WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2016090289) METHODS AND SYSTEMS FOR ENCODING COMPUTER PROCESSES FOR MALWARE DETEECTION
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2016/090289    International Application No.:    PCT/US2015/064068
Publication Date: 09.06.2016 International Filing Date: 04.12.2015
IPC:
G06F 21/55 (2013.01), G06F 21/56 (2013.01)
Applicants: PERMISSIONBIT [US/US]; 11240 Waples Mill Road, Suite 306 Fairfax, Virginia 22030 (US)
Inventors: MAINIERI, Ronnie; (US).
HASTINGS, Curtis A.; (US)
Agent: MLOTKOWSKI, Michael J.; (US)
Priority Data:
62/088,324 05.12.2014 US
Title (EN) METHODS AND SYSTEMS FOR ENCODING COMPUTER PROCESSES FOR MALWARE DETEECTION
(FR) PROCÉDÉS ET SYSTÈMES POUR CODER DES PROCESSUS INFORMATIQUES POUR UNE DÉTECTION DE LOGICIEL MALVEILLANT
Abstract: front page image
(EN)A method for encoding computer processes for malicious program detection. The method includes the steps of (a) randomly sampling a trace of system calls collected over a predetermined interval, each system call including context information and memory addresses for the function being monitored; (b) computing system address differences from the trace of system calls and retaining the computed values; (c) forming a group of n-grams (words) of retained differences of system addresses from the trace of system calls; ( d) forming a series of process snippets, each process snippet including context information and the retained differences of system addresses; ( e) transforming each process snippet to form a compact representation (process dot) comprising a pair of elements (c, a), wherein c includes the context information and a is a sparse sparse vector that encodes information derived from the group of n-grams; (f) forming clusters of compact representations; (g) obtaining clusters of compact representations from one or more malicious program-free computers; and (h) comparing the clusters formed in step (f) to those obtained in step (g) and determining the presence of malicious program from the comparison.
(FR)L’invention concerne un procédé pour coder des processus informatiques pour une détection de programme malveillant. Le procédé comprend les étapes consistant (a) à échantillonner de manière aléatoire une trace d’appels de système collectés au cours d’un intervalle prédéterminé, chaque appel de système comprenant des informations de contexte et des adresses de mémoire pour la fonction qui est surveillée ; (b) à calculer des différences d’adresse de système à partir de la trace d’appels de système et à conserver les valeurs calculées ; (c) à former un groupe de n-grammes (mots) de différences conservées d’adresses de système à partir de la trace d’appels de système ; (d) à former une série d’entrefilets de processus, chaque entrefilet de processus comprenant des informations de contexte et les différences conservées d’adresses de système ; (e) à transformer chaque entrefilet de processus pour former une représentation compacte (point de processus) comprenant une paire d’éléments (c, a), c comprenant les informations de contexte et a étant un vecteur épars qui code des informations dérivées à partir du groupe de n-grammes ; (f) à former des groupes de représentations compactes ; (g) à obtenir des groupes de représentations compactes à partir d’un ou plusieurs ordinateurs exempts de programme malveillant ; et (h) à comparer les groupes formés dans l’étape (f) à ceux obtenus dans l’étape (g) et à déterminer la présence d’un programme malveillant à partir de la comparaison.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)