JP2009543163A - ソフトウェア脆弱性悪用防止シールド - Google Patents
ソフトウェア脆弱性悪用防止シールド Download PDFInfo
- Publication number
- JP2009543163A JP2009543163A JP2009503200A JP2009503200A JP2009543163A JP 2009543163 A JP2009543163 A JP 2009543163A JP 2009503200 A JP2009503200 A JP 2009503200A JP 2009503200 A JP2009503200 A JP 2009503200A JP 2009543163 A JP2009543163 A JP 2009543163A
- Authority
- JP
- Japan
- Prior art keywords
- malicious code
- evidence
- message
- security
- computing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Abstract
【解決手段】 本明細書は、コンピュータにインストールされたソフトウェアの脆弱性の悪用を最小限にする機構を説明する。トランスポート層(例:TCP(transmission communication protocol)ソケット層)において、標的コンピュータにインストールされたセキュリティ・コンポーネントを用いて、ネットワーク・トラフィックを監視する。コンピューティング・システムを宛先とするメッセージを受信すると、そのメッセージに含まれるデータを、悪意コードを特定するために用いる悪用エビデンスと比較する。悪用エビデンスは、悪意コードに関する情報を収集するセキュリティ・サービスにより、セキュリティ・コンポーネントに提供される。メッセージ中のデータと悪用エビデンスとの比較結果に基づいて、受取ったメッセージに妥当な対策を行うようセキュリティ・コンポーネントに命令するルールが特定される。
【選択図】 なし
【選択図】 なし
Description
本出願は、2006年3月24日付で出願された「ソフトウェア悪用防止シールド(SOFTWARE VULNERABILITY EXPLOITATION SHIELD)」と題する米国仮特許出願第60/785,723号に対する優先権および利益を主張するものである。当該米国仮特許出願はこの参照によりその全体が本明細書に組み込まれる。
インターネットは、何億ものコンピュータやユーザに開かれた巨大なコンピューティング・ネットワークである。インターネットのユーザのコミュニティは、コンピュータ・セキュリティ上の脆弱性について絶え間なく研究、革新、および対話を行っている。
脆弱性とは、(「悪意コード」)により悪用される可能性のある、一つのソフトウェアに内在する弱さのことである。ユーザの一部(犯罪者)は、悪意コードを用いて脆弱性を利用しようとする。しかし、悪意コードの作成は容易ではない。通常、非常に才能のあるプログラマーのみが、所定の脆弱性を効果的に利用する悪意コードを書くことができ、通常、そのプログラマーは長時間骨折って単調な作業をしなければ力のある悪意コードを作成することができない。
才能のあるプログラマーが悪意コードの例を作成した時、この者はインターネット上で公にこれを掲示することが多い。犯罪者を含む他者がこれをチェック、テスト、批評、および使用できるようにするためである。インターネットユーザのコミュニティ内では通常、特定の脆弱性を効果的に利用する悪意コードの例は少ない。悪意コードの一例を大勢の様々な犯罪者が借用・利用して、画像ファイルや「ドライブ・バイ・ダウンロード」を実行するように構成されたウェブサイトなど、多数で多様なパッケージに折込む(例えば「カット&ペースト」する)のが一般的である。ルートキットやキーストローク・ロガーなど、多数で多様なペイロードにバンドルすることもある。
理論的には、オペレーティングシステム(例:Microsoft Corporationが発行するWindows(登録商標))など、大抵の複雑なソフトウェア製品には数多くの脆弱点が存在する。しかし、特定の脆弱点は、研究者が発見するまでは未知である。これにも関わらず、特定の脆弱点を発見次第、研究者は話すことにより、または公に監視できる形で利用しようとすることにより、その発見を公に発表する自然の傾向がある。特定の脆弱点の発見が長時間秘密にされることは稀である。ニュースが広がり、インターネット掲示板やチャットルームで、また、公による新たな悪用の監視からわかるようになる。
典型的には、影響を受けたソフトウェア製品の発行者が脆弱性についていったん知ると、この既知となった脆弱点を塞ぐソフトウェア「パッチ」の設計、書込み、テスト、およびリリースに取りかかる。しかし、このパッチ作成プロセスは遅れが伴うものであり、従って、「リスク期間」が発生する。
例えば、パッチがリリースされると、発行者はインターネット経由のダウンロード、またはその他の配布方法でこれがコンピュータ所有者の手に入るようにし、コンピュータ所有者がこれを自分のコンピュータにインストールできるようにする。脆弱性のあるソフトウェアを動作させているコンピュータの所有者にとって、パッチの準備、配布、およびインストールは苦痛なほど遅く困難なプロセスである。例えば、ソフトウェア発行者がパッチ作業をする間も時間が経過する。次に、パッチをインストールするには所有者が手動で作業をしなければならず、これは何百台、または何千台ものコンピュータを所有する企業にとって負担となる。さらに、企業などの所有者は、多数の自社コンピュータにインストールする前にパッチをテストしなければならないことが多く、パッチが他のアプリケーションの好ましい機能と干渉する場合もある。発行者がパッチをリリースした後に、これが不良であり、リコール、改訂、および再発行を要することを発見した場合、さらに時間が経過する。
脆弱性がコミュニティに知られるようになると、特定のコンピュータに感染する力がある、うまく作成された悪意コードが開発され、そのコンピュータ上のソフトウェアにパッチが当てられる前に展開されてしまう。犯罪者はこのリスク期間中にわたって侵入しようとし、一部のプログラマーはその支援をしようとする。従って、脆弱性が知られるようになると、才能のあるプログラマーたちは競って悪意コードを作成・発行し、リスク期間内の時間を最大限に利用しようとするのが典型的である。
現在に至るまで、アンチウィルス・ソフトウェアなど種々のセキュリティ・ソフトウェアが悪意コードの特定の例を阻止しようとしてきた。これは、特定例の中のプログラミングコードの構成を特定的に識別する、バイナリファイル中のバイト列(すなわちシグネチャ)を探すことにより行われる。典型的に、このようなファイルやその他のコードの検証は、オープン・システム・インターコネクション(Open Systems Interconnection:OSI)モデルのアプリケーション層で行われる。より具体的には、ファイルシステムに保存後、またはコンピューティング・システム上のメモリに保持中に、ファイル上でウィルスのスキャンを行う。これらのシステムは大抵のウィルスに対してうまく作用するが、脆弱性の悪用により、標的とされるコンピュータのアプリケーション層よりも深いレベルに悪意コードが侵入する可能性がある。従って、このようなソフトウェアの脆弱性を利用する犯罪者は、典型的なセキュリティ・ソフトウェアが悪意コードを検出し、対策をとる前にその悪意コードを実行させる可能性がある。
前述した現在のソフトウェア・セキュリティ・システムの欠点は、本発明の例示的な実施形態により克服される。例えば、本明細書に記載した実施形態は、悪意コードがないかトランスポート層で監視することにより、犯罪者の標的となる可能性のあるコンピュータのリスク期間を狭める。本要約は、選択された諸概念を簡略化した形で紹介するために設けており、以下の詳細な説明でさらに詳しく説明するので、注意されたい。本要約は、請求内容の主要な特徴や基本的特徴を特定することを目的としておらず、また、請求範囲の特定に当たって補助として用いることを目的としていない。
一実施形態は、ネットワーク上のソフトウェアへのトラフィックを検証し、悪意コードが実行および/またはインストールされる前に検出する形で、コンピュータにインストールされたソフトウェアの脆弱性の悪用を最小限にする機構を提供する。トランスポート層(例:TCP(transmission communication protocol)ソケット層)において、そこにインストールされたセキュリティ・コンポーネントを用いてネットワーク・トラフィックを監視する。コンピューティング・システムを宛先とするメッセージを受信すると、そのメッセージに含まれるデータを、悪意コードを特定するために用いる悪用エビデンスと比較する。悪用エビデンスは、悪意コードに関する情報を収集するセキュリティ・サービスにより、セキュリティ・コンポーネントに提供される。このような悪用エビデンスとしては、コードのシグネチャ、コードと関連付けられたIP(Internet Protocol)アドレス、悪意コードを出しているとわかっているウェブサイトのURL(unique resource locator)、およびその他の要因などがある。
メッセージ中のデータと悪用エビデンスとの比較結果に基づいて、受取ったメッセージに対策を行うようセキュリティ・コンポーネントに命令するルールが特定される。例えば、メッセージが悪意コードを含んでいるか、含んでいる可能性があることが比較によりわかった場合、セキュリティ・コンポーネントは受取ったメッセージがコンピューティング・システムに侵入するのを阻止する一方で、他のトラフィックの流入は許可する。代替として、あるいはこれに加えて、メッセージが悪意コードを含んでいる可能性があるリスクについてセキュリティ・コンポーネントがユーザに(例えばユーザ・インターフェースを通して)通知することにより、ユーザが適切な対策を行えるようにしても良い。別の実施形態においては、セキュリティ・コンポーネントが悪意コードの危険な機能を全て無効にすることができる。他方、トランスポート層でメッセージを悪用エビデンスと比較した結果、メッセージが悪意コードを含んでいないなど、悪意コードと関連がないことがわかった場合、そのメッセージはコンピューティング・システムへの通過を許可される。
本発明の追加的特徴および効果を以下に説明するが、その一部はこの説明から自明であろうし、また、本発明の実施により理解できるようになろう。本発明の特徴および効果は、付属の請求項で特に指摘した手段と組合せにより実現・達成できる。本発明のこれらの特徴やその他の特徴は、以下の説明と付属の請求項からより明らかとなろうし、以下に説明した本発明の実施により理解できるようになろう。
本発明は、悪意コードをトランスポート層で監視することにより、犯罪者の標的となる可能性のあるコンピュータのリスク期間を狭めるための方法、システム、およびコンピュータ・プログラム製品に関する。本発明の実施形態は、様々なコンピュータ・ハードウェアまたはモジュールを含む、特定目的用または汎用コンピュータで構成することができ、詳細は以下に説明する。
前述のように、本発明の実施形態は、犯罪者の標的となる可能性のあるコンピュータのリスク期間を狭めることにより、前述したセキュリティ・システムの欠点を克服する。本実施形態では、標的となるコンピュータの所有者は、脆弱性の新発見や悪意コードの新しい例に関してインターネットやその他の場所でニュース、ディスカッション、技術開発、およびその他の情報を監視する、継続的なセキュリティ・サービスのセキュリティ・コンポーネントをインストールする。セキュリティ・サービスが悪意コードの例を発見すると、適切に特定するために、その悪意コードに関する情報を収集する。例えば、セキュリティ・サービスはシグネチャを確認しようとして、そのデータ構造を検証する。さらに、セキュリティ・サービスはIPアドレス、URL、またはその他の電子アドレスを特定することにより悪意コードのソースを調べることができる。実際、悪意コードを特定するためにセキュリティ・サービスが用いることができる情報は大量にある。
悪意コードに関する情報がいったん収集されると、この情報を用いて、悪用エビデンスおよびセキュリティ・コマンドを含むセキュリティ・アップデートが作成され、これがセキュリティ・コンポーネントをインストールした場所に配布される。各セキュリティ・コンポーネントは、悪用エビデンスおよびセキュリティ・コマンドを用いて、コンピュータに流れ込むインターネットまたはネットワーク・データ・トラフィックをトランスポート層(例:TCPソケットレベル)で検証し、悪用エビデンスと合致するメッセージを探す。セキュリティ・コンポーネントは、トランスポート・レベルでデータを検証することにより、コンピュータ上のアプリケーションまたはその他のソフトウェアが悪意コードを実行したりインストールする前に悪意コードを見つけることができる。さらに、セキュリティ・コンポーネントは、コンピューティング・システムにインストールされたほとんどのアプリケーションのソフトウェア脆弱性を悪用するように構成された悪意コードを監視・特定することができる。
セキュリティ・コンポーネントが悪用エビデンスと合致するデータ送信を見つけると、多数の保護策のうちどれでも実行することができる。例えば、特定の送信物がコンピュータに侵入するのを阻止する一方で、他の送信物の通過は許可し、および/またはコンピュータ・ユーザにその送信について通知することにより、ユーザが適切な対策を行えるようにすることができよう。危険な機能が全て無効となるよう送信物を修正することもできる。
セキュリティ・コンポーネントは、インストールされてから時間が経過するにつれ、扱いにくくなることがある。あまりにも多くのシグネチャ、電子アドレス、またはその他の悪用エビデンスを探しているため、セキュリティ・コンポーネントをインストールしているコンピュータの性能速度が落ち、好ましい機能や送信物と干渉する可能性がある。従って、この問題を最小限にするため、本明細書で後述する別の各例示的な実施形態が、監視を制限する様々な選択肢を提供する。
前述した実施形態は典型的なファイヤウォール・システムやウェブ・コンテンツ・フィルタとは大幅に異なることに注意されたい。例えば、ファイヤウォールはパケット検証のみを行ってプロトコル、ソース、および宛先を見、そのようなトラフィックを許可するかしないかについて二分決定をする。同様に、ウェブ・コンテンツ・フィルタは典型的に、パケットを通過させるかさせないかについてIPアドレスまたはURLのホワイトリスト/ブラックリストに焦点を合わせるものであり、本明細書中の実施形態はこれにも対応する。しかし、本明細書中の実施形態は、悪意コードがないか継続的に監視するセキュリティ・サービスにより生成されたセキュリティ上のエビデンス、コマンド、およびルールに基づいてソフトウェア中の脆弱性を標的とする悪意コードを探すことにより、メッセージの内容を検証する。換言すれば、本明細書中の実施形態は、パケットのソースを単に見て、これに基づいて二分決定をするのではなく、むしろ、悪意コードの形成を継続的に監視し、動的に変化でき、さらに詳しく後述する様々な方法でそのような内容を適切に取り扱うことができるエビデンス、コマンド、およびルールを生成することができる、よりロバストなシステムを提供する。
効果的な特徴についてのより具体的な説明を図面に関してより詳しく後述するが、本発明の請求範囲内の実施形態は、コンピュータで実行可能な命令を保持または保有する、コンピュータで読取り可能な媒体、またはこれに保存されたデータ構造も含む。このようなコンピュータで読取り可能な媒体は、汎用または特定目的用コンピュータによってアクセス可能な市販の媒体であればどのようなものでも良い。例として(これに限定されるものではないが)、このようなコンピュータで読取り可能な媒体は、RAM、ROM、EEPROM、CD?ROM、またはその他の光ディスク・ストレージ、磁気ディスク・ストレージまたはその他の磁気ストレージ・デバイス、または、好ましいプログラム・コード手段をコンピュータで実行可能な命令またはデータ構造の形式で保有または保存するために用いることができ、汎用または特定目的用コンピュータによってアクセス可能なその他の媒体を含むことができよう。ネットワークまたはその他の通信用接続(配線あり、ワイヤレス、または、配線ありとワイヤレスの組合せ)を経由して情報がコンピュータに伝達または供給されると、そのコンピュータは、その接続がコンピュータで読取り可能な媒体である、と正しく見なす。従って、このような接続は全てコンピュータで読取り可能な媒体である、と称するのが正しい。前記の組合せも、コンピュータで読取り可能な媒体の範囲内に含まれる。
コンピュータで実行可能な命令は、例えば、汎用コンピュータ、特定目的用コンピュータ、または特定目的用プロセッシング・デバイスに働きかけて一定の機能または機能群を実行させる命令およびデータを含む。本発明の内容を構造的特徴および/または方法的行為について具体的な言葉で説明したが、添付した特許請求の範囲で定義した内容は必ずしも上記の具体的な特徴や行為に制限されないことを理解されたい。むしろ、本明細書に記載した具体的な特徴や行為は特許請求の範囲の例示的な実施形態として開示する。
本明細書で用いられているように、「モジュール」または「コンポーネント」の語は、コンピューティング・システム上で実行するソフトウェア・オブジェクトまたはルーチンを指す。本明細書に記載した様々なコンポーネント、モジュール、エンジン、およびサービスは、コンピューティング・システム上で実行するオブジェクトまたはプロセス(例:別個のスレッド)として実施することができる。本明細書に記載したシステムおよび方法は好ましくはソフトウェア内で実施するが、ハードウェア内、またはソフトウェアとハードウェアの組合せ内での実施も可能であり、企図する。この詳細な説明の項において、「コンピューティング・エンティティ」とは、本明細書で既に定義したコンピューティング・システム、またはコンピューティング・システム上で動作するモジュールまたはモジュールの組合せであればどのようなものでも良い。
図1は、犯罪者の標的となる可能性のあるコンピュータのリスク期間を狭めることにより、前述した現在のセキュリティ・システムの欠点を克服するように構成されたコンピューティング・ネットワーク100を示す図である。図示したように、標的となるコンピューティング・システムには、継続的なセキュリティ・サービス110と連動した特別なセキュリティ・コンポーネント105がインストールされている。セキュリティ・サービス110は継続的および/または定期的に、脆弱性の新発見や悪意コードの新しい例に関してインターネットやその他の場所でニュース115、ディスカッション150、技術開発またはレポート120、およびその他の情報(ネットワーク・トラフィック125など)などを監視する。もちろん、悪意コードの可能性に関する情報の収集に用いるソースは様々であり、縦に並べた点々124で示したように、公知の形式のものであればどのようなものでも含む。
さらに、この監視は様々な形態で行うことができ、インターネットまたはその他の場所でのディスカッション150の手動検索および/または読出し、または、既知の、あるいは潜在的な犯罪者のコミュニティや、犯罪者の挙動、ツール、実験などの記録された例から関連付けられたステートメントおよびコードを拾い出すプローブ、ハニーポット、サーチボットなどによる情報の自動収集を含む。もちろん、情報のソースと同様、悪意コードに関する情報155の収集に用いる機構は、本明細書では説明する目的のみで用いているのであり、明確に請求していない限り、本明細書の実施形態を制限したり狭めるものではない。
セキュリティ・サービス110が悪意コードに関する情報を発見すると、そのデータを悪意コード・データ155として保存する。理解していただけるであろうが、悪意コード・データ155は様々なソースや機構から収集されるため、多様な形態をとる。例えば、悪意コード・データ155は、悪意コードのデータ構造165に関する情報を含む。より具体的には、セキュリティ・サービス110はシグネチャまたはその他、悪意コードであることの表示物などを確認しようとして、悪意コードのデータ構造を検証する。悪意コードの各例は、固有のデータ構造165またはデータ列を中に有する。この独特のデータは、(後述のように)悪意コードの例の特定に用いることができる。
シグネチャ、または悪意コードであることを特定できる表示物は、数多くの公知の形態をとり得ることに注意されたい。例えば、シグネチャはコード全体であるか、その一部に限る(例:バイト列またはバイナリ列)場合もある。さらに、シグネチャはコードまたはその一部の寄せ集めである場合もある。実際、犯罪者はコードの一部を暗号化し、その変形を数多く作り、または他のずる賢い機構を幾つでも用いてセキュリティ・システムをごまかそうとすることが多い。従って、本明細書で用いる「シグネチャ」の語は、悪意コードであることの表示に用いられる固有のデータ構造または識別子を広く意味する。
別の実施形態においては、セキュリティ・サービス110は、既知の脆弱性を悪用しようとする試みに関連付けられたIP/URLアドレス175も監視する。そのようなIP/URLアドレスを実際に特定すると、これは悪意コード・データ155として加えられ、後述のように、そのようなソースから受取ったデータは(例えばブラックリスト化により)阻止するよう、セキュリティ・コンポーネント195に通知する。もちろん、以下により詳しく説明したように、集めることができる悪意コード・データ155は他170にもある。
悪意コード・データ155を用いてセキュリティ・アップデート130が作成され、これをセキュリティ・サービス110がセキュリティ・コンポーネント195のインストール場所へ配布して、悪意コードを探すことができるようにする。図示したように、セキュリティ・アップデート130は複数の情報およびコードを含むことができる。例えば、セキュリティ・アップデートは、以下により詳しく説明したように、メッセージやその一部と比較することができる悪用エビデンス135を含むことができる。悪用エビデンス135は、データ構造165のシグネチャ、IP/URLアドレスまたはその他の電子アドレス175、またはセキュリティ・サービス110から収集することができるその他の情報などを含む。セキュリティ・アップデート130もまた、以下により詳しく説明したように、セキュリティ・コンポーネント195が悪用エビデンス135の用い方や、悪意コードがいったん特定された時にとる対策を決定するために用いるセキュリティ・コマンド145およびルール140を含む。
セキュリティ・コンポーネント195は、セキュリティ・サービス110からセキュリティ・アップデート130を受取り、これに応じてライブラリを修正する。次いで、セキュリティ・コンポーネント195は、コンピュータ105に流れ込むインターネットまたはネットワーク・データ・トラフィックを検証する。実施形態は、OSIモデルでネットワーク層185と、ファイルシステム層118を含むアプリケーション層122との間に常駐するトランスポート層190でこのようなトラフィックの検査を行えるようにする。OSIモデルには他にも多数の層があり、通信チャネルを代表表示するその他の抽象的モデルを用いることができるが、簡略化するためのみに、ここに図示したものを用いる。しかしながら、本明細書に記載した実施形態で用いることができるその他の層またはその他のモデルもあり得る。
トランスポート層190の例としてはTCPソケットレベルがあり、これは、標的となるコンピュータ105において、TCPネットワーク上で動作する二つのプログラム間の2方向通信リンクの終点である。セキュリティ・コンポーネント195は、トランスポート層190でデータを検証することにより、コンピュータ上のアプリケーションまたはその他のソフトウェアがメモリ内やファイルシステム層118で悪意コードを実行したりインストールする前に悪意コードを見つけることができる。さらに、アプリケーションのネットワーク・トラフィックの全てとは行かなくとも、ほとんどはトランスポート層190経由で流れるため、セキュリティ・コンポーネント195は、標的コンピューティング・システム105にインストールされたほとんどのアプリケーションのソフトウェア脆弱性を悪用するように構成された悪意コードを監視・特定することができる。
例えば、トランスポート層190でメッセージ180を受信すると、セキュリティ・コンポーネント195はセキュリティ・コンパレータ・モジュール102と、選択的にはセキュリティ・コマンド112も用いて、メッセージ180の一部を悪用エビデンス106と比較する。悪用エビデンス106と合致するか、セキュリティ・コマンド112で定義されたポリシーに違反するデータ送信物をコンパレータ・モジュール102が見つけると、セキュリティ・コンポーネント195はルール108で定義できる任意の数の保護策を実行する。例えば、メッセージ180が悪用エビデンス106で定義されたシグネチャ、電子アドレス、またはその他、悪意コードであることの表示物を含む、とセキュリティ・コンパレータ・モジュールが特定した場合、セキュリティ・コンポーネント195はルール108で定義された妥当な対策をとることができる。
一実施形態では、ルール108はセキュリティ・コンポーネント195に命じて、その特定の送信物またはメッセージ180が標的コンピュータ105に侵入するのを阻止する一方で、良好な送信物の通過は許可させる。代替の実施形態では、ルール108は、セキュリティ・コンポーネント195がコンピュータ105のユーザにそのデータ送信について通知することにより、ユーザが適切な対策を行えるよう定義される。このような通知は、メッセージについての情報(ソース、違反、リスクの可能性など)と、とるべきアクション(削除、許可、検疫、保留など)の選択肢をユーザに提供するユーザ・インターフェースの形式とすることができる。さらに別の実施形態では、ルール108は、セキュリティ・コンポーネント195に命じて、危険な機能を全て無効化するなどの形で排除できるよう、送信物またはメッセージ180の修正を行わせる。例えば、セキュリティ・コンポーネント195は、悪意コードを含むメッセージ部分を自動的に削除したり、コード自体の中の有害機能を無効化することができる。
もちろん、ルール108で定義された組合せで幾つでもアクションをとることができる。例えば、ルール108で、まずメッセージ180の有害機能を取除くか無効化してから、ユーザにその送信108について通知することができる。さらに、ルール108は、標的システム105のユーザが設定または修正したり、セキュリティ・サービス110が設定または修正したり、セキュリティ・コンポーネント195上でデフォルト・プログラミングとしたり、任意の公知の方式で設定または修正できるようにすることができる。従って、具体的にとるアクションや、アクションの設定または適用方法は、本明細書では説明する目的のみで用いているのであり、明確に請求していない限り、記載した実施形態の範囲を制限したり狭めるものではない。
前述のように、セキュリティ・コンポーネント195は、インストールされてから時間が経過するにつれ、扱いにくくなることがある。あまりにも多くのシグネチャ、電子アドレス、またはその他の悪用エビデンス106を探しているため、セキュリティ・コンポーネントをインストールしているコンピュータ105の性能速度が落ち、好ましい機能や送信物と干渉する可能性がある。従って、この問題を最小限にするため、本明細書に記載する各例示的な実施形態で様々な選択肢を提供する。
一実施形態は、特に厄介な悪意コードについての悪用エビデンス106のみに注意を傾けられるようにする。セキュリティ・サービス110は、発見された悪意コードの例を評価し、これが標的コンピュータに対して重度の脅威となる可能性を調べる。この評価は、関連する脆弱性の性質および範囲、そのコード例を書く際に用いられている技量の質、などの検討を含むことができる。次にサービス110は、セキュリティ・アップデート130中の脅威度評価160、および/またはセキュリティ・サービス110が最も危険と判断するコード例のみの悪用エビデンス106を探すための必要コマンド145を作成し、配布する。例えば、悪用エビデンス135をセキュリティ・アップデート130に含めるか含めないかを決定するために、閾値の脅威度評価160を用いることができる。もちろん、どのような悪用エビデンス135、セキュリティ・コマンド112、またはルール140をセキュリティ・アップデート130に含めるべきか、それともこれらから除外するべきかをこのような脅威度評価160に基づいて判断する方法は幾つもあろう。
別の実施形態は、関連のリスク期間が終了した後や、脅威度評価160が設定された閾値を下回った場合に、セキュリティ・コンポーネント195上の悪用エビデンス106、セキュリティ・コマンド112、および/またはルール108のキャンセル、削除、一時停止、または同様なアクションの実行ができるようにする。例えば、力があり、信頼できるパッチを広く配布した結果、リスク期間が終了するかもしれない。あるいは、経験上、関連の悪意コードの例が無害とわかったため、リスク期間が終了する場合もあろう。よって、セキュリティ・サービス110は、セキュリティ・コンポーネント195のインストール場所へセキュリティ・アップデート130を発行した後、インターネット・コミュニティ内で関連の脆弱性および悪意コードの存続の監視を継続する。リスク期間が短いか存在しない、とサービス110が判断すると、サービス110は、もはや悪用エビデンス106を監視しないよう、セキュリティ・コンポーネント195のインストール場所にコマンド145を送るために用いることができる脅威度評価160を発行する。もちろん、シグネチャ、電子アドレス、またはその他の悪意コード・データ155の中には、リスク期間が決して終了しないものもあり、その場合、セキュリティ・サービス110はその悪用エビデンス106の監視を決してキャンセルしないように選択することができる。
もちろん、セキュリティ・コンポーネント195の性能を向上させる機構は他にも数多くあろう。例えば、セキュリティ・サービス110は、イベントの発生に基づいて悪用エビデンス106および/またはこれと関連したセキュリティ・コマンド112またはルール108の削除、キャンセル、保留、またはその他のアクションを実行するよう命じるセキュリティ・コマンド145およびルール140をセキュリティ・コンポーネント195に送る。このように、セキュリティ・コンポーネント195は、そのようなイベントの発生がないかシステムを監視し、コマンド145および/またはルール140で定義された妥当なアクションをとる。そのようなイベントは、有効期限に基づくようにしたり、悪用エビデンス106またはこれと関連付けられた悪意コードの脅威度評価160が低いとセキュリティ・コンポーネント195が判断した時などに基づくようにすることができる。実際、セキュリティ・コンポーネント195の性能を向上させるためのアクションの実行に用いることができるイベントは幾つでもあろう。さらに、イベントが発生した時に行う削除、キャンセル、一時停止、保留などのアクションも幾つでもあろう。従って、本明細書に記載した具体的なイベントおよび/またはとるべきアクションは、説明する目的のみで用いているのであり、明確に請求していない限り、記載した実施形態を制限したり狭めるものではない。
以下は、例示的な実施形態に基づいて用いることができる様々な実施の具体例の説明である。これらの実施は、ソリューションの応用方法の例に過ぎない。これらは唯一の可能な例や実施ではなく、従って、明確に記載していない限り、本明細書に記載した実施形態の範囲を制限したり狭めるものではない。
セキュリティ・コンポーネント195は、Microsoft Windows XP(登録商標)オペレーティングシステムを動作させているユーザのパーソナルコンピュータ105上にインストールされている。セキュリティ・サービス110は、アップデート130をセキュアにセキュリティ・コンポーネント195へ送ることを許可されている。研究者がそれまでは未知であったMicrosoft Windows XP(登録商標)の脆弱性の発見についてインターネット上で発表すると、セキュリティ・サービス110は、インターネット上でのこれに関するプログラマー/ハッカー間のディスカッションを読む。サービス110は、あるプログラマーが脆弱性を悪用するコードを掲示しているのを見つけた。よって、セキュリティ・サービス110はこのコードをテストし、Windows(登録商標)を動作させているコンピュータに対して脅威的である可能性があると思われる、と判断した。
このコードから、セキュリティ・サービス110はシグネチャ、すなわちコードを特定する独特のデータ構造を確認する。セキュリティ・サービス110は、悪用エビデンス135、ルール140、およびコマンド145を、ユーザのコンピュータ上にインストールされたセキュリティ・コンポーネント195に送り、シグネチャを監視できるようにする。セキュリティ・コンポーネント195は、ユーザのコンピュータに送られたインターネット・データ・トラフィック中のシグネチャを探す。トランスポート層190(例:TCPソケットレベル)でデータ・トラフィックを探す時、コンポーネント195は内在するデータ・パッケージや保持しているペイロードとは無関係にシグネチャを探す。セキュリティ・コンポーネント195は、入ってくるEメール・データ・トラフィック180中に、ルートキットの付いたペイロードと共に、シグネチャを見つける。セキュリティ・コンポーネント195は、シグネチャを含むデータユニットを阻止する。データは、ユーザのコンピュータ上のソフトウェアがルートキットを実行またはインストールする前に阻止される。
別の例として、あるユーザは、Mozilla Firefox(登録商標)Internet Browser version 1.5.0.1 for Microsoft Windows(登録商標)(「該ブラウザ」と称する)を動作させているパーソナルコンピュータ上にセキュリティ・コンポーネント195をインストールした。セキュリティ・サービス110は、アップデート130をセキュアにセキュリティ・コンポーネント195へ送ることを許可されている。サービス110は、悪意コードの例を収集し、そのようなコードのソースおよびその他の情報を知るために、様々な自動化されたハニーポット、プローブ、およびその他のコンピュータをインターネット上に仕掛け、維持管理する。該ブラウザと一緒にインストールしたプローブの中には、悪意コードを探しに自動的に数多くのウェブサイトを訪れるものもある。
研究者が該ブラウザの特定の脆弱性の発見について発表したすぐ後、特定のIPアドレス(「該不良アドレス」と称する)のサーバが、セキュリティ・サービスの幾つかのプローブへ、この脆弱性を悪用した悪意コードにトロイの木馬をバンドルして送ってきた。これに応答して、セキュリティ・サービス110は、悪用エビデンス135およびコマンド145を含むセキュリティ・アップデート130を、ユーザのコンピュータ105上にインストールされたセキュリティ・コンポーネント195に送り、ユーザのコンピュータ105に送信されているデータのソースとして該不良アドレスを監視できるようにした。セキュリティ・コンポーネント195は、標的コンピュータ105に送られたインターネット・データ・トラフィック180中の該不良アドレスをTCPソケットレベル190で探した。該ブラウザの発行者は、関連する脆弱性を塞ぐパッチを発行した。セキュリティ・サービス110は、該不良アドレスが該ブラウザを動作させているコンピュータにとってもはや脅威的でないと判断し、該不良アドレスの探索を止めるよう、セキュリティ・アップデート130をセキュリティ・コンポーネント195に送った。
本発明は、機能的な工程および/または非機能的な行為を含む方法について説明することができる。以下は、本発明の実施に当たって行うことができる工程および/または行為の説明である。通常、機能的工程は、実現される結果について発明を説明し、非機能的行為は、特定の結果を実現するためのより具体的な行為を説明するものである。機能的な工程および/または非機能的な行為は特定の順序で説明または請求することができるが、本発明は必ずしも特定の順序や、行為および/または行為の組合せに制限されない。さらに、請求項の記載に当たって、また、図2のフロー図についての以下の説明の中で工程および/または行為を使用しているのは、そのような好ましい条件の具体的使用を示すためである。
前述のように、図2は本発明の様々な例示的な実施形態についてのフロー図である。図2についての以下の説明は時々、対応する図1の構成要素に言及する。この図面の具体的な構成要素に言及するが、そのような言及は、説明する目的のみで用いているのであり、明確に記載していない限り、記載した実施形態の範囲を制限したり狭めるものではない。
図2は、犯罪者の標的となる可能性のあるコンピュータのリスク期間を狭める方法230のフロー図である。セキュリティ・サービス200において、方法230は、悪意コードの例に関する情報の収集行為205を含む。例えば、セキュリティ・サービス110は、新規の(または古い)脆弱性の発見および/または新規の(または古い)悪意コードの例について、インターネットやその他の場所からニュース115、ディスカッション150、技術開発120、ネットワーク・トラフィック125、またはその他の情報を監視し、収集することができる。前述のように、この情報の収集は様々な形態で行うことができ、インターネット上のディスカッションの手動検索および読出し、または、既知の、あるいは疑わしい犯罪者や、犯罪者の挙動、ツールや、実験の記録された例から関連付けられたステートメントおよびソフトウェアを拾い出すプローブ、ハニーポット、サーチボットなどによる情報の自動収集を含む。
方法230は、収集した情報に基づいてセキュリティ・アップデートを生成する行為210をさらに含む。例えば、セキュリティ・サービス110は、悪意コード・データ155を用いてセキュリティ・アップデート130を生成することができる。このようなセキュリティ・アップデート130は、悪用エビデンス135、ルール140、および/またはセキュリティ・コマンド145を含み、これらはシグネチャ、電子アドレス、またはその他の悪意コードに関する情報を特定し、妥当なアクションをとるために用いられる。
方法230は、セキュリティ・アップデートをセキュリティ加入者に送る行為215も含む。セキュリティ・コンポーネント250側では、方法230はセキュリティ・アップデートを受信する行為220をさらに含む。方法230は、セキュリティ・アップデートに基づいてセキュリティ・コンポーネント250を修正する行為225を含む。例えば、セキュリティ・サービス110はセキュリティ・アップデート130を標的コンピュータシステム105に送り、標的コンピュータシステム105はセキュリティ・コンポーネント195のライブラリ104を妥当な悪用エビデンス106、ルール108、およびセキュリティ・コマンド112で更新する。
方法230は、トランスポート層でネットワーク・トラフィックを監視する行為235をさらに含む。例えば、セキュリティ・アップデート130の受取り前、受取り後、または受取り中に、セキュリティ・コンポーネント195は、標的となるコンピュータ105において、ネットワーク上で動作する二つのプログラム間の2方向通信リンクの終点であるトランスポート層190(例:TCPソケットレベル)でネットワーク・トラフィック125を監視することができる。セキュリティ・コンポーネント195は、トランスポート層190でデータを検証することにより、コンピュータ上のアプリケーションまたはその他のソフトウェアがメモリ内やファイルシステム層118で悪意コードを実行したりインストールする前に悪意コードを見つけることができる。さらに、アプリケーションのネットワーク・トラフィックの全てとは行かなくとも、ほとんどはトランスポート層190経由で流れるため、セキュリティ・コンポーネント195は、標的コンピューティング・システム105にインストールされたほとんどのアプリケーションのソフトウェア脆弱性を悪用するように構成された悪意コードを監視・特定することができる。
方法230は、セキュリティ・アップデートからの悪用エビデンスに基づいてメッセージと悪意コードとの関係を特定する工程240も含む。例えば、セキュリティ・コンポーネント195は、トランスポート層190でメッセージ180を受信する行為をし、セキュリティ比較モジュール102を用いてメッセージ180内のデータを悪用エビデンス106と比較する行為をすることができる。方法230は次に、この比較に基づいて、一群のルールによりアクションをとる工程を含む。例えば、セキュリティ・コンポーネント195が、このメッセージ180が悪意コードに対応する旨の特定行為をすると、ルール108はこれに命じて、その特定の送信物またはメッセージ180が標的コンピュータ105に侵入するのを阻止させる。ルール108はそのようなメッセージ180を阻止するが、他の良好な送信物の通過は許可することができる。代替の実施形態では、セキュリティ・コンポーネント195がコンピュータ105のユーザにそのデータ送信について通知することにより、ユーザが適切な対策を行えるようなルール108を提供する。さらに別の実施形態では、ルール108は、セキュリティ・コンポーネント195に命じて、危険な機能を全て無効化するなどの形で排除できるよう、送信物またはメッセージ180を修正を行わせる。
セキュリティ・コンポーネント195の性能を向上させるためには、他の実施形態が必要である。よって、一実施形態は、特定の悪意コードがどれほど危険なものか決定する脅威度評価160を超える悪意コードについての悪用エビデンス106のみに注意を傾けられるようにする。別の実施形態は、関連のリスク期間が終了した後や、脅威度評価160が設定された閾値を下回った場合に、セキュリティ・コンポーネント195上の悪用エビデンス106、セキュリティ・コマンド112、および/またはルール108のキャンセル、削除、保留、またはその他のアクションの実行ができるようにする。
さらに別の実施形態では、セキュリティ・コンポーネント195は、イベントの発生に基づいて悪用エビデンス106および/またはこれと関連したセキュリティ・コマンド112またはルール108の削除、キャンセル、またはその他のアクションを実行するよう命じるセキュリティ・コマンド145および/またはルール140を受信することができる。このように、好ましいイベントの発生時に、セキュリティ・コンポーネント195は、悪用エビデンス106、これと関連したセキュリティ・コマンド112およびルール108を削除する、キャンセルする、一時停止する、など妥当なアクションをとることができる。
本発明は、その趣旨や基本的特徴から逸脱しない範囲であれば、他の特定の形態で実施しても良い。記載した実施形態は全ての点で説明的なものに過ぎず、制限するものとは見なされない。従って、本発明の範囲は、上述した説明によってではなく、添付の特許請求の範囲により示される。特許請求の範囲の均等物の意味と範囲内での修正は全て、当該特許請求の範囲内に包含される。
本発明の前述した、またその他の効果的な特徴を実現できる方法を説明するために、簡単に前述した本発明をより特定化した説明を、付属の図面に図示した具体的な実施形態を参照しながら行う。これらの図面は本発明の典型的な実施形態を図示しているに過ぎず、従って、特許請求の範囲を限定するとは見なされないことを理解の上、添付図面を利用しながら本発明をより具体的かつ詳細に説明する。
図1は、実施例による、ソフトウェア脆弱性の悪用を最小限にするために用いるセキュリティ・サービスおよびセキュリティ・コンポーネントを有するコンピュータ・ネットワークを示す図である。
図2は、実施例による、犯罪者の標的となる可能性のあるコンピュータのリスク期間を狭める方法の実行のフロー図である。
Claims (20)
- ネットワーク・コンピューティング環境中のコンピューティング・システムにおいて、当該コンピューティング・システムに対する着信ネットワーク・トラフィックを検証し、悪意コードが実行および/またはインストールされる前に当該悪意コードを特定することにより、当該コンピューティング・システムにインストールされたソフトウェアの脆弱性の悪用を最小限にする方法であって、
前記コンピューティング・システムにインストールされたセキュリティ・コンポーネントを用いて、トランスポート層において当該コンピューティング・システムに着信するネットワーク・トラフィックを監視する工程と、
前記ネットワーク・トラフィックの一部として、前記コンピューティング・システムを宛先とすると特定されたメッセージを前記トランスポート層において受信する工程と、
前記受信メッセージに含まれるデータの少なくとも一部と悪意コードを特定するために用いられる悪用エビデンスとを比較する工程であって、前記悪用エビデンスは前記悪意コードに関する情報を収集するセキュリティ・サービスにより前記セキュリティ・コンポーネントに提供されるものである、前記比較する工程と、
前記悪用エビデンスとの比較に基づいて、前記受信メッセージに1若しくはそれ以上のアクションを実行するよう前記セキュリティ・コンポーネントに命令するための1若しくはそれ以上のルールを特定する工程と
を有する方法。 - 請求項1記載の方法において、前記トランスポート層は1若しくはそれ以上のTCPソケットレベルである。
- 請求項1記載の方法において、前記比較する工程によりデータの少なくとも一部が悪意コードに相当すると同定され、前記1若しくはそれ以上のルールは、
前記受信メッセージが前記コンピューティング・システムに侵入するのを阻止する工程と、
前記メッセージが前記悪意コードに相当することについて前記コンピューティング・システムのユーザに通知することにより、前記ユーザが適切な対策を行えるようにする工程と、
前記悪意コードの有害機能を無効化するよう前記メッセージを修正する工程と
のうちの1若しくはそれ以上を前記セキュリティ・コンポーネントに命令して実行させるものである。 - 請求項3記載の方法において、前記1若しくはそれ以上のルールは、前記受信メッセージを阻止する一方で、他の良好なメッセージの前記コンピューティング・システムへの通過を許可するものである。
- 請求項3記載の方法において、前記1若しくはそれ以上のルールは、前記メッセージの相当についてユーザ・インターフェースを用いて前記コンピューティング・システムのユーザに通知することにより、前記ユーザが前記メッセージを受入れるか却下できるようにするものである。
- 請求項1記載の方法において、前記悪用エビデンスは、悪意コードに関連付けられた既知の電子アドレスのリストを含むものである。
- 請求項6記載の方法において、前記電子アドレスのリストはIPアドレスまたはウェブサイトのURLを含み、前記メッセージのソースのIPアドレスまたはURLは、悪意コードに関連付けられた既知の電子アドレスのリストと比較されるものである。
- 請求項1記載の方法において、前記悪用エビデンスは前記悪意コードの1若しくはそれ以上のシグネチャを含み、このシグネチャは前記悪意コードであることを示す固有のデータ構造である。
- 請求項1記載の方法において、この方法は、さらに、
悪意コードを特定するために用られる前記悪用エビデンスが1若しくはそれ以上のイベントに基づいて失効するべきことを示すコマンドをセキュリティ・サービスから受信する工程と、
前記1若しくはそれ以上のイベントの発生時に、1若しくはそれ以上のルールの定義に従って前記悪用エビデンスにアクションを実行する工程と
を有するものである。 - 請求項9記載の方法において、前記イベントは、リスク期間が終了したこと、または前記悪意コードが特定の脅威度評価の閾値を下回っていることを判断する1若しくはそれ以上の工程であり、前記悪用エビデンスに実行するアクションは、前記悪用エビデンスを比較する工程をキャンセルする工程と、前記悪用エビデンスを前記セキュリティ・コンポーネントから削除する工程と、前記悪用エビデンスを比較する工程を一時停止する工程のうちの1若しくはそれ以上の工程を含むものである。
- ネットワーク・コンピューティング環境中のコンピューティング・システムにおける、コンピュータで読取り可能なエンコードされた命令を有するコンピュータで読取り可能な記憶媒体を有するコンピュータ・プログラム製品であって、前記命令はコンピューティング環境で実行されたとき、
前記コンピューティング・システムにインストールされたセキュリティ・コンポーネントを用いて、トランスポート層において当該コンピューティング・システムに着信するネットワーク・トラフィックを監視する工程と、
前記ネットワーク・トラフィックの一部として、前記コンピューティング・システムを宛先とすると特定されたメッセージを前記トランスポート層において受信する工程と、
前記受信メッセージに含まれるデータの少なくとも一部と悪意コードを特定するために用いられる悪用エビデンスとを比較する工程であって、前記悪用エビデンスは前記悪意コードに関する情報を収集するセキュリティ・サービスにより前記セキュリティ・コンポーネントに提供されるものである、前記比較する工程と、
前記悪用エビデンスとの比較に基づいて、前記受信メッセージに1若しくはそれ以上のアクションを実行するよう前記セキュリティ・コンポーネントに命令するための1若しくはそれ以上のルールを特定する工程と
を有する方法を実行するものである
コンピュータ・プログラム製品。 - 請求項11記載のコンピュータ・プログラム製品において、前記トランスポート層は1若しくはそれ以上のTCPソケットレベルである。
- 請求項11記載のコンピュータ・プログラム製品において、前記比較する工程によりデータの少なくとも一部が悪意コードに相当すると同定され、前記1若しくはそれ以上のルールは、
前記受信メッセージが前記コンピューティング・システムに侵入するのを阻止する工程と、
前記メッセージが前記悪意に相当することについて前記コンピューティング・システムのユーザに通知することにより、前記ユーザが適切な対策を行えるようにする工程と、
前記悪意コードの有害機能を無効化するよう前記メッセージを修正する工程
のうちの1若くはそれ以上を前記セキュリティ・コンポーネントに命令して実行させるものである。 - 請求項13記載のコンピュータ・プログラム製品において、前記1若しくはそれ以上のルールは、前記受信メッセージを阻止する一方で、他の良好なメッセージの前記コンピューティング・システムへの通過を許可するものである。
- 請求項13記載のコンピュータ・プログラム製品において、前記1若しくはそれ以上のルールは、前記メッセージの相当についてユーザ・インターフェースを用いて前記コンピューティング・システムのユーザに通知することにより、前記ユーザが前記メッセージを受入れるか却下できるようにするものである。
- 請求項11記載のコンピュータ・プログラム製品において、前記悪用エビデンスは、悪意コードに関連付けられた既知の電子アドレスのリストを含むものである。
- 請求項16記載のコンピュータ・プログラム製品において、前記電子アドレスのリストはIPアドレスまたはウェブサイトのURLを含み、前記メッセージのソースのIPアドレスまたはURLは、前記悪意コードに関連付けられた既知の電子アドレスのリストと比較されるものである。
- 請求項11記載のコンピュータ・プログラム製品において、前記悪用エビデンスは前記悪意コードの1若しくはそれ以上のシグネチャを含み、このシグネチャは前記悪意コードであることを示す固有のデータ構造である。
- 請求項11記載のコンピュータ・プログラム製品において、このコンピュータ・プログラム製品は、さらに、
悪意コードを特定するために用いられる悪用エビデンスが1若しくはそれ以上のイベントに基づいて失効するべきことを示すコマンドをセキュリティ・サービスから受信する工程と、
前記1若しくはそれ以上のイベントの発生時に、1若しくはそれ以上のルールの定義に従って前記悪用エビデンスにアクションを実行する工程と
を有するものである。 - 請求項19記載のコンピュータ・プログラム製品において、前記イベントは、リスク期間が終了したこと、前記悪意コードが何らかの脅威度評価の閾値を下回っていることを判断する1若しくはそれ以上の工程であり、前記悪用エビデンスに実行するアクションは、前記悪用エビデンスを比較する工程をキャンセルする工程と、前記悪用エビデンスを前記セキュリティ・コンポーネントから削除する工程と、前記悪用エビデンスを比較する工程を一時停止する工程のうちの1若しくはそれ以上の工程を含むものである。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US78572306P | 2006-03-24 | 2006-03-24 | |
| US60/785,723 | 2006-03-24 | ||
| PCT/US2007/064949 WO2007149612A2 (en) | 2006-03-24 | 2007-03-26 | Software vulnerability exploitation shield |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2009543163A true JP2009543163A (ja) | 2009-12-03 |
| JP2009543163A5 JP2009543163A5 (ja) | 2010-03-04 |
| JP5000703B2 JP5000703B2 (ja) | 2012-08-15 |
Family
ID=38834179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009503200A Active JP5000703B2 (ja) | 2006-03-24 | 2007-03-26 | ソフトウェア脆弱性悪用防止シールド |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8898787B2 (ja) |
| EP (1) | EP2008188B1 (ja) |
| JP (1) | JP5000703B2 (ja) |
| CN (2) | CN101558384B (ja) |
| AU (1) | AU2007261272B2 (ja) |
| BR (1) | BRPI0709368A8 (ja) |
| CA (1) | CA2647337A1 (ja) |
| HK (1) | HK1134560A1 (ja) |
| MY (1) | MY150011A (ja) |
| RU (1) | RU2417429C2 (ja) |
| WO (1) | WO2007149612A2 (ja) |
| ZA (1) | ZA200808923B (ja) |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7971257B2 (en) * | 2006-08-03 | 2011-06-28 | Symantec Corporation | Obtaining network origins of potential software threats |
| US8869268B1 (en) * | 2007-10-24 | 2014-10-21 | Symantec Corporation | Method and apparatus for disrupting the command and control infrastructure of hostile programs |
| US8037536B2 (en) * | 2007-11-14 | 2011-10-11 | Bank Of America Corporation | Risk scoring system for the prevention of malware |
| US8539593B2 (en) * | 2009-01-23 | 2013-09-17 | International Business Machines Corporation | Extraction of code level security specification |
| US8205257B1 (en) * | 2009-07-28 | 2012-06-19 | Symantec Corporation | Systems and methods for preventing threats originating from a non-process based component hosted by a trusted process |
| US20110185353A1 (en) * | 2010-01-27 | 2011-07-28 | Jack Matthew | Mitigating Problems Arising From Incompatible Software |
| KR101055267B1 (ko) * | 2010-03-05 | 2011-08-09 | 한국전자통신연구원 | 액티브엑스 컨트롤의 배포 사이트 식별 방법과 보안 취약점 검출 방법 및 면역화 방법 |
| US10025688B2 (en) | 2010-03-14 | 2018-07-17 | Virtual Forge GmbH | System and method for detecting data extrusion in software applications |
| US8402547B2 (en) * | 2010-03-14 | 2013-03-19 | Virtual Forge GmbH | Apparatus and method for detecting, prioritizing and fixing security defects and compliance violations in SAP® ABAP™ code |
| KR101201622B1 (ko) * | 2010-08-19 | 2012-11-14 | 삼성에스디에스 주식회사 | 보안 기능을 가진 시스템 온 칩 및 이를 이용한 디바이스 및 스캔 방법 |
| US11210674B2 (en) | 2010-11-29 | 2021-12-28 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
| US10474815B2 (en) | 2010-11-29 | 2019-11-12 | Biocatch Ltd. | System, device, and method of detecting malicious automatic script and code injection |
| US10949514B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | Device, system, and method of differentiating among users based on detection of hardware components |
| US10776476B2 (en) | 2010-11-29 | 2020-09-15 | Biocatch Ltd. | System, device, and method of visual login |
| US20190057200A1 (en) * | 2017-08-16 | 2019-02-21 | Biocatch Ltd. | System, apparatus, and method of collecting and processing data in electronic devices |
| US10917431B2 (en) * | 2010-11-29 | 2021-02-09 | Biocatch Ltd. | System, method, and device of authenticating a user based on selfie image or selfie video |
| US10621585B2 (en) | 2010-11-29 | 2020-04-14 | Biocatch Ltd. | Contextual mapping of web-pages, and generation of fraud-relatedness score-values |
| US10897482B2 (en) | 2010-11-29 | 2021-01-19 | Biocatch Ltd. | Method, device, and system of back-coloring, forward-coloring, and fraud detection |
| US10586036B2 (en) | 2010-11-29 | 2020-03-10 | Biocatch Ltd. | System, device, and method of recovery and resetting of user authentication factor |
| US11223619B2 (en) | 2010-11-29 | 2022-01-11 | Biocatch Ltd. | Device, system, and method of user authentication based on user-specific characteristics of task performance |
| US11269977B2 (en) | 2010-11-29 | 2022-03-08 | Biocatch Ltd. | System, apparatus, and method of collecting and processing data in electronic devices |
| US10970394B2 (en) | 2017-11-21 | 2021-04-06 | Biocatch Ltd. | System, device, and method of detecting vishing attacks |
| US10834590B2 (en) | 2010-11-29 | 2020-11-10 | Biocatch Ltd. | Method, device, and system of differentiating between a cyber-attacker and a legitimate user |
| US20190158535A1 (en) | 2017-11-21 | 2019-05-23 | Biocatch Ltd. | Device, System, and Method of Detecting Vishing Attacks |
| US10069837B2 (en) | 2015-07-09 | 2018-09-04 | Biocatch Ltd. | Detection of proxy server |
| US10728761B2 (en) | 2010-11-29 | 2020-07-28 | Biocatch Ltd. | Method, device, and system of detecting a lie of a user who inputs data |
| RU2477929C2 (ru) * | 2011-04-19 | 2013-03-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ предотвращения инцидентов безопасности на основании рейтингов опасности пользователей |
| RU2510074C2 (ru) | 2012-02-24 | 2014-03-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки исполняемого кода перед его выполнением |
| US9208316B1 (en) * | 2012-02-27 | 2015-12-08 | Amazon Technologies, Inc. | Selective disabling of content portions |
| US8844036B2 (en) * | 2012-03-02 | 2014-09-23 | Sri International | Method and system for application-based policy monitoring and enforcement on a mobile device |
| RU2523114C2 (ru) * | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
| CN102799502B (zh) * | 2012-06-28 | 2016-03-30 | 航天恒星科技有限公司 | 一种星载嵌入式软件在轨维护方法 |
| RU2495487C1 (ru) * | 2012-08-10 | 2013-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для определения доверия при обновлении разрешенного программного обеспечения |
| CN103856456A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一种网络安全的方法和系统 |
| US9298911B2 (en) | 2013-03-15 | 2016-03-29 | Intel Corporation | Method, apparatus, system, and computer readable medium for providing apparatus security |
| US9015839B2 (en) * | 2013-08-30 | 2015-04-21 | Juniper Networks, Inc. | Identifying malicious devices within a computer network |
| US20160127412A1 (en) * | 2014-11-05 | 2016-05-05 | Samsung Electronics Co., Ltd. | Method and system for detecting execution of a malicious code in a web based operating system |
| GB2539705B (en) | 2015-06-25 | 2017-10-25 | Aimbrain Solutions Ltd | Conditional behavioural biometrics |
| RU2613535C1 (ru) * | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
| KR20170135495A (ko) * | 2016-05-31 | 2017-12-08 | 주식회사 씨티아이랩 | 보안 위협 정보 분석 및 관리 시스템 |
| GB2552032B (en) | 2016-07-08 | 2019-05-22 | Aimbrain Solutions Ltd | Step-up authentication |
| US10579784B2 (en) | 2016-11-02 | 2020-03-03 | Biocatch Ltd. | System, device, and method of secure utilization of fingerprints for user authentication |
| RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
| US11222135B2 (en) * | 2018-05-28 | 2022-01-11 | International Business Machines Corporation | User device privacy protection |
| US11050772B2 (en) * | 2018-12-05 | 2021-06-29 | Bank Of America Corporation | Method and system for identification and prevention of profiling attacks in electronic authorization systems |
| RU2701040C1 (ru) * | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
| US11606353B2 (en) | 2021-07-22 | 2023-03-14 | Biocatch Ltd. | System, device, and method of generating and utilizing one-time passwords |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342279A (ja) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
| JP2004139177A (ja) * | 2002-10-15 | 2004-05-13 | Sony Corp | 情報検査方法及び装置、並びにプログラム |
| WO2004070590A1 (ja) * | 2003-02-04 | 2004-08-19 | Fujitsu Limited | ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム |
| JP2005135420A (ja) * | 2003-10-31 | 2005-05-26 | Internatl Business Mach Corp <Ibm> | ホストベースのネットワーク侵入検出システム、方法、およびコンピュータ可読媒体 |
| JP2005532606A (ja) * | 2001-12-31 | 2005-10-27 | シタデル セキュリティ ソフトウェア インコーポレイテッド | コンピュータの脆弱性を解決する自動化されたシステム |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2368233B (en) * | 2000-08-31 | 2002-10-16 | F Secure Oyj | Maintaining virus detection software |
| US7308714B2 (en) * | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
| US7197762B2 (en) | 2001-10-31 | 2007-03-27 | Hewlett-Packard Development Company, L.P. | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits |
| US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
| EP1535164B1 (en) * | 2002-08-26 | 2012-01-04 | International Business Machines Corporation | Determining threat level associated with network activity |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US7251822B2 (en) | 2003-10-23 | 2007-07-31 | Microsoft Corporation | System and methods providing enhanced security model |
| US7389538B2 (en) * | 2003-11-12 | 2008-06-17 | Fortinet, Inc. | Static code image modeling and recognition |
| US7661123B2 (en) * | 2003-12-05 | 2010-02-09 | Microsoft Corporation | Security policy update supporting at least one security service provider |
| US7748038B2 (en) * | 2004-06-16 | 2010-06-29 | Ironport Systems, Inc. | Method and apparatus for managing computer virus outbreaks |
| JP2006067279A (ja) | 2004-08-27 | 2006-03-09 | Matsushita Electric Ind Co Ltd | 侵入検知システム及び通信装置 |
| US20080189784A1 (en) * | 2004-09-10 | 2008-08-07 | The Regents Of The University Of California | Method and Apparatus for Deep Packet Inspection |
| ES2381640T3 (es) * | 2008-06-05 | 2012-05-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Supervisión del tráfico por medio del marcaje de la capa de transmisión inferior |
-
2007
- 2007-03-26 BR BRPI0709368A patent/BRPI0709368A8/pt not_active Application Discontinuation
- 2007-03-26 EP EP07759401.8A patent/EP2008188B1/en active Active
- 2007-03-26 MY MYPI20083741A patent/MY150011A/en unknown
- 2007-03-26 US US11/691,094 patent/US8898787B2/en active Active
- 2007-03-26 JP JP2009503200A patent/JP5000703B2/ja active Active
- 2007-03-26 RU RU2008142138/08A patent/RU2417429C2/ru active
- 2007-03-26 CN CN2007800189492A patent/CN101558384B/zh active Active
- 2007-03-26 CA CA002647337A patent/CA2647337A1/en not_active Abandoned
- 2007-03-26 CN CN2012104605752A patent/CN103218563A/zh active Pending
- 2007-03-26 AU AU2007261272A patent/AU2007261272B2/en active Active
- 2007-03-26 WO PCT/US2007/064949 patent/WO2007149612A2/en active Application Filing
-
2008
- 2008-10-17 ZA ZA200808923A patent/ZA200808923B/xx unknown
-
2009
- 2009-12-11 HK HK09111672.3A patent/HK1134560A1/xx not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002342279A (ja) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
| JP2005532606A (ja) * | 2001-12-31 | 2005-10-27 | シタデル セキュリティ ソフトウェア インコーポレイテッド | コンピュータの脆弱性を解決する自動化されたシステム |
| JP2004139177A (ja) * | 2002-10-15 | 2004-05-13 | Sony Corp | 情報検査方法及び装置、並びにプログラム |
| WO2004070590A1 (ja) * | 2003-02-04 | 2004-08-19 | Fujitsu Limited | ソフトウェア保守サービス提供システム、ソフトウェア保守サービス方法、その方法をコンピュータに実行させるプログラム |
| JP2005135420A (ja) * | 2003-10-31 | 2005-05-26 | Internatl Business Mach Corp <Ibm> | ホストベースのネットワーク侵入検出システム、方法、およびコンピュータ可読媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070226797A1 (en) | 2007-09-27 |
| JP5000703B2 (ja) | 2012-08-15 |
| CN103218563A (zh) | 2013-07-24 |
| US8898787B2 (en) | 2014-11-25 |
| BRPI0709368A8 (pt) | 2018-04-24 |
| MY150011A (en) | 2013-11-15 |
| EP2008188A2 (en) | 2008-12-31 |
| CN101558384B (zh) | 2013-01-02 |
| CA2647337A1 (en) | 2007-12-27 |
| EP2008188B1 (en) | 2017-05-31 |
| WO2007149612A2 (en) | 2007-12-27 |
| AU2007261272A1 (en) | 2007-12-27 |
| RU2008142138A (ru) | 2010-04-27 |
| HK1134560A1 (en) | 2010-04-30 |
| RU2417429C2 (ru) | 2011-04-27 |
| AU2007261272B2 (en) | 2012-04-19 |
| WO2007149612A3 (en) | 2008-11-20 |
| ZA200808923B (en) | 2009-08-26 |
| CN101558384A (zh) | 2009-10-14 |
| EP2008188A4 (en) | 2012-01-18 |
| BRPI0709368A2 (pt) | 2011-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2009543163A (ja) | ソフトウェア脆弱性悪用防止シールド | |
| US11652829B2 (en) | System and method for providing data and device security between external and host devices | |
| CN105721461B (zh) | 利用专用计算机安全服务的系统和方法 | |
| RU2622870C2 (ru) | Система и способ оценки опасности веб-сайтов | |
| Wurzinger et al. | SWAP: Mitigating XSS attacks using a reverse proxy | |
| CN113228585B (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
| US8990944B1 (en) | Systems and methods for automatically detecting backdoors | |
| JP4405248B2 (ja) | 通信中継装置、通信中継方法及びプログラム | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US8850584B2 (en) | Systems and methods for malware detection | |
| US8782790B1 (en) | Signature creation for malicious network traffic | |
| US20140096246A1 (en) | Protecting users from undesirable content | |
| US20080320583A1 (en) | Method for Managing a Virtual Machine | |
| JP2012516502A (ja) | ネットワークリソースへの正常性ベースのアクセス | |
| JP2008011537A (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| Xing et al. | Cracking app isolation on apple: Unauthorized cross-app resource access on MAC os~ x and ios | |
| JP7388613B2 (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
| EP2132643A1 (en) | System and method for providing data and device security between external and host devices | |
| CN114301647A (zh) | 态势感知中漏洞信息的预测防御方法、装置及系统 | |
| JP5322288B2 (ja) | 通信処理装置、通信処理方法、及びプログラム | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| KR101042226B1 (ko) | 화이트 리스트를 모니터링하는 네트워크 필터와 더미 웹 서버를 이용한 분산서비스거부 공격 차단 방법 | |
| CN113824678B (zh) | 处理信息安全事件的系统、方法和非暂时性计算机可读介质 | |
| US20090144822A1 (en) | Withholding last packet of undesirable file transfer | |
| CN114650210B (zh) | 告警处理方法及防护设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091007 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100116 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111101 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120128 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120206 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20120229 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20120307 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120402 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120424 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120516 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5000703 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150525 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |