CN102332072A - 用于检测恶意软件和管理恶意软件相关信息的系统和方法 - Google Patents
用于检测恶意软件和管理恶意软件相关信息的系统和方法 Download PDFInfo
- Publication number
- CN102332072A CN102332072A CN2011103397870A CN201110339787A CN102332072A CN 102332072 A CN102332072 A CN 102332072A CN 2011103397870 A CN2011103397870 A CN 2011103397870A CN 201110339787 A CN201110339787 A CN 201110339787A CN 102332072 A CN102332072 A CN 102332072A
- Authority
- CN
- China
- Prior art keywords
- information
- different
- malware
- suspect object
- malice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
本发明公开了用于集中检测和管理供不同安全应用程序使用的恶意软件相关信息的系统、方法和计算机程序产品。在一个示例中,集中安全管理系统包括安全信息的中央知识数据库,该安全信息例如与不同类型的恶意软件及其它安全威胁有关的信息。该系统进一步包括解释器模块,该解释器模块提供多个定制的可扩展标示语言(XML)接口来接收和解析来自不同供应商开发的远程安全应用程序的信息查询。该系统进一步包括多个本地及远程分析模块(引擎),其使用包含在中央知识数据库中的恶意软件相关信息来分析来自安全应用程序的信息查询。
Description
技术领域
本发明总体上涉及计算机科学领域,具体而言涉及供不同安全应用程序使用的用于检测恶意软件和管理恶意软件相关信息的系统、方法和计算机程序产品。
背景技术
日趋复杂且迅速扩散的恶意的软件,也被称为恶意软件(malware),给个人计算机、企业计算机网络、个人通讯设备等带来日益增加的安全威胁。恶意的软件通常以文件传输的方式通过计算机网络进行传播,例如因特网、电子邮件或其它数据通讯工具。为了打击恶意软件的传播,不同的安全软件供应商开发了各种各样的计算机和网络安全产品,例如反病毒软件、反间谍软件、反钓鱼软件、反垃圾邮件软件、防火墙应用程序。
这些安全应用程序采用不同的方法来检测恶意软件和其它威胁。例如,签名检测技术利用从已知恶意软件获取的代码模板来对代码中的那些模板进行对象扫描。校验信息完整性的技术使用已知的可信任的(干净的)程序的代码并且利用其创建干净程序代码的拷贝用于后续的与应用程序的对比。在操作系统更新之后,信息完整性校验系统创建修改文件的长列表。校验和(checksum)监测系统使用循环冗余码(cyclic redundancy code,CRC)值来确定程序文件的完整性和可靠性。使用仿真技术在虚拟计算机环境中执行可疑程序以检测恶意行为。
由于各种安全应用程序是由不同的供应商开发的,使用不同的恶意软件检测技术,并且具有不同的数据通信和数据存储格式,所以这些应用程序通常不能彼此兼容。此外,每个应用程序都维护自身的恶意软件数据库,供应商定期采用有关最新的恶意软件和其它威胁的信息来更新该数据库。由于彼此不兼容,这些安全产品不能与彼此共享与已经检测出的恶意软件有关的信息。例如,当遇到新型恶意软件或威胁,但一种安全应用程序并未检测出该恶意软件或威胁,而另一种安全应用程序却已经识别出该类恶意软件时,共享与新威胁有关的信息将有助于阻止恶意软件的传播。因此,需要改进的系统来检测和管理恶意软件相关信息以及分配该信息给不同的安全应用程序。
发明内容
本发明公开了用于集中检测、存储和管理恶意软件相关信息以及分配该信息给不同的安全应用程序的系统、方法和计算机程序产品。在一个示范性实施例中,集中安全管理系统包括安全信息的中央知识数据库,例如有关不同种类的恶意软件和其它安全威胁的信息。该系统进一步包括解释器模块,该模块提供多个定制的XML接口以接收和解析来自不同供应商开发的远程安全应用程序的信息查询。该系统进一步包括多个本地和远程分析模块(引擎),该模块(引擎)使用包含于所述中央知识数据库中的恶意软件相关信息分析来自所述安全应用程序的信息查询。
在一个示范性实施例中,集中安全系统积聚来自不同安全威胁的信息并且向各种安全应用程序和各种分析模块提供到所积聚的信息的受控访问。所述不同的安全应用程序和分析模块可以包括但不限于:计算机应用程序或者由不同供应商提供的在线服务;实施不同的恶意软件检测技术,例如签名匹配、仿真、白名单或黑名单数据库等;驻留在不同的计算机系统,例如个人计算机、公司工作站和服务器、个人通信设备(例如智能手机),网络防火墙等;或者具备不同的系统访问策略。
在一个示范性实施例中,所述集中安全管理系统通过多个XML接口之一接收来自远程安全应用程序的有关可疑对象的信息查询。所述解释器模块从多个分析模块中选择两个或两个以上不同的分析模块来分析可疑对象中恶意软件的存在,并且将从所述远程安全应用程序接收到的有关所述可疑对象的信息提供给所选取的分析模块。分析模块采用不同的恶意软件分析技术来分析所述可疑对象。所述分析模块将所述分析的结果返回给所述解释器模块。该结果包括多个与所述可疑对象关联的信息参数,包括识别所述对象为恶意或者非恶意的参数。所述解释器模块通过所述多个XML接口之一将有关识别出的恶意对象的所述信息传送给所述安全应用程序以响应所述查询。
在一个示范性实施例中,如果所述分析的结果是至少一个分析模块识别所述可疑对象为恶意且另一个分析模块识别所述可疑对象为非恶意,则所述解释器模块识别在该可疑对象的一个或多个信息参数与存储在所述中央知识数据库中的其它已知的恶意和非恶意对象的信息参数之间的关联性。如果识别出的相关的恶意对象的数量超过识别出的相关的非恶意对象的数量,其中两个相关的对象具有至少一个基本相似的信息参数,则所述解释器模块识别该可疑对象为恶意软件,并将该分析的结果返回给所述安全应用程序。
以上本发明示范性实施例的概要用于提供对于这些实施例的基本理解。本概要并非本发明所有设想方面的广泛概述,且并非意图确认所有实施例的关键或特征因素,也并非描述某些或者全部实施例的范围。本概要的唯一目的是以简化的形式提出有关一个或多个方面的一些概念作为随后更加详尽的描述的前奏。为了达到前述的及相关的目的,该一个或多个实施例包括了下文中充分描述且权利要求中具体指出的特征。下面的说明以及附图详细地阐述了一个或多个实施例的某些示例性的特征。然而,这些特征仅仅表明了本发明的不同方面的原理能够得以应用的一些方式,并且本说明意图包括本发明的所有这些方面及其等同物。
附图说明
本发明的附图并入并作为本说明书的一部分用于示例性说明本发明的一个或多个示范性实施例。该附图结合下面的详细描述,用来解释本发明实施例的原理及实施方式。
附图中:
图1示出了根据一个示范性实施例计算机系统的示意图,该计算机系统用于实现用于检测恶意软件和管理恶意软件相关信息的系统;
图2示出了根据一个示范性实施例,用于检测恶意软件和管理恶意软件相关信息的系统的示意图;
图3A、图3B、图3C示出了根据不同的示范性实施例,用于存储恶意软件相关信息的对象数据结构的示意图;
图4示出了根据一个示范性实施例,用于检测恶意软件和管理恶意软件相关信息的方法的流程图;
图5示出了根据一个示范性实施例,用于检测恶意软件和管理恶意软件相关信息的另一种方法的流程图;
图6示出了根据一个示范性实施例,用于存储和管理恶意软件相关信息的面向对象的类的数据结构的示意图。
具体实施方式
本文将围绕供多个不同安全应用程序使用的用于恶意软件相关信息的集中安全管理的系统、方法和计算机程序产品来描述本发明的示范性实施例。本领域的普通技术人员将会意识到下面的描述仅仅是说明性的且并非意图作任何形式的限定。受益于本申请的本领域的技术人员将易于获得其他实施例的启示。现在将详尽地指出如何实施附图所示的本发明的具体实施例。贯穿附图及下面的描述,相同的附图标记用于尽可能的表示相同或类似的项目。
图1描述了计算机系统5的一个示范性实施例,例如网络服务器,其适用于实现本发明的集中安全系统,以及其它可以正在使用该安全系统的服务的计算设备,包括但不限于运行安全应用程序的个人电脑和服务器、移动通信设备、网络服务器及其它设备。正如图1所示,计算机系统5可以包括一个或多个处理器15、存储器20、一个或多个硬盘驱动器30、光盘驱动器35、串行端口40、图形卡45、声卡50和网卡55,上述设备通过系统总线10相连。系统总线10可以是几种类型总线结构的任意类型,包括存储器总线或存储控制器、外围总线和本地总线,上述总线使用各已知的总线结构的任意一种。处理器15可以包括一个或多个Intel? Core 2 Quad 2.33 GHz处理器或者其它类型的微处理器。
系统存储器20可以包括只读存储器(ROM)21和随机存取存储器(RAM)23。存储器20可以在DRAM (动态RAM)、EPROM、EEPROM、闪存或者其它类型的存储器结构中实现。ROM 21存储基本的输入/输出系统22(BIOS),其包含例如启动期间有助于在计算机系统5的组成部件之间传递信息的基本例程。RAM 23存储操作系统24(OS),例如Windows? XP Professional?或者其它类型的操作系统,其负责计算机系统5中的进程的管理与协调以及硬件资源的分配与共享。系统存储器20还存储在所述计算机系统5上运行的应用程序和程序25,例如安全应用程序。系统存储器20还存储程序25使用的各种运行时(runtime)数据26。
计算机系统5可以进一步包括硬盘驱动器30,例如1太字节(terabyte)SATA磁性硬盘驱动器(HDD),以及用于读取或写入可移动光盘的光盘驱动器35,例如CD-ROM、 DVD-ROM或者其它光学介质。驱动器30和35以及与之相关联的计算机可读介质提供对于计算机可读指令、数据结构、应用程序以及实施在此披露的算法和方法的程序模块/子程序的非易失性存储。尽管示范的计算机系统5使用磁盘和光盘,本领域的技术人员仍应意识到可存储可由计算机系统5所访问的数据的其它类型的计算机可读介质也可以应用于所述计算机系统的替代性实施例中,例如盒式磁带、闪存卡、数字视频光碟、RAMs、ROMs、EPROMs和其它类型的存储器。
计算机系统5进一步包括多个串行端口40,例如通用串行总线(USB),其用于连接数据输入设备75,例如键盘、鼠标、触摸板及其它。串行端口40还可用于连接数据输出设备80,例如打印机、扫描仪及其它,以及用于连接其它外围设备85,例如外部数据存储设备等。计算机系统5还可以包括图形卡45,例如nVidia? GeForce? GT 240M或者其它视频卡,其用于与监视器60或者其它视频再现设备联接。计算机系统5还可以包括声卡50,其用于经由内置或外置的扬声器65再现声音。此外,系统5可以包括网卡55,例如Ethernet、WiFi、GSM、蓝牙或者其它有线、无线或蜂窝网络接口,用于将计算机系统5连接到网络70,例如因特网(Internet)。
图2示出了本发明的集中安全系统200的示范性实施例的示意性框图。正如图中描绘的,系统200可以作为连接到因特网、内联网或者其它公共或专用网络的网络服务器或者一组服务器来实现。系统200包括管理模块220、解释器模块240、中央知识数据库230和各种内部分析模块250及外部分析模块260。内部分析模块250对于系统200而言可以是本地的,例如,所述内部分析模块250部署在同一服务器或同一局域网中。外部分析模块260通常远离系统200,例如,所述外部分析模块260部署在远程应用服务器中。不同的模块可以使用硬件、软件或其结合来实现。在一个实施例中,系统200可以被驻留在远程个人计算机及工作站210中的不同的外部安全应用程序215、外部分析模块260、第三方服务器270、移动通信设备(例如智能手机)、网络防火墙以及其它受到各种安全威胁和攻击的设备所访问。
在一个示范性实施例中,管理模块220控制对安全系统200的访问。例如,管理模块220可以为不同类型的安全应用程序215、分析模块250及260、第三方服务器270或者其它向系统200注册的实体维护多个访问策略。每个访问策略可以包含与使用系统200的服务的实体有关的信息,例如公司名称、由该公司持有的用于访问所述系统200的用户许可的数量、由该公司使用的访问所述系统200的安全应用程序的类型以及给予该实体的访问权的等级。例如,完全访问权可以允许该给定的实体对来自所述安全系统200的信息发出无限制数量的请求,以及允许该给定的实体将关于新威胁的信息提交给安全系统200。相比而言,部分访问权将允许该实体信息发出有限制数量的请求。在操作过程中,管理模块220从在所述系统注册的实体接收全部信息查询及其它类型的通信,识别该实体,查验相关联的访问策略,并将所述查询转发给解释器模块240。
在一个示范性实施例中,解释器模块240执行对于来自不同安全应用程序215的信息查询的解释。总体而言,信息查询可以包含关于安全应用程序215遇到的安全问题或者可疑文档、电子邮件消息、链接等的描述,安全应用程序215不能决定将其分类为恶意或者非恶意。由于不同的安全应用程序215可以由不同的软件供应商开发,可以使用不同的程序语言,可以在不同的平台上运行,并且可以具有不同的通信协议,所以解释器模块240提供多个允许与不同安全应用程序215通信的定制的可扩展标示语言(XML)接口。例如,管理模块220可以将该查询所来自的应用程序的识别信息提供给解释器模块240,解释器模块240将选择适当的XML接口以解析并处理来自该安全应用程序的查询。通过这种方式,安全系统200为不同供应商开发的不同安全应用程序215和寻找与未知类型的恶意软件及其它威胁有关的信息的其它实体提供跨平台的支持。
在另一个示范性实施例中,解释器模块240将对信息查询的分析委托给不同的模块250及260。例如,解释器模块240可以请求一个或多个可使用的分析模块来分析从安全应用程序215接收到的有关可疑文档或活动的信息。由于不同的分析模块250及260可以配置不同的恶意软件检测技术来分析并检测恶意的软件或者其它类型的威胁,所以所述分析模块可能需要来自中央数据库230的不同的恶意软件相关信息以便确定所述可疑文档或活动是否是恶意的,对该类型的威胁进行分类,以及确定适当的防御行为。为了达到上述目的,解释器模块240提供不同类型的XML接口来与这些分析模块进行通信。例如,解释器模块240可以使用定制XML接口将可疑对象提供给仿真模块250,然后使用该XML接口以请求/接收来自中央知识数据库230的供所述分析模块使用的附加信息。与此对比,解释器模块240可以使用与之不同的XML接口来将可疑网络活动的记录(log)提供给记录解析模块260,然后使用该XML接口以请求/接收来自知识数据库230的供所述分析模块使用的附加信息。通过使用定制的XML接口,系统200可以容易地将提供不同类型的分析逻辑来检测恶意软件的不同的分析模块250及260集成起来。
在一个示范性实施例中,分析模块250及260包含处理逻辑以分析并归类安全应用程序215不能识别的安全威胁。这些模块能够在系统200的内部运行(如模块250),也能够在系统200的外部运行(如模块260)。在一个示范性实施例中,分析模块250及260可以包括一个或多个服务器以执行由不同软件开发商开发的几种不同的反病毒引擎。每个反病毒引擎可以维护自身的包含恶意软件相关信息的本地数据库265。解释器模块240可配置为使用不同的可用反病毒引擎来同时测试可疑文档。换句话说,同一可疑文档实际上可同时被两个或多个分析模块所分析。表明该可疑文档是否为恶意的以及如果该可疑文档是恶意时所必须采取的防御行为的分析结果被传送给解释器模块240,解释器模块240转而将该分析的结果转发给发起该查询的安全应用程序215。此外,正如在此将要更详细地描述的那样,解释器模块240可以对新的恶意文档进行分类并将其添加到中央知识数据库230用于今后的参照。
在另一个示范性实施例中,另外的分析模块250或260可以包括仿真引擎,该仿真引擎在安全虚拟环境中执行由解释器模块240提供的可疑文档。该虚拟环境可以配置成与计算机210的初始环境相应,在此初始环境中,安全应用程序215根据管理模块220中的有关计算机210的可用信息发现该可疑文档。例如,如果计算机210运行Windows XP?操作系统,则该虚拟环境可以被创建成模拟Windows XP?操作系统。使用仿真技术检测恶意软件的示范性系统披露于共有的专利号为7,614,084的美国专利中,在此通过引用的方式将其全文合并到本文中。表明该可疑文档是否为恶意的以及如果该文档是恶意时所必须采取的防御行为的分析结果由解释器模块240传送给应用程序215。此外,解释器模块240可以对新的恶意文档进行分类并将其添加到中央数据库230用于今后的参照。
在另一个示范性实施例中,另外的分析模块250或260可以包括签名分析器引擎,该引擎将安全应用程序215提供的可疑文档的签名(例如散表)与包含已知恶意文档的签名的其本地数据库265或者包含在中央数据库230中的签名进行比较。如果签名分析器引擎确定该可疑文档的签名与已知恶意软件的签名相匹配,则该可疑文档被识别为那个类型的恶意软件,报告给解释器模块240。解释器模块240可以转而在中央数据库230中检查对于此特定类型的恶意软件必须采取何种类型的防御行为。然后,解释器模块240将与已检测到的恶意软件有关的信息和与需要采取的保护计算机210免受该类型恶意软件攻击的行为类型有关的信息传达给安全应用程序215。如果已检测到的恶意软件是新类型的恶意软件,则解释器模块240可以对该恶意软件进行适当的分类,并将其添加到中央知识数据库230用于今后的参照。
在另一个示范性实施例中,分析模块250或260可以包括记录解析器引擎。该引擎可以配置为分析在计算机210或相关联的网络中安全应用程序215所检测到的可疑程序的执行记录或者可疑网络活动的记录。程序执行记录通常表明了可疑程序执行的一系列事件,例如可疑的系统呼叫或者存储器访问。网络活动记录通常表明了一系列可疑网络活动,例如异常流量、未授权的登录尝试或文档访问、窃听活动等。如果记录解析器引擎识别出恶意的程序活动或网络攻击,则将其报告给解释器模块240,解释器模块240转而将此报告连同对于该恶意的程序或网络威胁所必须采取的防御行为类型的信息一起报告给应用程序215。此外,该恶意的程序或网络活动可以被解释器模块240分类并添加到中央数据库230中。
然而在另一个示范性实施例中,安全系统200可以配置为向托管在远程服务器270上的第三方专家系统提供有关已知或新近发现的恶意软件及计算机威胁的信息。例如,所述第三方专家系统270可以拥有自身的本地恶意软件数据库275,但是可能需要用安全系统200积累的有关新型恶意软件的当前信息来对其进行更新。在此种情况下,服务器270可以定期向系统200查询有关新型恶意软件的信息或者收集有关不同类型恶意软件及其它威胁的统计信息。管理模块220将确定服务器270是否可以使用服务器访问策略向系统注册,并进一步将授权的查询转发给解释器模块240。模块240使用适当的XML接口接收该请求,其将会解析来自服务器270的信息查询,然后向中央知识数据库230查询所请求的有关特定类型恶意软件的信息。检索到的信息采用适当的XML接口被转发给服务器270。
在一个示范性实施例中,安全系统200可易于扩展,以适应数量不断增长的不同的安全应用程序215和使用系统的服务的远程服务器270。完全相同的分析模块250及260的数量可以增加或者减少以便提高安全系统200的处理能力及效率。例如,所述系统可以被调整以包括三个运行仿真引擎的服务器、五个运行签名分析器引擎的服务器、两个运行记录解析器引擎的服务器以及其它类型的分析模块,其数量取决于来自不同安全应用程序215和服务器270的信息查询量。在一个示范性实施例中,解释器模块240可被配置为管理所有分析模块之间的任务分配,以便使用已知技术来优化系统效率及实现内部和外部分析模块之间的均衡负载分布。
在一个示范性实施例中,中央知识数据库230可以包括一个或多个SQL服务器,解释器模块240使用XML接口可以访问该服务器。总体而言,该数据库230是与已知安全威胁有关的信息的存储处,该已知的安全威胁例如计算机病毒、间谍软件、垃圾邮件、网络钓鱼脚本、网络攻击和其它类型的安全威胁;也是与针对上述安全威胁的不同类型防御行为有关的信息的存储处,该防御行为例如已检测到的恶意软件的隔离或排除、被感染文档的终止执行、因特网或电子邮件服务的阻断等。另外,中央知识数据库230可以包含白名单数据库,其包含有关非恶意对象的信息,例如文档、脚本、插件、应用程序、网站等。而且,中央知识数据库230可以包括与利用安全系统服务的不同类型安全应用程序有关的信息,这些信息包括软件开发商/供应商信息、软件版本信息、本地恶意软件数据库更新状态、访问等级(完全,有限等)、应用程序故障排除信息等。此外,该数据库230包含有关本地分析模块250和远程分析模块260的信息,包括软件开发商/供应商信息、软件版本信息、本地恶意软件数据库更新状态、模块所使用的分析技术(例如签名扫描、仿真、白名单知识数据库等)、模块故障排除信息等。解释器模块240使用分析模块250及260检测到的有关新型恶意及非恶意对象的信息和其它信息来定期更新中央知识数据库230。
在一个示范性实施例中,有关各种恶意对象即恶意文档、程序、脚本、网站等的信息,可以以类的对象的形式存储于系统200中。图3A-图3C描绘了用于在安全系统200内存储恶意软件相关的信息的类的实施例。图3A示出了在该类中所有参数的信息可以被分成两部分:基本信息310和补充信息320。基本信息310可以包括例如有关恶意对象(文档名称及文档路径)类型的信息、对象源、该对象在何地何时被创建、该对象被发送给谁等。描述此对象的所有其它参数包括补充信息320。例如,该补充信息可以包括但不限于:恶意对象的MD5散表(hash),其可以用于该对象的签名分析;非常易受此类型恶意对象影响的系统组件的识别;与为保护计算机系统免受此类型对象的攻击所必须采取的防御行为有关的信息,例如该恶意对象的隔离或排除、受感染文档的终止执行、因特网或电子邮件访问的阻断等。
在一个示范性实施例中,分析模块250及260为每个已分析的可疑文档或威胁创建新类型的对象。分析模块在恶意软件分析期间完成对所有基本和所有补充信息的收集并将其通过适当的XML接口发送给解释器模块240。由于这些分析模块执行不同类型的分析并且使用来自中央知识数据库230的不同信息,所以对于相同恶意文档或威胁所产生的数据对象可能是不同的;这些所产生的数据对象可能有不同数目的字段或者在相同的字段中有不同的信息。例如,如图3B中所示,分析模块250及260可以为同一可疑文档(文档名1)创建两个不同的对象330和340,然而,其余的关于这些对象的基本及补充信息可以是不同的;例如,这些对象可以有不同的文档路径,其归因于有关此可疑文档的信息查询来自不同的安全应用程序;这些对象可以有不同的MD5散表值,其归因于这些文档可能已经被改变。因此,在这些信息可以被添加到中央知识数据库230以及被报告给安全应用程序215之前,解释器模块240必须确定这些对象是相关的并且一定是彼此相互关联的。
在一个示范性实施例中,这些相关的对象可以由解释器模块240进行分析并基于匹配参数加以关联以获得供非匹配参数使用的全部替代选择。例如,能够通过名称来相互关联对象330和340,并且能够发现用于具有相同名称的对象的所有MD5散表,正如图3B中所示。类似地,解释器模块240能够通过MD5散表值使对象350和360相互关联,并且在用户系统中获取全部替代选择的名称(以不同的名称,在不同的位置),正如图3C中所示。通过这种方式,相关的对象,包括恶意和非恶意的对象,可以被识别并且彼此相互关联。如果在相互关联的过程中已发现新的参数,则解释器模块240用该新参数在中央知识数据库230中为该对象更新补充信息字段,并且向请求该对象的安全应用程序提供更新后的信息。
图4描绘了解释器模块240的操作算法的一个示范性实施例。在步骤410中,解释器模块从安全应用程序215接收关于可疑对象(例如文档、链接或者活动记录)的信息查询。在步骤420中,解释器模块选择一个或者多个分析模块250或260用来分析该给定查询,并且将该查询通过相关联的XML接口转发给所选取的模块。在分析模块分析该对象的期间,解释器模块可以从所选取的分析模块接收对于来自中央数据库230的信息的请求。解释器模块240将所有来自数据库230的对于该可疑对象的分析为必要的可用信息提供给分析模块。如果在步骤430中,分析模块提供不一致的分析结果,即一个分析模块识别该可疑对象为恶意的且另一分析模块识别该对象为非恶意的,则在步骤440中,解释器模块240可以识别分析模块所提供的不一致结果之间的关联性,以便最终确定该对象是否为恶意的。在一个示范性实施例中,可以使用统计分析来识别关联性(其示例被示出于图5中)。在其它实施例中,专家系统、模糊逻辑规则、遗传算法或者披露于专利号为7,530,106的共有美国专利中的安全风险评级系统,均可以用于将不一致的结果统一起来,该美国专利再次通过引用的方式合并到本文中。如果所有的分析结果是一致的且在步骤450中,该可疑对象被所有的分析模块识别为非恶意的,则过程移动到步骤490,在此步骤中,解释器模块将该分析结果报告给请求该结果的安全应用程序。如果在步骤450中,该对象被所有的分析模块识别为恶意的,则解释器模块确定是否检测到了新型恶意软件,例如,通过检查在中央知识数据库230中是否有关于此恶意对象的任何信息。如果在中央知识数据库230中没有关于所检测到的恶意对象的信息,则在步骤470中,解释器模块在数据库230中为该新的恶意对象创建恶意软件的新的类。如果该对象不是新的,则在步骤480中,解释器模块使用分析模块在分析该对象的期间所发现的任何新参数来更新中央数据库记录。最后,在步骤490,解释器模块将分析结果报告给发起该信息查询的安全应用程序215。
图5示出了由解释器模块240执行的统计分析算法的一个示范性实施例,该算法用于识别从两个或多个分析模块接收的不一致的分析结果之间的关联性。在步骤510中,解释器模块从两个或多个分析模块接收不一致的分析结果。当某些分析模块识别可疑对象为恶意的而其它的分析模块识别该可疑对象为非恶意的时候,此分析结果不一致。例如,签名分析器可能确定可疑文档为非恶意的,而仿真引擎可能确定同一文档表现出恶意的活动。在此情况下,解释器模块可以使用统计分析来识别该可疑对象的不同参数与存储在中央数据库230中的其它恶意及非恶意对象的相似参数之间的关联性。为达到上述目的,在步骤520中,解释器模块选择该可疑对象的基本或者补充参数(310或320)之一。例如,该给定可疑对象的文档路径(或链接)可以被选作适合的关联参数。在步骤530,解释器模块通过在中央知识数据库230中搜寻具有基本相似的文档路径参数的其它对象(例如与可疑对象下载自同一网站的对象)来执行统计分析。如果在步骤540中,解释器模块确定具有大体相似的文档路径参数的已识别恶意对象的总数超过具有大体相似的文档路径的非恶意对象的总数一定的百分比(例如至少25%)或者其它标准,则解释器模块可以得出该可疑对象为恶意的结论,同时流程转到步骤570。然而,如果在步骤540中,解释器模块没有在该可疑对象与中央数据库中的其它对象的文档路径参数之间发现任何关联性,因而也就不能得出该可疑对象是否为恶意的结论,则解释器模块可以在步骤520中选择其它参数,并且使用该参数重复所述统计分析。如果在步骤550中所有的参数都已经被使用,但是所述统计分析没有得出该对象是否为恶意的确凿答案,则在步骤560中发送所有的分析结果给专家人工进行审查。接下来,在步骤570中,解释器模块在中央数据库中存储/更新统计分析的结果或者专家人工审查的结果,并在步骤580中,将该分析结果报告给发起该信息查询的安全应用程序215。
图6示出了由解释器模块240使用的类数据结构的一个示范性实施例,用于实例化图3中所示的用于存储恶意软件相关信息的类用例(class Case)的对象。类用例610为存储于中央数据库230中的对象定义多个参数620(基本的和补充的),并且定义多个函数630用于访问及修改所述对象的参数。在一个示范性实施例中,所述类可以使用XML格式来定义,并且可以使用XML接口来访问各参数。以下提供对于类用例不同函数及其使用的简要描述。
例如,解释器模块240可以使用函数CaseLoad 640通过不同的参数字段来搜索中央数据库230中的对象。例如,可以在针对可疑对象的统计分析期间以及对象更新期间使用该函数。该函数返回具有一个或多个所请求的搜索参数的对象的列表。可以使用任意以下参数来搜索该对象:
case_id:整数(integer)-唯一的对象标识符;
file_name:字符串(string)-该对象的名称;
date_open:日期时间(datatime)-该对象被创建的日期及时间;
date_lastop:日期时间(datatime)-此对象的最后修改日期及时间;
current_status:整数(integer)-该对象(恶意或非恶意)的当前状态);
compl_level:整数(integer)-该对象的复杂等级;
antivirus:整数(integer)-检测此对象的分析模块的标识符;
file_path:字符串(string)-关于对象源路径的信息(例如URL);
MD5-sum:整数(integer)-该对象的MD5散表;以及
problem:字符串(string)-恶意对象行为的描述。
在例如分析模块提供有关此对象的新信息的时候,解释器模块240可以使用函数CaseUpdate 650来修改/更新由case_id识别的对象的参数。解释器模块可以使用函数CaseClose 660来存储将更新存储于中央数据库中并关闭用case_id识别的对象。
通过其他描述存储于中央数据库230中的恶意和非恶意对象的参数以及允许解释器模块240访问、搜索和修改存储于类用例所实例化的对象中的数据的附加函数,可以对以上类结构进行扩展。在一个示范性实施例中,内部分析模块250也支持相同的类结构,该类结构简化了在这些分析模块、解释器模块和中央数据库之间的信息交换。为了与配置其它类结构以维护和传输数据的外部分析模块进行通信,解释器模块可以使XML接口定制为以本地格式接收来自那些分析模块的数据并将接收到的数据映射为类用例的格式以在系统200中加以处理和存储。
本发明的集中安全系统相对于现有技术有很多优势。该集中安全系统的一个优势是,其为配置了由不同供应商开发的不同的安全和反病毒软件、防火墙及其它产品的公司安全架构的安装提供更大的灵活性。例如,公司网络中的安全应用程序可以具有安全规则,所述安全规则指定如果用户的工作站之一检测到未知但可疑的活动,则该用户对于因特网和电子邮件的访问必须被阻断直到已检测到的威胁的实际危险被安全人员所确定。然而,如果安全应用程序有权访问本发明的集中安全系统,则该应用程序可以使用有关已检测到的活动的可用信息查询所述安全系统,并实时接收有关已检测到的活动实际上是否为恶意的响应以及关于适当防御行为的信息。所述安全系统提高了不同安全应用程序保护公司网络免受恶意软件和其它威胁攻击的效力。
在不同的实施例中,在此描述的算法和方法可以通过硬件、软件、固件(firmware)或者其任意组合来实现。如果以软件实现,可以一条或多条指令或代码的形式将所述函数存储在非暂时性的计算机可读介质上。计算机可读介质包括计算机存储器和方便计算机程序从一处传递到另一处的通信介质。存储介质可以是可被计算机访问的任何可用介质。根据实施例但并非限定,这样的计算机可读介质包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器、磁盘存储器或其它磁性存储器设备或者可用于以指令或数据结构的形式携带或存储所需的程序代码并且可被计算机访问的任何其它介质。此外,任何连接均可称为计算机可读介质。例如,如果从网站、服务器或其它远程资源传输软件是使用同轴电缆、光缆、双绞线、数字用户专用线(DSL)或者诸如红外线、无线电及微波之类的无线技术的方式,则该连接方式包括在介质的定义中。
为了清楚起见,在此并未对实施本发明的所有常规特征加以示出和描述。应当意识到在任何这类实际的实施方式的开发过程中,必须做出大量特定的实施方式决策以实现开发者的特定目标,同时应当意识到这些特定目标将随实施方式的不同以及开发者的不同而改变。而且,应当意识到这类开发工作可能是复杂且耗费时间的,但是对于受益于本文公开内容的本领域的普通技术人员而言,都将是常规的工程任务。
此外,可以理解的是在此使用的措辞或术语是为了描述而非限定的目的,以便本领域的技术人员根据在此提出的教导及指引并结合相关领域技术人员所掌握的知识来解读本说明书中的措辞或术语。而且,除非如此明确的予以阐述,否则本说明书或权利要求中的任何术语均并非意图归结为非常规或者特殊的含义。在此披露的各种实施例包含现在及将来与在此通过示例的方式所提及的已知组件的已知等同物。而且,尽管已经示出及描述了实施例及其应用,但对于受益于本发明的本领域的技术人员而言显而易见的是,在不脱离本申请中所披露的发明构思的情况下,比以上提及的更多的修改是可能的。
Claims (20)
1.一种用于检测恶意软件的计算机实施方法,所述方法包括:
从多个分析引擎中选择两个或者多个不同的分析引擎用于分析可疑对象是否存在恶意软件,其中不同的分析引擎使用不同的恶意软件分析技术;
将关于所述可疑对象的信息提供给所述所选择的分析引擎;
从所述所选择的分析引擎接收分析所述可疑对象的结果,其中所述结果包括多个与所述可疑对象相关联的信息参数,所述信息参数包括识别所述对象为恶意或非恶意的参数;
如果至少一个分析引擎识别所述可疑对象为恶意的且至少一个其它分析引擎识别所述可疑对象为非恶意的,则识别所述可疑对象的一个或多个信息参数与存储于知识数据库中的其它已知恶意和非恶意对象的信息参数之间的关联性;以及
如果已识别的关联的恶意对象的数量超过已识别的关联的非恶意对象的数量,则识别所述可疑对象为恶意软件,其中两个关联的对象具有至少一个基本相似的信息参数。
2.根据权利要求1所述的方法,进一步包括:
提供多个定制为接收来自不同安全应用程序的数据并传送数据给不同安全应用程序的不同的第一XML接口;以及
提供多个定制为接收来自不同分析引擎的数据并传送数据给不同分析引擎的不同的第二XML接口。
3.根据权利要求2所述的方法,进一步包括:
通过所述多个第一XML接口之一从远程安全应用程序接收关于所述可疑对象的信息查询;以及
通过所述多个第一XML接口之一向所述安全应用程序传送关于已识别的恶意对象的信息以响应所述查询。
4.根据权利要求2所述的方法,其中至少部分基于在所述多个不同分析引擎之间的处理负载的均衡分布,从所述多个分析引擎中选择两个或者多个分析引擎。
5.根据权利要求1所述的方法,其中所述所选择的两个或多个分析引擎基本上同时分析所述可疑对象是否存在恶意软件。
6.根据权利要求2所述的方法,进一步包括:
在所述所选择的分析引擎分析所述可疑对象期间,通过所述多个第二XML接口之一从所述所选择的分析引擎接收对于关于已知恶意对象的信息的请求;
从所述知识数据库检索所述被请求的信息;以及
通过所述多个第二XML接口之一传送所述检索到的信息给所述所选择的分析引擎以供在恶意软件分析期间使用。
7.根据权利要求1所述的方法,进一步包括:如果两个或多个所选择的分析引擎识别所述可疑对象为恶意的,但是提供新的或不同的关于所述已识别的恶意对象的信息参数,则在所述知识数据库中识别一个或多个关联的恶意对象,并使用所述新的或不同的信息参数来更新所述已识别的关联的恶意对象。
8.用于检测恶意软件的系统,所述系统包括:
存储器,其配置为存储关于已知的恶意和非恶意对象的信息的知识数据库;以及
处理器,其与所述存储器耦合,所述处理器配置为:
从多个分析引擎中选择两个或者多个不同的分析引擎用于分析可疑对象是否存在恶意软件,其中不同的分析引擎使用不同的恶意软件分析技术;
将关于所述可疑对象的信息提供给所述所选择的分析引擎;
从所述所选择的分析引擎接收分析所述可疑对象的结果,其中所述结果包括多个与所述可疑对象相关联的信息参数,所述信息参数包括识别所述对象为恶意或非恶意的参数;
如果至少一个分析引擎识别所述可疑对象为恶意的且至少一个其它分析引擎识别所述可疑对象为非恶意的,则识别所述可疑对象的一个或多个信息参数与存储于所述知识数据库中的其它已知恶意和非恶意对象的信息参数之间的关联性;以及
如果已识别的关联的恶意对象的数量超过已识别的关联的非恶意对象的数量,则识别所述可疑对象为恶意软件,其中两个关联的对象具有至少一个基本相似的信息参数。
9.根据权利要求8所述的系统,其中所述处理器进一步配置为:
提供多个定制为接收来自不同安全应用程序的数据并传送数据给不同安全应用程序的不同的第一XML接口;以及
提供多个定制为接收来自不同分析引擎的数据并传送数据给不同分析引擎的不同的第二XML接口。
10.根据权利要求9所述的系统,其中所述处理器进一步配置为:
通过所述多个第一XML接口之一从远程安全应用程序接收关于所述可疑对象的信息查询;以及
通过所述多个第一XML接口之一向所述安全应用程序传送关于已识别的恶意对象的信息以响应所述查询。
11.根据权利要求9所述的系统,其中至少部分基于在所述多个不同分析引擎之间的处理负载的均衡分布,从所述多个分析引擎选择两个或者多个分析引擎。
12.根据权利要求8所述的系统,其中所述所选择的两个或多个分析引擎基本上同时分析所述可疑对象是否存在恶意软件。
13.根据权利要求9所述的系统,其中所述处理器进一步配置为:
在所选择的分析引擎分析所述可疑对象期间,通过所述多个第二XML接口之一从所述所选择的分析引擎接收对于关于已知恶意对象的信息的请求;
从所述知识数据库检索所述被请求的信息;以及
通过所述多个第二XML接口之一传送所述检索到的信息给所述所选择的分析引擎以供在恶意软件分析期间使用。
14.根据权利要求8所述的系统,其中所述处理器进一步配置为:
如果两个或多个所选择的分析引擎识别所述可疑对象为恶意的,但是提供新的或不同的关于所述已识别的恶意对象的信息参数,则在所述知识数据库中识别一个或多个关联的恶意对象,并使用所述新的或不同的信息参数来更新所述已识别的关联的恶意对象。
15.嵌入在非暂时性的计算机可读存储介质中的计算机程序产品,所述计算机可读存储介质包括用于检测恶意软件的计算机可执行指令,所述介质包括指令用于:
从多个分析引擎中选择两个或者多个不同的分析引擎用于分析可疑对象是否存在恶意软件,其中不同的分析引擎使用不同的恶意软件分析技术;
将关于所述可疑对象的信息提供给所述所选择的分析引擎;
从所述所选择的分析引擎接收分析所述可疑对象的结果,其中所述结果包括多个与所述可疑对象相关联的信息参数,所述信息参数包括识别所述对象为恶意或非恶意的参数;
如果至少一个分析引擎识别所述可疑对象为恶意的且至少一个其它分析引擎识别所述可疑对象为非恶意的,则识别所述可疑对象的一个或多个信息参数与存储于知识数据库中的其它已知恶意和非恶意对象的信息参数之间的关联性;以及
如果已识别的关联的恶意对象的数量超过已识别的关联的非恶意对象的数量,则识别所述可疑对象为恶意软件,其中两个关联的对象具有至少一个基本相似的信息参数。
16.根据权利要求15所述的计算机程序产品,进一步包括指令用于:
提供多个定制为接收来自不同安全应用程序的数据并传送数据给不同安全应用程序的不同的第一XML接口;以及
提供多个定制为接收来自不同分析引擎的数据并传送数据给不同分析引擎的不同的第二XML接口。
17.根据权利要求16所述的计算机程序产品,进一步包括指令用于:
通过所述多个第一XML接口之一从远程安全应用程序接收关于所述可疑对象的信息查询;以及
通过所述多个第一XML接口之一向所述安全应用程序传送关于已识别的恶意对象的信息以响应所述查询。
18.根据权利要求16所述的计算机程序产品,其中至少部分基于所述多个不同分析引擎之间的处理负载的均衡分布,从所述多个分析引擎选择两个或者多个分析引擎。
19.根据权利要求15所述的计算机程序产品,其中所述所选择的两个或多个分析引擎基本上同时分析所述可疑对象是否存在恶意软件。
20.根据权利要求16所述的计算机程序产品,进一步包括指令用于:
在所述所选择的分析引擎分析所述可疑对象期间,通过所述多个第二XML接口之一从所选择的分析引擎接收对于关于已知恶意对象的信息的请求;
从所述知识数据库检索所述被请求的信息;以及
通过所述多个第二XML接口之一传送所述检索到的信息给所述所选择的分析引擎以供在恶意软件分析期间使用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2010144590/08A RU2444056C1 (ru) | 2010-11-01 | 2010-11-01 | Система и способ ускорения решения проблем за счет накопления статистической информации |
| RURU2010144590 | 2010-11-01 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102332072A true CN102332072A (zh) | 2012-01-25 |
| CN102332072B CN102332072B (zh) | 2015-03-25 |
Family
ID=44719377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110339787.0A Active CN102332072B (zh) | 2010-11-01 | 2011-11-01 | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8056136B1 (zh) |
| EP (1) | EP2447877B1 (zh) |
| CN (1) | CN102332072B (zh) |
| RU (1) | RU2444056C1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103368987A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 云服务器、应用程序的审核认证及管理系统和方法 |
| CN104363201A (zh) * | 2014-10-11 | 2015-02-18 | 中国农业银行股份有限公司 | 一种服务器投产变更方法和系统 |
| CN104424440A (zh) * | 2013-09-03 | 2015-03-18 | 韩国电子通信研究院 | 用于对于移动恶意软件进行多重检查的设备和方法 |
| CN106161373A (zh) * | 2015-04-10 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 一种安全防护信息提示方法、安全监控装置以及系统 |
| CN106295333A (zh) * | 2015-05-27 | 2017-01-04 | 安恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
| CN108073808A (zh) * | 2017-12-21 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于pdb调试信息生成攻击者画像的方法及系统 |
| CN108369625A (zh) * | 2015-12-19 | 2018-08-03 | 比特梵德知识产权管理有限公司 | 用于保护多个网络端点的双重存储器内省 |
| CN110383238A (zh) * | 2016-05-15 | 2019-10-25 | 新思科技有限公司 | 用于基于模型的软件分析的系统和方法 |
| CN110781496A (zh) * | 2012-03-19 | 2020-02-11 | 高通股份有限公司 | 用以检测恶意软件的计算装置 |
| CN111224942A (zh) * | 2019-11-20 | 2020-06-02 | 重庆邮电大学 | 基于三元关联图检测的恶意软件传播控制方法及装置 |
| CN111835757A (zh) * | 2020-07-10 | 2020-10-27 | 厦门靠谱云股份有限公司 | 一种基于遗传算法的混合兼容式sql注入检测方法及系统 |
| US20220131893A1 (en) * | 2019-02-15 | 2022-04-28 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
| CN110521228B (zh) * | 2017-06-16 | 2024-04-02 | 摩托罗拉移动有限责任公司 | 恶意单元检测信息 |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003209194A1 (en) | 2002-01-08 | 2003-07-24 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| US9501644B2 (en) | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
| EP3651028A1 (en) | 2010-07-26 | 2020-05-13 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| US8955133B2 (en) * | 2011-06-09 | 2015-02-10 | Microsoft Corporation | Applying antimalware logic without revealing the antimalware logic to adversaries |
| WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
| CN102411687B (zh) * | 2011-11-22 | 2014-04-23 | 华北电力大学 | 未知恶意代码的深度学习检测方法 |
| US8868753B2 (en) | 2011-12-06 | 2014-10-21 | Seven Networks, Inc. | System of redundantly clustered machines to provide failover mechanisms for mobile traffic management and network resource conservation |
| WO2013086455A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
| RU2472215C1 (ru) | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки |
| AU2013263373B2 (en) | 2012-02-21 | 2015-05-21 | Logos Technologies, Llc | System for detecting, analyzing, and controlling infiltration of computer and network systems |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| US20130303118A1 (en) * | 2012-05-11 | 2013-11-14 | T-Mobile Usa, Inc. | Mobile device security |
| RU2488880C1 (ru) * | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
| US10607007B2 (en) | 2012-07-03 | 2020-03-31 | Hewlett-Packard Development Company, L.P. | Micro-virtual machine forensics and detection |
| US9922192B1 (en) * | 2012-12-07 | 2018-03-20 | Bromium, Inc. | Micro-virtual machine forensics and detection |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
| US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| US10114960B1 (en) * | 2014-03-20 | 2018-10-30 | Amazon Technologies, Inc. | Identifying sensitive data writes to data stores |
| EP3138056A1 (en) * | 2014-04-30 | 2017-03-08 | Twitter, Inc. | Software development kit platform |
| RU2606564C1 (ru) * | 2015-09-30 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ блокировки выполнения сценариев |
| RU2622626C2 (ru) * | 2015-09-30 | 2017-06-16 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения фишинговых сценариев |
| US10284598B2 (en) * | 2016-01-29 | 2019-05-07 | Sophos Limited | Honeypot network services |
| US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US11271955B2 (en) * | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| US11240275B1 (en) * | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| TWI657681B (zh) * | 2018-02-13 | 2019-04-21 | 愛迪爾資訊有限公司 | 網路流分析方法及其相關系統 |
| US11050772B2 (en) * | 2018-12-05 | 2021-06-29 | Bank Of America Corporation | Method and system for identification and prevention of profiling attacks in electronic authorization systems |
| GB201820853D0 (en) * | 2018-12-20 | 2019-02-06 | Palantir Technologies Inc | Detection of vulnerabilities in a computer network |
| CN109766391B (zh) * | 2019-01-21 | 2024-01-23 | 武汉易万科技有限公司 | 检测系统、检测方法以及计算机可读介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002103533A1 (en) * | 2001-05-22 | 2002-12-27 | Worldcom, Inc. | System and method for malicious code detection |
| WO2003010670A1 (en) * | 2001-07-26 | 2003-02-06 | Networks Associates Technology, Inc. | Scanner api for executing multiple scanning engines |
| CN101340434A (zh) * | 2008-05-15 | 2009-01-07 | 王瑞 | 网站恶意内容检测与认证方法及系统 |
| US20090300761A1 (en) * | 2008-05-28 | 2009-12-03 | John Park | Intelligent Hashes for Centralized Malware Detection |
| US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6564321B2 (en) | 1995-04-28 | 2003-05-13 | Bobo Ii Charles R | Systems and methods for storing, delivering, and managing messages |
| US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
| GB2353372B (en) * | 1999-12-24 | 2001-08-22 | F Secure Oyj | Remote computer virus scanning |
| US7636945B2 (en) | 2000-07-14 | 2009-12-22 | Computer Associates Think, Inc. | Detection of polymorphic script language viruses by data driven lexical analysis |
| US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US7346928B1 (en) * | 2000-12-01 | 2008-03-18 | Network Appliance, Inc. | Decentralized appliance virus scanning |
| US6990439B2 (en) | 2001-01-10 | 2006-01-24 | Microsoft Corporation | Method and apparatus for performing machine translation using a unified language model and translation model |
| US7058857B2 (en) | 2001-10-10 | 2006-06-06 | International Business Machines Corporation | Method and system for testing a software product |
| US7093002B2 (en) * | 2001-12-06 | 2006-08-15 | Mcafee, Inc. | Handling of malware scanning of files stored within a file storage device of a computer network |
| US7415726B2 (en) * | 2001-12-28 | 2008-08-19 | Mcafee, Inc. | Controlling access to suspicious files |
| US7395436B1 (en) * | 2002-01-31 | 2008-07-01 | Kerry Nemovicher | Methods, software programs, and systems for electronic information security |
| WO2003069442A2 (en) | 2002-02-12 | 2003-08-21 | Sandpiper Software, Inc. | Ontology frame-based knowledge representation in the unified modeling language (uml) |
| US7284273B1 (en) * | 2003-05-29 | 2007-10-16 | Symantec Corporation | Fuzzy scanning system and method |
| EP1661025A4 (en) | 2003-08-11 | 2010-05-26 | Chorus Systems Inc | SYSTEMS AND METHOD FOR GENERATING AND USING AN ADAPTIVE REFERENCE MODEL |
| US7472422B1 (en) * | 2003-09-10 | 2008-12-30 | Symantec Corporation | Security management system including feedback and control |
| JP2007535723A (ja) | 2003-11-04 | 2007-12-06 | キンバリー クラーク ワールドワイド インコーポレイテッド | 複合ソフトウエアシステムを実施して検証するための自動多次元追跡可能性行列を含む試験ツール |
| JP2005277804A (ja) * | 2004-03-25 | 2005-10-06 | Hitachi Ltd | 情報中継装置 |
| US7490352B2 (en) | 2005-04-07 | 2009-02-10 | Microsoft Corporation | Systems and methods for verifying trust of executable files |
| US7577661B2 (en) | 2005-06-30 | 2009-08-18 | Microsoft Corporation | Extensible and automatically replicating server farm configuration management infrastructure |
| CA2513022A1 (en) | 2005-07-22 | 2007-01-22 | Research In Motion Limited | System and method for communicating state management between a browser user-agent and a mobile data server |
| US7631357B1 (en) | 2005-10-05 | 2009-12-08 | Symantec Corporation | Detecting and removing rootkits from within an infected computing system |
| GB2432934B (en) * | 2006-03-14 | 2007-12-19 | Streamshield Networks Ltd | A method and apparatus for providing network security |
| US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| US8307443B2 (en) * | 2007-09-28 | 2012-11-06 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US7971258B1 (en) * | 2007-09-28 | 2011-06-28 | Trend Micro Incorporated | Methods and arrangement for efficiently detecting and removing malware |
| KR100954355B1 (ko) | 2008-01-18 | 2010-04-21 | 주식회사 안철수연구소 | 악성코드 진단 및 치료 장치 |
| US7530106B1 (en) | 2008-07-02 | 2009-05-05 | Kaspersky Lab, Zao | System and method for security rating of computer processes |
| KR101078641B1 (ko) | 2008-07-14 | 2011-11-01 | 명지대학교 산학협력단 | 감각 재생 장치에 관계된 메타데이터를 이용한 멀티미디어 응용 시스템 및 방법 |
| US7540030B1 (en) * | 2008-09-15 | 2009-05-26 | Kaspersky Lab, Zao | Method and system for automatic cure against malware |
| US9129291B2 (en) | 2008-09-22 | 2015-09-08 | Personics Holdings, Llc | Personalized sound management and method |
| KR101493076B1 (ko) * | 2009-04-07 | 2015-02-12 | 삼성전자 주식회사 | 버퍼 오버플로우 관리를 통한 바이러스 코드 실행방지장치 및 그 방법 |
| RU91213U1 (ru) * | 2009-10-01 | 2010-01-27 | ЗАО "Лаборатория Касперского" | Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов |
| US9087188B2 (en) * | 2009-10-30 | 2015-07-21 | Intel Corporation | Providing authenticated anti-virus agents a direct access to scan memory |
-
2010
- 2010-11-01 RU RU2010144590/08A patent/RU2444056C1/ru active
-
2011
- 2011-03-29 US US13/074,185 patent/US8056136B1/en not_active Expired - Fee Related
- 2011-09-15 EP EP11181345.7A patent/EP2447877B1/en active Active
- 2011-11-01 CN CN201110339787.0A patent/CN102332072B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002103533A1 (en) * | 2001-05-22 | 2002-12-27 | Worldcom, Inc. | System and method for malicious code detection |
| WO2003010670A1 (en) * | 2001-07-26 | 2003-02-06 | Networks Associates Technology, Inc. | Scanner api for executing multiple scanning engines |
| CN101340434A (zh) * | 2008-05-15 | 2009-01-07 | 王瑞 | 网站恶意内容检测与认证方法及系统 |
| US20090300761A1 (en) * | 2008-05-28 | 2009-12-03 | John Park | Intelligent Hashes for Centralized Malware Detection |
| US20100169972A1 (en) * | 2008-12-31 | 2010-07-01 | Microsoft Corporation | Shared repository of malware data |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110781496A (zh) * | 2012-03-19 | 2020-02-11 | 高通股份有限公司 | 用以检测恶意软件的计算装置 |
| CN103368987B (zh) * | 2012-03-27 | 2017-02-08 | 百度在线网络技术(北京)有限公司 | 云服务器、应用程序的审核认证及管理系统和方法 |
| CN103368987A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 云服务器、应用程序的审核认证及管理系统和方法 |
| CN104424440A (zh) * | 2013-09-03 | 2015-03-18 | 韩国电子通信研究院 | 用于对于移动恶意软件进行多重检查的设备和方法 |
| CN104363201A (zh) * | 2014-10-11 | 2015-02-18 | 中国农业银行股份有限公司 | 一种服务器投产变更方法和系统 |
| CN104363201B (zh) * | 2014-10-11 | 2017-10-20 | 中国农业银行股份有限公司 | 一种服务器投产变更方法和系统 |
| CN106161373A (zh) * | 2015-04-10 | 2016-11-23 | 腾讯科技(深圳)有限公司 | 一种安全防护信息提示方法、安全监控装置以及系统 |
| CN106161373B (zh) * | 2015-04-10 | 2020-11-06 | 腾讯科技(深圳)有限公司 | 一种安全防护信息提示方法、安全监控装置以及系统 |
| CN106295333A (zh) * | 2015-05-27 | 2017-01-04 | 安恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
| CN106295333B (zh) * | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
| CN108369625A (zh) * | 2015-12-19 | 2018-08-03 | 比特梵德知识产权管理有限公司 | 用于保护多个网络端点的双重存储器内省 |
| CN110383238A (zh) * | 2016-05-15 | 2019-10-25 | 新思科技有限公司 | 用于基于模型的软件分析的系统和方法 |
| CN110383238B (zh) * | 2016-05-15 | 2024-01-05 | 新思科技有限公司 | 用于基于模型的软件分析的系统和方法 |
| CN110521228B (zh) * | 2017-06-16 | 2024-04-02 | 摩托罗拉移动有限责任公司 | 恶意单元检测信息 |
| CN108073808A (zh) * | 2017-12-21 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 基于pdb调试信息生成攻击者画像的方法及系统 |
| US20220131893A1 (en) * | 2019-02-15 | 2022-04-28 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
| US11711395B2 (en) * | 2019-02-15 | 2023-07-25 | Verizon Patent And Licensing Inc. | User-determined network traffic filtering |
| CN111224942A (zh) * | 2019-11-20 | 2020-06-02 | 重庆邮电大学 | 基于三元关联图检测的恶意软件传播控制方法及装置 |
| CN111224942B (zh) * | 2019-11-20 | 2021-11-16 | 重庆邮电大学 | 基于三元关联图检测的恶意软件传播控制方法及装置 |
| CN111835757A (zh) * | 2020-07-10 | 2020-10-27 | 厦门靠谱云股份有限公司 | 一种基于遗传算法的混合兼容式sql注入检测方法及系统 |
| CN111835757B (zh) * | 2020-07-10 | 2021-04-09 | 北京靠谱云科技有限公司 | 一种基于遗传算法的混合兼容式sql注入检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102332072B (zh) | 2015-03-25 |
| RU2444056C1 (ru) | 2012-02-27 |
| EP2447877A1 (en) | 2012-05-02 |
| EP2447877B1 (en) | 2015-05-27 |
| US8056136B1 (en) | 2011-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102332072B (zh) | 用于检测恶意软件和管理恶意软件相关信息的系统和方法 | |
| US10979459B2 (en) | Policy management | |
| US11095669B2 (en) | Forensic analysis of computing activity | |
| CN105427096B (zh) | 支付安全沙箱实现方法及系统与应用程序监控方法及系统 | |
| US9210182B2 (en) | Behavioral-based host intrusion prevention system | |
| US9154517B2 (en) | System and method for preventing spread of malware in peer-to-peer network | |
| RU2571594C2 (ru) | Система и способ защиты от вредоносного программного обеспечения, связывающаяся с сервером | |
| CN102651061B (zh) | 用于检测复杂恶意软件的系统和方法 | |
| US8407804B2 (en) | System and method of whitelisting parent virtual images | |
| US11086983B2 (en) | System and method for authenticating safe software | |
| US8607340B2 (en) | Host intrusion prevention system using software and user behavior analysis | |
| Mercaldo et al. | Download malware? no, thanks: how formal methods can block update attacks | |
| US10043011B2 (en) | Methods and systems for providing recommendations to address security vulnerabilities in a network of computing systems | |
| US20100212010A1 (en) | Systems and methods that detect sensitive data leakages from applications | |
| GB2507360A (en) | Threat detection through the accumulated detection of threat characteristics | |
| US20110247074A1 (en) | Metadata-based access, security, and compliance control of software generated files | |
| US7634806B2 (en) | Peer assembly inspection | |
| US20120204266A1 (en) | Method for providing an anti-malware service | |
| US20170237754A1 (en) | Evaluating installers and installer payloads | |
| EP2597586A1 (en) | System and method for correcting antivirus records to minimize false malware detection | |
| Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
| Liu et al. | MalPEFinder: fast and retrospective assessment of data breaches in malware attacks | |
| Ii | TECHNICAL EVALUATION AND LEGAL OPINION OF WARDEN: A NETWORK FORENSICS TOOL |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |