JP2011523748A - 中央集中的にマルウェアを検出するための知的ハッシュ - Google Patents
中央集中的にマルウェアを検出するための知的ハッシュ Download PDFInfo
- Publication number
- JP2011523748A JP2011523748A JP2011511784A JP2011511784A JP2011523748A JP 2011523748 A JP2011523748 A JP 2011523748A JP 2011511784 A JP2011511784 A JP 2011511784A JP 2011511784 A JP2011511784 A JP 2011511784A JP 2011523748 A JP2011523748 A JP 2011523748A
- Authority
- JP
- Japan
- Prior art keywords
- entity
- hash
- intelligent
- intelligent hash
- program code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000011156 evaluation Methods 0.000 claims description 40
- 238000000034 method Methods 0.000 claims description 25
- 238000004891 communication Methods 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 description 17
- 230000006835 compression Effects 0.000 description 9
- 238000007906 compression Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000006837 decompression Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 102000054765 polymorphisms of proteins Human genes 0.000 description 2
- 238000000844 transformation Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Abstract
疑いのあるエンティティが識別される。疑いのあるエンティティの知的ハッシュが生成され、知的ハッシュは、疑いのあるエンティティに特有のメタデータセットを含み、メタデータの少なくともいくつかは、疑いのあるエンティティが変更しても不変である。知的ハッシュは、疑いのあるエンティティがマルウェアエンティティに該当するか否かを評価するために、サーバに送信される。サーバは、知的ハッシュに基づいて、疑いのあるエンティティがマルウェアエンティティに該当するか否かを判断するように構成される。疑いのあるエンティティがマルウェアエンティティに該当するか否かを特定する結果がサーバから受信される。
Description
本発明は、一般にはコンピュータセキュリティに関し、特に、知的ハッシュ(intelligent hash)を使用したマルウェアの識別に関する。
近代のコンピュータを攻撃可能な多種多様な悪意のあるソフトウェア(マルウェア)が存在する。マルウェアの脅威としては、コンピュータウィルス、ワーム、トロイの木馬プログラム、スパイウェア、アドウェア、クライムウェア、およびフィッシングウェブサイトが挙げられる。近代のマルウェアは多くの場合、攻撃者に金融的な利益を提供するように設計される。例えば、マルウェアは、ログイン、パスワード、銀行口座識別子、およびクレジットカード番号等の重要な情報を不正に捕捉することができる。同様に、マルウェアは、攻撃者が侵入先のコンピュータにアクセスし制御できるようにする隠れたインタフェースを提供することができる。
マルウェアに対抗するいくつかのセキュリティコンピュータシステムおよびソフトウェアは、コンピュータファイルまたはソフトウェアアプリケーション等のエンティティがマルウェアを含むか否かを判断するために、使用されるマルウェアの特徴を識別しようとすることにより動作する。本明細書では「ハッシュ」と呼ばれるハッシュ値は、暗号ハッシュ関数等の変換をマルウェアプログラム等のエンティティに適用することにより生成される値である。ハッシュ値は、マルウェアプログラムの固有の表現または「指紋」を形成し、プログラムを識別する特徴として使用することができる。ハッシュを生成する一般的な変換としては、MD5およびSHA−1が挙げられる。
暗号ハッシュ関数は、データの小さな変更(すなわち、多態性)の影響を受けやすい。したがって、同じマルウェアプログラムの変形(すなわち、ポリモーフィック型マルウェア)等の2つの同様のエンティティが、非常に異なるハッシュを有し得る。このように、ハッシュは、生成される元となるエンティティに特有である。マルウェアプログラムの一変形のハッシュの生成に使用されるデータは、多態性を受け得るため、この特有性は多くの場合、ポリモーフィック型マルウェアの検出漏れを生じさせる。
検出漏れを補償するために、エンティティがマルウェアであるか否かを識別する際に、エンティティのいくつかのハッシュが使用される。クライアントが曝される危険のある異なるマルウェアエンティティの数は、時間の経過に伴って増大し続けるため、エンティティがマルウェアであるか否かを判断するために使用されるハッシュの数は比例的に増大している。大きなハッシュセットを使用すると、ソフトウェアアプリケーションまたはファイル等のエンティティをスキャンして、マルウェアの存在を検出するにあたり、非効率的になり得る。
したがって、当分野には、クライアント側のマルウェア検出能力を損なわずに、マルウェアの識別に使用されるハッシュ数を低減する必要がある。
上記および他の必要性は、エンティティの知的ハッシュを生成する方法およびコンピュータ可読記憶媒体により満たされる。
一態様は、エンティティの知的ハッシュを生成する方法を提供する。アセンブリ言語命令シーケンスが、エンティティに基づいて生成される。アセンブリ言語命令シーケンスのサブシーケンスセットが識別される。エンティティの知的ハッシュが、少なくとも部分的に、識別されたサブシーケンスセットに基づいて生成され、記憶装置に記憶される。
別の態様は、疑いのあるエンティティがマルウェアエンティティに該当するか否かを判断するコンピュータシステムを提供する。このシステムは、クライアントが直面した疑いのあるエンティティに基づいて生成された知的ハッシュを受信するように構成された報告モジュールを備え、知的ハッシュは、疑いのあるエンティティに特有のメタデータセットを含み、そのメタデータのうちの少なくともいくつかは、疑いのあるエンティティが変更しても不変である。このシステムは、疑いのあるエンティティがマルウェアエンティティに該当するか否かを知的ハッシュに基づいて判断するように構成された評価モジュールをさらに備える。報告モジュールは、疑いのあるエンティティがマルウェアエンティティに該当するか否かをクライアントに対して報告するようにさらに構成される。
別の態様では、説明される実施形態は、疑いのあるエンティティがマルウェアエンティティに該当するか否かを判断するコンピュータプログラムコードが符号化されたコンピュータ可読記憶媒体を提供する。このプログラムコードは、疑いのあるエンティティを識別するプログラムコードを含む。プログラムコードは、疑いのあるエンティティの知的ハッシュを生成するプログラムコードをさらに含み、知的ハッシュは疑いのあるエンティティに特有のメタデータセットを含み、メタデータのうちの少なくともいくつかは、疑いのあるエンティティが変更されても不変である。プログラムコードは、疑いのあるエンティティがマルウェアエンティティに該当するか否かを評価するために、知的ハッシュをサーバに送信するプログラムコードをさらに含む。プログラムコードは、疑いのあるエンティティがマルウェアエンティティに該当するか否かを特定する結果をサーバから受信するプログラムコードをさらに含む。
この概要および以下の詳細な説明において説明される特徴および利点は、すべてを包含するものではない。多くの追加の特徴および利点が、図面、明細書、および特許請求の範囲に鑑みて当業者には明らかになるであろう。
これら図は、単なる例示として本発明の実施形態を示す。本明細書に示される構造および方法の代替の実施形態を、本明細書に開示される本発明の原理から逸脱せずに利用し得ることを当業者は容易に認識するであろう。
図1は、一実施形態による計算環境100の高レベルブロック図である。図1は、ネットワーク114により接続されたセキュリティサーバ110および3つのクライアント150を示す。説明を簡潔かつ明確にするために、3つのみのクライアント150が図1に示される。計算環境100の実施形態は、ネットワーク114に接続された数千または数百万のクライアント150を有し得る。
セキュリティサーバ110は、ネットワーク114を介してクライアント150と対話する。セキュリティサーバ110は、マルウェアの検出に使用される知的ハッシュを記憶する知的ハッシュデータベース174を含む。「知的ハッシュ」は、エンティティに対して一意(すなわち、特有)であると共に、多態性等のエンティティへの小さな変更に対して大方不変(すなわち、ロバスト)であり、ファイルまたはソフトウェアアプリケーション等のエンティティに関連付けられたメタデータを識別することにより生成される。これらメタデータは、エンティティから抽出するか、または変換もしくは関数を使用して生成することができる。
これらメタデータを使用して、同じエンティティの変形である(例えば、少数の多態性により異なる)2つのエンティティから生成される知的ハッシュは、その類似性を反映することになる。同じエンティティの2つの変形の間の多態性により、同じエンティティの2つの変形の知的ハッシュで表されるメタデータのうちのいくらかが異なることになり得る。しかし、メタデータの大部分は、同じエンティティの2つの変形の類似性を反映して、同じままである。セキュリティサーバ110は、既知のマルウェア脅威の包括的集合のための知的ハッシュを生成し、この知的ハッシュを知的ハッシュデータベース174に記憶する。
セキュリティサーバ110は、知的ハッシュデータベース174を使用して、クライアント150において生成された知的ハッシュが、知的ハッシュデータベース174内の知的ハッシュに該当するか否かを評価する。未知のエンティティまたはマルウェアであることが疑われるエンティティ等の疑いのあるエンティティが識別された場合、クライアント150は、本明細書では「疑いのあるエンティティハッシュ」と呼ばれる疑いのあるエンティティの知的ハッシュを生成する。次に、クライアント150は、評価のために、疑いのあるエンティティハッシュをセキュリティサーバ110に送信する。クライアント150から疑いのあるエンティティハッシュを受信すると、セキュリティサーバ110は、データベース174内の知的ハッシュと比較して、疑いのあるエンティティハッシュが知的ハッシュデータベース174内の知的ハッシュと同じまたは同様であるか否かを判断することにより、知的ハッシュを評価する。セキュリティサーバ110は、評価の結果をクライアント150に報告する。
一実施形態では、クライアント150は、1人または複数のユーザが、ソフトウェアエンティティのダウンロード、インストール、および/または実行を含む動作を実行するために使用するコンピュータである。クライアント150は、例えば、ユーザがネットワーク114上のウェブサーバおよび他のコンピュータからコンテンツを検索し表示できるようにするMICROSOFT INTERNET EXPLORER等のウェブブラウザを実行するパーソナルコンピュータであり得る。他の実施形態では、クライアント150は、個人情報端末(PDA)、携帯電話、ページャ、テレビジョン「セットトップボックス」等の、コンピュータ以外のネットワーク対応装置である。この説明では、用語「クライアント」は、マルウェアまたは他の脅威を構成し得るソフトウェアエンティティまたは他のエンティティに直面するサーバおよびゲートウェイ等のコンピュータも含む。例えば、クライアント150は、企業ネットワークとインターネットとの間に配置されるネットワークゲートウェイであり得る。
知的ハッシュデータベース174およびセキュリティサーバ110に記憶された他の情報を使用して、疑いのあるエンティティハッシュを評価することにより、包括的なクライアント側マルウェア検出を相変わらず提供しながら、疑いのあるエンティティの評価を中央集中化するメカニズムが提供される。この手法は、知的ハッシュデータベース174を生成し、クライアント150から受信する知的ハッシュを評価するセキュリティサーバ110の処理力を利用する。したがって、この手法は、知的ハッシュデータベース174をクライアント150に送信することが実際的ではないか、または望ましくない計算環境によく適する。
さらに、この手法において知的ハッシュを使用することにより、多態性を含むように変更されたマルウェアエンティティの検出が可能であり、したがって、マルウェアの検出漏れ数を低減すると共に、各エンティティに複数のハッシュを生成する必要性をなくす。この「知的」検出により、さらに、2つの知的ハッシュの類似性を特定することが可能である。この類似値は、二進識別情報のみを提供する従来のハッシュ法とは対照的に、2つのエンティティの類似度を定量化する能力をユーザに提供する連続した、または割合に基づく値であり得る。例えば、ユーザは、2つのハッシュ間で一致するメタデータの割合を特定する類似値に基づいて、2つの知的ハッシュが90%の類似性を有することを定量化可能であり得る。
ネットワーク114は、セキュリティサーバ110とクライアント150との通信路を表す。一実施形態では、ネットワーク114はインターネットである。ネットワーク114は、必ずしもインターネットの部分である必要はない専用または私設通信リンクを利用してもよい。一実施形態では、ネットワーク114は、標準通信技術および/またはプロトコルを使用する。したがって、ネットワーク114は、イーサネット、802.11、デジタル総合サービス網(ISDN)、デジタル加入者回線(DSL)、非同期転送モード(ATM)等を使用するリンクを含み得る。同様に、ネットワーク114に使用されるネットワーク化プロトコルは、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ハイパーテキスト転送プロトコル(HTTP)、簡易メール転送プロトコル(SMTP)、ファイル転送プロトコル(FTP)等を含み得る。ネットワーク114を介して交換されるデータは、ハイパーテキストマークアップ言語(HTML)、拡張可能マークアップ言語(XML)等を含む技術および/またはフォーマットを使用して表し得る。さらに、リンクのうちのすべてまたはいくつかは、セキュアソケットレイヤ(SSL)、セキュアHTTP、および/または仮想私設ネットワーク(VPN)等の従来の暗号技術を使用して暗号化し得る。別の実施形態では、エンティティは、上述したものに代えて、または上述したものに加えて、カスタムかつ/または専用データ通信技術を使用し得る。
図2は、セキュリティサーバ110またはクライアント150としての使用に典型的なコンピュータ200を示す高レベルブロック図である。バス204に結合されたプロセッサ202が示される。バス204には、メモリ206、記憶装置208、キーボード210、グラフィックスアダプタ212、ポインティングデバイス214、およびネットワークアダプタ216も結合される。ディスプレイ218が、グラフィックスアダプタ212に結合される。
プロセッサ202は、INTELx86互換CPU等の任意の汎用プロセッサであり得る。記憶装置208は、一実施形態では、ハードディスクドライブであるが、書き込み可能なコンパクトディスク(CD)もしくはDVD、または固体状態メモリ装置等のデータを記憶可能な他の任意の装置であってもよい。メモリ206は、例えば、ファームウェア、読み取り専用メモリ(ROM)、不揮発性ランダムアクセスメモリ(NVRAM)、および/またはRAMであり得、プロセッサ202により使用される命令およびデータを保持する。ポインティングデバイス214は、マウス、トラックボール、または他の種類のポインティングデバイスであり得、キーボード210と組み合わせて使用されて、データをコンピュータ200に入力する。グラフィックスアダプタ212は、画像および他の情報をディスプレイ218上に表示する。ネットワークアダプタ216は、コンピュータ200をネットワーク114に結合する。
当分野において既知のように、コンピュータ200は、コンピュータプログラムモジュールを実行するように構成される。本明細書において使用される用語「モジュール」は、指定された機能を提供するコンピュータプログラム論理および/またはデータを指す。モジュールは、ハードウェア、ファームウェア、および/またはソフトウェアに実装し得る。一実施形態では、モジュールは記憶装置208に記憶され、メモリ206内にロードされ、プロセッサ202により実行される。
図1のエンティティにより利用されるコンピュータ200の種類は、実施形態およびエンティティにより利用される処理力に応じて様々であり得る。例えば、携帯電話であるクライアント150は通常、限られた処理力、小型ディスプレイ218を有し、ポインティングデバイス214がない場合がある。逆に、セキュリティサーバ110は、協働して本明細書において説明される機能を提供する複数のブレードサーバを含み得る。
図3は、一実施形態によるセキュリティサーバ110の詳細図を示す高レベルブロック図である。図3に示されるように、セキュリティサーバ110はいくつかのモジュールを含む。他の実施形態が、ここに示されるものとは異なり、かつ/または他のモジュールを有してもよいこと、および機能を異なる様式でモジュール間に分散させてもよいことを当業者は認識するであろう。さらに、セキュリティサーバ110に帰する機能を複数のサーバで実行してもよい。
評価報告モジュール352は、ネットワーク114を介してクライアント150と通信する。評価報告モジュール352は、疑いのあるエンティティハッシュをクライアント150から受信する。評価報告モジュール352は、疑いのあるエンティティハッシュ評価モジュール342と通信して、疑いのあるエンティティハッシュの評価結果を受信する。評価報告モジュール352はさらに、疑いのあるエンティティハッシュの評価結果をクライアント150に提供する。
知的ハッシュ生成モジュール312は、ソフトウェアアプリケーション等のエンティティを解析して、エンティティに関連付けられたメタデータを識別し、識別されたメタデータに基づいて知的ハッシュを生成する。知的ハッシュ生成モジュール312は、圧縮情報、頻繁に発生するメタ言語サブシーケンスセット、および固有の文字列セットを含む、エンティティから導出された異なる種類のメタデータに基づいて知的ハッシュを生成する。いくつかの実施形態では、知的ハッシュ生成モジュール312は、追加のメタデータおよびエンティティに関連付けられるか、またはエンティティから導出される他の情報に基づいて知的ハッシュを生成する。
知的ハッシュ生成モジュール312は、本明細書では「パッカー」と呼ばれる、エンティティを圧縮するために使用される1つまたは複数のアルゴリズムを指定する情報を含む、エンティティの圧縮情報を生成する。いくつかのマルウェアエンティティ(またはマルウェアエンティティファミリ)が同じパッカーを使用して圧縮されるため、この圧縮情報は、マルウェアの脅威を識別するのに役立つ。一実施形態では、知的ハッシュ生成モジュール312は、既知の圧縮解除アルゴリズムセット303をエンティティに適用することにより、エンティティを圧縮解除しようとする。知的ハッシュ生成モジュール312が、エンティティの圧縮解除に成功した場合、エンティティの圧縮情報は、エンティティの首尾よい圧縮解除に使用されたパッカーを含む。知的ハッシュ生成モジュール312がエンティティの圧縮解除に失敗した場合、エンティティの圧縮情報は、パッカーが未知であるという表示を含む。実施形態によれば、知的ハッシュ生成モジュール312により生成される圧縮情報は、圧縮解除前後のエンティティのサイズ、エミュレータまたはパッカーがエンティティの圧縮に使用されたか否か、およびエンティティに添付されたデータセットのセットのサイズを含むこともできる。
知的ハッシュ生成モジュール312は、エンティティに基づいてメタ言語命令をさらに生成する。メタ言語命令は、エンティティのプログラムコードの変換に基づいて生成される命令である。いくつかの実施形態では、知的ハッシュ生成モジュール312は、エンティティに基づいてメタ言語命令シーケンスを生成する。実施形態によれば、知的ハッシュモジュール312により生成されるメタ言語命令は、疑似コード命令等の高水準変換からアセンブリ言語命令までを範囲とし得る。知的ハッシュ生成モジュール312はさらに、メタ言語命令に基づいて、命令の各タイプの頻度等の情報を特定する。
一実施形態では、知的ハッシュ生成モジュール312は、エンティティ内で頻繁に発生するアセンブリ命令シーケンスのセットを特定する。知的ハッシュ生成モジュール312は、エンティティをアセンブリ言語命令シーケンスに変換する1つまたは複数の逆アセンブラプログラム309を備える。シーケンス内の各命令は、本明細書では、動作コードと呼ばれる。適した逆アセンブラプログラムとしては、Interactive Disassembler(IDAPro)、Sourcer、およびBDASMを挙げることができるが、これらに限定されない。この変換に基づいて、知的ハッシュ生成モジュール312は、アセンブリ言語命令シーケンス内の命令の総数、アセンブリ言語命令シーケンス内の動作コードのブロック数、ブロック当たりの動作コードの平均数、およびアセンブリ言語命令シーケンス内に含まれる相互参照情報を含むメタデータを識別する。
知的ハッシュ生成モジュール312は、メタ言語命令シーケンスの最も頻繁に発生するサブシーケンスのセットを特定するためにメタ言語命令シーケンスを解析する。大半の実施形態では、セット内の各サブシーケンス内の命令数は固定サイズ(例えば、5つの命令)である。この固定サイズは1〜50個の命令範囲であり得る。特定の実施形態では、各サブシーケンス内の命令数は5〜10個の命令範囲であり得る。
知的ハッシュ生成モジュール312は、各サブシーケンスがメタ言語命令シーケンス内で発生する頻度を特定する。特定の実施形態では、知的ハッシュ生成モジュール312は、スライド窓法を使用して、各サブシーケンスがメタ言語命令シーケンス内で発生する頻度を計数する。スライド窓法では、固定サイズnの窓が、シーケンスにわたって1命令または1動作コードずつ進められ、長さnの各サブシーケンスが発生する回数を計数する。各サブシーケンスの頻度を計数する他の方法としては、文字列マッチングアルゴリズムおよびルックアップテーブルの構築が挙げられる。
知的ハッシュ生成モジュール312は、知的ハッシュ内に含めるために、メタ言語命令シーケンス内で最も頻繁に発生するサブシーケンスのセットを選択する。実施形態およびサブシーケンスの長さに従って、このサブシーケンスのセットは、1つのサブシーケンスからいくつかのサブシーケンスの範囲であり得る。通常、セットは5〜15個のサブシーケンスの範囲になる。一実施形態では、知的ハッシュ生成モジュール312は、最高発生頻度を有するサブシーケンスのセットを選択する。他の実施形態では、知的ハッシュ生成モジュール312は、最高発生頻度を有するサブシーケンスのセットを選択する前に、マルウェアではない(すなわち、非有益な)エンティティを含む大きなエンティティの集合にわたって非常に高い頻度で発生するメタ言語命令サブシーケンスをフィルタリングして除去し得る。
知的ハッシュ生成モジュール312は、エンティティに基づいて固有の文字列をさらに識別する。これら固有の文字列は、エンティティがネットワーク、コンピュータプログラム、およびコンピュータシステムと通信するために使用される情報を表す。これら文字列は、通信に基づいてエンティティを特徴付けるために有用であり得る。固有の文字列は、エンティティが通信するライブラリまたはモジュールの名称、エンティティが通信するファイルの名称、ユニフォームリソースロケータ、インターネットプロトコルアドレス、電子メールアドレス、およびクラス識別子(CLSID)等のグローバル一意識別子(GUID)を含み得る。
知的ハッシュ生成モジュール312は、エンティティが通信するライブラリまたはモジュールを示す拡張子(例えば、.dll拡張子は、ダイナミックリンクライブラリとの通信を示す)、エンティティが通信するファイルの名称を示す他のファイル拡張子(例えば、.avi)、ユニフォームリソースロケータを示す情報、インターネットプロトコルアドレスを示す情報、電子メールアドレスを示す情報、およびグローバル一意識別子を示す情報等の構造化情報に基づいて固有の文字列を識別する。一実施形態では、知的ハッシュ生成モジュール312は、構造化情報を識別するように設計された通常の表現を使用して固有の文字列を識別する。
知的ハッシュ生成モジュール312は、知的ハッシュに含める固有の文字列セットを選択する。いくつかの実施形態では、知的ハッシュ生成モジュール312は、知的ハッシュに含めるものとして、すべての固有の文字列を選択する。他の実施形態では、知的ハッシュ生成モジュール312は、知的ハッシュの固定サイズ(例えば、750バイト)に基づいて固有の文字列の数を制限し得る。さらに、固有の文字列を、マルウェア内で頻繁に発生する固有の文字列および無害エンティティ(すなわち、マルウェアではないエンティティ)内で頻繁に発生する固有の文字列に基づいてフィルタリングまたは重み付けし得る。特定の実施形態では、頻繁に発生する文字列のセットが、無害エンティティのコーパスに基づいて生成され、固有の文字列は、頻繁に発生する文字列のセットを使用してフィルタリングされる。いくつかの実施形態では、固有の文字列には、マルウェアおよび/または無害エンティティの大きな集合での発生頻度に反比例するスコアが付与される。
知的ハッシュ生成モジュール312は、メタデータに基づいて知的ハッシュを生成する。知的ハッシュ生成モジュール312は、エンティティのメタデータを任意の方法で組み合わせて表現し、知的ハッシュを生成する。通常、知的ハッシュは、英数字データ文字列として表されることになる。実施形態によれば、知的ハッシュ生成モジュール312は、メタデータに関連付けられたスコア、確率値、または頻度等の数値を含む知的ハッシュを生成する。一実施形態では、知的ハッシュ生成モジュール312は、各サブシーケンスの発生頻度に関連して最も頻繁に発生するサブシーケンスのセットを含む知的ハッシュを生成する。いくつかの実施形態では、知的ハッシュ生成モジュール312は、固有の文字列のセットに関連付けられた重みまたは頻度値のセットを含む。
特定の実施形態では、ハッシュ生成モジュール312は、
42323|1-PECOMPACT-w|123423|32233|I=017253 B=297 M=31 X=1953 |A=1925 C=1154 D=51 G=2221 J=2246 L=789 M=3917 P=4180 R=44 S=125 T=780
V=5 PPPPP=171 LPPPM=111 PPPPG=110 MMMMM=91 PPPMP=88 PAAPA=73 APAAP=71
PPGCJ=69 JCJCJ=68 CJCJC=63 |4233|ntoskrnl.ex ntoskrnl.exe
V2.3.9.0.Demo.CracKed.By is4q.1ih|user32.dll drv\objfre\i386\driver.pdb objfre\i386\driver.sys kernel32.dll ntdll.dll ws2_32.dll advapi32.dl
等の英数字文字列として知的ハッシュを表す。
42323|1-PECOMPACT-w|123423|32233|I=017253 B=297 M=31 X=1953 |A=1925 C=1154 D=51 G=2221 J=2246 L=789 M=3917 P=4180 R=44 S=125 T=780
V=5 PPPPP=171 LPPPM=111 PPPPG=110 MMMMM=91 PPPMP=88 PAAPA=73 APAAP=71
PPGCJ=69 JCJCJ=68 CJCJC=63 |4233|ntoskrnl.ex ntoskrnl.exe
V2.3.9.0.Demo.CracKed.By is4q.1ih|user32.dll drv\objfre\i386\driver.pdb objfre\i386\driver.sys kernel32.dll ntdll.dll ws2_32.dll advapi32.dl
等の英数字文字列として知的ハッシュを表す。
上記例では、異なる種類のメタデータが、区切り文字「|」で隔てられている。知的ハッシュ内の1番目の種類のメタデータは、圧縮解除前のエンティティのバイト単位でのサイズである。知的ハッシュ内の2番目の種類のメタデータは、エンティティの圧縮に使用されたパッカーを記述する。この例では、「w」が、エミュレータが従来の圧縮アルゴリズムに代えて使用されたことを示すために使用される。知的ハッシュ内の3番目の種類のメタデータは、圧縮解除後のエンティティのサイズである。知的ハッシュ内の4番目の種類のメタデータは、ファイルに添付されたデータのサイズである。知的ハッシュ内の5番目の種類のメタデータは、アセンブリ言語命令シーケンスの合計命令計数(「I」で示される)、アセンブリ言語命令シーケンス内のブロック数(「B」で示される)、各ブロック内の命令の平均数(「M」で示される)、および相互参照数(「X」で示される)を含む。知的ハッシュ内の6番目の種類のメタデータは、異なる動作コードまたは命令およびアセンブリ言語命令シーケンス内のそれぞれの発生頻度を表す。この例では、「A=1925」は、命令Addがアセンブリ言語命令シーケンス内で1925回発生したことを表す。知的ハッシュ内の7番目の種類のメタデータは、アセンブリ言語命令サブシーケンスのうちの最も頻繁に発生する10個およびアセンブリ言語命令シーケンス内のそれぞれの発生頻度を表す。知的ハッシュ内の8番目のメタデータは、エンティティに基づいて識別された固有の文字列の数を表す。知的ハッシュ内の9番目のメタデータは、識別された固有の文字列を表す。
知的ハッシュデータベース174は、既知のマルウェアエンティティの包括的集合に基づいて生成された知的ハッシュセットを記憶する。知的ハッシュデータベース174は、知的ハッシュのセットを、ハッシュが表すエンティティに関連付けて記憶する。いくつかの実施形態では、知的ハッシュデータベース174は、マルウェアではないエンティティ(すなわち、無害エンティティ)に基づいて生成された知的ハッシュも記憶する。
疑いのあるエンティティハッシュ評価モジュール342は、クライアント150により報告された疑いのあるエンティティハッシュを評価して、疑いのあるエンティティがマルウェアであるエンティティを表すか否かを判断する。疑いのあるエンティティハッシュ評価モジュール342は、疑いのあるエンティティハッシュを知的ハッシュデータベース174内のハッシュと比較して、エンティティハッシュが知的ハッシュデータベース174内の知的ハッシュと同じまたは同様であるか否かを判断する。
一実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、疑いのあるエンティティハッシュおよび知的ハッシュデータベース174内のハッシュ等の2つの知的ハッシュを比較する際、類似性スコアを生成する。類似性スコアは、ハッシュが同様であるか否かを示す二進スコアであってもよく、または類似性割合等の類似値の範囲を示す連続数スコアであってもよい。疑いのあるエンティティハッシュ評価モジュール342は、2つの知的ハッシュ内のメタデータに基づいて類似性スコアを生成する。一実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、ユークリッド距離関数または余弦距離関数(cosine distance function)等のすべてのメタデータの1回での比較を提供する関数に基づいて、類似性スコアを生成する。いくつかの実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、決定木アルゴリズム等の異なる種類のメタデータの一連の比較に基づいて、類似性スコアを生成する。いくつかの実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、ニューラルネットワークまたはブースティング等の機械学習法を使用して、類似性スコアを生成し得る。
特定の実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、異なる種類のメタデータ値の所定順の比較を通して、類似性スコアを生成する。この実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、最も頻繁に発生するアセンブリ言語サブシーケンスのセット、2つの知的ハッシュ内で示される最も頻繁に発生するアセンブリ言語サブシーケンスのセットの頻度、知的ハッシュ内で示されるパッカー、および知的ハッシュ内で示される固有の文字列の順に比較する。一実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、閾値を使用して、比較の次のステップに進むべきか否かを判断する。例えば、疑いのあるエンティティハッシュ評価モジュール342は、最も頻繁に発生するアセンブリ言語サブシーケンスのセットの一致率が80%未満であることに基づいて、2つのハッシュが類似しないと判断し得る。
疑いのあるエンティティハッシュ評価モジュール342は、知的ハッシュデータベース174内で最高類似性スコアを有する知的ハッシュおよびその知的ハッシュに関連付けられたエンティティを特定する。疑いのあるエンティティハッシュ評価モジュール342は、評価の結果を評価報告モジュール352に伝達し、その結果は、最高スコアの知的ハッシュに関連付けられたエンティティ、最も高い類似性スコアが類似性カットオフ値を超えるか否か、および最高スコアの知的ハッシュに関連付けられたエンティティがマルウェアエンティティであるか、それとも無害エンティティであるかを含む。いくつかの実施形態では、疑いのあるエンティティハッシュ評価モジュール342は、さらに評価するために、評価の結果をセキュリティサーバ110の管理者に報告し得る。
図4は、一実施形態よるクライアント150のセキュリティモジュール116の詳細図を示す高レベルブロック図である。いくつかの実施形態では、セキュリティモジュール116は、クライアント150で実行中のオペレーティングシステム内に組み込まれるが、他の実施形態では、セキュリティモジュール116は、独立したエンティティまたは別の製品の部分である。図4に示されるように、セキュリティモジュール116は複数のモジュールを含む。セキュリティモジュール116の他の実施形態が、ここで説明されるものと異なり、かつ/または他のモジュールを有してもよいこと、および機能を異なる様式でモジュールに分散させてもよいことを当業者は認識するであろう。
疑いのあるエンティティ検出モジュール450は、疑いのあるエンティティを検出する。一実施形態では、疑いのあるエンティティ検出モジュール450は、クライアント150に関連付けられた記憶装置208またはメモリ206をスキャンして、記憶装置208またはメモリ206にインストールまたは記憶された疑いのあるエンティティを検出する。別の実施形態では、疑いのあるエンティティ検出モジュール450は、ユーザがエンティティにアクセスした場合、またはエンティティを実行した場合のみ、疑いのあるエンティティを検出することができる。
実施形態によれば、疑いのあるエンティティ検出モジュール450は、異なる方法を使用して疑いのあるエンティティを検出することができる。一実施形態では、疑いのあるエンティティ検出モジュール450は、以前に評価されているか、または他の様式で無害であると判断されているエンティティのリストにアクセスすることにより、エンティティが未知であることを識別し得る。別の実施形態では、疑いのあるエンティティ検出モジュール450は、マルウェア署名またはハッシュのセットを使用してクライアント150をスキャンし、疑いのあるエンティティを検出し得る。いくつかの実施形態では、疑いのあるエンティティ検出モジュール450は、クライアント150でのエンティティの挙動を監視して、何らかの挙動がマルウェア指紋セット内に指定された挙動を満たすか否かを判断する。
エンティティが疑いのあるエンティティであると判断された場合、疑いのあるエンティティ検出モジュール450の実施形態は、疑いのあるエンティティを隔離して、エンティティがクライアント150にダメージを与えるのを阻止する。疑いのあるエンティティは、例えば、そのエンティティの実行を禁止するようにクライアント150を構成することにより、かつ/または別の動作を行うことにより、疑いのあるエンティティ内のどの悪意のあるコードも被害を生じさせないように隔離し得る。
疑いのあるエンティティハッシュ生成モジュール470は、疑いのあるエンティティの知的ハッシュ(すなわち、疑いのあるエンティティハッシュ)を生成するように機能する。疑いのあるエンティティハッシュ生成モジュール470は、知的ハッシュ生成モジュール312を参照して概説した方法に従って導出されたメタデータを含む疑いのあるエンティティハッシュを生成する。疑いのあるエンティティハッシュ生成モジュール470は、生成された疑いのあるエンティティハッシュを疑いのあるエンティティハッシュ報告モジュール460に伝達する。
疑いのあるエンティティハッシュ報告モジュール460は、ネットワーク114を介してセキュリティサーバ110と通信する。疑いのあるエンティティハッシュ報告モジュール460は、疑いのあるエンティティハッシュをセキュリティサーバ110に報告する。疑いのあるエンティティハッシュ報告モジュール460は、セキュリティサーバ110から疑いのあるエンティティハッシュの評価結果を受信する。疑いのあるエンティティハッシュの評価結果は、最高スコアの知的ハッシュに関連付けられたエンティティ、最高類似性スコアが類似性カットオフ値を超えるか否か、および最高スコアの知的ハッシュに関連付けられたエンティティがマルウェアエンティティであるか、それとも無害エンティティであるかを含む。評価により、署名検出イベントがマルウェアではない(すなわち、最高スコアの知的ハッシュが類似性カットオフ値を超え、マルウェアエンティティに関連付けられない)ことが示される場合、疑いのあるエンティティハッシュ報告モジュール460は、署名検出イベントを抑制(例えば、無視)する命令を疑いのあるエンティティ検出モジュール450に伝達する。したがって、疑いのあるエンティティハッシュ報告モジュール460は、隔離からエンティティを解放し、かつ/またはエンティティが疑いがあるものとして宣言された際に行われた他の動作を取り消す。
疑いのあるエンティティハッシュ評価により、エンティティがマルウェアである(すなわち、最高スコアの知的ハッシュが類似性カットオフ値を超え、マルウェアエンティティに関連付けられる)ことが示される場合、疑いのあるエンティティハッシュ報告モジュール460は、例えば、疑いのあるエンティティを削除し、かつ/またはクライアント150の破損したエンティティを修正することにより、クライアント150を修復する。疑いのあるエンティティハッシュ報告モジュール460は、クライアント150のユーザへの警告および疑いのあるエンティティのログ記録等の追加の動作を実行し得る。
図5は、一実施形態により、知的ハッシュを生成するためにセキュリティサーバ110が実行するステップを示すフローチャートである。他の実施形態は、示されるステップを異なる順に実行し、かつ/または異なるもしくは追加のステップを実行する。さらに、ステップのうちのいくつかは、セキュリティサーバ110以外のエンジンまたはモジュールにより実行してもよい。
セキュリティサーバ110は、ソフトウェアアプリケーションまたはファイル等のエンティティを識別する(512)。セキュリティサーバ110は、圧縮解除アルゴリズムセット303をエンティティに適用することにより、エンティティの圧縮情報を生成する(514)。セキュリティサーバ110は、1つまたは複数の逆アセンブラアルゴリズム309をエンティティに適用することにより、アセンブリ言語命令シーケンスを生成する(516)。セキュリティサーバ110は、アセンブリ言語命令シーケンスの最も頻繁に発生するサブシーケンスのセットを特定する(518)。セキュリティサーバ110は、エンティティに基づいて固有の文字列のセットを識別する(520)。セキュリティサーバ110は、圧縮情報、アセンブリ言語命令シーケンスの頻繁に発生するサブシーケンスのセット、および固有の文字列のセットに基づいてエンティティの知的ハッシュを生成する(522)。
図6は、一実施形態により、疑いのあるエンティティハッシュの評価をクライアント150に提供するためにセキュリティサーバ110が実行するステップを示すフローチャートである。他の実施形態は、示されるステップを異なる順に実行し、かつ/または異なるもしくは追加のステップを実行する。さらに、ステップのうちのいくつかは、セキュリティサーバ110以外のエンジンまたはモジュールにより実行してもよい。
セキュリティサーバ110は、知的ハッシュデータベース174を生成する(612)。セキュリティサーバ110は、クライアント150から疑いのあるエンティティハッシュを受信する(614)。セキュリティサーバ110は、疑いのあるエンティティハッシュが知的ハッシュデータベース174内のハッシュに該当するか否かを評価する(616)。セキュリティサーバ110は、この評価の結果をクライアント150に提供する(618)。
図7は、一実施形態による、疑いのあるエンティティを検出し評価するためにクライアント150上のセキュリティモジュール116が実行するステップを示すフローチャートである。他の実施形態は、示されるステップを異なる順に実行し、かつ/または異なるもしくは追加のステップを実行する。さらに、ステップのうちのいくつかは、セキュリティモジュール116以外のエンジンまたはモジュールにより実行してもよい。
セキュリティモジュール116は、疑いのあるエンティティを識別する(712)。セキュリティモジュール116は、疑いのあるエンティティハッシュを生成する(714)。セキュリティモジュール116は、疑いのあるエンティティハッシュをセキュリティサーバ110に送信する(616)。セキュリティモジュール116は、セキュリティサーバ110から疑いのあるエンティティハッシュの評価を受信し(618)、評価は、疑いのあるエンティティハッシュが、マルウェアエンティティの知的ハッシュと高い類似性を有するか、それとも無害エンティティの知的ハッシュと高い類似性を有するかを示す。720において、評価により、疑いのあるエンティティが無害であること、すなわち、既知のマルウェアに類似しないことが示される場合、セキュリティモジュール116は、疑いのあるエンティティを識別すること(712)に続く。720において、評価により、疑いのあるエンティティがマルウェアであることが示される場合、セキュリティモジュール116は、疑いのあるエンティティをクライアントから削除するなどのクライアント150の修復を実行する(724)。
上記説明は、特定の実施形態の動作を説明するために含まれており、本発明の限定を意味しない。本発明の範囲は、以下の特許請求の範囲によってのみ限定されるべきである。上記考察から、本発明の主旨および範囲に包含される多くの変形が当業者には明らかとなろう。
Claims (20)
- エンティティの知的ハッシュを生成する方法であって、
前記エンティティに基づいてメタ言語命令シーケンスを生成するステップと、
前記メタ言語命令シーケンスのサブシーケンスのセットを識別するステップと、
少なくとも部分的に前記識別されたサブシーケンスのセットに基づいて、前記エンティティの前記知的ハッシュを生成するステップと、
前記知的ハッシュを記憶装置に記憶するステップと
を含む、方法。 - 前記メタ言語命令シーケンスに基づいて、メタ言語命令のサブシーケンスのセットを識別するステップは、
複数のサブシーケンスの複数の頻度値を特定するステップであって、ここで頻度値は、関連付けられたサブシーケンスが前記メタ言語命令シーケンス内で発生する頻度を示すステップと、
少なくとも部分的に前記複数の頻度値に基づいて、前記複数のサブシーケンスから前記サブシーケンスのセットを選択するステップであって、ここで前記選択されるサブシーケンスの前記頻度値は、前記サブシーケンスが前記メタ言語命令シーケンス内で高頻度で発生することを示すステップと
をさらに含む、請求項1に記載の方法。 - 前記エンティティの知的ハッシュを生成するステップは、
前記エンティティの圧縮に使用された技法を識別するステップと、
前記エンティティの圧縮に使用された前記技法を記述する情報を定義するステップと、
少なくとも部分的に前記識別された技法を記述する情報に基づいて、前記エンティティの前記知的ハッシュを生成するステップと
をさらに含む、請求項1に記載の方法。 - 前記エンティティの知的ハッシュを生成するステップは、
前記エンティティに基づいて固有の文字列のセットを識別するステップと、
前記固有の文字列のセットを記述する情報を定義するステップと、
少なくとも部分的に前記固有の文字列のセットを記述する情報に基づいて、前記エンティティの前記知的ハッシュを生成するステップと
をさらに含む、請求項1に記載の方法。 - 前記エンティティに基づいて前記固有の文字列のセットを識別するステップは、前記エンティティとコンピュータシステムとの通信を示す文字列のセットを識別するステップを含む、請求項4に記載の方法。
- 前記エンティティに基づいて前記固有の文字列のセットを識別するステップは、ネットワークを通して前記エンティティにより行われた通信を示す文字列のセットを識別するステップを含む、請求項4に記載の方法。
- 疑いのあるエンティティがマルウェアエンティティに該当するか否かを判断するコンピュータシステムであって、
クライアントが直面した疑いのあるエンティティに基づいて生成された知的ハッシュを受信するように適合された報告モジュールであって、前記知的ハッシュは、前記疑いのあるエンティティに特有のメタデータセットを含み、前記メタデータの少なくともいくつかは、前記疑いのあるエンティティが変更されても不変である、報告モジュールと、
前記知的ハッシュに基づいて、前記疑いのあるエンティティが前記マルウェアエンティティに該当するか否かを判断するように構成された評価モジュールと
を備え、
前記報告モジュールは、前記疑いのあるエンティティハッシュが前記マルウェアエンティティに該当するか否かを前記クライアントに報告するようにさらに構成される、コンピュータシステム。 - 複数の知的ハッシュを記憶するように構成された知的ハッシュデータベースをさらに備え、
前記評価モジュールは、
前記疑いのあるエンティティに基づいて生成された前記知的ハッシュおよび前記複数の知的ハッシュに基づいて、複数の類似性スコアを生成し、ここで類似性スコアは、前記疑いのあるエンティティに基づいて生成された前記知的ハッシュと前記複数の知的ハッシュのうちの1つの知的ハッシュとの類似性を示し、そして
前記複数の類似性スコアのうちの最高類似性スコアに関連付けられた知的ハッシュに基づいて、前記疑いのあるエンティティハッシュが前記マルウェアエンティティに該当するか否かを判断する
ようにさらに構成される、請求項7に記載のコンピュータシステム。 - 悪意のあるエンティティに基づいて、前記知的ハッシュを生成するように構成された知的ハッシュ生成モジュールをさらに備える、請求項7に記載のコンピュータシステム。
- 前記知的ハッシュ生成モジュールは、
前記悪意のあるエンティティに基づいて、メタ言語命令シーケンスを生成し、
前記メタ言語命令シーケンスのサブシーケンスのセットを識別し、そして
少なくとも部分的に前記識別されたサブシーケンスのセットに基づいて、前記悪意のあるエンティティの前記知的ハッシュを生成する
ようにさらに構成される、請求項9に記載のコンピュータシステム。 - 前記知的ハッシュ生成モジュールは、
複数のサブシーケンスの複数の頻度値を特定し、ここで頻度値は、関連付けられたサブシーケンスが前記メタ言語命令シーケンス内で発生する頻度を示し、そして
少なくとも部分的に前記複数の頻度値に基づいて、前記複数のサブシーケンスから前記サブシーケンスのセットを選択し、ここで前記選択されるサブシーケンスの前記頻度値は、前記サブシーケンスが前記メタ言語命令シーケンス内で高頻度で発生することを示す
ようにさらに構成される、請求項10に記載のコンピュータシステム。 - 前記知的ハッシュ生成モジュールは、
前記悪意のあるエンティティの圧縮に使用された技法を識別し、
前記悪意のあるエンティティの圧縮に使用された前記技法を記述する情報を定義し、そして
少なくとも部分的に前記識別された技法を記述する情報に基づいて、前記悪意のあるエンティティの前記知的ハッシュを生成する
ようにさらに構成される、請求項9に記載のコンピュータシステム。 - 前記知的ハッシュ生成モジュールは、
前記悪意のあるエンティティに基づいて固有の文字列のセットを識別し、
前記固有の文字列のセットを記述する情報を定義し、そして
少なくとも部分的に前記固有の文字列のセットを記述する情報に基づいて、前記悪意のあるエンティティの前記知的ハッシュを生成する
ようにさらに構成される、請求項9に記載のコンピュータシステム。 - 疑いのあるエンティティがマルウェアエンティティに該当するか否かを判断するコンピュータプログラムコードが符号化されたコンピュータ可読記憶媒体であって、前記プログラムコードは、
疑いのあるエンティティを識別するプログラムコードと、
前記疑いのあるエンティティの知的ハッシュを生成するプログラムコードであって、ここで前記知的ハッシュは、前記疑いのあるエンティティに特有のメタデータセットを含み、前記メタデータの少なくともいくつかは、前記疑いのあるエンティティが変更されても不変であるプログラムコードと、
前記知的ハッシュをサーバに送信して、前記疑いのあるエンティティがマルウェアエンティティに該当するか否かを評価するプログラムコードと、
前記疑いのあるエンティティがマルウェアエンティティに該当するか否かを特定した結果を前記サーバから受信するプログラムコードと
を含む、コンピュータ可読記憶媒体。 - 前記疑いのあるエンティティの前記知的ハッシュを生成するプログラムコードは、
前記疑いのあるエンティティに基づいて、メタ言語命令シーケンスを生成するプログラムコードと、
前記メタ言語命令シーケンスのサブシーケンスのセットを識別するプログラムコードと、
少なくとも部分的に前記識別されたサブシーケンスのセットに基づいて、前記疑いのあるエンティティの前記知的ハッシュを生成するプログラムコードと
を含む、請求項14に記載のコンピュータ可読記憶媒体。 - 前記疑いのあるエンティティに基づいてメタ言語命令シーケンスを生成するプログラムコードと、
前記メタ言語命令シーケンスの前記サブシーケンスのセットを識別するプログラムコードと
をさらに含む、
請求項14に記載のコンピュータ可読記憶媒体。 - 複数のサブシーケンスの複数の頻度値を特定するプログラムコードであって、ここで頻度値は、関連付けられたサブシーケンスが前記メタ言語命令シーケンス内で発生する頻度を示すプログラムコードと、
少なくとも部分的に前記複数の頻度値に基づいて、前記複数のサブシーケンスから前記サブシーケンスのセットを選択するプログラムコードであって、ここで前記選択されるサブシーケンスの前記頻度値は、前記サブシーケンスが前記メタ言語命令シーケンス内で高頻度で発生することを示すプログラムコードと
をさらに含む、請求項16に記載のコンピュータ可読記憶媒体。 - 前記疑いのあるエンティティの知的ハッシュを生成するプログラムコードは、
前記疑いのあるエンティティの圧縮に使用されたアルゴリズムを識別するプログラムコードと、
少なくとも部分的に前記アルゴリズムを示す情報に基づいて、前記疑いのあるエンティティの前記知的ハッシュを生成するプログラムコードと
をさらに含む、請求項14に記載のコンピュータ可読記憶媒体。 - 前記疑いのあるエンティティの知的ハッシュを生成するプログラムコードは、
前記疑いのあるエンティティに基づいて固有の文字列のセットを識別するプログラムコードと、
少なくとも部分的に前記固有の文字列のセットを示す情報に基づいて、前記疑いのあるエンティティの前記知的ハッシュを生成するプログラムコードと
をさらに含む、請求項14に記載のコンピュータ可読記憶媒体。 - 前記疑いのあるエンティティが前記マルウェアエンティティに該当することを特定する結果を受信したことに応答して、クライアントを修復するプログラムコードをさらに含む、請求項14に記載のコンピュータ可読記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/128,490 US8732825B2 (en) | 2008-05-28 | 2008-05-28 | Intelligent hashes for centralized malware detection |
| US12/128,490 | 2008-05-28 | ||
| PCT/US2009/045319 WO2009154992A2 (en) | 2008-05-28 | 2009-05-27 | Intelligent hashes for centralized malware detection |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2011523748A true JP2011523748A (ja) | 2011-08-18 |
| JP2011523748A5 JP2011523748A5 (ja) | 2012-07-12 |
| JP5511097B2 JP5511097B2 (ja) | 2014-06-04 |
Family
ID=41323787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011511784A Expired - Fee Related JP5511097B2 (ja) | 2008-05-28 | 2009-05-27 | 中央集中的にマルウェアを検出するための知的ハッシュ |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8732825B2 (ja) |
| EP (1) | EP2310974B1 (ja) |
| JP (1) | JP5511097B2 (ja) |
| CN (1) | CN102047260B (ja) |
| WO (1) | WO2009154992A2 (ja) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012083849A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検知装置、及びその方法とプログラム |
| JP2013084064A (ja) * | 2011-10-06 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 解析装置、解析方法および解析プログラム |
| WO2013069758A1 (ja) * | 2011-11-10 | 2013-05-16 | 株式会社セキュアブレイン | 不正アプリケーション検知システム及び、方法 |
| JP2014534531A (ja) * | 2011-11-02 | 2014-12-18 | ビットディフェンダー アイピーアール マネジメント リミテッド | ファジーホワイトリスト化アンチマルウェアシステムおよび方法 |
| JP2018524716A (ja) * | 2015-06-27 | 2018-08-30 | マカフィー,エルエルシー | マルウェアを特定するためのアノマリ検知 |
| JP2019079492A (ja) * | 2017-06-16 | 2019-05-23 | エーオー カスペルスキー ラボAO Kaspersky Lab | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 |
| US10348747B2 (en) | 2016-08-26 | 2019-07-09 | Fujitsu Limited | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device |
| WO2023112376A1 (ja) * | 2021-12-17 | 2023-06-22 | パナソニックIpマネジメント株式会社 | セキュリティ対策方法、及び、セキュリティ対策システム |
Families Citing this family (216)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
| US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
| US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8176477B2 (en) | 2007-09-14 | 2012-05-08 | International Business Machines Corporation | Method, system and program product for optimizing emulation of a suspected malware |
| US10262136B1 (en) * | 2008-08-04 | 2019-04-16 | Zscaler, Inc. | Cloud-based malware detection |
| US8230510B1 (en) * | 2008-10-02 | 2012-07-24 | Trend Micro Incorporated | Scanning computer data for malicious codes using a remote server computer |
| US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US20100199350A1 (en) * | 2009-02-04 | 2010-08-05 | Mark David Lilibridge | Federated Scanning of Multiple Computers |
| US8769683B1 (en) * | 2009-07-07 | 2014-07-01 | Trend Micro Incorporated | Apparatus and methods for remote classification of unknown malware |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US8683216B2 (en) * | 2010-07-13 | 2014-03-25 | F-Secure Corporation | Identifying polymorphic malware |
| RU2444056C1 (ru) * | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
| AU2011336466C1 (en) * | 2010-12-01 | 2017-01-19 | Cisco Technology, Inc. | Detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
| US8875286B2 (en) | 2010-12-01 | 2014-10-28 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using machine learning techniques |
| US9218461B2 (en) * | 2010-12-01 | 2015-12-22 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software through contextual convictions |
| US8266115B1 (en) * | 2011-01-14 | 2012-09-11 | Google Inc. | Identifying duplicate electronic content based on metadata |
| JP5691539B2 (ja) * | 2011-01-17 | 2015-04-01 | 富士通株式会社 | 情報処理方法、プログラム、情報処理装置、及び、情報処理システム |
| US9934229B2 (en) | 2011-10-23 | 2018-04-03 | Microsoft Technology Licensing, Llc | Telemetry file hash and conflict detection |
| US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
| US20130227352A1 (en) * | 2012-02-24 | 2013-08-29 | Commvault Systems, Inc. | Log monitoring |
| US8959640B2 (en) * | 2012-03-29 | 2015-02-17 | F-Secure Corporation | Controlling anti-virus software updates |
| US8856930B2 (en) * | 2012-03-30 | 2014-10-07 | F-Secure Corporation | Download control |
| CN103425928B (zh) * | 2012-05-17 | 2017-11-24 | 富泰华工业(深圳)有限公司 | 电子装置的杀毒系统及方法 |
| US9003529B2 (en) * | 2012-08-29 | 2015-04-07 | The Johns Hopkins University | Apparatus and method for identifying related code variants in binaries |
| US9111095B2 (en) | 2012-08-29 | 2015-08-18 | The Johns Hopkins University | Apparatus and method for identifying similarity via dynamic decimation of token sequence n-grams |
| CN103778114B (zh) * | 2012-10-17 | 2016-03-09 | 腾讯科技(深圳)有限公司 | 文件修复系统和方法 |
| CN103020287B (zh) * | 2012-11-20 | 2018-08-10 | 高剑青 | 基于部分哈希值对有限项目的排除 |
| US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
| WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
| US10152591B2 (en) | 2013-02-10 | 2018-12-11 | Paypal, Inc. | Protecting against malware variants using reconstructed code of malware |
| US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
| US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
| US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
| US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
| US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
| US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
| US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
| US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
| US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
| US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
| US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
| US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
| US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
| US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
| US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
| US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
| US9270467B1 (en) * | 2013-05-16 | 2016-02-23 | Symantec Corporation | Systems and methods for trust propagation of signed files across devices |
| US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
| US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
| EP2819054B1 (en) | 2013-06-28 | 2018-10-31 | AO Kaspersky Lab | Flexible fingerprint for detection of malware |
| US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| RU2580036C2 (ru) | 2013-06-28 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ создания гибкой свертки для обнаружения вредоносных программ |
| US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
| US9336389B1 (en) * | 2013-08-19 | 2016-05-10 | Amazon Technologies, Inc. | Rapid malware inspection of mobile applications |
| US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
| US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
| US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
| US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
| US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
| US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
| US8739287B1 (en) * | 2013-10-10 | 2014-05-27 | Kaspersky Lab Zao | Determining a security status of potentially malicious files |
| US8863284B1 (en) | 2013-10-10 | 2014-10-14 | Kaspersky Lab Zao | System and method for determining a security status of potentially malicious files |
| US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
| US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
| US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
| US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
| EP3087525B1 (en) * | 2013-12-27 | 2020-07-15 | McAfee, LLC | Frequency-based reputation |
| US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
| US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
| US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
| US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
| US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US9396332B2 (en) * | 2014-05-21 | 2016-07-19 | Microsoft Technology Licensing, Llc | Risk assessment modeling |
| US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
| US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
| US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
| US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
| US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
| US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
| US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
| US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
| US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
| US9609005B2 (en) * | 2014-09-25 | 2017-03-28 | Mcafee, Inc. | Cross-view malware detection |
| US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
| US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US9519780B1 (en) * | 2014-12-15 | 2016-12-13 | Symantec Corporation | Systems and methods for identifying malware |
| US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
| US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
| US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
| US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
| US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
| US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
| US9639715B2 (en) | 2015-04-27 | 2017-05-02 | Microsoft Technology Licensing, Llc | Protecting user identifiable information in the transfer of telemetry data |
| US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
| US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
| US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
| US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US10200391B2 (en) | 2015-09-23 | 2019-02-05 | AVAST Software s.r.o. | Detection of malware in derived pattern space |
| US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
| US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
| US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
| US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
| US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
| US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
| US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
| US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
| US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
| US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
| US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
| RU2614561C1 (ru) * | 2015-12-18 | 2017-03-28 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения похожих файлов |
| US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
| US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
| US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
| US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
| US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
| US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
| US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
| WO2017131662A1 (en) * | 2016-01-27 | 2017-08-03 | Aruba Networks, Inc. | Preventing malware downloads |
| US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
| US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
| US10616266B1 (en) | 2016-03-25 | 2020-04-07 | Fireeye, Inc. | Distributed malware detection system and submission workflow thereof |
| US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
| US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
| US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
| US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
| US10607004B2 (en) * | 2016-09-29 | 2020-03-31 | Intel Corporation | Methods and apparatus to improve feature engineering efficiency with metadata unit operations |
| RU2628922C1 (ru) * | 2016-10-10 | 2017-08-22 | Акционерное общество "Лаборатория Касперского" | Способ определения похожести составных файлов |
| US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
| US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
| US10735462B2 (en) * | 2016-12-01 | 2020-08-04 | Kaminario Technologies Ltd. | Computer malware detection |
| US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
| US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
| US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
| US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
| US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
| US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US10834099B2 (en) * | 2017-05-23 | 2020-11-10 | Juniper Networks, Inc. | Identifying a file using metadata and determining a security classification of the file before completing receipt of the file |
| RU2673711C1 (ru) * | 2017-06-16 | 2018-11-29 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий на основании набора сверток безопасных событий |
| US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
| US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
| US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
| US10594725B2 (en) | 2017-07-27 | 2020-03-17 | Cypress Semiconductor Corporation | Generating and analyzing network profile data |
| CN107332863A (zh) * | 2017-08-16 | 2017-11-07 | 深信服科技股份有限公司 | 一种基于集中管理的主机的安全检测方法及系统 |
| US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
| US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
| US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
| WO2019088980A1 (en) * | 2017-10-30 | 2019-05-09 | Hewlett-Packard Development Company, L.P. | Regulating execution |
| TWI621030B (zh) * | 2017-12-22 | 2018-04-11 | 中華電信股份有限公司 | 使用軟體認證鏈進行軟體認證的方法、系統、及電腦儲存媒體 |
| US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
| US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
| US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
| US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
| US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
| RU2706883C1 (ru) * | 2018-06-29 | 2019-11-21 | Акционерное общество "Лаборатория Касперского" | Система и способ снижения количества ложных срабатываний классифицирующих алгоритмов |
| US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
| US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
| US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
| US11347850B2 (en) | 2018-10-01 | 2022-05-31 | Blackberry Limited | Analyzing binary software code |
| US10984102B2 (en) * | 2018-10-01 | 2021-04-20 | Blackberry Limited | Determining security risks in binary software code |
| US10936718B2 (en) * | 2018-10-01 | 2021-03-02 | Blackberry Limited | Detecting security risks in binary software code |
| US11106791B2 (en) | 2018-10-01 | 2021-08-31 | Blackberry Limited | Determining security risks in binary software code based on network addresses |
| US11017083B2 (en) | 2018-10-17 | 2021-05-25 | International Business Machines Corporation | Multiple phase graph partitioning for malware entity detection |
| US10885170B1 (en) * | 2018-11-20 | 2021-01-05 | Apotheka Systems Inc. | Methods, systems, and storage media for managing patient information using a blockchain network |
| US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
| US11100064B2 (en) | 2019-04-30 | 2021-08-24 | Commvault Systems, Inc. | Automated log-based remediation of an information management system |
| US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
| US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
| US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
| US10621346B1 (en) | 2019-08-21 | 2020-04-14 | Netskope, Inc. | Efficient scanning for threat detection using in-doc markers |
| US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
| US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
| US11269991B2 (en) * | 2020-06-22 | 2022-03-08 | Bank Of America Corporation | System for identifying suspicious code in an isolated computing environment based on code characteristics |
| US11797669B2 (en) | 2020-06-22 | 2023-10-24 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a computing environment |
| US11880461B2 (en) | 2020-06-22 | 2024-01-23 | Bank Of America Corporation | Application interface based system for isolated access and analysis of suspicious code in a computing environment |
| US11636203B2 (en) | 2020-06-22 | 2023-04-25 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a disposable computing environment |
| US11574056B2 (en) * | 2020-06-26 | 2023-02-07 | Bank Of America Corporation | System for identifying suspicious code embedded in a file in an isolated computing environment |
| US11522885B1 (en) * | 2022-02-08 | 2022-12-06 | Uab 360 It | System and method for information gain for malware detection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004533041A (ja) * | 2001-03-30 | 2004-10-28 | コンピュータ アソシエイツ シンク,インコーポレイテッド | 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 |
| JP2006522395A (ja) * | 2003-04-03 | 2006-09-28 | メッセージラブス リミティド | マクロと実行可能なスクリプトにおいてマルウェアを検出する方法およびシステム |
| WO2007117567A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware detection system and method for limited access mobile platforms |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6505160B1 (en) * | 1995-07-27 | 2003-01-07 | Digimarc Corporation | Connected audio and other media objects |
| GB2353372B (en) * | 1999-12-24 | 2001-08-22 | F Secure Oyj | Remote computer virus scanning |
| US8121843B2 (en) * | 2000-05-02 | 2012-02-21 | Digimarc Corporation | Fingerprint methods and systems for media signals |
| US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US20040064737A1 (en) * | 2000-06-19 | 2004-04-01 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of polymorphic network worms and viruses |
| KR100461984B1 (ko) * | 2001-10-06 | 2004-12-17 | 주식회사 테라스테크놀로지 | 바이러스 감염 클라이언트의 자발적 바이러스 치료를 유도하는 전자우편 메시지의 처리방법 |
| US20040158741A1 (en) * | 2003-02-07 | 2004-08-12 | Peter Schneider | System and method for remote virus scanning in wireless networks |
| US7475427B2 (en) * | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
| EP1632907B1 (en) * | 2004-08-24 | 2019-10-30 | Canon Kabushiki Kaisha | Data-processing system and method for controlling same, computer program, and computer-readable recording medium |
| US7636856B2 (en) * | 2004-12-06 | 2009-12-22 | Microsoft Corporation | Proactive computer malware protection through dynamic translation |
| US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
| US8479174B2 (en) * | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| US8042184B1 (en) * | 2006-10-18 | 2011-10-18 | Kaspersky Lab, Zao | Rapid analysis of data stream for malware presence |
| US20080244275A1 (en) * | 2007-03-30 | 2008-10-02 | Motorola, Inc. | Instruction Transform for the Prevention and Propagation of Unauthorized Code Injection |
| US7854002B2 (en) * | 2007-04-30 | 2010-12-14 | Microsoft Corporation | Pattern matching for spyware detection |
| US20100011441A1 (en) * | 2007-05-01 | 2010-01-14 | Mihai Christodorescu | System for malware normalization and detection |
| US20090313700A1 (en) * | 2008-06-11 | 2009-12-17 | Jefferson Horne | Method and system for generating malware definitions using a comparison of normalized assembly code |
| US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
-
2008
- 2008-05-28 US US12/128,490 patent/US8732825B2/en active Active
-
2009
- 2009-05-27 JP JP2011511784A patent/JP5511097B2/ja not_active Expired - Fee Related
- 2009-05-27 WO PCT/US2009/045319 patent/WO2009154992A2/en active Application Filing
- 2009-05-27 EP EP09767304.0A patent/EP2310974B1/en active Active
- 2009-05-27 CN CN200980119523.5A patent/CN102047260B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004533041A (ja) * | 2001-03-30 | 2004-10-28 | コンピュータ アソシエイツ シンク,インコーポレイテッド | 悪性コンピュータプログラムにより損傷されたコンピュータシステムを回復するシステム及び方法 |
| JP2006522395A (ja) * | 2003-04-03 | 2006-09-28 | メッセージラブス リミティド | マクロと実行可能なスクリプトにおいてマルウェアを検出する方法およびシステム |
| WO2007117567A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | Malware detection system and method for limited access mobile platforms |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012083849A (ja) * | 2010-10-07 | 2012-04-26 | Hitachi Ltd | マルウェア検知装置、及びその方法とプログラム |
| JP2013084064A (ja) * | 2011-10-06 | 2013-05-09 | Nippon Telegr & Teleph Corp <Ntt> | 解析装置、解析方法および解析プログラム |
| JP2014534531A (ja) * | 2011-11-02 | 2014-12-18 | ビットディフェンダー アイピーアール マネジメント リミテッド | ファジーホワイトリスト化アンチマルウェアシステムおよび方法 |
| WO2013069758A1 (ja) * | 2011-11-10 | 2013-05-16 | 株式会社セキュアブレイン | 不正アプリケーション検知システム及び、方法 |
| JPWO2013069758A1 (ja) * | 2011-11-10 | 2015-04-02 | 株式会社セキュアブレイン | 不正アプリケーション検知システム及び、方法 |
| JP2018524716A (ja) * | 2015-06-27 | 2018-08-30 | マカフィー,エルエルシー | マルウェアを特定するためのアノマリ検知 |
| US10348747B2 (en) | 2016-08-26 | 2019-07-09 | Fujitsu Limited | Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device |
| JP2019079492A (ja) * | 2017-06-16 | 2019-05-23 | エーオー カスペルスキー ラボAO Kaspersky Lab | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 |
| WO2023112376A1 (ja) * | 2021-12-17 | 2023-06-22 | パナソニックIpマネジメント株式会社 | セキュリティ対策方法、及び、セキュリティ対策システム |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102047260B (zh) | 2015-08-05 |
| CN102047260A (zh) | 2011-05-04 |
| WO2009154992A3 (en) | 2010-02-11 |
| EP2310974A2 (en) | 2011-04-20 |
| EP2310974B1 (en) | 2017-03-01 |
| US20090300761A1 (en) | 2009-12-03 |
| WO2009154992A2 (en) | 2009-12-23 |
| US8732825B2 (en) | 2014-05-20 |
| JP5511097B2 (ja) | 2014-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5511097B2 (ja) | 中央集中的にマルウェアを検出するための知的ハッシュ | |
| US8239944B1 (en) | Reducing malware signature set size through server-side processing | |
| US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
| US8239948B1 (en) | Selecting malware signatures to reduce false-positive detections | |
| US7640589B1 (en) | Detection and minimization of false positives in anti-malware processing | |
| US9479520B2 (en) | Fuzzy whitelisting anti-malware systems and methods | |
| US9246931B1 (en) | Communication-based reputation system | |
| EP2486507B1 (en) | Malware detection by application monitoring | |
| US7945787B2 (en) | Method and system for detecting malware using a remote server | |
| US8719924B1 (en) | Method and apparatus for detecting harmful software | |
| US8850570B1 (en) | Filter-based identification of malicious websites | |
| US9147073B2 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
| US8365283B1 (en) | Detecting mutating malware using fingerprints | |
| US20090235357A1 (en) | Method and System for Generating a Malware Sequence File | |
| US20070180528A1 (en) | System and method for reducing antivirus false positives | |
| US9292689B1 (en) | Interactive malicious code detection over a computer network | |
| JP2019505943A (ja) | サイバーセキュリティシステムおよび技術 | |
| US8132258B1 (en) | Remote security servers for protecting customer computers against computer security threats | |
| Mishra | Improving Speed of Virus Scanning-Applying TRIZ to Improve Anti-Virus Programs | |
| JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
| Stokes et al. | Scalable telemetry classification for automated malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101227 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110125 Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110216 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110930 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120524 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120524 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131009 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131015 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140115 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140225 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140324 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5511097 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |