JP2010079906A - マルウェアの誤検出を低減する方法及び装置 - Google Patents

マルウェアの誤検出を低減する方法及び装置 Download PDF

Info

Publication number
JP2010079906A
JP2010079906A JP2009220611A JP2009220611A JP2010079906A JP 2010079906 A JP2010079906 A JP 2010079906A JP 2009220611 A JP2009220611 A JP 2009220611A JP 2009220611 A JP2009220611 A JP 2009220611A JP 2010079906 A JP2010079906 A JP 2010079906A
Authority
JP
Japan
Prior art keywords
files
level
reliability
computer
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009220611A
Other languages
English (en)
Other versions
JP5793764B2 (ja
Inventor
Shane Pereira
ペレイラ シェーン
Mark Kennedy
ケネディー マーク
Pieter Viljoen
ヴィルジョエン ピーター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2010079906A publication Critical patent/JP2010079906A/ja
Application granted granted Critical
Publication of JP5793764B2 publication Critical patent/JP5793764B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】マルウェアの誤検出を低減する。
【解決手段】信頼性が不明なファイルがコンピュータ上の潜在的脅威として識別される。ファイルのそれぞれについての信頼性レベルがバックエンド124から受信される。ファイルのそれぞれの信頼性レベルが閾値レベルと比較される。ファイルのそれぞれの信頼性レベルが閾値レベルを満たす場合に、脅威の誤検出としてファイルのそれぞれが指定される。ファイルのそれぞれの信頼性レベルが閾値レベルを満たさない場合に、脅威の真の検出としてファイルのそれぞれが指定される。
【選択図】図1

Description

[0001]本発明は、一般に、コンピュータシステムに関する。特に、本発明は、マルウェアの誤検出を低減する方法及び装置に関する。
[0002]消費者及び企業は、機密データを格納するためにコンピュータをますます頼りにしている。したがって、悪意のあるプログラマは、他者のコンピュータ及び機密データに対する不法な支配及びアクセスを得るための活動を頻繁に増やしているように見える。そのような悪意のあるプログラマは、他者の所有物であるコンピュータシステム及び機密データを危険にさらすことが意図されたウィルス、トロイの木馬、ワーム、及び、同様のタイプのプログラムを作り出し続けている。これらの悪意のあるプログラムは、大抵は一般に「マルウェア」と称される。
[0003]セキュリティソフトウェア企業は、アンチ・ウィルス、アンチ・スパイウェア、又は、他のタイプのアンチ・マルウェア製品等の様々なクライアントセキュリティ製品の開発により、高まりつつあるマルウェアの風潮に対抗している。しかしながら、いくつかのアンチ・マルウェア製品は、様々な評価ルールを使用してあらゆるアクセスについてファイル及び他のサブシステムを監視及び解析するように構成されているため、クライアントコンピュータのパフォーマンスに影響を与える。いくつかのアンチ・マルウェア製品は、アクセスされたファイル及びサブシステムについての解析の結果をキャッシュすることがあるが、そのような結果は、評価ルールが変えられた場合には無効にされる。例えば、いくつかのアンチ・ウィルス製品において、アンチ・ウィルスシグネチャーが変化した場合には、以前の評価結果は無効とされる。これは、各ファイル/サブシステムのアクセスが再度解析されることから、クライアントコンピュータのパフォーマンス低下をもたらす。問題は、アンチ・マルウェア製品が通常はマルウェアを有しないコンピュータ上の公知の不良ファイルを探すという事実によってさらに悪化する。したがって、アンチ・マルウェアプログラムは、コンピュータのパフォーマンスを低下させることがあり、大抵のコンピュータシステム及びユーザにとってほとんど利益にならない。
[0004]したがって、マルウェアの誤検出を低減する方法及び装置の必要が技術的に存在する。
[0005]本発明の態様は、コンピュータ上のマルウェアを検出する方法、装置、及び、コンピュータ読み取り可能な媒体に関する。いくつかの実施形態において、信頼性が不明なファイルは、コンピュータ上の潜在的脅威として識別される。ファイルのそれぞれについての信頼性レベルは、バックエンドによって受信される。ファイルのそれぞれについての信頼性レベルは、閾値レベルと比較される。信頼性レベルが閾値レベルを満たすファイルのそれぞれは、脅威の誤検出であるものと指定される。信頼性レベルが閾値レベルを満たさないファイルのそれぞれは、脅威の真の検出であるものと指定される。
[0006]本発明の上記列挙された特徴が詳細に理解され得るように、上記に簡潔に要約された本発明のより詳細な説明が、そのいくつかが添付された図面において図示される実施形態への言及によってなされる。しかしながら、留意すべきは、添付された図面が、本発明の代表的な実施形態のみを図示しており、したがって、本発明が他の均等な有効な実施形態を認めてもよいことから、その範囲に限定して考慮されるべきではないということである。
本発明の1つ以上の態様に係るコンピュータシステムの例としての実施形態を描いているブロック図である。 本発明のいくつかの実施形態に係るサーバコンピュータを描いているブロック図である。 本発明のいくつかの実施形態に係る検査コンピュータを描いているブロック図である。 本発明の1つ以上の態様に係るソフトウェアの信頼性を測定する方法を描いているフローチャートである。 本発明のいくつかの実施形態に係る検査対象のソフトウェアパッケージを識別する方法を描いているフローチャートである。 本発明のいくつかの実施形態に係る検査対象のソフトウェアパッケージを識別する方法を描いているフローチャートである。 本発明のいくつかの実施形態に係る監視コンピュータを描いているブロック図である。 本発明のいくつかの実施形態に係るクライアントコンピュータを描いているブロック図である。 本発明のいくつかの実施形態に係るコンピュータ上のマルウェアを検出する方法を描いているフローチャートである。
[0016]図1は、本発明の1つ以上の態様に係るコンピュータシステム100の例としての実施形態を描いているブロック図である。システム100は、クライアントコンピュータ102と、ネットワーク104と、サーバコンピュータ106と、検査コンピュータ108と、データベース110とを含む。いくつかの実施形態において、システム100はまた、監視コンピュータ109を含んでもよい。ネットワーク104は、ハブ、スイッチ、ルータ等の様々なタイプの周知のネットワーク要素によって容易とされるワイヤ、ケーブル、光ファイバ、及び/又は、無線リンクによってコンピュータシステムを接続する通信システムを備える。特に、ネットワーク104は、クライアントコンピュータ102及びサーバコンピュータ106を接続する。ネットワーク104は、情報を通信するために様々な周知のプロトコルを使用してもよい。例えば、ネットワーク104は、インターネットプロトコル(IP)、伝送制御プロトコル(TCP)、及び、パケットを伝送するための同類のものを使用してもよい。ネットワーク104は、インターネット等の広域通信網(WAN)の一部、及び/又は、構内通信網(LAN)の全部もしくは一部を構成してもよい。
[0017]クライアントコンピュータ102のそれぞれは、ソフトウェア112及びエージェント113を含む。コンピュータ102は、ソフトウェア112を実行してエージェント113を実装することができる任意のタイプの計算装置を備えてもよい。ソフトウェア112は、1つ以上のオペレーティング・システムを含み、1つ以上のアプリケーションプログラムをさらに含んでもよい。エージェント113は、マルウェアを検出するためにソフトウェア112を監視するように各コンピュータ102によって実行可能なソフトウェアを備えてもよい。エージェント113は、クライアントコンピュータのパフォーマンスを改善するために「ホワイトリスト」を使用するように構成されている。エージェント113は、ソフトウェア112における関心のあるファイルが信頼できるとみなされるかどうかを測定するためにサーバコンピュータ106によって実装されたバックエンド124と協働する。エージェント113は、ホワイトリスト上で信頼され得るファイルを含む。ホワイトリスト上の所定のファイルが変えられていない場合には、エージェント113は、そのようなファイルを監視しない。一般に、ソフトウェア112における数多くのファイルは、正当であり、バックエンド124によって信頼されたとみなされる。さらに、そのようなファイルは、頻繁には変化しない。そのようなものとして、エージェント113によって監視されるソフトウェア112におけるファイルの個数は低減され、これにより、クライアントコンピュータのパフォーマンスを改善する。ソフトウェアの信頼性の測定の実施形態が以下に記載される。
[0018]サーバコンピュータ106は、バックエンド124を実装するように構成されている。図2は、本発明のいくつかの実施形態に係るサーバコンピュータ106を描いているブロック図である。サーバコンピュータ106は、実例的に、プロセッサ202と、メモリ204と、様々なサポート回路206と、I/Oインターフェース208とを含む。プロセッサ202は、当技術分野で知られている1つ以上のマイクロプロセッサを含んでもよい。プロセッサ202用のサポート回路206は、従来のキャッシュ、電源、クロック回路、データレジスタ、及び、I/Oインターフェース等を含む。I/Oインターフェース208は、ネットワーク104及びデータベース110との通信用に構成されてもよい。メモリ204は、1つ以上の以下のランダムアクセスメモリ、読み出し専用メモリ、磁気抵抗読み出し/書き込みメモリ、光読み出し/書き込みメモリ、キャッシュメモリ、及び、磁気読み出し/書き込みメモリ等を含む。
[0019]いくつかの実施形態において、バックエンド124は、本明細書に記載された機能を実行するようにメモリ204に格納され且つプロセッサ202によって実行されるソフトウェアを使用して実装されてもよい。しかしながら、バックエンド124が特定用途向け集積回路(ASIC)等の固有に構成されたハードウェアを使用して実装されてもよいことはいうまでもない。他の実施形態において、バックエンド124は、固有に構成されたハードウェアとソフトウェアとの組み合わせを使用して実装されてもよい。
[0020]図1に戻ると、バックエンド124は、関心のあるファイルが信頼でき、したがってホワイトリストに載っているかどうかを測定するように、クライアントコンピュータ102のそれぞれにおけるエージェント113と協働するように構成されている。特に、バックエンド124は、関心のある特定ファイルの信頼性レベルについてのエージェント113による問い合わせを提供するように構成されている。問い合わせは、関心のあるファイルに関連する識別情報を含んでもよい。いくつかの実施形態において、識別情報は、関心のある各ファイルについての要約を含む。要約は、ハッシュ等のファイル識別子であってもよい。ハッシュは、ハッシュ関数(例えば、任意長のデータストリームの入力をとり、所定の固定サイズの値を有する出力を作り出す関数)を使用して計算された値、コード、サム、又は、他のデータであってもよい。ハッシュ関数は、巡回冗長検査(CRC)ハッシュ関数、暗号学的ハッシュ関数(例えばメッセージ要約アルゴリズム5(MD5)ハッシュ関数)、セキュアハッシュアルゴリズム(SHA)ハッシュ関数等であってもよい。例としてのSHAハッシュ関数は、SHA−0、SHA−1、SHA−2、SHA−256、及び、SHA−512ハッシュ関数を含む。他の周知の又は独占所有権のあるハッシュアルゴリズムがまた、ファイルの要約を測定するために使用されてもよいことはいうまでもない。いくつかの実施形態において、識別情報はまた、ファイル名、規格化したファイルパス、ファイルサイズ等の他のファイル属性を含んでもよい。
[0021]データベース110は、様々なファイルについての信頼性情報を格納するように構成されている。データベース110は、ファイル識別情報を信頼性のレベルと関連付けるリレーショナルデータベース等を備えてもよい。例えば、データベース110は、ファイル要約と信頼性の各レベルとの間の関係を格納してもよい。いくつかの実施形態において、信頼性の各レベルは、複数のレベルから選択される。例えば、ファイルには、プロバイダ信頼、コミュニティ信頼、不信頼、又は、不明から選択された信頼性レベルが割り当てられてもよい。「プロバイダ信頼」は、バックエンド124のプロバイダがファイルを信頼していることを示している。「コミュニティ信頼」は、ユーザのコミュニティがファイルを信頼していることを示している。「不明」は、ファイルが信頼できるかもしれず、又は信頼できないかもしれないことを示している。「不信頼」は、ファイルが信頼されるべきではなくマルウェアであり得ることを示している。バックエンド124は、データベース110に問い合わせるためにファイルについて受信した識別情報を使用し、ファイルについての各信頼性レベルを取得する。データベース110は、サーバコンピュータ106のリソース(例えば図2におけるメモリ204)を使用して実装されてもよい。あるいは、データベース110は、1つ以上の別個の格納装置及び/又はサーバコンピュータを使用して実装されてもよい。
[0022]検査コンピュータ108は、ソフトウェアパッケージを検査してファイルに対して信頼性のレベルを割り当てるために使用される。検査コンピュータ108は、検査部114を実装するように構成されている。図3は、本発明のいくつかの実施形態に係る検査コンピュータ108を描いているブロック図である。検査コンピュータ108は、実例的に、プロセッサ302と、メモリ304と、様々なサポート回路306と、I/Oインターフェース308とを含む。プロセッサ302は、当技術分野で知られている1つ以上のマイクロプロセッサを含んでもよい。プロセッサ302用のサポート回路306は、従来のキャッシュ、電源、クロック回路、データレジスタ、及び、I/Oインターフェース等を含む。メモリ304は、1つ以上の以下のランダムアクセスメモリ、読み出し専用メモリ、磁気抵抗読み出し/書き込みメモリ、光読み出し/書き込みメモリ、キャッシュメモリ、及び、磁気読み出し/書き込みメモリ等を含んでもよい。
[0023]いくつかの実施形態において、検査部114は、本願明細書に記載された機能を実行するようにメモリ304に格納され且つプロセッサ302によって実行されるソフトウェアを使用して実装されてもよい。しかしながら、検査部114が特定用途向け集積回路(ASIC)等の固有に構成されたハードウェアを使用して実装されてもよいことはいうまでもない。他の実施形態において、検査部114は、固有に構成されたハードウェアとソフトウェアとの組み合わせを使用して実装されてもよい。
[0024]図1に戻ると、検査部114は、ソフトウェアパッケージにおけるファイルについての信頼性のレベルを測定するように構成されている。図4は、本発明の1つ以上の態様に係るソフトウェアの信頼性を測定する方法400を描いているフローチャートである。本方法400の実施形態は、図1において示されたコンピュータシステム100を参照して理解される。本方法400は、ステップ402において開始し、検査部114がクリーンマシン118に信頼性が不明な1つ以上のファイルを含むものと識別されたソフトウェアパッケージ116をインストールする。いくつかの実施形態において、クリーンマシン118は、検査コンピュータ108上で実行するVMWARE仮想マシン等の仮想マシンを備える。クリーンマシン118は、オペレーティング・システム以外の他のソフトウェアパッケージがインストールされていないという点で「きれい」である。ソフトウェアパッケージ116がオペレーティング・システムである場合には、ソフトウェアは、クリーンマシン118に全く存在しない(例えば、クリーンマシンが検査コンピュータ108における仮想マシンである場合には、仮想マシンイメージは、オペレーティング・システムが検査されるとして生成されてもよい)。仮想マシンよりもむしろ、クリーンマシン118がハードウェア(例えば、検査コンピュータ108又は検査コンピュータ108に接続された他のコンピュータにおけるハードウェア)を使用して実装されてもよいことはいうまでもない。
[0025]いくつかの実施形態において、ソフトウェアパッケージ116は、サーバコンピュータ106からの出力を使用して識別される。図5は、本発明のいくつかの実施形態に係る検査対象のソフトウェアパッケージを識別する方法500を描いているフローチャートである。本方法500の実施形態は、図1を参照して理解される。本方法500は、ステップ502において開始し、バックエンド124がクライアントコンピュータ102に格納された関心のあるファイルについての識別情報を受信する。識別情報の実施形態は、上述した通りである。ステップ504において、バックエンド124は、クライアントコンピュータ102の間の拡散率(prevalence)によって順序付けられた信頼性が不明なファイルのリストを生成する。いくつかの実施形態において、バックエンド124は、ステップ502において受信した識別情報を使用してファイルの拡散率を測定する。例えば、識別情報は、所定のファイルについての信頼性レベルがリクエストされたクライアントコンピュータ102の台数を示す。信頼性のレベルがより多くのクライアントコンピュータ102によってリクエストされたファイルには、より高い拡散率が割り当てられる。信頼性のレベルがより少ないクライアントコンピュータ102によってリクエストされたファイルには、より低い拡散率が割り当てられる。いくつかの実施形態において、バックエンド124は、拡散率を測定するためにステップ502からの識別情報の代わりに又はそれと組み合わせて他の外部情報506を使用してもよい。外部情報506は、例えば、それらのソフトウェアパッケージの拡散率に関するソフトウェア発行元からの情報を含んでもよい。
[0026]ステップ508において、バックエンド124は、拡散率の閾値があればそれを超えない拡散率を有するそれらのファイルをリストから除去する。例えば、信頼レベルが数台のクライアントコンピュータ102のみによってリクエストされたファイルの個数であってもよい。拡散率の閾値は、ファイルの検査が始まる前に特定台数のクライアントコンピュータのリクエストが必要とされるように設定されてもよい。ステップ510において、バックエンド124は、検査対象のファイルのレポート120を出力する。レポート120は、検査対象のファイルを含む1つ以上のソフトウェアパッケージを識別するために管理者又はユーザによって使用されてもよい。管理者又はユーザは、ソフトウェアパッケージを取得してそれらを格納してもよく、又は、それらを検査コンピュータ108に供給してもよい(例えばソフトウェアパッケージ116)。
[0027]図4のステップ402に戻ると、いくつかの実施形態において、ソフトウェアパッケージ116は、自動的に識別される。図6は、本発明のいくつかの実施形態に係る検査対象のソフトウェアパッケージを識別する方法600を描いているフローチャートである。本方法600の実施形態は、図1を参照して理解される。図1において示されているように、システム100は、ソフトウェアパッケージモニタ130に構成された監視コンピュータ109を含んでもよい。ソフトウェアパッケージモニタ130は、検査対象のソフトウェアパッケージを自動的に識別するために本方法600を実行してもよい。
[0028]図7は、本発明のいくつかの実施形態に係る監視コンピュータ109を描いているブロック図である。監視コンピュータ109は、実例的に、プロセッサ702と、メモリ704と、様々なサポート回路706と、I/Oインターフェース708とを含む。プロセッサ702は、当技術分野で知られている1つ以上のマイクロプロセッサを含んでもよい。プロセッサ702用のサポート回路706は、従来のキャッシュ、電源、クロック回路、データレジスタ、及び、I/Oインターフェース等を含む。I/Oインターフェース708は、ネットワーク104との通信用に構成されてもよい。I/Oインターフェース708はまた、検査コンピュータ108との通信用に構成されてもよい。メモリ704は、1つ以上の以下のランダムアクセスメモリ、読み出し専用メモリ、磁気抵抗読み出し/書き込みメモリ、光読み出し/書き込みメモリ、キャッシュメモリ、及び、磁気読み出し/書き込みメモリ等を含んでもよい。
[0029]いくつかの実施形態において、ソフトウェアパッケージモニタ130は、本願明細書に記載された機能を実行するようにメモリ704に格納され且つプロセッサ702によって実行されるソフトウェアを使用して実装されてもよい。しかしながら、ソフトウェアパッケージモニタ130が特定用途向け集積回路(ASIC)等の固有に構成されたハードウェアを使用して実装されてもよいことはいうまでもない。他の実施形態において、ソフトウェアパッケージモニタ130は、固有に構成されたハードウェアとソフトウェアとの組み合わせを使用して実装されてもよい。
[0030]図1及び図6に戻ると、本方法600は、ステップ602において開始し、ソフトウェアパッケージモニタ130がソフトウェアの信頼できる供給源であるものと示されたベンダーのウェブサイトを監視する。例えば、オペレーティング・システム及び他の周知で人気があるソフトウェアパッケージのベンダーは、ソフトウェアの信頼できる供給源とみなされてもよい。そのようなベンダーは、インターネット上の特定の発行ポイントにおいて新規のソフトウェアパッケージ及び/又は現在のソフトウェアパッケージの更新を公開することがある(留意すべきは、更新は、本記載のためにソフトウェアパッケージであると考えられるということである)。例えば、オペレーティング・システム又は他のアプリケーションのベンダーは、オペレーティング・システム又はアプリケーションについての定期的な更新を提供するウェブサイトをメンテナンスすることがある。ソフトウェアパッケージモニタ130は、検査されていないソフトウェアパッケージを検出するために、そのようなウェブサイトを監視するように構成されてもよい。ステップ604において、ソフトウェアパッケージモニタ130は、検査コンピュータ108にロードするために未検査のソフトウェアパッケージを取得する。例えば、ソフトウェアパッケージモニタ130は、ネットワーク104を介して未検査のソフトウェアパッケージをダウンロードしてもよい。ソフトウェアパッケージモニタ130は、(監視コンピュータ109が検査コンピュータ108に接続されている場合には)未検査のソフトウェアパッケージを直接検査コンピュータ109に送信してもよい。あるいは、管理者又はユーザは、監視コンピュータ109からダウンロードされたソフトウェアパッケージを取り出し、それらを検査コンピュータ108にロードしてもよい。
[0031]図1のステップ402に戻ると、1つの実施形態において、ソフトウェアパッケージ116のインストールは、以下のように開始する。すなわち、ステップ404において、検査部114は、ソフトウェアパッケージ116のインストールに先だって、クリーンマシン118のソフトウェア状態の第1のスナップショットを取得する。例えば、ソフトウェアパッケージ116がアプリケーションである場合には、第1のスナップショットにおけるソフトウェア状態は、アプリケーションがインストールされる前のオペレーティング・システムの状態であってもよい。ソフトウェアパッケージ116がオペレーティング・システムである場合には、ソフトウェア状態は、空であってもよい(すなわち、ソフトウェア状態がない)。ステップ406において、検査部114は、ソフトウェアパッケージ116のインストール後に、クリーンマシン118のソフトウェア状態の第2のスナップショットを取得する。第2のスナップショットは、ソフトウェアパッケージ116のインストールによってインストールされた及び/又は変更されたファイルに起因して、第1のスナップショットとは異なる。
[0032]ステップ408において、検査部114は、ソフトウェアパッケージ116のインストールに基づいてレポートパッケージ135を生成する。レポートパッケージ135は、ソフトウェアパッケージ116によってクリーンマシン118にインストールされた及び/又は変更されたファイルのカタログを含む。いくつかの実施形態において、検査部114は、ステップ404及びステップ406において生成された第1及び第2のスナップショットを比較(例えばスナップショットの前後)することにより、インストールされた及び/又は変更されたファイルのカタログを生成してもよい(ステップ410)。レポートパッケージ135は、バージョン情報や製品ベンダー等のソフトウェアパッケージ116に関連する他の情報を含んでもよい。レポートパッケージ135はまた、ソフトウェアパッケージ116によってインストールされた及び/又は変更されたファイルのバイナリーを含んでもよい。
[0033]ステップ412において、検査部114は、レポートパッケージ135のカタログにおける各ファイルの識別属性を測定する。識別属性は、クライアントコンピュータ102から受信したファイル識別データ、すなわち、要約(例えばSHA−2ハッシュ)、ファイル名、規格化したファイルパス、ファイルサイズ、関連するソフトウェアパッケージ、バージョン情報、及び、ディジタル署名等と同一又は類似であってもよい。
[0034]ステップ414において、検査部114は、ファイルのそれぞれに対して信頼性のレベルを割り当てるように、レポートパッケージ135のカタログにおけるファイルのそれぞれを処理する。信頼性レベルは、様々な方法及び情報を使用して所定ファイルに割り当てられてもよい。いくつかの実施形態において、検査部114は、マルウェアについてのカタログにおけるファイルのそれぞれをスキャンする(ステップ416)。マルウェアについてのファイルをスキャンする技術は、当技術分野で知られている。マルウェアであるものと示されたファイルには、「不信頼」のレベルが割り当てられる。いくつかの実施形態において、検査部114は、レポートパッケージ135のカタログにおける1つ以上のファイルについてのディジタル署名を解析する(ステップ418)。ソフトウェアパッケージ116によってインストールされたいくつかのファイルは、ベンダーによってディジタル的に署名されてもよい。ディジタル署名が検証され得た場合には、各ファイルには、「プロバイダ信頼」又は「コミュニティ信頼」のレベルが割り当てられ得る。いくつかの実施形態において、検査部114は、カタログにおけるファイルの起源を測定し、そのような起源の信頼性の大きさを取得する(ステップ420)。例えば、検査部114は、ファイルのベンダーを識別し、公知のベンダー及び対応する信頼のレベルのリストに対するベンダーを相互参照してもよい。ベンダーには、例えば、「プロバイダ信頼」、「コミュニティ信頼」、「不信頼」、又は、「不明」の間の異なる信頼のレベルが割り当てられてもよい。いくつかの実施形態において、検査部114は、カタログにおけるファイルの統計的解析を実行する(ステップ422)。例えば、検査コンピュータ108は、上述したようにクライアントコンピュータ102によってレポートされた識別情報ファイルを格納してもよいデータベース110との通信用に構成されてもよい。いくつかの実施形態において、データベース110はまた、特定のクライアントコンピュータ102が、多かれ少なかれ、マルウェアによって影響を及ぼされそうであるかどうかを示す「ウィルス予防策評価」等を含むクライアントコンピュータ102についての統計値を保持する。検査部114は、クライアントコンピュータ102上のファイル及びクライアントコンピュータ102についてのウィルス予防策評価の存在に関して、カタログにおけるファイルの統計的解析を実行してもよい。例えば、信頼性が不明のファイルが、悪いウィルス予防策評価(例えば平均して)でクライアントコンピュータ102に格納されることが知られている場合には、ファイルは、よりマルウェアでありそうであるとみなされてもよく、より低い信頼評価が割り当てられてもよい。逆に、信頼性が不明のファイルが、良好なウィルス予防策評価(例えば平均して)でクライアントコンピュータ102に格納されることが知られている場合には、ファイルは、よりマルウェアでなさそうであるとみなされてもよく、より高い信頼評価が割り当てられてもよい。いくつかの実施形態において、検査部114は、レポートパッケージ135のカタログにおけるファイルのそれぞれについての信頼性の全体レベルを測定するために、ステップ416からステップ422の組み合わせを実行する。一般に、ステップ414において測定された信頼のレベルは、レポートパッケージ135のカタログにおけるファイルのそれぞれについての属性として含まれてもよい。
[0035]ステップ424において、検査部114は、出力としてレポートパッケージ135を提供する。そして、レポートパッケージ135は、カタログにおけるファイル及びそれらの信頼性の各レベルに関してデータベース110を更新するために使用されてもよい。いくつかの実施形態において、レポートパッケージ135は、サーバコンピュータ106に対して自動的に提供され、データベース110を更新するようにバックエンド124によって処理されてもよい。あるいは、管理者又は他のユーザは、(例えば、サーバコンピュータ106又は他のコンピュータとの協働を介して)レポートパッケージ135に基づいてデータベース110の更新を開始することができる。
[0036]上述した本発明の実施形態において、サーバコンピュータ106、検査コンピュータ108、及び、監視コンピュータ109の例としての構造が記載されている。他の構造が使用されてもよいことはいうまでもない。一般に、バックエンド124、検査部114、及び、ソフトウェアパッケージモニタ130の機能は、1つ以上のコンピュータ/サーバによって実行されてもよい。いくつかの実施形態において、検査コンピュータ109は、ソフトウェアパッケージ116のインストールが、いくつかの外部影響によってデータを破損するという可能性を未然に防止するために、ネットワーク104及び/又は他のコンピュータから隔離される。
[0037]上述した実施形態において、エージェント113は、信頼性レベルがカタログ内に格納された全てのファイルについて取得されるように、そのうち(例えばアイドル時間中に)各コンピュータ102上のファイルをカタログに入れることができる。エージェント113は、信頼できるファイルをホワイトリストに載せ、マルウェアについての残りのファイルをスキャンする。エージェント113は、様々な発見的解析の使用とともに署名に基づく公知のマルウェアの探索により、それらの残りのファイルをスキャンしてもよい。一般に、発見的解析は、不審な動作を検出するためにソフトウェア動作の監視をともなう。しかしながら、そのようなスキャンは、多数の脅威の誤検出の検出をもたらすことがある。特に、エージェント113は、新規にインストールされたファイルを潜在的脅威として識別することがある。ファイルが新規にインストールされたことから、エージェント113は、それらの信頼性レベルについてバックエンド124にまだ問い合わせていない。したがって、エージェント113は、それらのファイルのいくつかが信頼できるものであったとしても、新規にインストールされた全てのファイルをスキャンしなければならない。これは、いくつかの信頼できるファイルが脅威、すなわち、脅威の誤検出として通知されるのをもたらすことがある。
[0038]したがって、いくつかの実施形態において、エージェント113は、ファイルが新規にインストールされたのに応じて、信頼性レベルについてバックエンド124に問い合わせるように構成されている。エージェント113は、ファイルがインストールされたとき、又は、ファイルがインストールされた後の閾値期間内に、問い合わせを提示することができる。そのような実施形態において、エージェント113は、問い合わせを提示するために必ずしもアイドル時間を待機しない。したがって、問い合わせは、実時間で提示されたものとして照会され得る。
[0039]さらにまた、上述したように、バックエンド124は、コミュニティ全体への拡散率に基づいてファイルについての信頼性評価を開始することができる。例えば、ユーザ間の高い拡散率を有するファイルは、検査のために通知されてもよく、プロバイダ信頼、コミュニティ信頼、不明、又は、不信頼等の信頼性レベルが後に割り当てられてもよい。しかしながら、いくつかの信頼できるファイルが、検査を開始するための拡散率の閾値レベルを満たさない場合であってもよい。例えば、上述した新規にインストールされたファイルは、ユーザ間のかなりの拡散率がまだ取得されていないより新しいソフトウェアからのものであってもよい。したがって、バックエンド124は、エージェント113によって誤検出を順次もたらすことがある、実際には信頼できる(すなわち、それらが検査された場合に信頼できるとみなされる)いくつかのファイル(例えば新たなファイル)について不明の信頼レベルを返してもよい。
[0040]したがって、いくつかの実施形態において、「コミュニティ存在」と称される追加の信頼レベルが提供される。最高の信頼と最低の信頼との間のスケールで、レベルは、プロバイダ信頼から、コミュニティ信頼、コミュニティ存在、不明まで、その順序で及ぶ。図5を参照すると、いくつかの実施形態において、方法500は、バックエンド124がコミュニティ存在の信頼のレベルに第2の拡散率の閾値を超える拡散率を有する各ファイルを割り当てる任意のステップ512を含んでもよい。第2の拡散率の閾値は、ステップ508において使用された拡散率の閾値(第1の拡散率の閾値)と同一であってもよく又は異なっていてもよい。したがって、いくつかの場合において、ファイルは、コミュニティ存在の信頼のレベルを受信するのに十分に拡散しているが、検査を開始するのに十分に拡散していないことがある。いくつかの場合において、ファイルは、検査されるのに十分に拡散しているが、そのような検査の結果を受信するのに時間が十分にないことがあり、したがって、そのようなファイルは、一時的に、コミュニティ存在の信頼のレベルを受信する。
[0041]図8は、本発明のいくつかの実施形態に係るクライアントコンピュータ102を描いているブロック図である。クライアントコンピュータ102は、実例的に、プロセッサ802と、メモリ804と、様々なサポート回路806と、I/Oインターフェース808とを含む。プロセッサ802は、当分野で知られている1つ以上のマイクロプロセッサを含んでもよい。プロセッサ802用のサポート回路806は、従来のキャッシュ、電源、クロック回路、データレジスタ、及び、I/Oインターフェース等を含む。メモリ804は、1つ以上の以下のランダムアクセスメモリ、読み出し専用メモリ、磁気抵抗読み出し/書き込みメモリ、光読み出し/書き込みメモリ、キャッシュメモリ、及び、磁気読み出し/書き込みメモリ等を含んでもよい。
[0042]いくつかの実施形態において、エージェント113は、本願明細書に記載された機能を実行するようにメモリ804に格納され且つプロセッサ802によって実行されるソフトウェアを使用して実装されてもよい。しかしながら、エージェント113が特定用途向け集積回路(ASIC)等の固有に構成されたハードウェアを使用して実装されてもよいことはいうまでもない。他の実施形態において、エージェント113は、固有に構成されたハードウェアとソフトウェアとの組み合わせを使用して実装されてもよい。
[0043]図9は、本発明のいくつかの実施形態に係るコンピュータ上のマルウェアを検出する方法900を描いているフローチャートである。本方法900は、クライアントコンピュータ102におけるエージェント113によって実行されてもよい。本方法900は、ステップ902において開始し、エージェント113が、クライアントコンピュータ102上の潜在的脅威として、信頼性が不明なファイルを識別する。例えば、ファイルは、新規にインストールされたソフトウェアの一部であってもよい。新たなファイルは、ホワイトリスト上になく、したがって、信頼性が不明のものである。そのようなものとして、エージェント113は、マルウェアについての新たなファイルをスキャンする。署名及び/又は発見的解析を使用して、エージェント113は、潜在的脅威として新たなファイルのいくつかを識別してもよい。
[0044]ステップ904において、エージェント113は、潜在的脅威として識別されたファイルのそれぞれについての信頼性レベルをリクエストする問い合わせをバックエンド124に対して送信する。例えば、ファイルが新たなファイルである場合、問い合わせは、新たなファイルのインストール中に又はインストール後の閾値期間内に実時間で送信されてもよい。一般に、問い合わせは、アイドル時間中にのみよりはむしろ、新たなファイルのインストールに応じて提示されてもよい。問い合わせにおいて、エージェント113は、ファイルのそれぞれについての識別子をバックエンド124に対して送信する。いくつかの実施形態において、識別子は、上述したように、ファイルの要約(例えばSHA2)であってもよい。
[0045]ステップ906において、ファイルのそれぞれについての信頼性レベルは、バックエンドから受信される。ステップ908において、ファイルのそれぞれについての信頼性レベルは、信頼性レベルの閾値と比較される。例えば、所定ファイルの信頼性レベルは、複数の信頼性レベルのうちの1つであってもよい。例としての信頼性レベルは、プロバイダ信頼、コミュニティ信頼、コミュニティ存在、不明、及び、不信頼を含む。閾値レベルは、そのようなレベルのうちの1つ、例えばコミュニティ存在のレベルであってもよい。したがって、コミュニティ存在又はそれ以上の信頼性レベルを有するファイルは、信頼されるとみなされることができる。不明又はそれ以下の信頼性レベルを有するファイルは、信頼されていないとみなされることができる。
[0046]ステップ910において、エージェント113は、脅威の誤検出として、閾値レベル(もしあれば)を満たす信頼性レベルを有するファイルのそれぞれを指定する。ステップ912において、エージェント113は、脅威の真の検出として、閾値レベル(もしあれば)を満たさない信頼性レベルを有するファイルのそれぞれを指定する。ステップ914において、エージェント113は、脅威の誤検出のそれぞれがコンピュータ102によって利用され、脅威の真の検出のそれぞれがコンピュータ102によって利用されるのを阻止するのを可能とすることができる。
[0047]上述した方法の態様は、コンピュータシステムによって使用するためのプログラム製品として実装されてもよい。プログラム製品のプログラムは、実施形態の機能を定義し、これに限定されないが、(i)書き込み不可能な記憶媒体(例えば、CD−ROMドライブ又はDVDドライブによって読み取り可能なCD−ROM又はDVD−ROMディスク等のコンピュータ内の読み出し専用メモリ装置)に永久に格納された情報、及び、(ii)書き込み可能な記憶媒体(例えば、ディスクドライブ内のフロッピーディスク又はハードディスクドライブ又は読み出し/書き込み可能なCD又は読み出し/書き込み可能なDVD)に格納された可変情報を含む様々なコンピュータ読み取り可能な媒体に含まれ得る。そのようなコンピュータ読み取り可能な媒体は、本発明の機能を指示するコンピュータ読み取り可能な命令を伝える場合に、本発明の実施形態を表す。
[0048]様々な実施形態が上述された一方で、当然のことながら、それらは、例示としてのみ示されており、限定されるものではない。したがって、好ましい実施形態の広さ及び範囲は、いかなる上述した例としての実施形態によっても限定されるべきではなく、以下の特許請求の範囲及びそれらの均等物にしたがってのみ定義されるべきである。
100…コンピュータシステム、102…クライアントコンピュータ、104…ネットワーク、106…サーバコンピュータ、108…検査コンピュータ、109…監視コンピュータ、110…データベース、112…ソフトウェア、113…エージェント、114…検査部、116…ソフトウェアパッケージ、118…クリーンマシン、120…レポート、124…バックエンド、130…ソフトウェアパッケージモニタ、135…レポートパッケージ、202、302、702,802…プロセッサ、204、304、704,804…メモリ、206、306、706,806…サポート回路、208、308、708,808…I/Oインターフェース。

Claims (15)

  1. コンピュータ上のマルウェアを検出する方法であって、
    前記コンピュータ上の潜在的脅威として、信頼性が不明なファイルを識別するステップと、
    バックエンドから前記ファイルのそれぞれについての信頼性レベルを受信するステップと、
    前記ファイルのそれぞれの前記信頼性レベルを閾値レベルと比較するステップと、
    前記ファイルのそれぞれの前記信頼性レベルが前記閾値レベルを満たす場合に、脅威の誤検出として前記ファイルのそれぞれを指定するステップと、
    前記ファイルのそれぞれの前記信頼性レベルが前記閾値レベルを満たさない場合に、脅威の真の検出として前記ファイルのそれぞれを指定するステップと、
    を備える方法。
  2. 脅威の誤検出として指定された前記ファイルのそれぞれが利用されるのを可能とするステップと、
    脅威の真の検出として指定された前記ファイルのそれぞれが利用されるのを阻止するステップと
    をさらに備える請求項1に記載の方法。
  3. 信頼性が不明な前記ファイルが、前記ファイルを含むソフトウェアのインストール中に又は後に潜在的脅威として識別され、
    当該方法が、前記ソフトウェアのインストールに応じて、前記バックエンドから前記ファイルのそれぞれについての前記信頼性レベルをリクエストするステップをさらに備える請求項1又は2に記載の方法。
  4. 前記ファイルについての識別情報を使用して、前記バックエンドから前記ファイルのそれぞれについての前記信頼性レベルをリクエストするステップをさらに備える請求項1〜3のいずれか一項に記載の方法。
  5. 前記ファイルのそれぞれについての前記識別情報が、前記ファイルのそれぞれの要約を含む請求項4に記載の方法。
  6. 前記バックエンドがサーバ上で実行され、
    当該方法が、前記ファイルのそれぞれについての前記信頼性レベルのために、ネットワークを介して前記コンピュータから前記サーバに対してリクエストを送信するステップをさらに備える請求項1〜5のいずれか一項に記載の方法。
  7. 前記ファイルのそれぞれについての前記信頼性レベルが、複数の信頼性レベルのうちの1つであり、前記複数の信頼性レベルが、信頼性が低減する順序で、プロバイダ信頼レベル、コミュニティ信頼レベル、コミュニティ存在レベル、及び、不明であり、前記閾値レベルが前記コミュニティ存在レベルである請求項1〜6のいずれか一項に記載の方法。
  8. プロセッサによって実行された場合に前記プロセッサに請求項1〜7のいずれか一項に記載の方法を実行させる命令が格納されたコンピュータ読み取り可能な媒体。
  9. コンピュータ上のマルウェアを検出する装置であって、
    前記コンピュータ上の潜在的脅威として、信頼性が不明なファイルを識別する手段と、
    バックエンドから前記ファイルのそれぞれについての信頼性レベルを受信する手段と、
    前記ファイルのそれぞれの前記信頼性レベルを閾値レベルと比較する手段と、
    前記ファイルのそれぞれの前記信頼性レベルが前記閾値レベルを満たす場合に、脅威の誤検出として前記ファイルのそれぞれを指定する手段と、
    前記ファイルのそれぞれの前記信頼性レベルが前記閾値レベルを満たさない場合に、脅威の真の検出として前記ファイルのそれぞれを指定する手段と
    を備える装置。
  10. 脅威の誤検出として指定された前記ファイルのそれぞれが利用されるのを可能とする手段と、
    脅威の真の検出として指定された前記ファイルのそれぞれが利用されるのを阻止する手段と
    をさらに備える請求項9に記載の装置。
  11. 信頼性が不明な前記ファイルが、前記ファイルを含むソフトウェアのインストール中に又は後に潜在的脅威として識別され、
    前記装置が、前記ソフトウェアのインストールに応じて、前記バックエンドから前記ファイルのそれぞれについての前記信頼性レベルをリクエストする手段をさらに備える請求項9又は10に記載の装置。
  12. 前記ファイルについての識別情報を使用して、前記バックエンドから前記ファイルのそれぞれについての前記信頼性レベルをリクエストする手段をさらに備える請求項9〜11のいずれか一項に記載の装置。
  13. 前記ファイルのそれぞれについての前記識別情報が、前記ファイルのそれぞれの要約を含む請求項12に記載の装置。
  14. 前記バックエンドがサーバ上で実行され、
    前記装置が、前記ファイルのそれぞれについての前記信頼性レベルのために、ネットワークを介して前記コンピュータから前記サーバに対してリクエストを送信する手段をさらに備える請求項9〜13のいずれか一項に記載の装置。
  15. 前記ファイルのそれぞれについての前記信頼性レベルが、複数の信頼性レベルのうちの1つであり、前記複数の信頼性レベルが、信頼性が低減する順序で、プロバイダ信頼レベル、コミュニティ信頼レベル、コミュニティ存在レベル、及び、不明であり、前記閾値レベルが前記コミュニティ存在レベルである請求項9〜14のいずれか一項に記載の装置。
JP2009220611A 2008-09-26 2009-09-25 マルウェアの誤検出を低減する方法及び装置 Active JP5793764B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/239,185 US8931086B2 (en) 2008-09-26 2008-09-26 Method and apparatus for reducing false positive detection of malware
US12/239,185 2008-09-26

Publications (2)

Publication Number Publication Date
JP2010079906A true JP2010079906A (ja) 2010-04-08
JP5793764B2 JP5793764B2 (ja) 2015-10-14

Family

ID=41327687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009220611A Active JP5793764B2 (ja) 2008-09-26 2009-09-25 マルウェアの誤検出を低減する方法及び装置

Country Status (3)

Country Link
US (1) US8931086B2 (ja)
EP (1) EP2169583A1 (ja)
JP (1) JP5793764B2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011233126A (ja) * 2010-04-28 2011-11-17 Electronics And Telecommunications Research Institute 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
JP2013540303A (ja) * 2010-08-25 2013-10-31 ルックアウト、アイエヌシー. サーバで結合されたマルウェア防止のためのシステムと方法
JP2013543624A (ja) * 2010-10-21 2013-12-05 エフ−セキュア コーポレーション コンピュータシステムの分析方法および装置
JP2018501591A (ja) * 2014-11-25 2018-01-18 エンサイロ リミテッドenSilo Ltd. 悪意のあるコードの検出の精度保証のためのシステムおよび方法
JP2019028670A (ja) * 2017-07-28 2019-02-21 大日本印刷株式会社 セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びデバイス監視方法
JPWO2020240766A1 (ja) * 2019-05-30 2020-12-03
WO2020261438A1 (ja) * 2019-06-26 2020-12-30 日本電気株式会社 実行制御システム、実行制御方法、及びプログラム

Families Citing this family (192)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8793787B2 (en) * 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8584239B2 (en) * 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8006305B2 (en) 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
JP5144075B2 (ja) * 2006-03-30 2013-02-13 日本碍子株式会社 ハニカム構造体及びその製造方法
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US9064130B1 (en) * 2009-02-27 2015-06-23 Symantec Corporation Data loss prevention in the event of malware detection
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
US8800030B2 (en) * 2009-09-15 2014-08-05 Symantec Corporation Individualized time-to-live for reputation scores of computer files
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8306988B1 (en) * 2009-10-26 2012-11-06 Mcafee, Inc. System, method, and computer program product for segmenting a database based, at least in part, on a prevalence associated with known objects included in the database
US8539583B2 (en) * 2009-11-03 2013-09-17 Mcafee, Inc. Rollback feature
US8356354B2 (en) * 2009-11-23 2013-01-15 Kaspersky Lab, Zao Silent-mode signature testing in anti-malware processing
MY164406A (en) * 2010-06-22 2017-12-15 Mimos Berhad System and method for verifying and executing software applications from a trusted server linked to a service provider server
US8683216B2 (en) * 2010-07-13 2014-03-25 F-Secure Corporation Identifying polymorphic malware
US8387140B2 (en) * 2010-10-15 2013-02-26 Apple Inc. Method and apparatus for controlling access to encrypted network communication channels
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
US8621634B2 (en) * 2011-01-13 2013-12-31 F-Secure Oyj Malware detection based on a predetermined criterion
US20130055369A1 (en) * 2011-08-24 2013-02-28 Mcafee, Inc. System and method for day-zero authentication of activex controls
RU2011138462A (ru) * 2011-09-20 2013-04-10 Закрытое акционерное общество "Лаборатория Касперского" Использование решений пользователей для обнаружения неизвестных компьютерных угроз
EP2584488B1 (en) * 2011-09-20 2016-02-10 Kaspersky Lab, ZAO System and method for detecting computer security threats based on verdicts of computer users
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
RU2535506C2 (ru) 2012-12-25 2014-12-10 Закрытое акционерное обшество "Лаборатория Касперского" Система и способ формирования сценариев модели поведения приложений
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9412066B1 (en) 2013-03-11 2016-08-09 Symantec Corporation Systems and methods for predicting optimum run times for software samples
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US8863284B1 (en) 2013-10-10 2014-10-14 Kaspersky Lab Zao System and method for determining a security status of potentially malicious files
US8739287B1 (en) * 2013-10-10 2014-05-27 Kaspersky Lab Zao Determining a security status of potentially malicious files
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9569617B1 (en) * 2014-03-05 2017-02-14 Symantec Corporation Systems and methods for preventing false positive malware identification
US9805115B1 (en) 2014-03-13 2017-10-31 Symantec Corporation Systems and methods for updating generic file-classification definitions
US9684705B1 (en) 2014-03-14 2017-06-20 Symantec Corporation Systems and methods for clustering data
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9323924B1 (en) * 2014-05-09 2016-04-26 Symantec Corporation Systems and methods for establishing reputations of files
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9762593B1 (en) 2014-09-09 2017-09-12 Symantec Corporation Automatic generation of generic file signatures
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
EP3059693B1 (en) * 2015-02-20 2017-06-21 Kaspersky Lab, ZAO System and method for generating application control rules
RU2587424C1 (ru) * 2015-02-20 2016-06-20 Закрытое акционерное общество "Лаборатория Касперского" Способ контроля приложений
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9813437B2 (en) 2015-06-15 2017-11-07 Symantec Corporation Systems and methods for determining malicious-download risk based on user behavior
US10169584B1 (en) 2015-06-25 2019-01-01 Symantec Corporation Systems and methods for identifying non-malicious files on computing devices within organizations
US10055586B1 (en) * 2015-06-29 2018-08-21 Symantec Corporation Systems and methods for determining the trustworthiness of files within organizations
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US9838405B1 (en) 2015-11-20 2017-12-05 Symantec Corporation Systems and methods for determining types of malware infections on computing devices
US10606844B1 (en) * 2015-12-04 2020-03-31 Ca, Inc. Method and apparatus for identifying legitimate files using partial hash based cloud reputation
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US9836603B2 (en) 2015-12-30 2017-12-05 Symantec Corporation Systems and methods for automated generation of generic signatures used to detect polymorphic malware
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10003606B2 (en) 2016-03-30 2018-06-19 Symantec Corporation Systems and methods for detecting security threats
US10075457B2 (en) * 2016-03-30 2018-09-11 Fortinet, Inc. Sandboxing protection for endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10116680B1 (en) 2016-06-21 2018-10-30 Symantec Corporation Systems and methods for evaluating infection risks based on profiled user behaviors
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10091231B1 (en) 2016-09-15 2018-10-02 Symantec Corporation Systems and methods for detecting security blind spots
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10542017B1 (en) 2016-10-13 2020-01-21 Symantec Corporation Systems and methods for personalizing security incident reports
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
RU2665909C1 (ru) * 2017-08-10 2018-09-04 Акционерное общество "Лаборатория Касперского" Способ избирательного использования шаблонов опасного поведения программ
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
RU2750628C2 (ru) 2019-06-28 2021-06-30 Акционерное общество "Лаборатория Касперского" Система и способ определения уровня доверия файла
CN112149126A (zh) * 2019-06-28 2020-12-29 卡巴斯基实验室股份制公司 确定文件的信任级别的系统和方法
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003256370A (ja) * 2002-02-26 2003-09-12 Fumiaki Yamazaki セキュリティ情報配信方法、および、セキュリティ情報配信サーバ
US20040153644A1 (en) * 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
US20060218642A1 (en) * 2005-03-22 2006-09-28 Microsoft Corporation Application identity and rating service
JP2007528040A (ja) * 2003-06-25 2007-10-04 ノキア インコーポレイテッド メッセージプロテクションシステムにおける二段階ハッシュ値マッチング法
JP2008077548A (ja) * 2006-09-25 2008-04-03 Matsushita Electric Ind Co Ltd 移動体通信端末、移動体通信方法、移動体通信プログラム、移動体通信システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US153644A (en) * 1874-07-28 Improvement in wheels for vehicles
US150948A (en) * 1874-05-19 Improvement in carving-tools
US7748039B2 (en) * 2002-08-30 2010-06-29 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US20040107363A1 (en) * 2003-08-22 2004-06-03 Emergency 24, Inc. System and method for anticipating the trustworthiness of an internet site
US7467409B2 (en) * 2003-12-12 2008-12-16 Microsoft Corporation Aggregating trust services for file transfer clients
EP1549012A1 (en) 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003256370A (ja) * 2002-02-26 2003-09-12 Fumiaki Yamazaki セキュリティ情報配信方法、および、セキュリティ情報配信サーバ
US20040153644A1 (en) * 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
JP2007528040A (ja) * 2003-06-25 2007-10-04 ノキア インコーポレイテッド メッセージプロテクションシステムにおける二段階ハッシュ値マッチング法
US20060218642A1 (en) * 2005-03-22 2006-09-28 Microsoft Corporation Application identity and rating service
JP2008077548A (ja) * 2006-09-25 2008-04-03 Matsushita Electric Ind Co Ltd 移動体通信端末、移動体通信方法、移動体通信プログラム、移動体通信システム

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011233126A (ja) * 2010-04-28 2011-11-17 Electronics And Telecommunications Research Institute 正常プロセスに偽装挿入された悪性コード検出装置、システム及びその方法
US8955124B2 (en) 2010-04-28 2015-02-10 Electronics And Telecommunications Research Institute Apparatus, system and method for detecting malicious code
JP2013540303A (ja) * 2010-08-25 2013-10-31 ルックアウト、アイエヌシー. サーバで結合されたマルウェア防止のためのシステムと方法
JP2013543624A (ja) * 2010-10-21 2013-12-05 エフ−セキュア コーポレーション コンピュータシステムの分析方法および装置
US10264104B2 (en) 2014-11-25 2019-04-16 enSilo Ltd. Systems and methods for malicious code detection accuracy assurance
JP2018501591A (ja) * 2014-11-25 2018-01-18 エンサイロ リミテッドenSilo Ltd. 悪意のあるコードの検出の精度保証のためのシステムおよび方法
US10334083B2 (en) 2014-11-25 2019-06-25 enSilo Ltd. Systems and methods for malicious code detection
JP2019028670A (ja) * 2017-07-28 2019-02-21 大日本印刷株式会社 セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びデバイス監視方法
JPWO2020240766A1 (ja) * 2019-05-30 2020-12-03
WO2020240766A1 (ja) * 2019-05-30 2020-12-03 日本電気株式会社 評価装置、システム、制御方法、及びプログラム
WO2020261438A1 (ja) * 2019-06-26 2020-12-30 日本電気株式会社 実行制御システム、実行制御方法、及びプログラム
JPWO2020261438A1 (ja) * 2019-06-26 2020-12-30
JP7255681B2 (ja) 2019-06-26 2023-04-11 日本電気株式会社 実行制御システム、実行制御方法、及びプログラム

Also Published As

Publication number Publication date
US8931086B2 (en) 2015-01-06
JP5793764B2 (ja) 2015-10-14
US20100083376A1 (en) 2010-04-01
EP2169583A1 (en) 2010-03-31

Similar Documents

Publication Publication Date Title
JP5793764B2 (ja) マルウェアの誤検出を低減する方法及び装置
JP5639725B2 (ja) ソフトウェアの信頼性を測定する方法及び装置
US20230231872A1 (en) Detection of and protection from malware and steganography
US11677764B2 (en) Automated malware family signature generation
US9679136B2 (en) Method and system for discrete stateful behavioral analysis
RU2698776C2 (ru) Способ ведения базы данных и соответствующий сервер
US9147071B2 (en) System and method for proactive detection of malware device drivers via kernel forensic behavioral monitoring and a back-end reputation system
US9251343B1 (en) Detecting bootkits resident on compromised computers
US11520901B2 (en) Detecting firmware vulnerabilities
US7904278B2 (en) Methods and system for program execution integrity measurement
US11714910B2 (en) Measuring integrity of computing system
US8484739B1 (en) Techniques for securely performing reputation based analysis using virtualization
US8474039B2 (en) System and method for proactive detection and repair of malware memory infection via a remote memory reputation system
US8307434B2 (en) Method and system for discrete stateful behavioral analysis
US9317687B2 (en) Identifying rootkits based on access permissions
KR101588542B1 (ko) 멀웨어 위험 스캐너
CN105791250B (zh) 应用程序检测方法及装置
US8490195B1 (en) Method and apparatus for behavioral detection of malware in a computer system
JP5386015B1 (ja) バグ検出装置およびバグ検出方法
JP5425980B2 (ja) バグ判定装置およびバグ判定方法
CN113407935A (zh) 一种文件检测方法、装置、存储介质及服务器

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120921

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140207

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141016

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20150324

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150508

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20150624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150714

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150716

R150 Certificate of patent or registration of utility model

Ref document number: 5793764

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250