JP2008287722A - リスクレベル分析装置およびリスクレベル分析方法 - Google Patents
リスクレベル分析装置およびリスクレベル分析方法 Download PDFInfo
- Publication number
- JP2008287722A JP2008287722A JP2008129433A JP2008129433A JP2008287722A JP 2008287722 A JP2008287722 A JP 2008287722A JP 2008129433 A JP2008129433 A JP 2008129433A JP 2008129433 A JP2008129433 A JP 2008129433A JP 2008287722 A JP2008287722 A JP 2008287722A
- Authority
- JP
- Japan
- Prior art keywords
- information
- execution process
- risk level
- module
- execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】現在の執行プロセスについての情報を獲得する情報獲得モジュール1と、操作システムの核心の執行プロセスの情報と、既知の危険なプログラムの執行プロセスの情報とを保存する情報保存モジュール2と、情報獲得モジュール1が獲得した執行プロセスの情報と、情報保存モジュール2が保存した執行プロセスの情報とを比較する類似度比較モジュール3と、類似度比較モジュール3によって得た比較結果に基づいて色で執行プロセスのリスクレベルを区別するリスクレベル表示モジュール4とを備える。このような装置によると、ウイルス駆除ソフトウェアを必要とせず、システムの現在の稼動環境を検査し判定が可能となる。
【選択図】図1
Description
第1に、これら二つの方法では執行プロセスの関連情報のみを提供し、執行プロセスのセキュリティーを確保するか、または執行プロセスの情報の信憑性を確認することができない。そのため、ユーザーは提供された情報のみによって人為的かつ簡単に判断することしかできない。従って、システム中の危険性がある偽りの執行プロセスを見逃す可能性がある。
第3に、これら二つの方法ではシステムのうち危険性のある執行プロセスを全面的に判断する方法および、互いに対応する交互情報によって現在のシステムの執行プロセスに対しリスクを直接判断する方法はユーザーに提供できないため、ユーザーは自分自身の判断に頼るしかない。
本発明のもう一つの目的は、前記装置による執行プロセスのリスクレベルを自動的に分析するリスクレベル分析方法を提供することにある。
既知の執行プロセスについての情報保存モジュールは、操作システムの核心の執行プロセスの情報と、既知の危険なプログラムの執行プロセスの情報とを保存する。
類似度比較モジュールは、現在の執行プロセスについての情報獲得モジュールが獲得した執行プロセスの情報と、既知の執行プロセスについての情報保存モジュールが保存した執行プロセスの情報とを比較する。
またリスクレベル分析装置は、リスクレベルが比較的高い執行プロセスを処理することをユーザーに通知し指導し、かつユーザーの需要に応じてリスクレベルに対する色表記および通知タイミングを設定するため、情報交互モジュールを備える。
既知の執行プロセスの情報を読み取るステップは、既知の執行プロセスについての情報保存モジュールから既知の執行プロセスの情報を読み取る。
現在の執行プロセスの情報を獲得するステップは、現在の執行プロセスについての情報獲得モジュールによって現在のシステムのあらゆる執行プロセスの相関的な情報を獲得する。
リスクレベルを表示するステップは、類似度を比較するステップによって得た比較結果に基づいて色で執行プロセスのリスクレベルを区別する。
これにより、本発明の効果は次の通りである。
第1に、本発明は、ウイルス駆除ソフトウェアとサードパーティから提供されるソフトウェアを必要とせず、システムの現在の稼動環境を検査し判定することを可能にする簡易型の方法を採用するため、結果を比較的簡単に獲得することが可能となる。
第3に、本発明は現在のシステムにおいて不審な執行プロセスが稼動することを発見するとユーザーに通知するため、ユーザーはソフトウェアによる通知およびアドバスに基づいて不審な執行プロセスに対処することが可能である。
(第1実施形態)
図1に示すように、本発明によるリスクレベル分析装置は、下記のものを備える。
現在の執行プロセスについての情報獲得モジュール1は、現在のシステムのあらゆる執行プロセスの相関的な情報を獲得する。執行プロセスは執行プロセスの名前、径路、CPUおよびその内部の使用率などの基本の情報のほかに、執行プロセスにおいて稼動するモジュール目録、モジュール提供業者およびバージョンなどの情報を含む。
第一作用は操作システムの核心の執行プロセスの情報と、ソフトウェアが発表される前の既知の危険なプログラムの執行プロセスの情報とを、既知の執行プロセスについての情報保存モジュールに保存する。このステップは通常ソフトウェア提供業者がソフトウェアを発表する前に完成する。
第二作用は既知の執行プロセスの情報を即時に更新するため、起動または稼動過程ごとに新たに危険なプログラムの執行プロセスの相関的な情報を発見すると更新し保存を行うことができる。
本実施形態においては次の順に進む。
3)あらゆる執行プロセス所属のモジュールに対し、基本的な情報走査を行い、欠陥のある情報を発信したモジュールと相関的な執行プロセスとを見付ける。
図2に示すように、前記装置によって現在のシステムの執行プロセスに対し、リスクレベルを自動的に分析する本発明によるリスクレベル分析方法は、“起動”と“閉じる”を除いて次のステップを含む。
上述したステップでは、既知の執行プロセスの情報を読み取るステップと、現在の執行プロセスの情報を獲得するステップとを互換しても機能に影響を与えることがない。
Claims (8)
- 現在のシステムのあらゆる執行プロセスの相関的な情報を獲得するための現在の執行プロセスについての情報獲得モジュールと、
操作システムの核心の執行プロセスの情報と、既知の危険なプログラムの執行プロセスの情報とを保存するための既知の執行プロセスについての情報保存モジュールと、
現在の執行プロセスについての情報獲得モジュールが獲得した執行プロセスの情報と、既知の執行プロセスについての情報保存モジュールが保存した執行プロセスの情報とを比較するための類似度比較モジュールと、
類似度比較モジュールによって得た比較結果に基づいて色で執行プロセスのリスクレベルを区別するためのリスクレベル表示モジュールと、
を備えることを特徴とするリスクレベル分析装置。 - リスクレベルが比較的高い執行プロセスを処理することをユーザーに通知し指導し、かつユーザーの需要に応じてリスクレベルに対する色表記および通知タイミングを設定するための情報交互モジュールをさらに備えることを特徴とする請求項1に記載のリスクレベル分析装置。
- 情報交互モジュールは、新たに獲得した危険プログラムの執行プロセルの情報を保存し、既知の執行プロセスについての情報保存モジュールに保存された情報を更新することを、ユーザーに通知することを特徴とする請求項2に記載のリスクレベル分析装置。
- 類似度比較モジュールは、システムの核心の執行プロセスの情報を比較することによりシステムの核心の執行プロセスが損壊または混乱しているか否かを判断すること、核心の執行プロセス以外の執行プロセスの情報を比較することにより悪質なプログラムの執行プロセスが存在しているか否かを判断すること、及びあらゆる執行プロセス所属のモジュールの基本的な情報を走査することにより欠陥のある情報を発信した執行プロセスのモジュールがあるか否かを判断することを行うことを特徴とする請求項1または請求項2または請求項3に記載のリスクレベル分析装置。
- 既知の執行プロセスについての情報保存モジュールから既知の執行プロセスの情報を読み取る、即ち既知の執行プロセスの情報を読み取るステップと、
現在の執行プロセスについての情報獲得モジュールによって現在のシステムのあらゆる執行プロセスの相関的な情報を獲得する、即ち現在の執行プロセスの情報を獲得するステップと、
現在の執行プロセスについての情報獲得モジュールが獲得した執行プロセスの情報と、既知の執行プロセスについての情報保存モジュールが保存した執行プロセスの情報とを比較する、即ち類似度を比較するステップと、
類似度を比較するステップによって得た比較結果に基づいて色で執行プロセスのリスクレベルを区別する、即ちリスクレベルを表示するステップと、
を含むことを特徴とするリスクレベル分析方法。 - リスクレベルが比較的高い執行プロセスを処理することをユーザーに通知し指導し、かつユーザーの需要に応じてリスクレベルに対する色表記および通知タイミングを設定し、情報を交互に維持するステップをさらに含むことを特徴とする請求項5に記載のリスクレベル分析方法。
- 情報を交互に維持するステップは、新たに獲得した危険プログラムの執行プロセスの情報を保存し、既知の執行プロセスについての情報保存モジュールに保存された情報を更新することを、ユーザーに通知することを特徴とする請求項6に記載のリスクレベル分析方法。
- 類似度を比較するステップは、システムの核心の執行プロセスの情報を比較することによりシステムの核心の執行プロセスが損壊または混乱しているか否かを判断すること、核心の執行プロセス以外の執行プロセスの情報を比較することにより悪質なプログラムの執行プロセスが存在しているか否かを判断すること、及びあらゆる執行プロセス所属のモジュールの基本的な情報を走査することにより欠陥のある情報を発信した執行プロセスのモジュールがあるか否かを判断することを含むことを特徴とする請求項5または請求項6または請求項7に記載のリスクレベル分析方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710028042.6 | 2007-05-16 | ||
CN 200710028042 CN101059829A (zh) | 2007-05-16 | 2007-05-16 | 一种自动分析进程风险等级的装置和方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2008287722A true JP2008287722A (ja) | 2008-11-27 |
JP4773478B2 JP4773478B2 (ja) | 2011-09-14 |
Family
ID=38865928
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008129433A Expired - Fee Related JP4773478B2 (ja) | 2007-05-16 | 2008-05-16 | リスクレベル分析装置およびリスクレベル分析方法 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP4773478B2 (ja) |
CN (1) | CN101059829A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014063490A (ja) * | 2012-09-19 | 2014-04-10 | East Security Co Ltd | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 |
JP2018200642A (ja) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | 脅威検出プログラム、脅威検出方法および情報処理装置 |
CN116663005A (zh) * | 2023-08-01 | 2023-08-29 | 长扬科技(北京)股份有限公司 | 复合型勒索病毒的防御方法、装置、设备及存储介质 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103294949A (zh) * | 2012-02-29 | 2013-09-11 | 阿里巴巴集团控股有限公司 | 一种检测木马程序的方法及装置 |
CN103544432A (zh) * | 2012-07-11 | 2014-01-29 | 腾讯科技(深圳)有限公司 | 提示卸载程序的方法和装置 |
CN103618626A (zh) * | 2013-11-28 | 2014-03-05 | 北京奇虎科技有限公司 | 一种基于日志的安全分析报告生成的方法和系统 |
CN104008341A (zh) * | 2014-05-30 | 2014-08-27 | 北京金山安全软件有限公司 | 安全防护的提醒方法及装置 |
CN108846287A (zh) * | 2018-06-26 | 2018-11-20 | 北京奇安信科技有限公司 | 一种检测漏洞攻击的方法及装置 |
CN112214768A (zh) * | 2020-10-16 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种恶意进程的检测方法及装置 |
CN113239364A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种检测漏洞利用的方法、装置、设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005222216A (ja) * | 2004-02-04 | 2005-08-18 | Mitsubishi Electric Corp | システム監査方法、およびシステム監査装置 |
JP2005242754A (ja) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | セキュリティ管理システム |
JP2006065835A (ja) * | 2004-07-28 | 2006-03-09 | Ntt Data Corp | 不正アクセス対策制御装置および不正アクセス対策制御プログラム |
JP2006093832A (ja) * | 2004-09-21 | 2006-04-06 | Mitsubishi Electric Corp | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
JP2006107179A (ja) * | 2004-10-06 | 2006-04-20 | Ntt Data Corp | 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法 |
JP2006155124A (ja) * | 2004-11-29 | 2006-06-15 | Savant:Kk | 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置 |
JP2006285983A (ja) * | 2005-03-31 | 2006-10-19 | Microsoft Corp | コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること |
-
2007
- 2007-05-16 CN CN 200710028042 patent/CN101059829A/zh active Pending
-
2008
- 2008-05-16 JP JP2008129433A patent/JP4773478B2/ja not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005222216A (ja) * | 2004-02-04 | 2005-08-18 | Mitsubishi Electric Corp | システム監査方法、およびシステム監査装置 |
JP2005242754A (ja) * | 2004-02-27 | 2005-09-08 | Mitsubishi Electric Corp | セキュリティ管理システム |
JP2006065835A (ja) * | 2004-07-28 | 2006-03-09 | Ntt Data Corp | 不正アクセス対策制御装置および不正アクセス対策制御プログラム |
JP2006093832A (ja) * | 2004-09-21 | 2006-04-06 | Mitsubishi Electric Corp | 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム |
JP2006107179A (ja) * | 2004-10-06 | 2006-04-20 | Ntt Data Corp | 異常値検出装置、変化点検出装置及び異常値検出方法、変化点検出方法 |
JP2006155124A (ja) * | 2004-11-29 | 2006-06-15 | Savant:Kk | 監視プログラム、これを記憶したコンピュータ読み取り可能な記録媒体、並びに前記監視プログラムが格納されたサーバ及び監視装置 |
JP2006285983A (ja) * | 2005-03-31 | 2006-10-19 | Microsoft Corp | コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014063490A (ja) * | 2012-09-19 | 2014-04-10 | East Security Co Ltd | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 |
JP2018200642A (ja) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | 脅威検出プログラム、脅威検出方法および情報処理装置 |
CN116663005A (zh) * | 2023-08-01 | 2023-08-29 | 长扬科技(北京)股份有限公司 | 复合型勒索病毒的防御方法、装置、设备及存储介质 |
CN116663005B (zh) * | 2023-08-01 | 2023-10-13 | 长扬科技(北京)股份有限公司 | 复合型勒索病毒的防御方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101059829A (zh) | 2007-10-24 |
JP4773478B2 (ja) | 2011-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4773478B2 (ja) | リスクレベル分析装置およびリスクレベル分析方法 | |
EP3726410B1 (en) | Interpretation device, interpretation method and interpretation program | |
US11240262B1 (en) | Malware detection verification and enhancement by coordinating endpoint and malware detection systems | |
US8707427B2 (en) | Automated malware detection and remediation | |
US8181248B2 (en) | System and method of detecting anomaly malicious code by using process behavior prediction technique | |
US20120324582A1 (en) | Service system that diagnoses the vulnerability of a web service in real time mode and provides the result information thereof | |
US8443449B1 (en) | Silent detection of malware and feedback over a network | |
EP3136277A1 (en) | Illicit activity sensing network system and illicit activity sensing method | |
US10033761B2 (en) | System and method for monitoring falsification of content after detection of unauthorized access | |
CN110929264B (zh) | 漏洞检测方法、装置、电子设备及可读存储介质 | |
CN110413908A (zh) | 基于网站内容对统一资源定位符进行分类的方法和装置 | |
EP3068095A2 (en) | Monitoring apparatus and method | |
KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
WO2014012500A1 (en) | Method and device for processing messages | |
CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
CN105791250B (zh) | 应用程序检测方法及装置 | |
CN109800569A (zh) | 程序鉴别方法及装置 | |
US20230179627A1 (en) | Learning apparatus, detecting apparatus, learning method, detecting method, learning program, and detecting program | |
JP2017167695A (ja) | 攻撃対策判定システム、攻撃対策判定方法及び攻撃対策判定プログラム | |
JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
CN111651658A (zh) | 一种基于深度学习的自动化识别网站的方法和计算机设备 | |
JP2010134536A (ja) | パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム | |
KR101247943B1 (ko) | 화이트리스트를 이용한 바이러스 검사 장치 및 방법 | |
JP5435351B2 (ja) | 画面シーケンス確認装置、画面シーケンス確認方法および画面シーケンス確認プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110125 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110412 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110506 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110509 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110518 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110623 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140701 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4773478 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |