CN101968836B - 用于检测及预测与计算机病毒相关的蔓延的系统和方法 - Google Patents

用于检测及预测与计算机病毒相关的蔓延的系统和方法 Download PDF

Info

Publication number
CN101968836B
CN101968836B CN2010102261879A CN201010226187A CN101968836B CN 101968836 B CN101968836 B CN 101968836B CN 2010102261879 A CN2010102261879 A CN 2010102261879A CN 201010226187 A CN201010226187 A CN 201010226187A CN 101968836 B CN101968836 B CN 101968836B
Authority
CN
China
Prior art keywords
activity
threat
malware
spread
outburst
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010102261879A
Other languages
English (en)
Other versions
CN101968836A (zh
Inventor
尤里V·马斯艾维斯基
尤里V·纳梅斯尼科夫
尼古拉V·丹尼斯切卡
帕维尔A·泽伦斯基
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN101968836A publication Critical patent/CN101968836A/zh
Application granted granted Critical
Publication of CN101968836B publication Critical patent/CN101968836B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Abstract

本发明披露了一种用于检测由恶意软件程序或计算机病毒引发的蔓延的系统、方法和计算机程序产品。自动地执行本地的和全球蔓延的检测。基于所收集的统计信息计算和分析蔓延的源头。预测蔓延的传播并且对时间帧和蔓延传播的地理区域做出准确预后。基于“联接强度”系数的计算值做出预后。联接强度系数反映了国家之间的信息交换量(即,联接通道的数目和质量)。在蔓延初期检测蔓延并且及时地监视它的传播以及在不同国家的繁殖。然后,及时地调用有效的安全和保护措施。

Description

用于检测及预测与计算机病毒相关的蔓延的系统和方法
相关申请的交叉引用
本申请要求于2009年10月1日提交的第2009136234号俄罗斯专利申请的优先权,在此通过援引的方式将该申请全文并入本申请中。 
技术领域 
本发明涉及反恶意软件技术领域,更具体地,涉及与计算机病毒相关的蔓延(epidemic)的检测和预防。 
背景技术 
病毒和恶意软件的检测已经成为贯穿个人计算机时代需要考虑的事情。随着例如因特网等通信网络的增长和数据交换的日益增加,包括用于通信的电子邮件的使用的迅速增长,计算机通过通信或文件交换的传染成为一个日益重要的考虑因素。传染采取各种形式,但是一般和计算机病毒、木马程序或其它形式的恶意代码(即,恶意软件)相关。 
近来,以电子邮件为媒介导致的病毒攻击事件,无论在传播的速度还是破坏的程度上都是巨大的,并且互联网服务提供商(ISP)和企业遭受着服务的问题和电子邮件能力的损失。在许多情况下,试图充分地防止文件交换或以电子邮件为媒介导致的传染给计算机用户带来严重的不便。因此,期望出现用于检测和应对病毒攻击的改进的策略。 
一种用于检测病毒的常规方法是签名(signature)扫描。签名扫描系统使用从已知的恶意软件代码中提取的样本代码模式,并且在其它程序代码中扫描这些模式的出现。签名扫描方法的主要限制在于仅能检测已知恶意代码,也就是说,只有和已存储的已知恶意代码的样本签名相匹配的代码才能被识别为受到传染。所有的病毒或以前没有识别出的恶意代码以及在最后更新签名数据库的日期之后创建的所有的病毒或恶意代码都不会被检测出来。 
此外,如果签名没有以预期的方式排列在代码中,那么签名分析技术无法识别病毒的存在。替代地,病毒的作者可能通过操作码置换,或 将伪代码(dummy code)或随机代码插入到病毒功能中来掩盖病毒的特征。无意义的代码将病毒的签名改变成足以使签名扫描程序无法检测到病毒的存在,但并没有减少病毒传播和输送其有效载荷的能力。 
另一种病毒检测策略是完整性校验。完整性检测系统从已知的、良性的应用程序代码中提取代码样本。代码样本和来自程序文件的信息,例如可执行程序的首部和文件长度以及样本的日期和时间戳,一同储存。每隔一定间隔,程序文件就对此数据库进行校验,以确保程序文件不被修改。 
一种有效的常规方法是使用所谓的白名单,即已知“干净”的软件组件、链接、程序库和其它干净的对象的列表。可以使用哈希值将可疑对象和白名单进行比较。例如,在WO/2007066333中披露了哈希值的使用,其中,白名单由已知干净应用程序的哈希值组成。在WO/2007066333中,计算校验和,并将其和已知的校验和相比较。 
然而,病毒检测在计算机系统中仅是任务的一部分。更重要的是检测可以传染成百上千的计算机的蔓延的潜在性。第20080134335号美国专利申请中披露了一种用于确定检测到的病毒的潜在传播的方法。然而,其发生在病毒已经开始传播之后并没有预防蔓延。 
在公开号为20060259967的美国专利和公开号为20060236392的美国专利中披露了一种用于基于某些事件的活跃度来检测恶意软件的方法。一旦达到活跃性阈值,就实施安全措施。专利号为US7418732的美国专利披露了一种用于处理网络包以便防止在网络内传播恶意软件的方法。在公开号为20090064332的美国专利中,披露了一种用于检测恶意软件威胁的源头以及确定潜在危险的级别的方法。此外,在公开号为20060070130的美国专利中,披露了一种用于在一旦检测到恶意软件时就确定恶意软件来源的方法。 
然而,当大量计算机系统和整个网络非常迅速被感染时,常规的系统不能提供对蔓延的有效检测和预防。 
应当认识到,期望出现用于计算机病毒相关的蔓延的检测和预防的改良的技术。因此,本领域需要一种满足蔓延的检测及预测的需求的系统和方法。 
发明内容
本发明旨在提供一种用于检测及预测与恶意软件相关的蔓延的系统和方法,所述系统和方法基本上消除了现有技术中的一个或几个缺陷。 
本发明一方面提供一种用于检测由恶意软件程序或计算机病毒引起的蔓延的系统、方法和计算机程序产品。根据示例性实施例,自动执行本地和全球蔓延的检测。基于收集到的统计信息计算和分析蔓延的源头。然后,预测蔓延的传播并且做出准确的关于时间帧和传播的地理区域的预后。基于“联接强度”系数的计算值做出预后。联接强度系数反映了国家之间的信息交换量(即,联接通道的数目和质量)。 
示例性实施例的方法,基于恶意软件程序在世界上的已知活跃度自动地检测蔓延。计算引发蔓延的恶意软件的源头。产生与蔓延的发展有关的预后。主要目标是在蔓延的初期阶段检测蔓延并且及时地并在不同国家监视它的传播。因此可以及时地调用有效的安全和保护措施。在产生蔓延预后之后,可以发布紧急更新。这样的更新可包括链接,所述连接链接包含对引起蔓延的恶意软件威胁的所有不同种类的变型。 
本发明额外的功能和优点将在如下的说明中阐述,还有部分通过描述是显而易见的,或由本发明的实践可以得知。通过在书面的描述、权利要求书和附图中一同指出的结构,将实现并获得本发明的优点 
可以理解的是,无论是上述的总体描述还是如下的详细描述都是示例性和解释性的,并且旨在提供对要求权利的本发明进一步的解释。 
附图说明
附图提供对本发明进一步的理解,并且并入此说明书中并构成其中的一部分,这些附图示出了本发明的实施例并与描述一起用于解释本发明的原理。 
附图中: 
图1示出了根据示例性实施例的用于恶意软件检测和分析的系统。 
图2示出了根据示例性实施例的方法的流程图。 
图3示出了根据示例性实施例的联接强度系数的示例。 
图4示出了根据示例性实施例的反映活跃性尖峰检测的示例性曲线图。 
图5示出了根据示例性实施例的反映蔓延检测的示例性曲线图。 
图6示出了根据示例性实施例的反映蔓延预后的示例性曲线图。 
图7示出了可以实施本发明的示例性计算机系统的示意图。 
具体实施方式
现在,将对根据本发明的优选实施例进行详细描述,其示例性曲线图示于附图中。 
根据示例性实施例,提供了一种用于检测及预测与恶意软件相关的蔓延的方法、系统和计算机程序产品。本发明一方面提供一种基于恶意软件程序在世界上的已知活跃度来自动地检测蔓延的方法。基于统计数据来计算引起蔓延的恶意软件的源头。然后,产生关于蔓延的发展的预后(prognosis)。 
根据示例性实施例,在蔓延的初期阶段检测蔓延并且及时地且在不同地区全面监视蔓延的传播。高效且及时地调用有效的安全和保护措施。在产生蔓延预后之后,可以发布紧急更新。这样的更新可包括带有引起蔓延的威胁的各种变型的链接。如果蔓延是由利用系统脆弱性的网络蠕虫引起的,则可以向全部用户发出通告。 
所述通告包含用于针对蠕虫进行保护的方法。所述保护的方法包括补丁和配置修改。如果恶意软件防止反病毒应用程序的执行,那么可以给用户提供特殊的治疗应用程序。根据示例性实施例,蔓延检测的原理是基于收集和分析统计数据。实时地计算各种对象的活跃性。 
活跃性包括程序的启动、计算机攻击(例如服务攻击的拒绝),对利用系统安全性的弱点的明显尝试、文件下载等等。基于与上述提及的活跃性相关的统计数据,计算潜在的蔓延源的活跃值。 
根据示例性实施例,蔓延检测是基于针对恶意软件的源头计算的活跃性。根据计算值,系统确定是否确实发生蔓延。如果特定国家中的活跃值超过国家阈值,那么检测到蔓延的开始。 
在示例性实施例中,按照至少四个活跃性参数,即,s-应用程序启动的数目、d-下载的数目、a-攻击的数目和e-对利用系统弱点的尝试的数目,来计算活跃性。考虑每个活跃性参数的概率分布,计算对象的活跃性。 
活跃性取决于与活跃性参数相关的最后事件的发生时间。换句话说,从该事件发生以来过去的时间越久,对象的活跃性就越低。因此,旧事件的活跃性在活跃性计算中起最小的作用。在显示每个活跃性参数变化的总体趋势时,可以忽略小的波动。 
根据示例性实施例,如下计算活跃性: 
活跃性=F1(s,d,a,e)*F2(Δt),其中Δt是从与各活跃性参数相关的事件最后发生以来经过的时间。示例性的活跃性计算可表示为: 
  下载  总量   d   启动  总量   s   攻击  总量   a   利用  尝试  总量   e   下载   增量  s   启动  增量   攻击  增量   利用尝  试增量   Δt,  min   活跃  性   趋势
  8   4   21   107   16   4   21   107   0   3,78   上升
  24   24   91   315   16   20   70   208   15   13,14   上升
  83   83   298   1082   59   59   207   767   15   44,63   上升
  164   162   574   2135   81   79   276   1053   15   87,39   上升
  249   240   847   3240   85   78   273   1105   15   131,28   上升
  380   354   1246   4943   131   114   399   1703   15   197,63   上升
  501   451   1586   6516   121   97   340   1573   15   257,23   稳定
  551   530   8862   7166   50   79   276   650   15   289,87   稳定
  570   563   1978   7413   19   33   116   247   105   43,27   下降
  571   568   1995   7426   1   5   17   13   175   26,08   下降
该表中的统计数据允许当对象还没有被检测但是已经存在于通信流中时“以时光倒流的方式再现这些事件”。这还允许找到发布恶意软件文件的源头和确定由恶意软件文件引起的蔓延开始的日期和时间。 
图1示出了根据示例性实施例的用于恶意软件检测和与恶意软件相关的蔓延分析的系统。防御模块110控制恶意软件检测系统。防御模块110将输入的原始数据发送到实时处理数据库120。将来自数据库120的数据和白名单服务器数据库130相比较。和白名单不对应的数据被认为是可疑的。它被发送到检测系统160用于进一步的分析。然后,根据已知的恶意软件反病毒(AV)数据库150检测可疑的恶意软件。 
比对白名单数据库130或已知的恶意软件数据库150而不匹配(即,没找到)的可疑对象被发送到延迟分析数据库140中,在延迟分析数据库140中使用附加的标准分析可疑对象。确定在某一多维谱(spectrum)内发生的各种不同事件之间的关系。 
例如,文件xvidpack58.exe被自动下载到计算机系统中。在文件下载之后,文件12.exe、beeps.sys.、sysprot2009.exe出现在计算机系统中并且没有被检测出。和干净文件或对象的白名单核对都没有这些文件。 
于是,由于在文件xvidpack58.exe被下载之后出现了其它新的文件, 所以文件xvidpack58.exe明显是投放器(dropper)(http:***en.wikpedia.org/wiki/Dropper)。换句话说,文件xvidpack58.exe启动了12.exe的运行,而其又下载了文件sms.exe。然后文件12.exe将文件sms.exe写入到系统自动启动菜单中。在启动系统时,文件sms.exe使用驱动器beeps.sys并启动sysprot2009.exe。 
系统检测出文件xvidpack58.exe为投放器并且将其隔离。然而,因为由投放器安装的其它恶意软件还留在系统中,所以对于保护计算机系统来说这是不够的。因此,从多维数据库中检索某些属于连接到投放器的文件的数据,该多维数据库允许间接地检测相关的文件,例如,文件sms.exe,其不是投放器的一部分。基于投放器的时间帧和恶意软件文件的后继运行来确定该多维连接。 
由对象的属性来定义维度谱。换句话说,分析可疑的应用程序对象来确定它的行为是否类似恶意软件对象的某些典型行为模式。例如,可疑应用程序连续地启动三个文件的运行(这是行为模式)。此例中的属性是文件名、文件位置等等。然后,可以判定带有这些属性的行为对于恶意软件或干净对象而言是否是典型的。一旦确定对象的恶意性质,就针对蔓延来对其进行分析。 
图2示出了根据示例性实施例的用于蔓延检测的方法的流程图。提出的方法有三个阶段:检测与恶意软件相关的活跃性的爆发(burst)(或尖峰),计算蔓延的源头并针对蔓延发展产生预后。该方法使用由检测系统160(在图1中)提供的信息。首先,接收关于恶意软件检测的信息。然后,分析关于网络攻击和关于试图利用系统弱点的信息。接收关于运行可执行文件的信息和关于文件下载的信息。也可以使用一些其它的与恶意软件相关的信息,例如,与署名用户相关的数据、系统配置中的变化、与在因特网中链接对象的时间相关的自动运行记录。 
在步骤210中,威胁活跃性被计算为F1(d,s,a....)*F2(Δt),其中Δt是从与各自的活跃性参数相关的事件最后发生以来经过的时间。如果在步骤210中计算的活跃性超过了步骤220中的典型活跃性尖峰的阈值(参见图4和图5中的示例),那么在步骤230中确定活跃性是否超过典型蔓延的阈值。 
然后,如果超过蔓延阈值的活跃值是持久不变的(参见步骤240),那么可以在步骤250中得出如下结论,即,在步骤210中计算的活跃性反映了蔓延。如果在步骤220、230和240中评价的条件不满足,那么 在步骤260中得出如下结论,即,在步骤210中计算的活跃度并不反映蔓延。 
如果检测到蔓延,那么启动自动产生蔓延发展的预后。产生的预后可以表明蔓延可传播到哪些国家以及其会发生在哪段时间。为了产生预后,使用“联接强度”系数的值。联接强度系数反映某些国家之间的信息交换量(即,联接通道的数目和质量)。 
图3示出了根据示例性实施例的联接强度系数的示例。从图3的示例中看出,在俄罗斯联邦和哈萨克斯坦之间的联接强度系数是16.67,在俄罗斯联邦和德国之间的联接强度系数是2.2。因此,由于在俄罗斯联邦和哈萨克斯坦两个地区之间具有较大数目的可用联接通道,所以蔓延从俄罗斯联邦传播到哈萨克斯坦会快得多。然而,蔓延会更快地从俄罗斯联邦传播到乌克兰,这是因为在这个示例中在俄罗斯联邦和乌克兰之间的联接强度系数是33。换句话说,在相邻国家之间,或者在较发达的工业化国家之间蔓延会传播得更快。 
图4示出了根据本发明的示例性实施例的反映活跃性爆发的示例性曲线图。检测恶意软件活跃性的爆发(或尖峰)。假设i是国家Cm中恶意软件(即,威胁)活跃性的爆发j的开始。威胁的活跃性A(d,s,a,...),其中d、s、a是活跃性参数,被计算为F1(d,s,a....)*F2(Δt)。假设Lburst是活跃性阈值。那么,如果活跃性超过了该阈值,例如,A(d,s,a,...)>Lburst,则蔓延可能会存在。如下定义爆发的持续时间i: 
当A(d,s,a,...)≤Lburst并且 
Figure BSA00000189061800071
时,其中a≠i是恶意软件活跃性的爆发的开始并且b是爆发结束的时刻。如果活跃性经过时间间隔(i;i+a]达到相对零值,则i+a时刻可被认为是爆发的结束。因此,A(d,s,a,...)≤Lzero,Lzero<Lburst,其中i是爆发的开始,并且间隔[i;i+a]是爆发的持续时间。 
如果恶意软件活跃性的爆发是持久不变的,并且它的活跃性持续上升,那么启动蔓延检测处理。如果在整个时间间隔[i;i+ΔTepid]中活跃性A(d,s,a,...)超过了阈值Lhigh,那么时刻i被认为是在国家Cm中威胁的蔓延j的开始。 
当活跃性A(d,s,a,...)首次达到低阈值Llow:A(d,s,a,...)≤Llow,在时间间隔(i;i+a]内Llow≤Lhigh时,蔓延的结束是时刻i+a,其中i是蔓延的开始且时间间隔[i;i+a]是蔓延持续时间。应当注意到,上下限活跃性阈值的数值是基于世界上当前恶意软件活跃性来重新计算的。为每一个国家 维持一活跃性日历。这允许当国家中在用计算机的数目减少时,例如,在夜晚、周末或在夏季的时候不时地减少阈值。 
因此,根据某段时间中特定国家的用户的活跃性调整活跃性阈值。自动地执行阈值调整。如果国家内整体的活跃性减少,那么这个国家的阈值自动地被降低,如果整体活跃性增长,自动地增加阈值。 
使用上述的计算,例如图4中所述的示例,系统检测到出现在乌克兰的Trojan-PSW.Win32.Ldpinch.afa威胁。系统已经确定活跃性是爆发但不是蔓延。尽管超过了爆发阈值Lburst,但活跃性没有超过蔓延阈值并且实际上减少到下限阈值Lzero之下。 
图5示出了根据示例性实施例的反映蔓延的检测的示例性曲线图。在这个示例中,在俄罗斯检测到威胁Net-Worm.Win32.Kido.ih。由于接收到更多的活跃性参数(应用程序启动、攻击等等)的通告,导致威胁的活跃性增长。在这个示例中,爆发阈值水平Lburst在2009年1月15日21:34:02第一次被超过。接下来几天活跃性保持在这个水平,然后在2009年1月21日01:00活跃性超过蔓延阈值A的水平,并且在后继的监视期间保持在这个水平上。因此,该活跃性被确定为蔓延。 
在一个实施例中,计算蔓延的源头。选择许多与蔓延相关的恶意软件应用程序。与蔓延相关的URL、文件打印、行为模式等等也被从多维数据库中选择。使用选择的数据执行用于第一件事件的搜索。例如,按如下方式计算蔓延的源头。 
在2009年11月4日,检测到恶意软件的蔓延Trojan-PSW.Win32.LdPinch.afar。在检测的时刻,对象具有哈希值md5=0991298F7E8AEE1667F8626D777A049C,并且通过URL(参见附录1)发布。 
在从数据库中做出选择后,确定了在这个名称下还检测到的文件具有如下哈希值: 
MD5=298E724357C96FD372F94B64FDA7EAF7; 
6795DB80E5B1C687C155B116E1FC5502; 
FE347FF115F1EDBA5B2B75BC46BBCB60;和 
022E210B2A17FE8A5F9B072C29595367。 
然后,对第一次事件联接这些对象的日期进行的搜索产生下述信息,所述信息指示带有md5=022E210B2A17FE8A5F9B072C29595367的文件于2009年4月10日12:51在hxxp:**chaofu.org/wg/woool.exe第一次被放置。在2009年4月10日12:59被下载和运行。因此,可以得出恶意软件的蔓延从这个URL开始的结论。
图6示出了根据示例性实施例的反映蔓延预后的示例性曲线图。根据示例性实施例,预后表明恶意软件传播的速度和方向。预后是基于国家之间的联接和信息交换量。提出的方法使用簇(cluster)分析基于国家间的联接将它们分组。然后,确定国家组,其中,如果在组内的一个国家中检测到蔓延,那么最可能发生恶意软件传播。 
联接强度系数被用于按照在组内的一个国家中检测到的恶意软件传播到某些其它国家的概率来确定预后。当蔓延开始时,在特定国家中的活跃度的预后也可被确定。 
图6描绘了用于在2009年4月12日22:04:20在中国检测到的威胁Trojan-PSW.Win32.Ldpinch.afar做出的预后的示例。在2009年4月13日23:00,系统检测到活跃性爆发(即,超过了阈值Lburst)。然后,在2009年4月14日0:01:34,系统确定Trojan-PSW.Win32.Ldpinch.afar的传播是蔓延(即,超过了阈值Lhigh)。 
系统按照受影响的国家和时间帧产生蔓延发展的预后。预后指示出蔓延在给定的国家中传播的概率,并且还预测了一旦蔓延在那里开始后的活跃度(Lhigh)。示例性的预后表如下所示: 
Figure DEST_PATH_GDA00002860619900011
对于每一个小时,第一列指示国家中的蔓延的概率和在该时刻蔓延将达到的活跃度。 
本领域的技术人员将认识到,示例性实施例有利地确定了蔓延的源头。它也可以及时地并在全部地理区域监视蔓延的发展。做出反映恶意软件蔓延的传播的准确预后。 
根据示例性实施例,既可以在国家的某个地区中或地理区域内,又可以在全球范围内检测蔓延。也可以检测出持续地传播各种计算机蠕虫(例如,Email-Worm.Win32.NetSky)的缓慢发展的蔓延,并且基于源头的确定和发展预后来对其进行有效处理。 
参照图7,一种用于实施本发明的示例性系统包括通用计算设备,该通用计算设备以计算机或服务器20等的形式,其包括处理单元21、系统存储器22和系统总线23,所述系统总线23连接各种系统组件,包括系统存储器到处理单元21。 
系统总线23可以是任何类型的总线结构,包括使用任何总线结构的局域总线、外围总线和存储控制器或存储总线。系统存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统26(BIOS)被存储在ROM 24中,其包含例如在启动过程中有助于在计算机20内元件之间传输信息的基本例行程序。 
计算机20可进一步包括从硬盘(未示出)中读取和对其写入的硬盘驱动27、从可移动磁盘29中读取或对其写入的磁盘驱动28、以及从可移动光盘31例如CD-ROM、DVD-ROM等中读取或对其写入的光盘驱动30。硬盘驱动27、磁盘驱动28和光盘驱动30分别通过硬盘驱动接口32、磁盘驱动接口33和光盘驱动接口34连接到系统总线23上。这些驱动和与它们相关联的计算机可读取媒介为计算机20提供了计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。 
虽然本文描述的示例性环境采用了硬盘、可移动磁盘29和可移动光盘31,但所属领域的技术人员应该认识到,可以存储可由计算机存取的数据的其它类型的计算机可读取媒介,例如,盒式磁带、闪存卡、数字视频磁盘、伯努利盒式磁盘、随机存取存储器(RAM)、只读存储器(ROM)等也可以用于示例性操作环境中。 
在硬盘、可移动磁盘29、光盘31、ROM 24或RAM 25上可存储大量程序模块,包括操作系统35。计算机20包括和操作系统35相联或被包含在其中的文件系统36、一个或多个应用程序37、其它程序模块38和程序数据39。用户可以通过输入设备例如键盘40和鼠标42将命令信息输入到计算机20中。其它输入设备(未示出)可包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。 
这些和其它输入设备通过连接系统总线的串行接口46连接到处理单元21,并且可通过其它接口例如并行端口、游戏端口或通用串行总线(USB)连接。监视器47或其它类型的显示设备也经由接口例如视频适配器48连接到系统总线23。除了监视器47之外,个人计算机通常还包括其它外围输出设备(未示出),例如扬声器和打印机。 
计算机20可以使用与一个或更多的远程计算机49的逻辑连接而运行在联网环境中。远程计算机49可由其它计算机、服务器、路由器、网络PC、对等设备(peer device)或其它公共网络节点代表,并且虽然仅示出了存储设备50,但通常包括对于计算机20所描述的多数或全部元件。逻辑连接包括局域网(LAN)51和广域网(WAN)52。这样的联网环境在办公室、企业范围内的计算机网络、内联网和互联网上是普遍的。 
当用于LAN联网环境中时,计算机20通过网络接口或适配器53连接到本地网络51中。当用于WAN联网环境中时,计算机20通常包括调制解调器54或其它用于在广域网52例如互联网上建立通信的装置。调制解调器54通过串行接口46连接到系统总线23上,该调制解调器54可以既是内部的又是外部的。在联网环境中,对于计算机20所描绘的程序模块或其中的一部分,可能存储在远程存储器存储设备中。应该认识到,示出的网络连接是示例性的,也可以使用其它在计算机之间建立通信链接的方法。 
通过这样描述优选的实施例,对于本领域的技术人员而言,所描述的方法和装置可以获得的某些优点应当是明显的。特别地,本领域技术人员应该认识到,提出的系统和方法用于有效地检测和预防与计算机病毒相关的蔓延。 
还应当理解的是,可以在本发明的精神和范围内做出各种修改、适应及其替代实施例。本发明由所附权利要求书进一步限定。 
附录1: 
在图5中描绘的示例中使用的URL(URL中的“//”被“**”所代替): 
hxxp:**117.23.205.231/uk/A26.exe 
hxxp:**heiiwi.cn/zip/pic16.exe 
hxxp:**heiiwi.cn/zip/pic17.exe 
hxxp:**keowo.cn/zip/pic12.exe 
hxxp:**keowo.cn/zip/pic22.exe 
hxxp:**keowo.cn/zip/pic26.exe 
hxxp:**qq.xhv2.cn/hb/33.exe 
hxxp:**u3.wgcn8.com/lm/S1.exe 
hxxp:**www.cvbnmdgesc.cn/24.exe 
hxxp:**www.cvbnmdgesc.cn/4.exe 
hxxp:**www.googlessndication.cn:6135/1/aa17.exe 
hxxp:**www.tsyouxia.com/RichedPack.exe 
hxxp:**wywfs.wywfs.com.cn/mm/ok13.exe 
hxxp:**wywfs.wywfs.com.cn/mm/ok15.exe 
hxxp:**wywfs.wywfs.com.cn/mm/ok17.exe 
hxxp:**wywfs.wywfs.com.cn/mm/ok23.exe 
hxxp:**wywfs.wywfs.com.cn/mm/ok24.exe 
hxxp:**117.23.205.227/uk/A02.exe 
hxxp:**117.23.205.227/uk/A14.exe 
hxxp:**chaofu.org/wg/woool.exe 
hxxp:**heiiwi.cn/zip/pic07.exe 
hxxp:**u4.wgcn8.com/gb/B7.exe 
hxxp:**www.cvbnmdgesc.cn/21.exe 
hxxp:**wywg.69qb.cn/wywg/cb/lbtjjs.exe 
hxxp:**wywg.wushuibao.com.cn/wywg/cb/hdwdp5.exe 

Claims (16)

1.一种用于检测恶意软件蔓延的方法,所述方法在具有处理器和存储器的计算机上执行,所述方法包括:
(a)检测与恶意软件相关的威胁;
(b)基于所述威胁的参数计算该威胁的活跃值;其中所述威胁的参数包括应用程序的启动、计算机系统上的攻击和文件下载;
(c)基于已知的威胁活跃性的爆发为所述威胁活跃性爆发设置威胁活跃性爆发阈值;
(d)基于已知的蔓延为威胁活跃性蔓延设置威胁活跃性蔓延阈值;
(e)将所述威胁活跃值和所述威胁活跃性爆发阈值相比较;
(f)如果所述威胁活跃性超过了所述威胁活跃性爆发阈值,则将所述威胁活跃值和所述威胁活跃性蔓延阈值相比较;
(g)如果所述威胁活跃性超过了所述活跃性蔓延阈值,则在选择的时间段监视所述威胁活跃性;和
(e)如果所述威胁活跃性在预设的时间段持续地超过所述活跃性蔓延阈值,则检测到恶意软件蔓延。
2.如权利要求1所述的方法,其中,所述威胁的参数还包括:
对利用系统安全性弱点的尝试。
3.如权利要求1所述的方法,其中,所述威胁活跃性爆发阈值是根据在当中检测到与恶意软件相关的威胁的地理区域的活跃性爆发统计信息来设置的。
4.如权利要求1所述的方法,其中,所述威胁活跃性蔓延阈值是根据在当中检测到与恶意软件相关的威胁的地理区域的蔓延活跃性的统计信息来设置的。
5.如权利要求1所述的方法,其中,如果所述威胁活跃值没有超过所述威胁活跃性蔓延阈值,那么该活跃性被认为是所述威胁活跃性的爆发。
6.如权利要求1所述的方法,进一步包括产生针对蔓延传播的预后。
7.如权利要求6所述的方法,其中,所述预后反映了所述恶意软件威胁蔓延在另一个地理区域中的概率。
8.如权利要求6所述的方法,其中,所述预后反映了所述恶意软件威胁蔓延在其一旦传播到另一个地理区域时的活跃度。
9.一种用于产生针对恶意软件蔓延的预后的方法,所述方法在具有处理器和存储器的计算机上执行,所述方法包括:
基于地理区域间的联接将它们分组,如果在组内的一个地理区域中检测到蔓延,则自动产生预后;
其中,在组内的一个地理区域中检测蔓延的步骤包括:
(a)检测与恶意软件相关的威胁;
(b)基于所述威胁的参数计算该威胁的活跃值;其中所述威胁的参数包括应用程序的启动、计算机系统上的攻击和文件下载;
(c)基于已知的威胁活跃性的爆发为所述威胁活跃性爆发设置威胁活跃性爆发阈值;
(d)基于已知的蔓延为威胁活跃性蔓延设置威胁活跃性蔓延阈值;
(e)将所述威胁活跃值和所述威胁活跃性爆发阈值相比较;
(f)如果所述威胁活跃性超过了所述威胁活跃性爆发阈值,则将所述威胁活跃值和所述威胁活跃性蔓延阈值相比较;
(g)如果所述威胁活跃性超过了所述活跃性蔓延阈值,则在选择的时间段监视所述威胁活跃性;和
(e)如果所述威胁活跃性在预设的时间段持续地超过所述活跃性蔓延阈值,则检测到恶意软件蔓延;
其中自动产生预后的步骤包括:
计算在所述地理区域和其它联接的地理区域之间的联接强度系数;
基于在所述地理区域和其它联接的地理区域之间的联接强度系数为每个所述联接的地理区域计算所述蔓延的概率;和
针对预设的时间增量计算每个所述联接的地理区域中所述蔓延的活跃度,
其中,所述活跃度是基于恶意软件参数来计算的,所述恶意软件参数包括应用程序的启动、计算机系统上的攻击和文件下载。
10.如权利要求9所述的方法,进一步包括通过分析所述恶意软件文件的哈希值和所述文件的发布源来确定所述蔓延的源头。
11.如权利要求9所述的方法,其中,所述恶意软件参数还包括:
对利用系统安全性的弱点的尝试。
12.如权利要求9所述的方法,其中,所述联接强度系数是基于所述地理区域之间的联接通道的数目来计算的。
13.如权利要求9所述的方法,其中,所述联接强度系数是基于所述地理区域之间的信息交换量来计算的。
14.如权利要求9所述的方法,其中,所述地理区域是国家。
15.如权利要求9所述的方法,其中,所述地理区域是国家内的地区。
16.一种用于恶意软件检测与恶意软件相关的蔓延分析的系统,所述系统包括:
用于将输入的原始数据发送到连接到恶意软件检测系统的实时处理数据库的模块;
用于将由所述实时处理数据库接收的所述原始数据和可由所述恶意软件检测系统访问的白名单数据库相比较的模块;
用于将与所述白名单数据库不匹配的数据发送到所述恶意软件检测系统用于进一步分析的模块;
用于根据可由所述恶意软件检测系统访问的反病毒(AV)记录数据库检测可疑的恶意软件的模块;
用于将与已知的反病毒记录数据库不匹配的数据发送到连接到所述实时处理数据库的延迟分析数据库来使用附加的标准检测可疑的恶意软件的模块;
用于检测与恶意软件相关的威胁的模块;
用于基于所述威胁的参数计算该威胁的活跃值的模块;其中所述威胁的参数包括应用程序的启动、计算机系统上的攻击和文件下载;
用于基于已知的威胁活跃性的爆发为所述威胁活跃性爆发设置威胁活跃性爆发阈值的模块;
用于基于已知的蔓延为威胁活跃性蔓延设置威胁活跃性蔓延阈值的模块;
用于将所述威胁活跃值和所述威胁活跃性爆发阈值相比较的模块;
用于如果所述威胁活跃性超过了所述威胁活跃性爆发阈值,则将所述威胁活跃值和所述威胁活跃性蔓延阈值相比较的模块;
用于如果所述威胁活跃性超过了所述活跃性蔓延阈值,则在选择的时间段监视所述威胁活跃性的模块;和
用于如果所述威胁活跃性在预设的时间段持续地超过所述活跃性蔓延阈值,则检测到恶意软件蔓延的模块。
CN2010102261879A 2009-10-01 2010-07-14 用于检测及预测与计算机病毒相关的蔓延的系统和方法 Expired - Fee Related CN101968836B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2009136234 2009-10-01
RU2009136234 2009-10-01

Publications (2)

Publication Number Publication Date
CN101968836A CN101968836A (zh) 2011-02-09
CN101968836B true CN101968836B (zh) 2013-08-28

Family

ID=42260773

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010102261879A Expired - Fee Related CN101968836B (zh) 2009-10-01 2010-07-14 用于检测及预测与计算机病毒相关的蔓延的系统和方法

Country Status (3)

Country Link
US (1) US7743419B1 (zh)
EP (1) EP2309408B1 (zh)
CN (1) CN101968836B (zh)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2438511B1 (en) 2010-03-22 2019-07-03 LRDC Systems, LLC A method of identifying and protecting the integrity of a set of source data
CN103501294B (zh) * 2010-08-18 2017-03-08 北京奇虎科技有限公司 判断程序是否恶意的方法
RU2449360C1 (ru) 2011-03-28 2012-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ формирования антивирусных баз в соответствии с параметрами персонального компьютера
US9262624B2 (en) 2011-09-16 2016-02-16 Mcafee, Inc. Device-tailored whitelists
EP2584488B1 (en) 2011-09-20 2016-02-10 Kaspersky Lab, ZAO System and method for detecting computer security threats based on verdicts of computer users
US8214904B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
WO2013089607A1 (en) 2011-12-12 2013-06-20 Telefonaktiebolaget L M Ericsson (Publ) Method for detection of persistent malware on a network node
US8214905B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for dynamically allocating computing resources for processing security information
US8209758B1 (en) 2011-12-21 2012-06-26 Kaspersky Lab Zao System and method for classifying users of antivirus software based on their level of expertise in the field of computer security
RU2472215C1 (ru) 2011-12-28 2013-01-10 Закрытое акционерное общество "Лаборатория Касперского" Способ выявления неизвестных программ с использованием эмуляции процесса загрузки
CN103198256B (zh) * 2012-01-10 2016-05-25 凹凸电子(武汉)有限公司 用于检测应用程序状态的检测系统及方法
KR101371902B1 (ko) * 2012-12-12 2014-03-10 현대자동차주식회사 차량 네트워크 공격 탐지 장치 및 그 방법
EP2922265B1 (en) 2014-03-20 2016-05-04 Kaspersky Lab, ZAO System and methods for detection of fraudulent online transactions
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US10805340B1 (en) * 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10178120B1 (en) * 2015-07-23 2019-01-08 Hrl Laboratories, Llc Method for determining contagion dynamics on a multilayer network
US9825989B1 (en) * 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10572663B1 (en) * 2016-03-09 2020-02-25 Symantec Corporation Systems and methods for identifying malicious file droppers
US10362769B1 (en) * 2018-03-23 2019-07-30 International Business Machines Corporation System and method for detection of disease breakouts
US10979452B2 (en) 2018-09-21 2021-04-13 International Business Machines Corporation Blockchain-based malware containment in a network resource
US20210194915A1 (en) * 2019-12-03 2021-06-24 Sonicwall Inc. Identification of potential network vulnerability and security responses in light of real-time network risk assessment
US11693961B2 (en) * 2019-12-03 2023-07-04 Sonicwall Inc. Analysis of historical network traffic to identify network vulnerabilities

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101110096A (zh) * 2006-07-21 2008-01-23 鸿富锦精密工业(深圳)有限公司 计算机信息保密系统

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6021438A (en) 1997-06-18 2000-02-01 Wyatt River Software, Inc. License management system using daemons and aliasing
US20020095387A1 (en) 1999-08-27 2002-07-18 Bertrand Sosa Online content portal system
US20030051026A1 (en) 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7010698B2 (en) * 2001-02-14 2006-03-07 Invicta Networks, Inc. Systems and methods for creating a code inspection system
US7039551B2 (en) 2002-02-04 2006-05-02 Hrl Laboratories, Llc Method and apparatus for calculating an operator distraction level
GB2401280B (en) * 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US7418732B2 (en) 2002-06-26 2008-08-26 Microsoft Corporation Network switches for detection and prevention of virus attacks
US7540028B2 (en) 2002-10-25 2009-05-26 Intel Corporation Dynamic network security apparatus and methods or network processors
US7412723B2 (en) * 2002-12-31 2008-08-12 International Business Machines Corporation Method and system for morphing honeypot with computer security incident correlation
US20040205419A1 (en) * 2003-04-10 2004-10-14 Trend Micro Incorporated Multilevel virus outbreak alert based on collaborative behavior
US20060206615A1 (en) * 2003-05-30 2006-09-14 Yuliang Zheng Systems and methods for dynamic and risk-aware network security
US7392543B2 (en) * 2003-06-30 2008-06-24 Symantec Corporation Signature extraction system and method
US20050086526A1 (en) * 2003-10-17 2005-04-21 Panda Software S.L. (Sociedad Unipersonal) Computer implemented method providing software virus infection information in real time
US7437385B1 (en) * 2004-01-23 2008-10-14 At&T Corp. Methods and apparatus for detection of hierarchical heavy hitters
US7424489B1 (en) * 2004-01-23 2008-09-09 At&T Corp. Methods and apparatus for space efficient adaptive detection of multidimensional hierarchical heavy hitters
WO2005114541A2 (en) * 2004-05-19 2005-12-01 Computer Associates Think, Inc. Systems and methods for minimizing security logs
US20060036619A1 (en) * 2004-08-09 2006-02-16 Oren Fuerst Method for accessing and analyzing medically related information from multiple sources collected into one or more databases for deriving illness probability and/or for generating alerts for the detection of emergency events relating to disease management including HIV and SARS, and for syndromic surveillance of infectious disease and for predicting risk of adverse events to one or more drugs
US7877621B2 (en) * 2004-09-03 2011-01-25 Virginia Tech Intellectual Properties, Inc. Detecting software attacks by monitoring electric power consumption patterns
US7434261B2 (en) 2004-09-27 2008-10-07 Microsoft Corporation System and method of identifying the source of an attack on a computer network
US7552206B2 (en) 2004-10-27 2009-06-23 Microsoft Corporation Throttling service connections based on network paths
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US20060259967A1 (en) 2005-05-13 2006-11-16 Microsoft Corporation Proactively protecting computers in a networking environment from malware
WO2006132987A1 (en) 2005-06-03 2006-12-14 Board Of Trustees Of Michigan State University Worm propagation modeling in a mobile ad-hoc network
US7730536B2 (en) * 2005-06-08 2010-06-01 Verizon Business Global Llc Security perimeters
US7600258B2 (en) 2005-07-01 2009-10-06 Symantec Corporation Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using fictitious buddies
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
TW200723101A (en) 2005-12-01 2007-06-16 Inventec Corp Method and system for automatically activating and controlling computer program recovery mode
US20070180509A1 (en) 2005-12-07 2007-08-02 Swartz Alon R Practical platform for high risk applications
US7937758B2 (en) * 2006-01-25 2011-05-03 Symantec Corporation File origin determination
JP2007249579A (ja) * 2006-03-15 2007-09-27 Fujitsu Ltd ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム
US8312545B2 (en) * 2006-04-06 2012-11-13 Juniper Networks, Inc. Non-signature malware detection system and method for mobile platforms
US20070300300A1 (en) * 2006-06-27 2007-12-27 Matsushita Electric Industrial Co., Ltd. Statistical instrusion detection using log files
US7523502B1 (en) 2006-09-21 2009-04-21 Symantec Corporation Distributed anti-malware
US9069957B2 (en) 2006-10-06 2015-06-30 Juniper Networks, Inc. System and method of reporting and visualizing malware on mobile networks
US8087085B2 (en) * 2006-11-27 2011-12-27 Juniper Networks, Inc. Wireless intrusion prevention system and method
JP2008140300A (ja) 2006-12-05 2008-06-19 Hitachi Ltd ストレージシステム及びウィルス感染拡散防止方法並びにウィルス除去支援方法
US8250645B2 (en) * 2008-06-25 2012-08-21 Alcatel Lucent Malware detection methods and systems for multiple users sharing common access switch
IL181426A (en) * 2007-02-19 2011-06-30 Deutsche Telekom Ag Automatic removal of signatures for malware
JP2010531553A (ja) * 2007-03-30 2010-09-24 ネットクオス・インコーポレーテッド ネットワーク異常検出のための統計的方法およびシステム
US9083712B2 (en) 2007-04-04 2015-07-14 Sri International Method and apparatus for generating highly predictive blacklists
US7933946B2 (en) 2007-06-22 2011-04-26 Microsoft Corporation Detecting data propagation in a distributed system
US8347286B2 (en) 2007-07-16 2013-01-01 International Business Machines Corporation Method, system and program product for managing download requests received to download files from a server
US8037536B2 (en) * 2007-11-14 2011-10-11 Bank Of America Corporation Risk scoring system for the prevention of malware
US20090180391A1 (en) * 2008-01-16 2009-07-16 Broadcom Corporation Network activity anomaly detection
US7530106B1 (en) * 2008-07-02 2009-05-05 Kaspersky Lab, Zao System and method for security rating of computer processes

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101110096A (zh) * 2006-07-21 2008-01-23 鸿富锦精密工业(深圳)有限公司 计算机信息保密系统

Also Published As

Publication number Publication date
EP2309408B1 (en) 2016-08-10
US7743419B1 (en) 2010-06-22
EP2309408A1 (en) 2011-04-13
CN101968836A (zh) 2011-02-09

Similar Documents

Publication Publication Date Title
CN101968836B (zh) 用于检测及预测与计算机病毒相关的蔓延的系统和方法
CN101986323B (zh) 用于检测先前未知的恶意软件的系统和方法
US7941852B2 (en) Detecting an audio/visual threat
Seo et al. Detecting mobile malware threats to homeland security through static analysis
US8196201B2 (en) Detecting malicious activity
CN101986324B (zh) 用于恶意软件检测的事件的异步处理
US7877806B2 (en) Real time malicious software detection
CN101901314B (zh) 反恶意软件处理中误报的检测和最小化
US8479296B2 (en) System and method for detecting unknown malware
US8443449B1 (en) Silent detection of malware and feedback over a network
US7555777B2 (en) Preventing attacks in a data processing system
US8549649B2 (en) Systems and methods for sensitive data remediation
US8769674B2 (en) Instant message scanning
US7934261B1 (en) On-demand cleanup system
US9015829B2 (en) Preventing and responding to disabling of malware protection software
US20130055394A1 (en) Network security risk assessment
US8171550B2 (en) System and method for defining and detecting pestware with function parameters
US20170061126A1 (en) Process Launch, Monitoring and Execution Control
KR101234066B1 (ko) 웹/이메일을 통해 유포되는 악성코드 자동 관리 시스템 및 그 관리방법
KR20110087826A (ko) 가상머신을 이용한 악성소프트웨어 탐지 방법
JP6857627B2 (ja) ホワイトリスト管理システム
AU2007204089A1 (en) Malicious software detection
Muttik et al. Rebuilding anti-malware testing for the future
Steffens 7.1 Attacker Perspective: Awareness of Telemetry
CN115134106A (zh) 检测黑客攻击的方法及计算机程序产品

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130828

Termination date: 20210714

CF01 Termination of patent right due to non-payment of annual fee