JP2001515625A - クライアント・サーバシステムにおけるウイルス検出 - Google Patents

クライアント・サーバシステムにおけるウイルス検出

Info

Publication number
JP2001515625A
JP2001515625A JP54052798A JP54052798A JP2001515625A JP 2001515625 A JP2001515625 A JP 2001515625A JP 54052798 A JP54052798 A JP 54052798A JP 54052798 A JP54052798 A JP 54052798A JP 2001515625 A JP2001515625 A JP 2001515625A
Authority
JP
Japan
Prior art keywords
virus
client
virus detection
server
scanning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP54052798A
Other languages
English (en)
Other versions
JP4052604B2 (ja
Inventor
チェン,エヴァ
ユェン−ラム ラウ,スティーヴン
リャン,ユン−チャン
Original Assignee
トレンド マイクロ,インコーポレーテッド
チェン,エヴァ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by トレンド マイクロ,インコーポレーテッド, チェン,エヴァ filed Critical トレンド マイクロ,インコーポレーテッド
Publication of JP2001515625A publication Critical patent/JP2001515625A/ja
Application granted granted Critical
Publication of JP4052604B2 publication Critical patent/JP4052604B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 ウイルス検出オブジェクトとウイルス処置オブジェクトとを用いたウイルスの反復検出および処置を開示している。ウイルス走査要求にしたがってサーバ(400)がウイルス検出オブジェクトを生成し、実行のためにクライアント(300a,b)に伝送する。クライアント(300a,b)はこのウイルス検出オブジェクトを受けて実行し、その結果をサーバ(400)に伝送する。サーバ(400)は上記結果を用いて追加のウイルス検出オブジェクトを生成し、そのオブジェクトをクライアント(300a,b)に伝送して実行し、その結果がサーバ(400)に伝送されるようにする。ウイルス検出オブジェクトの反復生成および実行は、対象ファイルまたは対象データがウイルスを含むか否かの判定がなされるまで続けられる。対象ファイルまたは対象データがウイルスを含むと判定されると、クライアント(300a,b)で提示された条件および検出ウイルスの種類に特に適合させたワクチンを好ましくはウイルス処置オブジェクトの形で生成する。ウイルス走査に対する要求はトリガ作用のあるイベントにより直接にまたは間接的に出すことができる。ウイルス検出サーバ(400)の一つの実施例は、条件データをウイルス走査関係の知識に適用してウイルス対象の走査の時点などについて判定を行うウイルス情報エキスパートシステムを含む。ネットワーク診断処置アプリケーションは診断データモジュール、エキスパートシステムおよび保守要求モジュールを含む。エキスパートシステムは診断データをネットワークの診断および保守に関する所定の知識に適用して、どの保守要求をなすべきかについて判定する。このエキスパートシステムにウイルス情報エキスパートシステムを備えるのが好ましい。

Description

【発明の詳細な説明】 クライアント・サーバシステムにおけるウイルス検出 発明の背景 発明の技術分野 この発明は概括的にはコンピュータファイルの中のウイルスの検出に関し、よ り詳しくはネットワーク資源を用いたウイルスの検出および処置、ウイルスの反 復検出および処置、およびコンピュータネットワークの保守に関する。 関連技術の説明 コンピュータおよびコンピュータユーザにとってコンピュータウイルスは引き 続き問題になっている。コンピュータウイルスはコンピュータプログラム、ファ イル、コードに通常見出され、意図しない結果、場合によっては有害な結果を生 じさせる。一つの種類のウイルスはプログラムコードの一部が自分自身のコピー を他のプログラムの中に生じさせるものであり、それらのプログラムに通常の動 作をさせながら、それ以外の意図しない動作を密かに行うものである。ほかの種 類のウイルスとして、ワーム、ロジック爆弾、時限爆弾、トロイの馬、ほか実行 可能なプログラム、マクロ、アプレット(applet)などに常駐する有害なプログ ラムまたはコードなどがある。ウイルス検出の分野には進歩は見られるものの、 コンピュータの普及およびコンピュータ相互接続・コンピュータ間通信の増加に 伴って、既存ウイルスの広がりおよび新たなウイルスの発生の機会も増えてきた 。したがって、コンピュータまたはコンピュータシステムが曝される可能性のあ るウイルスの数と種類は常に変化しており、ウイルス検出用の情報が多様なウイ ルスの検出のために絶え間ない更新と増強を必要とする理由になっている。 ウイルス検出には種々の方法がある。一つの検出方法は既知のウイルスシグネ チャを検査対象のファイルと比較して、その対象ファイルがウイルスシグネチャ 、すなわちその対応のウイルスを含んでいるか否かを判断するものである。ウイ ルス検出に用いた比較データは既知ウイルスのシグネチャひと組を含んでいるか もしれず、またウイルス検出のための追加のデータを含んでいることもあり得る 。 この比較データは通常コンピュータ記憶媒体に保持してウイルス検出用のアクセ スに供する。例えば、パーソナルコンピュータの場合は、この比較データをコン ピュータのハードディスクに蓄積する。この比較データの更新を新たなまたは異 なった形のウイルスの検出のために周期的に行う。比較データ更新は、比較デー タ保持に用いる蓄積媒体への転送のために、ソース蓄積媒体の形で通常提供され る。例えば、パーソナルコンピュータのユーザが比較データ更新をコンピュータ ハードディスクに転送して更新を完了できるように、フロッピーディスクの形で 更新データを提供する。 比較データはもともと離散的であり静的である。すなわち、ウイルス検出のた めに用いる情報は、ユーザ、それ以外の関係者、または動作により更新または変 更されなければ通常すべて不変のままに留まるのである。ウイルス検出に用いら れる情報の質は何らかの形式の比較データ保持に依存しているので、これは問題 になる。更新可能な比較データに伴うもう一つの問題は、新しく異なったウイル スの存在により比較データがその効用を急速に喪失することである。すなわち、 周期的な更新は効果的に見えるが更新周期の期間中にいくつの新たなウイルスが 生ずるかわからない。比較データ更新のもう一つの問題は、更新を完結させるた めに交換用データセット全部の転送、または少なくとも新ウイルス検出データ全 部の転送を通常要することである。全データ転送の場合も新ウイルス検出データ 全部の転送の場合も、更新のために多量のデータを転送しなければならない。よ り詳細に述べると、ユーザが例えばフロッピーディスクで供給された更新データ を用いてウイルス検出情報を更新する場合は、少なくとも新ウイルス検出情報は すべてフロッピーディスクから適切な媒体に転送しなければならない。 更新データのソースの如何に関わらず、更新可能な比較データの問題は残る。 とくに、ユーザ、管理者その他の関係者が比較データへのアクセスおよび同デー タの更新について責任をとる必要があり、比較データは急速に予測不可能な形で その効用を失い、多量のデータをソースから比較データ用蓄積媒体に経路づけし なければならない。比較データ更新のデータ源がインターネット資源である場合 は、転送すべきデータの量そのものがより大きい問題になる。更新を完了させる のに大量の計算用資源を使うことになるからである。 ウイルス検出のもう一つの問題は条件がコンピュータごとに異なることである 。 すなわら、第1のコンピュータまたは媒体は第1の種類の走査を必要とし、もう 一つのコンピュータはそれが第1のコンピュータと同じネットワークの中にある 場合でも第2の種類の走査を必要とするのである。このような場合は、ウイルス 走査がコンピュータ常駐ウイルス以外のウイルスにまで及んで包括的すぎたり、 コンピュータに課された条件に基づきコンピュータに常駐する可能性のあるウイ ルスの種類に走査が及ばず走査範囲不足になったりし得る。コンピュータ特有の 条件にしたがって適当な程度のウイルス走査を行うには、ユーザまたは関係者は 走査を構成しなければならない。その関係者への情報のインプットに依存してい るので、これは問題になる。また、特定のコンピュータに関する条件も所要走査 の種類も変わり得る。 コンピュータ相互間の接続及び通信の増加に伴って、コンピュータネットワー ク所属コンピュータの保守に対する要求が増大した。保守業務も通常はネットワ ーク管理者など関係者が自分にローカルに利用可能な資源を用いて行う。例えば 、LAN接続のコンピュータでウイルス処置を行う場合は、管理者はローカルに利 用可能なウイルス走査資源にアクセスするようにコンピュータを通常構成できる 。この保守機構は、更新への依存、変化する条件への適応性欠如、およびLAN 外の資源の適切な利用の欠如などの点で問題がある。 したがって、更新可能な比較データ方式に内在する問題のいくつかを解消する ウイルス検出に対する需要がある。また、インターネット資源をウイルス検出お よびより容易でより効果的なコンピュータネットワーク保守、例えばウイルス検 出およびウイルス消去に関する保守に対する需要がある。 発明の概要 この発明によると、集中アクセス用のウイルス検出サーバとウイルスの効果的 検出および処置のための反復処理手法を提供できる。 この発明の一つの側面においては、ウイルスをクライアントコンピュータで反 復的に検出する。ウイルスの検出および処置に必要とされるツールと情報の主要 部をインターネットのサーバやワールドワイドウェブサーバなど集中した位置で 提供する。このウイルス検出サーバはクライアントと連携して動作し、ウイルス がクライアントに常駐しているか否かを判定する。要求を受けたときまたは要求 がウイルス検出サーバに導かれたとき、ウイルス走査が開始される。この要求は 、 ユーザによる継続起動を要しないクライアントからのプログラムされた要求など 種々のトリガ発生イベントで起動して、ユーザに自明の要求なしで走査を起動す るようにすることもでき、また直接に起動することもできる。 ウイルス検出サーバは、有効なウイルス検出要求を受けたと判定すると、その 要求発信者すなわち通常クライアントと関連するウイルスを反復的に検出して処 置する。ウイルス検出オブジェクトの反復生成は、前回生成ずみのウイルス検出 オブジェクトの実行の結果見出された前回判定ずみの条件にしたがってオブジェ クトを特別に作り替えることを可能にする。とくに、ウイルス検出オブジェクト はウイルス検出サーバで生成され、クライアントに伝送される。ウイルス検出オ ブジェクトはクライアントが対応の実行エンジン中に含んでいる実行可能なプロ グラムを含む。すなわち、クライアントはウイルス検出オブジェクトを受けると そのオブジェクトを実行しその結果をウイルス検出サーバに返送する。ウイルス 検出オブジェクトの実行の結果はウイルス検出サーバに伝送して、それ以前のウ イルス検出オブジェクトの実行の結果に基づき追加のウイルス検出オブジェクト を生成できるようにする。 この発明のもう一つの側面によると、ウイルス検出サーバは、検出ずみウイル スの特定の種類などクライアントで提示された条件に特効あるワクチンを生成す る。ウイルス検出サーバは一つ以上のウイルス検出オブジェクトの実行の結果を 受け、ワクチンの生成にその結果を用いる。例えば、その結果が特定のプラット フォームの特定の種類のファイルに特定のウイルスが存在することを示すと、そ れに合わせてワクチンを生成する。そのワクチンは実行可能なプログラムやデー タセットなど一つ以上のウイルス処置オブジェクトを含む。ウイルス処置オブジ ェクトをクライアントに送り、そこでウイルスを処置するように実行する。 この発明のさらにもう一つの側面によると、ローカルエリアネットワーク所属 コンピュータなどのコンピュータのシステムをシステム管理者による常時保守を 要することなくウイルスに対して実効的に保護することができる。とくに、定常 的に生ずるイベントをウイルス検出サーバによるウイルス走査要求をトリガする のに用いることができる。 ウイルス検出サーバの実施側はコンピュータウイルスの反復検出および処置の ための種々のモジュールを含む。反復ウイルス検出モジュールは走査モジュール と、ウイルスパターンモジュールと、ウイルスルールモジュールと、清浄化モジ ュールと、清浄化パターンモジュールと、アクセス管理モジュールと、アクセス データモジュールとを含む。走査モジュールは個別アクセス可能な複数のウイル ス検出ルーチンを含む。同様に、ウイルスパターンモジュールおよびウイルスル ールモジュールは個別にアクセス可能なウイルスシグネチャのグループおよびル ールのグループをそれぞれ含む。反復ウイルス検出モジュールは、走査モジュー ル、ウイルスパターンモジュールおよびウイルスルールモジュールと連携して動 作し、クライアントの提示条件に基づくウイルスの検出にとくに供されるウイル ス検出オブジェクトを生成する。 清浄化モジュールはウイルス含有と判定されたファイルの処置のためのルーチ ンを含む。個別にアクセス可能な複数のルーチンを、ウイルス検出モジュール中 の複数のウイルス検出パターンと同様に、清浄化モジュール中に備える。反復ウ イルス検出モジュールは清浄化モジュールおよび清浄化パターンモジュールと連 携して動作し、クライアント提示の優勢な条件の中で検出される特定のウイルス の処置に適合させたウイルス処置オブジェクトを生成する。 アクセス管理モジュールはウイルス走査要求の有無の判定およびその判定の基 づく要求の確認のためのルーチンを含む。このアクセス管理モジュールは潜在的 ユーザに関する情報を含むアクセスデータモジュールと連携して動作し、ウイル ス走査要求の受信確認および有効性確認に備える。 この発明のさらにもう一つの側面によると、ウイルス検出サーバのもう一つの 実施例はウイルス情報エキスパートシステムを含む。コンピュータで提示された 条件、媒体その他の走査対象に関する条件データを集めて保持する。条件データ を所定知識に加えて、ウイルス走査実行用の判定を行う。エキスパートシステム の実施例は推論エンジンとウイルス知識モジュールとを含む。推論エンジンは条 件データにアクセスしてその条件データをウイルス知識モジュール中のルールお よび情報に加え、実行すべきウイルス走査の種類について判定を行う。その判定 の例としては、走査が適切か否かの判定、走査要求に関する条件の評価および実 働化すべき走査ルーチンおよび清浄化ルーチンの種類の判定などがある。 この発明のさらにもう一つの側面によると、ネットワーク診断保守アプリケー ションを提供できる。ネットワーク診断および保守アプリケーションはネットワ ークに関する情報を集めそれら情報に対する診断データを保持する。ネットワー ク条件に関する判定は診断データを所定の知識に加えることによって行い、それ ら判定に基づきネットワーク保守を要求する。診断および保守アプリケーション の実施例は診断データモジュールと、保守要求モジュールと、推論エンジンおよ び所定知識を備える少なくとも一つのエキスパートシステムとを含む。診断デー タモジュールは診断データを提供し、この診断データにエキスパートシステムが アクセスしてネットワーク関連判定の実行のための専門分野に関するルールにか ける。判定の結果をネットワーク保守要求の根拠として保守要求モジュールが用 いる。エキスパートシステムの好例は、推論エンジンおよびウイルス知識モジュ ールを含むウイルス情報エキスパートシステムである。ウイルス情報エキスパー トシステムの行う判定は保守要求モジュールに伝達され、その保守要求モジュー ルはそれら判定をウイルス検出サーバによるウイルス走査および処置の要求に用 いることができる。 図面の簡単な説明 この発明の上記および上記以外のより詳細な特徴を添付図面を参照して次に詳 述する。 図1はこの発明によるクライアントおよびウイルス検出サーバの間の相互接続 の例を示す概略図である。 図2はこの発明による反復ウイルス検出の方法を示す流れ図である。 図3はこの発明によるクライアントの実施例を示すブロック図である。 図4Aはこの発明によるウイルス検出サーバの実施例を示すブロック図である 。 図4Bはこの発明による反復ウイルス検出モジュールの実施例を示すブロック 図である。 図4Cはウイルス対応の索引付き情報を示すデータテーブルの例である。 図4Dはこの発明によるウイルス検出手法で用いるウイルスシグネチャ構成部 分ストリングを示すデータテーブルの例である。 図5はこの発明によるウイルス検出サーバを用いたウイルス検出の方法を示す イベント図である。 図6Aはこの発明による反復ウイルス検出モジュールのもう一つの実施例のブ ロック図である。 図6Bはこの発明によるウイルス情報エキスパートシステムの実施例のブロッ ク図である。 図7はこの発明によるネットワーク通信システムの例の概略図である。 図8Aはこの発明による管理サーバの実施例のブロック図である。 図8Bはこの発明によるネットワーク診断および処置アプリケーションの実施 例のブロック図である。 発明の詳細な説明 図1の概略図を参照すると、この発明のウイルス検出サーバおよびウイルス検 出方法は、好ましくはウイルス検出サーバ400と複数のクライアント300のいずれ か一つとの間にクライアント・サーバ関係を保ったシステムで動作させる。図1 に示したシステム100において、ウイルス検出サーバ400をインターネットまたは ワールドワイドウェブと通常呼ばれるネットワークなどのワイドエリアネットワ ークに所属させる。クライアント300とウイルス検出サーバとの間に相互接続の いろいろの例が示してある。一つの例を挙げると、回線10経由でWANに接続され ウイルス検出サーバ400との間の通信を可能にしているクライアント300aが挙げ られる。この例でWANがインターネットの場合は、アクセスはインターネットア クセスプロバイダまたはインターネットサービスプロバイダから提供でき、クラ イアント300はサービスプロバイダまたはアクセスプロバイダへのリンクのため の電話回線に接続したモデムを含む。もう一つの例では、クライアント300bはロ ーカルエリアネットワーク(LAN)の一部であり、クライアント300bとウイルス 検出サーバ400との間の通信はLANサーバ350経由で構成した接続20により容易に なっている。アクセスプロバイダまたはサービスプロバイダ経由のアクセスも可 能であるが、接続20は専用回線など上記以外の慣用の手段でも構成できる。 この発明の好ましい実施例はウイルス検出サーバ400をインターネットサーバ と想定しているが、ウイルス検出サーバ400とクライアントサーバ300との間のク ライアント・サーバ接続の構成には、コンピュータのローカルエリアネットワー ク内の相互接続またはコンピュータネットワーク相互間接続など種々の代替的構 成が可能であることを当業者は認識するであろう。 ウイルス検出サーバ400はUNIXまたはWindowsNTなどの慣用のオペレーティング システムを用いて、伝送制御プロトコル/インターネットプロトコル(TCP/IP) 組など慣用のインターネット通信プロトコルを実動化する。また、通信プロトコ ルは、クライアントとウイルス検出サーバ400との間のファイルその他の情報の 伝送のためにファイル転送プロトコル(FTP)やパイパーテキスト転送プロトコ ル(HTTP)などの種々の慣用アプリケーションレーヤプロトコルを含み得る。 ウイルス検出サーバ400とクライアント300との間の通信が慣用の手法で設定さ れたあと、ウイルス検出サーバ400はウイルスがクライアント300と関連している か否かとウイルスがどこで検出されたかとを判定するように動作し、検出ずみの ウイルスの種類について適切な処置を行う。簡単に述べると、ウイルス検出サー バ400はクライアント300と連携して動作し、クライアントにウイルスが常駐して いるか否かの判定を、サーバでウイルス検出オブジェクトを反復生成し、そのウ イルス検出オブジェクトをクライアントに伝送し、そのウイルス検出オブジェク トをクライアントで実行し、そのウイルス検出オブジェクトとくに進行中のウイ ルス検出オブジェクトの実行の結果を用いて後続のウイルス検出オブジェクトを 生成し最終的にウイルスの存在を検出することによって行う。また、一つ以上の ウイルス処置オブジェクトを含むワクチンを、ウイルス検出オブジェクトの反復 生成および実行で定まる条件の処置に適合させて生成する。 図1に併せて図2を参照して、この発明による反復ウイルス検出の方法を示し た流れ図を説明する。図1および図2は反復ウイルス検出の全体を説明するもの である。ウイルス検出サーバ400の実施例とウイルス検出の方法は図3乃至図5 を参照してより詳細に後述する。 最初のステップ205において、走査すべきクライアントなどウイルス検出サー バ400の外部の要求元からウイルス走査要求を受ける。その要求を受けたあと、 ステップ210でウイルス検出サーバ400で走査を行うべきか否かを判定する。ウイ ルス走査要求の確認を走査要否の判定の結果にしたがって行うのが好ましい。典 型的な例について説明を続けると、この要求は、クライアント300からウイルス 検出サーバ400への要求の形式で供給し、ウイルス検出サーバ400がウイルスとク ライアントとの関連の有無の判定に進む前に要求を確認できるようにする。要求 確認はウイルス検出サーバ400に蓄積してある情報または同サーバ400にアクセス 可能な情報への参照によって行うのが好ましい。 図1の実施例におけるWANなどのネットワークの慣用のプロトコルを、要求を ク ライアントからウイルス検出サーバに経路付けするのに用いる。例えば、要求は ウイルス検出サーバ400対応の均一資源ロケータ(URL)アドレスを実働化できる 。接続がいったん開始されると、上記HTTPおよびFTPなどの慣用のプロトコルを ウイルス検出サーバ400とクライアント300との間の情報の転送に用いる。クライ アント300とウイルス検出サーバ400との間の接続の設定には種々の代替策が可能 である。ウイルス走査の要求は初期要求を処理してそれら初期要求をウイルス検 出サーバ400へのクライアント300の通過の前に確認する別個のサーバ経路で経路 付与することもできる(すなわち、要求と確認をともにウイルス検出サーバ400 で受ける)。また、一つのクライアントとの接続およびその結果から得られる一 つのクライアントへのウイルス検出および処置を全体として説明するが、ウイル ス検出サーバ400の受ける単一のウイルス走査要求で、一つのローカルエリアネ ットワーク所属のクライアント300b全部など複数のクライアント300についての ウイルスの検出および処置をサーバ400に行わせることもできる。 クライアント300に直接にプロンプトを供給するほかに、ウイルス検出走査要 求をイベントをトリガした結果として生成することも可能である。すなわち、ウ イルス検出走査はユーザ入力また場合によっては知識なしに始動できる。ユーザ が促した要求の場合と同様に、イベントをトリガすることによって、ウイルス走 査への要求がウイルス検出サーバ400に伝送され、、このサーバ400がその要求を 受けてクライアント300とウイルスとの関連の有無の判定の進行の前にその要求 を確認する。クライアント300またはそれ以外に常駐するエージェントプログラ ムを、イベントのトリガに対する反応としてウイルス走査の要求を生成するのに 使うことができる。その場合は、エージェントプログラムが要求およびその結果 としてのクライアント300・サーバ400間接続を始動させる。ウイルス走査要求の 確認、イベントのトリガおよびエージェントプログラムは図5のイベント図を参 照した説明で後述する。 走査を行うべきであるとの判定(210)のあと、複数のウイルス検出オブジェ クトをウイルス検出サーバ400が生成し、ウイルスとクライアント300との関連の 有無の判定までクライアント300に伝送する。ステップ215では初期ウイルス検出 オブジェクトをウイルス検出サーバ400で生成しクライアント300に伝送する。ウ イルス検出オブジェクトはクライアント300に実行可能なプログラムまたはコー ドと データとを含む。代わりに、ウイルス検出オブジェクトのうちとくに選んだもの を実行可能コードだけまたはデータだけで構成することもできる。慣用のネット ワーク伝送プロトコルをウイルス検出オブジェクトのサーバ400からクライアン ト300への伝送に用いる。ウイルス検出オブジェクトの受信のあと、ステップ220 においてウイルス検出オブジェクトをクライアント300で実行し、ステップ225に おいてそのウイルス検出オブジェクト実行の結果をウイルス検出サーバ400に送 り、サーバ400はその結果を受けステップ230において第1のウイルス検出オブジ ェクトの実行の結果に基づき追加のウイルス検出オブジェクトを生成する。サー バ400に伝送される結果の程度は変動し得る。例えば、その結果は、追加のウイ ルス検出オブジェクトの生成を直接に指示することができ、追加のオブジェクト の生成のためのサーバ400による解釈を要する生のデータであり得、これら両極 端の中間であり得る。また、それら結果の程度はクライアント300とウイルス検 出サーバ400との間の所望の資源配分にしたがって構成できる。初期ウイルス検 出オブジェクトの場合と同様に、追加のウイルス検出オブジェクトをクライアン ト300に送って、ステップ235に示すとおり、そのオブジェクトが実行されその結 果がサーバ400に送られるようにする。ウイルス検出オブジェクトの生成は、ス テップ245で追加の走査の要否についての判定が行われるまで継続する。判定245 をその前の結果に基づきサーバ400で行うのが好ましいが、クライアント300には その判定が可能でありクライアントへの結果にその判定を含めることが可能であ ると考えられる。ステップ245において追加の走査が必要と判断されると、この 方法はステップ230に戻り、そのステップで追加のウイルス検出オブジェクトが 生成される。 ウイルスがクライアント300と関連しているが否かの判定を反復的に進めるこ とによって、サーバ400からクライアント300への情報をクライアント300におけ るウイルス検出に必要な情報だけに限るように適合させる。より詳細にいうと、 その情報を、クライアント提示条件(例えばプラットフォームまたはファイルの 種類)に基づきクライアントに常駐中とみられるウイルスの種類に限ることがで き、またクライアントからのウイルス検出要求の種類に限ることができる。それ によって、ウイルス検出に必要な情報の総量を削減し、またサーバ400からクラ イアント300へ伝送すべき情報の量を削減する。また、クライアント300は最新の ウイルス検出情報にアクセスできる。すなわち、サーバ400の用いる情報はクラ イアント3 00の動作を要することなく保守できるからである。また、クライアント300はウ イルス検出用比較データ更新版全体をダウンロードする必要はない。さらに、ク ライアント側の計算オーバーヘッドは、ウイルス検出オブジェクトおよびそのオ ブジェクトの実行可能部分をクライアント300の提示する条件に合わせて生成で きるので、最小化される。 ウイルス検出オブジェクトの反復生成、伝送および実行の結果、ステップ250 でウイルスがクライアント300と関連なしと判定された場合は、クライアント300 またはそれ以外の関連機器がサーバ400からステップ265でその旨を通知される。 しかし、ウイルスが検出された場合は、ステップ255でサーバ400が検出ずみのウ イルスの種類の処置に適合したワクチンを生成してそのワクチンをクライアント 300に送る。最後にステップ260でクライアント300がそのワクチンを実行する。 ウイルス検出オブジェクトの実行の結果にしたがってワクチンを適合生成するこ とによって、伝送情報量およびクライアント300で消費される計算用資源を更新 ずみプロトコルの実働化を進めながら最小化する。このワクチンを反復ウイルス 検出オブジェクト実行の結果に基づきウイルス検出サーバ400の生成した少なく とも一つのウイルス処置オブジェクトで構成するのが好ましい。また、ウイルス 検出オブジェクトの場合と同様に、複数のウイルス処置オブジェクトをクライア ント300の反復処理のために生成することもできる。より詳細にいうと、第1の ウイルス処置オブジェクトを、ウイルス処置のためのシステム情報またはユーザ による入力情報など追加の情報を確認するために実行するようにクライアント30 0に送ることができる。次に、第1のウイルス処置オブジェクトの実行の結果に 基づいて第2のウイルス処置オブジェクトを生成し、クライアント300に伝送し て実行に備える。 図3のブロック図を参照すると、この発明によって用いたクライアント300の 実施例が示してある。クライアント300は中央処理装置(CPU)312、メモリ314、 ハードディスクなどのデータ蓄積装置316、キーボード318、モニタ320、マウス3 22、ネットワークインタフェース324および通信装置326を含む。CPU312は、シス テムバス310経由で慣用のアーキテクチャにより、メモリ314、データ蓄積装置31 6、キーボード318、モニタ320、マウス322、ネットワークインタフェース324お よび通信装置326に接続してある。CPU312はカリフォルニア州サンタクララ所在 のIntel社が市販しているペンティアムなどのマイクロプロセッサで構成するの が好まし い。モニタ320、キーボード318およびマウス322は慣用のもので構成され、周知 のとおりデータ授受を行う。通信装置326はクライアント300とそれ以外のコンピ ュータとの間の通信を可能にするように構成してある。この通信装置326は慣用 の電話回線などの回線10に接続した慣用のモデムで構成するのが好ましい。ネッ トワークインタフェース324もクライアント300とそれ以外のコンピュータとの間 の通信を可能にするように構成した慣用の装置である。このネットワークインタ フェース324は、同軸ケーブル、より線対、光ファイバなどのネットワーク伝送 媒体に接続した送受信装置を含む慣用のネットワークアダプタカードで構成する のが好ましい。図1に示すとおり、クライアント300とウイルス検出サーバ400と の間の通信はネットワークインタフェース324により、または代替的に通信装置3 26により容易に行うことができる。 CPU312はメモリ314から供給される命令に応答して通常の形で所望の機能を発 揮する。入力はマウス322およびキーボードからも供給でき、出力はモニタ320に 供給され、コンピュータとそれ以外の装置との間の通信は通信装置326やネット ワークインタフェース324経由で通常の形で行われる。 メモリ314はオペレーティングシステム328、ブラウザ330およびウイルス検出 シェル332を含む形で示してある。オペレーティングシステム328はワシントン州 レッドモンド所在のMicrosoft社から市販されているWindows95またはWindowsNT などパーソナルコンピュータ用の慣用のものが好ましい。メモリ314はこのオペ レーティングシステム328を用いて機能するように構成された文書作成プログラ ムや表計算プログラムなどのアプリケーションプログラムを含み得る。ブラウザ 330は他のコンピュータにアクセスして交信するソフトウェアプログラムにする のが好ましい。好適な実施例では、ブラウザ330はMicrosoft社製のインターネッ トエクスプローラである。クライアント300はウイルス検出サーバ400の生成する ウイルス検出オブジェクトの形で供給されるプログラムを実行できるエンジンを 含み得る。なお、クライアント300にはエンジンを他の方法でも形成できるが、 この発明ではエンジンをブラウザ330と連携して構成し、したがってブラウザ330 はウイルス検出オブジェクトの形のプログラムの実行に備えて「イネーブルされ た」状態にあると考えられる。この好適な実施例ではMicrosoft社製のプログラ ミングツールActiveXをウイルスの反復検出用のウイルス検出オブジェクトの生 成に用いている。 このActiveXツールはActiveX用語で「controls」と呼ばれるオブジェクト、すな わちサーバに常駐できクライアントからアクセスできる実行可能なコードを含む オブジェクトの生成の手段である。このcontrolsはクライアントにも転送され、 クライアントがそのための手段を備えている場合は、そのクライアントで実行さ れる。好ましい実施例では、ブラウザ330はActiveXでイネーブルされ、ウイルス 検出オブジェクトはActiveXcontrolsである。ブラウザ330には、ウイルス検出オ ブジェクトの実行可能部分の生成用に種々の代替手段を利用できる。例えば、ブ ラウザ330はNetscape社製のネットスケープナビゲータで構成することもできる 。また、ウイルス検出(および処置)オブジェクトは例えばJavaアプレットなど のアプレットで構成できる。JavaプログラミングツールはSun Microsystem社か ら市販されている。 CPU312は、メモリ314からの命令のもとに、ウイルス検出および処置オブジェ クトを受け、それらオブジェクトを実行し、結果をクライアント300向けのウイ ルス検出サーバ400に伝送する。ウイルスの検出および除去を特定のアプリケー ションを要することなく行うのが好ましい。クライアント300が、通信装置326経 由などによりウイルス検出サーバ400に要求を発したり、ブラウザとの連携によ り供給された命令によりウイルス検出サーバ400に要求を発したり交信したり、 イネーブルずみブラウザ330経由などによりウイルス検出サーバ400の生成したオ ブジェクトを実行したりするためにウイルス検出サーバ400にアクセスできる場 合は、ウイルス検出サーバ400を用いてクライアント300でウイルスを検出し処置 できる。 イネーブルずみブラウザ330(またはウイルス検出オブジェクトを実行する上 記以外の手段)を伴うウイルス検出サーバ400を用いてウイルスをクライアント3 00で検出し処置できるので、ウイルス検出および処置はウイルス検出シェル332 なしで行うことができる。 ウイルス検出シェル332の利用はオプションであるが、この発明により種々の 目的でそのシェル332をメモリ314に備えることもできる。第1に、ブラウザ330 でなくシェル332にウイルス検出オブジェクト実行用手段を備えることができる 。また、ウイルス検出シェル332から、ウイルス検出および処置と関連して用い る情報を供給できる。例えば、ウイルス検出シェル332には、オブジェクト生成 および実行の反復を要することなくウイルス検出サーバ400に供給可能な課金情 報や詳細なウイ ルス検出コンフィギュレーションセッティングを含めることができる。より詳細 に述べると、ウイルス検出シェル332はウイルス走査要求のためのイベントのト リガを定義するセッティングを含むことができ、また、ユーザ所望の走査の種類 を指定し狭めるのに役立つデータ蓄積装置、ディレクトリ、ファイル、ファイル の種類その他の情報を特定できる。 図4Aのブロック図を参照すると、この発明によるウイルス検出サーバ400の 実施例が示してある。このウイルス検出サーバ400はCPU412と、メモリ414と、ハ ードディスクなどのデータ蓄積装置416と、I/Oポート418と、ネットワークイン タフェース420とを含む。CPU412はIntel社製のペンティアムプロセッサなど慣用 のマイクロプロセッサである。メモリ414は慣用のRAMで構成するのが好ましいが 慣用のROMを含むこともできる。また、メモリ414はウイルス反復検出用ルーチン を含むように構成するのが好ましい。これらのコンフィギュレーションは図4B の反復ウイルス検出モジュール450aを参照してより詳しく述べる。データ蓄積装 置416、I/Oポート418およびネットワークインタフェース420は慣用のものであっ て、データの長期蓄積、サーバに対する入出力および他のコンピュータとの通信 をそれぞれ容易にする。CPU412、メモリ414、データ蓄積装置416、I/Oポート418 および同対応装置およびネットワークインタフェース420は慣用の手法でバス410 に接続する。CPU412は、メモリ414からの命令による制御のもとに、クライアン ト300など他の装置との通信を容易化するためのネットワークインタフェース420 および伝送回線430経由のデータ送受信のための信号を生成する。図1を参照し て述べたとおり、TCP/IPプロトコル組などの慣用のネットワーク通信プロトコル を上記通信に用いる。また、メモリ414から受ける命令によって、ウイルス検出 サーバ400はウイルス検出および処置オブジェクトの実行の結果の受信を容易に し、追加のオブジェクトの生成のためのそれら結果の利用を容易にする。 図4Bを参照すると、この発明による反復ウイルス検出モジュール(「IVDM」 )450aが走査モジュール454、ウイルスパターンモジュール456、ウイルスルール モジュール458、清浄化モジュール460、清浄化パターンモジュール462、アクセ ス管理モジュール464およびアクセスデータモジュール466を含んだ形で示してあ る。反復ウイルス検出モジュール450aおよびその中の上述のモジュールは、ウイ ルス検出要求を受けるルーチン、要求を確認するルーチン、ウイルス検出および 処置 オブジェクトを生成するルーチン、これらオブジェクトの実行の結果を受けるル ーチン、およびこれら結果を用いて追加のウイルス検出および処置オブジェクト を生成し最終的にウイルスを検出して処置するルーチンを含む。反復ウイルス検 出モジュール450aは通常はソフトウェアで実働化するが、ハードウェアまたはフ ァームウェアで実働化することもできる。 アクセス管理モジュール464はウイルス検出サーバ400の受けたウイルス走査要 求の有効性の判定のためのルーチンを含む。アクセスデータモジュール466はア クセス管理モジュール464と信号授受状態にあり、アクセス確認用情報を含む。 例えば、ユーザ識別コードおよび口座有効性インジケータなどのユーザ関係情報 はアクセスデータモジュール466に蓄積できる。したがって、ウイルス走査要求 があると、IVDM450aはアクセス管理モジュール464と連携して要求者を識別し、 アクセスデータモジュール466の中のデータを用いてそのユーザ識別コードのリ スト上の有無および口座の有効性を判定する。ユーザ識別および確認には、ユー ザが要求を始動して識別コードおよびパスワードの要求を受けウイルス検出およ び処置のためのウイルス検出サーバ400への要求者のアクセスを確認するなど種 々の代替策を実働化できる。また、アクセス管理モジュール464は新たなユーザ のための口座を開設するように、したがって必要情報を捕捉するよう構成されて いる。 有効な走査要求があったと判定されたあと、ウイルス検出オブジェクトを反復 生成してウイルス検出のためにクライアント300などの要求者に送信する。走査 モジュール454はウイルス検出に使える種々のルーチンを含む。それらルーチン を個別アクセスできる形で提供して、被選択走査ルーチンを含むようにウイルス 検出オブジェクトを適合生成するのが好ましい。例えば、特定のプラットフォー ムおよびオペレーティングシステムを用いたシステム、特定のファイルの種類、 および特定の位置に常駐し得るウイルスの検出のための個別のルーチンを走査モ ジュール454内に個別アクセスに備えて提供する。より詳細にいうと、このプラ ットフォームに通常常駐するウイルスの検出のためのルーチンを、他のプラット フォームに通常常駐するウイルスの検出のためのルーチンとは別個にアクセスで きるように提供する。同様に、「実行可能な」ファイル(ファイル拡張子.exeを 付けたものなど)に常駐するウイルスの検出のためのルーチン(WordBasicプロ グラム言語を実働化し、アプリケーションデータファイルに通常常駐し、拡張子 .docまた は.dotを付けたものなど)を、マクロウイルスの検出のためのルーチンとは別個 にアクセスできるように提供する。すなわち、ウイルスシグネチャ含有の有無の 判定のためにファイルを調べるウイルス検出ルーチンは、容疑命令の組合せなど ルールのセットを用いるウイルス検出ルーチンから分離してファイル中のウイル スの有無を判定できる。走査モジュール454には、電子メールメッセージ内のウ イルスの検出に用いるものなど上記以外の種類のウイルス検出ルーチンを提供で きる。 走査モジュール454で提供するルーチンは、クライアント300におけるウイルス の検出のためにウイルス検出サーバ400の用いる特定のプログラミングツールを 用いるように構成するのが好ましい。すなわち、これらルーチンをクライアント 300により実行できるものにするのである。あるいは、走査モジュール454で提供 したモジュールを第1の実行可能な種類からクライアント300のサポートする実 行可能な種類に変換する。 この好ましい実施例では走査モジュール454内に個別のアクセスに備えて種々 のルーチンを提供する。例えば、多様な種類のファイルの中のウイルスシグネチ ャの検出に対応するルーチンを提供する。各ルーチンに関する情報をコピーレン トな個別的アクセスを容易にするようにルーチンとの関連で供給する。例えば、 ウイルスシグネチャ検出ルーチンに対しては、プラットフォームおよびファイル 種類に対応する情報などの情報を書くルーチンと関連づけて供給する。すなわち 、IVDM450aは走査モジュール454と連携して必要時にアクセス用のルーチンを効 率的に判定できる。特定のルーチンを使うか否かの判断は通常はクライアント30 0の状態に左右される。それら状態は、図5を参照して後述する範囲およびリス ク評価対応の信号授受を通じて、ウイルス検出サーバ300で予め定めることがで き、また捕捉することができる。慣用の索引付けおよび分類手法を走査モジュー ル454提供の種々のウイルス走査ルーチンのタグ付けおよび個別アクセスの容易 化のために用いることができる。 走査モジュール454と同様に、ウイルスパターンモジュール456およびウイルス ルールモジュール458はウイルス検出に使えるウイルスシグネチャおよびウイル スルールをそれぞれ含む。走査モジュール454との関連で説明したルーチンの場 合と同様に、パターンとルールを個別アクセスを容易にするために提供する。す なわ ち、例えば、一つのファイルの種類に対応するウイルスパターンモジュール456 内ファイルシグネチャを第2のファイルの種類に対応するウイルスシグネチャか ら分離することができる。同様に、一つの検出基準に対応するウイルスルールモ ジュール458内ルールを、第2の検出基準適合のウイルスルールから分けること ができる。走査モジュール454内ルーチンの場合と同様に、慣用の索引付けおよ び分類手法をこれらパターンおよびルールへの個別のアクセスの提供のために用 いることができる。複数のシグネチャまたはルールが特定の索引フィールドに該 当することはもちろんである。例えば、いくつかのシグネチャが索引フィールド .exeに対応し、したがって、他の索引制約を条件としてそれら走査条件対応のウ イルスシグネチャに含まれる。 個別にアクセス可能で評価ずみ範囲とクライアント300提起のリスクとに従っ た適合生成の容易なルーチンおよびその対応のシグネチャを提供するほか、ウイ ルス走査段階を走査が反復して行われるように提供する。 例えば、好適な手法では、クライアント300のハードディスク316に常駐するフ ァイル全部など複数のファイルを初期走査してそれらファイルがウイルスシグネ チャの第1の部分(または複数のウイルスシグネチャ部分)を含むか否かを判定 する。この初期走査の結果は上記部分がもしあればそれら部分を含むファイルを 示す。次に、第1の走査の結果に基づき第2の走査を行う。より詳細にいうと、 上記第1の部分を含むファイルを走査してそれらファイルが第2のウイルス部分 をも含むか否かを判定する。これら第1および第2の部分を含むファイルはウイ ルスシグネチャ全体すなわちウイルスを含むものとみられる容疑ファイルである 。この手法では初期走査に比較データとして用いられるデータの量は、走査にウ イルスシグネチャの一部だけを用いるので、最少になる。また、走査すべきファ イルの数は徐々に狭められるので、走査に用いられる計算のための資源はとくに クライアント300において削減される。 ウイルスシグネチャの索引付けの例および好ましいシグネチャ走査手法を図4 C−図4Dを参照して次に述べる。図4Cを参照すると、例示用のデータテーブ ル475がプラットフォーム、ウイルスの種類およびウイルス識別子をコラムに表 示した形で示してある。この例示用のテーブル475において、各行は特定ウイル スに関する情報を含む。この情報は特定ウイルス対応の走査ルーチンが実働化さ れる か否かの判定に用いられる。種々の走査ルーチンが共通の特性を備えるウイルス 群に対応することはもちろんである。データテーブル475は種々のウイルス情報 への索引付けの例を示す。どの走査ルーチンおよび処置ルーチンを用いるべきか の判断について種々の付加的または代替的基準を提供できる。 例示用データテーブル475に与えられている情報などの情報をメモリ414に提供 して、ウイルス走査ルーチンおよび処置ルーチンの選択の際、より詳しくはウイ ルス検出および処理オブジェクト生成の際に、IVDM450aがアクセスできるように するのが好ましい。範囲およびリスク評価段階、ユーザ入力または所定のセッテ ィングによる反復オブジェクト判定を行うものとし、あるプラットフォームIに 対応するファイル種類ウイルスのみを対象とし、その対象ファイルをウイルスA 、CおよびEなどのウイルスだけについて走査するものと仮定する。走査ルーチ ンは走査モジュール454に提供され、アクセス用に索引付けしてある。また、ウ イルスシグネチャをウイルスパターンモジュール456に提供しアクセス用に索引 付けする。データテーブルのコラムに示した情報などの情報を用いて、ファイル 種類ウイルスおよびウイルスA、CおよびE対応のウイルスシグネチャにアクセ スする。これら三つの選ばれたウイルスに対応するシグネチャ全部を含むウイル ス検出オブジェクトをこの発明によって提供できるが、ウイルス検出のためにク ライアント300への送信を要する情報の量をさらに削減することを可能にする手 法も提供する。 図4を参照すると、もう一つのデータテーブル480はウイルス識別子を示すコ ラムと分離ウイルスコンポーネントストリングデータを概括的に示すコラムを含 む。図示のとおり、識別ずみのウイルスの各々についてのウイルスシグネチャは ウイルスの検出に使える複数の部分に分割される。一つの実施例では、それら部 分は1バイトストリングから成るが、このストリング長は変わり得る。例えば、 ウイルスAについてはストリングA1、A2およびA3が示してあり、ウイルスBにつ いてはストリングB1、B2およびB3が示してあり、ウイルスCについてはストリン グC1、C2およびC3が示してある。テーブル480は例示のためのものである。なお 、ウイルスの各々について多数の追加の部分またはストリングを提供できる。ま た、上記以外の多数のウイルスについてのデータも提供できる。 データテーブル480の中のデータなどウイルスシグネチャ部分データを用いて 反 復的で連続的なウイルス走査を行うことができる。この種の走査を実現する方法 は二つあり、次の説明ではそれらを第1の種類および第2の種類という。 第1の種類の検出では、対象ファイル全部を上記関連のストリング部分につい て反復走査し、対象ファイル中に常駐し得るウイルスの数を徐々に狭めることに よって検出を行う。ウイルス部分はシグネチャ内の隣接ストリングである必要は ない。潜在的にあり得るウイルスの数を十分に絞ったあと、それら存在し得るウ イルスの各々に対応するウイルスシグネチャ全体を所要ファイルの走査用に提供 する。 第2の種類の検出では、走査そのものは複数のウイルスシグネチャ部分を用い て行う。ウイルス部分はシグネチャの隣接ストリングとし、ウイルス検出オブジ ェクトを対象ファイル内におけるウイルスの有無およびその位置の検出に適合配 置する。 上記第1の種類の検出について述べると、初期ウイルス検出オブジェクトは初 期部分またはストリングA1、B1およびC1を含むか否かの判断のために対象ファイ ル全部を走査するためのルーチンを含む。このウイルス検出オブジェクトは分割 ずみの索引付きデータで生成され、クライアント300に伝送される。次のクラ イアントはこのウイルス検出オブジェクトを実行して結果を生ずる。この実行結 果は上記部分またはストリングが対象ファイルに含まれているか否かについての 表示と、含まれていた場合どのファイルがどのストリングを含むかの識別を含む 。対象ファイルが100個であって、ストリングC1を含んだ対象ファイルがなく、 それら対象ファイルのうちの5個がストリングA1またはB1(または両方)を含ん でいたとすると、ウイルス検出オブジェクトの実行の結果はそのとおりの状態を 示す。それら5個のファイルの識別記号がクライアントに残り、ウイルス検出サ ーバ400に伝送される結果がストリングA1およびB1の検出を示す(すなわちスト リングC1付きのファイルなし)のが好ましい。ウイルス検出サーバ400はこの結 果を用いて第2のウイルス検出オブジェクトを生成する。この例において、第2 のウイルス検出オブジェクトは、ウイルスCが考慮外となったので、ストリング A2およびB2のみを含む。次に、この第2のウイルス検出オブジェクトをクライア ントで実行する。より詳細に述べると、クライアントは上記5個の識別ずみのフ ァイルを走査してそれらファイルがA1とA2またはB1とB2の組合せを含むか否かを 判定する。 それ以前の実行(A1、B1などの検出)の結果を、第2のストリングだけについて 走査を行うように、または両方のストリングについて走査を行うように用いる。 すなわち、このウイルス検出オブジェクトの実行によって、ウイルスAおよびB を考慮対象外にすることができる。あるファイルがB1およびB2の両方を含みA1お よびA2両方を含むファイルがないことがわかった場合は、ウイルスBに対応する ウイルスシグネチャ全体が次のウイルス検出オブジェクトに提供され、対象ファ イルをクライアント300におけるウイルス常駐の有無の判定のために走査できる ようにする。なお、この手法の利用において、反復の回数、継続して存在しそう なウイルスの数および走査されるファイルの総数は変動し得る。しかし、限られ た量の比較データの利用により、ウイルスシグネチャ全体がクライアント300に 最終的に伝送される際にそれらシグネチャおよび伝送すべき対応のデータ量を実 効的に最少にできる。 第2の種類の検出においては、ストリングはウイルスの隣接部分を含み、した がって反復走査にはウイルス検出も可能である(ウイルスシグネチャ全体の伝送 に至る存在可能性あるウイルスの量を限定するだけでなく)。したがって、この 第2の種類の検出では、ストリングおよびストリング位置などファイル関係の追 加情報を供給する。より詳細に述べると、この第2の種類の検出では、初期ウイ ルス検出オブジェクトが5個の対象ファイルにおけるA1またはB1含有を示す場合 は、どのファイルがどのストリングを含むかの識別およびマーカを保持し、対象 ファイル中で隣接ストリングA2またはB2がストリングA1またはB1にそれぞれ後続 しているか否かについて判断できるようにする。このようにして、潜在するウイ ルスの数を最少にし努力の重複を回避する。すなわち、シグネチャ全体をウイル ス部分の伝送のあと伝送する必要がないからである。 ウイルス反復検出およびそれによるクライアントへの伝送データ量の最少化の 好ましい手法を述べたが上記以外の手法も提供できる。反復検出のためにモジュ ール化または再分割可能なウイルス検出手法のいくつかの例として、マクロ中の 未知ウイルスの検出および電子メール走査に用いる手法が挙げられる。これらの 例は図5のイベント図のウイルス走査段階を参照して後述する。 反復ウイルスのためのルーチン、パターンおよびルールを、走査モジュール45 4、ウイルスパターンモジュール456およびウイルスルールモジュール458におけ る 個別アクセスのためにそれぞれ提供する。図4Bをさらに参照すると、IVDM450a は、ウイルス走査モジュール454、ウイルスパターンモジュール456およびウイル スルールモジュール458と連携して、ウイルス検出オブジェクトの反復生成を、 それ以前のウイルス検出オブジェクトの実行の結果に基づいて行う。ウイルス走 査モジュール454の中のルーチンおよびそれぞれのモジュール458および456の中 のルールおよびパターンは互いに分離可能になるように提供されるので、IVDM45 0aは、例えばウイルス検出のために走査すべきクライアント300で提示された条 件の種類を特に対象とする限定量のデータを含むウイルス検出オブジェクトを生 成できる。例えば、未圧縮で特定ディレクトリに常駐する実行可能なファイルの みを走査の対象とすることをそれまでの反復(または別個に供給された入力)が 支持した場合は、IVDM450aは実行可能なファイルの中のウイルスの検出に用いる ウイルス走査モジュール454中のルーチンにアクセスし、ウイルスパターンモジ ュール456中の実行可能なファイルに存在し得るウイルスシグネチャにアクセス し、その情報を用いてウイルス検出オブジェクトを生成する。走査モジュール45 4からの適切なウイルス検出ルーチンおよびウイルスパターンモジュール456やウ イルスルールモジュール458からの情報を用いてウイルス検出オブジェクトを生 成する。上述のとおり、このオブジェクトはActiveXcontrolsまたはJava applet sで提供されるプログラム言語などの慣用の言語を通常実働化する。 各ウイルス検出オブジェクトは、いったん生成されると、ウイルス検出サーバ 400からクライアント300へ慣用のネットワーク伝送プロトコルを用いて伝送でき る。クライアント300はそのウイルス検出オブジェクトを実行して、その実行の 結果をウイルス検出サーバ400に伝送する。IVDM450aはウイルス走査モジュール4 54と協働してウイルス検出オブジェクトの実行結果を用い、追加のウイルス検出 オブジェクトが要るか否か、それが要らない場合ウイルスが検出されたか否かを 判定する。好ましい動作方法においては、ウイルス検出オブジェクトの反復生成 を、範囲評価段階、リスク評価段階およびウイルス走査段階など個別の段階に分 割する。上記範囲評価段階ではウイルス走査の範囲の判定を行う。リスク評価段 階では、要求位置提示の条件に関する判定結果を用いてウイルス走査段階でオブ ジェクトを生成する。 IVDM450aが走査モジュール454と協働して、また必要に応じてウイルスパター ン モジュール456およびウイルスルールモジュール458とも協働して、ウイルス有り と判定した場合は、所望の処置の種類、条件、検出ずみのウイルスの種類に従っ てワクチンを適合生成する。走査ルーチンおよび検出情報の場合と同様に、清浄 化モジュール460の中のルーチンおよび清浄化パターンモジュール462の中のパタ ーンほかのデータを個別アクセスのために提供して、処置に必要なそれらルーチ ンおよびデータに個別にアクセスできるようにする。このアクセスは慣用の索引 付け分類手法によって提供する。ウイルス処置オブジェクトはIVDM450aが清浄化 モジュール460と連携して生成する。また、ウイルス検出オブジェクトの場合と 同様に、この処置オブジェクトは以前のオブジェクトの結果を用いて反復的に生 成できる。 清浄化モジュール460によって多様な治療ルーチンを提供する。クライアント3 00で提示された条件および検出ずみのウイルスの種類に応じて、それら治療ルー チンは、ファイルを削除する、ファイルの感染部分を除去する、または感染部分 を良性の部分と差し替えるなどの動作を即座に行う。感染したファイルの修正の ためのこれらの動作に加えて、治療ルーチンは検出されたウイルスの影響を受け る可能性のある関係者に警告を送ったり、そのウイルスに特有の諸表示を提供し たりすることができる。例えば、ネットワーク内のクライアント300にダウンロ ードされたJava appletの特定の種類にウイルスが検出された場合は、ネットワ ーク管理者に通知を送って、同様のエンティティがネットワークに入らないよう にすることができる。 次に図5を参照すると、ウイルス検出サーバ400を用いた反復ウイルス検出の 方法が初期化段階、範囲評価段階、リスク再評価段階、ウイルス走査段階および 治療段階を含む形で示してある。 初期化段階はウイルス走査の要求505によって促される。この要求は慣用のネ ットワーク通信プロトコルを用いてウイルス検出サーバ400にアクセスするクラ イアント300が直接に始動する。要求505を促すトリガ作用のイベント502は通常 はクライアント300のユーザにより始動されるが、ユーザ要求または始動以外の トリガ作用のイベントで始動することもできる。これによって、ユーザからの入 力を要することなく通常のウイルス走査が可能になる。また、LAN所属の複数の コンピュータなどユーザが管理しようとする一群のコンピュータを、ユーザ始動 によること なく、しかもネットワーク資源最少量の使用で通常のウイルス走査にかけること ができる。さらに、ウイルス検出サーバ400はスタンドアローンクライアント300 またはLAN所属コンピュータとは分けて保守できるので、クライアント300のユー ザまたはLAN管理者側でウイルス検出データ保守を行う必要はほとんどない。非 ユーザ始動走査要求を供給するのにエージェントプログラムを用いるのが望まし い。 トリガ作用のイベントの好例は最新のウイルス走査以降の所定時間長の経過で ある。それ以外のトリガ作用のあるイベントとしてはウイルスの拡がりを助長す る可能性のあるイベントなどがある。これらトリガ作用のあるイベントとしては 、インターネットアクセス試行、電子メールの送受信、またはインターネット経 由のファイルのダウンロードなどがある。また最新のウイルス走査以来の所定時 間長の経過後の初めてのインターネットアクセス試行などの複数のイベントの組 合せもトリガ作用のイベントになり得る。なお、上述のイベントのほかにも多様 のトリガ作用のイベントを提供できる。 上述のエージェントプログラムは、トリガ作用のイベントの生起を検出または 判定すると、ウイルス走査要求をウイルス検出サーバ400に送る。次に、ウイル ス検出サーバ400からの応答(確認後)をクライアント300に「プッシュ」する。 エージェントプログラムには慣用のプログラミング手法を用い、トリガ作用のイ ベントの生起の判定のための関連情報の収集には慣用の手法を用いる。 クライアント300が図1のクライアント300などのようなLAN部分のものでない 場合は、そのエージェントプログラムはクライアント300aに常駐するのが好まし い。ライアント300が図1のクライアント300bのようにLANチャネル経由でウイル ス検出サーバ400と交信する場合は、エージェントプログラムはクライアント300 bに常駐でき、好ましくはトリガ作用のイベント対応の判断に関連あるネットワ ークトラフィックを監視し得るLANサーバ350(ゲートウェイサーバ、非ゲートウ ェイサーバ、または代理サーバなど)に常駐できる。エージェントプログラムを 、アクセス管理モジュール464中のルーチンを用いて生ずるのが好ましい。エー ジェントプログラムを慣用のネットワーク伝送プロトコル利用により被選択位置 (例えばクライアント300a、クライアント300b、LANサーバ350、代理サーバなど )に伝送して、クライアント300のメモリ314、またはその被選択位置の適切な蓄 積位置に蓄積できる。このエージェントプログラムには慣用のプログラミング言 語を使 える。 ウイルス走査要求(505)はウイルス検出サーバ400により検出され(510)、 その要求が有効であるか否かが判定される(520)。アクセス有効性の判定のた めのルーチンおよびルールはアクセス管理モジュール464およびアクセスルール モジュール458からそれぞれ供給され、IVDM450bに関連して説明する。簡単に述 べると、アクセス管理モジュール464は要求を識別して、ルールモジュール458中 のルールにアクセスし、要求が有効か否かの判定をアクセスルールへの参照によ り行う。現行の口座を通常審査するが、モジュール464は新たな口座の創設を受 理して手配するように配置する。 有効なウイルス走査要求がなされたと判定すると、範囲評価段階が始動する。 範囲評価段階では、ウイルス検出サーバ400が走査対象点を通常判定する。範囲 評価段階では、走査すべき媒体、走査すべき場所(例えばディレクトリ)月また は走査すべきファイル群など種々の情報を判定できる。ウイルス走査範囲の確認 のためのウイルス検出オブジェクトをウイルス検出サーバ400で生成し(525)、 慣用のネットワーク通信プロトコルを用いてクライアント300に伝送する(530) 。このウイルス検出オブジェクトがクライアント300において走査関係情報の捕 捉のためにユーザによる入力を促すのが好ましい。一つ以上の所定のウイルス検 出オブジェクトに索引付けしてメモリ414に蓄積し、IVDM450bによるアクセスに 備えるのが好ましい。ウイルス検出オブジェクトの一例は、装置、メモリ、ディ レクトリおよび走査を要するファイルなどの情報を得る。 上記クライアントは関連情報を集めるためにウイルス検出オブジェクトを実行 する(535)。ウイルス検出オブジェクトの指示した要求に応じてユーザ入力が 必要であることはもちろんである。クライアント300はウイルス検出サーバ400に 受信されるように上記結果を伝送する。ウイルス検出オブジェクトが上記結果を ウイルス検出サーバ400に送り、オブジェクトおよび結果と引き替えにユーザか らの継続入力への必要性を解消するようにするのが好ましい(540)。代替的に は、ユーザがマウス322のボタンのクリックまたはキーボード318入力操作などに よる単純な入力を行って伝送(540)を行うようにするのが好ましい。 範囲評価段階には多様な改変が可能である。この段階に対応するウイルス検出 オブジェクトの生成は必ず要るわけではない。例えば、IVDM450bは要求者識別対 応のアクセスデータモジュール466またはそれ以外の場所でウイルス検出情報を 保持できる。また、特定の種類の要求に対応する口座情報をアクセスデータモジ ュール466内に供給できる。口座情報はLAN上のコンピュータ全部に対応でき、そ れらコンピュータに関する所要背景情報を提供して反復範囲評価なしに走査でき るようにする。代わりに、特にクライアント300がウイルス検出シェルを含む場 合は、情報をウイルス走査要求とともに供給する。最後に、ウイルス検出サーバ 400はデフォルトセッティング(例えばクライアント300のハードディスク装置全 体を走査するなど)に依存して、これらデフォルトセッティングの利用により照 会なしでウイルス走査を進めることができる。 所要情報を集めたのち、リスク評価段階を開始する。リスク評価段階において は、判定した走査範囲を分析してファイルまたはデータのウイルス含有の有無お よび含有の場所を判定する。ウイルス検出オブジェクトを生成しクライアント30 0に伝送して、走査の要否および所要走査の種類の特定を行う。範囲評価段階対 応のウイルス検出オブジェクトが供給された場合は、クライアント300における 実行の結果は次のウイルス検出オブジェクトの生成に用いることができる。リス ク評価段階では種々の情報を確認する。特定の対象、例えば特定の蓄積媒体また はディレクトリなどの特定の対象が指定されている場合は、ウイルス検出オブジ ェクトを生成して(545)、それら特定の対象に必要な走査の要否およびその種 類を判定する。例えば、ウイルス検出オブジェクトの生成(545)を、特定のデ ィレクトリに常駐するファイルの種類(例えば実行可能なファイルが常駐ファイ ルであるか否か)の判定のため、または蓄積媒体の種類またはディレクトリ(例 えばクライアントまたはディレクトリが電子メールシステムの中のポスタルノー ドに対応するか否か)の判定のために行い、それら特定の対象に伴うリスクを評 価して後続のウイルス走査がそのリスクに適合できるようにする。他のウイルス 検出オブジェクトの場合と同様に、このオブジェクトは判定を行うタスクに特有 の実行可能なプログラム(それ以外のデータもあり得る)を含む。 より詳細に述べると、例えばディレクトリが初期に範囲評価による走査ドメイ ンとして特定されている場合は、その特定ディレクトリ中の各ファイルのファイ ルヘダーにアクセスし、そのファイルヘダーを所定データに比較してウイルス含 有の可能性ある種類のファイルであるか否かを判定し、容疑ウイルスとみられる ファイルの識別情報を保持するプログラムをウイルス検出オブジェクトに提供で きる。リスク評価段階に対応するウイルス検出オブジェクトに対する種々の代替 物が当業者には自明であろう。 ウイルス検出オブジェクトをクライアント300によって伝送して(550)実行し (555)、その実行に対応する結果をウイルス検出サーバ400に伝送(560)でき るようにするのが好ましい。範囲評価段階に対応するウイルス検出オブジェクト の場合と同様に、クライアント300に当初伝送された(550)ウイルス検出オブジ ェクトはウイルス検出サーバ400への結果の伝送(560)に必要な手段を含み得る 。リスク管理段階では伝送(560)をユーザ入力不要の自動式にするのが好まし い。クライアント300とウイルス検出サーバ400との間の伝送(550,560)も慣用 のネットワークプロトコルを実働化する。 単一のウイルス検出オブジェクトがリスク評価段階に対応するものとして図示 してあるが、複数のオブジェクトをこの段階で反復生成することもできる。また 、範囲評価段階の場合と同様に、デフォルトセッティング、所定セッティングま たはウイルス検出サーバへの直接入力もリスク評価段階に利用して、範囲評価段 階およびリスク評価段階の両方のためのウイルス検出オブジェクトを不要にする こともできる。その場合は、ウイルス検出オブジェクトの反復生成はウイルス走 査段階だけに対応する。 リスク評価段階を完結すると、ウイルス走査段階が開始される。ウイルス検出 サーバ400は前回の実行の結果に基づきウイルス検出用の走査のためにウイルス 検出オブジェクトを反復生成する。すなわち、これらウイルス検出オブジェクト はクライアント300に提示された所望の走査および条件に従って特定して生成す ることができる。これによって、走査実行のためにクライアント300にウイルス データを網羅的に伝送する必要なしに実効的ウイルス走査が可能になる。IVDM45 0a、特に走査モジュール454、ウイルスパターンモジュール456およびウイルスル ールモジュール458を参照して述べたとおり、ウイルス検出用のルーチン、パタ ーンおよびルールは、個別アクセスを可能にしウイルス走査段階対応の特定のウ イルス検出オブジェクトの生成に使えるように提供される。ここに生成されたウ イルス検出オブジェクトは前回のウイルス検出オブジェクト反復による情報の指 示に従って実行可能なプログラムを含み、さもなければクライアント300で提示 された条件 に適合生成される。 走査段階におけるウイルス検出オブジェクトによって種々の走査ルーチンを実 働化する。例えば、実行可能なファイルのシグネチャ走査が求められている場合 は、ウイルス検出オブジェクトは、対象の実行可能なファイルの各々にアクセス し、対象ファイル内で検出見込みのウイルスシグネチャ群の一つのウイルスシグ ネチャに対応するストリングを各対象ファイルが含んでいるか否かを判定し、ウ イルスシグネチャ含有の判明した対象ファイルに関する情報を保持するプログラ ムを含む。状態エンジンなどのシグネチャ走査手法を対象ファイルのウイルスシ グネチャ含有の有無の判定に使える。 ウイルス検出サーバ400からクライアント300に伝送すべきデータの量を最少化 する一つの方法は、先行段階で集められた評価ずみの範囲およびリスクに関する 情報に基づき予想されるウイルスシグネチャだけを伝送する方法である。例えば 、範囲およびリスク評価が特定クライアントのデータ蓄積装置の特定ディレクト リの.exeファイルのみの走査を指示した場合は、その種の走査を行うようにウイ ルス検出走査を適合実施する。より詳細に述べると、上記位置のファイルのシグ ネチャ走査の実施のための.exeファイルおよびルーチンに常駐し得るウイルスシ グネチャをウイルス検出オブジェクトの中に提供し、そのオブジェクトをクライ アント300で実行し、その結果をウイルス検出においてウイルス検出サーバ400に 伝送する。 ウイルス走査段階に対応する形で一つのウイルス検出オブジェクトを示してあ るが、複数のオブジェクトを反復生成できることを理解されたい。したがって、 ウイルス検出オブジェクトの反復生成は、範囲およびリスク評価に基づき適合生 成できるほか、サーバ・クライアント間の所要伝送情報量の最少化および使用コ ンピュータ資源の最少化を達成するよう互いに独立に適合生成できる。 効率的な反復分析のために多様な種類の走査を実働化する。シグネチャデータ の包括的ダウンロードを要することなく網羅的シグネチャ走査を可能にする好適 な手法を図4Dに示す。反復ウイルス検出には上記以外の走査手法も提供できる 。例えば、マクロがウイルスを含むか否かの判定を行う手法をモジュール化し、 または各個別のウイルス検出オブジェクトにより実現可能な複数機能に分割する ことができる。すなわち、マクロ中の既知および未知のウイルスの検出において 、 容疑命令の組合せをファイル中のウイルス含有の有無の判定に用いることができ る。より詳しく述べると、第1の容疑命令および第2の容疑命令の両方を含むマ クロが未知の(または既知の)マクロを含むと判定できる。すなわち、この発明 によると、複数のウイルス検出オブジェクトを供給して、いくつかの対象ファイ ルにおける第1の容疑命令の有無の判定およびその第1の容疑命令含有ファイル の特定をまず行い、次に、その第1の容疑命令含有の対象ファイルが第2の容疑 命令をも含んでいるか否かを判定してウイルスを検出する。第1のウイルス検出 オブジェクトを生成するために、IVDM450aは走査モジュール454およびウイルス ルールモジュール458と協動して、第1の容疑命令の検出に必要なルーチンおよ びデータを得る。第1のウイルス検出オブジェクトの伝送をクライアント300に よる実行によりウイルス検出サーバ400からクライアント300に向けて行ったあと 、第1の容疑命令を含むファイルの識別がサーバ400からの上記結果の中で可能 である。代わりに、ファイル識別子をクライアント300に留めて、上記結果に識 別ずみの容疑命令を表示させることもできる。いずれの場合も、ウイルス検出サ ーバ400は上記結果を用いて第2の容疑命令の有無の判定のための追加のウイル ス検出オブジェクトを生成できる。 また、電子メールメッセージの中のウイルスの検出のための手法をウイルス走 査段階の中での反復ウイルス検出に備えてモジュール化または分割できる。初期 ウイルス検出オブジェクトによって、クライアント300(またはクライアント300 の用いるポスタルノード)における未読出しメッセージの有無を判定する。判定 の結果が未読出しメッセージ有りを示す場合は、追加のウイルス検出オブジェク トが、その未読出しメッセージにおける付加の含有の有無を判定し、それら付加 をデコードし、デコードした付加を走査して未読出しメッセージにおけるウイル ス含有の有無の判定を行うことができる。未読出しメッセージの有無の判定機能 、付加含有の有無の判定機能、付加デコード機能およびデコードずみ付加の走査 機能の各々について一つのウイルス検出オブジェクトを生成できるが、代わりに 、ウイルス検出オブジェクトの各々に上記機能の一つ以上を担当させることもで きる。 図5を引き続き参照すると、ウイルス検出オブジェクトはいったん生成される と(565)、実行(575)のためにクライアント300に伝送される。実行の結果は 、 分析(585)できるようにウイルス検出サーバ400に伝送される(580)。リスク 評価段階の場合と同様に、クライアント300に当初伝送された(570)ウイルス検 出オブジェクトは上記結果のウイルス検出サーバ400への伝送(580)をクライア ント300におけるユーザ入力ほかを要することなく生じさせる部分を含むのが望 ましい。分析(585)は追加のウイルス検出オブジェクトが走査に必要かどうか の初期判定を含み、不要の場合はウイルス検出の有無の判定を含む。 ウイルス走査段階の結果クライアント300においてウイルスが検出されたと判 定(590)された場合は、治療段階が始まる。ワクチン処置オブジェクトの形の ワクチンが所望の処置の種類、クライアント300に提示された条件、検出された ウイルスの種類にしたがって適合生成される。IVDM清浄化モジュール(460)お よび清浄化パターンモジュール(462)について説明したとおり、適合生成ウイ ルス処理オブジェクトの生成のために個別にアクセスできる種々の治療ルーチン を供給する。また、ファイルを削除する、ファイルの感染部分を除去する、感染 部分を良性部分と置換するなどの種々の治療動作を行う。ウイルス治療オブジェ クトは生成される(605)とクライアント300に伝送されウイルスの適切な処置の ために実行される(615)ようにする。処置の結果を分析(625)できるようにウ イルス検出サーバ400に伝送する(620)オプションもある。ウイルス検出オブジ ェクトの場合と同様に、慣用のネットワーク伝送プロトコルを用いてウイルス検 出サーバ400との間のウイルス送受信を行い、図には反復1回だけを示してある が複数のウイルス処理オブジェクトを適切な治療の実施のために実働化できる。 図6Aのブロック図を参照すると、反復ウイルス検出モジュール450bのもう一 つの実施例が示してある。反復ウイルス検出モジュール450bは、図4Bの反復ウ イルス検出モジュール450aに含まれるモジュールと同様の走査モジュール654、 ウイルスパターンモジュール656、ウイルスルールモジュール658、清浄化モジュ ール660、清浄化パターンモジュール662、アクセス管理モジュール664およびア クセスデータモジュール666を含む。しかし、反復ウイルス検出モジュール450b はこれらモジュールのほかにウイルス情報エキスパートシステム625を含む。ウ イルス情報エキスパートシステム625は走査モジュール654、ウイルスルールモジ ュール658、ウイルスパターンモジュール656、清浄化モジュール660、清浄化パ ターンモジュール662、アクセス管理モジュール664およびアクセスデータモジュ ール666と信 号授受する。 ウイルス情報エキスパートシステム625は情報および供給された条件データを 集め、その条件データを所定の知識またはルールに適用し、集めた情報を知識に 基づき適用して、ウイルス走査、走査対象の提示する範囲およびリスク、ウイル ス検出ルーチンの選択およびウイルス検出の場合の処置ルーチン選択の妥当性に ついての判定を行う。 図6Bを参照すると、ウイルス情報エキスパートシステム625は推論エンジ ン630、ウイルス知識モジュール632、ユーザインタフェース634および条件デー タモジュール636を含む。推論エンジン630は前向きチェーニング型、すなわち好 ましくは条件および対応動作型の一連のルールを通じた連鎖に基づき結果を判定 する前向きチューニング型のものが好ましい。当業者には、後向きチェーニング 型やファジー論理利用型など種々の代替の推論エンジンも実働化可能であること が認識されよう。ユーザインタフェース634は慣用のもので、知識またはそれ以 外の種類の更新データの供給のためのエキスパートシステム625とのインタフェ ースを可能にする。ウイルス知識モジュール632はIVDM450bの諸動作に関連して 用いられる情報およびルールを含む。推論エンジン630は条件データモジュール6 36からの条件データにアクセスし、その条件データを、IVDM450bの動作に用いら れるウイルス走査判定を行うためにウイルス知識モジュール632提供のルールに 適用する。特定の判定には、走査が適切であるか否かの判定、走査要求に関する 条件の評価および実働化すべき走査および清浄化ルーチンの種類の判定などがあ る。 条件データは走査要求に関する事実の情報、クライアント300またはそれ以外 の走査要求関連エンティティに関する所定の条件、およびオプションとして走査 動作中に見出された情報を含む。また、IVDM450bの行うウイルス走査全部に関す るグローバル情報も条件データモジュール636に提供でき、ウイルス走査判定に 使用できる。特定の口座または要求者に関する情報をクライアント300のユーザ やネットワーク管理者などの関係者とのネットワーク通信で提供できる。さらに 、情報をエージェントプログラムで集めて、ユーザ入力を要することなく条件デ ータモジュール636に供給できる。 好ましい実施例では、ウイルス知識モジュール632の中の条件および動作ベー スのルールを「・・・の場合は・・・」の形式で提供し知識更新の容易化のために分類 す る。好ましいルールは、走査間隔、条件診断および治療に関するものなどがある 。走査間隔ルールは走査を行うべきか否かの判断に用いられ、診断ルールはウイ ルスの有無および現条件に応じた適切な走査ルーチンの判定に用いられ、治療ル ールはウイルスの検出(または検出なし)への適切な応答の判定に用いられる。 走査間隔ルールは時間および状況条件、および対応の動作を含むのが好ましい 。例示用の走査間隔ルールをこの発明により判定応答可能な種々の条件を示すよ うに表すと次のとおりとなる。すなわち「タイミング間隔aで走査が着手されな い場合はウイルス検出用の走査を行う」、「対象クライアントがインターネット アクセスをn回試みた場合はタイミング間隔を2で割る」、「対象クライアント がインターネットアクセスをo回試みた場合はウイルス検出用の走査を行う」、 「クライアントが付加付き電子メールメッセージp個を受信した場合はウイルス 検出用の走査を行う」、「クライアントがインターネットからダウンロードした 場合はウイルス検出用の走査を行う」、「クライアントと交信中のエンティティ でウイルスが検出された場合はウイルス検出用の走査を行う」、「クライアント がLAN内だけで間隔b以内に交信した場合はタイミング間隔に2を掛ける」、「 前のウイルス走査がc以内である場合はウイルス検出用の走査は行わない」、「 時点d以来走査が試みられていない場合はウイルス検出用の走査を行う」。 これら例示ルールは一定間隔ウイルス走査に備えてあり、種々の条件によって どの方向にも間隔を調節できる。また、走査がある間隔に収まるように、しかも 不必要に反復的な走査を行わないように、間隔の下限および上限(c,d)を提 供する。当業者にはウイルス走査を行うべきか否かの判定に適用可能な種々の条 件および動作が認識されよう。 条件データモジュール636は推論エンジン630が知識モジュール632内のルール に適用する情報を提供する。好ましい実施例では、それら条件を当初は条件デー タモジュール636に提供し、クライアント、クライアントエージェント、または ウイルス検出サーバ400への情報供給に責任あるそれら以外のエンティティから の通信によって更新する。それら条件を周期的にルールに適用し、適切な条件の もとでウイルス走査「要求」をウイルス情報エキスパートシステム625で生成す る。IVDM450aの実施例の場合と同様に、この要求はアクセス管理モジュール664 およびアクセスデータモジュール666を用いて受信でき確認できる。条件データ の保守およ び要求の受信および確認には種々の代替策を提供できる。より詳しく述べると、 条件データはIVDM450b以外の資源に保持しその資源から供給できる。例えば、ク ライアント300、エージェントプログラムまたはネットワーク管理者は適切な情 報を集めてその情報をウイルス検出サーバ400に伝送できる。さらに、ネットワ ーク関連の情報を、ウイルス走査要求、および走査要求中のクライアント300ほ かのエンティティの判定のためのエキスパートシステム625の形式で提供できる 。 ウイルス知識モジュール632に提供される診断ルールを、図5のイベント図を 参照して説明した範囲およびリスク評価段階で提供されるものと類似の判定を行 うのに用いる。診断ルールを条件データに適用して、クライアント、クライアン ト群またはウイルス要求対応の走査可能なエンティティにつき、走査を行うべき 箇所および行うべき走査の種類を判定する。走査間隔ルールの場合と同様に、推 論エンジン630は条件データモジュール636内の情報をウイルス知識モジュール63 2内のルールに適用する。その結果は、走査モジュール654内に提供される適切な ウイルス走査ルーチンを、適切なパターンおよびウイルス走査ルールを用いて指 示する。 診断ルールは状況条件および対応の動作を含むのが好ましい。次に示す例示の ための診断ルールはこの発明により判定でき応答できる種々の基本的条件を表す 。 「ウイルス走査要求で走査範囲が指示された場合はその要求どおりに走査する 」 「その要求が走査範囲を指示していない場合はクライアントが書込み可能な媒 体を備えるか否かを判定する」 「クライアントが書込み可能な媒体を備えない場合はウイルス走査を行わない 」 「関連走査がウイルスXを検出した場合はウイルスXにつきクライアントを走 査する」 「クライアントがハードディスクを備える場合はそのハードディスク特有の条 件に従って走査する」 「.exeファイルがある場合はファイルウイルスシグネチャ走査を行う」 「.comファイルがある場合はファイルウイルスシグネチャ走査を行う」 「アプリケーションデータファイルがある場合はマクロウイルスにつき走査を 行う」 「クライアントがポスタルノードである場合は未読出しメッセージ全部を付加 メッセージにつき走査する」 「クライアントが電子メールを受信した場合はそれの未符号化部分を走査する 」 「クライアントがJava applet実行エンジンを備える場合は敵対的Java applet につき走査を行う」 「クライアントが他の書込み可能な媒体を備える場合はその書込み可能な媒体 に特有の条件を判定してその媒体を走査する」 これら例示用のルールがクライアントで優勢な条件に基づき基本的走査範囲を 決定する。ウイルス走査要求を促した条件に走査を適合させることもできる。例 えば、走査を多量の電子メール受信でトリガする場合、特にハードディスクを最 近走査したばかりである場合は、ハードディスク全体でなく電子メールメッセー ジだけを走査する。 有効な走査要求およびウイルス情報エキスパートシステム625によりクライア ント300に提示された条件の評価の判定を終えると、識別された対象をウイルス について走査する。走査は、IVDM450bが走査モジュール654を用い、ウイルスパ ターンモジュール656およびウイルスルール658との交信のもとに図4BのIVDM45 0aの説明で述べた手法によって行う。例えば、ウイルス情報エキスパートシステ ム625がクライアント300提示の条件をウイルス知識モジュール632内のルールに 適用し、ハードティスク全体をファイル種類(例えば.exe,.com)ウイルスにつ いて走査する必要ありと判定した場合は、IVDM450bはクライアント300のハード ディスクが何らかのファイル種類ウイルスを含むか否かを反復的に判定するのに 用いるウイルス検出オブジェクトを生成する。ファイル種類ウイルスのクライア ント300における常駐の有無の判定に、図4Dを参照して説明したウイルスシグ ネチャ部分手法を用いるのが好ましい。反復検出および対応手法が好ましいが、 ウイルス情報エキスパートシステム625は任意の種類の走査を促すことができる 。例えば、ウイルス情報エキスパートシステム625は、包括的シグネチャ走査お よび対応の検出シグネチャを必要に応じてIVDM450bからクライアント300にダウ ンロードさせることができる。走査モジュール、ウイルスパターンモジュールお よびウイルスルールモジュールに提供される索引付けを、ダウンロードしたルー チンが所望の検出の種類に確実に対応するように用いることができる。 ウイルス走査の結果ウイルスが検出された場合は治療段階が始まり、清浄化モ ジュール660の提供するルーチンが、必要に応じて清浄化パターンモジュール662 とともに実働化されて、検出ずみの症状に治療を施す。ウイルス処理プロジェク トを生成して、IVDM450aにつき上に述べたように治療を施すのが好ましい。オプ ションとして、ウイルス情報エキスパートシステム625から、実働化すべき治療 ルーチンの種類に関する知識ベースの判定結果を供給する。例えば、ウイルス情 報エキスパートシステム625は、ファイルを完全無欠性維持のために修正するか 、全面的に削除するか、ウイルス部分を除去するかを決定する。また、クライア ント300のユーザ、関連のユーザ、ネットワーク管理者その他の関係者に提供す る通知について判定を行う。さらに、検出されたウイルスの種類に対応するファ イルの特定のクラスについて転送防止を要求するなど上記以外の治療動作も実働 化できる。より詳細に述べると、IVDM450bは、エキスパートシステム625の要求 を受けて、ある種類のファイルがウイルスを含んでおりそれがネットワークに送 り込まれた旨の電子メールをネットワーク管理者に送ることができ、また代理サ ーバを含むサーバなどのネットワークコンピュータと直接に交信してウイルス検 出ずみのファイルの種類の侵入を防ぐコンフィギュレーション変更命令を供給で きる。 図7の概略図を参照すると、例示用のネットワーク通信システム700は、クラ イアント300c、ゲートウェイサーバ710および管理用サーバ750を備えるローカル エリアネットワーク(LAN)を含む。ゲートウェイサーバ710は他のネットワーク 、すなわちこの例ではWANへの入口として作用し、管理用サーバ725はLAN内で 管理を行うサーバである。図1の場合と同様に、ウイルス検出サーバ400はWAN所 属であり、クライアント・サーバ関係がウイルス検出サーバ400とクライアント3 00cとの間、またはウイルス検出サーバ400とゲートウェイサーバ710または管理 サーバ725(ゲートウェイサーバ710または管理用サーバ725をクライアントとし て)との間に成立する。慣用の媒体および慣用のネットワーク伝送プロトコルを 用いて接続を形成する。 図8Aのブロック図を参照すると、この発明による管理用サーバ725の一実施 例はCPU802、メモリ804、データ蓄積装置806、I/Oポート808およびネットワーク リンク810を含む。CPU802は慣用のプロセッサであり、メモリ804は慣用のアドレ ス可能なメモリ(RAMなど)であり、I/Oポート808およびネットワークリンク810 も慣用のものである。CPU802、メモリ804、I/Oポート808(および対応の装置) およ びネットワークインタフェース810をバス814に慣用の形で接続する。CPU802はメ モリ804からの命令による制御のもとで、ネットワークインタフェース810を用い たネットワーク媒体812経由の通信などの動作を行う。メモリ804は代理サーバ82 0を含む。代理サーバ820は情報授受の際に他のサーバまたはクライアントの代わ りとして動作する。多様な種類の代理サーバ804を提供できるが、好適な代理サ ーバはインターネット要求をクライアント300cなどのネットワークコンピュータ から集め、インターネットサーバにそれら要求を伝達し、インターネットサーバ からの応答を受けて要求者(クライアント300cなど)との通信を行う。 図8Bのブロック図を参照すると、メモリ804がこの発明によりネットワーク 診断保守アプリケーション825の実施例をさらに含んだ形で示してある。ネット ワーク診断保守アプリケーション825は代理サーバ804から離して常駐させること もでき、また代理サーバとバンドルすることもできる。ネットワーク診断保守ア プリケーション825はウイルス情報エキスパートシステム830、診断データモジュ ール850および保守要求モジュール875を含む。また、アプリケーション825は、 ネットワーク応答エキスパートシステムおよびアプリケーションソフトウェアエ キスパートシステムなどの追加のエキスパートシステムをオプションとして含む 。アプリケーション825は、ネットワーク関連の情報を集め、この集めた情報に より診断データを生成して保持し、それら診断データを所定の知識に適用してネ ットワーク条件関係の判定を行い、それら判定に基づきネットワーク保守の要求 を発生するルーチンを備える。アプリケーション825はコンピュータソフトウェ アで構成するのが好ましいが、ハードウェアまたはファームウェアでも構成でき る。 アプリケーション825は概括的にいうと次のとおり動作する。診断データモジ ュール850は、ネットワーク関連の情報を集めてそれら集めた情報から診断デー タを生成するルーチンを含む。診断データモジュール850、はエキスパートシス テム830、840、845と信号授受し、診断データへのアクセスを容易にする。これ らエキスパートシステム830、840、845の各々が推論エンジン、知識モジュール およびインタフェースを備えるのが好ましい。上記インタフェースは、ユーザと システムとの間の信号授受を可能にするメニュー駆動式のものなど慣用の型のイ ンタフェースで構成する。知識モジュールは、行うべきタスクに特有の情報およ びルールの形で知識ベースを提供する。推論エンジンは前向きチェーニング型な ど慣用の もので構成する。推論エンジンは診断データモジュール850の中のアクセス条件 データにアクセスし、それら条件データを知識モジュールの中の情報およびルー ルに適用し、ネットワーク条件についての判定を行う。これらエキスパートシス テムはそれぞれの専門分野に関する特定の診断上の判定を行う。また、これらエ キスパートシステムは保守要求モジュール875と信号授受し、それぞれの診断上 の判定をモジュール875に供給し、このモジュール875で保守要求を生成する。そ の要求はLANの外の資源、すなわちウイルス検出サーバ400などに通常送られ、保 守を提供する。 ウイルス情報エキスパートシステム830を例示として述べる。このシステム830 はネットワークの活動を分析して、ウイルス走査を行うべき時期、ウイルス走査 を行うべき箇所、行うべきウイルス走査の概括的種類、およびウイルス検出時の 好適な治療などの条件付き判定を行う。これら判定結果を保守要求モジュール87 5に送って、このモジュール875がウイルス走査要求をウイルス検出サーバ400に 送り、ウイルス検出サーバに条件付き判定を供給する。これ以外のエキスパート システム840、845もこの発明に従って提供できる。例えば、ネットワーク応答エ キスパートシステム840はネットワークの動作を監視して応答の妥当性を確保す ることができ、また不完全動作の解消に外部資源を使って内部資源の負荷を軽減 する対策をとるか否かの判定もできる。また、アプリケーションソフトウェアエ キスパートシステム845はソフトウェア更新版の供給のための条件を決定できる 。更新を要する旨の判定は遠隔資源からの更新要求を促す。ネットワーク応答エ キスパートシステム840およびアプリケーションソフトウェアエキスパートシス テム845など例示用の追加エキスパートシステムについて述べたが、これら以外 の代替のエキスパートシステムも採用可能であることを当業者は認識するであろ う。 ウイルス情報エキスパートシステム830をさらに参照すると、ウイルス知識モ ジュール834は走査間隔および条件診断のためのルールクラスなど多様なルール クラスを有する。走査間隔ルールは走査を行うべきか否かの判定に用いられ、時 間および状況条件および対応の動作を含む。診断ルールも状況条件および対応の 動作を含み、ウイルス処置の範囲評価段階(例えば、走査すべき媒体、ディレク トリ、ファイル)およびリスク評価段階(例えば、特定された範囲の中のどのフ ァイルまたはデータがウイルスを含むか)に提供されるものに類似の判定を行う のに用 いられる。例示用の走査間隔および条件診断ルールセットはIVDM450b常駐のエキ スパートシステム625について説明してある。そのシステムでは、ウイルス検出 の際の治療の選択に関するルールも提供できる。 診断データモジュール850は代理サーバ820と信号授受し、ローカルネットワー ク伝送媒体812に接続されてネットワーク関連情報を集める。その情報は、どの クライアント300cがインターネットへのアクセスを試みたか、各クライアント30 0cとネットワーク外のものも含むそれ以外のエンティティとの間の通信にどの種 類の動作およびプロトコルが使われたかなどの情報を含むのが好ましい。この情 報はネットワーク媒体を伝送されるデータパケットの分析、または例えば代理サ ーバ820から診断データモジュール850に向けられた信号伝達により確認できる。 例えば、クライアント300cによるHTTP要求すべてを処理するように配置されたHT TP代理サーバがクライアントおよび対応の診断データモジュールへの要求を識別 し、ファイル転送を処理するように配置されたFTP代理サーバが関連プロトコル および転送ファイルの供給源の識別データを用いてファイルダウンロード先のク ライアント300cを表示する。上記集められた情報のほかに、各クライアント300c に関する背景情報、すなわちその内部のCPUおよび蓄積媒体(例えばハードディ スク)に関する情報などの情報を診断データモジュール850に提供する。さらに 、最新のウイルス走査のタイミングなどの関連情報を各クライアント300cについ て供給する。上記エキスパートシステムにより知識ベースに加えられる診断デー タはこれら情報全部を含み、それら情報は診断データモジュール850に慣用の手 法で蓄積される。追加のエキスパートシステム840、845の種類に応じて上記以外 の情報を提供できるのはもちろんである。 エキスパートシステム830、840、845は診断データにアクセスし、それら診断 データを所定の知識に適用してネットワーク条件に関する判定を行う。ウイルス 情報エキスパートシステム830では、推論エンジン832が前回走査、電子メール受 信、ファイルダウンローディング、インターネットアクセス試行などの診断デー タをウイルス走査要求時点の判定のためにウイルス知識モジュール834内の走査 間隔モジュールに加え、蓄積媒体およびダウンロードしたファイルの種類などの 診断データを要求のあったウイルス走査の範囲の決定のために加える。 エキスパートシステム830、840、845は保守要求モジュール875とも信号授受を 行う。したがって、ネットワーク保守要求があったと判定されると、システム83 0、840、845はモジュール875を促して対応の要求を発生する。ウイルス情報エキ スパートシステム830については、保守要求モジュール875がウイルス走査要求を ウイルス検出サーバ400に導く。単純な場合は、その要求は単一のクライアント3 00cによる包括的走査に関する。しかし、クライアント300c、データ蓄積装置、 その他このネットワーク所属のエンティティの全部または選ばれた一部を走査で きる。走査対象の媒体、ディレクトリまたはファイル、ファイルの種類、求める 治療の内容などを特定した走査要求を行うために、保守要求モジュール875はウ イルス検出サーバ400とのカスタム化した交信を行うウイルス検出処理インタフ ェース880を含む。 ウイルス検出サーバ400について初期要求、要求の有効性の判定およびそれに 続く走査段階を説明する。反復ウイルス検出手法はWAN所属のウイルス検出サー バ400で行うのが好ましいが、任意の走査プロトコルおよび処置プロトコルを用 いた任意の資源をネットワーク診断処置アプリケーション825の要求により実働 化できることは理解されよう。例えば、アプリケーション825によるウイルス走 査要求は包括的ウイルスシグネチャや走査ルーチンのダウンローディングまたは 慣用のシグネチャ走査手法を用いたLAN所属サーバにより対象クライアント300c に対する走査を始動させ得る。 ウイルス走査が行われると、ウイルス検出の有無の判定および治療の結果を好 ましくは処置インタフェース880利用によりネットワーク診断保守アプリケーシ ョン825に伝達できる。上述の治療段階と同様に、治療はファイル削除、ファイ ル除去、ファイル訂正および種々の関係者間通報を含む。結果は診断データモジ ュール850の更新に用いて将来の走査がそれ以前の走査の際の判定を反映できる ようにする。また、代理サーバ820など種々のネットワーク素子に走査の結果を 通報し、コンフィギュレーションを変更することもできる。特定の転送プロトコ ルに対応する特定のファイルがウイルス含有と判明した場合は、適切な代理サー バを同種類のファイルの通過を将来阻止するようにコンフィギュレーション変更 できる。また、診断データモジュール850に提供されるデータ源識別情報を用い て、感染ファイルのデータ源からの将来の転送を阻止し、そのデータ源に通報し 、またはネットワーク上のクライアント300cに感染ファイルのデータ源につき通 報すること ができる。 好ましい実施例についてこの発明を上に説明してきたが、多様な改変が可能で あることを当業者は認識するであろう。例えば、アクセス管理、走査および清浄 化に別々のモジュールを用いた例を示し説明してきたが、種々のプロセスを共通 のモジュールに一体化したり、ウイルス走査要求受信、それら要求の確認、ウイ ルスの診断および検出、およびウイルスの処置など均等の動作を行う追加のモジ ュールに再分割したりすることもできる。また、ウイルスの検出および処置にお ける反復を説明したが、各反復と各反復で行われる動作との対応関係は変動し得 る。上述の実施例に対するこれらのおよびこれら以外の変形および改変は請求の 範囲のみによって限定されるこの発明が提供するものである。 ブロック図(図1、3、4A、4B、6A、6B、7、 8Aおよび8B)および流れ図(図2および5) の各構成部分の対応訳 (図1) 300a,b,c クライアント 350 LANサーバ 400 ウイルス検出サーバ (図2) 205 ウイルス走査要求を受ける 210 走査を行う? 215 ウイルス検出オブジェクトを生成してクライアントに送る 220 ウイルス検出オブジェクトを実行する 225 ウイルス検出オブジェクトの実行の結果をウイルス検出サーバに伝送する 230 結果に基づき追加のウイルス検出オブジェクトを生成してクライアントに 伝送する 235 追加のウイルス検出オブジェクトを実行する 240 追加のウイルス検出オブジェクトの結果をウイルス検出サーバに伝送する 245 追加の走査必要? 250 ウイルス検出あり? 255 サーバが結果に基づきワクチンを生成しクライアントに送る 260 クライアントがワクチンを実行する 265 通知する (図3) 312 中央処理装置CPU 316 データ蓄積装置 318 キーボード 320 モニタ装置 322 マウス 324 ネットワークリンク 326 通信装置 328 オペレーティングシステム 330 ブラウザー 332 ウイルス検出シェル (図4A) 412 CPU 418 I/Oポート 420 ネットワークリンク 416 データ蓄積装置 450 反復ウイルス検出モジュール (図4B) 450a 反復ウイルス検出モジュール 454 走査モジュール 456 ウイルスパターンモジュール 458 ウイルスルールモジュール 460 清浄化モジュール 462 清浄化パターンモジュール 464 アクセス管理モジュール 466 アクセスデータモジュール (図5) 502 トリガ作用あるイベント 505 要求する 510 要求を検出する 520 要求を確認する 525 ウイルス検出オブジェクトを生成する 530 オブジェクトを伝送する 535 ウイルス検出オブジェクトを実行する 540 結果を伝送する 545 結果に基づき追加のウイルス検出オブジェクトを生成する 550 オブジェクトを伝送する 555 ウイルス検出オブジェクトを実行する 560 結果を伝送する 565 結果に基づき追加のウイルス検出オブジェクトを生成する 570 オブジェクトを伝送する 575 ウイルス検出オブジェクトを実行する 580 結果を伝送する 585 結果を分析する 590 ウイルス検出した? 595 適切な関係先に通報 605 ウイルス処置オブジェクトを生成する 610 オブジェクトを伝送する 615 ウイルス処置オブジェクトを実行する 620 結果を伝送する 625 結果を分析する (図6A) 450b 反復ウイルス検出モジュール 654 走査モジュール 656 ウイルスパターンモジュール 658 ウイルスルールモジュール 660 清浄化モジュール 662 清浄化パターンモジュール 664 アクセス管理モジュール 666 アクセスデータモジュール 625 ウイルス情報エキスパートシステム (図6B) 625 ウイルス情報エキスパートシステム 630 推論エンジン 632 ウイルス知識モジュール 634 ユーザインタフェース 636 条件データモジュール (図7) 710 ゲートウェイサーバ 725 管理用サーバ (図8A) 725 管理用サーバ 802 中央処理装置(CPU) 804 メモリ 806 データ蓄積装置 808 I/Oポート 810 ネットワークリンク 820 代理サーバ (図8B) 820 代理サーバ 825 ネットワーク診断保守アプリケーション 830 ウイルス情報エキスパートシステム 832 推論エンジン 834 ウイルス知識モジュール 836 ユーザインタフェース 840 エキスパートシステム 845 エキスパートシステム 850 診断データモジュール 875 保守要求モジュール 880 ウイルス検出処置インタフェース
【手続補正書】 【提出日】平成11年9月17日(1999.9.17) 【補正内容】 請求の範囲 1.クライアントとサーバとが互いに信号授受するシステムに用いるウイルス検 出の方法であって、 前記サーバから前記クライアントに第1のウイルス検出オブジェクトを伝送す る過程と、 前記第1のウイルス検出オブジェクトの実行に基づく結果を受信する過程と、 前記第1のウイルス検出オブジェクトの実行の結果に基づき第2のウイルス検 出オブジェクトを生成する過程と、 前記第2のウイルス検出オブジェクトを前記サーバから前記クライアントに送 信する過程と、 前記第2のウイルス検出オブジェクトの実行に基づく結果を受信する過程と、 前記第2のウイルス検出オブジェクトの実行の結果に基づき前記クライアント におけるウイルスの有無を判定する過程と を含む方法。 2.前記クライアントにウイルスがあると判定された場合に前記第1のウイルス 検出オブジェクトの実行の結果および前記第2のウイルス検出オブジェクトの実 行の結果の少なくとも一方に基づき前記ウイルスに対する治療を適合生成する過 程 をさらに含む請求項1記載の方法。 3.前記治療を適合生成する過程が ウイルス処置オブジェクトを生成するとともにそのウイルス処置オブジェクト を前記サーバから前記クライアントに伝送する過程と、 前記ウイルス処置オブジェクトを前記クライアントにおいて実行する過程と を含む請求項2記載の方法。 4.前記サーバから前記クライアントに第1のウイルス検出オブジェクトを伝送 する前記過程の前にウイルス走査を行うべきか否かを判定する過程 をさらに含む請求項1記載の方法。 5.ウイルス走査を行うべきか否かを判定する前記過程がウイルス走査への要求 を検出する過程とそのウイルス走査要求の有効性を判定する過程とを含む請求項 4記載の方法。 6.前記要求がトリガ作用のあるイベントによって促される請求項5記載の方法 。 7.前記トリガ作用のあるイベントが前のウイルス走査から所定時間間隔ののち クライアントが試みた第1のインターネットアクセス試行である請求項6記載の 方法。 8.前記第1のウイルス検出オブジェクトおよび前記第2のウイルス検出オブジ ェクトがウイルス走査段階に対応する請求項1記載の方法。 9.前記第1のウイルス検出オブジェクトを対象ファイルの中における第1のウ イルスシグネチャ部分の有無の判定に用い、前記第2のウイルス検出オブジェク トを前記第1のウイルスシグネチャ部分を含む対象ファイル中における第2のウ イルスシグネチャ部分の有無の判定に用いる請求項8記載の方法。 10.クライアントとサーバとを互いに信号授受するように接続できるシステム に用いるウイルス検出のための装置であって、 前記サーバから前記クライアントに第1のウイルス検出オブジェクトを伝送す る手段と、 前記第1のウイルス検出オブジェクトの実行に基づく結果を受信する手段と、 前記第1のウイルス検出オブジェクトの実行の結果に基づき第2のウイルス検 出オブジェクトを生成する手段と、前記第2のウイルス検出オブジェクトを前記 サーバから前記クライアントに伝送する手段と、 前記第2のウイルス検出オブジェクトの実行に基づく結果を受信する手段と、 前記第2のウイルス検出オブジェクトの実行の結果に基づき前記クライアント におけるウイルスの有無を判定する手段と を含む装置。 11.プロセッサと、 前記プロセッサと交信状態にあるメモリと を含む請求項10記載の装置。 12.前記第1のウイルス検出オブジェクトを対象ファイルの中における第1の ウイルスシグネチャ部分の有無の判定に用い、前記第2のウイルス検出オブジェ クトを前記第1のウイルスシグネチャ部分を含む対象ファイル中における第2の ウイルスシグネチャ部分の有無の判定に用いる請求項10記載のウイルス検出サ ーバ。 13.前記装置がローカルエリアネットワーク内に所属し、前記保守要求モジュ ールがウイルス走査要求を前記ローカルエリアネットワークの外にあるウイルス 検出サーバに導く請求項11記載のネットワーク診断保守装置。 14.ネットワークを診断し保守する方法であって、 前記ネットワークに関する診断データを供給する過程と、 前記ネットワークの診断および保守のための知識を供給する過程と、 前記診断データを前記知識に適用する過程と、 前記診断データの前記知識への適用に基づき判定を行う過程と、 前記判定に基づきネットワーク保守を要求する過程と、 ウイルス走査ルールであって、ウイルス走査を要求すべきか否かを判定するた めの間隔ルールおよびウイルス走査の範囲を判定するための診断ルールを含むウ イルス走査ルールを供給する過程と、 前記診断データを前記ウイルス走査ルールに適用する過程と、 前記診断データの前記ルールへの適用に基づきウイルス走査判定を行う過程と を含む方法。 15.前記ウイルス走査要求が前記ウイルス走査判定を行う過程に基づきウイル ス検出サーバに導かれる請求項14記載の方法。 16.ネットワーク経由でクライアントと信号授受できるウイルス検出サーバで あって、 ウイルスにつき走査すべきクライアントに対応するウイルス走査要求を受ける アクセス管理モジュールと、 ウイルスの検出に用いられるルーチンを供給するウイルス走査モジュールと、 前記アクセス管理モジュールおよび前記ウイルス走査モジュールとの交信のも とに、ウイルスにつき走査すべきクライアントに関する条件データを供給し、ウ イルス走査を要求すべきか否かの判定のための間隔ルールおよびウイルス走査の 範囲および種類の判定のための診断ルールを含むウイルス走査ルールを供給し、 前記条件データを前記ウイルス走査ルールに適用し、前記条件データの前記ルー ルへの適用に基づきウイルス走査判定を行うウイルス情報エキスパートシステム と を含むウイルス検出サーバ。 17.前記ウイルス情報エキスパートシステムとの交信のもとに、前記ウイルス の処置において用いられるルーチンを供給するウイルス清浄化モジュール をさらに含む請求項16記載のウイルス検出サーバ。 18.前記ウイルス情報エキスパートシステムの行う前記ウイルス走査判定に基 づきウイルスの検出および処置のためのルーチンを選択し、それら選択したルー チンをクライアントに伝送する手段 をさらに含む請求項17記載のウイルス検出サーバ。 19.ウイルスを検出する方法であって、 ウイルスにつき走査すべきクライアントに対応するウイルス走査要求を受ける 過程と、 前記ウイルスの検出において用いる複数のルーチンを供給する過程と、 ウイルスにつき走査すべきクライアントに対応する条件データを供給する過程 と、 ウイルス走査を要求すべきか否かの判定のための間隔ルールおよびウイルス走 査の範囲および種類の判定のための診断ルールを含むウイルス走査ルールを供給 する過程と、 前記条件データを前記ウイルス走査ルール適用する過程と、 前記診断データの前記ルールへの適用に基づきウイルス走査判定を行う過程と を含む方法。 20.前記ウイルスの処置において用いる複数のルーチンを供給する過程 をさらに含む請求項19記載の方法。 21.前記ウイルス走査判定を行う過程に基づきウイルスの検出および処置を行 うルーチンを選択する過程と、 前記選択したルーチンを前記クライアントに伝送する過程と をさらに含む請求項20記載の方法。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,DE, DK,ES,FI,FR,GB,GR,IE,IT,L U,MC,NL,PT,SE),OA(BF,BJ,CF ,CG,CI,CM,GA,GN,ML,MR,NE, SN,TD,TG),AP(GH,GM,KE,LS,M W,SD,SZ,UG,ZW),EA(AM,AZ,BY ,KG,KZ,MD,RU,TJ,TM),AL,AM ,AT,AU,AZ,BA,BB,BG,BR,BY, CA,CH,CN,CU,CZ,DE,DK,EE,E S,FI,GB,GE,GH,GM,GW,HU,ID ,IL,IS,JP,KE,KG,KP,KR,KZ, LC,LK,LR,LS,LT,LU,LV,MD,M G,MK,MN,MW,MX,NO,NZ,PL,PT ,RO,RU,SD,SE,SG,SI,SK,SL, TJ,TM,TR,TT,UA,UG,UZ,VN,Y U,ZW (72)発明者 チェン,エヴァ アメリカ合衆国 カリフォルニア州 95014 クペルティーノ,オレンジ アヴ ェニュー 10408 (72)発明者 ラウ,スティーヴン ユェン−ラム アメリカ合衆国 カリフォルニア州 95401 サンタ ローサ,トラッキー ド ライブ 2275 (72)発明者 リャン,ユン−チャン アメリカ合衆国 カリフォルニア州 94087 サニーヴェイル,ヒューメリック ウェイ 820 【要約の続き】 サーバ(400)の一つの実施例は、条件データをウイル ス走査関係の知識に適用してウイルス対象の走査の時点 などについて判定を行うウイルス情報エキスパートシス テムを含む。ネットワーク診断処置アプリケーションは 診断データモジュール、エキスパートシステムおよび保 守要求モジュールを含む。エキスパートシステムは診断 データをネットワークの診断および保守に関する所定の 知識に適用して、どの保守要求をなすべきかについて判 定する。このエキスパートシステムにウイルス情報エキ スパートシステムを備えるのが好ましい。

Claims (1)

  1. 【特許請求の範囲】 1.クライアントとサーバとを互いに信号授受するように接続できるシステムに 用いるウイルス検出の方法であって、 前記サーバから前記クライアントに第1のウイルス検出オブジェクトを伝送す る過程と、 前記第1のウイルス検出オブジェクトの実行に基づく結果を受信する過程と、 前記第1のウイルス検出オブジェクトの実行の結果に基づき第2のウイルス検 出オブジェクトを生成し、その第2のウイルス検出オブジェクトを前記サーバか ら前記クライアントに送信する過程と、 前記第2のウイルス検出オブジェクトの実行に基づく結果を受信する過程と、 前記第2のウイルス検出オブジェクトの実行の結果に基づき前記クライアント におけるウイルスの有無を判定する過程と を含む方法。 2.前記クライアントにウイルスがあると判定された場合に前記第1のウイルス 検出オブジェクトの実行の結果および前記第2のウイルス検出オブジェクトの実 行の結果の少なくとも一方に基づき前記ウイルスに対する治療を適合生成する過 程 をさらに含む請求項1記載の方法。 3.前記治療を適合生成する過程が ウイルス処置オブジェクトを生成するとともにそのウイルス処置オブジェクト を前記サーバから前記クライアントに伝送する過程と、 前記ウイルス処置オブジェクトを前記クライアントにおいて実行する過程と を含む請求項2記載の方法。 4.前記サーバから前記クライアントに第1のウイルス検出オブジェクトを伝送 する前記過程の前にウイルス走査を行うべきか否かを判定する過程 をさらに含む請求項1記載の方法。 5.ウイルス走査を行うべきか否かを判定する前記過程がウイルス走査への要求 を検出する過程とそのウイルス走査要求の有効性を判定する過程とを含む請求項 4記載の方法。 6.前記要求がトリガ作用のあるイベントによって促される請求項5記載の方法 。 7.前記トリガ作用のあるイベントが前のウイルス走査から所定時間間隔ののち クライアントが試みた第1のインターネットアクセス試行である請求項6記載の 方法。 8.前記第1のウイルス検出オブジェクトおよび前記第2のウイルス検出オブジ ェクトがウイルス走査段階に対応する請求項1記載の方法。 9.前記第1のウイルス検出オブジェクトを対象ファイルの中における第1のウ イルスシグネチャ部分の有無の判定に用い、前記第2のウイルス検出オブジェク トを前記第1のウイルスシグネチャ部分を含む対象ファイル中における第2のウ イルスシグネチャ部分の有無の判定に用いる請求項8記載の方法。 10.クライアントとサーバとを互いに信号授受するように接続できるシステム に用いるウイルス検出のための装置であって、 前記サーバから前記クライアントに第1のウイルス検出オブジェクトを伝送す る手段と、 前記第1のウイルス検出オブジェクトの実行に基づく結果を受信する手段と、 前記第1のウイルス検出オブジェクトの実行の結果に基づき第2のウイルス検 出オブジェクトを生成する手段と、 前記第2のウイルス検出オブジェクトを前記サーバから前記クライアントに伝 送する手段と、 前記第2のウイルス検出オブジェクトの実行に基づく結果を受信する手段と、 前記第2のウイルス検出オブジェクトの実行の結果に基づき前記クライアント におけるウイルスの有無を判定する手段と を含む装置。 11.前記第1のウイルス検出オブジェクトの実行の結果および前記第2のウイ ルス検出オブジェクトの実行の結果の少なくとも一方に基づき検出ずみウイルス に対する治療を適合生成する手段 をさらに含む請求項10記載の装置。 12.ウイルス走査要求を検出する手段と、 前記ウイルス走査要求の有効性を判定する手段と をさらに含む請求項10記載の装置。 13.前記要求がトリガ作用のあるイベントによって促される請求項12記載の 装置。 14.前記トリガ作用のあるイベントが前のウイルス走査から所定時間間隔のの ちクライアントが試みた第1のインターネットアクセス試行である請求項13記 載の装置。 15.前記第1のウイルス検出オブジェクトおよび前記第2のウイルス検出オブ ジェクトがウイルス走査段階に対応する請求項10記載の装置。 16.前記第1のウイルス検出オブジェクトを対象ファイルの中における第1の ウイルスシグネチャ部分の有無の判定に用い、前記第2のウイルス検出オブジェ クトを前記第1のウイルスシグネチャ部分を含む対象ファイル中における第2の ウイルスシグネチャ部分の有無の判定に用いる請求項15記載の装置。 17.ウイルスを検出するためのウイルス検出サーバであって、 プロセッサと、 前記プロセッサと交信状態にあり、前記プロセッサによる実行時に前記プロセ ッサに、前記ウイルス検出サーバからクライアントへ第1のウイルス検出オブジ ェクトを伝送させ、前記第1のウイルス検出オブジェクトの実行に基づく結果を 受信させ、前記第1のウイルス検出オブジェクトの実行の結果に基づく第2のウ イルス検出オブジェクトを生成させ、前記第2のウイルス検出オブジェクトを前 記サーバから前記クライアントに伝送させ、前記第2のウイルス検出オブジェク トの実行に基づく結果を受信させ、前記第2のウイルス検出オブジェクトの実行 の結果に基づきウイルスがクライアントにあるか否かを判定させるメモリと を含むウイルス検出サーバ。 18.前記第1のウイルス検出オブジェクトを対象ファイルの中における第1の ウイルスシグネチャ部分の有無の判定に用い、前記第2のウイルス検出オブジェ クトを前記第1のウイルスシグネチャ部分を含む対象ファイル中における第2の ウイルスシグネチャ部分の有無の判定に用いる請求項17記載のウイルス検出サ ーバ。 19.ネットワークを診断し保守するネットワーク診断保守装置であって、 前記ネットワークに関連する診断データを提供する診断データモジュールと、 前記診断データモジュールと信号授受し、前記ネットワークの診断および保守 のための知識を提供し、前記診断データを前記知識に適用し、前記診断データの 前記知識への適用に基づき判定を行うエキスパートシステムと、 前記エキスパートシステムを信号授受し、前記エキスパートシステムによる前 記判定に基づきネットワーク保守を要求する保守要求モジュールと を含むネットワーク診断保守装置。 20.前記エキスパートシステムがウイルス情報エキスパートシステムであって 、そのウイルス情報エキスパートシステムが、 ウイルス走査ルール、すなわちウイルス走査を要求すべきか否かを判定するた めの間隔ルールおよびウイルス走査の範囲および種類を判定するための診断ルー ルを含むウイルス走査ルールを供給するウイルス知識モジュールと、 前記ウイルス知識モジュールと信号授受し、前記診断データにアクセスし、前 記診断データを前記ウイルス走査ルールに適用し、前記診断データの前記ルール への適用に基づきウイルス走査判定を行う推論エンジンと を含む請求項19記載のネットワーク診断保守装置。 21.前記診断保守装置がローカルエリアネットワーク内に所属し、前記保守要 求モジュールがウイルス走査要求を前記ローカルエリアネットワークの外にある ウイルス検出サーバに導く請求項20記載のネットワーク診断保守装置。 22.ネットワークを診断し保守するネットワーク診断保守装置に用いるネット ワークの診断保守方法であって、 前記ネットワークに関する診断データを供給する過程と、 前記ネットワークの診断および保守のための知識を供給する過程と、 前記診断データを前記知識に適用する過程と、 前記診断データの前記知識への適用に基づき判定を行う過程と、 前記判定に基づきネットワーク保守を要求する過程と を含む方法。 23.ウイルス走査ルールであって、ウイルス走査を要求すべきか否かを判定す るための間隔ルールおよびウイルス走査の範囲を判定するための診断ルールを含 むウイルス走査ルールを供給する過程と、 前記診断データを前記ウイルス走査ルールに適用する過程と、 前記診断データの前記ルールへの適用に基づきウイルス走査判定を行う過程と をさらに含む請求項22記載の方法。 24.前記ウイルス走査要求が前記ウイルス走査判定を行う過程に基づきウイル ス検出サーバに導かれる請求項23記載の方法。 25.ネットワーク経由でクライアントと信号授受できるウイルス検出サーバで あって、 ウイルスにつき走査すべきクライアントに対応するウイルス走査要求を受ける アクセス管理モジュールと、 ウイルスの検出に用いられるルーチンを供給するウイルス走査モジュールと、 前記アクセス管理モジュールおよび前記ウイルス走査モジュールとの交信のも とに、ウイルスにつき走査すべきクライアントに関する条件データを供給し、ウ イルス走査を要求すべきか否かの判定のための間隔ルールおよびウイルス走査の 範囲および種類の判定のための診断ルールを含むウイルス走査ルールを供給し、 前記条件データを前記ウイルス走査ルールに適用し、前記条件データの前記ルー ルへの適用に基づきウイルス走査判定を行うウイルス情報エキスパートシステム と を含むウイルス検出サーバ。 26.前記ウイルス情報エキスパートシステムとの交信のもとに、前記ウイルス の処置において用いられるルーチンを供給するウイルス清浄化モジュール をさらに含む請求項25記載のウイルス検出サーバ。 27.前記ウイルス情報エキスパートシステムの行う前記ウイルス走査判定に基 づきウイルスの検出および処置のためのルーチンを選択し、それら選択したルー チンをクライアントに伝送する手段 をさらに含む請求項26記載のウイルス検出サーバ。 28.ネットワーク経由でクライアントと信号授受できるウイルス検出サーバに 用いるウイルス検出方法であって、 ウイルスにつき走査すべきクライアントに対応するウイルス走査要求を受ける 過程と、 前記ウイルスの検出において用いる複数のルーチンを供給する過程と、 ウイルスにつき走査すべきクライアントに対応する条件データを供給する過程 と、 ウイルス走査を要求すべきか否かの判定のための間隔ルールおよびウイルス走 査の範囲および種類の判定のための診断ルールを含むウイルス走査ルールを供給 する過程と、 前記条件データを前記ウイルス走査ルールに適用する過程と、 前記診断データの前記ルールへの適用に基づきウイルス走査判定を行う過程と を含む方法。 29.前記ウイルスの処置において用いる複数のルーチンを供給する過程 をさらに含む請求項28記載の方法。 30.前記ウイルス走査判定を行う過程に基づきウイルスの検出および処置を行 うルーチンを選択する過程と、 前記選択したルーチンを前記クライアントに伝送する過程と をさらに含む請求項29記載の方法。
JP54052798A 1997-03-18 1998-03-13 クライアント・サーバシステムにおけるウイルス検出 Expired - Lifetime JP4052604B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/820,649 1997-03-18
US08/820,649 US5960170A (en) 1997-03-18 1997-03-18 Event triggered iterative virus detection
PCT/US1998/003796 WO1998041919A1 (en) 1997-03-18 1998-03-13 Virus detection in client-server system

Publications (2)

Publication Number Publication Date
JP2001515625A true JP2001515625A (ja) 2001-09-18
JP4052604B2 JP4052604B2 (ja) 2008-02-27

Family

ID=25231376

Family Applications (1)

Application Number Title Priority Date Filing Date
JP54052798A Expired - Lifetime JP4052604B2 (ja) 1997-03-18 1998-03-13 クライアント・サーバシステムにおけるウイルス検出

Country Status (5)

Country Link
US (1) US5960170A (ja)
EP (1) EP0968466A1 (ja)
JP (1) JP4052604B2 (ja)
AU (1) AU6537698A (ja)
WO (1) WO1998041919A1 (ja)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005229611A (ja) * 2004-02-10 2005-08-25 Ricoh Co Ltd 複合機用のウィルス保護
JP2005532606A (ja) * 2001-12-31 2005-10-27 シタデル セキュリティ ソフトウェア インコーポレイテッド コンピュータの脆弱性を解決する自動化されたシステム
JP2006526193A (ja) * 2003-05-17 2006-11-16 マイクロソフト コーポレーション セキュリティリスクを評価するための機構
JP2007293887A (ja) * 2007-05-30 2007-11-08 Ntt Docomo Inc サーバ装置、移動通信端末、情報送信システム及び情報送信方法
US7299035B2 (en) 2002-01-17 2007-11-20 Ntt Docomo, Inc. Server device, mobile communications terminal, information transmitting system and information transmitting method
JP2008152769A (ja) * 2006-11-28 2008-07-03 Avaya Technology Llc 自動セキュリティ・プラットフォーム
JP2010517170A (ja) * 2007-01-26 2010-05-20 ヴァーダシス・インコーポレーテッド 不正侵入された顧客マシンとの信頼された取引の保証
US7778660B2 (en) 2002-01-17 2010-08-17 Ntt Docomo, Inc. Mobile communications terminal, information transmitting system and information receiving method
JP2011523482A (ja) * 2008-05-21 2011-08-11 シマンテック コーポレーション ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース
JP2012501504A (ja) * 2008-08-29 2012-01-19 エーブイジー テクノロジーズ シーゼット、エス.アール.オー. マルウェア検知のシステムおよび方法
JP2012069143A (ja) * 1999-12-31 2012-04-05 Inca Internet Co Ltd オンライン上での有害情報を遮断するためのシステム及び方法
JP2015535115A (ja) * 2012-11-20 2015-12-07 シマンテック コーポレーションSymantec Corporation マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
JP2018538633A (ja) * 2015-12-19 2018-12-27 ビットディフェンダー アイピーアール マネジメント リミテッド 複数のネットワークエンドポイントをセキュアにするためのデュアルメモリイントロスペクション

Families Citing this family (403)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6151643A (en) 1996-06-07 2000-11-21 Networks Associates, Inc. Automatic updating of diverse software products on multiple client computer systems by downloading scanning application to client computer and generating software list on client computer
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US6721306B1 (en) * 1997-03-11 2004-04-13 Verizon Services Corp. Public wireless/cordless internet gateway
US6134566A (en) * 1997-06-30 2000-10-17 Microsoft Corporation Method for controlling an electronic mail preview pane to avoid system disruption
US6035423A (en) * 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US6205551B1 (en) * 1998-01-29 2001-03-20 Lucent Technologies Inc. Computer security using virus probing
US5987610A (en) * 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
AU4568299A (en) * 1998-06-15 2000-01-05 Dmw Worldwide, Inc. Method and apparatus for assessing the security of a computer system
US6182227B1 (en) * 1998-06-22 2001-01-30 International Business Machines Corporation Lightweight authentication system and method for validating a server access request
US6347375B1 (en) * 1998-07-08 2002-02-12 Ontrack Data International, Inc Apparatus and method for remote virus diagnosis and repair
US7047423B1 (en) 1998-07-21 2006-05-16 Computer Associates Think, Inc. Information security analysis system
US6304262B1 (en) 1998-07-21 2001-10-16 Raytheon Company Information security analysis system
US6253337B1 (en) * 1998-07-21 2001-06-26 Raytheon Company Information security analysis system
US6269447B1 (en) 1998-07-21 2001-07-31 Raytheon Company Information security analysis system
US6338141B1 (en) * 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6553507B1 (en) * 1998-09-30 2003-04-22 Intel Corporation Just-in-time software updates
US6577920B1 (en) * 1998-10-02 2003-06-10 Data Fellows Oyj Computer virus screening
US6499109B1 (en) 1998-12-08 2002-12-24 Networks Associates Technology, Inc. Method and apparatus for securing software distributed over a network
US6266774B1 (en) 1998-12-08 2001-07-24 Mcafee.Com Corporation Method and system for securing, managing or optimizing a personal computer
US6664988B1 (en) * 1999-02-10 2003-12-16 Micron Technology, Inc. Graphical representation of system information on a remote computer
US20030191957A1 (en) * 1999-02-19 2003-10-09 Ari Hypponen Distributed computer virus detection and scanning
US6477550B1 (en) 1999-03-16 2002-11-05 Mcafee.Com Corporation Method and system for processing events related to a first type of browser from a second type of browser
US6922781B1 (en) 1999-04-30 2005-07-26 Ideaflood, Inc. Method and apparatus for identifying and characterizing errant electronic files
US6742141B1 (en) 1999-05-10 2004-05-25 Handsfree Networks, Inc. System for automated problem detection, diagnosis, and resolution in a software driven system
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
AU6098800A (en) 1999-07-14 2001-02-05 Recourse Technologies, Inc. System and method for dynamically changing a computer port or address
US7117532B1 (en) 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
US7346929B1 (en) 1999-07-29 2008-03-18 International Business Machines Corporation Method and apparatus for auditing network security
US7089591B1 (en) 1999-07-30 2006-08-08 Symantec Corporation Generic detection and elimination of marco viruses
US6996843B1 (en) * 1999-08-30 2006-02-07 Symantec Corporation System and method for detecting computer intrusions
US7203962B1 (en) 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6952776B1 (en) * 1999-09-22 2005-10-04 International Business Machines Corporation Method and apparatus for increasing virus detection speed using a database
US6851057B1 (en) * 1999-11-30 2005-02-01 Symantec Corporation Data driven detection of viruses
US6728886B1 (en) 1999-12-01 2004-04-27 Trend Micro Incorporated Distributed virus scanning arrangements and methods therefor
US6836792B1 (en) * 1999-12-03 2004-12-28 Trend Micro Incorporated Techniques for providing add-on services for an email system
GB2353372B (en) 1999-12-24 2001-08-22 F Secure Oyj Remote computer virus scanning
US7076650B1 (en) * 1999-12-24 2006-07-11 Mcafee, Inc. System and method for selective communication scanning at a firewall and a network node
KR100684987B1 (ko) * 1999-12-31 2007-02-22 주식회사 잉카인터넷 인터넷을 이용한 전자상거래 시스템에서의 유해정보 및 해킹 차단방법
US20010014894A1 (en) * 2000-02-11 2001-08-16 Han Seog Yeon File managing method for a digital data stream
US6594686B1 (en) * 2000-03-02 2003-07-15 Network Associates Technology, Inc. Obtaining user responses in a virtual execution environment
US6842861B1 (en) * 2000-03-24 2005-01-11 Networks Associates Technology, Inc. Method and system for detecting viruses on handheld computers
US7013394B1 (en) * 2000-04-18 2006-03-14 International Business Machines Corporation Data flow pattern recognition and manipulation
US6973577B1 (en) * 2000-05-26 2005-12-06 Mcafee, Inc. System and method for dynamically detecting computer viruses through associative behavioral analysis of runtime state
US7565692B1 (en) * 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
US6973578B1 (en) * 2000-05-31 2005-12-06 Networks Associates Technology, Inc. System, method and computer program product for process-based selection of virus detection actions
US6931540B1 (en) * 2000-05-31 2005-08-16 Networks Associates Technology, Inc. System, method and computer program product for selecting virus detection actions based on a process by which files are being accessed
US6907396B1 (en) * 2000-06-01 2005-06-14 Networks Associates Technology, Inc. Detecting computer viruses or malicious software by patching instructions into an emulator
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7017187B1 (en) 2000-06-20 2006-03-21 Citigroup Global Markets, Inc. Method and system for file blocking in an electronic messaging system
US7162649B1 (en) * 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
GB0016835D0 (en) * 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US20030149677A1 (en) * 2000-08-04 2003-08-07 Bingham Paris E. Knowledge automation engine for product knowledge management
US7146536B2 (en) * 2000-08-04 2006-12-05 Sun Microsystems, Inc. Fact collection for product knowledge management
US7146535B2 (en) * 2000-08-04 2006-12-05 Sun Microsystems, Inc. Product knowledge management
US7100082B2 (en) * 2000-08-04 2006-08-29 Sun Microsystems, Inc. Check creation and maintenance for product knowledge management
US7100083B2 (en) * 2000-08-04 2006-08-29 Sun Microsystems, Inc. Checks for product knowledge management
US7051243B2 (en) * 2002-04-30 2006-05-23 Sun Microsystems, Inc. Rules-based configuration problem detection
US7475293B1 (en) 2000-08-04 2009-01-06 Sun Microsystems, Inc. Product check matrix
US6799197B1 (en) * 2000-08-29 2004-09-28 Networks Associates Technology, Inc. Secure method and system for using a public network or email to administer to software on a plurality of client computers
JP3251000B2 (ja) * 2000-09-07 2002-01-28 松本建工株式会社 住宅の断熱構造及び使用する遮熱材
US6757830B1 (en) * 2000-10-03 2004-06-29 Networks Associates Technology, Inc. Detecting unwanted properties in received email messages
US6968461B1 (en) * 2000-10-03 2005-11-22 Networks Associates Technology, Inc. Providing break points in a malware scanning operation
US6802012B1 (en) * 2000-10-03 2004-10-05 Networks Associates Technology, Inc. Scanning computer files for unwanted properties
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US7086090B1 (en) 2000-10-20 2006-08-01 International Business Machines Corporation Method and system for protecting pervasive devices and servers from exchanging viruses
US7496960B1 (en) * 2000-10-30 2009-02-24 Trend Micro, Inc. Tracking and reporting of computer virus information
UA56310C2 (uk) * 2000-11-06 2003-05-15 Олексій Юрійович Шевченко Спосіб ремонтного обслуговування комп'ютерів та система для його здійснення
TW584801B (en) * 2000-12-11 2004-04-21 Ntt Docomo Inc Terminal and repeater
US7150045B2 (en) * 2000-12-14 2006-12-12 Widevine Technologies, Inc. Method and apparatus for protection of electronic media
US6622150B1 (en) * 2000-12-18 2003-09-16 Networks Associates Technology, Inc. System and method for efficiently managing computer virus definitions using a structured virus database
US7231440B1 (en) * 2000-12-18 2007-06-12 Mcafee, Inc. System and method for distributing portable computer virus definition records with binary file conversion
KR100402842B1 (ko) * 2001-02-13 2003-10-22 주식회사 안철수연구소 인터넷을 통해 바이러스를 검사하는 방법
US7797251B2 (en) * 2001-02-14 2010-09-14 5th Fleet, L.L.C. System and method providing secure credit or debit transactions across unsecure networks
US7363657B2 (en) * 2001-03-12 2008-04-22 Emc Corporation Using a virus checker in one file server to check for viruses in another file server
US7010696B1 (en) 2001-03-30 2006-03-07 Mcafee, Inc. Method and apparatus for predicting the incidence of a virus
WO2002093334A2 (en) * 2001-04-06 2002-11-21 Symantec Corporation Temporal access control for computer virus outbreaks
US20020147780A1 (en) * 2001-04-09 2002-10-10 Liu James Y. Method and system for scanning electronic mail to detect and eliminate computer viruses using a group of email-scanning servers and a recipient's email gateway
US7089589B2 (en) 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait
WO2002084495A1 (en) * 2001-04-13 2002-10-24 Nokia, Inc. System and method for providing exploit protection for networks
US20060265746A1 (en) 2001-04-27 2006-11-23 Internet Security Systems, Inc. Method and system for managing computer security information
US7210041B1 (en) * 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US6931552B2 (en) * 2001-05-02 2005-08-16 James B. Pritchard Apparatus and method for protecting a computer system against computer viruses and unauthorized access
US20020199120A1 (en) * 2001-05-04 2002-12-26 Schmidt Jeffrey A. Monitored network security bridge system and method
US7228565B2 (en) * 2001-05-15 2007-06-05 Mcafee, Inc. Event reporting between a reporting computer and a receiving computer
WO2002097587A2 (en) 2001-05-31 2002-12-05 Internet Security Systems, Inc. Method and system for implementing security devices in a network
FR2825489B1 (fr) * 2001-06-05 2003-09-05 Marguerite Paolucci Procede d'authentification individuelle securisee de connexion a un serveur internet/intranet par acces distant furtif
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US7043758B2 (en) 2001-06-15 2006-05-09 Mcafee, Inc. Scanning computer files for specified content
US20020199116A1 (en) * 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US7146642B1 (en) * 2001-06-29 2006-12-05 Mcafee, Inc. System, method and computer program product for detecting modifications to risk assessment scanning caused by an intermediate device
CA2454828A1 (en) * 2001-07-24 2003-02-06 Theresa Eileen Phillips Network security architecture
US7310817B2 (en) * 2001-07-26 2007-12-18 Mcafee, Inc. Centrally managed malware scanning
US7673343B1 (en) * 2001-07-26 2010-03-02 Mcafee, Inc. Anti-virus scanning co-processor
US7171690B2 (en) 2001-08-01 2007-01-30 Mcafee, Inc. Wireless malware scanning back-end system and method
US6792543B2 (en) * 2001-08-01 2004-09-14 Networks Associates Technology, Inc. Virus scanning on thin client devices using programmable assembly language
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US7657935B2 (en) 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7640361B1 (en) * 2001-08-24 2009-12-29 Mcafee, Inc. Systems and methods for converting infected electronic files to a safe format
US7263561B1 (en) * 2001-08-24 2007-08-28 Mcafee, Inc. Systems and methods for making electronic files that have been converted to a safe format available for viewing by an intended recipient
US7302706B1 (en) * 2001-08-31 2007-11-27 Mcafee, Inc Network-based file scanning and solution delivery in real time
US7269649B1 (en) * 2001-08-31 2007-09-11 Mcafee, Inc. Protocol layer-level system and method for detecting virus activity
US20030097409A1 (en) * 2001-10-05 2003-05-22 Hungchou Tsai Systems and methods for securing computers
US7310818B1 (en) * 2001-10-25 2007-12-18 Mcafee, Inc. System and method for tracking computer viruses
US7320142B1 (en) * 2001-11-09 2008-01-15 Cisco Technology, Inc. Method and system for configurable network intrusion detection
US20030097378A1 (en) * 2001-11-20 2003-05-22 Khai Pham Method and system for removing text-based viruses
US6546493B1 (en) 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US6789201B2 (en) * 2001-12-20 2004-09-07 Networks Associates Technology, Inc. Anti-virus toolbar system and method for use with a network browser
US7761605B1 (en) * 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US7114185B2 (en) * 2001-12-26 2006-09-26 Mcafee, Inc. Identifying malware containing computer files using embedded text
KR100407011B1 (ko) * 2002-01-10 2003-11-28 한국과학기술원 모바일 에이전트를 이용한 안티 바이러스 시스템
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
GB2384659B (en) * 2002-01-25 2004-01-14 F Secure Oyj Anti-virus protection at a network gateway
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US6772345B1 (en) 2002-02-08 2004-08-03 Networks Associates Technology, Inc. Protocol-level malware scanner
WO2003077129A1 (en) * 2002-03-13 2003-09-18 Win Enterprise Co., Ltd. Apparatus for protecting computer using functional character
US7290282B1 (en) * 2002-04-08 2007-10-30 Symantec Corporation Reducing false positive computer virus detections
AU2003228512A1 (en) 2002-04-10 2003-10-27 Instasolv, Inc. Method and system for managing computer systems
US7237008B1 (en) * 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US7155742B1 (en) 2002-05-16 2006-12-26 Symantec Corporation Countering infections to communications modules
US7634806B2 (en) * 2002-05-30 2009-12-15 Microsoft Corporation Peer assembly inspection
US7367056B1 (en) 2002-06-04 2008-04-29 Symantec Corporation Countering malicious code infections to computer files that have been infected more than once
US20040006715A1 (en) * 2002-07-05 2004-01-08 Skrepetos Nicholas C. System and method for providing security to a remote computer over a network browser interface
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US20040015718A1 (en) * 2002-07-22 2004-01-22 Hostsentinel, Inc. Framework for collaborative suppression of undesirable computer activity
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7478431B1 (en) 2002-08-02 2009-01-13 Symantec Corporation Heuristic detection of computer viruses
US7331062B2 (en) * 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7469419B2 (en) * 2002-10-07 2008-12-23 Symantec Corporation Detection of malicious computer code
US7159149B2 (en) * 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7249187B2 (en) 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
JP3979285B2 (ja) * 2002-12-17 2007-09-19 株式会社日立製作所 情報処理システム
US7631353B2 (en) * 2002-12-17 2009-12-08 Symantec Corporation Blocking replication of e-mail worms
US7418730B2 (en) * 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
US7296293B2 (en) 2002-12-31 2007-11-13 Symantec Corporation Using a benevolent worm to assess and correct computer security vulnerabilities
US20040158741A1 (en) * 2003-02-07 2004-08-12 Peter Schneider System and method for remote virus scanning in wireless networks
US7203959B2 (en) 2003-03-14 2007-04-10 Symantec Corporation Stream scanning through network proxy servers
EP2141603A1 (en) * 2003-04-25 2010-01-06 Fujitsu Limited Messaging virus protection program and the like
US20050015599A1 (en) * 2003-06-25 2005-01-20 Nokia, Inc. Two-phase hash value matching technique in message protection systems
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US7386719B2 (en) * 2003-07-29 2008-06-10 International Business Machines Corporation System and method for eliminating viruses at a web page server
US8271774B1 (en) 2003-08-11 2012-09-18 Symantec Corporation Circumstantial blocking of incoming network traffic containing code
US20050081053A1 (en) * 2003-10-10 2005-04-14 International Business Machines Corlporation Systems and methods for efficient computer virus detection
CN100395985C (zh) * 2003-12-09 2008-06-18 趋势株式会社 强制设置防毒软件的方法及网络系统
US7426574B2 (en) * 2003-12-16 2008-09-16 Trend Micro Incorporated Technique for intercepting data in a peer-to-peer network
US20050137980A1 (en) * 2003-12-17 2005-06-23 Bank Of America Corporation Active disablement of malicious code in association with the provision of on-line financial services
US8544096B2 (en) * 2003-12-30 2013-09-24 Emc Corporation On-access and on-demand distributed virus scanning
US7721334B2 (en) * 2004-01-30 2010-05-18 Microsoft Corporation Detection of code-free files
US7337327B1 (en) 2004-03-30 2008-02-26 Symantec Corporation Using mobility tokens to observe malicious mobile code
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US7533415B2 (en) * 2004-04-21 2009-05-12 Trend Micro Incorporated Method and apparatus for controlling traffic in a computer network
US7373667B1 (en) 2004-05-14 2008-05-13 Symantec Corporation Protecting a computer coupled to a network from malicious code infections
US7484094B1 (en) 2004-05-14 2009-01-27 Symantec Corporation Opening computer files quickly and safely over a network
US20050259678A1 (en) * 2004-05-21 2005-11-24 Gaur Daniel R Network interface controller circuitry
US7370233B1 (en) 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
US7490268B2 (en) * 2004-06-01 2009-02-10 The Trustees Of Columbia University In The City Of New York Methods and systems for repairing applications
KR100609839B1 (ko) * 2004-06-08 2006-08-08 (주)파인핸즈 인터넷 유해정보 접촉 관제방법
US8353028B2 (en) * 2004-06-21 2013-01-08 Ebay Inc. Render engine, and method of using the same, to verify data for access and/or publication via a computer system
US7552186B2 (en) 2004-06-28 2009-06-23 International Business Machines Corporation Method and system for filtering spam using an adjustable reliability value
US7183915B2 (en) * 2004-08-05 2007-02-27 3Si Security Systems, Inc. Wireless ATM security system
US20060047826A1 (en) * 2004-08-25 2006-03-02 International Business Machines Corp. Client computer self health check
JP4643204B2 (ja) * 2004-08-25 2011-03-02 株式会社エヌ・ティ・ティ・ドコモ サーバ装置
US7441042B1 (en) 2004-08-25 2008-10-21 Symanetc Corporation System and method for correlating network traffic and corresponding file input/output traffic
US7690034B1 (en) 2004-09-10 2010-03-30 Symantec Corporation Using behavior blocking mobility tokens to facilitate distributed worm detection
US7441273B2 (en) * 2004-09-27 2008-10-21 Mcafee, Inc. Virus scanner system and method with integrated spyware detection capabilities
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US20060080637A1 (en) * 2004-10-12 2006-04-13 Microsoft Corporation System and method for providing malware information for programmatic access
US7313878B2 (en) * 2004-11-05 2008-01-01 Tim Clegg Rotary pop-up envelope
US7565686B1 (en) 2004-11-08 2009-07-21 Symantec Corporation Preventing unauthorized loading of late binding code into a process
US7716527B2 (en) * 2004-11-08 2010-05-11 International Business Machines Corporation Repair system
US20060101277A1 (en) * 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
WO2006060581A2 (en) * 2004-11-30 2006-06-08 Sensory Networks Inc. Apparatus and method for acceleration of security applications through pre-filtering
WO2006101549A2 (en) * 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US7810158B2 (en) * 2004-12-16 2010-10-05 At&T Intellectual Property I, L.P. Methods and systems for deceptively trapping electronic worms
US7610610B2 (en) 2005-01-10 2009-10-27 Mcafee, Inc. Integrated firewall, IPS, and virus scanner system and method
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US8037534B2 (en) * 2005-02-28 2011-10-11 Smith Joseph B Strategies for ensuring that executable content conforms to predetermined patterns of behavior (“inverse virus checking”)
US8104086B1 (en) 2005-03-03 2012-01-24 Symantec Corporation Heuristically detecting spyware/adware registry activity
CN1838668A (zh) * 2005-03-22 2006-09-27 松下电器产业株式会社 侦测计算机病毒的方法及其应用
US7603712B2 (en) * 2005-04-21 2009-10-13 Microsoft Corporation Protecting a computer that provides a Web service from malware
GB2425679A (en) * 2005-04-27 2006-11-01 Hewlett Packard Development Co Scanning computing entities for vulnerabilities
US20060248179A1 (en) * 2005-04-29 2006-11-02 Short Michael E Method and system for event-driven network management
US8561190B2 (en) * 2005-05-16 2013-10-15 Microsoft Corporation System and method of opportunistically protecting a computer from malware
US20060282525A1 (en) * 2005-06-10 2006-12-14 Giles James R Method and apparatus for delegating responses to conditions in computing systems
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US7624447B1 (en) 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US7937758B2 (en) * 2006-01-25 2011-05-03 Symantec Corporation File origin determination
US8387138B2 (en) 2006-03-21 2013-02-26 At&T Intellectual Property I, L.P. Security scanning system and method
US8151323B2 (en) 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
GB2443005A (en) * 2006-07-19 2008-04-23 Chronicle Solutions Analysing network traffic by decoding a wide variety of protocols (or object types) of each packet
US8230509B2 (en) * 2006-09-14 2012-07-24 Ca, Inc. System and method for using rules to protect against malware
US7523502B1 (en) * 2006-09-21 2009-04-21 Symantec Corporation Distributed anti-malware
JP2008097414A (ja) * 2006-10-13 2008-04-24 Nec Infrontia Corp 情報処理システムおよび情報処理方法
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7779454B2 (en) * 2006-11-29 2010-08-17 Lenovo (Singapore) Pte. Ltd. System and method for virtualized hypervisor to detect insertion of removable media
US8091134B2 (en) * 2006-11-29 2012-01-03 Lenovo (Singapore) Pte. Ltd. System and method for autonomic peer-to-peer virus inoculation
US7743140B2 (en) * 2006-12-08 2010-06-22 International Business Machines Corporation Binding processes in a non-uniform memory access system
CN101212469A (zh) * 2006-12-28 2008-07-02 朗迅科技公司 Ims网的抗病毒系统
US8156557B2 (en) * 2007-01-04 2012-04-10 Cisco Technology, Inc. Protection against reflection distributed denial of service attacks
US8635691B2 (en) * 2007-03-02 2014-01-21 403 Labs, Llc Sensitive data scanner
US8782786B2 (en) * 2007-03-30 2014-07-15 Sophos Limited Remedial action against malicious code at a client facility
US8099785B1 (en) 2007-05-03 2012-01-17 Kaspersky Lab, Zao Method and system for treatment of cure-resistant computer malware
US8850587B2 (en) * 2007-05-04 2014-09-30 Wipro Limited Network security scanner for enterprise protection
US8127358B1 (en) * 2007-05-30 2012-02-28 Trend Micro Incorporated Thin client for computer security applications
US7853689B2 (en) * 2007-06-15 2010-12-14 Broadcom Corporation Multi-stage deep packet inspection for lightweight devices
US8341428B2 (en) * 2007-06-25 2012-12-25 International Business Machines Corporation System and method to protect computing systems
US20080320423A1 (en) * 2007-06-25 2008-12-25 International Business Machines Corporation System and method to protect computing systems
JP4587053B2 (ja) 2007-08-28 2010-11-24 日本電気株式会社 通信装置、通信システム、パケット欠落検出方法、およびパケット欠落検出プログラム
US8601318B2 (en) * 2007-10-26 2013-12-03 International Business Machines Corporation Method, apparatus and computer program product for rule-based directed problem resolution for servers with scalable proactive monitoring
US8316441B2 (en) * 2007-11-14 2012-11-20 Lockheed Martin Corporation System for protecting information
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US7392544B1 (en) 2007-12-18 2008-06-24 Kaspersky Lab, Zao Method and system for anti-malware scanning with variable scan settings
JP4488074B2 (ja) * 2008-02-13 2010-06-23 日本電気株式会社 パターン検出装置、パターン検出システム、パターン検出プログラム、およびパターン検出方法
CA2622773C (en) * 2008-02-19 2012-11-27 David A. Loeks Modular log building construction
US20090210622A1 (en) * 2008-02-19 2009-08-20 Stefan Birrer Compressed cache in a controller partition
KR100954353B1 (ko) * 2008-03-10 2010-04-21 주식회사 안철수연구소 악성 코드명 제공 시스템 및 그 방법, 그리고 이에적용되는 서버
KR100954449B1 (ko) 2008-03-27 2010-04-27 (주)제닉스어소시에츠 애플릿과 rmi를 이용한 자바 클라이언트 에이전트의인증처리 시스템 및 그 방법
EP2157525B1 (de) * 2008-08-21 2018-01-10 Unify GmbH & Co. KG Verfahren zur Erkennung von Schadsoftware
KR100996855B1 (ko) 2008-08-29 2010-11-26 주식회사 안철수연구소 정상 파일 데이터베이스 제공 시스템 및 방법
US20100083381A1 (en) * 2008-09-30 2010-04-01 Khosravi Hormuzd M Hardware-based anti-virus scan service
US8935788B1 (en) * 2008-10-15 2015-01-13 Trend Micro Inc. Two stage virus detection
KR100927240B1 (ko) 2008-12-29 2009-11-16 주식회사 이글루시큐리티 가상환경을 통한 악성코드탐지방법
US8146158B2 (en) * 2008-12-30 2012-03-27 Microsoft Corporation Extensible activation exploit scanner
US8813222B1 (en) * 2009-01-21 2014-08-19 Bitdefender IPR Management Ltd. Collaborative malware scanning
US9177145B2 (en) * 2009-03-24 2015-11-03 Sophos Limited Modified file tracking on virtual machines
US8826424B2 (en) * 2009-03-27 2014-09-02 Sophos Limited Run-time additive disinfection of malware functions
GB2469323B (en) * 2009-04-09 2014-01-01 F Secure Oyj Providing information to a security application
KR101045870B1 (ko) * 2009-04-22 2011-07-01 주식회사 안철수연구소 네트워크 기반 악성 코드 진단 방법 및 진단 서버
KR101063010B1 (ko) 2009-06-03 2011-09-07 주식회사 미라지웍스 악성 프로그램 탐지가 가능한 프로세스 관리 방법 및 장치
GB2471716A (en) * 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
KR100942456B1 (ko) * 2009-07-23 2010-02-12 주식회사 안철수연구소 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US9002972B2 (en) * 2010-01-29 2015-04-07 Symantec Corporation Systems and methods for sharing the results of computing operations among related computing systems
US8875292B1 (en) * 2010-04-05 2014-10-28 Symantec Corporation Systems and methods for managing malware signatures
US9098333B1 (en) 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
RU2444056C1 (ru) * 2010-11-01 2012-02-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ ускорения решения проблем за счет накопления статистической информации
EP2466506A1 (fr) * 2010-12-17 2012-06-20 Gemalto SA Procédé dynamique de contrôle de l'intégrité de l'exécution d'un code exécutable
US9317690B2 (en) 2011-03-28 2016-04-19 Mcafee, Inc. System and method for firmware based anti-malware security
US9262246B2 (en) 2011-03-31 2016-02-16 Mcafee, Inc. System and method for securing memory and storage of an electronic device with a below-operating system security agent
US8650642B2 (en) * 2011-03-31 2014-02-11 Mcafee, Inc. System and method for below-operating system protection of an operating system kernel
US9032525B2 (en) 2011-03-29 2015-05-12 Mcafee, Inc. System and method for below-operating system trapping of driver filter attachment
US8813227B2 (en) 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US8966629B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for below-operating system trapping of driver loading and unloading
US8863283B2 (en) 2011-03-31 2014-10-14 Mcafee, Inc. System and method for securing access to system calls
US8966624B2 (en) 2011-03-31 2015-02-24 Mcafee, Inc. System and method for securing an input/output path of an application against malware with a below-operating system security agent
US9038176B2 (en) 2011-03-31 2015-05-19 Mcafee, Inc. System and method for below-operating system trapping and securing loading of code into memory
US8925089B2 (en) 2011-03-29 2014-12-30 Mcafee, Inc. System and method for below-operating system modification of malicious code on an electronic device
US9087199B2 (en) 2011-03-31 2015-07-21 Mcafee, Inc. System and method for providing a secured operating system execution environment
US8959638B2 (en) 2011-03-29 2015-02-17 Mcafee, Inc. System and method for below-operating system trapping and securing of interdriver communication
US9244818B1 (en) * 2011-03-29 2016-01-26 Amazon Technologies, Inc. Automated selection of quality control tests to run on a software application
US8677493B2 (en) * 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
WO2013041016A1 (zh) 2011-09-19 2013-03-28 北京奇虎科技有限公司 处理计算机病毒的方法和装置
US20130227352A1 (en) * 2012-02-24 2013-08-29 Commvault Systems, Inc. Log monitoring
US9026864B2 (en) * 2012-02-29 2015-05-05 Red Hat, Inc. Offloading health-checking policy
US9027138B2 (en) 2012-06-29 2015-05-05 Centurylink Intellectual Property Llc Identification of infected devices in broadband environments
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US9311480B2 (en) 2013-03-15 2016-04-12 Mcafee, Inc. Server-assisted anti-malware client
US9143519B2 (en) 2013-03-15 2015-09-22 Mcafee, Inc. Remote malware remediation
US9614865B2 (en) 2013-03-15 2017-04-04 Mcafee, Inc. Server-assisted anti-malware client
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9491193B2 (en) * 2013-06-27 2016-11-08 Secureage Technology, Inc. System and method for antivirus protection
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9117081B2 (en) 2013-12-20 2015-08-25 Bitdefender IPR Management Ltd. Strongly isolated malware scanning using secure virtual containers
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9740857B2 (en) 2014-01-16 2017-08-22 Fireeye, Inc. Threat-aware microvisor
US10432658B2 (en) * 2014-01-17 2019-10-01 Watchguard Technologies, Inc. Systems and methods for identifying and performing an action in response to identified malicious network traffic
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
RU2583711C2 (ru) 2014-06-20 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Способ отложенного устранения вредоносного кода
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9727727B2 (en) 2014-09-26 2017-08-08 Dropbox Inc. Scanning content items based on user activity
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9160680B1 (en) * 2014-11-18 2015-10-13 Kaspersky Lab Zao System and method for dynamic network resource categorization re-assignment
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
CN108804925B (zh) * 2015-05-27 2022-02-01 北京百度网讯科技有限公司 用于检测恶意代码的方法和系统
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10705829B2 (en) * 2016-03-30 2020-07-07 International Business Machines Corporation Software discovery using exclusion
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10326599B2 (en) * 2016-05-09 2019-06-18 Hewlett Packard Enterprise Development Lp Recovery agents and recovery plans over networks
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10536476B2 (en) * 2016-07-21 2020-01-14 Sap Se Realtime triggering framework
US10482241B2 (en) 2016-08-24 2019-11-19 Sap Se Visualization of data distributed in multiple dimensions
US10542016B2 (en) 2016-08-31 2020-01-21 Sap Se Location enrichment in enterprise threat detection
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10630705B2 (en) 2016-09-23 2020-04-21 Sap Se Real-time push API for log events in enterprise threat detection
US10673879B2 (en) 2016-09-23 2020-06-02 Sap Se Snapshot of a forensic investigation for enterprise threat detection
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10534908B2 (en) 2016-12-06 2020-01-14 Sap Se Alerts based on entities in security information and event management products
US10534907B2 (en) 2016-12-15 2020-01-14 Sap Se Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data
US10530792B2 (en) 2016-12-15 2020-01-07 Sap Se Using frequency analysis in enterprise threat detection to detect intrusions in a computer system
US10552605B2 (en) 2016-12-16 2020-02-04 Sap Se Anomaly detection in enterprise threat detection
US11470094B2 (en) 2016-12-16 2022-10-11 Sap Se Bi-directional content replication logic for enterprise threat detection
US10764306B2 (en) 2016-12-19 2020-09-01 Sap Se Distributing cloud-computing platform content to enterprise threat detection systems
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10530794B2 (en) 2017-06-30 2020-01-07 Sap Se Pattern creation in enterprise threat detection
US10409582B1 (en) * 2017-07-21 2019-09-10 Jpmorgan Chase Bank, N.A. Method and system for implementing a retail event management tool
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US10986111B2 (en) 2017-12-19 2021-04-20 Sap Se Displaying a series of events along a time axis in enterprise threat detection
US10681064B2 (en) 2017-12-19 2020-06-09 Sap Se Analysis of complex relationships among information technology security-relevant entities using a network graph
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
CN110874472B (zh) * 2018-09-04 2024-02-13 中国信息安全测评中心 一种pe病毒逃逸样本的生成方法和系统
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11100064B2 (en) 2019-04-30 2021-08-24 Commvault Systems, Inc. Automated log-based remediation of an information management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
JP2022065703A (ja) * 2020-10-16 2022-04-28 富士通株式会社 情報処理プログラム、情報処理方法、および情報処理装置
US11222112B1 (en) * 2021-02-24 2022-01-11 Netskope, Inc. Signatureless detection of malicious MS office documents containing advanced threats in macros
US11349865B1 (en) 2021-02-24 2022-05-31 Netskope, Inc. Signatureless detection of malicious MS Office documents containing embedded OLE objects

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5159685A (en) * 1989-12-06 1992-10-27 Racal Data Communications Inc. Expert system for communications network
US5319776A (en) * 1990-04-19 1994-06-07 Hilgraeve Corporation In transit detection of computer virus with safeguard
US5475625A (en) * 1991-01-16 1995-12-12 Siemens Nixdorf Informationssysteme Aktiengesellschaft Method and arrangement for monitoring computer manipulations
US5473769A (en) * 1992-03-30 1995-12-05 Cozza; Paul D. Method and apparatus for increasing the speed of the detecting of computer viruses
WO1993025024A1 (en) * 1992-05-26 1993-12-09 Cyberlock Data Intelligence, Inc. Computer virus monitoring system
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5544308A (en) * 1994-08-02 1996-08-06 Giordano Automation Corp. Method for automating the development and execution of diagnostic reasoning software in products and processes
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
US5491791A (en) * 1995-01-13 1996-02-13 International Business Machines Corporation System and method for remote workstation monitoring within a distributed computing environment
US5696822A (en) * 1995-09-28 1997-12-09 Symantec Corporation Polymorphic virus detection module
US5696701A (en) * 1996-07-12 1997-12-09 Electronic Data Systems Corporation Method and system for monitoring the performance of computers in computer networks using modular extensions

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012234579A (ja) * 1999-12-31 2012-11-29 Inca Internet Co Ltd オンライン上での有害情報を遮断するためのシステム及び方法
JP2012069143A (ja) * 1999-12-31 2012-04-05 Inca Internet Co Ltd オンライン上での有害情報を遮断するためのシステム及び方法
JP2005532606A (ja) * 2001-12-31 2005-10-27 シタデル セキュリティ ソフトウェア インコーポレイテッド コンピュータの脆弱性を解決する自動化されたシステム
US7778660B2 (en) 2002-01-17 2010-08-17 Ntt Docomo, Inc. Mobile communications terminal, information transmitting system and information receiving method
US7299035B2 (en) 2002-01-17 2007-11-20 Ntt Docomo, Inc. Server device, mobile communications terminal, information transmitting system and information transmitting method
US8156558B2 (en) 2003-05-17 2012-04-10 Microsoft Corporation Mechanism for evaluating security risks
JP2006526193A (ja) * 2003-05-17 2006-11-16 マイクロソフト コーポレーション セキュリティリスクを評価するための機構
JP2005229611A (ja) * 2004-02-10 2005-08-25 Ricoh Co Ltd 複合機用のウィルス保護
JP2008152769A (ja) * 2006-11-28 2008-07-03 Avaya Technology Llc 自動セキュリティ・プラットフォーム
JP2010517170A (ja) * 2007-01-26 2010-05-20 ヴァーダシス・インコーポレーテッド 不正侵入された顧客マシンとの信頼された取引の保証
JP4536750B2 (ja) * 2007-05-30 2010-09-01 株式会社エヌ・ティ・ティ・ドコモ サーバ装置、情報送信システム及び情報送信方法
JP2007293887A (ja) * 2007-05-30 2007-11-08 Ntt Docomo Inc サーバ装置、移動通信端末、情報送信システム及び情報送信方法
JP2011523482A (ja) * 2008-05-21 2011-08-11 シマンテック コーポレーション ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース
JP2012501504A (ja) * 2008-08-29 2012-01-19 エーブイジー テクノロジーズ シーゼット、エス.アール.オー. マルウェア検知のシステムおよび方法
JP2015535115A (ja) * 2012-11-20 2015-12-07 シマンテック コーポレーションSymantec Corporation マルウェア定義パッケージサイズを縮小するためのテレメトリの使用
JP2018538633A (ja) * 2015-12-19 2018-12-27 ビットディフェンダー アイピーアール マネジメント リミテッド 複数のネットワークエンドポイントをセキュアにするためのデュアルメモリイントロスペクション

Also Published As

Publication number Publication date
US5960170A (en) 1999-09-28
EP0968466A1 (en) 2000-01-05
AU6537698A (en) 1998-10-12
WO1998041919A1 (en) 1998-09-24
JP4052604B2 (ja) 2008-02-27

Similar Documents

Publication Publication Date Title
JP2001515625A (ja) クライアント・サーバシステムにおけるウイルス検出
USRE45326E1 (en) Systems and methods for securing computers
EP2566130B1 (en) Automatic analysis of security related incidents in computer networks
US7904518B2 (en) Apparatus and method for analyzing and filtering email and for providing web related services
US7062552B2 (en) System and method for blocking harmful information online, and computer readable medium therefor
Ning et al. Analyzing intensive intrusion alerts via correlation
EP1417603B1 (en) Automated computer system security compromise
US7093292B1 (en) System, method and computer program product for monitoring hacker activities
RU2444056C1 (ru) Система и способ ускорения решения проблем за счет накопления статистической информации
US6944775B2 (en) Scanner API for executing multiple scanning engines
US7836506B2 (en) Threat protection network
US7383578B2 (en) Method and system for morphing honeypot
US6963978B1 (en) Distributed system and method for conducting a comprehensive search for malicious code in software
US20030233447A1 (en) Apparatus and methods for monitoring content requested by a client device
Mokhov et al. Automating MAC spoofer evidence gathering and encoding for investigations
KR20090054822A (ko) 악성코드 수집 방법 및 장치
JP2002259149A (ja) ネットワークを通した遠隔コンピュータウイルス防疫システム及びその方法
CN116841912B (zh) 应用测试方法、装置、电子设备及计算机可读存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070522

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070817

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070921

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070921

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071203

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101214

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111214

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121214

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131214

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term