RU2743620C1 - Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде - Google Patents

Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде Download PDF

Info

Publication number
RU2743620C1
RU2743620C1 RU2020121186A RU2020121186A RU2743620C1 RU 2743620 C1 RU2743620 C1 RU 2743620C1 RU 2020121186 A RU2020121186 A RU 2020121186A RU 2020121186 A RU2020121186 A RU 2020121186A RU 2743620 C1 RU2743620 C1 RU 2743620C1
Authority
RU
Russia
Prior art keywords
event
malicious activity
stream
internal
events
Prior art date
Application number
RU2020121186A
Other languages
English (en)
Inventor
Сергей Сергеевич Перфильев
Николай Николаевич Андреев
Original Assignee
Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Группа АйБи ТДС" filed Critical Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority to RU2020121186A priority Critical patent/RU2743620C1/ru
Priority to PCT/RU2020/000319 priority patent/WO2021262025A1/ru
Priority to EP20942363.1A priority patent/EP3985535A4/en
Application granted granted Critical
Publication of RU2743620C1 publication Critical patent/RU2743620C1/ru
Priority to US17/585,993 priority patent/US20220147631A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/10Machine learning using kernel methods, e.g. support vector machines [SVM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в определении вредоносной активности по анализу поведения объектов в неизолированной среде. Компьютерно-реализуемый способ определения вредоносной активности по анализу поведения объектов в неизолированной среде, в котором посредством блока обнаружения собирают информацию в поток событий, передают на вычислительное устройство поток событий, где осуществляют анализ полученного потока событий за заранее определенное количество времени, при этом событие из потока событий отправляют на вход адаптера в зависимости от типа события, причем адаптер генерирует свое внутреннее событие, внутреннее событие подают в блок сигнатур, где осуществляют проверку полученного внутреннего события заранее заданным правилам и в случае соответствия внутреннего события заранее заданным правилам создают маркер внутреннего состояния, маркер внутреннего состояния отправляют на вход блока принятия решений о вредоносной активности, в котором принимают решение о вредоносной активности на основе маркера внутреннего состояния блока сигнатур, составляют отчет по подозрительной активности. 2 н. и 8 з.п. ф-лы, 3 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
Настоящее изобретение относится к области вычислительной техники, в частности к компьютерно-реализуемому способу и системе определения вредоносной активности по анализу поведения объектов в неизолированной среде.
УРОВЕНЬ ТЕХНИКИ
Из источника информации RU 2 451 326 C2, 20.05.2012, известен способ системного анализа и управления, который осуществляется при помощи системы, которая включает в себя одну или более компьютерных программ или агентов, которые сообщают данные, связанные с происходящими внутри системы модификациями. Эти данные включают в себя информацию, связанную со всеми взаимодействиями с файлами и/или настройками. Подобные типы взаимодействий включают в себя такие действия, как чтение или запись в элементы системного реестра, файлы, а также взаимодействия бинарного модуля, такие как загрузка и т.д. Агенты сообщают собранные данные в серверную службу, которая обрабатывает полученную информацию для, например, генерации веб-отчетов, предупреждений или для интегрирования с другими службами в целях выполнения управления системой.
Из источника информации US 9,245,114 B2, 26.01.2016, известен способ для автоматического обнаружения и анализа вредоносных программ, который включает следующие шаги: сохранение системой анализа базовой линии памяти для первой системы, базовой линии памяти, включающей в себя информацию, хранящуюся в энергозависимой памяти первой системы, и энергонезависимой памяти первой системы, предоставление системой анализа файла в первую систему, выполнение системой анализа файла в первой системе с использованием операционной системы первой системы после сохранения базовой линии памяти, завершение системой анализа работы операционной системы первой системы после выполнения файла, сохранение системой анализа карты памяти после выполнения первой системы, в то время как работа операционной системы первой системы завершается, карта памяти после выполнения включает в себя информацию, хранящуюся в энергозависимой памяти первой системы, и - энергозависимая память первой системы после выполнения файла. Способ также включает анализ с помощью системы анализа базовой линии памяти и карты памяти после выполнения, причем анализ содержит: определение наличия одного или нескольких процессов, которые изменились с базовой линии памяти на карту памяти после выполнения, определение временных отметок, связанных с одним или несколькими процессами, и выявление поведения, которое указывает на попытки скрыть руткит во время работы операционной системы; определение того, что файл содержит вредоносное программное обеспечение, на основе анализа; определение сроков действий, выполняемых вредоносным программным обеспечением, на основе меток времени; и предоставление отчета о вредоносном программном обеспечении, включая список одного или нескольких процессов, которые изменились, и временную шкалу.
Предлагаемое изобретение отличается от известных из уровня техники решений тем, что информацию о работе хоста собирают в поток событий, который передают в вычислительное устройство и по меньшей мере одно событие из потока событий в зависимости от типа поступает на по меньшей мере один адаптер, при этом по меньшей мере один адаптер генерирует свое внутреннее событие. Кроме того, сгенерированные внутренние события подают в блок сигнатур, где осуществляют проверку внутреннего события по заранее заданным правилам, и в случае соответствия внутреннего события заранее заданным правилам создают маркер внутреннего состояния. Стоит отметить, что решение о вредоносной активности принимают посредством блока принятия решений на основе маркеров внутренних состояний блока сигнатур: по сумме весов маркеров внутренних состояний или вероятности вредоносности маркера внутреннего состояния или определения вредоносной активности на основе отличия от разрешенного поведения.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Технической проблемой, на решение которой направлено заявленное изобретение, является создание компьютерно-реализуемого способа и системы определения вредоносной активности по анализу поведения объектов в неизолированной среде, которые охарактеризованы в независимых пунктах формулы. Дополнительные варианты реализации настоящего изобретения представлены в зависимых пунктах изобретения.
Технический результат заключается в определение вредоносной активности по анализу поведения объектов в неизолированной среде.
Заявленный результат достигаются за счет осуществления компьютерно-реализуемого способа определения вредоносной активности по анализу поведения объектов в неизолированной среде, включает этапы, на которых:
посредством блока обнаружения собирают информацию по меньшей мере в один поток событий;
передают на вычислительное устройство по меньшей мере один поток событий, где осуществляют анализ полученного потока событий за заранее заданное время, при этом
по меньшей мере одно событие из потока событий отправляют на вход по меньшей мере одному конечному автомату, в зависимости от типа события;
по меньшей мере одно событие из потока событий отправляют на вход по меньшей мере одному адаптеру в зависимости от типа события, причем по меньшей мере один адаптер генерирует свое внутреннее событие;
по меньшей мере одно внутреннее событие подают в по меньшей мере один блок сигнатур, где осуществляют проверку полученного по меньшей мере одно внутреннего события заранее заданным правилам и в случае соответствия по меньшей мере одного внутреннего события заранее заданным правилам создают по меньшей мере один маркер внутреннего состояния;
по меньшей мере один маркер внутреннего состояния отправляют на вход блока принятия решений о вредоносной активности, при этом если маркер внутреннего состояния с суммой весов или вероятность вредоносности маркера внутреннего состояния больше заранее заданного значения, вредоносная активность присутствует или вредоносная активность определяется на основе отличия от разрешенного поведения;
составляют отчет по подозрительной активности.
В частном варианте реализации предлагаемого способа, по меньшей мере одно внутреннее событие поступает на вход конвейера, в котором сохраняется информация, которую в дальнейшем может использовать блок сигнатур.
В другом частном варианте реализации предлагаемого способа, по меньшей мере один маркер создается на основе обнаружения вредоносной активности или объекта в сети или на конечном узле.
В другом частном варианте реализации предлагаемого способа, по меньшей мере один маркер имеет время жизни.
В другом частном варианте реализации предлагаемого способа, все маркеры имеют разный вес.
В другом частном варианте реализации предлагаемого способа, внутреннее состояние состоит по меньшей мере из набора флагов, путей файлов, реестра, процессов, подписей, мьютексов, объектов синхронизации, счетчиков.
В другом частном варианте реализации предлагаемого способа, внутреннее состояние имеет время жизни.
В другом частном варианте реализации предлагаемого способа, блок принятия решений выполнен по меньшей мере в качестве линейной модели, обученного классификатора или нейронной сети.
В другом частном варианте реализации предлагаемого способа, отчет о вредоносной активности содержит, по меньшей мере маркеры сигнатур, вердикт блока принятия решений, информацию по хосту, содержимое переменных окружения, информацию о подключенных устройствах, снимок экрана, видео с экрана за момент детектирования, последовательность действий пользователя, граф инцидента.
Заявленный результат также достигается за счет системы определения вредоносной активности по анализу поведения объектов в неизолированной среде содержащей:
блок обнаружения, установленный на хосте и выполненный с возможностью сбора информации о по меньшей мере одном потоке событий и передачи по меньшей мере одного потока событий на вычислительное устройство;
вычислительное устройство, выполненное с возможностью осуществления определения вредоносной активности по анализу поведения объектов в неизолированной среде;
блок создания отчета.
ОПИСАНИЕ ЧЕРТЕЖЕЙ
Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:
Фиг.1 иллюстрирует систему определения вредоносной активности по анализу поведения объектов в неизолированной среде.
Фиг.2 иллюстрирует компьютерно-реализуемый способ определения вредоносной активности по анализу поведения объектов в неизолированной среде.
Фиг. 3 иллюстрирует пример общей схемы вычислительного устройства.
ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ
В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.
Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.
Заявленный компьютерно-реализуемый способ определения вредоносной активности по анализу поведения объектов в неизолированной среде осуществляется посредством системы определения вредоносной активности по анализу поведения объектов в неизолированной среде (10), которая представлена на Фиг.1 и содержит:
блок обнаружения (S10), установленный на хосте и выполненный с возможностью сбора информации о по меньшей мере одном потоке событий и передачи по меньшей мере одного потока событий на вычислительное устройство;
вычислительное устройство (S20), выполненное с возможностью осуществления способа определения вредоносной активности по анализу поведения объектов в неизолированной среде;
блок создания отчета (S30).
Стоит также отметить, что описываемая система 10 полностью масштабируема, а именно может работать как в локальной, так и в глобальной сети.
Как представлено на Фиг. 2, заявленный компьютерно-реализуемый способ определения вредоносной активности по анализу поведения объектов в неизолированной среде (100) реализован следующим образом.
На хостах размещают программные средства сбора данных, например, блоки обнаружения событий безопасности или мониторы событий безопасности, которые занимаются ведением логов и фиксацией подозрительных событий в сети.
Стоит отметить, что в материалах настоящей заявки, под хостом понимается узел сети. Хостами могут быть как физические устройства — компьютеры, серверы, ноутбуки, смартфоны, планшеты, игровые приставки, телевизоры, принтеры, сетевые концентраторы, коммутаторы, роутеры, произвольные устройства, объединённые IoT («интернетом вещей») и т.п., так и программно-аппаратные решения, позволяющие организовать несколько узлов сети на одном физическом устройстве.
На этапе 110, посредством блока обнаружения (S10), собирают информацию по меньшей мере в один поток событий. Так, в поток событий собирают заранее определённый набор информации о работе хоста.
Стоит отметить, что поток событий содержит по меньшей мере одно событие, например, создание файла, удаление файла, переименование файла, создание ключа реестра, запись значений в реестр, удаление значений из реестра, удаление ключа реестра, создание и завершение процесса, создание и завершение потока процесса (thread), событие лога, создание объекта ядра, и так далее, но не ограничиваясь этим списком.
Готовый поток событий на этапе 111 передают на вычислительное устройство (S20), где происходит анализ полученного потока за заранее заданное время. Помимо потока событий, на вычислительное устройство также может передаваться дополнительная информация, которая поступает параллельно с потоком событий. В качестве примера такой информации может выступать вердикт «песочницы» о находящихся в ней файлах или видео с экрана хоста, если таковой оборудован экраном, и другая информация.
Стоит отметить, что изначально все события в потоке событий не являются доверенными.
Таким образом, полученный вычислительным устройством (S20) от расположенных на хостах мониторов сырой поток событий сохраняют в памяти.
Далее по меньшей мере одно событие из списка событий собирается в массив событий, и затем, на этапе 115, по меньшей мере одно событие поступает на вход по меньшей мере одного адаптера, в зависимости от определенного типа событий.
После того, как на вход адаптера поступило событие, адаптер генерирует свое внутреннее событие. Таким образом обеспечивается поддержка разных форматов входных событий, то есть инвариантность событий для конвейеров и сигнатур.
Полученный массив внутренних событий на этапе 120 поступает на вход конвейера, в котором сохраняется информация, которую в дальнейшем может использовать блок сигнатур.
В материалах настоящей заявки конвейер осуществляет только хранение информации, полученной на этапе 111. Так, конвейер может быть выполнен в виде дерева процессов, но не ограничиваясь.
В частности, если на вход конвейера поступает внутреннее событие — ProcessCreated #1, то конвейер, получив такое внутреннее событие, сохраняет себе информацию о процессе в дереве процессов. Кроме того, в конвейерах может сохраняться информация, которая поступала на этапе 111 на вычислительное устройство, например, вердикт «песочницы» о файлах, видео с экрана и другая информация.
На этапе 121 внутреннее событие поступает в блок сигнатур, где проверяется на соответствие определенным, заранее заданным, правилам и в случае соответствия внутреннего события определенным правилам создается маркер внутреннего состояния.
В материалах настоящей заявки под блоком сигнатур понимается сущность, которая в случае соответствия внутреннего события определенным правилам создает маркер, а под правилом понимается, правило, способное отобрать в базе данных известной структуры те вхождения, которые удовлетворяют заданным условиям.
Так например, рассмотрим сигнатуру wer_dump и внутреннее событие ProcessCreated #2.В данном конкретном случае блок сигнатур, получив внутреннее событие, производит проверку на соответствие внутреннего события правилу, далее находит в дереве процессов процесс, который неудачно завершился, и создает маркер внутреннего состояния - «процесс неудачно завершился».
Кроме того, стоит отметить, что блок сигнатур выполнен с возможностью использования дополнительной информаций конвейера, которая поступала на этапах 115-120 и дополнения ей созданные маркеры.
Таким образом, на этапе 121 по меньшей мере один блок сигнатур получает событие и сохраняет свое внутреннее состояние и внутренние данные. В качестве примера, блок сигнатур сохраняет значение BootTime с целью определения времени перезагрузки компьютера, а также создаёт маркер внутреннего состояния, который в сочетании с другими маркерами внутренних состояний может свидетельствовать о вредоносной активности и\или вредоносном объекте, обнаруженных в сети, либо на хосте. Соответственно, если такой информации не обнаружено, то маркер внутреннего состояния не создают.
Стоит отметить, что внутреннее состояние может состоять из по меньшей мере набора флагов, путей файлов, реестра, процессов, их подписей, мьютексов, событий (объектов синхронизации), сетевых взаимодействий, а также различных счетчиков. Также внутреннее состояние имеет определённое время жизни, которое может быть как бесконечным, так и конечным, наперёд заданной длительности.
Так, каждый маркер внутреннего состояния имеет свой вес и заранее заданное время жизни. Кроме того, время жизни устанавливают по результатам тестовых исследований на срабатывание маркера, так при выявлении вредоносной активности определяют периоды, в которых было отмечено минимальное количество ошибок первого и второго рода.
Под ошибкой первого рода подразумевается ситуация, в которой отвергнута правильная нулевая гипотеза. Например, срабатывание маркера на безвредную активность.
Под ошибкой второго рода — ситуация, в которой принята неправильная нулевая гипотеза. Например, маркер не сработал на вредоносную активность либо объект.
Дополнительно, вся информация, которая сохраняется блоком сигнатур, поступает в средство хранения данных, с указанием времени жизни этой информации. При этом, информация удаляется, если истекло ее время жизни, и внутреннее состояние конечного автомата (которым является блок сигнатур) изменяется. В некоторых случаях при изменении внутреннего состояния также может дополнительно создаваться определённый маркер.
На этапе 122 на блок принятия решений подается массив маркеров внутренних состояний от блока сигнатур, на основании которого определяется, присутствует вредоносная активность и/или вредоносный объект или нет.
В качестве блока принятия решений могут использоваться, по меньшей мере, линейная модель или классификатор. (например, Random Forest или SVM, или нейронная сеть).
В первом случае, если в качестве блока принятия решений используется линейная модель, а в определенном окне времени есть маркеры внутренних состояний с суммой весов больше порогового значения, то системой принимается решение о вредоносной активности объекта с вышеупомянутыми маркерами внутренних состояний.
В другом случае, если в качестве блока принятия решений используется классификатор, обученный ранее по вышеописанным этапам способа и который принимает в качестве признаков маркеры внутренних состояний, то при получении вероятности, более 50% системой принимается решение о вредоносной активности объекта с вышеупомянутыми маркерами внутренних состояний. Стоит отметить, что в качестве признаков могут быть не только маркеры внутренних состояний, а также, в дополнение, любая информация из контекста, дополнительная информация из конвейера, например, дерево процессов, счетчики производительности и т.п.
В качестве еще одного варианта блок принятия решений может быть выполнен в качестве заранее обученной системы, где конечные автоматы, которые соответствуют требованиям поведения запоминаются, а затем определяется вредоносная активность на основе отличий от советующих требованиям поведения.
На этапе 123 составляют отчет о подозрительной активности, посредством модуля создания отчета. Блок создания отчета может выводить готовый отчет, например, на диск, в базу данных, в syslog и др.
Отчет может содержать по меньшей мере маркеры внутренних состояний, вердикт блока принятия решений, дерево процессов, имя хоста, содержимое переменных окружения, информацию о подключенных устройствах, снимок экрана, видео с экрана за момент детектирования, последовательность действий пользователя, граф инцидента (процесс, инициирующий инцидент со связями-взаимодействиями, созданными файлами, созданными сетевыми соединениями и т.п.).
Кроме того, альтернативно блок создания отчетов может не создавать отчет, но сохранять в средстве хранения данных информацию по каждому маркеру, например, для дальнейшего подсчёта статистики.
На Фиг.3 далее будет представлена общая схема вычислительного устройства (300), обеспечивающего обработку данных, необходимую для реализации заявленного решения.
В общем случае устройство (300) содержит такие компоненты, как: один или более процессоров (301), по меньшей мере одну память (302), средство хранения данных (303), интерфейсы ввода/вывода (304), средство В/В (305), средства сетевого взаимодействия (306).
Процессор (301) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (300) или функциональности одного или более его компонентов. Процессор (301) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (302).
Память (302), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемый функционал.
Средство хранения данных (303) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п. Средство (303) позволяет выполнять долгосрочное хранение различного вида информации, например, вышеупомянутых файлов с наборами данных, полученных с разных хостов базы данных, содержащих записи зафиксированные в разные периоды для каждого пользователя временных интервалов, идентификаторов пользователей и т.п.
Интерфейсы (304) представляют собой стандартные средства для подключения и работы с серверной частью, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire и т.п.
Выбор интерфейсов (304) зависит от конкретного исполнения устройства (300), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.
В качестве средств В/В данных (305) могут использоваться: клавиатура джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.
Средства сетевого взаимодействия (306) выбираются из устройства, обеспечивающий сетевой прием и передачу данных, и могут представлять собой, например, Ethernet карту, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п. С помощью средств (N06) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.
Компоненты устройства (300) сопряжены посредством общей шины передачи данных (310).
В настоящих материалах заявки было представлено предпочтительное раскрытие осуществление заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.

Claims (19)

1. Компьютерно-реализуемый способ определения вредоносной активности по анализу поведения объектов в неизолированной среде, включающий этапы, на которых
посредством блока обнаружения собирают информацию по меньшей мере в один поток событий;
передают на вычислительное устройство по меньшей мере один поток событий, где осуществляют анализ полученного потока событий за заранее определенное количество времени, при этом
по меньшей мере одно событие из потока событий отправляют на вход по меньшей мере одному адаптеру в зависимости от типа события, причем по меньшей мере один адаптер генерирует свое внутреннее событие;
по меньшей мере одно внутреннее событие подают в по меньшей мере один блок сигнатур, где осуществляют проверку полученного по меньшей мере одного внутреннего события заранее заданным правилам и в случае соответствия по меньшей мере одного внутреннего события заранее заданным правилам создают по меньшей мере один маркер внутреннего состояния;
по меньшей мере один маркер внутреннего состояния отправляют на вход блока принятия решений о вредоносной активности, при этом если маркер внутреннего состояния с суммой весов или вероятность вредоносности маркера внутреннего состояния больше заранее заданного значения, вредоносная активность присутствует или определение блоком принятия решений вредоносной активности на основе отличия от разрешенного поведения;
составляют отчет по подозрительной активности.
2. Способ по п.1, отличающийся тем, что по меньшей мере одно внутреннее событие поступает на вход конвейера, в котором сохраняется информация, которую в дальнейшем может использовать блок сигнатур.
3. Способ по п.1, отличающийся тем, что по меньшей мере один маркер создается на основе обнаружения вредоносной активности или объекта в сети или на конечном узле.
4. Способ по п.3, отличающийся тем, что по меньшей мере один маркер имеет время жизни.
5. Способ по п.3, отличающийся тем, что все маркеры имеют разный вес.
6. Способ по п.1, отличающийся тем, что внутреннее состояние состоит, по меньшей мере, из набора флагов, путей файлов, реестра, процессов, подписей, мьютексов, объектов синхронизации, счетчиков.
7. Способ по п.6, отличающийся тем, что внутреннее состояние имеет время жизни.
8. Способ по п.1, отличающийся тем, что блок принятия решений выполнен, по меньшей мере, в качестве линейной модели, обученного классификатора или нейронной сети.
9. Способ по п.1, отличающийся тем, что отчет о вредоносной активности содержит по меньшей мере маркеры сигнатур, вердикт блока принятия решений, информацию по хосту, содержимое переменных окружения, информацию о подключенных устройствах, снимок экрана, видео с экрана за момент детектирования, последовательность действий пользователя, граф инцидента.
10. Система определения вредоносной активности по анализу поведения объектов в неизолированной среде, содержащая:
блок обнаружения, установленный на хосте и выполненный с возможностью сбора информации о по меньшей мере одном потоке событий и передачи по меньшей мере одного потока событий на вычислительное устройство;
вычислительное устройство, выполненное с возможностью осуществления способа определения вредоносной активности по анализу поведения объектов в неизолированной среде по пп.1-9;
блок создания отчета.
RU2020121186A 2020-06-26 2020-06-26 Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде RU2743620C1 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2020121186A RU2743620C1 (ru) 2020-06-26 2020-06-26 Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде
PCT/RU2020/000319 WO2021262025A1 (ru) 2020-06-26 2020-06-30 Определение вредоносной активности по анализу поведения объектов в неизолированной среде
EP20942363.1A EP3985535A4 (en) 2020-06-26 2020-06-30 DETERMINATION OF MALICIOUS ACTIVITY BASED ON THE ANALYSIS OF BEHAVIOR OF OBJECTS IN A NON-ISOLATED ENVIRONMENT
US17/585,993 US20220147631A1 (en) 2020-06-26 2022-01-27 Method and system for detecting malicious activity

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020121186A RU2743620C1 (ru) 2020-06-26 2020-06-26 Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде

Publications (1)

Publication Number Publication Date
RU2743620C1 true RU2743620C1 (ru) 2021-02-20

Family

ID=74665984

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020121186A RU2743620C1 (ru) 2020-06-26 2020-06-26 Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде

Country Status (4)

Country Link
US (1) US20220147631A1 (ru)
EP (1) EP3985535A4 (ru)
RU (1) RU2743620C1 (ru)
WO (1) WO2021262025A1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9256735B2 (en) * 2011-10-10 2016-02-09 Masergy Communications, Inc. Detecting emergent behavior in communications networks
US9544321B2 (en) * 2015-01-30 2017-01-10 Securonix, Inc. Anomaly detection using adaptive behavioral profiles
US9654485B1 (en) * 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
RU2706896C1 (ru) * 2018-06-29 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле
US10530802B2 (en) * 2010-08-26 2020-01-07 Verisign, Inc. Method and system for automatic detection and analysis of malware

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US10282546B1 (en) * 2016-06-21 2019-05-07 Symatec Corporation Systems and methods for detecting malware based on event dependencies
US11277423B2 (en) * 2017-12-29 2022-03-15 Crowdstrike, Inc. Anomaly-based malicious-behavior detection
US20230113621A1 (en) * 2021-10-11 2023-04-13 Sophos Limited Automatically generated investigation container

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10530802B2 (en) * 2010-08-26 2020-01-07 Verisign, Inc. Method and system for automatic detection and analysis of malware
US9256735B2 (en) * 2011-10-10 2016-02-09 Masergy Communications, Inc. Detecting emergent behavior in communications networks
US9544321B2 (en) * 2015-01-30 2017-01-10 Securonix, Inc. Anomaly detection using adaptive behavioral profiles
US9654485B1 (en) * 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
RU2706896C1 (ru) * 2018-06-29 2019-11-21 Акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле

Also Published As

Publication number Publication date
US20220147631A1 (en) 2022-05-12
EP3985535A1 (en) 2022-04-20
EP3985535A4 (en) 2023-08-09
WO2021262025A1 (ru) 2021-12-30

Similar Documents

Publication Publication Date Title
RU2738344C1 (ru) Способ и система поиска схожих вредоносных программ по результатам их динамического анализа
US11188649B2 (en) System and method for classification of objects of a computer system
AU2016204068B2 (en) Data acceleration
US9990495B2 (en) Elimination of false positives in antivirus records
US11061756B2 (en) Enabling symptom verification
Roy et al. Perfaugur: Robust diagnostics for performance anomalies in cloud services
US20150356489A1 (en) Behavior-Based Evaluation Of Crowd Worker Quality
Pagani et al. Introducing the temporal dimension to memory forensics
CN107358096B (zh) 文件病毒查杀方法及系统
Zheng et al. Hound: Causal learning for datacenter-scale straggler diagnosis
Chen et al. Invariants based failure diagnosis in distributed computing systems
US10341164B2 (en) Modifying computer configuration to improve performance
WO2023177442A1 (en) Data traffic characterization prioritization
He et al. Multi-intention-aware configuration selection for performance tuning
Kardani‐Moghaddam et al. Performance anomaly detection using isolation‐trees in heterogeneous workloads of web applications in computing clouds
RU2743620C1 (ru) Способ и система определения вредоносной активности по анализу поведения объектов в неизолированной среде
US20230123509A1 (en) Prevention of Malicious End Point Behavior Through Stateful Rules
US10339308B1 (en) Systems and methods for remediating computer reliability issues
Cabău et al. Malware classification using filesystem footprints
Ljubuncic Problem-solving in High Performance Computing: A Situational Awareness Approach with Linux
RU2713760C1 (ru) Способ и система выявления эмулируемой мобильной операционной системы с использованием методов машинного обучения
US20240020391A1 (en) Log-based vulnerabilities detection at runtime
RU2602369C2 (ru) Система и способ уменьшения количества определений легитимного файла вредоносным
US20230237150A1 (en) Structured data flow identification for proactive issue detection
Ghiasvand Toward resilience in high performance computing: A prototype to analyze and predict system behavior