 2013-05-29 2016-05-31 Rivada Networks, Llc Methods and system for dynamic spectrum arbitrage with mobility management
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
CN103368958A (zh) 2013-07-05 2013-10-23 腾讯科技(深圳)有限公司 一种网页检测方法、装置和系统
RU2538292C1 (ru) 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
KR102120823B1 (ko) 2013-08-14 2020-06-09 삼성전자주식회사 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템
CN103491205B (zh) 2013-09-30 2016-08-17 北京奇虎科技有限公司 一种基于视频搜索的关联资源地址的推送方法和装置
US9330258B1 (en) 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
CN105917359B (zh) 2013-10-21 2021-01-26 微软技术许可有限责任公司 移动视频搜索
GB2520987B (en) 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
IN2013CH05744A (ru) 2013-12-12 2015-06-19 Infosys Ltd
US20150363791A1 (en) 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9060018B1 (en) 2014-02-05 2015-06-16 Pivotal Software, Inc. Finding command and control center computers by communication link tracking
KR101514984B1 (ko) 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
US9338181B1 (en) 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
US10176428B2 (en) * 2014-03-13 2019-01-08 Qualcomm Incorporated Behavioral analysis for securing peripheral devices
RU2543564C1 (ru) 2014-03-20 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US9332022B1 (en) 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US9357397B2 (en) * 2014-07-23 2016-05-31 Qualcomm Incorporated Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
KR101587161B1 (ko) 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
US9026840B1 (en) 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
RU2589310C2 (ru) 2014-09-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ расчета интервала повторного определения категорий сетевого ресурса
WO2016064919A1 (en) 2014-10-21 2016-04-28 Abramowitz Marc Lauren Dynamic security rating for cyber insurance products
US10338191B2 (en) 2014-10-30 2019-07-02 Bastille Networks, Inc. Sensor mesh and signal transmission architectures for electromagnetic signature analysis
US10574675B2 (en) 2014-12-05 2020-02-25 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US10230526B2 (en) 2014-12-31 2019-03-12 William Manning Out-of-band validation of domain name system records
CN104504307B (zh) 2015-01-08 2017-09-29 北京大学 基于拷贝单元的音视频拷贝检测方法和装置
US9712549B2 (en) 2015-01-08 2017-07-18 Imam Abdulrahman Bin Faisal University System, apparatus, and method for detecting home anomalies
KR20160095856A (ko) 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
US11328307B2 (en) 2015-02-24 2022-05-10 OpSec Online, Ltd. Brand abuse monitoring system with infringement detection engine and graphical user interface
EP3065076A1 (en) 2015-03-04 2016-09-07 Secure-Nok AS System and method for responding to a cyber-attack-related incident against an industrial control system
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US9769201B2 (en) 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
US9712553B2 (en) 2015-03-27 2017-07-18 The Boeing Company System and method for developing a cyber-attack scenario
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
RU164629U1 (ru) 2015-06-30 2016-09-10 Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5
EP3125147B1 (en) 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
CN106506435B (zh) 2015-09-08 2019-08-06 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
WO2017049045A1 (en) 2015-09-16 2017-03-23 RiskIQ, Inc. Using hash signatures of dom objects to identify website similarity
KR101703446B1 (ko) 2015-10-15 2017-02-06 숭실대학교산학협력단 DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버
CN105429956B (zh) 2015-11-02 2018-09-25 重庆大学 基于p2p动态云的恶意软件检测系统及方法
US10200382B2 (en) 2015-11-05 2019-02-05 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters
US9894036B2 (en) 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis
RU2622870C2 (ru) 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
CN106709777A (zh) 2015-11-18 2017-05-24 阿里巴巴集团控股有限公司 一种订单聚类方法及装置,以及反恶意信息的方法及装置
WO2017087840A1 (en) 2015-11-20 2017-05-26 Webroot Inc. Binocular fusion analytics security
RU2613535C1 (ru) 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
WO2017103974A1 (ja) 2015-12-14 2017-06-22 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
US9723344B1 (en) 2015-12-29 2017-08-01 Google Inc. Early detection of policy violating media
US11069370B2 (en) 2016-01-11 2021-07-20 University Of Tennessee Research Foundation Tampering detection and location identification of digital audio recordings
RU2628192C2 (ru) 2016-01-27 2017-08-15 Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов
US9849364B2 (en) * 2016-02-02 2017-12-26 Bao Tran Smart device
US9900338B2 (en) 2016-02-09 2018-02-20 International Business Machines Corporation Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data
EP3424177B1 (en) 2016-02-29 2021-10-13 SecureKey Technologies Inc. Systems and methods for distributed identity verification
US10063572B2 (en) 2016-03-28 2018-08-28 Accenture Global Solutions Limited Antivirus signature distribution with distributed ledger
US10313382B2 (en) 2016-03-29 2019-06-04 The Mitre Corporation System and method for visualizing and analyzing cyber-attacks using a graph model
US10178107B2 (en) 2016-04-06 2019-01-08 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names
US10212145B2 (en) 2016-04-06 2019-02-19 Avaya Inc. Methods and systems for creating and exchanging a device specific blockchain for device authentication
CN105897714B (zh) 2016-04-11 2018-11-09 天津大学 基于dns流量特征的僵尸网络检测方法
RU2625050C1 (ru) 2016-04-25 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ признания транзакций доверенными
US11223598B2 (en) 2016-05-03 2022-01-11 Nokia Of America Corporation Internet security
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
RU2636702C1 (ru) 2016-07-07 2017-11-27 Общество С Ограниченной Ответственностью "Яндекс" Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций
US20180012144A1 (en) 2016-07-11 2018-01-11 Qualcomm Innovation Center, Inc. Incremental and speculative analysis of javascripts based on a multi-instance model for web security
CN106131016B (zh) 2016-07-13 2019-05-03 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
US10212133B2 (en) 2016-07-29 2019-02-19 ShieldX Networks, Inc. Accelerated pattern matching using pattern functions
US20180309787A1 (en) 2016-07-31 2018-10-25 Cymmetria, Inc. Deploying deception campaigns using communication breadcrumbs
US10498761B2 (en) 2016-08-23 2019-12-03 Duo Security, Inc. Method for identifying phishing websites and hindering associated activity
US10313352B2 (en) 2016-10-26 2019-06-04 International Business Machines Corporation Phishing detection with machine learning
WO2018095192A1 (zh) 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
CN106713312A (zh) 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
WO2019010182A1 (en) 2017-07-06 2019-01-10 Pixm METHOD AND SYSTEM FOR DETECTING HOOKING
CN107392456A (zh) 2017-07-14 2017-11-24 武汉理工大学 一种融合互联网信息的多角度企业信用评估建模方法
US11265347B2 (en) * 2017-09-18 2022-03-01 Fortinet, Inc. Automated testing of network security policies against a desired set of security controls
US10567156B2 (en) * 2017-11-30 2020-02-18 Bank Of America Corporation Blockchain-based unexpected data detection
RU2670906C9 (ru) 2017-12-28 2018-12-12 Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090138342A1 (en) * 2001-11-14 2009-05-28 Retaildna, Llc Method and system for providing an employee award using artificial intelligence
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
WO2012015171A2 (ko) * 2010-07-26 2012-02-02 Kim Ki Yong 해커 바이러스 보안통합관리기
RU2607231C2 (ru) * 2011-11-02 2017-01-10 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга
RU2487406C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US20130340080A1 (en) * 2012-06-19 2013-12-19 Kaspersky Lab Zao System and Method for Preventing Spread of Malware in Peer-to-Peer Network
RU2536664C2 (ru) * 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической модификации антивирусной базы данных
US20160149943A1 (en) * 2014-11-21 2016-05-26 Northrop Grumman Systems Corporation System and method for network data characterization

Also Published As

Publication number Publication date
SG10201900062SA (en) 2019-08-27
US20190222586A1 (en) 2019-07-18
US11451580B2 (en) 2022-09-20

Similar Documents

Publication Publication Date Title
RU2677361C1 (ru) Способ и система децентрализованной идентификации вредоносных программ
US10511616B2 (en) Method and system for detecting and remediating polymorphic attacks across an enterprise
JP6553524B2 (ja) 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
RU2622870C2 (ru) Система и способ оценки опасности веб-сайтов
KR101558715B1 (ko) 서버 결합된 멀웨어 방지를 위한 시스템 및 방법
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
US11381578B1 (en) Network-based binary file extraction and analysis for malware detection
JP6408395B2 (ja) ブラックリストの管理方法
US20040210769A1 (en) Apparatus, methods and articles of manufacture for computer virus testing
US20180234234A1 (en) System for describing and tracking the creation and evolution of digital files
CN108369541B (zh) 用于安全威胁的威胁风险评分的系统和方法
US11374946B2 (en) Inline malware detection
KR20060117693A (ko) 웹 보안방법 및 그 장치
EP3987728B1 (en) Dynamically controlling access to linked content in electronic communications
JP5752642B2 (ja) 監視装置および監視方法
US20210006592A1 (en) Phishing Detection based on Interaction with End User
NL2031466B1 (en) System and method for active detection of malicious network resources
RU2601162C1 (ru) Способ использования выделенного сервиса компьютерной безопасности
US10462180B1 (en) System and method for mitigating phishing attacks against a secured computing device
RU2750628C2 (ru) Система и способ определения уровня доверия файла
JP6955527B2 (ja) 情報処理装置、情報処理方法、及び情報処理プログラム
EP3999985A1 (en) Inline malware detection
RU107615U1 (ru) Система уменьшения количества ложных срабатываний антивирусной системы
RU108870U1 (ru) Система увеличения количества обнаружений вредоносных объектов
US20220245249A1 (en) Specific file detection baked into machine learning pipelines