JP2006011552A - コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム - Google Patents
コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム Download PDFInfo
- Publication number
- JP2006011552A JP2006011552A JP2004184030A JP2004184030A JP2006011552A JP 2006011552 A JP2006011552 A JP 2006011552A JP 2004184030 A JP2004184030 A JP 2004184030A JP 2004184030 A JP2004184030 A JP 2004184030A JP 2006011552 A JP2006011552 A JP 2006011552A
- Authority
- JP
- Japan
- Prior art keywords
- operating system
- computer virus
- computer
- hash value
- virtual operating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 ホストOS11上で、ホストOS11とは論理的に遮断された環境であるゲストOS12が動作するコンピュータにより実現される。ゲストOS12による制御の下、ゲストOS12がコンピュータウィルスに感染したことを検知する検知部13と、感染が検知されたコンピュータウィルスに関する情報(コンピュータウィルスの実行ファイルのハッシュ値や本体データ)をホストOS11に通知する通知部14とが動作する。一方、ホストOS11による制御の下、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う処理部15と、この処理の完了後にゲストOS12を感染前の状態に復旧する復旧部16とが動作する。
【選択図】 図2
Description
第一に、特許文献1では、仮想ホストを、コンピュータウィルスの挙動を安全に監視するための環境として捉え、実ホスト上で実現される検査処理部が、そのような仮想ホストで被検査ファイルを実行しているに過ぎないので、実ホストから隔離された仮想ホストを囮としてコンピュータウィルスを捕捉しその情報を収集することはできないという問題点である。
第二に、特許文献1では、実ホスト上で実現される検査処理部が、仮想ホストの動作結果を監視しているので、監視対象に制限が出て来てしまうという問題点である。即ち、ダイナミックヒューリスティック検査として可能なのは、(1)メール送信の監視によりウィルスを検知する方法、(2)ファイルの改ざんの監視によりウィルスを検知する方法等であり、実ホストから把握できない、仮想ホスト上のファイルの作成、設定の変更等については、検査することができない。
また、本発明の他の目的は、仮想オペレーティングシステム上で実オペレーティングシステムからは把握できない変化を生じさせるコンピュータウィルスについても検知できるようにすることにある。
図1は、本実施の形態が適用されるコンピュータシステムの構成を示した図である。このコンピュータシステムは、本発明のコンピュータウィルス情報収集装置10と、利用者端末21〜2nとが、コンピュータネットワーク30を介して接続することにより構成されている。
尚、利用者端末21〜2nのいずれかが、コンピュータウィルスに感染することも考えられ、その感染した利用者端末からコンピュータウィルス情報収集装置10へコンピュータウィルスが送り込まれることにより、本実施の形態の動作が開始することもある。
一方、コンピュータネットワーク30は、例えば、インターネットである。
本実施の形態では、図2に示すように、コンピュータウィルス情報収集装置10において、実オペレーティングシステム(以下、「ホストOS」という)11上で、仮想オペレーティングシステム(以下、「ゲストOS」という)12を動作させる。即ち、コンピュータウィルスの感染対象となる囮サーバをゲストOS12上に構築し、ゲストOS12上で動作するコンピュータウィルスの情報をホストOS11に記録する。尚、このようなゲストOS12上のサーバの構築は、例えば、VMware(登録商標)等の既存ソフトウェアを用いることにより実現可能である。このように構築されたゲストOS12はホストOS11からは論理的に遮断された環境であるため、ゲストOS12が感染したコンピュータウィルスによってホストOS11が影響を受けることはない。
検知部13は、ゲストOS12がコンピュータウィルスに感染したことを検知する機能であり、通知部14は、感染が検知されたコンピュータウィルスに関する情報をホストOS11に通知する機能である。一方、処理部15は、ゲストOS12から通知されたコンピュータウィルスに関する情報を用いて所定の処理を行う機能である。ここで、所定の処理には、後述するように、ゲストOS12で検知されたコンピュータウィルスの実行ファイルのハッシュ値とハッシュ値データベース(以下、「ハッシュ値DB」という)に登録された既知のコンピュータウィルスの実行ファイルのハッシュ値との比較処理、コンピュータウィルスの感染状況を管理する管理情報の更新処理、コンピュータウィルスの感染を所定の報知先に報知する報知処理等がある。また、復旧部16は、処理部15による処理の完了後にゲストOS12を感染前の状態に復旧する機能である。
図3に、ハッシュ値DBの記憶内容の一例を示す。ここでは、コンピュータウィルス「A」、「B」、「C」について、ハッシュ値が記憶されている。これらのコンピュータウィルスは、既知のコンピュータウィルスであり、そのバイナリデータを既に解析済みのものであるとする。尚、ここでいうハッシュ値とは、コンピュータウィルスの実行ファイルのバイナリデータにハッシュ関数を施して得られる値のことである。ハッシュ関数の代表的なものには、「SHA−1」、「MD5」等がある。このうち、前者は、2の64乗ビット以下のデータから160ビットのハッシュ値を生成するアルゴリズムであり、後者は、任意のビット長のデータから128ビットのハッシュ値を生成するアルゴリズムである。
図4は、ゲストOS12上で動作する検知部13及び通知部14の動作を示すフローチャートであり、図5は、ホストOS11上で動作する処理部15及び復旧部16の動作を示すフローチャートである。
まず、図4に示すように、ゲストOS12がコンピュータウィルスに感染したことを検知部13が検知する(ステップ101)。
具体的には、コンピュータウィルスに感染した場合に起こり得ることが経験的に判明しているファイルの作成や設定の変更のパターンを定義しておき、ファイルが作成された場合や設定が変更された場合に、この定義されたパターンと照合することにより、コンピュータウィルスに感染したのかどうかを判断することができる。尚、ファイルの作成のパターンは、例えば、作成されるファイルのパス、ファイル名、サイズ等によって定義され、設定の変更のパターンは、例えば、設定項目、設定値等によって定義される。
但し、かかる検知方法は、コンピュータウィルスの実行ファイルが電子メールに添付されて届けられる場合を想定していない。コンピュータウィルスの実行ファイルが電子メールに添付されて届けられた場合の検知も可能とするためには、電子メールの添付ファイルをゲストOS12上で自動実行するよう設定しておき、その自動実行後のゲストOS12上の変更を監視する等の処理が必要になる。
尚、ここでのコンピュータウィルスの実行ファイルの特定は、次のように行うことができる。即ち、ファイルが新たに作成された場合であれば、その新たに作成されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。また、システムの設定が変更された場合であれば、そのシステムの設定において新たに指定されたファイルがコンピュータウィルスの実行ファイルであると考えることができる。例えば、システムが起動される度にあるプログラムが自動実行されるような設定になっているのであれば、その自動実行されるプログラムがコンピュータウィルスの実行ファイルである。
即ち、まず、処理部15が、コンピュータウィルスの実行ファイルのハッシュ値をゲストOS12から取得し(ステップ201)、ハッシュ値DBに記憶されたハッシュ値と比較する(ステップ202)。その結果、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがあれば(ステップ203でYes)、そのハッシュ値に対応するコンピュータウィルスの種類を特定する(ステップ204)。一方、ハッシュ値DBに記憶されたハッシュ値の中に、ゲストOS12から取得したハッシュ値と一致するものがなければ(ステップ203でNo)、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を送付するよう、ゲストOS12に要求する(ステップ205)。
これにより、ホストOS11上では、処理部15が、コンピュータウィルスの実行ファイルの本体データ(バイナリデータ)を取得し(ステップ206)、所定の記憶領域に保存する(ステップ207)。
即ち、処理部15は、コンピュータウィルスの感染状況を管理する管理情報を更新する(ステップ208)。この場合、例えば、ステップ204で特定されたコンピュータウィルスの種類に対する管理情報を、又は、ステップ203でNoと判定された場合であれば、未知のコンピュータウィルスに対する管理情報を更新することができる。かかる管理情報の例を、図6−1(a)に示す。図6−1(a)では、時期ごと、コンピュータウィルスの種類ごとに感染数を計測している。ここでは、ハッシュ値DBに登録されていたコンピュータウィルス「A」、「B」、「C」と、未登録であったコンピュータウィルス(未知のコンピュータウィルス)とについて、その感染数を計測している。
尚、この管理情報は、ある時点において、例えば、図6−1(b)や図6−2(c)に示すようなグラフとして出力することも可能である。
そして、これらのコンピュータウィルスの解析に必要な処理が完了すると、復旧部16は、ゲストOS12の再起動を行う(ステップ210)。例えば、ゲストOS12を実現するファイルを感染前の状態に戻す処理を行う。ゲストOS12は、ソフトウェアによって構築された仮想的な環境であるため、容易にコンピュータウィルス感染前の状態へと復旧することが可能である。
また、ゲストOS12がコンピュータウィルスに感染したことの検知を、ゲストOS12上で動作するプログラムにより行う構成を採用した。かかる構成により、ホストOS11が把握できないゲストOS12上の変更に基づく感染の検知も行えるようになっている。
Claims (10)
- 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータにおいて、
前記仮想オペレーティングシステム上で動作し、当該仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する検知部と、
前記仮想オペレーティングシステム上で動作し、前記検知部により感染が検知された前記コンピュータウィルスに関する情報を前記実オペレーティングシステムに通知する通知部と、
前記実オペレーティングシステム上で動作し、前記通知部により通知された前記コンピュータウィルスに関する情報を用いて所定の処理を行う処理部と
を備えたことを特徴とするコンピュータウィルス情報収集装置。 - 前記検知部は、前記仮想オペレーティングシステム上でのファイルの追加、又は、当該仮想オペレーティングシステム上での設定の変更を検出することにより、当該仮想オペレーティングシステムが前記コンピュータウィルスに感染したことを検知することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 前記通知部は、前記コンピュータウィルスに関する情報として、当該コンピュータウィルスの実行ファイルのハッシュ値を通知し、
前記処理部は、前記通知部により通知された前記ハッシュ値を、既知のコンピュータウィルスの実行ファイルのハッシュ値と比較することにより、感染が検知された前記コンピュータウィルスが前記既知のコンピュータウィルスであるかどうかを判定することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。 - 前記通知部は、前記コンピュータウィルスに関する情報として、当該コンピュータウィルスの実行ファイルの本体データを通知し、
前記処理部は、前記通知部により通知された前記本体データを保存することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。 - 前記通知部は、前記コンピュータウィルスに関する情報として、当該コンピュータウィルスの実行ファイルのハッシュ値を通知し、その後、前記処理部から要求された場合に、当該コンピュータウィルスの実行ファイルの本体データを通知し、
前記処理部は、前記通知部により通知された前記ハッシュ値が、予め登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在しない場合に、当該通知部に対し、感染が検知された前記コンピュータウィルスの実行ファイルの本体データの通知を要求することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。 - 前記処理部は、前記コンピュータウィルスの感染状況を管理する管理情報を更新し、又は、当該コンピュータウィルスの感染を所定の報知先に報知することを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 前記処理部による処理の完了後、前記仮想オペレーティングシステムを、前記コンピュータウィルスに感染する前の状態に復旧する復旧部を更に備えたことを特徴とする請求項1記載のコンピュータウィルス情報収集装置。
- 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータを用いて、当該仮想オペレーティングシステムが感染したコンピュータウィルスに関する情報を収集するコンピュータウィルス情報収集方法であって、
前記仮想オペレーティングシステムによる制御の下で、前記コンピュータウィルスの実行ファイルのハッシュ値を算出するステップと、
算出したハッシュ値を、前記仮想オペレーティングシステムから前記実オペレーティングシステムへ通知するステップと、
前記実オペレーティングシステムによる制御の下で、通知された前記ハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在するかどうかを判定するステップと、
前記通知されたハッシュ値が前記データベースに登録されたハッシュ値の中に存在しない場合に、前記仮想オペレーティングシステムが感染した前記コンピュータウィルスの実行ファイルの本体データを、当該仮想オペレーティングシステムから前記実オペレーティングシステムへ送付するステップと
を含むことを特徴とするコンピュータウィルス情報収集方法。 - 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータに、
前記仮想オペレーティングシステム上の機能であって、当該仮想オペレーティングシステムがコンピュータウィルスに感染したことを検知する機能と、
前記仮想オペレーティングシステム上の機能であって、感染が検知された前記コンピュータウィルスの実行ファイルのハッシュ値を前記実オペレーティングシステムに通知する機能と、
前記仮想オペレーティングシステム上の機能であって、感染が検知された前記コンピュータウィルスの実行ファイルの本体データを、前記実オペレーティングシステムから要求があった場合に当該実オペレーティングシステムに送付する機能と
を実現させるためのプログラム。 - 実オペレーティングシステム上に、当該実オペレーティングシステムとは論理的に遮断された環境である仮想オペレーティングシステムが構築されたコンピュータに、
前記実オペレーティングシステム上の機能であって、前記仮想オペレーティングシステムから通知されたコンピュータウィルスの実行ファイルのハッシュ値が、予めデータベースに登録された複数のコンピュータウィルスの実行ファイルのハッシュ値の中に存在するかどうかを判定する機能と、
前記実オペレーティングシステム上の機能であって、前記通知されたハッシュ値が前記データベースに登録されたハッシュ値の中に存在しない場合に、前記仮想オペレーティングシステムが感染した前記コンピュータウィルスの実行ファイルの本体データの送付を、当該仮想オペレーティングシステムに要求する機能と、
前記実オペレーティングシステム上の機能であって、前記仮想オペレーティングシステムから送付された前記コンピュータウィルスの実行ファイルの本体データを保存する機能と
を実現させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004184030A JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004184030A JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2006011552A true JP2006011552A (ja) | 2006-01-12 |
JP2006011552A5 JP2006011552A5 (ja) | 2007-07-26 |
JP4050253B2 JP4050253B2 (ja) | 2008-02-20 |
Family
ID=35778785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004184030A Expired - Fee Related JP4050253B2 (ja) | 2004-06-22 | 2004-06-22 | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4050253B2 (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008152776A (ja) * | 2006-12-12 | 2008-07-03 | Secunet Security Networks Ag | 安全オペレーティングシステムを持つコンピュータシステム上の安全データ処理方法 |
JP2009031859A (ja) * | 2007-07-24 | 2009-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システムおよび情報収集方法 |
JP2010140196A (ja) * | 2008-12-10 | 2010-06-24 | Lac Co Ltd | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
KR101512456B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 배양기반 악성코드 분석시스템의 네트워크를 통한 os재로딩 방법 |
CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002084459A1 (en) * | 2001-04-10 | 2002-10-24 | International Business Machines Corporation | Detection of computer viruses on a network using a bait server |
-
2004
- 2004-06-22 JP JP2004184030A patent/JP4050253B2/ja not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002084459A1 (en) * | 2001-04-10 | 2002-10-24 | International Business Machines Corporation | Detection of computer viruses on a network using a bait server |
JP2004531812A (ja) * | 2001-04-10 | 2004-10-14 | インターナショナル・ビジネス・マシーンズ・コーポレーション | おとりとして無差別システムを使用してネットワーク上の特定のコンピュータ・ウィルスを検出、通知、除去する方法および装置 |
Non-Patent Citations (10)
Title |
---|
"シマンテックのウイルス研究所SARCの正体", アスキーNT 第3巻 第12号 ASCII NETWORK TECHNOLOGY, vol. 第3巻, CSND199900339025, 1 December 1998 (1998-12-01), JP, pages 216 - 219, ISSN: 0000879867 * |
"シマンテックのウイルス研究所SARCの正体", アスキーNT 第3巻 第12号 ASCII NETWORK TECHNOLOGY, vol. 第3巻, JPN6007003787, 1 December 1998 (1998-12-01), JP, pages 216 - 219, ISSN: 0000914348 * |
F. POUGET, PROC. OF AUSCERT ASIA PACIFIC INFORMATION TECHNOLOGY SECURITY CONFERENCE 2004. (AUSCERT2004), JPN4007015212, May 2004 (2004-05-01), ISSN: 0000879864 * |
F. POUGET, PROC. OF AUSCERT ASIA PACIFIC INFORMATION TECHNOLOGY SECURITY CONFERENCE 2004. (AUSCERT2004), JPN6007003784, May 2004 (2004-05-01), ISSN: 0000914345 * |
三宅 崇之 TAKASHI MIYAKE: "仮想サーバを使った未知ウイルス検知システムの提案 A Method to Detect Unknown Computer Virus Using Vi", 情報処理学会研究報告 VOL.2002 NO.68 IPSJ SIG NOTES, vol. 第2002巻, CSNG200400078008, 19 July 2002 (2002-07-19), JP, pages 45 - 52, XP008185878, ISSN: 0000879865 * |
三宅 崇之 TAKASHI MIYAKE: "仮想サーバを使った未知ウイルス検知システムの提案 A Method to Detect Unknown Computer Virus Using Vi", 情報処理学会研究報告 VOL.2002 NO.68 IPSJ SIG NOTES, vol. 第2002巻, JPN6007003785, 19 July 2002 (2002-07-19), JP, pages 45 - 52, XP008185878, ISSN: 0000914346 * |
平野谷 信勝: "最新のアンチウイルスソフトとガードテクニックで鉄壁の守りを実現コンピュータウイルスから愛機を防衛せよ", OH!PC 第17巻 第10号, vol. 第17巻, CSND199900489013, 1 February 1999 (1999-02-01), JP, pages 143 - 149, ISSN: 0000879868 * |
平野谷 信勝: "最新のアンチウイルスソフトとガードテクニックで鉄壁の守りを実現コンピュータウイルスから愛機を防衛せよ", OH!PC 第17巻 第10号, vol. 第17巻, JPN6007003788, 1 February 1999 (1999-02-01), JP, pages 143 - 149, ISSN: 0000914349 * |
池田 秀司: "手順と検出方法をじっくり解説 不正侵入対策虎の巻 第1回", NETWORK WORLD VOL.8 NO.5, vol. 第8巻, CSND200400477014, 1 May 2003 (2003-05-01), JP, pages 144 - 146, ISSN: 0000879866 * |
池田 秀司: "手順と検出方法をじっくり解説 不正侵入対策虎の巻 第1回", NETWORK WORLD VOL.8 NO.5, vol. 第8巻, JPN6007003786, 1 May 2003 (2003-05-01), JP, pages 144 - 146, ISSN: 0000914347 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008152776A (ja) * | 2006-12-12 | 2008-07-03 | Secunet Security Networks Ag | 安全オペレーティングシステムを持つコンピュータシステム上の安全データ処理方法 |
JP2009031859A (ja) * | 2007-07-24 | 2009-02-12 | Nippon Telegr & Teleph Corp <Ntt> | 情報収集システムおよび情報収集方法 |
JP2010140196A (ja) * | 2008-12-10 | 2010-06-24 | Lac Co Ltd | ウェブページ検査装置、コンピュータシステム、ウェブページ検査方法、及びプログラム |
JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
KR101512456B1 (ko) * | 2013-12-24 | 2015-04-16 | 한국인터넷진흥원 | 배양기반 악성코드 분석시스템의 네트워크를 통한 os재로딩 방법 |
CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
JP4050253B2 (ja) | 2008-02-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3506139B1 (en) | Malware detection in event loops | |
US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
US9781144B1 (en) | Determining duplicate objects for malware analysis using environmental/context information | |
JP5631988B2 (ja) | ウイルス対策スキャン | |
US9679136B2 (en) | Method and system for discrete stateful behavioral analysis | |
US9294486B1 (en) | Malware detection and analysis | |
EP3420489B1 (en) | Cybersecurity systems and techniques | |
US7716736B2 (en) | Apparatus, methods and articles of manufacture for computer virus testing | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
US10372909B2 (en) | Determining whether process is infected with malware | |
Moser et al. | Hunting in the enterprise: Forensic triage and incident response | |
US20130247190A1 (en) | System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity | |
US8627404B2 (en) | Detecting addition of a file to a computer system and initiating remote analysis of the file for malware | |
JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
US20130185800A1 (en) | Anti-virus protection for mobile devices | |
US9792436B1 (en) | Techniques for remediating an infected file | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
EP3531329A1 (en) | Anomaly-based-malicious-behavior detection | |
JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
Liu et al. | A system call analysis method with mapreduce for malware detection | |
JP2008129707A (ja) | プログラム分析装置、プログラム分析方法、及びプログラム | |
US9239907B1 (en) | Techniques for identifying misleading applications | |
WO2022156293A1 (zh) | 处理告警日志的方法、装置及存储介质 | |
KR100632204B1 (ko) | 네트워크 상의 공격 탐지 장치 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070606 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070606 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20070607 |
|
A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20070727 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071001 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20071106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20071128 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101207 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131207 Year of fee payment: 6 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |