GENERATION OF A CAUSALITY TREE REPRESENTATION OF THREAT ANALYSIS REPORT DATA

GENERATION OF A CAUSALITY TREE REPRESENTATION OF THREAT ANALYSIS REPORT DATA

A report generated from analysis of a software sample is obtained and parsed. A root node of a causality tree is determined based on source-target relationships and a primary malware instance indicated in the report. Actions, behaviors, and additional malware instances are identified based on the re...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: BHOSALE, Swati Vaibhav, JACOBS, Christopher, FIRSTENBERG, Eyal, SPENCER, Edward Thomas
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:A report generated from analysis of a software sample is obtained and parsed. A root node of a causality tree is determined based on source-target relationships and a primary malware instance indicated in the report. Actions, behaviors, and additional malware instances are identified based on the report. Additional relationships among the data which are not explicitly represented are extracted from further parsing and processing of the report by tracing the relationships in the report data starting from the data of the entity represented by the root node, with child nodes added for processes and files discovered from the tracing. For each entity for which a node is added to the causality tree, counts of the related behaviors and actions are determined and associated with the node along with the corresponding details. A GUI depiction of the resulting causality tree is generated and displayed for visualizing and navigating the causality tree. Un rapport généré à partir de l'analyse d'un échantillon de logiciel est obtenu et analysé. Un nœud racine d'un arbre de causalité est déterminé sur la base de relations source-cible et d'une instance de logiciel malveillant primaire indiquée dans le rapport. Des actions, des comportements et des instances de logiciels malveillants supplémentaires sont identifiés sur la base du rapport. Des relations supplémentaires parmi les données qui ne sont pas explicitement représentées sont extraites à partir d'une analyse supplémentaire et d'un traitement du rapport en traçant les relations dans les données de rapport à partir des données de l'entité représentée par le nœud racine, avec des nœuds enfants ajoutés pour des processus et des fichiers découverts à partir du traçage. Pour chaque entité pour laquelle un nœud est ajouté à l'arbre de causalité, des comptes des comportements et des actions associés sont déterminés et associés au nœud conjointement avec les détails correspondants. Une représentation d'interface graphique utilisateur de l'arbre de causalité résultant est générée et affichée pour visualiser et naviguer dans l'arbre de causalité.