SYSTEMS AND METHODS FOR TRACKING MALICIOUS BEHAVIOR ACROSS MULTIPLE SOFTWARE ENTITIES

SYSTEMS AND METHODS FOR TRACKING MALICIOUS BEHAVIOR ACROSS MULTIPLE SOFTWARE ENTITIES

Described systems and methods allow protecting a computer system from malicious software. In some embodiments, a security application divides a set of monitored executable entities (e.g., processes) into a plurality of groups, wherein all members of a group are related by filiation or code injection...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: HAJMASAN, Gheorghe-Florin, PORTASE, Radu-Marian
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Described systems and methods allow protecting a computer system from malicious software. In some embodiments, a security application divides a set of monitored executable entities (e.g., processes) into a plurality of groups, wherein all members of a group are related by filiation or code injection. The security application may further associate a set of scores with each entity group. Such group scores may be incremented when a member of the respective group performs certain actions. Thus, even though actions performed by individual members may not be malware-indicative per se, the group score may capture collective malicious behavior and trigger malware detection. In some embodiments, group membership rules vary according to whether an entity is part of a selected subset of entities including certain OS processes, browsers and file managers. When an entity is determined to be malicious, anti-malware measures may be taken against a whole group of related entities. La présente invention concerne des systèmes et des procédés qui permettent de protéger un système informatique contre des logiciels malveillants. Dans certains modes de réalisation, une application de sécurité divise un ensemble d'entités exécutables surveillées (par exemple, des processus) en une pluralité de groupes, tous les membres d'un groupe étant liés par filiation ou injection de code. L'application de sécurité peut en outre associer un ensemble de scores à chaque groupe d'entités. Ces scores de groupes peuvent être incrémentés lorsqu'un membre du groupe respectif effectue certaines actions. Ainsi, même si des actions effectuées par des membres individuels ne sont pas nécessairement malveillantes en soi, le score du groupe peut capturer des comportements malveillants collectifs et déclencher la détection des logiciels malveillants. Dans certains modes de réalisation, des règles d'appartenance de groupe varient selon qu'une entité fait partie d'un sous-ensemble sélectionné d'entités comprenant certains processus, navigateurs et gestionnaires de fichiers d'OS. Lorsqu'une entité est considérée comme malveillante, des mesures anti-logiciels malveillants peuvent être prises contre tout un groupe d'entités apparentées.