WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |

Search International and National Patent Collections
World Intellectual Property Organization
Machine translation
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2011/137083    International Application No.:    PCT/US2011/033829
Publication Date: 03.11.2011 International Filing Date: 25.04.2011
Chapter 2 Demand Filed:    24.02.2012    
G06F 21/00 (2006.01)
Applicants: SYMANTEC CORPORATION [US/US]; 350 Ellis Street Mountain View, CA 94043 (US) (For All Designated States Except US).
SATISH, Sourabh [IN/US]; (US) (For US Only).
PEREIRA, Shane [IN/US]; (US) (For US Only)
Inventors: SATISH, Sourabh; (US).
PEREIRA, Shane; (US)
Agent: HOFFMAN, Brian; Fenwick & West LLP 801 California Street Mountain View, CA 94041 (US)
Priority Data:
12/769,262 28.04.2010 US
Abstract: front page image
(EN)A behavioral signature for detecting malware is generated. A computer is used to collect behavior traces of malware in a malware dataset. The behavior traces describe sequential behaviors performed by the malware. The behavior traces are normalized to produce malware behavior sequences. Similar malware behavior sequences are clustered together. The malware behavior sequences in a cluster describe behaviors of a malware family. The cluster is analyzed to identify a behavior subsequence common to the cluster's malware family. A behavior signature for the malware family is generated using the behavior subsequence. A trace of new malware is normalized and aligned with an existing cluster, if possible. The behavioral signature for that cluster is generated based on the behavior sequence of the new malware and the other sequences in the cluster.
(FR)La présente invention concerne une signature comportementale pour détecter un programme malveillant. Un ordinateur est utilisé pour collecter des traces de comportement de programme malveillant dans un ensemble de données de programme malveillant. Les traces de comportement décrivent des comportements séquentiels réalisés par le programme malveillant. Les traces de comportement sont normalisées pour produire des séquences de comportement de programme malveillant. Des séquences de comportement de programme malveillant similaires sont regroupées. Les séquences de comportement de programme malveillant dans un groupe décrivent les comportements d'une famille de programmes malveillants. Le groupe est analysé pour identifier une sous-séquence de comportement commun à la famille de programmes malveillants du groupe. Une signature de comportement est générée pour la famille de programmes malveillants à l'aide de la sous-séquence de comportement. Une trace de nouveau programme malveillant est normalisée et alignée avec un groupe existant, si possible. La signature comportementale de ce groupe est générée sur la base de la séquence de comportement du nouveau programme malveillant et des autres séquences du groupe.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IS, JP, KE, KG, KM, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LT, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PE, PG, PH, PL, PT, RO, RS, RU, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)