Traitement en cours

Veuillez attendre...

PATENTSCOPE sera indisponible durant quelques heures pour des raisons de maintenance le samedi 31.10.2020 à 7:00 AM CET
Paramétrages

Paramétrages

Aller à Demande

1. WO2020014663 - SYSTÈMES ET PROCÉDÉS POUR DÉTECTER UN LOGICIEL MALVEILLANT OBSCURCI DANS UN CODE COMPILÉ À LA VOLÉE (JIT) OBSCURCI

Numéro de publication WO/2020/014663
Date de publication 16.01.2020
N° de la demande internationale PCT/US2019/041689
Date du dépôt international 12.07.2019
CIB
H04L 29/06 2006.01
HÉLECTRICITÉ
04TECHNIQUE DE LA COMMUNICATION ÉLECTRIQUE
LTRANSMISSION D'INFORMATION NUMÉRIQUE, p.ex. COMMUNICATION TÉLÉGRAPHIQUE
29Dispositions, appareils, circuits ou systèmes non couverts par un seul des groupes H04L1/-H04L27/135
02Commande de la communication; Traitement de la communication
06caractérisés par un protocole
G06F 21/56 2013.01
GPHYSIQUE
06CALCUL; COMPTAGE
FTRAITEMENT ÉLECTRIQUE DE DONNÉES NUMÉRIQUES
21Dispositions de sécurité pour protéger les calculateurs, leurs composants, les programmes ou les données contre une activité non autorisée
50Contrôle des usagers, programmes ou dispositifs de préservation de l’intégrité des plates-formes, p.ex. des processeurs, des micrologiciels ou des systèmes d’exploitation
55Détection d’intrusion locale ou mise en œuvre de contre-mesures
56Détection ou traitement de programmes malveillants, p.ex. dispositions anti-virus
CPC
G06F 16/903
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
16Information retrieval; Database structures therefor; File system structures therefor
90Details of database functions independent of the retrieved data types
903Querying
G06F 2009/45575
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
9Arrangements for program control, e.g. control units
06using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
44Arrangements for executing specific programs
455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
45533Hypervisors; Virtual machine monitors
45558Hypervisor-specific management and integration aspects
45575Starting, stopping, suspending or resuming virtual machine instances
G06F 2009/45587
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
9Arrangements for program control, e.g. control units
06using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
44Arrangements for executing specific programs
455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
45533Hypervisors; Virtual machine monitors
45558Hypervisor-specific management and integration aspects
45587Isolation or security of virtual machine instances
G06F 21/563
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
56Computer malware detection or handling, e.g. anti-virus arrangements
562Static detection
563by source code analysis
G06F 21/566
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
56Computer malware detection or handling, e.g. anti-virus arrangements
566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
G06F 21/567
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
21Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55Detecting local intrusion or implementing counter-measures
56Computer malware detection or handling, e.g. anti-virus arrangements
567using dedicated hardware
Déposants
  • SAUDI ARABIAN OIL COMPANY [SA]/[SA]
  • ARAMCO SERVICES COMPANY [US]/[US] (AG)
Inventeurs
  • TORA, Aminullah S.
  • ALMANSOUR, Faisal A.
  • ALGHAMDI, Faisal S.
  • ALNUJAIDI, Rana Y.
Mandataires
  • RHEBERGEN, Constance G.
  • TOMPKINS, Brian H.
Données relatives à la priorité
16/033,81912.07.2018US
Langue de publication anglais (EN)
Langue de dépôt anglais (EN)
États désignés
Titre
(EN) SYSTEMS AND METHODS FOR DETECTING OBFUSCATED MALWARE IN OBFUSCATED JUST-IN-TIME (JIT) COMPILED CODE
(FR) SYSTÈMES ET PROCÉDÉS POUR DÉTECTER UN LOGICIEL MALVEILLANT OBSCURCI DANS UN CODE COMPILÉ À LA VOLÉE (JIT) OBSCURCI
Abrégé
(EN)
Systems and method for the detection of obfuscated malware in JIT code are provided. JIT code portions may be retrieved from a repository, and metadata associated with the JIT code may be determined. The JIT code and associated metadata may be hashed to determine a hash value that is compared to a cache of hash values corresponding to previously analyzed JIT code portions. If the JIT code portion has not been previously analyzed the JIT code portion may be parsed into a byte stream for execution in a JIT runtime environment in a virtual machines. The runtime data may be analyzed using signature matching, heuristic rule matching, n-gram analysis, and RNN analysis. If malware is detected, the JIT code portion, associated metadata, and analysis results may be provided for generation of an alert.
(FR)
L'invention concerne des systèmes et un procédé pour détecter un logiciel malveillant obscurci dans un code JIT. Des parties de code JIT peuvent être récupérées à partir d'un référentiel, et des métadonnées associées au code JIT peuvent être déterminées. Le code JIT et les métadonnées associées peuvent être hachés afin de déterminer une valeur de hachage qui est comparée à un cache de valeurs de hachage correspondant à des parties de code JIT précédemment analysées. Si la partie de code JIT n'a pas été précédemment analysée, la partie de code JIT peut être analysée en un flux d'octets pour une exécution dans un environnement d'exécution JIT de machines virtuelles. Les données d'exécution peuvent être analysées à l'aide d'une mise en correspondance de signatures, d'une mise en correspondance de règles heuristiques, d'une analyse de n-gramme, et d'une analyse de RNN. Si un logiciel malveillant est détecté, la partie de code JIT, les métadonnées associées, et les résultats d'analyse peuvent être fournis pour générer une alerte.
Dernières données bibliographiques dont dispose le Bureau international