JP2011523482A - ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース - Google Patents
ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース Download PDFInfo
- Publication number
- JP2011523482A JP2011523482A JP2011510688A JP2011510688A JP2011523482A JP 2011523482 A JP2011523482 A JP 2011523482A JP 2011510688 A JP2011510688 A JP 2011510688A JP 2011510688 A JP2011510688 A JP 2011510688A JP 2011523482 A JP2011523482 A JP 2011523482A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- definitions
- filter
- input file
- definition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims abstract description 6
- 238000004590 computer program Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 7
- 230000002155 anti-virotic effect Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012502 risk assessment Methods 0.000 description 5
- 238000013459 approach Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011867 re-evaluation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本システムと方法は、中央サーバから部分的に配信されたマルウェア定義に基づきクライアント装置上のマルウェアを検知する。サーバは既知のマルウェアのマルウェア定義を格納する。サーバは、マルウェア定義に基づき1つまたは複数のフィルタを生成し、それをクライアント装置に配信する。サーバはまた、最も一般的に検知されるマルウェアのサブセットに対する全定義をクライアントに配信する。クライアント装置は、最初にファイルにフィルタを適用することによりマルウェアのファイルをスキャンする。フィルタが陽性検出を出力する場合、クライアントはファイルがマルウェアを含むかどうかを判断するために全定義を使用してファイルをスキャンする。クライアントにより全定義がローカルに格納されていない場合、クライアントはサーバに定義を照会し、スキャン処理を続ける。
Description
本開示は、一般的にはコンピュータセキュリティに関し、さらに具体的にはマルウェア(malware)を検知することに関する。
コンピュータウィルス、ワーム、トロイの木馬、スパイウェアなどのマルウェアは、現代のコンピュータシステムに絶え間ない脅威をもたらす。悪意のあるファイルに対抗するために、コンピュータシステムは、通常、悪意のあるファイルを検知し、特定し、除去しようとするアンチウイルスソフトウェアを実行する。従来のアンチウイルスソフトウェアは、既知のマルウェアに対応する各定義を有する定義データベースを格納する。アンチウイルスソフトウェアは、格納された定義に一致するマルウェアを検知するためにクライアントマシン上のファイルを定期的にスキャンする。検知されたマルウェアは次に無効化または削除されてよい。
アンチウイルスのプログラムはマルウェアを検知し削除することができるが、既存プログラムを回避するように設計された新しいマルウェアが絶えず作られている。したがって、新たにリリースされたマルウェアを検知できるようにこれらアンチウイルス定義を頻繁に更新することが重要である。これらの更新は通常、アンチウイルスプログラムのベンダーにより提供される。
近年、新しい既知のマルウェアの数は劇的に増加してきており、更新の配信をますます難しい課題にしている。頻繁な更新は、すべての古い定義を格納し維持し続ける一方で新しい定義を絶えず受信し格納しなければならないクライアントマシンのデータ過負荷問題を引き起こす可能性がある。これは、例えば自動預金受払機(ATM)などの限られた物理メモリを有するクライアントマシン、あるいは限られたネットワーク帯域幅を有するマシンにとって特に問題である。さらに、クライアントマシンに多くの定義を配信することは結果的に定義配信業者に著しいコストをかける。
この問題に対する1つの手法は、連続的な脅威をもたらすとはもはや思われない古い定義を削除することによりアンチウイルスソフトウェアにより使用される活性化定義の数を低減することである。しかしながら、これらの古い脅威が再び現われると、この手法はクライアントを攻撃に晒したままにする。別の従来の手法は、ローカルマシンに定義を配信することよりむしろ定義のすべてを格納するための中央アンチウイルスサーバを設けることである。しかしながら、この手法は局所的な記憶要件を低減するが、クライアントとサーバ間のネットワークトラフィックを著しく増加させて、全体性能およびコストの著しい改善をもたらさない。したがって、必要なのは、クライアント装置にマルウェア定義を配信するための改良されたシステムである。
本システム、方法、コンピュータプログラム製品はマルウェアを検知する。クライアント装置では、入力ファイルが一組の既知のマルウェア定義内のマルウェア定義と一致する特性を有するかどうかを判断するために、スキャンエンジンが入力ファイルにフィルタを適用する。フィルタに基づき入力ファイルが一致特性を有するということを判断したことに応答して、ファイルは既知のマルウェアの定義を使用してスキャンされる。スキャンエンジンは、入力ファイルがマルウェアを含むかどうかをスキャンに基づいて判断する。
中央サーバは、一組の既知のマルウェア定義に基づいてフィルタを生成し、このフィルタをクライアントに配信する。中央サーバはまた、既知のマルウェア定義のサブセットの、クライアントに配信すべき定義を決定する。一実施形態では、ファイルをスキャンするとき、スキャンエンジンは定義がローカルに格納されているかどうかを判断する。定義がローカルに格納されていない場合、クライアントはサーバから定義を要求し、サーバはクライアントに定義を送信する。
本明細書において説明される特徴と利点はすべてが包括的であるというわけではない。特に、添付図面、明細書、および特許請求範囲に照らして多くの追加機能と利点が当業者には明らかになる。また、明細書で使用される言語は読みやすさと教示的目的のために主として選択されたものであって、本発明の主題を定義または限定するために選択されたものでないということに留意されたい。
開示される実施形態は、詳細説明、添付の特許請求範囲および添付図面から容易に明らかとなる他の利点と特徴を有する。
その実例を添付図面で示すいくつかの実施形態を以下に詳細に参照する。実施実行可能なときはいつも添付図面では同様なまたは類似の参照番号が使用されることがあり、これらは同様なまたは類似の機能を指すことができるということに留意されたい。添付図面では例示目的のためだけの実施形態を示す。当業者は、本明細書で示される構造および方法の別の実施形態を本明細書に記載の原理から逸脱することなく採用し得るということを以下の説明から容易に認識するだろう。
図1は、一実施形態による計算環境100の上位ブロック図である。計算環境100は中央サーバ130とそのすべてがネットワーク102により接続されるクライアント104とを含む。説明を簡単にするために図1では3つのクライアント104だけを示す。計算環境100の実施形態はネットワーク102に接続されるさらに多くのクライアント104を有することができる。
一実施形態では、クライアント104は、ファイルをダウンロードし、インストールし、実行すること、および/またはネットワーク102を介しアクセス可能なウェブサイトをブラウズすること、を含む活動を実行するために1または複数のユーザにより使用されるコンピュータである。他の実施形態では、クライアント104は、携帯情報端末(PDA)、携帯電話、ページャ、テレビ「セットトップボックス」などのコンピュータ以外のネットワーク化可能装置である。クライアント104は、ウィルス、ワーム、トロイの木馬、スパイウェア等のマルウェアからの攻撃に脆弱であるかもしれなく、通常、マルウェアを検知、除去、および/または阻止するためにアンチウイルスソフトウェアを実行する。クライアント104として使用されるコンピュータシステムの実施形態については、図3を参照して以下にさらに詳細に説明する。
ネットワーク102は、クライアント104と中央サーバ130間の通信経路を表す。一実施形態では、ネットワーク102はインターネットである。ネットワーク102はまた、必ずしもインターネットの一部ではない専用通信リンクまたは私設通信リンクを利用することができる。一実施形態では、ネットワーク102は標準的な通信技術および/またはプロトコルを使用する。したがって、ネットワーク102は、Ethernet,802.11、統合サービスディジタル網(ISDN)、デジタル加入者線(DSL)、非同期転送モード(ATM)等の技術を使用したリンクを含むことができる。同様に、ネットワーク102上で使用されるネットワークプロトコルは、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ハイパーテキスト転送トランスポートプロトコル(HTTP)、簡易メール転送プロトコル(SMTP)、ファイル転送プロトコル(FTP)等を含むことができる。ネットワーク102上で交換されるデータは、ハイパーテキストマークアップ言語(HTML)、拡張可能マークアップ言語(XML)等を含む技術および/または形式を使用して表すことができる。さらに、リンクのすべてまたはいくつかは、セキュアソケットレイヤ(SSL)、セキュアHTTP、および/または仮想私設ネットワーク(VPN)などの従来の暗号技術を使用して暗号化することができる。別の実施形態では、エンティティは、上述のものの代わりにまたはそれに加えて、カスタムおよび/または専用データ通信技術を使用することができる。
中央サーバ130は、1つまたは複数の標準コンピュータシステム、例えば以下に説明する図3のコンピュータシステムを含むことができる。中央サーバ130は、クライアント104にアンチウイルスの更新を配信するためにネットワーク102を介しクライアント104と通信する。一実施形態では、中央サーバ130はインターネットを介しアクセス可能であり、第三者プロバイダにより維持される。あるいは、中央サーバ130はローカル企業ネットワークの管理者により維持されてもよい。例えば、企業内では、企業は、外部サービスに依存せずにすべてのクライアント104に更新を配信するためにそれ自身の中央サーバ130を維持することができる。
中央サーバ130は、更新したマルウェア定義をクライアント104に定期的に配信することができる。あるいは、クライアント104は、潜在的脅威が疑われかつ定義がローカルに入手可能でない場合、中央サーバ130に1つまたは複数の特定の定義を照会することができる。一実施形態では、中央サーバ130は全マルウェア定義を各クライアント104に配信するのではなくむしろ1つまたは複数のフィルタを配信する。フィルタは、マルウェア定義から生成され、スキャン中の入力ファイルが既知のマルウェア定義のものと一致する特性を有するかどうかを判断するために使用される。スキャン中、クライアント104はスキャン中のファイルにフィルタを適用し、フィルタは陽性検出か陰性検出のいずれかを出力する。一実施形態では、フィルタは、誤陽性検出を時に発生してもよいが誤陰性検出を決して発生しないように設計される。例えば、場合によっては、フィルタは、フィルタ処理中のファイル内にマルウェアが実際には存在しない場合、マルウェアの陽性検出を誤って出力してもよい。但し、フィルタは、マルウェアが存在する場合、フィルタを生成するために使用した一組の既知のマルウェア定義内にこのマルウェア定義が含まれる限り、陰性検出を決して誤って出力しない。フィルタは、全定義のデータより格段に少ないデータを含み、したがってクライアント104の記憶要件と帯域幅要件を低減するので有利である。
1つまたは複数のフィルタを生成し配信することに加えて、中央サーバ130はすべての既知マルウェアの一組の全定義を格納する。スキャン中、適用フィルタが潜在的なマルウェアを検知すると、クライアント104は中央サーバ130に照会して全定義を取り込むことができる。次に、クライアント104は、フィルタ結果が真陽性(すなわち、フィルタ処理されたファイルが実際にマルウェアを含む)であったか誤陽性(すなわち、フィルタ処理されたファイルが実際にはマルウェアを含まない)だったかどうかを判断するために全定義を使用してファイルをスキャンする。一実施形態では、中央サーバ130はまた、クライアント104に既知のマルウェア定義のサブセットの全定義を配信する。例えば、中央サーバは、最も深刻な脅威をもたらすと考えられるマルウェアの定義(例えば、マルウェアの最も頻度の高い30%の定義)を配信してもよい。このようにして、検知される可能性の最も高いマルウェアの全定義をローカルに取り込むことができ、ネットワークトラフィックを低減することができる。
図2には、中央サーバ130の例示的な実施形態を示す。中央サーバ130は、危険度評価モジュール202、配信サーバ204、定義生成モジュール206、フィルタ生成モジュール208、定義データベース210、およびフィルタデータベース212を含む。定義生成モジュール206は新しいマルウェアが発見されるたびに既知のマルウェアの全定義を生成する。一実施形態では、全定義は、マルウェア中に存在することがわかっている特徴的バイトパターンを含む1つまたは複数の署名を含む。あるいは、定義は、共通の振る舞いに基づきマルウェアを検知する発見的方法(heuristic)を含んでもよい。定義は通常、マルウェアのインスタンスを調べ解析するセキュリティ解析器からの入力に基づき生成される。生成されると、全定義が定義データベース210に格納される。
危険度評価モジュール202は、既知の各マルウェア脅威の相対危険度を評価し、クライアント104に配信すべき定義のサブセットを決定する。残りの定義は中央サーバ130にだけ格納される。評価モジュール202は、危険度の再評価を定期的に実行しそれに応じて更新された定義セットを配信することができる。一実施形態では、危険度評価モジュール202はクライアント装置104からデータを収集し、この情報を使用してマルウェアの相対危険度を判断する。例えば、危険度評価モジュール502は、特定の定義に対する、中央サーバ130により受信された照会の数を監視することができる。中央サーバ130が特定の定義について頻繁に照会された場合、危険度評価モジュール202はこの定義をクライアント104に配信すべきであると判断してよい。最も頻度の高い定義を配信することにより、中央サーバ130とクライアント104間のネットワークトラフィックを低減することができる。
フィルタ生成モジュール208は、マルウェア定義に基づき1つまたは複数のフィルタを生成し、これをフィルタデータベース212に格納する。一実施形態では、フィルタ生成モジュール208は、一組のマルウェア定義から1つまたは複数のBloomフィルタを生成する。Bloomフィルタは、要素が一組(例えば、一組の既知のマルウェアファイル)のメンバーかどうかを判断するために使用されるタイプのフィルタである。Bloomフィルタを生成するために、フィルタ生成モジュール208は空のビット値配列から始める。既知の各マルウェア定義毎に多くのハッシュを計算する(各ハッシュ関数の出力はビット配列内の位置にポインタを与える)。次に、ハッシュ関数により出力されたこれらの位置のそれぞれは1に設定され、一方、残りの位置は0に設定される。使用可能な多くのハッシュ関数の例は当業者によく知られている。
フィルタを適用するために、同一組のハッシュ関数を入力ファイルに適用し、アレイ内の位置に対する多くのポインタを返す。これらの位置のそれぞれが1のビット値を有する場合、フィルタは、入力ファイルが一組の既知のマルウェア定義内の定義に一致する特性を有するということを示す陽性検出を出力する。さらに、フィルタは、ハッシュ関数により出力された配列位置の組合せに基づき、一致したマルウェアの識別情報を決定することができる。位置のすべてが0である場合、入力ファイルはその組内に存在しない(すなわち陰性検出)。Bloomフィルタの特徴は、「誤陽性は僅かな割合で生じ得るがフィルタは誤陰性を決して返さない」ということである。
この種のフィルタはクライアント104に全定義を配信するよりむしろ非常に少ないデータ量(ビット配列値)だけを配信することにより実施することができるので有利である。いくつかの実施形態では、フィルタ生成モジュール208は、定義の様々なサブグループ用の複数のフィルタを生成することができる。フィルタの数を増加させることにより、より多くのフィルタデータをクライアント104に配信することを犠牲にして誤陽性の割合を低減することができる。
フィルタデータベース212に格納されたフィルタをクライアント104へ配信するために、配信サーバ204はネットワーク102と通信する。配信サーバ204はまた、定義データベース210に格納された定義のサブセットをクライアント104に配信することができる。例えば、配信サーバ204は、検知される可能性が最も高い定義の一部を配信してもよい。さらに、サーバ130がクライアント104により、ローカルに格納されていない特定の定義について照会された場合、配信サーバ204は要求された定義をクライアント104に提供することができる。
図3は、クライアント104または中央サーバ130として使用する典型的なコンピュータ300を示す上位ブロック図である。図示するのはバス304に接続されたプロセッサ302である。またバス304に接続されるのは、メモリ306、記憶装置308、キーボード310、グラフィックアダプタ312、ポインティング装置314、およびネットワークアダプタ316である。ディスプレイ318はグラフィックアダプタ312に接続される。
プロセッサ302は、INTEL x86互換CPUなどの任意の汎用プロセッサであってよい。記憶装置308は一実施形態ではハードディスク駆動装置であるが、書き込み可能コンパクトディスク(CD)またはDVDあるいは固体メモリ装置などのデータを格納することができる他の任意の装置であってもよい。メモリ306は、例えばファームウェア、読み取り専用メモリ(ROM)、不揮発性RAM(NVRAM)、および/またはRAMであってよく、プロセッサ302により使用される命令とデータを保持する。ポインティング装置314は、マウス、トラックボールまたは他の種類のポインティング装置であってよく、コンピュータ300にデータを入力するキーボード310と組み合わせて使用される。グラフィックアダプタ312は画像および他の情報をディスプレイ218上に表示する。ネットワークアダプタ316はコンピュータ300をネットワーク302に接続する。
当該技術分野で周知のように、コンピュータ300はコンピュータプログラムモジュールを実行するようにされている。本明細書で使用されるように、用語「モジュール」は規定機能を提供するためのコンピュータプログラム論理および/またはデータを指す。モジュールは、ハードウェア、ファームウェア、および/またはソフトウェアで実装されてよい。一実施形態では、モジュールは記憶装置308に格納され、メモリ306にロードされ、プロセッサ302により実行される。
図1のエンティティにより利用されるコンピュータシステム300の種類は、エンティティにより利用される実施形態と処理能力に依存して変わってよい。例えば、携帯電話であるクライアント104は通常、制限された処理能力と小型表示装置318とを有するが、ポインティング装置314を欠くかもしれない。中央サーバ130として使用されるコンピュータシステム300はより大きな処理能力を有するが、ディスプレイ318またはキーボード310を欠くかもしれない。
図4には、クライアント装置104のメモリ306と記憶装置308の例示的な実施形態を示す。メモリ306は記憶装置308に格納されたローカルファイル408をスキャンするためのスキャンエンジン402を含む。ここではメモリ306内に図示されるが、スキャンエンジン402は記憶装置308内に格納され、実行される場合にメモリ306にロードされてもよい。記憶装置308はまた、ローカルファイル408をスキャンするスキャンエンジン402により使用される1つまたは複数のフィルタ404および一組の全定義406を格納する。一実施形態では、フィルタ404は既知のマルウェアのすべてに基づくが、全定義406は既知のマルウェアのサブセットだけ(例えば、最も頻度の高い30%)に対し格納される。
図5には、スキャンエンジン402の例示的な実施形態を示す。スキャンエンジン402はフィルタ処理モジュール504、全検知モジュール506、およびサーバ照会モジュール508を含む。フィルタ処理モジュール504は、スキャン処理中、1つまたは複数の格納されたフィルタ404をローカルファイル408に適用する。フィルタ404を適用する工程は、ファイル408のハッシュを計算する(結果的に陽性検出または陰性検出のいずれかとなる)工程を含む。陽性検出となった場合、全検知モジュール506は全定義406を使用して、陽性検知されたファイル408をスキャンする。全定義406は、記憶装置308内でローカルに入手可能であってもよいし、あるいは中央サーバ130から取り込まれてもよい。サーバ照会モジュール508は、全定義406がローカルに発見されない場合、サーバ130からの全定義を要求するためにネットワーク102を介し中央サーバ130と通信する。このとき、全検知モジュール406は、悪意のあるソフトウェアが実際に検知されたかあるいはフィルタ404が誤陽性を生じたかを判断するために定義406を適用する。
図6は、マルウェアを検知するためのスキャンエンジン402により実行される処理の実施形態を示す。スキャンエンジン402のフィルタ処理モジュール504は、始めに、スキャン対象のファイル408にフィルタ404を適用し(602)、陽性検出となったかどうかを判断する(604)。陽性検出がない場合、スキャンエンジン402はファイルがマルウェアではないと判断する(618)。フィルタ404は誤陰性の可能性を削除するように設計されているのでこの判断は確実になされ得るということに留意されたい。フィルタ処理モジュール504が陽性検出を生じた場合、スキャンエンジン402は、定義がローカルに格納されているかどうかを判断する(608)ために、ローカル記憶308内の定義306を検索してマルウェアの全定義を求める。定義をローカルに発見しなかった場合、サーバ照会モジュール508は中央サーバ130に全定義を照会する(610)。定義が既にローカルに格納されている場合、照会工程610はスキップされる。このとき、全検知モジュール506は、一致があるかどうかを判断する(614)ためにファイルと全定義とを比較する(612)。一致が検知されなかった場合、マルウェアは発見されなかった(すなわち、フィルタ結果は誤陽性だった)。全定義が発見された場合、スキャンエンジン402はマルウェアが検知されたと判断する(616)。マルウェアが検知されると、スキャンエンジン402は、検知されたマルウェアを示す脅威報告をクライアント装置のユーザに提供することができる。さらに、スキャンエンジン402は、マルウェアを無効化または除去するために従来の技術をいくつでも使用してよい。
一実施形態では、誤陽性が検知されると、フィルタの将来のアプリケーションで再発生する誤陽性の可能性を低減するためにフィルタを修正することができる。例えば、スキャンエンジン402は、中央サーバ130に、誤陽性を生じたファイルを特定する報告を送信してもよい。誤陽性を解析することができ、この解析に基づき新しいフィルタを生成することができる。あるいは、サーバ130は、フィルタの将来のアプリケーションにおいて同様の検出を無視するようにクライアントに指示するメタデータをクライアント104に提供してもよい。
上記説明のいくつかの部分では、情報の操作のアルゴリズムおよびシンボル表現の観点から本発明の実施形態を説明した。これらのアルゴリズム的説明および表現は、その作業の本質を当業者に効果的に伝達するためにデータ処理分野の熟練者により一般的に用いられた。これらの操作は、機能的に、コンピュータ的に、または論理的に説明されたが、コンピュータプログラムまたはそれと等価な電気回路、マイクロコード等により実装されるものと理解される。さらに、一般性を失うことなくこれらの操作の配置をモジュールと呼ぶこともまたしばしば便利であるがわかった。説明された操作およびそれらの関連するモジュールはソフトウェア、ファームウェア、ハードウェアまたはその任意の組合せで具現されてよい。
本明細書で使用されるように、「一実施形態」または「実施形態」への参照は、その実施形態に関して説明された特定の要素、特徴、構造、または特性が少なくとも一実施形態に包含されることを意味する。本明細書内の様々な箇所における「一実施形態では」の語句の出現は、必ずしもすべてが同一実施形態を参照するとは限らない。
本明細書で使用されるように、用語「含む」、「備える」、「有する」またはそれらの他の任意の活用形は、非独占的包含をカバーするように意図されている。例えば、要素の一覧を含む処理、方法、物または装置は、必ずしもそれらの要素だけに限定されなく、明示的に掲載されない、あるいはこのような処理、方法、物または装置に固有の他の要素を含んでもよい。さらに、特に断らない限り、「または」と「あるいは」は排他的論理和ではなく包含的論理和を指す。例えば、条件AまたはBは、Aが真(すなわち存在する)かつBが偽(すなわち存在する)、Aが偽(すなわち存在しない)かつBが真(すなわち存在する)、AとB両方が真(すなわち存在する)の任意の1つにより満足される。
さらに、本明細書の実施形態の要素と部品を説明するために単数形不定冠詞を使用した。これは、単に便宜上、および本発明の一般的な意味を与えるためになされた。この単数記述は1つまたは少なくとも1つを含むように読むべきであり、単数形はまた、そうでないと意味することが明白でない限り複数も含む。
本開示を読むと、当業者は、システムのさらに別の構造および機能設計と、本明細書に開示された原理によるスパム検出および解析のための処理とを理解するだろう。したがって、特定の実施形態とアプリケーションが示され説明されたが、本発明は本明細書に開示された正確な構造と部品に限定されないということと、当業者にとって明らかな様々な修正、変更と変形は、添付の特許請求範囲で規定される実施形態の範囲から逸脱することなく、本明細書に開示された本発明の方法と装置の配置、操作、および詳細において成し得るということとを理解すべきである。
Claims (20)
- マルウェアを検知するためのコンピュータ実施方法であって、
入力ファイルが一組の既知マルウェア定義内のマルウェア定義のものと一致する特性を有するかどうかを検知するために入力ファイルにフィルタを適用する工程と、
フィルタを適用する工程に基づくマルウェア定義のものと一致する特性を有する入力ファイルに応答して、マルウェア定義を使用して入力ファイルをスキャンする工程と、
スキャン工程に基づき入力ファイルがマルウェアを含むかどうかを判断する工程と
を含む方法。 - フィルタを適用する工程に基づくマルウェア定義のものと一致する特性を有する入力ファイルに応答して、マルウェア定義がローカルに格納されているかどうかを判断する工程と、
ローカルに格納されていないマルウェア定義に応答して、マルウェア定義を取得するために中央サーバに照会する工程と
をさらに含む、請求項1に記載の方法。 - 一組の既知のマルウェア定義から既知のマルウェア定義のサブセットをクライアント装置により受信する工程と、
一組の既知のマルウェア定義からの複数のマルウェア定義に基づくフィルタを受信する工程と、
クライアント装置においてフィルタと既知のマルウェア定義のサブセットとをローカルに格納する工程と
をさらに含む、請求項1に記載の方法。 - ローカルに格納するために受信された既知のマルウェア定義のサブセットは、クライアント装置により最も検知される可能性が高いマルウェアのマルウェア定義を含む、請求項3に記載の方法。
- 中央サーバから、更新された一組の既知のマルウェアに基づき生成された更新フィルタを含む更新を受信する工程をさらに含む、請求項1に記載の方法。
- フィルタは、入力ファイルに対しハッシュ関数を計算するようにされたBloomフィルタを含み、
ハッシュ関数の出力は、入力ファイルが一組の既知のマルウェア定義のいずれかと一致する特性を有するかどうかを示す、請求項1に記載の方法。 - 入力ファイルにBloomフィルタを適用する工程は、マルウェアの誤陽性検出を生ずる可能性があるが、誤陰性検出を生ずることができない、請求項6に記載の方法。
- フィルタは、
各マルウェア定義毎にハッシュ関数を計算する工程と、
ハッシュ関数の出力に基づきフィルタを定義する工程と、
に従って生成される、請求項1に記載の方法。 - マルウェアを検知するためのコンピュータプログラム製品であって、
入力ファイルが一組の既知のマルウェア定義内のマルウェア定義のものと一致する特性を有するかどうかを検知するために入力ファイルにフィルタを適用し、
フィルタを適用する工程に基づくマルウェア定義のものと一致する特性を有する入力ファイルに応答して、マルウェア定義を使用して入力ファイルをスキャンし、そして
スキャン工程に基づき入力ファイルがマルウェアを含むかどうかを判断する
ためのコンピュータプログラムコードを含むコンピュータ可読記憶媒体を含む、コンピュータプログラム製品。 - コンピュータ可読記憶媒体はさらに、
フィルタを適用する工程に基づくマルウェア定義のものと一致する特性を有する入力ファイルに応答して、マルウェア定義がローカルに格納されるかどうかを判断し、そして
ローカルに格納されていないマルウェア定義に応答して、マルウェア定義を取得するために中央サーバに照会する
ためのコンピュータプログラムコードを含む、請求項9に記載のコンピュータプログラム製品。 - コンピュータ可読記憶媒体はさらに、
一組の既知のマルウェア定義から既知のマルウェア定義のサブセットをクライアント装置により受信し、
一組の既知のマルウェア定義内の複数のマルウェア定義に基づくフィルタを受信し、そして
クライアント装置においてフィルタと既知のマルウェア定義のサブセットとをローカルに格納する
ためのコンピュータプログラムコードを含む、請求項9に記載のコンピュータプログラム製品。 - ローカルに格納するために受信された既知のマルウェア定義のサブセットはクライアント装置により最も検知される可能性が高いマルウェアのマルウェア定義を含む、請求項11に記載のコンピュータプログラム製品。
- コンピュータ可読記憶媒体はさらに、
更新された一組の既知のマルウェアに基づき生成された更新フィルタを含む、中央サーバからの更新を受信する
ためのコンピュータプログラムコードを含む、請求項9に記載のコンピュータプログラム製品。 - フィルタは入力ファイルに対するハッシュ関数を計算するようにされたBloomフィルタを含み、
ハッシュ関数の出力は入力ファイルが一組の既知のマルウェア定義のいずれかと一致する特性を有するかどうかを示す、請求項9に記載のコンピュータプログラム製品。 - 入力ファイルにBloomフィルタを適用する工程は、マルウェアの誤陽性検出を生ずる可能性があるが、誤陰性検出を生ずることができない、請求項14に記載のコンピュータプログラム製品。
- フィルタは、
各マルウェア定義毎のハッシュ関数を計算する工程と、
ハッシュ関数の出力に基づきフィルタを定義する工程と
に従って生成される、請求項9に記載のコンピュータプログラム製品。 - クライアント装置にマルウェア定義を配信する方法であって、
一組の既知のマルウェア定義から、入力ファイルが一組の既知のマルウェア定義のものと一致する特性を有するかどうかを検知するフィルタを生成する工程と、
クライアント装置にフィルタを配信する工程と、
フィルタを生成するために使用される一組の既知のマルウェア定義からマルウェア定義のサブセットをフィルタと共にクライアント装置に配信する工程と
を含む方法。 - クライアントに配信された既知のマルウェア定義のサブセット内に存在しない定義についてのクライアント装置からの照会を受信する工程と、
照会に応答して、照会された定義をクライアント装置に送信する工程と
をさらに含む、請求項17に記載の方法。 - クライアント装置に配信すべき既知のマルウェア定義のサブセットであって、クライアント装置により検知される可能性が最も高いマルウェア定義を含むサブセットを判断するために一組の既知のマルウェア定義を評価する工程をさらに含む、請求項17に記載の方法。
- クライアント装置からのマルウェア定義の照会の頻度に基づきクライアント装置に配信すべき既知のマルウェア定義のサブセットを更新する工程、をさらに含む、請求項17に記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/124,458 | 2008-05-21 | ||
| US12/124,458 US8214977B2 (en) | 2008-05-21 | 2008-05-21 | Centralized scanner database with optimal definition distribution using network queries |
| PCT/US2009/044713 WO2009143272A1 (en) | 2008-05-21 | 2009-05-20 | Centralized scanner database with optimal definition distribution using network queries |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2011523482A true JP2011523482A (ja) | 2011-08-11 |
| JP2011523482A5 JP2011523482A5 (ja) | 2012-07-05 |
| JP5483033B2 JP5483033B2 (ja) | 2014-05-07 |
Family
ID=41009783
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011510688A Expired - Fee Related JP5483033B2 (ja) | 2008-05-21 | 2009-05-20 | ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8214977B2 (ja) |
| EP (1) | EP2286364A1 (ja) |
| JP (1) | JP5483033B2 (ja) |
| CN (1) | CN102037471B (ja) |
| WO (1) | WO2009143272A1 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20150106937A (ko) * | 2013-03-14 | 2015-09-22 | 인텔 코포레이션 | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 |
| JP2015535115A (ja) * | 2012-11-20 | 2015-12-07 | シマンテック コーポレーションSymantec Corporation | マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 |
Families Citing this family (74)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006101549A2 (en) | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
| US8312537B1 (en) * | 2008-03-28 | 2012-11-13 | Symantec Corporation | Reputation based identification of false positive malware detections |
| US20100077482A1 (en) * | 2008-09-23 | 2010-03-25 | Robert Edward Adams | Method and system for scanning electronic data for predetermined data patterns |
| US9043919B2 (en) | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
| US9235704B2 (en) | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
| US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
| US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
| US8087067B2 (en) | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
| US8051480B2 (en) | 2008-10-21 | 2011-11-01 | Lookout, Inc. | System and method for monitoring and analyzing multiple interfaces and multiple protocols |
| US8108933B2 (en) * | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
| US9367680B2 (en) | 2008-10-21 | 2016-06-14 | Lookout, Inc. | System and method for mobile communication device application advisement |
| US8060936B2 (en) | 2008-10-21 | 2011-11-15 | Lookout, Inc. | Security status and information display system |
| US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US8533844B2 (en) | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
| US7861004B2 (en) * | 2008-12-04 | 2010-12-28 | At&T Intellectual Property I, Lp | System and method for analyzing data traffic |
| US8813222B1 (en) * | 2009-01-21 | 2014-08-19 | Bitdefender IPR Management Ltd. | Collaborative malware scanning |
| US9042876B2 (en) | 2009-02-17 | 2015-05-26 | Lookout, Inc. | System and method for uploading location information based on device movement |
| US8467768B2 (en) | 2009-02-17 | 2013-06-18 | Lookout, Inc. | System and method for remotely securing or recovering a mobile device |
| US8855601B2 (en) | 2009-02-17 | 2014-10-07 | Lookout, Inc. | System and method for remotely-initiated audio communication |
| US9955352B2 (en) | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
| US8538815B2 (en) | 2009-02-17 | 2013-09-17 | Lookout, Inc. | System and method for mobile device replacement |
| US9208315B2 (en) * | 2009-03-17 | 2015-12-08 | Microsoft Corporation | Identification of telemetry data |
| US8285617B1 (en) * | 2009-06-15 | 2012-10-09 | Richard A Ross | Pub/Sub engine for automated processing of FIX messages |
| US8306988B1 (en) * | 2009-10-26 | 2012-11-06 | Mcafee, Inc. | System, method, and computer program product for segmenting a database based, at least in part, on a prevalence associated with known objects included in the database |
| US8397301B2 (en) | 2009-11-18 | 2013-03-12 | Lookout, Inc. | System and method for identifying and assessing vulnerabilities on a mobile communication device |
| WO2011142027A1 (ja) | 2010-05-14 | 2011-11-17 | トヨタ自動車株式会社 | イソプロパノールの製造方法及びイソプロパノール生産能を有する組換え酵母 |
| US9392005B2 (en) * | 2010-05-27 | 2016-07-12 | Samsung Sds Co., Ltd. | System and method for matching pattern |
| KR101274348B1 (ko) * | 2010-06-21 | 2013-07-30 | 삼성에스디에스 주식회사 | 안티멀웨어 디바이스, 서버 및 멀웨어 패턴 매칭 방법 |
| BR112013004345B1 (pt) * | 2010-08-25 | 2020-12-08 | Lookout, Inc. | sistema e método para evitar malware acoplado a um servidor |
| RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
| WO2012105883A1 (en) * | 2011-02-04 | 2012-08-09 | Telefonaktiebolaget L M Ericsson (Publ) | Method for malicious attacks monitoring |
| US10275526B2 (en) * | 2011-06-14 | 2019-04-30 | Sickweather Inc. | Social networking aggregator to track illnesses |
| US8738765B2 (en) | 2011-06-14 | 2014-05-27 | Lookout, Inc. | Mobile device DNS optimization |
| US8788881B2 (en) | 2011-08-17 | 2014-07-22 | Lookout, Inc. | System and method for mobile device push communications |
| KR101908944B1 (ko) * | 2011-12-13 | 2018-10-18 | 삼성전자주식회사 | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 |
| US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
| US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
| CN102694820B (zh) * | 2012-06-13 | 2015-01-21 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
| US9003529B2 (en) * | 2012-08-29 | 2015-04-07 | The Johns Hopkins University | Apparatus and method for identifying related code variants in binaries |
| US9111095B2 (en) | 2012-08-29 | 2015-08-18 | The Johns Hopkins University | Apparatus and method for identifying similarity via dynamic decimation of token sequence n-grams |
| US9767280B2 (en) * | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| US8655307B1 (en) | 2012-10-26 | 2014-02-18 | Lookout, Inc. | System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security |
| US9560069B1 (en) * | 2012-12-02 | 2017-01-31 | Symantec Corporation | Method and system for protection of messages in an electronic messaging system |
| US9208215B2 (en) | 2012-12-27 | 2015-12-08 | Lookout, Inc. | User classification based on data gathered from a computing device |
| US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| CN103093148A (zh) * | 2012-12-28 | 2013-05-08 | 广东欧珀移动通信有限公司 | 一种恶意广告的检测方法、系统及设备 |
| US8855599B2 (en) | 2012-12-31 | 2014-10-07 | Lookout, Inc. | Method and apparatus for auxiliary communications with mobile communications device |
| US9424409B2 (en) | 2013-01-10 | 2016-08-23 | Lookout, Inc. | Method and system for protecting privacy and enhancing security on an electronic device |
| US10649970B1 (en) | 2013-03-14 | 2020-05-12 | Invincea, Inc. | Methods and apparatus for detection of functionality |
| US9251261B2 (en) * | 2013-09-30 | 2016-02-02 | Symantec Corporation | Method and system for metadata driven testing of malware signatures |
| US8863284B1 (en) | 2013-10-10 | 2014-10-14 | Kaspersky Lab Zao | System and method for determining a security status of potentially malicious files |
| US8739287B1 (en) * | 2013-10-10 | 2014-05-27 | Kaspersky Lab Zao | Determining a security status of potentially malicious files |
| US9642008B2 (en) | 2013-10-25 | 2017-05-02 | Lookout, Inc. | System and method for creating and assigning a policy for a mobile communications device based on personal data |
| US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
| US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
| US9117081B2 (en) | 2013-12-20 | 2015-08-25 | Bitdefender IPR Management Ltd. | Strongly isolated malware scanning using secure virtual containers |
| US9940459B1 (en) | 2014-05-19 | 2018-04-10 | Invincea, Inc. | Methods and devices for detection of malware |
| CN104217164B (zh) * | 2014-09-11 | 2018-02-02 | 工业和信息化部电子第五研究所 | 智能移动终端恶意软件的检测方法与装置 |
| US9584541B1 (en) * | 2015-02-12 | 2017-02-28 | Lookingglass Cyber Solutions, Inc. | Cyber threat identification and analytics apparatuses, methods and systems |
| AU2016258533B2 (en) | 2015-05-01 | 2017-11-30 | Lookout, Inc. | Determining source of side-loaded software |
| US9690938B1 (en) | 2015-08-05 | 2017-06-27 | Invincea, Inc. | Methods and apparatus for machine learning based malware detection |
| CN105302851B (zh) * | 2015-09-10 | 2018-12-21 | 国家计算机网络与信息安全管理中心 | 一种基于文件序列化的自动机远程分发和初始化方法 |
| US10200391B2 (en) * | 2015-09-23 | 2019-02-05 | AVAST Software s.r.o. | Detection of malware in derived pattern space |
| US9424012B1 (en) | 2016-01-04 | 2016-08-23 | International Business Machines Corporation | Programmable code fingerprint |
| US9552278B1 (en) * | 2016-01-04 | 2017-01-24 | International Business Machines Corporation | Configurable code fingerprint |
| US10320821B2 (en) * | 2016-05-10 | 2019-06-11 | Allstate Insurance Company | Digital safety and account discovery |
| US10419455B2 (en) | 2016-05-10 | 2019-09-17 | Allstate Insurance Company | Cyber-security presence monitoring and assessment |
| US9906541B2 (en) * | 2016-05-10 | 2018-02-27 | Allstate Insurance Company | Digital safety and account discovery |
| AU2017281232B2 (en) | 2016-06-22 | 2020-02-13 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
| US10972495B2 (en) | 2016-08-02 | 2021-04-06 | Invincea, Inc. | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
| US10291633B1 (en) | 2016-10-18 | 2019-05-14 | The United States Of America As Represented By The Secretary Of The Army | Bandwidth conserving signature deployment with signature set and network security |
| US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
| CN113051568A (zh) * | 2021-03-29 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN113051567A (zh) * | 2021-03-29 | 2021-06-29 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
| JP2004120082A (ja) * | 2002-09-24 | 2004-04-15 | Yuji Atsui | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム |
| JP2004139177A (ja) * | 2002-10-15 | 2004-05-13 | Sony Corp | 情報検査方法及び装置、並びにプログラム |
| US20050086520A1 (en) * | 2003-08-14 | 2005-04-21 | Sarang Dharmapurikar | Method and apparatus for detecting predefined signatures in packet payload using bloom filters |
| US20070240218A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Detection System and Method for Mobile Platforms |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6347375B1 (en) * | 1998-07-08 | 2002-02-12 | Ontrack Data International, Inc | Apparatus and method for remote virus diagnosis and repair |
| US6976271B1 (en) * | 2000-01-06 | 2005-12-13 | International Business Machines Corporation | Method and system for retrieving an anti-virus signature from one or a plurality of virus-free certificate authorities |
| US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
| US7401359B2 (en) * | 2001-12-21 | 2008-07-15 | Mcafee, Inc. | Generating malware definition data for mobile computing devices |
| US7849063B2 (en) * | 2003-10-17 | 2010-12-07 | Yahoo! Inc. | Systems and methods for indexing content for fast and scalable retrieval |
| US20060191008A1 (en) * | 2004-11-30 | 2006-08-24 | Sensory Networks Inc. | Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering |
| BRPI0520723B1 (pt) * | 2005-11-30 | 2019-04-30 | Telecom Italia S.P.A | Método para verificar automaticamente atualizações de um aplicativo de software, terminal de comunicações sem fio adaptado para ser usado em uma rede de comunicações sem fio, e, rede de comunicações sem fio |
| US7523502B1 (en) * | 2006-09-21 | 2009-04-21 | Symantec Corporation | Distributed anti-malware |
| US7912808B2 (en) * | 2006-12-08 | 2011-03-22 | Pandya Ashish A | 100Gbps security and search architecture using programmable intelligent search memory that uses a power down mode |
| US20080155264A1 (en) * | 2006-12-20 | 2008-06-26 | Ross Brown | Anti-virus signature footprint |
| US8689330B2 (en) * | 2007-09-05 | 2014-04-01 | Yahoo! Inc. | Instant messaging malware protection |
| US8171554B2 (en) * | 2008-02-04 | 2012-05-01 | Yuval Elovici | System that provides early detection, alert, and response to electronic threats |
-
2008
- 2008-05-21 US US12/124,458 patent/US8214977B2/en active Active
-
2009
- 2009-05-20 JP JP2011510688A patent/JP5483033B2/ja not_active Expired - Fee Related
- 2009-05-20 WO PCT/US2009/044713 patent/WO2009143272A1/en active Application Filing
- 2009-05-20 EP EP09751500A patent/EP2286364A1/en not_active Ceased
- 2009-05-20 CN CN200980118697.XA patent/CN102037471B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
| JP2001515625A (ja) * | 1997-03-18 | 2001-09-18 | トレンド マイクロ,インコーポレーテッド | クライアント・サーバシステムにおけるウイルス検出 |
| JP2004120082A (ja) * | 2002-09-24 | 2004-04-15 | Yuji Atsui | 電子メール中継システム、方法及びプログラム並びにウィルス検知システム、方法及びプログラム |
| JP2004139177A (ja) * | 2002-10-15 | 2004-05-13 | Sony Corp | 情報検査方法及び装置、並びにプログラム |
| US20050086520A1 (en) * | 2003-08-14 | 2005-04-21 | Sarang Dharmapurikar | Method and apparatus for detecting predefined signatures in packet payload using bloom filters |
| US20070240218A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | Malware Detection System and Method for Mobile Platforms |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015535115A (ja) * | 2012-11-20 | 2015-12-07 | シマンテック コーポレーションSymantec Corporation | マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 |
| KR20150106937A (ko) * | 2013-03-14 | 2015-09-22 | 인텔 코포레이션 | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 |
| KR101700552B1 (ko) * | 2013-03-14 | 2017-01-26 | 인텔 코포레이션 | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009143272A1 (en) | 2009-11-26 |
| US20090293125A1 (en) | 2009-11-26 |
| EP2286364A1 (en) | 2011-02-23 |
| US8214977B2 (en) | 2012-07-10 |
| CN102037471B (zh) | 2014-03-12 |
| CN102037471A (zh) | 2011-04-27 |
| JP5483033B2 (ja) | 2014-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5483033B2 (ja) | ネットワーク照会を利用した最適定義配信による集中型スキャナデータベース | |
| US11068588B2 (en) | Detecting irregularities on a device | |
| US9246931B1 (en) | Communication-based reputation system | |
| US8239944B1 (en) | Reducing malware signature set size through server-side processing | |
| US20180307836A1 (en) | Efficient white listing of user-modifiable files | |
| US8756691B2 (en) | IP-based blocking of malware | |
| US8095964B1 (en) | Peer computer based threat detection | |
| JP5610451B2 (ja) | コンピュータファイルの評判スコアの個別有効期間 | |
| US8413235B1 (en) | Malware detection using file heritage data | |
| EP2310974B1 (en) | Intelligent hashes for centralized malware detection | |
| KR101693370B1 (ko) | 퍼지 화이트리스팅 안티-멀웨어 시스템 및 방법 | |
| US8850570B1 (en) | Filter-based identification of malicious websites | |
| US8266698B1 (en) | Using machine infection characteristics for behavior-based detection of malware | |
| US8561190B2 (en) | System and method of opportunistically protecting a computer from malware | |
| CN117171743A (zh) | 在内核模式下对隐写术的实时检测和防护 | |
| US8365283B1 (en) | Detecting mutating malware using fingerprints | |
| US20080201722A1 (en) | Method and System For Unsafe Content Tracking | |
| US8479289B1 (en) | Method and system for minimizing the effects of rogue security software | |
| JP2016525750A (ja) | 合法的オブジェクトの誤用の識別 | |
| US8613092B2 (en) | System, method and computer program product for updating a security system definition database based on prioritized instances of known unwanted data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101227 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110216 Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110125 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110414 |
|
| A072 | Dismissal of procedure [no reply to invitation to correct request for examination] |
Free format text: JAPANESE INTERMEDIATE CODE: A072 Effective date: 20110712 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110930 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120517 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120517 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130911 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130917 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131217 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140121 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5483033 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |