JP5631988B2 - ウイルス対策スキャン - Google Patents
ウイルス対策スキャン Download PDFInfo
- Publication number
- JP5631988B2 JP5631988B2 JP2012518985A JP2012518985A JP5631988B2 JP 5631988 B2 JP5631988 B2 JP 5631988B2 JP 2012518985 A JP2012518985 A JP 2012518985A JP 2012518985 A JP2012518985 A JP 2012518985A JP 5631988 B2 JP5631988 B2 JP 5631988B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- database
- scan
- intermediate scan
- antivirus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Description
本発明はファイルシステムに記憶されたファイルのウイルス対策スキャンの分野に関する。
マルウェア(Malware)は悪意のあるソフトウェア(malicious software)の略であり、所有者の説明に基づく同意なしにコンピュータシステムに潜入し、またはこれを損傷するために設計された任意のソフトウェアを指す用語として使用される。マルウェアには、ウイルス、ワーム、トロイの木馬、ルートキット、アドウェア、スパイウェア、および他の任意の悪意のある望ましくないソフトウェアが含まれ得る。デスクトップ・パーソナル・コンピュータ(PC)、ラップトップ、携帯情報端末(PDA)、携帯電話など、どんなクライアント機器もマルウェアからの危険にさらされ得る。
機器がマルウェアに感染すると、ユーザは多くの場合望ましくない挙動およびシステム性能の低下に気付くことになる。というのは、感染が望ましくないプロセッサ動作、メモリ使用、およびネットワークトラフィックを生じさせ得るからである。またこの感染はアプリケーション全体またはシステム全体のクラッシュにつながる安定性の問題を引き起こす場合もある。感染した機器のユーザは、実際の原因がユーザの気付いていないマルウェア感染であるときに、性能不良がソフトウェアの欠陥またはハードウェアの問題によるものであると誤って思い込み、不適切な改善措置を講じる場合もある。
マルウェアの検出は厄介である。というのは、マルウェアの作者は自分のソフトウェアを検出するのが困難であるように設計し、多くの場合、システム上のマルウェアの存在を故意に隠す技術を用いる、すなわち、マルウェアアプリケーションは、現在実行中のプロセスを一覧表示するオペレーティング・システム・テーブルに表示されない可能性があるからである。
クライアント機器は、ウイルス対策アプリケーションを利用してマルウェアを検出し、おそらくは除去する。ウイルス対策アプリケーションは、スキャン、完全性検査およびヒューリスティック解析を含む様々な方法を利用してマルウェアを検出することができる。これらの方法の内、マルウェアスキャンには、個々のマルウェアプログラムに特徴的なウイルス指紋または「シグネチャ」を求めてファイルなどのオブジェクトを検査するウイルス対策アプリケーションが関与する。
オブジェクトがスキャンされるときには、いくつかの動作が順に実行される。初期の動作は、オブジェクトがマルウェアである可能性を除くのに使用することのできる単純で迅速な検査である。順序の初期に実行される動作の例には、チェックサム、ファイルヘッダ情報、ファイルセクションの数、および清浄なオブジェクトと感染したオブジェクトとで典型的に異なる他のファイル特性の比較が含まれる。これらの動作を順に実行することにより、スキャンはより速くなる。というのは、オブジェクトのより詳細なスキャンが必要となる前にオブジェクトを割り引くことができるからである。
多くのウイルス対策アプリケーションは、清浄なファイルが一度だけスキャンされるようにスキャンの結果をキャッシュに記憶する。しかし、シグネチャのデータベースが更新される都度、キャッシュはフラッシュされなければならない。というのは、キャッシュされたどのスキャン結果が新しいシグネチャに照らして有効でなくなるかを知るすべがないからである。これは、データベース更新の都度すべてのファイルが再スキャンされなければならないことを意味し、再スキャンは時間を要し、プロセッサリソースを食う。
本発明の一目的はファイルシステムに記憶されたファイルをスキャンする速度を向上させることであり、別の目的は、オンラインのウイルス対策サーバにより有益な情報を提供し、クライアントが、新しいマルウェアのリリースを考慮して以前にスキャンされたファイルをいつ再スキャンすべきか知ることを可能にすることである。
本発明の第1の態様によれば、ファイルシステムのウイルス対策スキャンを実行する方法が提供される。ファイルシステム内のファイルについて、ファイルのスキャンが完了する前に、中間スキャン結果が獲得される。中間スキャン結果は次いでデータベースに記憶される。中間スキャン結果は、後続のスキャンを加速し、オンラインのウイルス対策サーバに他の有益な情報を提供するのに使用することができる。ファイルシステムの後続のウイルス対策スキャンの間に、ファイルシステムに記憶されたファイルの中間スキャンを実行する前に、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうかの判定が行われる。特定の種類の中間スキャンについて結果が利用可能である場合には、当該スキャンはそのファイルについて実行されなくてもよい。結果が利用できない場合には、スキャンを実行することができる。一選択肢として、新しい中間スキャンの結果をデータベースに追加することもできる。
中間スキャン結果は、任意選択で、チェックサム、ファイルヘッダ情報、ファイルセクションの数、ファイルについてのハッシュ値、ファイルの部分についてのハッシュ値、エミュレーションからの重要データ、巡回冗長検査値、およびバイトサーチ結果のいずれかについてのスキャンから選択される。
一選択肢として、新しいマルウェアシグネチャが利用可能である場合には、方法は、データベースに記憶された結果から、新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定すること、およびそれらのファイルをファイルシステムの後続のスキャンから除外することを含む。プレフィルタ情報は、任意選択で、最終スキャンの日付、ファイルの種類、ファイルサイズ、ファイルセクションの数、ファイルヘッダ情報、ファイルについてのハッシュ値、ファイルの部分についてのハッシュ値、巡回冗長検査値、およびバイトサーチ結果のいずれかから選択される。
さらに別の選択肢として、方法は、データベースにファイルが最後に変更された日付を記憶すること、マルウェアによる感染が最初に可能であったのはいつか推定すること、およびファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルをスキャンから省くことを含む。さらに別の選択肢として、方法は、データベースにファイルが最後にスキャンされた日付を記憶すること、ファイルが最後にスキャンされた日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較すること、およびファイルシステムの後続のスキャンにおいて、ウイルス対策データベースが新しいマルウェア定義で更新された後で最後にスキャンされたファイルをスキャンから省くことを含む。
任意選択の実施形態によれば、データベースはファイルシステムからリモートに位置する。これはオンラインのウイルス対策スキャンに特に有益である。この場合には、方法は任意選択で、リモートのウイルス対策サーバにおいて、ファイルシステム内のファイルをスキャンするためにクライアント機器にマルウェアシグネチャを送信する前に、データベースに記憶された中間スキャン結果を使って、ファイルシステム内のファイルに関連したマルウェアシグネチャのセットを決定することを含む。次いで、マルウェアシグネチャのセットをクライアント機器に送信することができる。このようにして、クライアントに必要なシグネチャだけが送信され、それによって必要なシグナリングが低減される。
方法は任意選択で、中間スキャン結果データベースにおいて、複数のクライアント機器において記憶された複数のファイルシステムのいずれかについての中間スキャン結果を記憶することを含む。クライアント機器ごとに、クライアント機器の地理的位置およびファイルがクライアント機器におけるファイルシステムに記憶された時間のいずれかを含む追加的なデータが記憶される。リモートのウイルス対策サーバにおいて、追加的なデータは、ファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定するように請願され、ファイルの全部または一部のサンプルを求める要求が、クライアント機器のセットの各クライアント機器に送信される。
本発明の第2の態様によれば、ファイルシステムを記憶するためのメモリと、ファイルシステムに記憶された少なくとも1つのファイルのウイルス対策スキャンを実行するための、ファイルの少なくとも1回の中間スキャンを実行するように構成されているウイルス対策機能と、少なくとも1回の中間スキャンの結果を中間スキャン結果データベースに記憶するための手段とを備えるコンピュータ機器が提供される。ウイルス対策機能はさらに、ファイルシステム内のファイルの後続のスキャンを実行し、ファイルの中間スキャンを実行する前に、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうか判定するように構成されている。中間スキャン結果が中間スキャンについてデータベースにおいて利用可能である場合にはファイルに対する中間スキャンは実行されず、中間スキャン結果が中間スキャンについてデータベースにおいて利用できない場合には当該中間スキャンがファイルに対して実行される。
コンピュータ機器は任意選択で中間スキャン結果データベースを備えるが、このデータベースは別の実施形態ではリモートに位置していてもよく、その場合には、コンピュータ機器は、中間スキャンの結果を、中間スキャン結果データベースにおいてデータを読み込むためにリモートノードに送信するための送信機を備える。
本発明の第3の態様によれば、通信ネットワークにおいて使用するためのウイルス対策サーバが提供される。ウイルス対策サーバは、複数のファイルが記憶されるファイルシステムを備えるクライアント機器と通信するための手段と、ファイルシステム内の少なくとも1つのファイルの少なくとも1回の中間スキャンを含むファイルのウイルス対策スキャンを実行するように構成されたプロセッサとを備える。また、中間スキャンの結果を中間スキャン結果データベースに記憶することも提供される。
プロセッサは任意選択でさらに、データベースに記憶された中間スキャン結果を使って、クライアント機器におけるファイルシステム内のファイルに関連したマルウェアシグネチャのセットを決定するように構成され、クライアント機器と通信するための手段は、マルウェアシグネチャのセットをクライアント機器に送信するように構成される。さらに別の選択肢として、プロセッサはさらに、中間スキャン結果データベースにおいて記憶されたデータを使ってファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定するように構成され、クライアント機器と通信するための手段は、クライアント機器にファイルの全部または一部のサンプルを求める要求を送信するように構成される。
本発明の第4の態様によれば、プログラム可能なコンピュータ上で実行されると、プログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるコンピュータ可読コードを備えるコンピュータプログラムが提供される。コンピュータプログラムは、ファイルシステムに記憶されたファイルについて、ファイルのスキャンが完了する前に中間スキャン結果を獲得し、中間スキャン結果をデータベースに記憶するための命令を備える。コンピュータプログラムは、ファイルシステムの後続のウイルス対策スキャンの間に、ファイルシステムに記憶されたファイルの中間スキャンを実行する前に、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうか判定するための命令を備える。中間スキャン結果が特定の種類の中間スキャンについてデータベースにおいて利用可能である場合には、当該中間スキャンはファイルに対して実行されない。中間スキャン結果が特定の種類の中間スキャンについてデータベースにおいて利用できない場合には、中間スキャンがファイルに対して実行される。
コンピュータプログラムは任意選択で、新しいマルウェアシグネチャが利用可能である場合には、データベースに記憶された結果から、新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定し、それらのファイルをファイルシステムの後続のスキャンから除外するための命令を備える。
一選択肢として、コンピュータプログラムは、データベースにファイルが最後に変更された日付を記憶し、マルウェアによる感染が最初に可能であったのはいつか推定し、ファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルをスキャンから省くための命令を備える。これにより、感染し得ないファイルがスキャンされないようにする。
さらに別の選択肢として、コンピュータプログラムは、データベースにファイルが最後にスキャンされた日付を記憶し、ファイルが最後にスキャンされた日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較し、ファイルシステムの後続のスキャンにおいて、ウイルス対策データベースが新しいマルウェア定義で更新された後で最後にスキャンされたファイルをスキャンから省くための命令を備える。
データベースがリモートに位置する場合には、コンピュータプログラムは、リモートデータベースと通信するための命令を備える。一選択肢として、コンピュータプログラムは、リモートのウイルス対策サーバからマルウェアシグネチャのセットを受け取るための命令を備え、マルウェアシグネチャのセットは、ファイルシステム内のファイルに関連したマルウェアシグネチャのセットを決定し、関連したシグネチャだけがコンピュータ機器に送信されるようにするために、データベースに記憶された中間スキャン結果を使ってリモートのウイルス対策サーバにおいて決定されたものである。
本発明の第5の態様によれば、プログラム可能なコンピュータ上で実行されると、プログラム可能なコンピュータに、先に本発明の第1の態様において説明した方法を実行させるコンピュータ可読コードを備えるコンピュータプログラムを提供する。
本発明の第6の態様によれば、コンピュータ機器上で実行されると、コンピュータ機器に、先に本発明の第2の態様において説明したのと同様のコンピュータ機器として挙動させるコンピュータ可読コードを備えるコンピュータプログラムが提供される。
本発明の第7の態様によれば、サーバ上で実行されると、サーバに、先に本発明の第3の態様において説明したのと同様のウイルス対策サーバとして挙動させるコンピュータ可読コードを備えるコンピュータプログラムが提供される。
本発明の第8の態様によれば、先に本発明の第4、第5、第6または第7の態様のいずれか1つについて説明したのと同様のコンピュータ可読コードを記憶する記録媒体が提供される。
図1を参照すると、本発明の第1の実施形態によるクライアント機器1が示されている。クライアント機器1は、スキャンされるべき複数のファイルが記憶されるファイルシステム2にアクセスすることができる。ファイルシステム2において記憶されたファイルのスキャンを実行するためにファイルシステム2と対話することができ、マルウェアに関するシグネチャ情報を含むウイルス対策データベース4とも対話することができるウイルス対策機能3が提供される。
ウイルス対策機能3は、ファイルシステム2内のファイルをスキャンするときに、数回の中間スキャンを実行し、各中間スキャンではファイルの1つの局面を調べる。ウイルスごとのシグネチャ情報は、リソース集約的なスキャンの前にファイルを迅速に除くのに使用することができる「プレフィルタ」情報を含み、ファイルが悪意のあるものであるかどうか判定するには詳細なウイルス駆除ルーチンが必要とされる。中間スキャンは、ウイルス対策データベース4において記憶されたプレフィルタ情報と比較するためにファイルから中間データを計算し、または別の方法で獲得するのに使用される。十分な回数の中間スキャンが実行された後で、完全スキャンを利用することができる。中間スキャンは、オンライン検査の結果、関連したタイムスタンプ、およびチェックサム比較の結果、ファイルヘッダ情報、セクションの数などといった中間スキャン結果を含み得る情報を獲得するのに使用することができる。中間スキャン結果の別の例には、完全なファイルと部分ファイルの両方に対してハッシュ演算を実行した結果、エミュレーションからの重要データ、巡回冗長検査(CRC)値、バイトサーチ結果、および静的解析の結果が含まれる。
中間スキャン結果データベース5が設けられ、ファイルごとの中間スキャン結果を記憶するのに使用される。この情報をデータベースに記憶することによって、頻繁に、またはスキャンプロセスの初期に必要とされ、または(処理リソースもしくはディスク入出力リソースの消費に関して)計算するのに高くつく中間スキャン結果を再利用することができる。中間スキャン結果データベース5は、データへの迅速なアクセスを可能にする任意の適切なやり方で構築される。例えば、中間スキャン結果データベース5は、ファイルパスを使用し、すべての計算データによって索引付けし、問い合わせを非常に高速にすることもできる。
中間スキャン結果データベース5を最新に保つために、ファイルシステム2内のファイルが変更される場合には、当該ファイルに関連する中間スキャン結果データベース5に記憶されたデータが、有効でなくなったものとして除去され、またはこれにフラグが立てられる。
ウイルス対策機能3は、次にファイルシステム2内のファイルのスキャンを実行するときに、中間スキャン結果データベース5に記憶された情報を使って、中間スキャン結果データベース5に記憶された情報をウイルス対策データベース4に記憶されたプレフィルタ情報と比較することによりスキャンプロセスを加速することができる。これにより、中間データを獲得するための各ファイルのリソース集約的なスキャンを行わせないようにする。ファイルシステム2内のファイルがスキャンされなければならないことが判明した場合には、どの中間スキャン結果が利用可能であるか判定するために中間スキャン結果データベース5が検査される。中間スキャン結果を再度計算するのではなく、スキャン動作は、利用可能な場合には、データベース5に記憶された中間スキャン結果を使用することができる。
また、中間スキャン結果データベース5に記憶された情報は、ウイルス対策データベース4更新の更新後に不必要な動作を防止し、スキャンプロセスを加速するのにも使用することができる。ウイルス対策データベース4が入出力装置6を介して新しいウイルスデータを受け取るときに、中間スキャン結果データベース5のない先行技術のシステムは、ファイルシステム2に記憶されたファイルを再スキャンしなければならない。しかし、本発明のこの実施形態によれば、ウイルス対策機能3は、中間スキャン結果データベース5内の情報を、新しいウイルスデータに含まれる更新された、または新しいマルウェアシグネチャごとのプレフィルタ情報と比較し、それによって、通常はスキャンされるはずの多数のファイルを除外する。さらに、ウイルス対策機能3は、中間スキャン結果データベース5を検査して、システム内の任意のファイルに対してマッチし得ないシグネチャ(例えば、特定のファイルと関連付けられるべきことがわかっているマルウェアの、当該ファイルがファイルシステム2に記憶されていないことがすでにわかっているときの検出など)を除き、残りのシグネチャとマッチし得ないファイルを除く。これにより、スキャンされなければならないファイルのセットが縮小され、それによってスキャンプロセスが加速される。このため、ウイルス対策データベース4の更新後のスキャンプロセスが大幅に加速される。
この動作は、新しい、または変更されたシグネチャについてのみ実行されてもよく、その場合にはそれらのシグネチャはタイムスタンプまたは他のカウンタ情報を含んでいなければならない。中間スキャン結果データベース5は、以前にファイルをスキャンするのに使用されたシグネチャデータベースのタイムスタンプやカウンタといった、ファイルが最後にスキャンされたのがいつか特定する情報を含み、そのため、再スキャンでは、前にスキャンして以来追加され、または変更されたシグネチャだけを処理しさえすればよい。
ウイルス対策データベース4に記憶されたシグネチャは、特定のマルウェアがいつ「野放しに」されたと推定されたか特定する情報を含み得る。この日付は、典型的には、ウイルス対策データベースのオペレータによって決定されるはずであり、例えば、オペレータが最初にマルウェアに気付いた日付などに基づくものとなるはずである。この場合には、マルウェアが最初に出現した日付以来変更されていないファイルシステム2内のファイルはスキャンされなくてもよく、それによってスキャン時間が短縮される。
中間スキャン結果データベース5は、ウイルス対策データベース4更新の影響を最小限に抑え、そのため、ウイルス対策データベース4更新の供給者がより小規模な更新をより頻繁に提供することが可能であり、供給者が新しい脅威により迅速に反応することが可能になる。また、中間スキャン結果データベース5の使用は、ファイルのアクセス速度も向上させる。先行技術の方法を使用すると、大部分のウイルス対策アプリケーションは、ファイルがウイルス対策データベース4への更新の後で次にアクセスされるときに初めてファイルを検査することになる。中間スキャン結果データベース5を使用すると、新しいウイルスシグネチャ更新が機器1において受け取られる都度、完全システムスキャンを実質上実行することができる。
また、中間スキャン結果データベース5の使用は、オンデマンドスキャン(設定時刻や、ウイルス対策データベース4の更新といった特定のイベントの後ではなく、ユーザがスキャンを指示するときのスキャン)のスキャン時間も向上させる。通常、オンデマンドスキャンは、ファイルシステム2内のすべてのファイルをスキャンし、スキャンプロセスが時間のかかるリソース集約的なプロセスになる。ウイルス対策機能3は、中間スキャン結果データベース5を検査して、システム内のどのファイルに対してもマッチし得ない検出(例えば、特定のファイルと関連付けられるべきことがわかっているマルウェアの、当該ファイルがファイルシステム2に記憶されていないことがすでにわかっているときの検出など)を除き、残りの検出にマッチし得ないファイルを除く。これにより、最小限の検出のセットを伴うスキャンされなければならないファイルの縮小セットが生じ、それによってスキャンプロセスが加速される。
また、クライアント機器1は、コンピュータ可読コードの形でコンピュータプログラム8が記憶されているメモリ7の形のコンピュータ可読媒体も備えることができる。クライアント機器1においてプロセッサにより実行されると、クライアント機器1はウイルス対策スキャンを実行する。
図2は、本発明の第1の実施形態によるステップを示す流れ図である。流れ図はファイルシステム内の1ファイルについての手順を示すものであることに留意されたい。手順はファイルシステムに記憶された多くのファイルについて繰り返される可能性が高いはずであることが理解されるであろう。以下の番号付けは図2の番号付けに対応する。
S1.中間スキャン結果データベース5にデータを読み込むための初期スキャンが実行される。ステップS1からS4を囲む点線は初期スキャンにおいて実行されるステップを表す。
S2.ファイルシステム内のファイルに対して中間スキャンが実行される。これは、前述のように、チェックサム比較、CRC結果などといった任意の中間スキャンとすることができる。
S3.中間スキャンの結果が中間スキャン結果データベース5に記憶される。
S4.さらに別の中間スキャンが必要とされる場合には、プロセスはステップS2に復帰する。そうでない場合には、ファイルについての中間スキャンがすべて完了する。
S5.ファイルシステムの後続のスキャンが開始される。
S6.ファイルシステムに記憶された所与のファイルについて、ウイルス対策機能3が実行されるべき中間スキャンを決定する。
S7.ウイルス対策機能3が、中間スキャンの結果が中間スキャンデータベース5にすでに記憶されているかどうか判定する。そうである場合には、データベースに記憶された結果がウイルス対策機能によって使用され、プロセスはステップS10に進み、そうでない場合には、手順はステップS8に進む。
S8.当該ファイルについて中間スキャンの結果が利用できないため、ファイルに対して中間スキャンが実行される。
S9.任意選択の一実施形態では、中間スキャンの結果が、ファイルシステムの後続のスキャンで使用するために中間スキャンデータベース5に記憶される。
S10.ファイルに関連する異なる情報を獲得するためにさらに別の中間スキャンが必要とされる場合には、手順はステップS6に復帰する。
S11.ここで当該ファイルについてのスキャンが完了する。ほとんどすべての場合に、ステップS5からS11の後続のスキャンの手順は、ファイルシステムに記憶された複数のファイルについて繰り返されることに留意されたい。
本発明の第2の特定の実施形態では、クライアントに特有の中間スキャン結果データベースがクライアント機器からリモートに位置する。これは、オンラインのウイルス対策スキャンにおいて発生する問題に対処するためである。オンラインのウイルス対策スキャンは、ウイルス対策スキャンを少なくとも一部はリモートで走らせることに基づくものである。クライアント機器は、ファイルがクライアント機器のファイルシステムに記憶されている場合には、ウイルス対策サーバに連絡を取ってオンラインのウイルス対策スキャンを実行する。
ここで図3を参照すると、入出力装置10、プロセッサ11、およびファイルシステム12を備えるクライアント機器9が提供され、通信ネットワーク13上でリモートサーバ14と通信する。リモートサーバ14は、クライアント機器9と通信するための入出力装置15、プロセッサ16、およびリモートのウイルス対策データベース18と通信するための入出力装置17を備える。データベースはサーバ14に位置し得ることに留意されたい。ファイルシステム12に記憶されたファイルが、リモートのウイルス対策データベース18と照合することによってリモートでスキャンされる。これにより、大規模なウイルス対策シグネチャデータベースをあらゆるクライアントに配信する必要がなくなり、更新をリモートのウイルス対策18データベースに迅速に入力することが可能になり、新しい脅威に非常に迅速に対応することができる。
前述のように、スキャンの速度は、ファイルシステム12に記憶された既知の清浄なファイルをスキャンから省くことによって、大幅に向上させることができる。未分類のファイルだけがスキャンされればよい。既知の清浄なファイルを特定する一つのやり方は、ファイルハッシュ値を使って誤判定(false positive)結果を防止することによるものである。
オンライン・ウイルス・スキャンの1つの問題は、有効シグネチャ公開機構(effective signature publishing mechanism)を備えることである。ウイルス対策データベース18が新しい、または変更されたマルウェアのシグネチャで更新されるとき、クライアント機器9は、ファイルシステム12に記憶された未分類のファイルのために次にリモートのウイルス対策サーバ14に問い合わせるときに初めてこの変更を検出することになる。この問題に対処するための1つのやり方は、各クライアント9に、新しいシグネチャの詳細について頻繁にリモートサーバ14をポーリングさせることであるが、これはサーバにとってはシグナリング集約的(1台のサーバは何千台ものクライアントを処理する場合がある)でもあり、リソース集約的でもある。逆に、クライアント機器9がリモートサーバ14に頻繁に連絡を取らない場合には、クライアント機器9が、オンラインのウイルス対策スキャンがマルウェアを検出する前のしばらくの間にこのマルウェアに感染するおそれもある。別の選択肢は、各シグネチャに有効期間(TTL:time−to−live)値を与えることである。TTL値は、シグネチャが有効に使用され得る期間を決定する。しかし、この選択肢もまたネットワークトラフィックおよびサーバ負荷を増大させるはずである。さらに別の問題は、詳細解析のためにクライアントから疑わしいファイルのサンプルを獲得することである。というのは、それらのサンプルが最初にスキャンされるときには、それらを悪意のあるものとしてトリガするはずの(後でマルウェアになるものについての)規則もシグネチャもないため、それらのサンプルは詳細解析のためにサーバ14に渡されないことになるからである。
本発明の第2の実施形態は、各クライアントに特有の中間スキャン結果を含む中間スキャンデータベース19を提供することによって前述の問題に対処し、中間スキャン結果データベース19にはサーバ14からアクセスすることができる。クライアント機器9は、未分類のファイルに関連するメタデータをサーバ14に送信する。メタデータは、関連したタイムスタンプを伴うローカルスキャン結果、および第1の実施形態について説明したような様々な中間スキャン結果を含むことができる。これには、単純なチェックサム、ファイルヘッダ情報、セクションの数、および清浄なファイルと感染したファイルとで一般に異なる他のファイル特性が含まれる。中間スキャン結果は、少なくともいくつかのハッシュ演算、完全なファイルと部分ファイル両方のハッシュ、エミュレーションからの重要データ、中間スキャン結果(CRC値、バイトサーチ結果など)、および静的解析の結果を含み得る。
中間スキャン結果データベース19は、特定のファイルごとにクライアント機器9上で生成された中間スキャン結果を記憶し、また、当該ファイルがファイルシステムに記憶されている他のクライアント機器のリストを記憶するのにも使用される。以下に示すように、中間スキャンデータベース19を使用することのできるやり方はいくつかある。
中間スキャン結果データベース19は、各クライアントに、当該クライアント機器のファイルシステムにおいて記憶された未分類のファイルにマッチするウイルス対策シグネチャだけが提供されるようにするために使用することができる。サーバ14は、中間スキャンデータベース19から獲得されたデータを使って、どのファイルが、どのクライアント機器上で、特定の検出シグネチャを使ってスキャンされるべきか判定する。クライアント機器9に関連し得るシグネチャだけが当該クライアントに送信され、このため、各クライアントには、当該クライアントに関連し、または関連する可能性の高いシグネチャだけが送信されることになる。これによりクライアントリソースの使用が低減され、シグネチャを配信する際の帯域幅の使用が低減される。
新しいマルウェアが特定されると、当該マルウェアについてのシグネチャデータは、当該データが利用可能なときにクライアント機器9に能動的にプッシュすることもでき、クライアント機器9が次にサーバ14に接続するときにクライアント機器9に送信することもできる。クライアント機器9はその情報を使ってスキャンを起動し、おそらくはマルウェアを駆除する。これによりクライアントへのシグネチャ情報の配信が大幅に加速される。
また中間スキャン結果データベース19は、サーバ14によるサービスを受ける何台のクライアントが特定のファイルのコピーを持つか、これらのクライアントの地理的位置、ファイルがファイルシステムに記憶された時刻などを判定するのに使用することもできる。この情報は、クライアントへのサンプル要求を、サンプル要求が疑わしいファイルを持つクライアントだけに送信されるようにトリガするのに使用することができる。
中間スキャンデータベース19のさらに別の用途は、シグネチャ作成を最適化することである。クライアントが持つファイル上でマッチし得るはずのどんな検出も含まないシグネチャを作成すべき理由はない。というのは、これは処理リソースおよび帯域幅の無駄になるはずだからである。
中間スキャン結果データベース19を使用することにより、所与のシグネチャについて全顧客ベースにわたって誤判定を引き起こし得るファイルのリストを完全に特定することができる。誤判定テストを最適化することができ、この限られたファイルのセットについてのみ実行することができる。
またサーバ14には、コンピュータ可読コードの形のコンピュータプログラム21が記憶されているメモリ20の形のコンピュータ可読媒体が提供されてもよい。サーバ14においてプロセッサにより実行されると、サーバ14はウイルス対策スキャンを実行する。
前述の実施形態には、本発明の範囲を逸脱することなく、様々な改変が加えられ得ることが当業者には理解されるであろう。例えば、前述の各例は、1つのファイルシステムだけを有するクライアント機器を示している。ファイルシステムはハードドライブ、光学ドライブ、ランダム・アクセス・メモリ、または他の任意の種類のメモリに記憶されていてもよく、複数のファイルシステムが設けられていてもよいことが理解されるであろう。
Claims (21)
- ファイルシステムのウイルス対策スキャンを実行する方法であって、
前記ファイルシステムに記憶されたファイルについて、前記ファイルのスキャンが完了する前に中間スキャン結果を獲得することと、
前記ファイルシステムからリモートに位置するデータベースが、前記中間スキャン結果を前記データベースに記憶することと、
リモートウイルス対策サーバが、ファイルシステム内のファイルをスキャンするためにクライアント機器にマルウェアシグネチャを送信する前に、前記データベースに記憶された中間スキャン結果とマルウェアシグネチャのセットに関連したプレフィルタ情報とを比較し、前記マルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチするファイルに関連したマルウェアシグネチャだけを前記クライアント機器に送信することと、
を含む方法。 - 前記ファイルシステムの後続のウイルス対策スキャンの間に、前記ファイルシステムに記憶された前記ファイルの中間スキャンを実行する前に、前記ファイルに関連する中間スキャン結果が前記データベースにおいて利用可能であるかどうか判定することと、
中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用可能である場合には前記ファイルの当該中間スキャンを実行せず、中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用できない場合には前記ファイルの当該中間スキャンを実行することと、
を含む、請求項1に記載の方法。 - 中間スキャン結果が、チェックサム、ファイルヘッダ情報、ファイルセクションの数、前記ファイルのハッシュ値、前記ファイルの部分のハッシュ値、エミュレーションからの重要データ、巡回冗長検査値、およびバイトサーチ結果のいずれかについてのスキャンから選択される結果である、請求項1または2に記載の方法。
- 新しいマルウェアシグネチャが利用可能である場合に、前記データベースに記憶された前記結果から、前記新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定し、当該ファイルを前記ファイルシステムの後続のスキャンから除外することをさらに含む、請求項1から3のいずれか1項に記載の方法。
- プレフィルタ情報が、最終スキャンの日付、ファイルの種類、ファイルサイズ、ファイルセクションの数、ファイルヘッダ情報、前記ファイルのハッシュ値、前記ファイルの部分のハッシュ値、巡回冗長検査値、およびバイトサーチ結果のいずれかから選択される、請求項4に記載の方法。
- 前記データベースにファイルが最後に変更された日付を記憶することと、
マルウェアによる感染が最初に可能であったのはいつか推定することと、
前記ファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルを前記スキャンから省くことと、
をさらに含む、請求項1乃至5のいずれか1項に記載の方法。 - 前記データベースにファイルが最後にスキャンされた日付を記憶することと、
前記ファイルが最後にスキャンされた前記日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較することと、
前記ファイルシステムの後続のスキャンにおいて、前記ウイルス対策データベースが前記新しいマルウェア定義で更新された後で最後にスキャンされたファイルを前記スキャンから省くことと、
をさらに含む、請求項6に記載の方法。 - 前記中間スキャン結果データベースにおいて、複数のクライアント機器において記憶された複数のファイルシステムのいずれかについての中間スキャン結果を記憶することと、
クライアント機器ごとに、前記クライアント機器の地理的位置およびファイルが前記クライアント機器におけるファイルシステムに記憶された時刻のいずれかを含む追加的なデータを記憶することと、
リモートのウイルス対策サーバにおいて、前記追加的なデータを使って、ファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定することと、
前記クライアント機器のセットの各クライアント機器にファイルの全部または一部のサンプルを求める要求を送信することと、
をさらに含む、請求項1に記載の方法。 - ファイルシステムを記憶するためのメモリと、
前記ファイルシステムに記憶された少なくとも1つのファイルのウイルス対策スキャンを実行するための、前記ファイルの少なくとも1回の中間スキャンを実行するように構成されているウイルス対策機能と、
前記少なくとも1回の中間スキャン結果を中間スキャン結果データベースに記憶するための手段と、
前記中間スキャン結果データベースにデータを読み込むために前記中間スキャン結果をリモートノードに送信するための送信機と、
リモートのウイルス対策サーバから、前記データベースに記憶された前記中間スキャン結果と前記ファイルシステム内の前記ファイルに関連したマルウェアシグネチャのセットに関連したプレフィルタ情報とを比較することによって、前記リモートのウイルス対策サーバにおいて決定されるマルウェアシグネチャのセットを受信するための手段と、
を備えるコンピュータ機器。 - 前記ウイルス対策機能がさらに、前記ファイルシステム内の前記ファイルの後続のスキャンを実行し、前記ファイルの中間スキャンを実行する前に、前記ファイルに関連する中間スキャン結果が前記データベースにおいて利用可能であるかどうか判定するように構成されており、
中間スキャン結果が前記中間スキャンについて前記データベースにおいて利用可能である場合には、前記ウイルス対策機能が前記ファイルの当該中間スキャンを実行しないように構成され、前記中間スキャン結果が前記中間スキャンについて前記データベースにおいて利用できない場合には、前記ウイルス対策機能が前記ファイルの当該中間スキャンを実行するように構成される、請求項9に記載のコンピュータ機器。 - 通信ネットワークで使用するためのウイルス対策サーバであって、
複数のファイルが記憶されるファイルシステムを有するクライアント機器と通信するための手段と、
前記ファイルシステム内の少なくとも1つのファイルの少なくとも1回の中間スキャンを含むウイルス対策スキャンを実行するように構成されたプロセッサと、
前記中間スキャン結果を中間スキャン結果データベースに記憶するための手段と、
を備え、
前記プロセッサがさらに、前記データベースに記憶された前記中間スキャン結果と、前記クライアント機器における前記ファイルシステム内の前記ファイルに関連したマルウェアシグネチャのセットに関連したプレフィルタ情報とを比較するように構成されており、
前記クライアント機器と通信するための前記手段が、前記マルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチするファイルに関連したマルウェアシグネチャのセットだけを前記クライアント機器に送信するように構成されている、
ウイルス対策サーバ。 - 前記プロセッサがさらに、前記中間スキャン結果データベースにおいて記憶されたデータを使って、ファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定するように構成されており、
前記クライアント機器と通信するための前記手段が、前記クライアント機器にファイルの全部または一部のサンプルを求める要求を送信するように構成されている、請求項11に記載のウイルス対策サーバ。 - プログラム可能なコンピュータ上で実行されると、前記プログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるコンピュータ可読コードを備えるコンピュータプログラムであって、
前記ファイルシステムに記憶されたファイルについて、前記ファイルのスキャンが完了する前に中間スキャン結果を獲得するための命令と、
前記中間スキャン結果をデータベースに記憶するための命令と、
前記ファイルシステムからリモートに位置するデータベースと通信するための命令と、
リモートのウイルス対策サーバから、前記データベースに記憶された中間スキャン結果と前記ファイルシステム内の前記ファイルに関連したマルウェアシグネチャのセットを決定するのに関連したプレフィルタ情報とを比較することによって、前記リモートのウイルス対策サーバにおいて決定されるマルウェアシグネチャのセットを受信するための命令と、
を備えるコンピュータプログラム。 - 前記ファイルシステムの後続のウイルス対策スキャンの間に、前記ファイルシステムに記憶された前記ファイルの中間スキャンを実行する前に、前記ファイルに関連する中間スキャン結果が前記データベースにおいて利用可能であるかどうか判定するための命令と、
中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用可能である場合には前記ファイルの当該中間スキャンを実行せず、中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用できない場合には前記ファイルの当該中間スキャンを実行するための命令と、
を備える請求項13に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。 - 新しいマルウェアシグネチャが利用可能である場合に、前記データベースに記憶された前記結果から、前記新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定し、当該ファイルを前記ファイルシステムの後続のスキャンから除外するための命令を備える請求項13に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
- 前記データベースにファイルが最後に変更された日付を記憶し、マルウェアによる感染が最初に可能であったのはいつか推定し、前記ファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルを前記スキャンから省くための命令を備える請求項13乃至15のいずれか1項に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
- 前記データベースにファイルが最後にスキャンされた日付を記憶し、前記ファイルが最後にスキャンされた前記日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較し、前記ファイルシステムの後続のスキャンにおいて、前記ウイルス対策データベースが前記新しいマルウェア定義で更新された後で最後にスキャンされたファイルを前記スキャンから省くための命令を備える請求項16に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
- プログラム可能なコンピュータ上で実行されると、前記プログラム可能なコンピュータに、請求項1乃至8のいずれか1項に記載のファイルシステムのウイルス対策スキャンを実行する方法を実行させるコンピュータ可読コードを備えるコンピュータプログラム。
- コンピュータ機器上で実行されると、前記コンピュータ機器に、請求項9または10に記載のコンピュータ機器として挙動させるコンピュータ可読コードを備えるコンピュータプログラム。
- サーバ上で実行されると、前記サーバに、請求項11または12に記載のウイルス対策サーバとして挙動させるコンピュータ可読コードを備えるコンピュータプログラム。
- 請求項13乃至20のいずれか1項に記載のコンピュータプログラムを記憶した記録媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0912017.1 | 2009-07-10 | ||
| GB0912017A GB2471716A (en) | 2009-07-10 | 2009-07-10 | Anti-virus scan management using intermediate results |
| PCT/EP2010/059762 WO2011003958A1 (en) | 2009-07-10 | 2010-07-07 | Anti-virus scanning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012533104A JP2012533104A (ja) | 2012-12-20 |
| JP5631988B2 true JP5631988B2 (ja) | 2014-11-26 |
Family
ID=41022471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012518985A Active JP5631988B2 (ja) | 2009-07-10 | 2010-07-07 | ウイルス対策スキャン |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9965630B2 (ja) |
| EP (1) | EP2452287B1 (ja) |
| JP (1) | JP5631988B2 (ja) |
| CN (1) | CN102483780B (ja) |
| BR (1) | BRPI1016079A2 (ja) |
| GB (1) | GB2471716A (ja) |
| IN (1) | IN2012DN00880A (ja) |
| RU (1) | RU2551820C2 (ja) |
| WO (1) | WO2011003958A1 (ja) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
| US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US8590046B2 (en) * | 2010-07-28 | 2013-11-19 | Bank Of America Corporation | Login initiated scanning of computing devices |
| US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US8621634B2 (en) * | 2011-01-13 | 2013-12-31 | F-Secure Oyj | Malware detection based on a predetermined criterion |
| US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| WO2013041016A1 (zh) * | 2011-09-19 | 2013-03-28 | 北京奇虎科技有限公司 | 处理计算机病毒的方法和装置 |
| US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US8584235B2 (en) * | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
| KR20140093699A (ko) * | 2011-11-10 | 2014-07-28 | 가부시키가이샤 세큐아브레인 | 부정 어플리케이션 검지 시스템 및 방법 |
| KR102029465B1 (ko) * | 2011-11-17 | 2019-10-08 | 삼성에스디에스 주식회사 | 검색 또는 패턴 매칭 엔진 및 이를 구비한 단말장치와 그 방법 |
| RU2487405C1 (ru) * | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
| US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| CN103366118A (zh) * | 2012-04-06 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 进行安装包病毒查杀的方法及装置 |
| CN103425927A (zh) * | 2012-05-16 | 2013-12-04 | 腾讯科技(深圳)有限公司 | 计算机文档病毒清除装置及清除方法 |
| CN103577751B (zh) * | 2012-07-25 | 2015-06-10 | 腾讯科技(深圳)有限公司 | 文件扫描方法和装置 |
| CN103679022B (zh) * | 2012-09-20 | 2016-04-20 | 腾讯科技(深圳)有限公司 | 病毒扫描方法和装置 |
| US8925085B2 (en) * | 2012-11-15 | 2014-12-30 | Microsoft Corporation | Dynamic selection and loading of anti-malware signatures |
| WO2014082599A1 (zh) * | 2012-11-30 | 2014-06-05 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
| US9202050B1 (en) * | 2012-12-14 | 2015-12-01 | Symantec Corporation | Systems and methods for detecting malicious files |
| US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
| KR101421632B1 (ko) * | 2013-02-13 | 2014-07-22 | 주식회사 잉카인터넷 | 멀웨어 스캐닝 시스템 및 방법 |
| US10409987B2 (en) | 2013-03-31 | 2019-09-10 | AO Kaspersky Lab | System and method for adaptive modification of antivirus databases |
| CN103294955B (zh) * | 2013-06-28 | 2016-06-08 | 北京奇虎科技有限公司 | 宏病毒查杀方法及系统 |
| US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
| CN104217165B (zh) * | 2014-09-16 | 2016-07-06 | 百度在线网络技术(北京)有限公司 | 文件的处理方法及装置 |
| CN104281809A (zh) * | 2014-09-30 | 2015-01-14 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及系统 |
| CN105791233B (zh) * | 2014-12-24 | 2019-02-26 | 华为技术有限公司 | 一种防病毒扫描方法及装置 |
| US9654497B2 (en) * | 2015-04-04 | 2017-05-16 | International Business Machines Corporation | Virus-release-date-based priority virus scanning |
| US9858418B2 (en) | 2015-05-29 | 2018-01-02 | International Business Machines Corporation | Reducing delays associated with restoring quarantined files |
| JP6010672B2 (ja) * | 2015-09-17 | 2016-10-19 | 株式会社エヌ・ティ・ティ・データ | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
| RU2617923C2 (ru) * | 2015-09-30 | 2017-04-28 | Акционерное общество "Лаборатория Касперского" | Система и способ настройки антивирусной проверки |
| RU2606559C1 (ru) * | 2015-10-22 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки файлов |
| RU2610228C1 (ru) * | 2015-12-18 | 2017-02-08 | Акционерное общество "Лаборатория Касперского" | Система и способ выполнения запросов процессов операционной системы к файловой системе |
| RU2638735C2 (ru) * | 2016-04-25 | 2017-12-15 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки неактивных операционных систем |
| US10073968B1 (en) * | 2016-06-24 | 2018-09-11 | Symantec Corporation | Systems and methods for classifying files |
| US9864956B1 (en) | 2017-05-01 | 2018-01-09 | SparkCognition, Inc. | Generation and use of trained file classifiers for malware detection |
| US10305923B2 (en) | 2017-06-30 | 2019-05-28 | SparkCognition, Inc. | Server-supported malware detection and protection |
| US10616252B2 (en) | 2017-06-30 | 2020-04-07 | SparkCognition, Inc. | Automated detection of malware using trained neural network-based file classifiers and machine learning |
| US10242189B1 (en) * | 2018-10-01 | 2019-03-26 | OPSWAT, Inc. | File format validation |
| RU2702053C1 (ru) * | 2018-12-28 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Способ снижения нагрузки на сканирующую подсистему путем дедупликации сканирования файлов |
| RU2726878C1 (ru) * | 2019-04-15 | 2020-07-16 | Акционерное общество "Лаборатория Касперского" | Способ ускорения полной антивирусной проверки файлов на мобильном устройстве |
| US10621346B1 (en) * | 2019-08-21 | 2020-04-14 | Netskope, Inc. | Efficient scanning for threat detection using in-doc markers |
| WO2021038704A1 (ja) * | 2019-08-27 | 2021-03-04 | 日本電気株式会社 | バックドア検査装置、バックドア検査方法、及び非一時的なコンピュータ可読媒体 |
| CN112613074A (zh) * | 2020-12-30 | 2021-04-06 | 绿盟科技集团股份有限公司 | 一种敏感文件识别方法、装置、设备及介质 |
| US11599636B1 (en) * | 2022-07-27 | 2023-03-07 | Aurora Security Llc | Systems and methods for managing and providing software packages which have undergone malware and/or vulnerability analysis |
| CN116186764B (zh) * | 2023-01-05 | 2023-09-15 | 国网山东省电力公司 | 一种数据安全检查方法及系统 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5649095A (en) * | 1992-03-30 | 1997-07-15 | Cozza; Paul D. | Method and apparatus for detecting computer viruses through the use of a scan information cache |
| US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
| US6021510A (en) * | 1997-11-24 | 2000-02-01 | Symantec Corporation | Antivirus accelerator |
| US6952776B1 (en) | 1999-09-22 | 2005-10-04 | International Business Machines Corporation | Method and apparatus for increasing virus detection speed using a database |
| US6892303B2 (en) * | 2000-01-06 | 2005-05-10 | International Business Machines Corporation | Method and system for caching virus-free file certificates |
| GB2368233B (en) * | 2000-08-31 | 2002-10-16 | F Secure Oyj | Maintaining virus detection software |
| US7340774B2 (en) * | 2001-10-15 | 2008-03-04 | Mcafee, Inc. | Malware scanning as a low priority task |
| JP2003196111A (ja) * | 2001-12-26 | 2003-07-11 | Hitachi Ltd | 電子署名を用いたウィルスチェック方法 |
| CN1647007A (zh) * | 2002-04-13 | 2005-07-27 | 计算机联合思想公司 | 检测怀有恶意代码的系统与方法 |
| US7337471B2 (en) * | 2002-10-07 | 2008-02-26 | Symantec Corporation | Selective detection of malicious computer code |
| US20040158730A1 (en) * | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
| US7398399B2 (en) * | 2003-12-12 | 2008-07-08 | International Business Machines Corporation | Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network |
| US7581253B2 (en) * | 2004-07-20 | 2009-08-25 | Lenovo (Singapore) Pte. Ltd. | Secure storage tracking for anti-virus speed-up |
| JP2006040196A (ja) * | 2004-07-30 | 2006-02-09 | Hitachi Information & Control Systems Inc | ソフトウェア監視システムおよび監視方法 |
| US7882561B2 (en) * | 2005-01-31 | 2011-02-01 | Microsoft Corporation | System and method of caching decisions on when to scan for malware |
| JP2007034623A (ja) * | 2005-07-26 | 2007-02-08 | Sharp Corp | コンピュータウイルスの検出方法、プログラム、プログラムが記憶された記録媒体およびコンピュータウイルスの検出装置 |
| US7636946B2 (en) * | 2005-08-31 | 2009-12-22 | Microsoft Corporation | Unwanted file modification and transactions |
| JP2007200102A (ja) | 2006-01-27 | 2007-08-09 | Nec Corp | 不正コードおよび不正データのチェックシステム、プログラムおよび方法 |
| CN100535916C (zh) * | 2006-04-14 | 2009-09-02 | 北京瑞星国际软件有限公司 | 病毒扫描系统及其方法 |
| US7797746B2 (en) | 2006-12-12 | 2010-09-14 | Fortinet, Inc. | Detection of undesired computer files in archives |
| CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
| JP4943278B2 (ja) * | 2007-09-06 | 2012-05-30 | 株式会社日立製作所 | ウィルススキャン方法及びその方法を用いた計算機システム |
| US20090094698A1 (en) * | 2007-10-09 | 2009-04-09 | Anthony Lynn Nichols | Method and system for efficiently scanning a computer storage device for pestware |
| RU80037U1 (ru) * | 2007-10-31 | 2009-01-20 | ЗАО "Лаборатория Касперского" | Система управления антивирусными мобильными приложениями |
| US8255926B2 (en) * | 2007-11-06 | 2012-08-28 | International Business Machines Corporation | Virus notification based on social groups |
-
2009
- 2009-07-10 GB GB0912017A patent/GB2471716A/en not_active Withdrawn
-
2010
- 2010-07-07 EP EP10728711.2A patent/EP2452287B1/en active Active
- 2010-07-07 IN IN880DEN2012 patent/IN2012DN00880A/en unknown
- 2010-07-07 JP JP2012518985A patent/JP5631988B2/ja active Active
- 2010-07-07 RU RU2012102818/08A patent/RU2551820C2/ru active
- 2010-07-07 US US13/383,246 patent/US9965630B2/en active Active
- 2010-07-07 BR BRPI1016079A patent/BRPI1016079A2/pt not_active Application Discontinuation
- 2010-07-07 CN CN201080031109.1A patent/CN102483780B/zh not_active Expired - Fee Related
- 2010-07-07 WO PCT/EP2010/059762 patent/WO2011003958A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP2452287A1 (en) | 2012-05-16 |
| EP2452287B1 (en) | 2020-03-25 |
| BRPI1016079A2 (pt) | 2016-05-10 |
| US20120159631A1 (en) | 2012-06-21 |
| JP2012533104A (ja) | 2012-12-20 |
| GB0912017D0 (en) | 2009-08-19 |
| CN102483780B (zh) | 2015-08-12 |
| RU2551820C2 (ru) | 2015-05-27 |
| RU2012102818A (ru) | 2013-08-27 |
| GB2471716A (en) | 2011-01-12 |
| US9965630B2 (en) | 2018-05-08 |
| WO2011003958A1 (en) | 2011-01-13 |
| CN102483780A (zh) | 2012-05-30 |
| IN2012DN00880A (ja) | 2015-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5631988B2 (ja) | ウイルス対策スキャン | |
| US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
| US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
| RU2607231C2 (ru) | Системы и способы защиты от вредоносного программного обеспечения на основе нечеткого вайтлистинга | |
| US8931086B2 (en) | Method and apparatus for reducing false positive detection of malware | |
| US8782791B2 (en) | Computer virus detection systems and methods | |
| JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
| US8474039B2 (en) | System and method for proactive detection and repair of malware memory infection via a remote memory reputation system | |
| US8307434B2 (en) | Method and system for discrete stateful behavioral analysis | |
| US8776240B1 (en) | Pre-scan by historical URL access | |
| US9614866B2 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
| US8341746B2 (en) | Identifying malware | |
| US8726377B2 (en) | Malware determination | |
| WO2014082599A1 (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 | |
| US7539871B1 (en) | System and method for identifying message propagation | |
| US10747879B2 (en) | System, method, and computer program product for identifying a file used to automatically launch content as unwanted | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| US8132258B1 (en) | Remote security servers for protecting customer computers against computer security threats | |
| JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| US11770388B1 (en) | Network infrastructure detection | |
| US11436326B2 (en) | False alarm detection for malware scanning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130415 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140408 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140708 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140924 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141008 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5631988 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |