JP2009526304A - デバイスの間に悪性アプリケーションの行為情報を使用する装置および方法 - Google Patents
デバイスの間に悪性アプリケーションの行為情報を使用する装置および方法 Download PDFInfo
- Publication number
- JP2009526304A JP2009526304A JP2008554130A JP2008554130A JP2009526304A JP 2009526304 A JP2009526304 A JP 2009526304A JP 2008554130 A JP2008554130 A JP 2008554130A JP 2008554130 A JP2008554130 A JP 2008554130A JP 2009526304 A JP2009526304 A JP 2009526304A
- Authority
- JP
- Japan
- Prior art keywords
- application
- information
- malicious
- action
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 230000009471 action Effects 0.000 claims abstract description 46
- 238000012544 monitoring process Methods 0.000 claims abstract description 24
- 230000006399 behavior Effects 0.000 claims description 43
- 230000008569 process Effects 0.000 claims description 20
- 230000003211 malignant effect Effects 0.000 claims description 10
- 230000006870 function Effects 0.000 description 21
- 230000002155 anti-virotic effect Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 241000700605 Viruses Species 0.000 description 9
- 230000000694 effects Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- BBRBUTFBTUFFBU-LHACABTQSA-N Ornoprostil Chemical compound CCCC[C@H](C)C[C@H](O)\C=C\[C@H]1[C@H](O)CC(=O)[C@@H]1CC(=O)CCCCC(=O)OC BBRBUTFBTUFFBU-LHACABTQSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F16—ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
- F16B—DEVICES FOR FASTENING OR SECURING CONSTRUCTIONAL ELEMENTS OR MACHINE PARTS TOGETHER, e.g. NAILS, BOLTS, CIRCLIPS, CLAMPS, CLIPS OR WEDGES; JOINTS OR JOINTING
- F16B5/00—Joining sheets or plates, e.g. panels, to one another or to strips or bars parallel to them
- F16B5/02—Joining sheets or plates, e.g. panels, to one another or to strips or bars parallel to them by means of fastening members using screw-thread
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60Y—INDEXING SCHEME RELATING TO ASPECTS CROSS-CUTTING VEHICLE TECHNOLOGY
- B60Y2304/00—Optimising design; Manufacturing; Testing
- B60Y2304/07—Facilitating assembling or mounting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mechanical Engineering (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本発明は、デバイスの間に悪性アプリケーションの行為情報を使用する装置および方法に関する発明であって、本発明の一実施形態による悪性アプリケーションの行為情報を使用するデバイスは、アプリケーションの能力をモニターする能力モニター部と、アプリケーションの行為をモニターする行為モニター部と、前記モニターした能力と行為を形式言語文書で生成するmBDL生成部、および前記形式言語文書を使用しアプリケーションの悪意的行為を制御する制御部とを含む。
Description
本発明は、アプリケーションの悪意的行為を防止する方法に関するものであって、より詳細にはデバイスの間に悪性アプリケーションの行為情報を使用する装置および方法に関するものである。
行為プロファイリング/モニターエンジン/アプリケーション(behavior profiling/monitoring engine/application、通常アンチウイルスソフトウェアと呼ぶ)は実行時のアプリケーション実行をモニターしてログを記録する。行為基盤(behavior based)アンチウイルスソフトウェアはアプリケーションの行為に基盤をおいて悪意的アプリケーションを感知する。ホールセキュリティー(WholeSecurity)、フィンジャンソフトウェア(Finjan Software)、プルーフポイント(Proofpoint)などは行為基盤ソリューションを提供する会社である。これらのソリューションは、代数的な算出アルゴリズムによってプロセスが悪意的なのか判断したり、またはアプリケーションレベルの行為をブロッキングするエンジンを提供したり、さらにマシンラーニング(Machine learning)と人工知能技法を通して悪意的アプリケーションを防いでいる。
既存のアプリケーションの悪意的行為に対して明示する言語としてはAVDL(Application vulnerability description language)、EVDL(Enterprise vulnerability description)、OVAL(Open Vulnerability and Assessment Language)などが存在する。AVDLは、ネットワークに表れたアプリケーションの保安的な脆弱性に対する情報を交換することにおいて標準を提供する。AVDLは、HTTPを通常の通信プロトコルに使用するクライアントとゲートウエー/プロキシとの間の脆弱性と攻撃を提示している。EVDLは、ウェブアプリケーションの保安脆弱性を表すために公開されたデータフォーマットを生成する。またEVDLは、保安マークアップ言語(Security markup language)であり、初期の危険とリスク率に対するガイドを提供する。OVALは、コンピュータシステムの脆弱性と設定問題を決定する言語である。OVALはコンピュータシステムの脆弱性と設定の可否をどのようにチェックするのかを提供する国際的情報保安コミュニティ基盤スタンダードである。
今日、多くのコンピュータシステムはアンチウイルスソフトウェアが搭載されているが、これらのソフトウェアはそれぞれ異なるウイルス署名/パッチに対するフォーマットで構成されたそれぞれ異なるベンダーによって提供される。それだけではなく、多様なウイルス/マルウェア(malware)はそれぞれ異なるプラットフォームのそれぞれ異なるアプリケーションの様々な脆弱点に対して影響を与えたり攻撃をしたりする。脆弱点(Vulnerability)は、オペレーティングシステムまたは他のシステムソフトウェアまたはアプリケーションソフトウェアコンポーネントに対して露出された保安であるといえる。したがって、このようなベンダーの間の異種性、またはアプリケーションの多様性などに対する相互運用性の考慮が必要とされる。
AVDLは、アプリケーションのソフトウェアのスタックまたはコンポーネントの「公開された脆弱点」に対して明示している。例えば、オペレーティングシステムタイプ、バージョン、アプリケーションサーバタイプ、ウェブサーバータイプ、データベースタイプなどを明示する。これに伴いディレクトリの構造、HTMLの構造、合法的進入ポイント、合法的対応パラメターなどに対する情報を明示する。EVDLスキマは、基本情報を含むメタデータ(metadata)、アプリケーションの脆弱点の分類であるプロファイル(profile)、そしてソースコード分析脆弱点情報を含む分析(analysis)、アプリケーションの脆弱点を感知する感知(detect)、そして実行中のアプリケーションを保護する保護(Protect)のような構成要素で構成されている。
前記の言語は公開された脆弱点を様々なオペレーティングシステムとプラットフォームの独立的な形態で共有して標準化することを目標とする。しかし、これら言語に対する標準化委員会はXML文書形態で明示することの規定ができていない。
ウイルスのような悪意的ソフトウェア(malware)は全世界的に莫大な量と速度で生成されている。したがって、このような速度に遅れないためには図1のようなウイルスの出現とこれに対するパッチ(patch)を生成する過程が必要である。
図1は、従来のアンチウイルスの具現を示す図である。ウイルスがユーザコンピュータシステムの公開された脆弱点を攻撃する(1)。ユーザのコンピュータシステムは攻撃の特徴をベンダーにレポートする(2)。そうすると、ウイルスコードがアンチウイルスベンダー側に伝送される(3)。アンチウイルスベンダーは、サンプルウイルスコードを分析してパッチまたは署名を生成する。一方、(3)の作業を実行しつつ、ベンダーは公開された脆弱点に関するデータベースをアップデートする(3’)。
アンチウイルスベンダーは、パッチまたは署名をクライアントコンピュータに送信してクライアントコンピュータがアンチウイルス署名をアップデートするようにする(4)。また、前述したAVDL、EVDL、OVALに基盤をおいた文書を生成する(4’)。そして、ユーザコンピュータはアンチウイルスをコンピュータにダウンロードして認証されていないアプリケーションまたは悪意的アプリケーションが実行されることを防ぐ(5)。
図2は、生成された文書が公開された脆弱点を防ぐことを示す図である。図2は、悪性ソフトウェア/ウイルスが認証されたアプリケーションの公開された脆弱点を攻撃することを示している。一方、クライアント2はCVE(Common Vulnerability and Exposure)データベースに脆弱点がどこにあるのかを質問することができる。質問の結果、AVDL/OVAL/EVDLで生成された文書を受信し、これをクライアント1と共有することができる。
しかし、図1、2で見たAVDL、OVAL、EVDLのようなxml文書で作成された脆弱点は「公開された脆弱点」ということに限界がある。したがって、悪意の「行為」を明示するのに足りない。すなわち、「ゼロ−時間保護」が難しいが、これは特定悪性ソフトウェアからシステムに害を与えられる脅威を直ちにブロッキングすることを意味する。前述した脆弱点記述語(vulnerability description language)は「公開された脆弱点」に対してのみ明示しており、アプリケーションの悪意的「行為」に対しては明示していない。また、脆弱点の共有においても既に公開された脆弱点を攻撃する場合に適用可能であり、悪性ソフトウェアの拡散を防ぐことには効果的ではない。
以前の記述語は脆弱点が存在することのテストができない。また、生成されたXML文書は特定アプリケーションの正確な脆弱点を明示することにおいてサイズが膨大であるという短所がある。したがって、このような文書を交換して共有しパーシングするにおいてネットワークに負荷をもたらし得、埋め込みシステムのコンピュータパワーと少ないリソースに比べ負担となりうる。したがって、前記の問題点を解決する方案が必要である。
本発明は、前記した問題点を改善するために案出されたものであって、悪性アプリケーションの行為に対する情報を交換して使用することに目的がある。
本発明のまた他の目的は、相互に認証して信頼するデバイスの間に悪性アプリケーションの行為をモニターすることにある。
本発明の目的は以上で言及した目的に制限されず、言及されていないまた他の目的は次の記載から当業者に明確に理解できるであろう。
本発明の一実施形態による悪性アプリケーションの行為情報を使用するデバイスは、アプリケーションの能力をモニターする能力モニター部と、アプリケーションの行為をモニターする行為モニター部と、前記モニターした能力と行為を形式言語文書で生成するmBDL生成部、および前記形式言語文書を使用しアプリケーションの悪意的行為を制御する制御部とを含む。
本発明の一実施形態による悪性アプリケーションの行為情報を使用する方法は、アプリケーションの能力をモニターする段階と、前記モニターしたアプリケーションの能力を形式言語文書で生成する段階と、前記アプリケーションの行為をモニターする段階と、前記モニターしたアプリケーションの形式を形式言語文書で生成する段階、および前記生成した形式言語文書を使用し前記アプリケーションの悪意的行為を制御する段階とを含む。
本発明の他の実施形態による悪性アプリケーションの行為情報を使用する方法は、アプリケーションの能力または行為をモニターした結果、生成された形式言語文書を含むデータを受信する段階と、前記受信したデータをパーシングし前記アプリケーションの能力または行為に対する情報を抽出する段階、および前記抽出した情報により前記アプリケーションを制御する段階とを含む。
その他実施形態の具体的な事項は詳細な説明および図に含まれている。
本発明の利点および特徴、並びにそれらを達成する方法は、添付される図面と共に後述する実施形態を参照することにより明確になる。しかし、本発明の目的は、以下で開示される実施形態に限定されず、相異なる多様な形態によっても達成可能である。したがって、以下の実施形態は単に、本発明の開示を十全たるものとし、当業者に本発明の範囲を認識させるために提供されるものである。すなわち、本発明の範囲はあくまで、請求項に記載された発明によってのみ規定される。なお、明細書全体において同一参照符号は同一構成要素を指称する。
以下、本発明の実施形態によってデバイスの間に悪性アプリケーションの行為情報を使用する装置および方法を説明するためのブロック図または処理フローチャートに関する図を参考して本発明について説明する。この時、フローチャートの各ブロックとフローチャートの組み合わせはコンピュータプログラムインストラクションにより実行可能なのが理解できるであろう。これらコンピュータプログラムインストラクションは、汎用コンピュータ、特殊用コンピュータまたはその他のプログラマブルデータプロセッシング装備のプロセッサーに搭載されうるので、コンピュータまたはその他のプログラマブルデータプロセッシング装備のプロセッサーを通じて実行されるそのインストラクションがフローチャートのブロックで説明された機能を行う手段を生成するように機構を作れる。これらコンピュータプログラムインストラクションは特定方式で機能を具現するためにコンピュータまたはその他のプログラマブルデータプロセッシング装備を指向できるコンピュータ利用可能またはコンピュータ判読可能メモリに保存されることも可能なので、そのコンピュータ利用可能またはコンピュータ判読可能メモリに保存されたインストラクションはフローチャートのブロックで説明された機能を行うインストラクション手段を内包する製造品目を生産することも可能である。コンピュータプログラムインストラクションはコンピュータまたはその他のプログラマブルデータプロセッシング装備上に搭載することも可能なので、コンピュータまたはその他のプログラマブルデータプロセッシング装備上で一連の動作段階が実行されてコンピュータで実行されるプロセスを生成し、コンピュータまたはその他のプログラマブルデータプロセッシング装備を行うインストラクションはフローチャートのブロックで説明された機能を実行するための段階を提供することも可能である。
また、各ブロックは特定の論理的機能を実行するための一つ以上の実行可能なインストラクションを含むモジュール、セグメントまたはコードの一部を示すことができる。 また、いくつかの代替実行形態では、ブロックで言及された機能が順序を外れて発生するのも可能であるということに注目せねばならない。例えば、連続して図示されている2つのブロックは、実質的に同時に行われてもよく、または可能でまたはそのブロックが時々該当する機能によって逆順で行われてもよい。
本明細書における悪性コードとは、悪意的機能を実行するコード(malware)を意味する。ウイルス、ハッキングプログラム、スパイウェアなどがこれに該当する。
図3は、本発明の一実施形態によるコンピュータシステムの構造を示す図である。図3のシステム500は通常のコンピュータシステム、ノート型パソコンの他にも携帯電話、MP3プレーヤ、PDA、PMPのようなシステムに適用可能であり、埋め込みシステムにも適用可能である。図3には示していないが、アプリケーションを実行するためのハードウェアの構成、例えば、CPU、RAM、ROM、キャッシュなどが含みうる。また、ライブラリー/ドライバ/インターフェースが提供されうる。
本明細書において提案しようとする行為モニターアプリケーション200は、ソフトウェアの形態またはハードウェアの形態で具現することが可能である。システム500内の信頼を受けるアプリケーション110はコンテンツをダウンロードする。この時、ダウンロードしたコンテンツが認証されないアプリケーションであったりまたは悪意的アプリケーション120である場合に、行為モニターアプリケーション200は、これを監視してレポートを実行したりアプリケーションの実行をブロッキングしたりすることができる。行為モニターアプリケーション200の詳しい実行過程は後述する。
ネットワーク管理部160は、アプリケーションをダウンロードしたり、他のベンダーまたは他のデバイスにモニターした結果を送信したり行為モニターに必要な資料を受信するようにする。オペレーティングシステム150は、システム500の運営の責任を負い、通常のコンピュータシステムのオペレーティングシステムの他にも埋め込みOS(EmbededOS)、RTOS(Real−TimeOS)などもこれに該当する。
以外にもシステムには入力/出力機能が付加され得、これはシステム500の特徴と主要目的により変わりうる。
図3においてシステム500には認証されない悪性アプリケーション120がダウンロードされている。行為モニターアプリケーション200は、悪性アプリケーション120のメソッド(method)のランタイムの行為をモニターする。アプリケーションのランタイムの行為はmBDLフォーマットで文書化されるが、mBDLフォーマットは、XML基盤テンプレート言語である。mBDL(malicious behavior description language)は悪性アプリケーションの行為を明示する。主要構成要素は図4で後述する。
図4は、本発明の一実施形態による悪性行為文書を明示するxml文書の構造を示す例示図である。
悪性行為(mal behavior)を示すためには大きく能力(capability)と行為(behavior)の2種類に分けることができる。記述語(Mal Behavior Description Language、MBDL)は図4に示した通り、能力(Capability)700と行為(Behavior)760で構成される。
能力構成要素は、アプリケーションの機能的能力について明示する。例えば、アプリケーションがプロセスまたはスレッドを生成または削除するかの可否などを明示する。能力構成要素700は、大きくファイルアクセス710、ネットワーク720、メモリ730、プロセス/スレッド740で構成される。ファイルアクセス710は、ファイルの生成、削除、読み、書きまたは実行するなど、特定アプリケーションがファイルに対して実行できる能力を明示している。例えば、アプリケーションがAというファイルを読み込みBというファイルを削除する機能を提供する場合、これに対して明示することができる。
ネットワーク720ではアプリケーションが通信機能を通して実行できる能力を明示している。例えば、いかなる通信ポートを使用するのか(COM、並列、IrDA)、または無線通信方式で何を選択するのかなどを明示する。また通信において共通に使用される機能(Listen/Send/Receive/Connect)などを実行するかの可否も明示する。例えば、アプリケーションが10936ポートを使用し、このポートを使用しデータを送信するという内容を明示することができる。
メモリ730では、メモリを割り当ててまた復旧させる命令語(malloc/realloc/alloca/calloc/heapmin/free)がアプリケーションによって実行するかの可否を明示する。そして、プロセス/スレッド740はプロセスの生成及びオープンまたは終了、重畳させるかの可否を明示する。例えば、Aというプロセスを生成したり除去したりする作業をアプリケーションが実行すると、これを明示することができる。能力構成要素700は、デバイスのリソース(資源、resource)に対するアプリケーションの接近の可否または使用、制御の可否を示す。
一方、行為(behavior)760構成要素では、アプリケーションがいかなる作業を実行するのかを示す。ランタイム(run time)のあいだアプリケーションの行為を明示するが、例えば、アプリケーションが実行中に実行するアクションまたはイベントなどを明示する。下位構成要素ではコンポーネント770、ハードウェア、ソフトウェア780、イベントフロー790などがある。コンポーネント770は、さらにハードウェアまたはソフトウェアのような下位構成要素を含む。コンポーネント770は、アプリケーションがハードウェアまたはソフトウェアの実行行為を明示する。ハードウェア、ソフトウェア780はさらに実質的なイベントフロー790に対する情報を明示する。ハードウェアまたはソフトウェア内でイベントがいかなる方式で実行されるのかを提示する。イベントフロー790は、悪性コードが実行時間の間いかなる実質的なイベントが起きるのかを明示する。
図5は、本発明の一実施形態による図4で提示した分類により能力(capability)と行為(behavior)を明示するのに必要なデータユニット800を定義したものである。
一番目のフィールド810は、プロファイルに対する識別子であり、これはランダムに生成されうる。2番目のフィールド820は、プロファイルのタイプであり、能力(capability)を明示するものであるか、または行為(behavior)を明示するものであるかを表現する。一実施形態で1ビットを割り当てして、0である場合、能力を明示し、1である場合、行為を明示するようにすることができる。3番目のフィールド830は、能力または行為により詳細に明示した文書である。図5ではXML文書を採択したことが分かる。通常の形式言語(formal language)で現在最も多いシステムで使用するXML文書を採択した。
図6は、本発明の一実施形態によるmBDLを生成して2つのデバイスの間に相互交換する方法とプロトコルを定義する例である。
図6のコンピュータデバイスは一実施形態であり、前述した通りノート型パソコン、PDA、携帯電話などの様々なデバイスにも適用可能である。図6でコンピュータデバイス1(901)とコンピュータデバイス2(902)は相互認証過程を経た信頼できるデバイスである。認証過程の例ではTCG技術(Trusted Computing Group)を使用し認証することができる。
コンピュータデバイス2(902)は悪性アプリケーションに対して行為をモニターし、mBDL文書を生成する(S110)。2つのmBDL文書が生成されるが、能力プロファイルと行為プロファイルである。先ず、コンピュータデバイス2(902)は能力プロファイルを生成して(S112)をコンピュータデバイス1(901)に送信して共有する(S114)。能力プロファイルでは悪性アプリケーションが該当プラットフォーム内で「何」をするのかに対する情報を提供する。このような情報は他のコンピュータデバイスに非常に重要である。能力プロファイルの構成は図5に提示されたフォーマットに従うことができる。能力プロファイルの一実施形態でプロセス識別子810とプロファイルタイプ(能力プロファイルの場合0)を設定し、悪性アプリケーションの能力(malcap)を明示したxml文書で構成される。xml文書の構成に対しては後述する。
コンピュータデバイス1(901)は受信した能力プロファイルに対してACKを送信する(S120)。そして、コンピュータデバイス1(901)は受信した能力プロファイルを示すmBDL文書をパーシングして、政策テーブルまたは政策データベースに保存してパーシングする(S122)。一方、政策テーブルまたは政策データベースの内容とパーシングした結果が異なる場合、コンピュータデバイス1(901)は異議を提議し、コンピュータデバイス2(902)にアプリケーションの実行を中止させることを知らせることができる(S124)。これは該当プロファイル識別子を含むデータユニットを送信することによって可能である。
コンピュータデバイス1(901)から応答を受信すると、コンピュータデバイス2(902)は悪性アプリケーションの行為プロファイルを送信する(S130)。送信する行為プロファイルは図5のデータユニットの構成に従うことができる。xml文書の構成に対しては後述する。コンピュータデバイス1(901)は受信結果ACKを送信する(S140)。そして、内部のツールを使用して受信した行為プロファイルを評価する(S142)。
図7は本発明の一実施形態による多数のデバイスの間にmBDLを生成して共有する過程を示す図である。
コンピュータパワーが大きいデバイス910は他のデバイス904、906、908より強力な機能を有するアンチウイルスソフトウェアが搭載される。そして、搭載されたソフトウェアを使用し悪性アプリケーションの行為をモニターすることができる。モニターした結果、生成されたmBDLファイルは他のデバイス904、906、908に伝送される。デバイス904、906、908はコンピュータパワーが高くないため、受信したmBDLファイルをパーシングする機能を備えるか、これを土台に悪性アプリケーションの実行を中止させるなどのアンチウイルス機能を提供することができる。したがって、特定のデバイスで悪性アプリケーションの能力と行為に対して明示したmBDL文書を生成して文書を他のデバイスと共有することによって悪性アプリケーションの実行を防ぐことができる。
本実施形態で使用される「〜部」という用語、すなわち「〜モジュール」または「〜テーブル」などはソフトウェア、FPGA(Field Programmable Gate Array)または注文型半導体(Application Specific Integrated Circuit、ASIC)のようなハードウェア構成要素を意味し、モジュールはある機能を果たす。しかし、モジュールはソフトウェアまたはハードウェアに限定される意味ではない。モジュールは、アドレッシングできる保存媒体にあるように構成されることもでき、一つまたはそれ以上のプロセッサーを再生させるように構成されることもできる。したがって、実施形態でのモジュールは、ソフトウェアの構成要素、オブジェクト指向ソフトウェアの構成要素、クラスの構成要素およびタスク構成要素のような構成要素と、プロセス、関数、属性、プロシーザー、サブルーチン、プログラムコードのセグメント、ドライバ、ファームウェア、マイクロコード、回路、データ、データベース、データ構造、テーブル、アレイ、および変数を含む。構成要素とモジュールのうちから提供される機能はさらに小さい数の構成要素およびモジュールに結合されたり追加的な構成要素とモジュールにさらに分離したりすることができる。のみならず、構成要素およびモジュールはデバイス内の一つまたはそれ以上のCPUを再生させるように実現することもできる。
図8は、本発明の一実施形態による行為モニターアプリケーションの構成を示す図である。
能力モニター部210は、悪性アプリケーションの能力(capability、malcap)をモニターする。いかなるファイルをアクセスするのか、またはいかなるネットワーク作業を実行するのかなどをモニターする。行為モニター部220は、悪性アプリケーションの行為(behavior)をモニターする。ハードウェアによる行為であるのか、ソフトウェアによる行為であるのかなどをチェックする。このように二つのモニター部210、220でモニターした結果によってmBDL生成部230はxml文書を生成する。この文書は他のデバイスと共有することができる。制御部240は、生成されたxml文書を使用しアプリケーションが悪性アプリケーションであるかの可否を判別する。そして、その結果によってアプリケーションの実行の可否を制御することができる。
図9は、本発明の一実施形態による悪性アプリケーションの能力モニター結果、生成されるmBDL文書の構成を示す例である。
1010はmBDLのcapability内部に入る要素を示す。file_access、network、memory、processは前述した能力を明示するのに必要な構成要素である。そして、1012は1010に羅列した要素によりmBDL文書を作成した例である。
図10は、本発明の一実施形態による悪性アプリケーションの行為モニター結果、生成されるmBDL文書の構成を示す例である。
1020は、mBDLのbehavior内部に入る要素を示す。悪性アプリケーションのイベントフローをモニターしてハードウェア、ソフトウェアに対して各々HW、SWというタグを使用し明示している。そして、1022は1020に羅列した要素によりmBDL文書を作成した例である。
前記のmBDLによってプラットフォームが他のベンダーまたはデバイスの間にも共通した文書形式によって悪性アプリケーションの情報を共有することができる。また、能力構成要素を使用し疑われるアプリケーションの行為をあらかじめ評価することができるので、悪性行為をレポートするための時間を減らすことができる。また、信頼するデバイスの間に悪性アプリケーションに対するプロファイルを共有することができ、少ないコンピュータパワーを有するデバイスでもモニター機能またはxmlパーシング機能だけを有していてもアプリケーションの行為を評価することができる。したがって、全体行為モニターアプリケーションをインストールしなくても良い。
本発明が属する技術分野における通常の知識を有する者は、本発明を、その技術的思想や必須の特徴を変更しない範囲で、他の具体的な形態において実施されうるということを理解することができる。したがって、上記実施形態はすべての面で例示的なものであり、限定的ではないと理解しなければならない。本発明の範囲は前記詳細な説明よりは後述する特許請求の範囲によって示され、特許請求の範囲の意味および範囲そして、その均等概念から導き出されるすべての変更または変形された形態が本発明の範囲に含まれると解釈されなければならない。
本発明を実現することによって異機種、他のベンダーで製作されたデバイスの間にも悪性アプリケーションに対する情報を共有することができる。
本発明を実現することによってパーシング機能だけを備えたデバイスも悪性アプリケーションの実行を防止することができる。
200 行為モニターアプリケーション
210 能力モニター部
220 行為モニター部
230 mBDL生成部
240 制御部
800 データユニット
210 能力モニター部
220 行為モニター部
230 mBDL生成部
240 制御部
800 データユニット
Claims (19)
- アプリケーションの能力をモニターする能力モニター部と、
アプリケーションの行為をモニターする行為モニター部と、
前記モニターした能力と行為を形式言語文書で生成するmBDL生成部、および
前記形式言語文書を使用しアプリケーションの悪意的行為を制御する制御部と、を含む、悪性アプリケーションの行為情報を使用するデバイス。 - 前記能力は、前記アプリケーションが前記デバイスの資源を使用したり制御したりする能力を含む、請求項1に記載の悪性アプリケーションの行為情報を使用するデバイス。
- 前記デバイスの資源はファイル、ネットワーク、メモリ、プロセスのうち一つを含む、請求項2に記載の悪性アプリケーションの行為情報を使用するデバイス。
- 前記行為は、前記アプリケーションが前記デバイスで実行する作業に対する情報を含む、請求項1に記載の悪性アプリケーションの行為情報を使用するデバイス。
- 前記作業に対する情報は、前記デバイスのコンポーネント、ハードウェア、ソフトウェアのうち一つを実行することに関する情報を含む、請求項4に記載の悪性アプリケーションの行為情報を使用するデバイス。
- 前記形式言語文書は、XMLを使用して生成された文書である、請求項1に記載の悪性アプリケーションの行為情報を使用するデバイス。
- 前記mBDL生成部で生成した形式言語文書を他のデバイスに送信するネットワーク管理部をさらに含む、請求項1に記載の悪性アプリケーションの行為情報を使用するデバイス。
- アプリケーションの能力をモニターする段階と、
前記モニターしたアプリケーションの能力を形式言語文書で生成する段階と、
前記アプリケーションの行為をモニターする段階と、
前記モニターしたアプリケーションの形式を形式言語文書で生成する段階、および
前記生成した形式言語文書を使用し前記アプリケーションの悪意的行為を制御する段階と、を含む、悪性アプリケーションの行為情報を使用する方法。 - 前記能力は、前記アプリケーションが前記デバイスの資源を使用したり制御したりする能力を含む、請求項8に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記デバイスの資源はファイル、ネットワーク、メモリ、プロセスのうち一つを含む、請求項9に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記行為は、前記アプリケーションが前記デバイスで実行する作業に対する情報を含む、請求項8に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記作業に対する情報は、前記デバイスのコンポーネント、ハードウェア、ソフトウェアのうち一つを実行することに関する情報を含む、請求項11に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記形式言語文書は、XMLを使用して生成された文書である、請求項8に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記生成した形式言語文書を他のデバイスに送信する段階をさらに含む、請求項8に記載の悪性アプリケーションの行為情報を使用する方法。
- アプリケーションの能力または行為をモニターした結果、生成された形式言語文書を含むデータを受信する段階と、
前記受信したデータをパーシングし前記アプリケーションの能力または行為に対する情報を抽出する段階、および
前記抽出した情報により前記アプリケーションを制御する段階と、を含む、悪性アプリケーションの行為情報を使用する方法。 - 前記能力は、前記アプリケーションが前記デバイスの資源を使用したり制御したりする能力を含む、請求項15に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記デバイスの資源はファイル、ネットワーク、メモリ、プロセスのうち一つを含む、請求項16に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記行為は、前記アプリケーションが前記デバイスで実行する作業に対する情報を含む、請求項15に記載の悪性アプリケーションの行為情報を使用する方法。
- 前記作業に対する情報は、前記デバイスのコンポーネント、ハードウェア、ソフトウェアのうち一つを実行することに関する情報を含む、請求項18に記載の悪性アプリケーションの行為情報を使用する方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020060013262A KR100791290B1 (ko) | 2006-02-10 | 2006-02-10 | 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법 |
| PCT/KR2007/000652 WO2007091829A1 (en) | 2006-02-10 | 2007-02-08 | Apparatus and method for using information on malicious application behaviors among devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009526304A true JP2009526304A (ja) | 2009-07-16 |
Family
ID=38345385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008554130A Pending JP2009526304A (ja) | 2006-02-10 | 2007-02-08 | デバイスの間に悪性アプリケーションの行為情報を使用する装置および方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8640240B2 (ja) |
| EP (1) | EP2002346A4 (ja) |
| JP (1) | JP2009526304A (ja) |
| KR (1) | KR100791290B1 (ja) |
| CN (1) | CN101385012B (ja) |
| WO (1) | WO2007091829A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011525662A (ja) * | 2008-06-18 | 2011-09-22 | シマンテック コーポレーション | ソフトウェア評価を確立し監視するシステムおよび方法 |
| KR101532765B1 (ko) * | 2013-10-02 | 2015-07-02 | 주식회사 엔젠소프트 | 어플리케이션 위변조 방지 시스템 및 방법 |
Families Citing this family (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8856782B2 (en) | 2007-03-01 | 2014-10-07 | George Mason Research Foundation, Inc. | On-demand disposable virtual work system |
| US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
| US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
| KR101031786B1 (ko) * | 2009-02-03 | 2011-04-29 | 주식회사 안철수연구소 | 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
| US20100224880A1 (en) | 2009-03-05 | 2010-09-09 | Semiconductor Energy Laboratory Co., Ltd. | Semiconductor device |
| US8839422B2 (en) * | 2009-06-30 | 2014-09-16 | George Mason Research Foundation, Inc. | Virtual browsing environment |
| US8443449B1 (en) * | 2009-11-09 | 2013-05-14 | Trend Micro, Inc. | Silent detection of malware and feedback over a network |
| KR101051641B1 (ko) * | 2010-03-30 | 2011-07-26 | 주식회사 안철수연구소 | 이동통신 단말 및 이를 이용한 행위기반 악성 코드 진단 방법 |
| KR101626424B1 (ko) * | 2011-03-28 | 2016-06-01 | 맥아피 인코퍼레이티드 | 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법 |
| US9038176B2 (en) | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
| US9317690B2 (en) | 2011-03-28 | 2016-04-19 | Mcafee, Inc. | System and method for firmware based anti-malware security |
| US9262246B2 (en) | 2011-03-31 | 2016-02-16 | Mcafee, Inc. | System and method for securing memory and storage of an electronic device with a below-operating system security agent |
| US8695096B1 (en) * | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US9158919B2 (en) | 2011-06-13 | 2015-10-13 | Microsoft Technology Licensing, Llc | Threat level assessment of applications |
| US9087324B2 (en) | 2011-07-12 | 2015-07-21 | Microsoft Technology Licensing, Llc | Message categorization |
| WO2013082437A1 (en) | 2011-12-02 | 2013-06-06 | Invincia, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
| US8281399B1 (en) | 2012-03-28 | 2012-10-02 | Symantec Corporation | Systems and methods for using property tables to perform non-iterative malware scans |
| IL219597A0 (en) * | 2012-05-03 | 2012-10-31 | Syndrome X Ltd | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention |
| US9298494B2 (en) | 2012-05-14 | 2016-03-29 | Qualcomm Incorporated | Collaborative learning for efficient behavioral analysis in networked mobile device |
| US9690635B2 (en) | 2012-05-14 | 2017-06-27 | Qualcomm Incorporated | Communicating behavior information in a mobile computing device |
| US9324034B2 (en) | 2012-05-14 | 2016-04-26 | Qualcomm Incorporated | On-device real-time behavior analyzer |
| US9609456B2 (en) | 2012-05-14 | 2017-03-28 | Qualcomm Incorporated | Methods, devices, and systems for communicating behavioral analysis information |
| US9202047B2 (en) | 2012-05-14 | 2015-12-01 | Qualcomm Incorporated | System, apparatus, and method for adaptive observation of mobile device behavior |
| US9330257B2 (en) | 2012-08-15 | 2016-05-03 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
| US9495537B2 (en) | 2012-08-15 | 2016-11-15 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
| US9319897B2 (en) | 2012-08-15 | 2016-04-19 | Qualcomm Incorporated | Secure behavior analysis over trusted execution environment |
| US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
| US9686023B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors |
| US10089582B2 (en) | 2013-01-02 | 2018-10-02 | Qualcomm Incorporated | Using normalized confidence values for classifying mobile device behaviors |
| US9684870B2 (en) | 2013-01-02 | 2017-06-20 | Qualcomm Incorporated | Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors |
| US9742559B2 (en) | 2013-01-22 | 2017-08-22 | Qualcomm Incorporated | Inter-module authentication for securing application execution integrity within a computing device |
| US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
| US9491187B2 (en) | 2013-02-15 | 2016-11-08 | Qualcomm Incorporated | APIs for obtaining device-specific behavior classifier models from the cloud |
| KR101414084B1 (ko) * | 2013-03-28 | 2014-07-04 | 한신대학교 산학협력단 | 모바일 단말의 악성 어플리케이션 탐지 시스템 및 방법 |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10699212B2 (en) | 2016-07-11 | 2020-06-30 | International Business Machines Corporation | Cross-platform program analysis using machine learning based on universal features |
| US10114954B1 (en) * | 2017-11-30 | 2018-10-30 | Kenna Security, Inc. | Exploit prediction based on machine learning |
| US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
| US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| KR20210081156A (ko) | 2019-12-23 | 2021-07-01 | 삼성전자주식회사 | 전자 장치 및 그 제어 방법 |
| US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004094405A (ja) * | 2002-08-29 | 2004-03-25 | Ricoh Co Ltd | セキュリティポリシー管理装置、セキュリティポリシー配布システム、セキュリティポリシー配布方法、セキュリティポリシー配布プログラム、及びプログラムを記録した記録媒体 |
| JP2004287810A (ja) * | 2003-03-20 | 2004-10-14 | Nec Corp | 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム |
| JP2005234661A (ja) * | 2004-02-17 | 2005-09-02 | Nec Corp | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
| US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| JP2002358216A (ja) * | 2000-08-08 | 2002-12-13 | System Support:Kk | コンピュータ監視システム |
| US7047293B2 (en) * | 2001-02-14 | 2006-05-16 | Ricoh Co., Ltd. | Method and system of remote diagnostic, control and information collection using multiple formats and multiple protocols with delegating protocol processor |
| JP2002333996A (ja) * | 2001-02-14 | 2002-11-22 | Ricoh Co Ltd | 遠隔情報収集の方法及びシステム |
| US7171670B2 (en) | 2001-02-14 | 2007-01-30 | Ricoh Co., Ltd. | Method and system of remote diagnostic, control and information collection using multiple formats and multiple protocols with verification of formats and protocols |
| JP2003122651A (ja) * | 2001-10-17 | 2003-04-25 | Sony Corp | 通信端末装置及びその能力情報管理方法 |
| JP2003218949A (ja) | 2002-01-22 | 2003-07-31 | Nakagawa Metal:Kk | ネットワークの不正利用の監視方法 |
| JP2003256230A (ja) | 2002-03-01 | 2003-09-10 | Osaka Gas Co Ltd | コンピュータウィルス拡散防止方法 |
| EP1495616B1 (en) * | 2002-04-17 | 2010-05-05 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
| US7370360B2 (en) * | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
| US7487543B2 (en) * | 2002-07-23 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for the automatic determination of potentially worm-like behavior of a program |
| US7152242B2 (en) * | 2002-09-11 | 2006-12-19 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
| JP2004102907A (ja) * | 2002-09-12 | 2004-04-02 | Ricoh Co Ltd | セキュリティポリシー記述方法、記録媒体、及び伝送装置 |
| KR20040026984A (ko) * | 2002-09-27 | 2004-04-01 | 이현우 | 인터넷 공격 자동 사고대응 서비스 시스템 |
| US20040143749A1 (en) * | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
| US20050108518A1 (en) * | 2003-06-10 | 2005-05-19 | Pandya Ashish A. | Runtime adaptable security processor |
| US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
| US7464158B2 (en) * | 2003-10-15 | 2008-12-09 | International Business Machines Corporation | Secure initialization of intrusion detection system |
| US7752662B2 (en) * | 2004-02-20 | 2010-07-06 | Imperva, Inc. | Method and apparatus for high-speed detection and blocking of zero day worm attacks |
| KR100673332B1 (ko) * | 2005-02-04 | 2007-01-24 | 송정길 | Xml기반의 침입차단 탐지 로그 모니터링 방법 및 그 시스템 |
| US20060185018A1 (en) * | 2005-02-17 | 2006-08-17 | Microsoft Corporation | Systems and methods for shielding an identified vulnerability |
| US8286254B2 (en) * | 2005-11-16 | 2012-10-09 | Cisco Technology, Inc. | Behavioral learning for interactive user security |
| US7602789B2 (en) * | 2006-10-23 | 2009-10-13 | Hewlett-Packard Development Company, L.P. | Low overhead method to detect new connection rate for network traffic |
-
2006
- 2006-02-10 KR KR1020060013262A patent/KR100791290B1/ko not_active IP Right Cessation
-
2007
- 2007-01-24 US US11/656,982 patent/US8640240B2/en not_active Expired - Fee Related
- 2007-02-08 EP EP07708802A patent/EP2002346A4/en not_active Ceased
- 2007-02-08 CN CN200780005130.2A patent/CN101385012B/zh not_active Expired - Fee Related
- 2007-02-08 JP JP2008554130A patent/JP2009526304A/ja active Pending
- 2007-02-08 WO PCT/KR2007/000652 patent/WO2007091829A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004094405A (ja) * | 2002-08-29 | 2004-03-25 | Ricoh Co Ltd | セキュリティポリシー管理装置、セキュリティポリシー配布システム、セキュリティポリシー配布方法、セキュリティポリシー配布プログラム、及びプログラムを記録した記録媒体 |
| JP2004287810A (ja) * | 2003-03-20 | 2004-10-14 | Nec Corp | 不正アクセス防止システム、不正アクセス防止方法、および不正アクセス防止プログラム |
| JP2005234661A (ja) * | 2004-02-17 | 2005-09-02 | Nec Corp | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011525662A (ja) * | 2008-06-18 | 2011-09-22 | シマンテック コーポレーション | ソフトウェア評価を確立し監視するシステムおよび方法 |
| KR101532765B1 (ko) * | 2013-10-02 | 2015-07-02 | 주식회사 엔젠소프트 | 어플리케이션 위변조 방지 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101385012B (zh) | 2014-07-02 |
| EP2002346A4 (en) | 2010-12-08 |
| CN101385012A (zh) | 2009-03-11 |
| KR100791290B1 (ko) | 2008-01-04 |
| WO2007091829A1 (en) | 2007-08-16 |
| KR20070081362A (ko) | 2007-08-16 |
| US20070192866A1 (en) | 2007-08-16 |
| US8640240B2 (en) | 2014-01-28 |
| EP2002346A1 (en) | 2008-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100791290B1 (ko) | 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법 | |
| US10592676B2 (en) | Application security service | |
| RU2522019C1 (ru) | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной | |
| US10447730B2 (en) | Detection of SQL injection attacks | |
| Idika et al. | A survey of malware detection techniques | |
| US10915609B2 (en) | Securing applications on mobile devices | |
| US11973780B2 (en) | Deobfuscating and decloaking web-based malware with abstract execution | |
| Xu et al. | Detecting infection onset with behavior-based policies | |
| RU2724790C1 (ru) | Система и способ формирования журнала при исполнении файла с уязвимостями в виртуальной машине | |
| Wan et al. | Practical and effective sandboxing for Linux containers | |
| US7784101B2 (en) | Identifying dependencies of an application upon a given security context | |
| Mirza et al. | A cloud-based energy efficient system for enhancing the detection and prevention of modern malware | |
| US20230275916A1 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
| RU2708355C1 (ru) | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде | |
| Gadient et al. | Security in Android applications | |
| Ali et al. | Design and implementation of an attestation protocol for measured dynamic behavior | |
| US10104099B2 (en) | System and method for monitoring a computer system using machine interpretable code | |
| Zhou et al. | Detecting attacks that exploit application-logic errors through application-level auditing | |
| Chang et al. | Vulnerable service invocation and countermeasures | |
| Lombardi et al. | Heterogeneous architectures: Malware and countermeasures | |
| Tupakula et al. | Dynamic state-based security architecture for detecting security attacks in virtual machines | |
| Jakobsson et al. | Mobile malware: Why the traditional AV paradigm is doomed, and how to use physics to detect undesirable routines | |
| RU2757408C1 (ru) | Система и способ формирования правила проверки файла на вредоносность | |
| Al-Saleh | Fine-grained reasoning about the security and usability trade-off in modern security tools | |
| Baiardi et al. | Attestation of integrity of overlay networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110405 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110705 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110726 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111124 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20111130 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20111222 |