JP2010160791A - コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 - Google Patents

コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 Download PDF

Info

Publication number
JP2010160791A
JP2010160791A JP2009284452A JP2009284452A JP2010160791A JP 2010160791 A JP2010160791 A JP 2010160791A JP 2009284452 A JP2009284452 A JP 2009284452A JP 2009284452 A JP2009284452 A JP 2009284452A JP 2010160791 A JP2010160791 A JP 2010160791A
Authority
JP
Japan
Prior art keywords
file
security
event
interest
application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009284452A
Other languages
English (en)
Other versions
JP5586216B2 (ja
Inventor
Spencer Smith
スミス スペンサー
Haik Mesropian
メスロピアン ハイク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2010160791A publication Critical patent/JP2010160791A/ja
Application granted granted Critical
Publication of JP5586216B2 publication Critical patent/JP5586216B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Abstract

【課題】セキュリティのレベルを大きく下げることなく、リアルタイムスキャンシステムの性能に対する影響を最小限に抑える。
【解決手段】関心イベントを検出するステップ202、関心イベントと関連する少なくとも一つのファイルを識別するステップ204、関心イベントと関連するコンテキストメタデータにアクセスするステップ206、関心イベントとコンテキストメタデータに基づいて、ファイルに対してセキュリティスキャンを実行するか否かを決定するための基準を含む少なくとも一つのルールにアクセスするステップ208と、ルールを適用することにより、ファイルに対してセキュリティスキャンを実行するか否かを決定するステップ210と、を有する。
【選択図】図2

Description

リアルタイムセキュリティ製品、例えばリアルタイムファイルスキャンソリューション製品のベンダーにとって、性能(パフォーマンス)は永続的な関心事である。伝統的なリアルタイムセキュリティ製品は一般的に、1)ファイルが開かれた、または修正されたときを検出し、そして2)当該ファイルをスキャンすることにより、ファイルが危害に曝されたものであるかどうかを決定する。一つのファイルスキャンによって、コンピューティングシステムのリソースに重い負担のかかることはないが、今日のオペレーションシステムによって実行されるたくさんのファイル操作では膨大な数のファイルスキャンが必要となり、それによってコンピューティングシステムの性能が目に見えて遅くなり、ユーザーにフラストレーションがたまってしまうことがある。
セキュリティベンダーの中には、ファイルの拡張子、またはファイルが開いているかもしくは閉じているかに基づいてスキャンをスキップすることによって、リアルタイムファイルスキャンソリューションの性能に対する影響を抑えるようにしてきたが、このような従来の方法では、有効性と信頼性が限られる。例えば、そのような手法では、合法に見せかける拡張子を持つ悪質なファイルを識別できないことがある。同様に、そのようなアプローチでは、修正されたファイルが危害を加えられていない可能性が高い場合であっても、コンピューティングリソースを修正ファイルのスキャンのために使ってしまう可能性がある。このように、本発明は、伝統的なリアルタイムファイルスキャンセキュリティソリューションの性能および信頼性の双方を改善する必要性を認識するものである。
以下に、より詳細に説明するように、本発明は一般に、関心イベント(例えば、ファイルが開いたもしくは閉じたとき、またはベンダー供給によるウィルス定義のセットが更新された等)に応じて関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを行うか否かを決定するシステムおよび方法に関するものである。関心事イベントのフルコンテキストには、当該ファイルの履歴、当該ファイルにアクセスするアプリケーションの履歴、および当該ファイルの既知の容認可能な使用パターンなどがある。常にスキャンを行うよりも、このような情報を評価することによって、本明細書に開示するシステムおよび方法は、伝統的なリアルタイムスキャンソリューションによって得られるセキュリティのレベルを大きく下げることなく、リアルタイムスキャンシステムの性能に対する影響を最小限に抑えることができる。
例えば、システムは、1)関心イベント(例えば、ファイルが開いたもしくは閉じたとき、またはベンダー供給によるウィルス定義セットが更新されたとき等)を検出するステップと、2)関心イベント(例えば、ファイルが開いたもしくは閉じたとき等)に関連する少なくとも一つのファイルを識別するステップと、3)関心イベントが生ずるより大きなコンテキスト(本明細書では、「コンテキストメタデータ」とも称する)を記述または識別する情報にアクセスするステップと、4)関心イベントおよびコンテキストメタデータに基づいて、そのファイルに対してスキャンを実行するか否かを決定する基準を含む、少なくとも一つのルールにアクセスするステップと、その後5)そのルールを適用して、そのファイルに対してスキャンを実行するか否かを決定するステップと、によって、リアルタイムファイルスキャンを実行するか否かを決定することができる。
システムがファイルをスキャンすると決定する場合、システムはコンテキストメタデータに基づき、スキャンを行う際にファイルに適用すべきセキュリティレベルを上げるか下げるかも決定する。システムは、さらに、スキャンの結果に基づき、ファイルをブロックするか否か、ファイルを隔離するか否か、ファイルを削除するか否か、ユーザーまたはセキュリティベンダーに通知するか否か等を決定することができる。システムは、その後、セキュリティスキャンの結果に基づいて、コンテキストメタデータの更新を行うことができる。
上述の実施形態における特徴は、本明細書に記載の上位概念的原理に基づいて、別の実施形態と互いに組み合わせて使用することができる。これらおよび他の実施形態、特徴、利点は、添付図面および特許請求の範囲に関連する以下の詳細な説明を読むことにより、より完全に理解することができるであろう。
添付図面は多数の実施例を示し、また本明細書の一部である。以下の記載と共に、これら図面は本発明の様々な原理を提示および説明するものである。
関心イベントに応答して関心イベントのフルコンテキストを調べることにより、リアルタイムファイルスキャンを実行するか否かを決定する、例示的なシステムのブロック図である。 関心イベントに応答して関心イベントのフルコンテキストを調べることにより、リアルタイムファイルスキャンを実行するか否かを決定する、例示的な方法のフローチャートである。 本明細書に記載および/または説明する一つ以上の実施例を実行できる、例示的なコンピューティングシステムのブロック図である。 本明細書に記載および/または説明する一つ以上の実施例を実行できる、例示的なコンピューティングネットワークのブロック図である。
図面にわたり、同一の参照符号および説明は、類似するが、必ずしも同じとは限らない要素を示している。本明細書に記載の実施例は、様々な変更形態または代替形態とすることができるが、特別な実施例を例示的に図面で示し、本明細書において詳細に説明する。しかし、本明細書に記載の実施例は、開示する特定の形態に限定することを意図するものではない。むしろ本発明は、添付する特許請求の範囲内に該当するあらゆる変更形態、等価形態、代替形態をカバーするものである。
以下により詳しく説明するように、本発明は、一般に、関心イベントに応答して、関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを実行するか否かを決定するシステムおよび方法に関する。関心イベントが生ずるより大きなコンテキストを記載または識別する情報(以後、「コンテキストメタデータ」と称する)としては、当該ファイルに関する情報(ファイル名、ファイル作成日、ファイルの読み出しまたは修正回数、ファイルの読み出しまたは修正を行ったアプリケーション、ファイルに対する典型的な使用パターン、ファイルに実行された以前のセキュリティスキャンの結果など)、または当該ファイルに接触または関連するアプリケーションに関する情報(例えば、アプリケーションがポータルか否か、アプリケーションがネットワークアクティビティを生成するか否か、アプリケーションが既知の脆弱性を含んでいるか否か等)があるが、それらに限定するものではない。
以下に図1につき、関心イベントに応答して、関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを実行するか否かを決定する例示的なシステムを詳細に説明する。これに対応する例示的なコンピュータ実施方法の詳細も、図2につき説明する。さらに、本明細書に記載および/または説明する一つ以上の実施形態を実行できるコンピューティングシステムおよびネットワークアーキテクチャも、図3および図4につき説明する。
図1は、関心イベントに応答して、関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを実施するか否かを決定する、例示的なシステム100のブロック図である。この図で示すように、例示的なシステム100は、一つ以上のタスクを実施する一つ以上のモジュール102を有することができる。例えば、例示的なシステム100は、ファイルスキャンをトリガする関心イベント(例えば、ファイルが開かれるもしくは閉じられるとき、または、ベンダー供給によるウィルス定義セットが更新されるとき)を検出するイベント検出モジュール104を備えることができる。例示的なシステム100は、さらに、検出された関心イベントおよびその関心イベントに関連するコンテキストメタデータに基づいて、ファイルスキャンを行うか否かを決定するための基準を含むルールにアクセスし、そして適用する、ルール適用モジュール106を備える。
さらに例示的なシステム100は、ファイルのセキュリティスキャンを実施して、ファイルが悪意のある、またはセキュリティリスクをもたらすものか否かを決定するセキュリティモジュール108を備えることができる。例示的なシステム100は、さらに、ファイル、コンテキストメタデータのセキュリティスキャンの結果に基づいて更新を行う、メタデータ更新モジュール110を備えることもできる。図1には示さないが、例示的なシステム100は、さらに、一つ以上の追加モジュールも備えることができる。
ある実施形態では、図1の一つ以上のモジュール102は、コンピューティング装置によって実施されるとき、関心イベントに応答して、関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを実施するか否かをそのコンピューティング装置に決定させるようにする、一つ以上のソフトウェアアプリケーションまたはプログラムを表すものとすることもできる。例えば、以下に詳細を示すように、一つ以上のモジュール102は、図3のコンピューティングシステム310および/または図4の例示的なネットワークアーキテクチャ400の一部のような、一つ以上のコンピューティング装置上で動作するよう構成したソフトウェアモジュールを表すものとすることもできる。図1の一つ以上のモジュール102は、さらに、一つ以上のタスクを実施するよう構成した一つ以上の特別用途コンピュータの全体または一部を表すものとすることができる。
図1に示すように、例示的なシステム100は、さらに、一つ以上のデータベース120を備えることができる。データベース120は、一つのデータベースまたはコンピューティング装置の一部、または複数のデータベースもしくはコンピューティング装置を表すものとすることができる。一実施形態では、例示的なシステム100は、コンテキストメタデータ、例えばスキャンする候補ファイルに関する情報、およびその候補ファイルに接触または関連するアプリケーションに関する情報を記憶する、コンテキストメタデータ・データベース122を備えることができる。例示的なシステム100は、さらに、プログラムの特性に基づき、プログラムがスパムプログラムを含んでいるか否かを決定する基準を含むルールまたはルールセットを記憶する、ルール・データベース124を備えることができる。
図1の一つ以上のデータベース120は、一つ以上のコンピューティング装置の一部を表すものとすることができる。例えば、一つ以上のデータベース120は、図3のコンピューティングシステム310の一部および/または図4の例示的なネットワークアーキテクチャ400の部分を表すものとすることができる。
図2は、関心イベントに応答して、関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを実行するか否かを決定する、コンピュータで実行する例示的な方法200のフローチャートである。この図に示すように、ステップ202において、システムは関心イベントを検出することができる。例えば、図1のイベント検出モジュール104は、図3のコンピューティングシステムにおける関心イベントを検出することができる。
本明細書で使用する用語「関心イベント」は、全般的に、ファイルスキャンをトリガすることのできるコンピューティングシステムにおけるあらゆるイベント(事象)に言及する。関心イベントの例としては、以下のものに限定しないが、プロセスまたはアプリケーションによりファイルを開こうとして失敗または成功する試み、プロセスまたはアプリケーションによりファイルを閉じようとして失敗または成功する試み、セキュリティベンダーが供給するウィルス定義セットに対する更新、またはコンピューティングシステムにおけるファイルの信頼性に関する疑問を提起する他のイベントがある。
システムは、ステップ202を様々な方法で行うことができる。一例として、図1のイベント検出モジュール104は、コンピューティングシステム(例えば、図3のコンピューティングシステム310)のオペレーティングシステムにフックし、そして特定イベントに応答することによって、関心イベントを検出することができる。
ステップ204において、システムはステップ202で検出した関心イベントに関連する少なくとも一つのファイルを識別することができる。システムは、関心イベントと関連するファイルを様々な方法で識別することができる。例えば、ステップ202において、イベント検出モジュール104がプロセスによるファイルを開く試みの成功を識別する場合、ステップ204において、イベント検出モジュール104は開かれたファイルを識別することができる。あるいは、ステップ202でイベント検出モジュール104がベンダー供給によるウィルス定義セットの更新を検出する場合、ステップ204において、イベント検出モジュール104はこの更新によって作用または影響を受ける一つ以上のファイルを識別することができる。
ステップ206において、システムは関心イベントに関連するコンテキストメタデータにアクセスすることができる。例えば、図1のルール適用モジュール106は、ステップ204で識別されたファイルに関する情報を、図1のコンテキストメタデータ・データベース122から検索することができる。
上述のように、「コンテキストメタデータ」は、関心イベントが生ずるより大きなコンテキストに関する情報に言及するものである。コンテキストメタデータの例としては、以下のものに限定しないが、当該ファイルに関する情報、および当該ファイルに作用または関連する一つ以上のアプリケーションに関する情報がある。コンテキストメタデータに含まれるファイルに関する情報のタイプの例としては、以下のものに限定しないが、ファイル名、ファイルのパス名、ファイルのタイプ(例えば、ファイルがプリフェッチファイルか否か、ファイルがログファイルか否か、等)、ファイル作成日、ファイルの最終更新日、ファイルのハッシュもしくはデジタル署名、ファイルの読み出しもしくは修正回数、ファイルを読み出しもしくは修正したアプリケーション、ファイルの使用傾向(例えば、ファイルがブートシーケンス中によく開かれるか否か)、ファイルに対して実行された以前のセキュリティスキャンの結果、またはファイルに対してスキャンを行うか否かの決定に有用な他の情報がある。
同様に、候補ファイルに接触または関連するアプリケーションに関する例示的な情報としては、以下のものに限定しないが、アプリケーション名、アプリケーションと関連するプロセス、アプリケーションの使用傾向、アプリケーションがポータルか否か、アプリケーションがネットワークアクティビティを生成するか否か、アプリケーションが既知の脆弱性を含んでいるか否か、または当該ファイルに対してセキュリティスキャンを行うか否かを決定するのに有用な他の情報がある。
ステップ208において、システムは、関心イベントとコンテキストメタデータに基づいて、ファイルに対してセキュリティスキャンを行うか否かを決定するための基準を含む、少なくとも一つのルールにアクセスすることができる。例えば、図1のルール適用モジュール106は、ステップ204で識別されたファイルのセキュリティスキャンを行うか否かを判定する基準を含むルール・データベース124から、少なくとも一つのルールを検索することができる。
より詳しくは、ステップ208でアクセスしたルールは、関心イベント(例えば、アプリケーションがファイルを開いて修正しようとする試みの成功)がリアルタイムファイルスキャンを必要とするか否かを決定する基準を有することができる。ファイルのリアルタイムスキャンを行うか否かを決定するためのルールに使用される基準例としては、以下のものに限定しないが、当該ファイル名、当該ファイルに対する修正、読み出し、アクセスを行ったプロセスもしくはアプリケーション、当該ファイルのパス名または場所、当該ファイルの種類、当該ファイルの作成日もしくは最終更新日、当該ファイルへのアクセス回数、当該ファイルにアクセスしたアプリケーションまたはプロセス、当該ファイルの容認可能な使用傾向、当該ファイルにアクセスを試みているアプリケーションの容認可能な使用傾向、当該ファイルに対して実行された以前のセキュリティスキャンの結果、当該ファイルにアクセスを試みているアプリケーションはポータルか否か、当該ファイルにアクセスを試みているアプリケーションはネットワークアクティビティを生成するか否か、当該ファイルにアクセスを試みているアプリケーションは既知の脆弱性を含んでいるか否か、または関心イベントがファイルのリアルタイムスキャンを必要とするか否かを決定するために使用できる他の基準がある。
例えば、ルールは、ファイルがある特定のすでに承認された(例えば、プロセス名によって識別された)アプリケーションまたはプロセスによってアクセスされる限り、(例えば、ファイル名またはパス名によって識別された)特定ファイルをスキャンする必要がないということを規定することができる。同様に、ルールは、(例えばファイル種類またはパス名によって識別された)ある特定のセンシティブまたはクリティカルなシステムファイルは、それらが既知の脆弱性を持つアプリケーションによって修正される場合にはスキャンしなければならないということを、規定することができる。
ルールは、包括的または固有なものとすることができる。例えば、包括的なルールは、脅威とはならない使用ケースではスキャンを排除するように書き込むことができる。例えば、ルールは、単に書き込まれたが読み出されはしないファイル(例えば、ログファイル)の場合には、書き込み操作の後にファイルが閉じられた後にスキャンを行う必要はないと、規定することができる。同様に、包括的なルールでは、X日数にわたって単独アプリケーションによってファイルが書き込まれただけ、または読み出されただけである場合には、そのファイルがその単独アプリケーションによってアクセスされる限り、スキャンする必要はないと規定することができる。
さらに、ルールは、特定ファイルタイプに対して書き込むこともできる。例えば、プロセスまたはアプリケーションがWINDOWS(登録商標)プリフェッチファイルにアクセスする場合、そのプリフェッチファイルをスキャンするのは、そのファイル名がプロセス名と一致しない場合にのみ行うと、規定することができる。この例では、ルールは、1)ファイル名が「IEXPLORE.EXE−XXXXXX.PF,」、2)ファイルがプロセス「IEXPLORE.EXE、」によって読み出された、および3)ホストプロセスが開始されたばかりであれば、プリフェッチファイルをスキャンしなくてもよいと、規定することができる。
さらに、ルールは、アプリケーション固有とすることができる。例えば、ルールは、特定アプリケーションに関して、ある既知の場所(ロケーション)でアプリケーションによって作成された一時ファイルは、アプリケーションが終了するとき削除されるので、スキャンする必要はないと、規定することができる。上述した各実施例において、ルールは、そのシナリオにおけるスキャンをスキップまたは減少させることに関連するセキュリティリスクと、実現される性能向上とを比較することによって、発展させることができる。
特定の実施例において、ルールは、さらに、関心イベントに関連するコンテキストメタデータに基づいて、セキュリティスキャンを実行する際にファイルに適用すべきセキュリティのレベルを決定する基準を有することができる。例えば、ルールは、ファイルが予め承認されたアプリケーションによって開かれた場合、システムは限定的セキュリティスキャン(例えば、そのファイルの一部が、セキュリティベンダーによって供給されたウィルス定義セット内の少なくとも一つの署名に一致するか否かを決定することによって)をファイルに対して行うだけでよいと、規定することができる。または、ファイルが新しいまたは未承認のアプリケーションによってアクセスされているとシステムが決定した場合には、システムはファイルのフルスキャン(例えば、バーチャルまたはエミュレートされたコンピューティング環境内でファイルを実行することによって、そのファイルが悪意のあるペイロードを含んでいるか否かを決定することによって)を実行することができる。
ステップ210において、システムは、ステップ208からのルールを適用することによって、ファイルに対してセキュリティスキャンを行うか否かを決定することができる。例えば、図1のルール適用モジュール106は、ステップ208のルール・データベース124から検索したルールを、ステップ204で識別されたファイルに適用することができる。図2のステップ210が完了する際に、図2の例示的な方法200を終了することができる。
図1のルール適用モジュール106が、ステップ210において、システムはファイルに対してセキュリティスキャンを行うべきと決定した場合、セキュリティモジュール108はファイルに対してセキュリティスキャンを行うことができる。本明細書において、用語「セキュリティスキャン」は全般的に、ファイルが悪意のあるものである、またはセキュリティリスクをもたらすものであるか否かを決定するために、コンピューティングシステムがファイルに対して行うあらゆる分析に言及するものである。
図1のセキュリティモジュール108は、ファイルが悪意のあるものか否かを様々な方法で決定することができる。例えば、セキュリティモジュール108は、1)そのファイルの一部が、セキュリティベンダー供給によるウィルス定義セット内の少なくとも一つの署名に一致するか否かの決定(例えば、ファイルのハッシュを既知の悪意があるファイルのハッシュと比較することによる)、2)ファイルがセキュリティベンダーによって供給されたマルウェア検出ヒューリスティック(発見的解析)をトリガするか否かの決定(例えば、パターンマッチングによる)、3)バーチャルまたはエミュレートされたコンピューティング環境の中でファイルを実行することによる、ファイルが悪意のあるペイロードを含んでいるか否かの決定、または4)任意な他の適切な手段によるファイルの正当性の検証、を行う。
セキュリティスキャンの結果に基づいて、セキュリティモジュール108はファイルに対するセキュリティ操作も行うことができる。本明細書で使用する用語「セキュリティ操作」は、全般的に、既知の悪意があるファイルに対して実行するセキュリティ操作に言及する。セキュリティ操作の例としては、以下に限定しないが、ファイル削除、ファイルに対するアクセスブロック、ファイル隔離、ファイルをセキュリティリスクとして識別したという通知のユーザーまたはセキュリティベンダーへの送信、または悪意があるファイルまたはセキュリティリスクをもたらすものとして知られるファイルに対して実行する他のセキュリティ操作がある。
ある実施形態では、セキュリティスキャンが完了する際に、スキャンの結果に基づき、システムはステップ206でアクセスしたコンテキストメタデータの更新を行うことができる。例えば、図1のメタデータ更新モジュール110は、ファイルに対して行ったセキュリティスキャンの結果に基づいて、コンテキストメタデータ・データベース122に記憶されたコンテキストメタデータを更新することができる。
上述のように、関心イベントのより大きなコンテキストを考慮したルールを展開して適用することにより、本明細書に記載するシステムおよび方法は、得られるセキュリティのレベルを著しく犠牲にすることなく、リアルタイムスキャンシステムの性能を向上させることができる。このように、本明細書に開示したシステムおよび方法は、リアルタイムコンピュータセキュリティソリューションのユーザーに様々な信頼性および性能の利点を提供することができる。
図3は、本明細書に記載および/または説明する一つ以上の実施形態を実施することのできる例示的なコンピューティングシステム310のブロック図である。コンピューティングシステム310は、コンピュータ読み取り可能命令を実行することのできる、単体または複数のプロセッサコンピューティング装置またはシステムを広義に表している。コンピューティングシステム310の例としては、以下に限定するものではないが、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散コンピューティングシステム、ハンドヘルドデバイスまたは他のコンピューティングシステムまたは装置がある。その最も基本的な構成において、コンピューティングシステム310は、少なくとも1個のプロセッサ314およびシステムメモリ316を備えることができる。
プロセッサ314は、一般に、データ処理または命令の機械言語翻訳および実行を行うことのできる任意のタイプまたは形式の処理ユニットを表す。ある実施形態では、プロセッサ314は、ソフトウェアアプリケーションまたはモジュールから命令を受け取ることができる。これら命令によって、プロセッサ314は本明細書に記載および/または説明する一つ以上の実施例の機能を実行することができる。例えば、プロセッサ314は、単独で、または他の構成要素との組み合わせにより、本明細書に記載する検出ステップ、識別ステップ、アクセスステップ、適用ステップ、ファイル開きステップ、ファイル閉じステップ、検索ステップ、実施ステップ、ブロックステップ、隔離ステップ、送信ステップ、更新ステップおよび実行ステップにおける一つ以上のものを行う、またはそのための手段とすることができる。プロセッサ314は、本明細書に記載および/または説明する他のステップ、方法、またはプロセスを実行する、または実行するための手段とすることができる。
システムメモリ316は、一般に、データおよび/または他のコンピュータ読み取り可能な命令を記憶することのできる、任意のタイプもしくは形式とした揮発性もしくは不揮発性の記憶装置または媒体を表す。システムメモリ316の例としては、以下に限定するものではないが、ランダムアクセスメモリ(RAM),リードオンリーメモリ(ROM),フラッシュメモリまたは他の任意の適切なメモリ装置がある。必須ではないが、ある実施形態では、コンピューティングシステム310は、揮発性メモリユニット(例えばシステムメモリ316)および不揮発性記憶装置(例えば以下に詳細を説明する主記憶装置332)の双方を有するものとすることができる。
ある実施形態では、例示的なコンピューティングシステム310は、さらに、プロセッサ314およびシステムメモリ316に加えて、一つ以上のコンポーネントまたは素子を備えることができる。例えば、図3に説明するように、コンピューティングシステム310は、メモリコントローラ318、入力/出力(I/O)コントローラ320および通信インタフェース322を備えることができ、それらはそれぞれ通信インフラ312を介して相互に接続する。通信インフラ312は、一般に、コンピューティング装置の一つ以上のコンポーネント間における通信を容易化することのできる、あらゆるタイプまたは形式のインフラを表す。通信インフラ312の例としては、以下に限定するものではないが、通信バス(ISA,PCI,PCIeまたは同様のバス)およびネットワークがある。
メモリコントローラ318は、一般に、メモリもしくはデータの処理、またはコンピューティングシステム310の一つ以上のコンポーネント間の通信を制御することのできる、任意のタイプまたは形式のデバイスを表す。例えば、ある実施形態では、メモリコントローラ318は、通信インフラ312を介して、プロセッサ314、システムメモリ316およびI/Oコントローラ320間の通信を制御することができる。ある実施形態では、メモリコントローラ318は、単独で、または他の素子との組み合わせで、検出、識別、アクセス、適用、ファイル開き、ファイル閉じ、検索、実施、ブロック、隔離、送信、更新、および実行という、本明細書に記載および/または説明する一つ以上のステップまたは特徴を行う、またはこれらを行う手段とすることができる。
I/Oコントローラ320は、一般に、コンピューティング装置の入出力機能の調整および/または制御を行うことのできる任意のタイプまたは形式のモジュールを表す。例えば、ある実施形態では、I/Oコントローラ320は、コンピューティングシステム310における一つ以上の素子間、例えば、プロセッサ314、システムメモリ316、通信インタフェース322、ディスプレイアダプタ326、入力インタフェース330および記憶装置間でデータを制御または送信の容易化を行い、本明細書に記載する検出、識別、アクセス、適用、ファイル開き、ファイル閉じ、検索、実施、ブロック、隔離、送信、更新および実行という一つ以上のステップを実施するまたは、実施する手段とすることができる。I/Oコントローラ320を使用して、本明細書に記載する他のステップおよび特徴を実施する、または実施する手段とすることもできる。
通信インタフェース322は、例示的なコンピューティングシステム310と一つ以上の付加デバイスとの間の通信を容易化することのできる、任意のタイプまたは形式の通信デバイスを広義に表す。例えば、ある実施形態では、通信インタフェース322は、コンピューティングシステム310と追加コンピューティングシステムを含むプライベートネットワークまたは公衆ネットワークとの間の通信を容易化することができる。通信インタフェース322の例としては、以下のものに限定しないが、有線ネットワークインタフェース(例えばネットワークインタフェースカードなど)、無線ネットワークインタフェース(例えば無線ネットワークインタフェースカードなど)、モデムおよび他の適切なインタフェースがある。少なくとも一つの実施形態では、通信インタフェース322は、例えばインターネットなどの、ネットワークへの直接リンクを介して、リモートサーバへの直接的な接続を提供することができる。通信インタフェース322はまた、例えば、ローカルエリアネットワーク(Ethernet(登録商標)ネットワークまたは無線IEEE802.11ネットワークなど)、パーソナルエリアネットワーク(BLUETOOTH(登録商標)ネットワークまたはIEEE802.15ネットワークなど)、電話またはケーブルネットワーク、携帯電話接続、衛星データ接続またはその他の適切な接続を通して、このような接続を間接的に提供することもできる。
ある実施形態では、通信インタフェース322は、外部バスまたは通信チャネルを介して、コンピューティングシステム310と一つ以上の追加ネットワークまたは記憶装置との間で通信を容易化するように設定された、ホストアダプタを表すこともできる。ホストアダプタの例としては、以下のものに限定しないが、SCSIホストアダプタ、USBホストアダプタ、IEEE1394ホストアダプタ、SATAとeSATAホストアダプタ、ATAとPATAホストアダプタ、ファイバーチャネルインターフェースアダプタ、Ethernet(登録商標)アダプタがある。また通信インタフェース322によって、コンピューティングシステム310に分散またはリモートコンピューティングを行わせることもできる。例えば、通信インタフェース322はリモート装置から命令を受け取る、または実行のためにリモート装置へ命令を送ることができる。ある実施形態では、通信インタフェース322は、単独で、または他の素子との組み合わせにより、本明細書に開示する検出、識別、アクセス、適用、ファイル開き、ファイル閉じ、検索、実施、ブロック、隔離、送信、更新、実行というステップにおける一つ以上のステップを行う、またはこれらを行う手段とすることができる。通信インタフェース322を使用して、本明細書に示す他のステップおよび特徴を実現する、またはそれらを実現する手段とすることができる。
図3に示すように、コンピューティングシステム310は、さらに、ディスプレイアダプタ326を介して通信インフラ312に接続する少なくとも一つのディスプレイ装置324を備えることができる。ディスプレイ装置324は、一般に、ディスプレイアダプタ326によって転送される情報を視覚的に表示することのできる任意のタイプまたは形式の装置を表す。同様に、ディスプレイアダプタ326は、一般に、ディスプレイ装置324で表示するよう、通信インフラ312(または本技術分野で既知のフレームバッファ)からのグラフィックス、テキストおよび他のデータを転送するよう構成した、任意のタイプまたは形式のデバイスを表す。
図3に示すように、例示的なコンピューティングシステム310は、さらに、入力インタフェース330を介して通信インフラ312に接続する、少なくとも一つの入力装置328を備えることができる。入力装置328は、一般に、コンピュータまたは人間が生成した入力をコンピューティングシステム310に供給することのできる、任意のタイプまたは形式の入力装置を表す。入力装置328の例としては、以下のものに限定しないが、キーボード、ポインティングデバイス、音声認識装置または他の入力装置がある。少なくとも一つの実施形態では、入力装置328は、単独、または他の素子との組み合わせにより、本明細書に記載の検出、識別、アクセス、適用、ファイル開き、ファイル閉じ、検索、実施、ブロック、隔離、送信、更新、および実行というステップのうち一つ以上のステップを行う、またはこれらを行う手段とすることができる。入力装置328使用して、本明細書に示す他のステップおよび特徴を行う、またはこれらを行う手段とすることができる。
図3に示すように、例示的なコンピューティングシステム310は、さらに、記憶インタフェース334を介して通信インフラ312に接続する、主記憶装置332およびバックアップ記憶装置333を備えることができる。記憶装置332、333は、一般に、データおよび/または他のコンピュータ読み取り可能な命令を記憶することのできる任意のタイプもしくは形式の記憶装置または媒体を表す。例えば、記憶装置332,333は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、フロッピー(登録商標)ディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブとすることができる。記憶インタフェース334は、一般に、記憶装置332,333とコンピューティングシステム310における他のコンポーネントとの間でデータの送信を行う、任意のタイプまたは形式のインタフェースまたは装置を表す。
ある実施形態では、記憶装置332,333は、コンピュータソフトウェア、データまたは他のコンピュータ読み取り可能な情報を記憶するよう構成したリムーバブル記憶ユニットに対する読み出しおよび/または書き込みを行うよう構成することができる。適切なリムーバブル記憶ユニットの例としては、以下のものに限定しないが、フロッピー(登録商標)ディスク、磁気テープ、光ディスク、フラッシュメモリ装置がある。記憶装置332,333はまた、コンピュータソフトウェア、データまたは他のコンピュータ読み取り可能な命令をコンピューティングシステム310にロードするための、他の同様な構造またはデバイスを有するものとすることができる。例えば、記憶装置332,333は、ソフトウェア、データ、または他のコンピュータ読み取り可能な情報を読み、書きできるよう構成する。記憶装置332,333は、また、コンピューティングシステム310の一部とする、または他のインタフェースシステムを介してアクセスする個別の装置とすることもできる。
ある実施形態では、本明細書に開示する例示的なファイルシステムを主記憶装置332に記憶するとともに、本明細書に開示する例示的なファイルシステムのバックアップをバックアップ記憶装置333に記憶することができる。記憶装置332,333は、例えば、単独で、または他の素子との組み合わせにより、本明細書に記載する検出、識別、アクセス、適用、ファイル開き、ファイル閉じ、検索、実施、ブロック、隔離、送信、更新、実行というステップのうち一つ以上のステップを行う、またはこれらを行う手段とすることができる。記憶装置332,333を使用して、本明細書に示す他のステップおよび特徴を行う、または行う手段とすることができる。
その他多数の装置またはサブシステムをコンピューティングシステム310に接続することができる。逆に、本明細書に記載および/または説明する実施形態を実施するために、図4に示すコンポーネントおよびデバイスの全てが存在しなければならないということではない。上述の装置やサブシステムは、図3に示すものとは異なる方法で相互に接続することができる。コンピューティングシステム310は、さらに、任意の数のソフトウェア、ファームウェア、および/またはハードウェア構成を使用することができる。例えば、本明細書に開示する一つ以上の実施例は、コンピュータ読み取り可能な媒体にコンピュータプログラム(または、コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータの読み取り可能な命令またはコンピュータ制御ロジックとも称する)として符号化することができる。用語「コンピュータ読み取り可能な媒体」は一般に、コンピュータの読み取り可能な命令を記憶または搬送することのできる任意の形式のデバイス、キャリア、または媒体に言及する。コンピュータ読み取り可能な媒体としては、以下のものに限定しないが、搬送波のような伝送タイプの媒体、および磁気記憶媒体のような物理的媒体(例えば、ハードディスクドライブ、フロッピー(登録商標)ディスク)、光記憶媒体(例えば、CD−ROMまたはDVD−ROMなど)、電子記憶媒体(例えば、ソリッドステートドライブやフラッシュ媒体)および他の分散システムがある。
コンピュータプログラムを含むコンピュータ読み取り可能な媒体は、コンピューティングシステム310にロードすることができる。コンピュータ読み取り可能な媒体に記憶されるコンピュータプログラムの全体または一部は、この後システムメモリ316および/または記憶装置332,333の様々な部分に記憶される。プロセッサ314で実行されるとき、コンピューティングシステム310にロードされたコンピュータプログラムは、プロセッサ314に、本明細書に記載および/または説明する一つ以上の実施例の機能を実行する、または実行する手段とすることができる。付加的に、または代替的に、本明細書に記載および/または説明する一つ以上の実施例は、ファームウェアおよび/またはハードウェアで実行することができる。例えば、コンピューティングシステム310は、本明細書に開示する一つ以上の実施例を実現するために適合される特定用途向け集積回路(ASIC)として構成することができる。
図4は、例示的なネットワークアーキテクチャ400のブロック図であり、この場合、クライアントシステム410,420,430およびサーバ440,445をネットワーク450に接続することができる。クライアントシステム410,420,430は、一般に、例えば図3の例示的なコンピューティングシステム310のような、任意のタイプもしくは形式のコンピューティング装置またはシステムを表す。同様に、サーバ440,445は、一般に、様々なデータベースサービスの提供するおよび/または特定ソフトウェアアプリケーションを実行するよう構成した、アプリケーションサーバやデータベースサーバのような、コンピューティング装置またはシステムを表す。ネットワーク450は、一般に、例えばイントラネット、広域ネットワーク(WAN),ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)またはインターネットを含む、任意の電気通信ネットワークまたはコンピュータネットワークを表す。
図4に示すように、1個またはそれ以上の記憶装置460(1)〜(N)をサーバ440に直接取り付けることができる。同様に、1個またはそれ以上の記憶装置470(1)〜(N)をサーバ445に直接取り付けることができる。記憶装置460(1)〜(N)および記憶装置470(1)〜(N)は、一般に、データおよび/または他のコンピュータ読み取り可能な命令を記憶することのできる、任意のタイプもしくは形式の記憶装置または媒体を表す。ある実施形態では、記憶装置460(1)〜(N)および記憶装置470(1)〜(N)は、様々なプロトコル、例えばNFS、SMBまたはCIFSを使って、サーバ440および445と通信を行うよう構成したネットワーク接続ストレージ(NAS)装置を表すことができる。
サーバ440,445は、また、ストレージエリアネットワーク(SAN)ファブリック480に接続することができる。SANファブリック480は、一般に、複数の記憶装置間の通信を容易化できる、任意のタイプもしくは形式のコンピュータネットワークまたはアーキテクチャを表す。SANファブリック480は、サーバ440,445、複数の記憶装置490(1)〜(N)、および/またはインテリジェントストレージアレイ495間の通信を容易化することができる。SANファブリック480は、さらに、ネットワーク450およびサーバ440、445を介して、クライアントシステム410、420,430、記憶装置490(1)〜(N)、および/またはインテリジェントストレージアレイ495間の通信を、記憶装置490(1)〜(N)とアレイ495がクライアントシステム410,420,430に局部的に取り付けられた装置として現れるようにして、容易化する。記憶装置460(1)〜(N)および記憶装置470(1)〜(N)のように、記憶装置490(1)〜(N)およびインテリジェントストレージアレイ495は、一般に、データおよび/または他のコンピュータ読み取り可能な命令を記憶することのできる、任意のタイプもしくは形式の記憶装置または媒体を表す。
ある実施形態では、図3の例示的なコンピューティングシステム310に関して、通信インタフェース、例えば図3に示す通信インタフェース322を使用して、クライアントシステム410,420,430のそれぞれとネットワーク450との間に接続能力を付与することができる。クライアントシステム410,420,430は、例えば、ウェブブラウザまたは他のクライアントソフトウェアを使って、サーバ440または445の情報にアクセスすることができる。このようなソフトウェアによって、クライアントシステム410,420,430は、サーバ440、サーバ445、記憶装置460(1)〜(N)、記憶装置470(1)〜(N)、記憶装置490(1)〜(N)および/またはインテリジェントストレージアレイ495によってホストされるデータにアクセスすることができる。図4はデータ交換のネットワーク(例えばインターネットのような)の使用を説明するものであるが、本明細書に記載および/または説明する実施形態は、インターネットまたは特定のネットワークベース環境に限定されるものではない。
少なくとも一つの実施形態では、本明細書に開示する一つ以上の実施例の全てまたは一部を、コンピュータプログラムとして符号化し、サーバ440、サーバ445、記憶装置460(1)〜(N)、記憶装置470(1)〜(N)、記憶装置490(1)〜(N)、インテリジェントストレージアレイ495またはそれらの任意の組み合わせにロードし、そして実行することができる。本明細書に開示する一つ以上の実施例の全てまたは一部もまた、コンピュータプログラムとして符号化し、サーバ440に記憶し、サーバ445によって実行し、そしてネットワーク450によってクライアントシステム410,420,430に分散することができる。よって、ネットワークアーキテクチャ400は、単独で、または他の素子との組み合わせによって、本明細書に開示する検出、識別、アクセス、適用、ファイル開き、ファイル閉じ、検索、実施、ブロック、隔離、送信、更新および実行というステップのうち一つ以上のステップを行う、または行う手段とすることができる。ネットワークアーキテクチャ400を使用して、本開示に示すその他のステップおよび機能の実行に使用する、または実行するための手段とすることができる。
詳細を上述したように、本明細書に記載する一つ以上のシステムは、単独で、または他の素子との組み合わせによって、本明細書に記載または説明する一つ以上の例示的な方法を実行する、または実行するための手段とすることができる。例えば、本明細書に記載するシステムは、関心イベントに関連するコンテキストメタデータに基づいて、1)関心イベントの検出するステップと、2)関心イベントに関連する少なくとも一つのファイルの識別するステップと、3)関心イベントに関連するコンテキストメタデータへのアクセスするステップと、4)関心イベントおよびコンテキストメタデータに基づき、ファイルのセキュリティスキャンを実行するか否かを決定するための基準を含む少なくとも一つのルールへのアクセスするステップと、つぎに5)このルールを適用してファイルに対してセキュリティスキャンを行うか否かを決定するステップと、を有するリアルタイムファイルスキャンを実行するか否かを決定する方法を実行することができる。
関心イベントは、ファイルを開く試み、ファイルを閉じる試み、またはセキュリティベンダー供給によるウィルス定義セットへの更新を表すことができる。さらに、コンテキストメタデータは、ファイルに関する情報および/またはそのファイルに関連する少なくとも一つのアプリケーションに関する情報を含むことができる。
ファイルに関する情報としては、ファイル名、ファイルのパス名、ファイルのタイプ、ファイル作成日、ファイルの最終更新日、ファイルのハッシュ、ファイルを読み出したまたは修正した回数、ファイルを読み出したまたは修正したアプリケーション、ファイルの使用傾向、ファイルに対して行った以前のセキュリティスキャンの結果、または他の潜在的な有用な情報を識別する情報がある。同様に、ファイルに関連するアプリケーションに関する情報としては、アプリケーション名、アプリケーションに関連するプロセス、アプリケーションの使用傾向、アプリケーションがポータルか否か、アプリケーションがネットワークアクティビティを生成するか否か、アプリケーションが既知の脆弱性を含んでいるか否か、または他の潜在的に有用な情報がある。
ルールは、包括的なファイルルール、包括的アプリケーションルール、ファイルの容認可能な使用傾向を識別するファイルタイプ固有ルール、またはそのファイルと関連するアプリケーションの容認可能な使用傾向を識別する特定用途向けルールを表すことができる。ルールは、さらに、コンテキストメタデータに基づいて、セキュリティスキャンを実行する際、ファイルに対して適用すべきセキュリティレベルを決定する基準を有するものとすることもできる。
いくつかの実施形態では、コンテキストメタデータへのアクセスには、コンテキストメタデータ・データベースからのコンテキストメタデータの検索を含めることができる。同様に、ルールへのアクセスには、ルール・データベースからのルールの検索を含めることができる。さらに、本発明方法は、セキュリティスキャンの結果に基づいて、ファイルのセキュリティ操作を行うか否かを決定するファイルのセキュリティスキャンの実行をさらに含んでいる。セキュリティ操作は、ファイルのブロック、ファイルの隔離、ファイルの削除またはそのファイルをセキュリティリスクとして識別したことをユーザーまたはセキュリティベンダーへの通知の送信を表すことができる。
ある実施形態では、本発明方法は、さらに、セキュリティスキャンの結果に基づくコンテキストメタデータの更新を含むことができる。いくつかの実施形態では、ファイルのセキュリティスキャンの実行は、ファイルの一部が、セキュリティベンダー供給によるウィルス定義セット内の少なくとも一つの署名に一致するか否かの決定、ファイルがセキュリティベンダー供給によるマルウェア検出ヒューリスティックをトリガするか否かの決定、および/またはバーチャル環境内におけるそのファイルの実行を含むことができる。
上述の開示は特定のブロック図、フローチャートおよび例を使って様々な実施形態を示したが、各ブロック図のコンポーネント、フローチャートステップ、操作および/または本明細書に記載および/または説明したコンポーネントは、広範囲のハードウェア、ソフトウェアまたはファームウェア(またはそれらの組み合わせ)を使って個別および/または包括的に実現することができる。さらに、他のコンポーネントに含まれるコンポーネントの開示はどのようなものであっても、同じ機能を達成するためにたくさんの他のアーキテクチャを実現することができるので、本来は例示的なものと考えるものとする。
本明細書に記載および/または説明するステップのプロセスパラメータおよびシーケンスは、ほんの一例として与えられたものであり、所望通りに変更が可能である。例えば、本明細書に記載および/または説明するステップは特定の順番に示され、論じられているが、これらのステップは、必ずしも説明または論じられている順番で実行する必要はない。本明細書に記載および/または説明する様々な例示的な方法では、本明細書に記載および/または説明する一つ以上のステップを除外してもよいし、またはこれらの開示されたものにステップを追加してもよい。
さらに、様々な実施形態を完全に機能的なコンピューティングシステムとして本明細書に記載および/または説明してきたが、分散を行うために実際に使用される特定の種類のコンピュータ読み取り可能な媒体に関わらず、一つ以上のこれらの実施例は、様々な形態のプログラム製品として流通させることもできる。本明細書に開示する実施形態はまた、特定のタスクを実行するソフトウェアモジュールを使って実現することもできる。これらのソフトウェアモジュールは、コンピュータ読み取り可能な記憶媒体またはコンピューティングシステムに記憶することのできるスクリプト、バッチまたはその他の実行可能ファイルを含むことができる。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示する一つ以上の実施例を実行するコンピューティングシステムとして構成することができる。
上述の説明は、当業者が本明細書に記載する実施例の様々な態様を最大限に利用できるように行った。この例示的説明は網羅的、または開示した正確な形態に限定することを意図したものではない。本発明の要旨または範囲から逸脱することなく、多くの変更および改変が可能である。本明細書に記載する実施形態は、あらゆる面において例示的であり、限定するものではないと考えるべきである。添付の特許請求の範囲およびそれの等価物を参照して、本発明の範囲を決定すべきである。
別段に記載のない限り、明細書または請求項において、各要素は複数存在し得る。さらに、簡単のために、明細書および請求項で使用される「〜を含む」および「〜を有する」という言葉は、同じ意味を持つ言葉である「〜を備える」と置き替えることができる。
100 システム
102 モジュール
104 イベント検出モジュール
106 ルール適用モジュール
108 セキュリティモジュール
110 メタデータ更新モジュール
120 データベース
122 コンテキストメタデータ
310 コンピューティングシステム
312 通信インフラ
314 プロセッサ
316 システムメモリ
318 メモリコントローラ
320 I/Oコントローラ
322 通信インタフェース
324 ディスプレイ装置
326 ディスプレイアダプタ
328 入力装置
330 入力インタフェース
332 主記憶装置
333 バックアップ記憶装置
334 記憶インタフェース
400 ネットワークアーキテクチャ
410、420、430 クライアント
440、445 サーバ
450 ネットワーク
460(1)〜460(N)、470(1)〜470(N)、 490(1)〜490(N) 装置
480 SANファブリック
495 インテリジェント記憶アレイ

Claims (20)

  1. 関心イベントに応答して、前記関心イベントのフルコンテキストを調べることによってリアルタイムファイルスキャンを実行するか否かを決定する、コンピュータ実行方法において、
    関心イベントを検出するステップと、
    前記関心イベントと関連する少なくとも一つのファイルを識別するステップと、
    前記関心イベントと関連するコンテキストメタデータにアクセスするステップと、
    前記関心イベントおよび前記コンテキストメタデータに基づいて、前記ファイルのセキュリティスキャンを実行するか否かを決定するための基準を含む少なくとも一つのルールにアクセスするステップと、
    前記ルールを適用することによって、前記ファイルのセキュリティスキャンを実行するか否かを決定するステップと
    を有する、方法。
  2. 請求項1に記載の方法において、前記コンテキストメタデータは、
    前記ファイルに関する情報と、
    前記ファイルに関連する少なくとも一つのアプリケーションに関する情報と
    を有する、方法。
  3. 請求項2に記載の方法において、前記ファイルに関する情報は、
    前記ファイルの名前、
    前記ファイルのパス名、
    前記ファイルのタイプ、
    前記ファイルの作成日、
    前記ファイルの最終更新日、
    前記ファイルのハッシュ、
    前記ファイルが読み出された回数、
    前記ファイルが修正された回数、
    前記ファイルを読み出したアプリケーション、
    前記ファイルを修正したアプリケーション、
    前記ファイルの使用傾向、
    前記ファイルに対して実行した以前のセキュリティスキャンの結果
    のうち、少なくとも一つを識別する情報を有する、
    方法。
  4. 請求項2に記載の方法において、前記ファイルに関連する前記アプリケーションに関する前記情報は、
    前記アプリケーションの名前、
    前記アプリケーションに関連するプロセス、
    前記アプリケーションの使用傾向、
    前記アプリケーションがポータルか否か、
    前記アプリケーションがネットワークアクティビティを生成するか否か、
    前記アプリケーションが既知の脆弱性を含んでいるか否か、
    を識別する情報を含むものとした、方法。
  5. 請求項1に記載の方法において、前記ルールは、
    包括的なファイルルール、
    包括的なアプリケーションルール、
    前記ファイルの容認可能な使用傾向を識別するファイルタイプ固有のルール、
    前記ファイルと関連するアプリケーションの容認可能な使用傾向を識別する特定アプリケーション固有ルール
    を有する、方法。
  6. 請求項1に記載の方法において、前記ルールは、さらに、前記コンテキストメタデータに基づいて、前記セキュリティスキャンを行う際に前記ファイルに適用するセキュリティのレベルを判定するための基準を有する、方法。
  7. 請求項1に記載の方法において、前記関心イベントは、
    前記ファイルを開けようとする試み、
    前記ファイルを閉じようとする試み、
    セキュリティベンダー供給によるウィルス定義セットの更新
    のうち少なくとも一つを有する、方法。
  8. 請求項1に記載の方法において、
    前記コンテキストメタデータへのアクセスは、前記コンテキストメタデータをコンテキストメタデータ・データベースから検索するステップを有し、前記ルールへのアクセスは、前記ルールをルール・データベースから検索するステップを有するものとした、方法。
  9. 請求項1に記載の方法において、さらに、
    前記ファイルに対して前記セキュリティスキャンを実行するステップと、
    前記セキュリティスキャンの結果に基づいて、前記ファイルに対してセキュリティスキャンを行うか否かを決定するステップと
    有する、方法。
  10. 請求項9に記載の方法において、セキュリティ操作は、
    前記ファイルをブロックするステップ、
    前記ファイルを隔離するステップ、
    前記ファイルをセキュリティリスクとして識別する通知を送信するステップ
    のうち少なくとも一つを含むものとした、方法。
  11. 請求項9に記載の方法において、さらに、前記セキュリティスキャンの結果に基づいて、前記コンテキストメタデータを更新するステップを有する、の方法。
  12. 請求項9に記載の方法において、前記ファイルに対する前記セキュリティスキャンの実行は、
    前記ファイルの一部がセキュリティベンダー供給によるウィルス定義セット内の少なくとも一つの署名と一致するか否かを決定するステップ、
    前記ファイルがセキュリティベンダー供給によるマルウェア検出ヒューリスティックをトリガするか否かを決定するステップ、
    バーチャル環境内で前記ファイルを実行するステップ
    のうち少なくとも一つを有する、方法。
  13. 関心イベントに応答して、前記関心イベントのフルコンテキストを調べることによって、リアルタイムファイルスキャンを実行するか否かを決定するシステムにおいて、
    イベント検出モジュールであって、以下のことを行う、すなわち、
    関心イベントを検出し、
    前記関心イベントと関連する少なくとも一つのファイルを識別する
    ようプログラムした、該イベント検出モジュールと、
    前記関心イベントに関連するコンテキストメタデータを含むコンテキストメタデータ・データベースと、
    ルール適用モジュールであって、以下のことを行う、すなわち、
    前記関心イベントおよび前記コンテキストメタデータに基づいて、前記ファイルに対してセキュリティスキャンを実行するか否かを決定するための基準を含む少なくとも一つのルールにアクセスし、
    前記ルールを適用することによって、前記ファイルに対して前記セキュリティスキャンを実行するか否かを決定する
    ようにプログラムした、該ルール適用モジュールと
    を備えた、システム。
  14. 請求項13に記載のシステムにおいて、前記コンテキストメタデータは、
    前記ファイルに関する情報と、
    前記ファイルに関連する少なくとも一つのアプリケーションに関する情報と
    を有するものとした、システム。
  15. 請求項13に記載のシステムにおいて、前記ルールは、さらに、前記コンテキストメタデータに基づいて、前記セキュリティスキャンを行う際に、前記ファイルに適用するセキュリティのレベルを決定するための基準を含むものとした、システム。
  16. 請求項13に記載のシステムにおいて、さらに、安全モジュールであって、以下のことを行う、すなわち、
    前記セキュリティスキャンを実行し、
    前記セキュリティスキャンの結果に基づいて、前記ファイルに対するセキュリティ操作を実行するか否かを決定する
    ようにプログラムした、該安全モジュールを備えたシステム。
  17. 請求項16に記載のシステムにおいて、さらに、メタデータ更新モジュールであって、前記セキュリティスキャンの結果に基づいて、前記コンテキストメタデータの更新を行うようプログラムした、該メタデータ更新モジュールを備えた、システム。
  18. コンピュータ実行可能命令を含むコンピュータ読み取り可能な媒体において、コンピューティング装置によって実行されるとき、前記コンピューティング装置に対して、以下のことを行わせる、すなわち、
    関心イベントを検出する、
    前記関心イベントに関連する少なくとも一つのファイルの識別する、
    前記関心イベントに関連するコンテキストメタデータにアクセスする、
    前記関心イベントおよび前記コンテキストメタデータに基づいて、前記ファイルに対してセキュリティスキャンを行うか否かを決定するための基準を含む少なくとも一つのルールにアクセスする、
    前記ルールを適用することによって、前記ファイルに対してセキュリティスキャンを行うか否かを決定する
    ことを行わせる、コンピュータ読み取り可能な媒体。
  19. 請求項18に記載のコンピュータ読み取り可能な媒体において、前記コンピュータ実行可能命令は、前記コンピューティング装置が実行するとき、さらに、前記コンピューティング装置に対して以下のことを行わせる、すなわち、
    前記ファイルに対してセキュリティスキャンを実行する、
    前記セキュリティスキャンの結果に基づいて、前記ファイルに対してセキュリティ操作を行うか否かの決定する
    ことを行わせる、コンピュータ読み取り可能な媒体。
  20. 請求項18に記載のコンピュータ読み取り可能な媒体において、前記コンピュータ実行可能命令は、前記コンピューティング装置が実行するとき、さらに、前記コンピューティング装置に対して、前記セキュリティスキャンの結果に基づいて、前記コンテキストメタデータの更新を行わせる、コンピュータ読み取り可能な媒体。
JP2009284452A 2008-12-17 2009-12-15 コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 Active JP5586216B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/336,959 2008-12-17
US12/336,959 US8161556B2 (en) 2008-12-17 2008-12-17 Context-aware real-time computer-protection systems and methods

Publications (2)

Publication Number Publication Date
JP2010160791A true JP2010160791A (ja) 2010-07-22
JP5586216B2 JP5586216B2 (ja) 2014-09-10

Family

ID=42027974

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009284452A Active JP5586216B2 (ja) 2008-12-17 2009-12-15 コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法

Country Status (4)

Country Link
US (1) US8161556B2 (ja)
EP (1) EP2199939B1 (ja)
JP (1) JP5586216B2 (ja)
CN (1) CN101777062B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015512536A (ja) * 2012-03-28 2015-04-27 シマンテック コーポレーションSymantec Corporation 非反復的マルウェアスキャンを実施するためにプロパティテーブルを使用するためのシステム及び方法
JP2017016631A (ja) * 2015-07-06 2017-01-19 エーオー カスペルスキー ラボAO Kaspersky Lab 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。

Families Citing this family (174)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8392379B2 (en) * 2009-03-17 2013-03-05 Sophos Plc Method and system for preemptive scanning of computer files
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8850579B1 (en) * 2009-11-13 2014-09-30 SNS Soft LLC Application of nested behavioral rules for anti-malware processing
US8082585B1 (en) * 2010-09-13 2011-12-20 Raymond R. Givonetti Protecting computers from malware using a hardware solution that is not alterable by any software
US8832835B1 (en) * 2010-10-28 2014-09-09 Symantec Corporation Detecting and remediating malware dropped by files
US8839374B1 (en) * 2011-12-15 2014-09-16 Symantec Corporation Systems and methods for identifying security risks in downloads
CN102799811B (zh) * 2012-06-26 2014-04-16 腾讯科技(深圳)有限公司 扫描方法和装置
CN103279708A (zh) * 2012-12-28 2013-09-04 武汉安天信息技术有限责任公司 一种移动终端恶意代码行为监控和分析的方法及系统
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
WO2014145805A1 (en) 2013-03-15 2014-09-18 Mandiant, Llc System and method employing structured intelligence to verify and contain threats at endpoints
US10409987B2 (en) 2013-03-31 2019-09-10 AO Kaspersky Lab System and method for adaptive modification of antivirus databases
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9104859B1 (en) * 2013-06-24 2015-08-11 Symantec Corporation Systems and methods for scanning data stored on cloud computing platforms
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9230106B2 (en) 2013-06-28 2016-01-05 Kaspersky Lab Ao System and method for detecting malicious software using malware trigger scenarios in a modified computer environment
RU2653985C2 (ru) 2013-06-28 2018-05-15 Закрытое акционерное общество "Лаборатория Касперского" Способ и система обнаружения вредоносного программного обеспечения путем контроля исполнения программного обеспечения запущенного по сценарию
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US20160164893A1 (en) * 2013-07-17 2016-06-09 Hewlett-Packard Development Company, L.P. Event management systems
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9740857B2 (en) 2014-01-16 2017-08-22 Fireeye, Inc. Threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9760713B1 (en) * 2014-02-27 2017-09-12 Dell Software Inc. System and method for content-independent determination of file-system-object risk of exposure
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9727727B2 (en) 2014-09-26 2017-08-08 Dropbox Inc. Scanning content items based on user activity
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10346634B2 (en) 2014-11-20 2019-07-09 Lenovo (Singapore) Pte. Ltd. Obscuring and deleting information from a messaging account
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10037432B2 (en) * 2015-02-27 2018-07-31 Lenovo (Singapore) Pte. Ltd. Implementing file security settings based on context
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9646159B2 (en) * 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9940362B2 (en) * 2015-05-26 2018-04-10 Google Llc Predicting user needs for a particular context
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
CN105389509A (zh) * 2015-11-16 2016-03-09 北京奇虎科技有限公司 文件扫描方法及装置
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
WO2017132417A1 (en) 2016-01-26 2017-08-03 Enterpriseweb Llc Unified operating system for distributed computing
US10339304B2 (en) * 2016-03-15 2019-07-02 Symantec Corporation Systems and methods for generating tripwire files
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10616266B1 (en) 2016-03-25 2020-04-07 Fireeye, Inc. Distributed malware detection system and submission workflow thereof
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10732634B2 (en) * 2017-07-03 2020-08-04 Baidu Us Llc Centralized scheduling system using event loop for operating autonomous driving vehicles
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
CN112384823A (zh) * 2018-03-23 2021-02-19 艾克索纳科技公司 使用超宽带(uwb)雷达检测目标模式的系统和方法
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US10621346B1 (en) * 2019-08-21 2020-04-14 Netskope, Inc. Efficient scanning for threat detection using in-doc markers
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11663332B2 (en) * 2021-01-15 2023-05-30 EMC IP Holding Company LLC Tracking a virus footprint in data copies

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004527857A (ja) * 2000-12-01 2004-09-09 ネットワーク・アプライアンス・インコーポレイテッド 記憶されているデータに対する分散的ウィルススキャン
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2006127498A (ja) * 2004-10-29 2006-05-18 Microsoft Corp 文書へのアンチウイルスマニフェストのスタンピング
JP2006134307A (ja) * 2004-11-08 2006-05-25 Microsoft Corp アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法
WO2007016478A2 (en) * 2005-07-29 2007-02-08 Bit9, Inc. Network security systems and methods
JP2007200102A (ja) * 2006-01-27 2007-08-09 Nec Corp 不正コードおよび不正データのチェックシステム、プログラムおよび方法
JP2008533545A (ja) * 2005-03-22 2008-08-21 松下電器産業株式会社 コンピュータ・ウイルスを検出する方法および応用物

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5956481A (en) * 1997-02-06 1999-09-21 Microsoft Corporation Method and apparatus for protecting data files on a computer from virus infection
US8225408B2 (en) * 1997-11-06 2012-07-17 Finjan, Inc. Method and system for adaptive rule-based content scanners
US7188367B1 (en) * 2001-03-30 2007-03-06 Moafee, Inc. Virus scanning prioritization using pre-processor checking
US7266843B2 (en) * 2001-12-26 2007-09-04 Mcafee, Inc. Malware scanning to create clean storage locations
US20040158730A1 (en) * 2003-02-11 2004-08-12 International Business Machines Corporation Running anti-virus software on a network attached storage device
US7475427B2 (en) * 2003-12-12 2009-01-06 International Business Machines Corporation Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network
GB0418066D0 (en) * 2004-08-13 2004-09-15 Ibm A prioritization system
US7676845B2 (en) * 2005-03-24 2010-03-09 Microsoft Corporation System and method of selectively scanning a file on a computing device for malware
US7707620B2 (en) * 2005-05-06 2010-04-27 Cisco Technology, Inc. Method to control and secure setuid/gid executables and processes
WO2007117582A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for mobile platforms

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004527857A (ja) * 2000-12-01 2004-09-09 ネットワーク・アプライアンス・インコーポレイテッド 記憶されているデータに対する分散的ウィルススキャン
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
JP2006127498A (ja) * 2004-10-29 2006-05-18 Microsoft Corp 文書へのアンチウイルスマニフェストのスタンピング
JP2006134307A (ja) * 2004-11-08 2006-05-25 Microsoft Corp アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法
JP2008533545A (ja) * 2005-03-22 2008-08-21 松下電器産業株式会社 コンピュータ・ウイルスを検出する方法および応用物
WO2007016478A2 (en) * 2005-07-29 2007-02-08 Bit9, Inc. Network security systems and methods
JP2007200102A (ja) * 2006-01-27 2007-08-09 Nec Corp 不正コードおよび不正データのチェックシステム、プログラムおよび方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015512536A (ja) * 2012-03-28 2015-04-27 シマンテック コーポレーションSymantec Corporation 非反復的マルウェアスキャンを実施するためにプロパティテーブルを使用するためのシステム及び方法
JP2017016631A (ja) * 2015-07-06 2017-01-19 エーオー カスペルスキー ラボAO Kaspersky Lab 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。

Also Published As

Publication number Publication date
EP2199939A1 (en) 2010-06-23
CN101777062A (zh) 2010-07-14
EP2199939B1 (en) 2018-02-07
JP5586216B2 (ja) 2014-09-10
US8161556B2 (en) 2012-04-17
US20100154056A1 (en) 2010-06-17
CN101777062B (zh) 2014-04-23

Similar Documents

Publication Publication Date Title
JP5586216B2 (ja) コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法
CN107810504B (zh) 基于用户行为确定恶意下载风险的系统和方法
US8479291B1 (en) Systems and methods for identifying polymorphic malware
US8739284B1 (en) Systems and methods for blocking and removing internet-traversing malware
JP6196393B2 (ja) プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法
US7934261B1 (en) On-demand cleanup system
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
US9317679B1 (en) Systems and methods for detecting malicious documents based on component-object reuse
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
JP2019082989A (ja) 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法
US8640233B2 (en) Environmental imaging
US8561180B1 (en) Systems and methods for aiding in the elimination of false-positive malware detections within enterprises
US8176556B1 (en) Methods and systems for tracing web-based attacks
US9239922B1 (en) Document exploit detection using baseline comparison
US20110277033A1 (en) Identifying Malicious Threads
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
US8321940B1 (en) Systems and methods for detecting data-stealing malware
US8869284B1 (en) Systems and methods for evaluating application trustworthiness
US9973525B1 (en) Systems and methods for determining the risk of information leaks from cloud-based services
US9436824B1 (en) System and method for performing antivirus scans of files
US8448243B1 (en) Systems and methods for detecting unknown malware in an executable file
US10678917B1 (en) Systems and methods for evaluating unfamiliar executables
US9219728B1 (en) Systems and methods for protecting services
JP7320462B2 (ja) アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法
US9003533B1 (en) Systems and methods for detecting malware

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20121211

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140624

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140722

R150 Certificate of patent or registration of utility model

Ref document number: 5586216

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250