JP2012511847A - 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法 - Google Patents

好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法 Download PDF

Info

Publication number
JP2012511847A
JP2012511847A JP2011540003A JP2011540003A JP2012511847A JP 2012511847 A JP2012511847 A JP 2012511847A JP 2011540003 A JP2011540003 A JP 2011540003A JP 2011540003 A JP2011540003 A JP 2011540003A JP 2012511847 A JP2012511847 A JP 2012511847A
Authority
JP
Japan
Prior art keywords
encrypted communication
list
approved
unapproved
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011540003A
Other languages
English (en)
Other versions
JP5497060B2 (ja
Inventor
オールマン、ギュンター、ダニエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2012511847A publication Critical patent/JP2012511847A/ja
Application granted granted Critical
Publication of JP5497060B2 publication Critical patent/JP5497060B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法を提供する。
【解決手段】コンピュータ・インフラストラクチャ内に実装され、マルウェアまたは未承認ソフトウェア通信を識別する方法であって、本方法は、暗号化通信を検出するステップ、および暗号化通信の識別データを判断するステップを含む。さらに本方法は、検出された暗号化通信の比較であって、識別データを使用して、暗号化通信の承認済みアプリケーションのリストと、識別データを使用して、暗号化通信の承認済み宛先のリストと、のうちの少なくとも1つとの該比較を行うステップを含む。さらに、本方法は、比較に基づき、検出された暗号化通信が、暗号化通信の承認済みアプリケーションのリスト上にない未承認アプリケーションからであること、および検出された暗号化通信が、承認済み宛先のリスト上にない未承認宛先に対するものであることのうちの少なくとも1つであることを判断するのに応答して、検出された暗号化通信を未承認暗号化通信として識別するステップを含む。
【選択図】図1

Description

本発明は、全般的に、悪意のあるアクティビティを識別することに関し、特に、暗号化データ通信を識別することによって好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法に関する。
悪意のある、およびソフトウェアという語からの混成語であるマルウェアは、所有者に説明をしてその同意を得ることなくコンピュータ・システムに侵入するよう、または損害を与えるよう設計されたソフトウェアである。この表現は、敵意を持った、侵入する、もしくは迷惑な、様々な形のソフトウェアまたはプログラム・コードを指すためにコンピュータの専門家により使用されている一般用語である。多数のコンピュータ・ユーザは、この用語を知らず、本当のウイルスを含めすべてのタイプのマルウェアに対し「コンピュータ・ウイルス」を使用することが多い。
ソフトウェアは、特定の特徴ではなく、認識されている作成者の意図に基づきマルウェアと見なされる。マルウェアは、コンピュータ・ウイルス、ワーム、トロイの木馬、多くのルートキット、スパイウェア、不正アドウェア、クライムウェア、およびその他、悪意のある、および好ましくないソフトウェアを含む。マルウェアは、欠陥のあるソフトウェア、すなわち正当な目的はあるが有害なバグを含んでいるソフトウェアとは別である。
最初のインターネット・ワームおよびいくつかのMS−DOSウイルスを含め、多数の初期の感染プログラムは、一般に、コンピュータに重大な損害を招くのではなく、無害であるよう、または単に迷惑なものであるよう意図された、実験または悪ふざけとして書かれていた。しかし、広く行き渡ったブロードバンド・インターネット・アクセスの増加以来、悪意のあるソフトウェアは、事実上適法なものでも(強制広告)罪になるものでも、利益を動機として設計されるようになっている。例えば、2003年以来、蔓延したウイルスおよびワームの大部分は闇取引利用のためにユーザのコンピュータを制御するよう設計されている。感染した「ゾンビ・コンピュータ」は、スパム・メールを送信するため、禁止データをホストするため、または恐喝の一種として分散型サービス妨害攻撃に関与するために使用される。
マルウェアの完全に利益目的のもう1つのカテゴリが、例えばユーザのウェブ・ブラウジングの監視、未承諾広告の表示、またはスパイウェア作成者へのアフィリエイト・マーケティング収入のリダイレクトを行うよう設計されたプログラムなどのスパイウェアにおいて現れた。スパイウェア・プログラムは、ウイルスのようには広がらない。一般に、セキュリティ・ホールを悪用してインストールされるか、またはピア・ツー・ピア・アプリケーションなど、ユーザによりインストールされるソフトウェアとともにパッケージ化される。感染したマシンが使用できなくなり、攻撃の目的を無にするほど多くのプロセスを、スパイウェアおよび広告プログラムがインストールすることは珍しいことではない。
もっともよく知られたタイプのマルウェア、ウイルスおよびワームは、ほかのいかなる特定の性質よりも、その広がり方で知られている。コンピュータ・ウイルスという用語は、何らかの実行可能ソフトウェアに感染し、当該ソフトウェアに、実行時ほかの実行可能ソフトウェアへウイルスを広めさせるプログラムに対して使用される。ウイルスはさらに、そのほか悪意のあることが多いアクションを実行するペイロードを含むこともある。一方、ワームは、ほかのコンピュータに感染するようネットワーク上でそれ自体を積極的に伝達するプログラムである。ワームもペイロードを運ぶこともある。
1980年代および1990年代の間、悪意のあるプログラムは、荒らしまたは悪ふざけの一種として作成されるということが、通常は当然のことであった(一部のウイルスは、違法のソフトウェア交換をユーザにやめさせるためのみに広められたが)。最近では、より多くの割合の悪意のあるプログラムが、金銭または利益上の動機を念頭に置いて書かれている。これは、感染したシステムの制御を収益化する、つまりその制御を収入源に変えることを、マルウェアの作者が選択したと見なすことができる。
2003年あたりから、回復に費やされる時間および資金の観点からもっとも犠牲の大きい形のマルウェアは、スパイウェアとして知られる広いカテゴリのものとなっている。スパイウェア・プログラムは、コンピュータ・ユーザについての情報を収集する目的、ユーザにポップアップ広告を表示する目的、またはスパイウェア作成者の金銭的利益のためにウェブ・ブラウザの挙動を変更する目的で利益のために生産される。例えば、一部のスパイウェア・プログラムは、検索エンジンの結果を有料広告にリダイレクトする。メディアに「スティールウェア(stealware)」と呼ばれることの多いほかのスパイウェア・プログラムは、本来の受取人ではなくスパイウェア作成者に収入が行くようアフィリエイト・マーケティング・コードを上書きする。
攻撃者は、多数の感染コンピュータのアクティビティを統合するために、ボットネットとして知られる連携システムを使用してきた。ボットネットのシナリオでは、マルウェアまたは悪意のあるボット(malbot)がインターネット・リレー・チャットのチャネルまたはその他のチャット・システムにログインする。攻撃者はその結果、感染したシステムすべてに対し同時に命令することができる。ボットネットはさらに、アップグレードされたマルウェアを感染システムにプッシュし、アンチウイルス・ソフトウェアまたはその他のセキュリティ対策への耐性を保たせるためにも使用することができる。
マルウェア攻撃がより頻繁になるにつれて、ウイルスおよびスパイウェア保護からマルウェア保護へと注目が移り始め、明確にマルウェアに対抗するためのプログラムが開発されてきた。現在のアンチマルウェア・プログラムは、2つの方法でマルウェアに対抗することができる。第1に、アンチマルウェア・プログラムは、ユーザのコンピュータ上のマルウェア・ソフトウェアのインストールに対するリアルタイムの保護を提供することができる。このタイプのスパイウェア保護は、アンチマルウェア・ソフトウェアがマルウェア・ソフトウェアの着信してくるネットワーク・データをすべてスキャンし、遭遇するあらゆる脅威をブロックするという点において、アンチウイルス保護のものと同じ方法で機能する。第2に、アンチマルウェア・ソフトウェア・プログラムは、すでにユーザのコンピュータ上にインストールされているマルウェア・ソフトウェアの検出および除去のためのみに使用することも可能である。このタイプのマルウェア保護は通常、使用するのがはるかに容易であり、人気がより高い。このタイプのアンチマルウェア・ソフトウェアは、Windows(R)レジストリのコンテンツ、オペレーティング・システム・ファイル、およびコンピュータにインストールされているプログラムをスキャンし、発見されたあらゆる脅威のリストを提供して、ユーザが何を削除したいか、および何を保持したいかを選択すること、またはこのリストと既知のマルウェア・コンポーネントのリストとを比較して、一致するファイルを除去することができるようにする。
しかし、企業内の現代のマルウェア、およびその他の未承認ソフトウェア(unauthorized software)は、コマンドおよび制御、またはピア・ツー・ピア・ネットワーク・アプリケーション(例えばSkype(R)、ファイル共有など)の分散ノードの識別に関し、典型的には暗号化通信に頼る。(Skypeは、米国、その他の国々、または両方における、Skype Limitedまたはその他の関連会社の登録商標である。)暗号法において、暗号化は、情報(平文と呼ばれる)を、アルゴリズム(サイファと呼ばれる)を使用して変換し、通常は鍵と呼ばれる特別な情報を有する者以外は誰にも読めなくするプロセスである。このプロセスの結果は暗号化情報である(暗号法では暗号文と呼ばれる)。多くの文脈において、暗号化という語は、暗号化情報を再び読み取り可能にする(すなわち暗号化されていない状態にする)逆のプロセスである復号も暗に指す(例えば、「暗号化用ソフトウェア」は通常、復号も実行できる)。
こうしたマルウェアおよびその他の未承認ソフトウェア通信は暗号化されるため、典型的には、伝達される実際のデータを調査することは可能ではない。したがって、こうしたプロトコルの中でデータの署名照合に焦点を合わせるマルウェア検出の現在の技術は、マルウェアが暗号化通信を利用する場合、保護の観点から不十分である。
したがって、マルウェアは、例えばコンピュータ・ユーザまたはサービス・プロバイダ、あるいはその両方にとって進行中の問題であり続けている。それ故、当該技術分野において、上文に記載した欠陥および制約を克服する必要がある。
本発明の第1の側面において、マルウェアまたは未承認ソフトウェア通信を識別する方法が、コンピュータ・インフラストラクチャ内に実装される。本方法は、暗号化通信を検出するステップと、暗号化通信の識別データを判断するステップとを含む。さらに、本方法は、検出された暗号化通信の比較であって、識別データを使用して、暗号化通信の承認済みアプリケーションのリストと、識別データを使用して、暗号化通信の承認済み宛先のリストと、のうちの少なくとも1つとの該比較を行うステップを含む。さらに本方法は、比較に基づき、検出された暗号化通信が、暗号化通信の承認済みアプリケーションのリスト上にない未承認アプリケーションからであること、および検出された暗号化通信が、承認済み宛先のリスト上にない未承認宛先に対するものであることのうちの少なくとも1つであることを判断するのに応答して、検出された暗号化通信を未承認暗号化通信(unauthorized encrypted communication)として識別するステップを含む。
本発明の別の側面において、コンピュータ・システムは、記憶装置、メモリおよび中央処理ユニットを含む。さらに、コンピュータ・システムは、暗号化通信を検出する第1のプログラム命令と、暗号化通信の識別データを判断する第2のプログラム命令とを含む。さらに、コンピュータ・システムは、暗号化通信と、暗号化通信の承認済みアプリケーションのリストおよび暗号化通信の承認済み宛先のリストのうちの少なくとも1つとを、識別データを使用して比較する第3のプログラム命令を含む。さらに、コンピュータ・システムは、暗号化通信が、暗号化通信と、暗号化通信の承認済みアプリケーションのリストとの比較に基づき、暗号化通信の承認済みアプリケーションのリスト上にない未承認アプリケーションからであること、暗号化通信と、暗号化通信の承認済み宛先のリストとの比較に基づき、暗号化通信の承認済み宛先のリスト上にない未承認宛先に対するものであることのうちの少なくとも1つであることを判断するのに応答して、暗号化通信を未承認暗号化通信として識別する第4のプログラム命令を含む。さらに、第1、第2、第3、および第4プログラム命令は、メモリを用いて中央処理ユニットにより実行されるよう、記憶装置内に記憶される。
本発明のさらなる側面は、可読プログラム・コードがコンピュータ使用可能記憶媒体内に具現化されているコンピュータ使用可能記憶媒体を含むコンピュータ・プログラム製品が提供される。コンピュータ・プログラム製品は、暗号化通信の承認済みアプリケーションのリストと、暗号化通信の承認済み宛先のリストとのうちの少なくとも1つを受信するよう動作可能な少なくとも1つのコンポーネントを含む。さらに、コンピュータ・インフラストラクチャは、暗号化通信の識別データを判断するよう動作可能である。さらに、コンピュータ・インフラストラクチャは、検出された暗号化通信と、暗号化通信の承認済みアプリケーションのリストおよび暗号化通信の承認済み宛先のリストのうちの少なくとも1つとを、識別データを使用して比較するよう動作可能である。さらにコンピュータ・インフラストラクチャは、検出された暗号化通信が、比較に基づき、暗号化通信の承認済みアプリケーションのリスト上にない未承認アプリケーションからであること、暗号化通信の承認済み宛先のリスト上にない未承認宛先に対するものであることのうちの少なくとも1つであることを判断するのに応答して、検出された暗号化通信を、未承認暗号化通信として識別して、検出された暗号化通信をブロックするよう動作可能である。さらに、コンピュータ・インフラストラクチャは、検出された暗号化通信が、比較に基づき、暗号化通信の承認済みアプリケーションのリスト上にある承認済みアプリケーションからであることと、比較に基づき、暗号化通信の承認済み宛先のリスト上にある承認済み宛先に対するものであることとを判断するのに応答して、検出された暗号化通信を承認済み暗号化通信(authorized encrypted communication)として識別して、検出された暗号化通信を許可するよう動作可能である。
本発明の例示の実施形態の非限定的な例として言及される複数の図面を参照して、本発明について次に続く詳細な説明において記載する。
本発明によるステップを実装する実例となる環境を示す。 本発明の各側面による、暗号化データ通信の識別による好ましくないソフトウェアまたは悪意のあるソフトウェアの分類の例示フローを示す。 本発明の各側面による、暗号化データ通信の識別による好ましくないソフトウェアまたは悪意のあるソフトウェアの分類の例示フローを示す。
本発明は、全般的に、悪意のあるアクティビティを識別することに関し、特に、暗号化データ通信を識別することによって好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法に関する。企業内(例えばデスクトップ・レベルまたはサーバ・レベル、あるいはその両方)のマルウェアおよびその他の未承認ソフトウェアは、通常、コマンドおよび制御、またはピア・ツー・ピア・ネットワーク・アプリケーションの分散ノードの識別に関し、暗号化通信に頼る。すなわち、検出されずにいるために、マルウェアは暗号化を使用してその通信のコンテンツを隠す。こうした暗号化通信は、どのポート上でも、いつでも、さらにどのような時間の長さでも発生する可能性がある。
一方、実際に暗号化された形で通信する、企業内に展開されている承認済みアプリケーションは、一般に組織には既知である。すなわち、組織は、暗号化通信の承認済みアプリケーション、および例えば当該の承認済みアプリケーションが利用する暗号化通信のタイプ(例えば、ハッシュまたはRSA暗号化、あるいはその両方)、その通信が送受信されるソースおよび宛先ポート番号、または通信の発生元もしくは送信元であるインターネット・プロトコル(IP:internet protocol)アドレス、あるいはそのいずれかの組み合わせなどの暗号化通信の識別データを知っている。
本発明の各側面によれば、任意の暗号化通信を動的に識別して、当該暗号化通信と、既知のアプリケーションまたは承認済みアプリケーションとを関連付けることによって、マルウェアおよび未承認ソフトウェア展開に関連する好ましくない暗号化通信がブロックされるとよい。任意の暗号化通信が、既知または承認済みアプリケーションに関連付けされなければ、その結果本発明は、暗号化通信を、マルウェアまたは未承認ソフトウェア、あるいはその両方に関連すると識別するよう動作可能である。さらに、本発明は、暗号化通信を、マルウェアまたは未承認ソフトウェア、あるいはその両方に関連するものとしてブロックするよう動作可能である。
本発明を実装することによって、あらゆる暗号化通信を動的に識別し、当該の暗号化通信と、既知のアプリケーションまたは承認済みアプリケーションとを関連付けることにより、マルウェアおよび未承認ソフトウェア展開に関連する好ましくない暗号化通信をブロックすることが可能である。さらに、本発明を実装することによって、マルウェアまたは未承認ソフトウェア、あるいはその両方に、システムが感染しにくくなるとよい。本発明を実装することによってさらに、マルウェアまたは未承認ソフトウェア、あるいはその両方の展開に対する対処において、資源支出の削減が可能になる。
当業者であれば当然のことであるが、本発明は、システム、方法またはコンピュータ・プログラム製品として具現化されるとよい。したがって、本発明は、完全にハードウェアの実施形態、完全にソフトウェアの実施形態(ファームウェア、常駐ソフトウェア、マイクロコードなどを含む)、または本願明細書においてすべて概して「回路」、「モジュール」または「システム」と呼ばれるとよい、ソフトウェアおよびハードウェアの側面を兼ね備えた実施形態の形態をとるとよい。さらに、本発明は、任意の有形の表現媒体に具現化されたコンピュータ使用可能プログラム・コードを有する該媒体において具現化されたコンピュータ・プログラム製品の形態をとることもできる。
1つ以上のコンピュータ使用可能またはコンピュータ可読媒体(単数または複数)の任意の組み合わせが利用され得る。コンピュータ使用可能またはコンピュータ可読媒体は、例えば、限定はされないが、電子、磁気、光学、電磁気、赤外線、または半導体システム、装置、デバイス、または伝播媒体とすることもできる。コンピュータ可読媒体のより具体的な例(包括的ではないリスト)には、次があると考えられる:
1つ以上のワイヤを有する電気的接続
ポータブル・コンピュータ・ディスケット
ハード・ディスク
ランダム・アクセス・メモリ(RAM:random access memory)
読み取り専用メモリ(ROM:read−only memory)
消去可能プログラム可能読み取り専用メモリ(EPROM(erasable programmable read−only memory)またはフラッシュ・メモリ)
光ファイバ
ポータブル・コンパクト・ディスク読み取り専用メモリ(CDROM:compact disc read−only memory)
光学記憶デバイス
インターネットもしくはイントラネットをサポートするものなどの伝送媒体、または
磁気記憶デバイス、あるいはそのいずれかの組み合わせ。
この文書の文脈では、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置またはデバイスによって、またはそれに関連して使用されるプログラムを含むこと、記憶すること、伝達すること、伝播させること、または搬送することができる任意の媒体とするとよい。コンピュータ使用可能媒体は、ベースバンドに、または搬送波の一部として、伝播されるデータ信号により具現化されたコンピュータ使用可能プログラム・コードを備える、伝播データ信号を含み得る。コンピュータ使用可能プログラム・コードは、次に限定はされないが、無線、有線、光ファイバ・ケーブル、RFなど、任意の適切な媒体を使用して伝送されるとよい。
本発明の動作を実行するコンピュータ・プログラム・コードは、Java(R)、Smalltalk(R)、C++または同様のものなどのオブジェクト指向プログラミング言語、および「C」プログラミング言語もしくは同様のプログラミング言語などの従来の手続きプログラミング言語を含む、1つ以上のプログラミング言語の任意の組み合わせで書かれるとよい。プログラム・コードは、スタンド・アロン・ソフトウェア・パッケージとして、完全にユーザのコンピュータ上で実行されること、部分的にユーザのコンピュータ上で実行されること、または部分的にユーザのコンピュータ上で、かつ部分的にリモート・コンピュータ上で実行されること、または完全にリモート・コンピュータもしくはサーバ上で実行されることができる。後者のシナリオでは、リモート・コンピュータは、任意のタイプのネットワークを介してユーザのコンピュータに接続されるとよい。これは例えば、ローカル・エリア・ネットワーク(LAN:local area network)もしくは広域ネットワーク(WAN:wide area network)を含むこともでき、または、接続は外部コンピュータに対するものであってもよい(例えばインターネット・サービス・プロバイダを使用しインターネットを介して)。
図1は、本発明に従いプロセスを管理する実例となる環境10を示す。この点で、環境10は、本願明細書に記載されたプロセスを実行することができるサーバまたはその他のコンピューティング・システム12を含む。具体的には、サーバ12はコンピューティング・デバイス14を含む。コンピューティング・デバイス14は、サード・パーティ・サービス・プロバイダのネットワーク・インフラストラクチャまたはコンピューティング・デバイス(そのいずれかが概して図1に表されている)にあるものとすることができる。
コンピューティング・デバイス14は、暗号化通信検出(ECD:encrypted communication detection)ツール30を含む。ECDツール30は、例えば本願明細書に記載されているプロセスなど、暗号化通信の承認済みアプリケーションのリストを受信すること、暗号化通信を検出すること、検出された暗号化通信と、暗号化通信の承認済みアプリケーションのリストとを比較すること、検出された暗号化通信が暗号化通信の承認済みアプリケーションのリスト上にあるかどうかを判断すること、検出された暗号化通信が暗号化通信の承認済みアプリケーションのリスト上にあれば、検出された暗号化通信を許可すること、および検出された暗号化通信が暗号化通信の承認済みアプリケーションのリスト上になければ、検出された暗号化通信をブロックすることを行うよう動作可能である。ECDツール30は、別々または結合した複数モジュールとしてメモリ22Aに記憶される、プログラム制御44内の1つ以上のプログラム・コードとして実装することができる。
コンピューティング・デバイス14はさらに、プロセッサ20、メモリ22A、I/Oインターフェース24、およびバス26を含む。メモリ22Aは、プログラム・コードを実際に実行する間に用いられるローカル・メモリ、大容量記憶装置、および、実行中にコードが大容量記憶装置から読み出されなければならない回数を減らすために少なくとも一部のプログラム・コードの一時的な記憶装置となるキャッシュ・メモリを含むことができる。さらに、コンピューティング・デバイスは、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、およびCPUを含む。
コンピューティング・デバイス14は、外部I/Oデバイス/リソース28および記憶システム22Bと通信している。例えば、I/Oデバイス28は、個人がコンピューティング・デバイス14と対話できるようにする任意のデバイス、またはコンピューティング・デバイス14が任意のタイプの通信リンクを使用して1つ以上のほかのコンピューティング・デバイスと通信できるようにする任意のデバイスを含むことができる。外部I/Oデバイス/リソース28は、例えばハンドヘルド・デバイス、PDA、ハンドセット、キーボードなどとするとよい。
一般に、プロセッサ20は、メモリ22Aまたは記憶システム22Bあるいはその両方に記憶可能なコンピュータ・プログラム・コード(例えばプログラム制御44)を実行する。さらに、本発明の各側面により、プログラム・コードを有するプログラム制御44がECDツール30を制御する。コンピュータ・プログラム・コードを実行している間、プロセッサ20は、メモリ22A、記憶システム22B、またはI/Oインターフェース24、あるいはそのいずれかの組み合わせからのデータの読み出し、またはそれに対するデータの書き込み、あるいはその両方を行うことができる。プログラム・コードは、本発明のプロセスを実行する。バス26は、コンピューティング・デバイス14内の各コンポーネント間の通信リンクを提供する。
コンピューティング・デバイス14は、任意の汎用コンピューティング製品上にインストールされたコンピュータ・プログラム・コードを実行できる任意の汎用コンピューティング製品を含むことができる(例えば、パーソナル・コンピュータ、サーバなど)。なお、当然のことながら、コンピューティング・デバイス14は、本願明細書に記載されたプロセスを実行できる考えられる様々な等価なコンピューティング・デバイスを代表するのみである。この点で、各実施形態において、コンピューティング・デバイス14により提供される機能性は、汎用または専用、あるいはその両方のハードウェアまたはコンピュータ・プログラム・コード、あるいはその両方の任意の組み合わせを含むコンピューティング製品によって実装されることができる。各実施形態において、プログラム・コードおよびハードウェアは、それぞれ標準のプログラミングおよびエンジニアリング技術を使用して作成することができる。
同じく、コンピューティング・インフラストラクチャ12は、本発明を実装する様々なタイプのコンピュータ・インフラストラクチャの実例にすぎない。例えば、各実施形態において、サーバ12は、本願明細書に記載されるプロセスを実行するために、ネットワーク、共有メモリ、または同様のものなどの任意のタイプの通信リンク上で通信する2つ以上のコンピューティング・デバイス(例えばサーバ・クラスタ)を含む。さらに、本願明細書に記載されるプロセスを実行する間、サーバ12上の1つ以上のコンピューティング・デバイスが、任意のタイプの通信リンクを使用してサーバ12の外部の1つ以上のほかのコンピューティング・デバイスと通信することができる。通信リンクは、有線または無線あるいはその両方のリンクの任意の組み合わせ、1つ以上のタイプのネットワークの任意の組み合わせ(例えば、インターネット、広域ネットワーク、ローカル・エリア・ネットワーク、仮想プライベート・ネットワークなど)を含むこと、または伝送技術およびプロトコルの任意の組み合わせを利用すること、あるいはその両方が可能である。
各実施形態において、ソリューション・インテグレータなどのサービス・プロバイダは、本願明細書に記載されるプロセスを実行することを提案することができるであろう。この場合、サービス・プロバイダは、本発明のプロセス・ステップを実行するコンピュータ・インフラストラクチャを、1以上の顧客に対して作成、保持、展開、サポートなどすることができる。こうした顧客は、例えば技術を使用する任意の企業とするとよい。見返りとして、サービス・プロバイダは、契約もしくは手数料の取り決めあるいはその両方に従って顧客(単数または複数)から支払いを受け取ること、または1つ以上のサード・パーティに対する広告コンテンツの販売からの支払いを受け取ること、あるいはその両方ができる。
所与の組織内で、例えばネットワーク管理者またはシステム管理者による定義通りに、規定のアプリケーションのみが(着信または発信する)通信を暗号化することを許可されているとよい。本発明の各側面によれば、暗号化通信検出(ECD)ツール30は、暗号化接続および通信を検出し、検出された暗号化通信と、(着信および発信する)通信を暗号化することを許可されている規定のアプリケーションのリストとを比較する。ECDツール30が、規定のアプリケーションのリスト上にないアプリケーションの暗号化通信(すなわち未承認暗号化通信)を検出すると、ECDツール30は、未承認暗号化通信を識別して、各実施形態において、未承認暗号化通信を許可しないよう、またはブロックするよう動作可能である。
当業者であれば当然のことであるが、本発明のさらなる側面によれば、ECDツール30は、ネットワーク上でパケットが観測されるときにネットワーク通信が暗号化されているかどうかを識別するためのいくつかの数学的および分析的方法のうちの1つ以上を利用するとよい。数ある識別データの中でも特に、例えばソース、宛先、ならびに当該暗号化通信が生じているソースおよび宛先ポートの詳細などの識別データのカタログを作ることによって、ECDツール30は、承認済み暗号化アプリケーション通信および信頼されているネットワークと、未知の未承認マルウェア・アプリケーション通信の可能性があるものとを区別するよう動作可能である。
例えば、ECDツール30は、数ある識別データの中でも特に、例えば検出された通信の暗号化のタイプ(例えば数あるタイプの暗号化の中でも特にハッシュまたはRSA、あるいはその両方)、検出された通信が生じているポート番号(例えばソースおよび宛先ポート番号)、または宛先ホストの識別あるいはそのいずれかの組み合わせなどの識別データを識別するよう動作可能である。さらに、各実施形態において、アプリケーションは、例えば、特定のポート番号を介するセキュアHTTPS接続を開くこともあり、これが暗号化のタイプの検出を妨げることもある。したがって、各実施形態において本発明は、検出された通信が生じているポート番号(例えばソースおよび宛先ポート番号)または宛先ホストの識別、あるいはその両方を利用して、ECDツール30が未承認暗号化通信を識別することを意図している。
各実施形態において、ECDツール30は、例えば検出された暗号化通信の暗号化のタイプ、当該暗号化通信が生じているソースおよび宛先ポート、または宛先ホスト、あるいはそのいずれかの組み合わせのカタログに登録される詳細などの識別データを、例えば図1の記憶システム22Bなどのデータベースに記憶するとよい。各実施形態において、このデータベースは、例えば最初にネットワーク管理者またはシステム管理者などからECDツール30によって受信された、承認済み暗号化通信の、カタログに登録されている詳細を含む。さらに、データベースは、ECDツール30により検出された、承認済み暗号化通信として識別される検出された各暗号化通信に関する、識別データ(カタログに登録される情報など)を含むとよい。
本発明の各側面によれば、ECDツール30は、検出された暗号化通信と、例えば図1の記憶システム22Bなどのデータベースに含まれている承認済み暗号化通信のリストとを、識別データを使用して比較するよう動作可能である。各実施形態において、検出された暗号化通信と、承認済み暗号化通信のリストとの比較を実行する間、ECDツール30は、検出された暗号化タイプ、検出された暗号化通信のソースもしくは宛先あるいはその両方、検出された暗号化通信のソースもしくは宛先ポート番号あるいはその両方、または検出された宛先ホスト、あるいはそのいずれかの組み合わせを識別データとして利用するとよい。
暗号化された未承認アプリケーションの通信が観測されると、ECDツール30は、未承認通信を識別し、各実施形態において、未承認暗号化通信を拒否するか、またはブロックする。さらに、各実施形態において、未承認暗号化通信を検出すると、未承認暗号化通信を自動的に拒否する代わりに、ECDツール30はユーザに対する警告をトリガしてもよい(例えば、ネットワークもしくはサーバ管理者、またはデスクトップ・ユーザ、あるいはその両方に対して)。ユーザは次に、例えば、検出された未承認暗号化通信を拒否する、または検出された暗号化通信を送信しているアプリケーションを承認済みとして識別する(例えば、暗号化通信の承認済みアプリケーションのリストに対して、検出された暗号化通信を送信しているアプリケーションを追加)など、検出された未承認暗号化通信に対する適切な一連のアクションを判断するとよい。
さらに、各実施形態において、暗号化接続を許可することが既知ではないアプリケーションからの暗号化接続を拒否するかどうかを判断する間、ECDツール30はさらに、アプリケーション(暗号化通信の承認された規定のアプリケーションのリスト上にない)が、例えば同じサブネットなどの信頼されているネットワーク上に位置するかどうかも考慮するとよい。すなわち、暗号化接続を許可することが既知ではないアプリケーションが、例えば同じサブネットなどの信頼されているネットワークに位置すれば、暗号化接続を許可することが既知でないアプリケーションが実際は正当な(例えばマルウェアでない)アプリケーションであることもある。したがって、各実施形態において、ECDツール30はユーザ(例えばサービス・プロバイダまたはネットワーク管理者)に、アプリケーションがマルウェアであるかもしれないという指摘を提供し、ユーザが適切なアクションをとることができるようにするとよい(例えば、アプリケーションを拒否すること、または(着信または発信する)通信の暗号化を許可されている規定のアプリケーションのリスト上にアプリケーションがあるべきであると示すこと。さらに、さらなる実施形態では、暗号化接続を許可することが既知でないアプリケーションが信頼されているネットワークに位置すれば、ECDツール30は自動的に、アプリケーションを暗号化通信の承認済みアプリケーションのリストに追加するとよい。
本発明のさらなる側面によれば、各実施形態において、ECDツール30は、評価基準として暗号化トラフィックの宛先についての情報を利用するよう動作可能である。例えば、ECDツール30が、トラフィックを暗号化されている(または恐らく暗号化されている)と識別し、ECDツール30が、例えば組織が通常関係しない国外などのピア・ツー・ピア・ネットワークの一部であることが既知であるホストとして、トラフィックの宛先を識別すると、ECDツール30は、未承認マルウェア・アプリケーション通信としてトラフィックを識別するよう動作可能である。
さらに、各実施形態において、ECDツール30は、トラフィックの宛先と、好ましくない可能性がある、または未承認、あるいはその両方の宛先(例えば、ボットネット感染率が50パーセントあることが既知であるトルコのインターネット・サービス・プロバイダ(ISP:internet service provider)に属するインターネット・プロトコル(IP)アドレスのネットブロック)のリストとを比較するよう動作可能であり、このリストは、例えば図1の記憶システム22Bなどのデータベース内に記憶されるとよい。ECDツール30が、トラフィックの特定された宛先が、好ましくない可能性がある宛先のリスト上にあると判断すると、ECDツール30は、未承認マルウェア・アプリケーション通信としてそのトラフィックを識別するよう動作可能である。
本発明のさらなる側面によれば、暗号化通信の承認済みアプリケーションのリストと、好ましくない可能性がある宛先のリストとがデータベースに記憶されることに加えて、各実施形態において、ECDツール30は、暗号化通信の未承認アプリケーションのリストと、好ましい可能性がある宛先のリストとを記憶するよう動作可能である。すなわち、各実施形態において、データベースは、暗号化通信の承認済みアプリケーションのリストを含むとよく、さらに、暗号化通信の未承認アプリケーションの別のリストも含むとよい。さらに、各実施形態において、データベースは、好ましくない可能性のある宛先のリストを含むとよく、さらに、好ましい可能性のある宛先のリストも含むとよい。したがって、この例示実施形態では、未承認暗号化通信(または未承認宛先)を検出すると、ECDツール30は、未承認暗号化通信の識別データをデータベースに追加して、例えば未承認暗号化通信の検出を支援するよう動作可能である。
図2および3は、本発明の各側面を実行する例示フローを示す。図2および3のステップは、例えば図1の環境において実装されるとよい。各フロー図は、等しく本発明のハイレベル・ブロック図を表すことができる。図2および3のフローチャートまたはブロック図、あるいはその両方は、本発明の様々な実施形態によるシステム、方法およびコンピュータ・プログラム製品の考えられる実装のアーキテクチャ、機能性および動作を示す。この関連で、フローチャートまたはブロック図内の各ブロックは、規定の論理機能(単数または複数)を実装する1つ以上の実行可能命令を含むコードのモジュール、セグメント、または一部を表すとよい。なお、さらに、いくつかの代わりの実装では、ブロック内に示されている機能は図面に示されているのとは異なる順序で生じてもよい。例えば、関連する機能性次第で、連続して示されている2つのブロックが、実際には事実上同時に実行されてもよく、または各ブロックが時々逆順で実行されてもよい。各フローチャートの各ブロック、およびフローチャート図の組み合わせは、上記のように、規定の機能または動作を実行する専用ハードウェア・ベース・システム、または専用ハードウェアおよびコンピュータ命令、もしくはソフトウェア、あるいはその両方の組み合わせにより実装することができる。さらに、フロー図の各ステップは、サーバから、クライアント/サーバ関係で実装および実行されてもよく、または、ユーザ・ワークステーションへ伝達された動作情報を用いてユーザ・ワークステーション上で実行されてもよい。実施形態において、ソフトウェア構成要素は、ファームウェア、常駐ソフトウェア、マイクロコードなどを含む。
さらに本発明は、コンピュータ使用可能またはコンピュータ可読媒体からアクセス可能なコンピュータ・プログラム製品の形態をとり、コンピュータまたは任意の命令実行システムにより、またはそれに関連して使用されるプログラム・コードを提供することができる。ソフトウェアまたはコンピュータ・プログラム製品、あるいはその両方は、図1の環境で実装可能である。本記載では、コンピュータ使用可能またはコンピュータ可読媒体は、命令実行システム、装置またはデバイスによって、またはそれに関連して使用されるプログラムを含むこと、記憶すること、伝達すること、伝播させること、または搬送することができる任意の装置とすることができる。媒体は、電子、磁気、光学、電磁気、赤外線、または半導体システム(もしくは装置もしくはデバイス)、または伝播媒体とすることができる。コンピュータ可読記憶媒体の例には、半導体または固体メモリ、磁気テープ、リムーバブル・コンピュータ・ディスケット、ランダム・アクセス・メモリ(RAM)、読み取り専用メモリ(ROM)、剛体磁気ディスク、および光ディスクが含まれる。光ディスクの現在の例には、コンパクト・ディスク読み取り専用メモリ(CD−ROM)、コンパクト・ディスク読み取り/書き込み(CD−R/W:compact disc−read/write)、およびDVDが含まれる。
図2は、本発明の各側面を実行する例示フロー200を示す。図2に示されているように、ステップ205にてECDツールは、例えばネットワーク管理者またはユーザなどから、暗号化通信の承認済みアプリケーションのリストを受信する。各実施形態において、ECDツールは、暗号化通信の承認済みアプリケーションのリストを、例えば図1の記憶システム22Bなどのデータベースに記憶するとよい。
ステップ210にて、ECDツールは暗号化通信を検出する。上記のように、当業者であれば当然のことであるように、ECDツールは、ネットワーク上でパケットが観測されるときに、ネットワーク通信が暗号化されているかどうかを識別するためのいくつかの一般的な数学的および分析的方法のうちの1つ以上を利用して、暗号化通信を検出するとよい。
ステップ215にて、ECDツールは、検出された暗号化通信と、暗号化通信の承認済みアプリケーションのリストとを比較する。ステップ220にて、ECDツールは、検出された暗号化通信が、暗号化通信の承認済みアプリケーションのリスト上にあるかどうかを判断する。ステップ220にてECDツールが、検出された暗号化通信は暗号化通信の承認済みアプリケーションのリスト上にあると判断すると、その結果ステップ225にてECDツールは、検出された暗号化通信が進むことを許可する。任意選択のステップ245にてECDツールは、検出された暗号化通信の識別データを、例えば図1の記憶システムなどのデータベースに記憶する。
ステップ220にてECDツールが、検出された暗号化通信は暗号化通信の承認済みアプリケーションのリスト上にないと判断すると、その結果、プロセスは任意選択のステップ230に進む。
任意選択のステップ230にて、ECDツールは、検出された暗号化通信が信頼されているネットワーク上であるかどうかを判断する。ステップ230にてECDツールが、検出された暗号化通信は信頼されたネットワーク上であると判断すると、その結果任意選択のステップ235にてECDツールは、検出された暗号化通信に関連するアプリケーションを、暗号化通信の承認済みアプリケーションのリストに追加する。任意選択のステップ235の後、プロセスはステップ225へ進み、そこでECDツールが検出された暗号化通信を許可する。ステップ230にてECDツールが、検出された暗号化通信が信頼されているネットワーク上でないと判断すると、その結果ステップ240にてECDツールは、検出された暗号化通信をブロックする。任意選択のステップ250にてECDツールは、検出された暗号化通信の識別データを、例えば図1の記憶システムなどのデータベースに記憶する。
当然のことながら、ステップ230、235、245および250の点線は、各実施形態において、ステップ230、235、245および250が任意選択のステップであることを示す。さらに、当然のことながら、ECDツールが任意選択のステップ230および235を実行せず、ステップ220にてECDツールが、検出された暗号化通信が暗号化通信の承認済みアプリケーションのリスト上にないと判断する場合、プロセスは直接ステップ240へ進む。
さらに、図2には示されていないものの以下の図3には示されていることであるが、さらなる実施形態では、ECDツールが、ステップ230にて検出された暗号化通信が信頼されているネットワーク上であると判断すると、ECDツールはユーザ(例えばネットワーク管理者またはローカル・オペレータ)に、ステップ235を実行するオプションを提供するとよい。すなわち、ECDツールが自動的にステップ235を実行するのではなく、各実施形態において、ECDツールがユーザにステップ235を実行するオプションを提供してもよい。ECDツールがステップ235を実行しない指示を受信すると、次に、この例示実施形態では、プロセスはステップ240へ進み、そこでECDツールは検出された暗号化通信をブロックする。
図3は、本発明の各側面を実行する例示フロー300を示す。図3に示されているように、ステップ305にて、例えばローカル・オペレータ、システム管理者、またはネットワーク管理者などのユーザが、暗号化通信の承認済みアプリケーションのリストをECDツールへ送信する。ステップ310にて、ユーザに暗号化通信が送信される。上記のように、ステップ315にてECDツールは、検出された暗号化通信が、暗号化通信の承認済みアプリケーションのリスト上にあるかどうかを判断する。ステップ315にて、検出された暗号化通信が許可されていれば、続いてステップ330にて、ユーザが暗号化通信を受信する。
ステップ315にて、検出された暗号化通信が許可されていなければ、次にステップ320にて、ECDツールは、検出された暗号化通信が信頼されているネットワーク上であるかどうかを判断する。ステップ320にてECDツールが、検出された暗号化通信は信頼されているネットワーク上でないと判断すると、その結果ステップ340にてユーザは、検出された暗号化通信を受信しない。ステップ320にてECDツールが、検出された暗号化通信は信頼されたネットワーク上であると判断すると、その結果ステップ325にてユーザは、検出された暗号化通信を、暗号化通信の承認済みアプリケーションのリストに追加するかどうかを判断する。
任意選択のステップ325にて、ユーザが、検出された暗号化通信を暗号化通信の承認済みアプリケーションのリストに追加すると判断すると、ステップ328にて、検出された暗号化通信が、暗号化通信の承認済みアプリケーションのリストに追加され、ステップ330にて、ユーザは検出された暗号化通信を受信する。任意選択のステップ325にてユーザが、検出された暗号化通信を暗号化通信の承認済みアプリケーションのリストに追加しないと判断すると、ステップ340にてユーザは、検出された暗号化通信を受信しない。
当然のことながら、ステップ325の点線は、各実施形態において、ステップ325が任意選択のステップであることを示す。さらに、当然のことながら、ユーザが任意選択のステップ325を実行せず、ステップ320にてECDツールが、検出された暗号化通信が信頼されているネットワーク上であると判断した場合、プロセスは直接ステップ328へ進む。
本願明細書で使用される専門用語は、特定の実施形態を説明するためのものでしかなく、本発明の限定となることは目的としていない。本願明細書で使用される、単数形「a」「an」および「the」は、文脈によりそうでないことが明確に示されていない限り、複数形も含むものとする。さらに、当然のことながら、「含む(comprises)」または「含んでいる(comprising)」、あるいはその両方の用語は、本明細書で使用されるとき、記載された機能、整数、ステップ、動作、構成要素、またはコンポーネント、あるいはそのいずれかの組み合わせの存在を指定するが、1つ以上のほかの機能、整数、ステップ、動作、構成要素、コンポーネント、またはそのグループ、あるいはそのいずれかの組み合わせの存在または追加を除外するものではない。
特許請求の範囲のミーンズまたはステップ・プラス・ファンクション構成要素すべての対応する構造、材料、動作、および等価物は、該当する場合、明確に請求されているほかの請求される構成要素とともに機能を実行する任意の構造、材料、または動作を含むものとする。本発明の記載は、例証および説明のために示されたものであるが、包括的であることも、開示された形式の発明に限定されることも目的としていない。当業者には、本発明の範囲および意図から逸脱することのない、多数の変更および変形が明らかであろう。実施形態は、本発明の原理および実際の応用をもっともよく説明して、当業者が、意図される特定の用途に適する様々な変更を用いた様々な実施形態に関して、本発明を理解できるように選ばれ、記載された。したがって、本発明は各実施形態の観点から記載されたが、当業者には当然のことながら、本発明は、変更を加えて、添付の特許請求の範囲に記載の意図および範囲の中で実践されることが可能である。

Claims (17)

  1. コンピュータ・インフラストラクチャ内に実装され、マルウェアまたは未承認ソフトウェア通信を識別する方法であって、
    暗号化通信を検出するステップと、
    前記暗号化通信の識別データを判断するステップと、
    前記検出された暗号化通信の比較であって、
    前記識別データを使用して、暗号化通信の承認済みアプリケーションのリストと、
    前記識別データを使用して、暗号化通信の承認済み宛先のリストと、
    のうちの少なくとも1つとの前記比較を行うステップと、
    前記比較に基づき、前記検出された暗号化通信が暗号化通信の承認済みアプリケーションの前記リスト上にない未承認アプリケーションからであること、および
    前記検出された暗号化通信が承認済み宛先の前記リスト上にない未承認宛先に対するものであること、
    のうちの少なくとも1つであることを判断するのに応答して、前記検出された暗号化通信を、未承認暗号化通信として識別するステップと、
    を含む前記方法。
  2. 前記未承認暗号化通信をブロックするステップをさらに含む、請求項1に記載の方法。
  3. 前記検出された暗号化通信が、
    前記比較に基づき、暗号化通信の承認済みアプリケーションの前記リスト上にある承認済みアプリケーションからであり、
    前記比較に基づき、暗号化通信の承認済み宛先の前記リスト上にある承認済み宛先に対するものであれば、
    前記検出された暗号化通信を、承認済み暗号化通信として識別するステップをさらに含む、請求項1または請求項2に記載の方法。
  4. 前記承認済み暗号化通信を許可するステップをさらに含む、請求項3に記載の方法。
  5. 暗号化通信の承認済みアプリケーションの前記リストと、承認済み宛先の前記リストとのうちの少なくとも1つを受信するステップをさらに含む、先行するいずれかの請求項に記載の方法。
  6. 暗号化通信の承認済みアプリケーションの前記リストと、承認済み宛先の前記リストとのうちの少なくとも1つを、データベースに記憶するステップをさらに含む、先行するいずれかの請求項に記載の方法。
  7. 前記検出された暗号化通信が、信頼されているネットワーク上のアプリケーションからであると判断するステップと、
    前記アプリケーションを、暗号化通信の承認済みアプリケーションの前記リストに追加するステップと、
    をさらに含む、先行するいずれかの請求項に記載の方法。
  8. 前記未承認暗号化通信と、マルウェアおよび未承認ソフトウェア展開のうちの少なくとも1つとを関連付けるステップをさらに含む、先行するいずれかの請求項に記載の方法。
  9. 前記検出するステップ、前記比較を行うステップ、および前記識別するステップのうちの少なくとも1つは、リアルタイムで実行される、先行するいずれかの請求項に記載の方法。
  10. 前記検出された暗号化通信の、未承認暗号化通信としての前記識別を、ユーザに提供するステップと、
    前記ユーザから、
    前記検出された暗号化通信が送信されてきた前記未承認アプリケーションを、暗号化通信の承認済みアプリケーションの前記リストに追加し、前記検出された暗号化通信を許可すること、および
    前記未承認暗号化通信をブロックすること、
    のうちの1つの命令を受信するステップと、
    をさらに含む、先行するいずれかの請求項に記載の方法。
  11. 前記暗号化通信を前記検出するステップは、
    ネットワーク上の1つ以上のパケットを観測するステップと、
    1つ以上の数学的および分析的技法を利用して、前記ネットワーク上の前記1つ以上のパケットを、前記暗号化通信として識別するステップと、
    を含む、先行するいずれかの請求項に記載の方法。
  12. 前記暗号化通信の前記識別データは、
    ソース、
    宛先、
    ソース・ポート番号、
    宛先ポート番号、
    暗号化タイプ、および
    宛先ホスト
    のうちの少なくとも1つを含む、先行するいずれかの請求項に記載の方法。
  13. マルウェアまたは未承認ソフトウェア通信を識別するコンピュータ・システムであって、
    暗号化通信を検出する第1のプログラム命令と、
    前記暗号化通信の識別データを判断する第2のプログラム命令と、
    前記暗号化通信と、暗号化通信の承認済みアプリケーションのリストおよび暗号化通信の承認済み宛先のリストのうちの少なくとも1つとを、前記識別データを使用して比較する第3のプログラム命令と、
    前記暗号化通信が、
    前記暗号化通信と、暗号化通信の承認済みアプリケーションの前記リストとの前記比較に基づき、暗号化通信の承認済みアプリケーションの前記リスト上にない未承認アプリケーションからであること、
    前記暗号化通信と、暗号化通信の承認済み宛先の前記リストとの前記比較に基づき、暗号化通信の承認済み宛先の前記リスト上にない未承認宛先に対するものであること、
    のうちの少なくとも1つであることを判断するのに応答して、前記暗号化通信を、未承認暗号化通信として識別する第4のプログラム命令と、
    を含む、前記システム。
  14. 前記未承認暗号化通信をブロックする第5のプログラム命令をさらに含む、請求項13に記載のシステム。
  15. 前記暗号化通信と、暗号化通信の承認済みアプリケーションの前記リストとの前記比較に基づき、前記暗号化通信が、暗号化通信の承認済みアプリケーションの前記リスト上にある承認済みアプリケーションからであれば、前記暗号化通信を、承認済み暗号化通信として識別し、
    前記承認済み暗号化通信を許可する、
    第6のプログラム命令をさらに含む、請求項13または請求項14に記載のシステム。
  16. 暗号化通信の承認済みアプリケーションの前記リストを受信し、暗号化通信の承認済みアプリケーションの前記リストをデータベースに記憶する第7のプログラム命令をさらに含む、請求項13乃至15のいずれかに記載のシステム。
  17. コンピュータ・プログラムであって、請求項1乃至12のいずれかに記載の前記ステップすべてを実行するようになっている、コンピュータ・プログラム。
JP2011540003A 2008-12-12 2009-11-25 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法 Expired - Fee Related JP5497060B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/333,607 US8549625B2 (en) 2008-12-12 2008-12-12 Classification of unwanted or malicious software through the identification of encrypted data communication
US12/333,607 2008-12-12
PCT/EP2009/065817 WO2010066580A1 (en) 2008-12-12 2009-11-25 System and method for classification of unwanted or malicious software

Publications (2)

Publication Number Publication Date
JP2012511847A true JP2012511847A (ja) 2012-05-24
JP5497060B2 JP5497060B2 (ja) 2014-05-21

Family

ID=41719318

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011540003A Expired - Fee Related JP5497060B2 (ja) 2008-12-12 2009-11-25 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法

Country Status (4)

Country Link
US (1) US8549625B2 (ja)
JP (1) JP5497060B2 (ja)
CN (1) CN102246490B (ja)
WO (1) WO2010066580A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10536261B2 (en) 2014-09-25 2020-01-14 Nec Corporation Analysis system, analysis method, and storage medium
US10554383B2 (en) 2014-09-25 2020-02-04 Nec Corporation Analysis system, analysis method, and storage medium
US10931468B2 (en) 2014-09-25 2021-02-23 Nec Corporation Analysis system, analysis method, and storage medium

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8850569B1 (en) * 2008-04-15 2014-09-30 Trend Micro, Inc. Instant messaging malware protection
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US9367680B2 (en) 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US8984628B2 (en) * 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US8099472B2 (en) 2008-10-21 2012-01-17 Lookout, Inc. System and method for a mobile cross-platform software system
US8051480B2 (en) 2008-10-21 2011-11-01 Lookout, Inc. System and method for monitoring and analyzing multiple interfaces and multiple protocols
US9781148B2 (en) 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
US8108933B2 (en) * 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US9043919B2 (en) 2008-10-21 2015-05-26 Lookout, Inc. Crawling multiple markets and correlating
US8087067B2 (en) 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US9235704B2 (en) 2008-10-21 2016-01-12 Lookout, Inc. System and method for a scanning API
US8060936B2 (en) 2008-10-21 2011-11-15 Lookout, Inc. Security status and information display system
US8855601B2 (en) 2009-02-17 2014-10-07 Lookout, Inc. System and method for remotely-initiated audio communication
US8467768B2 (en) 2009-02-17 2013-06-18 Lookout, Inc. System and method for remotely securing or recovering a mobile device
US8538815B2 (en) * 2009-02-17 2013-09-17 Lookout, Inc. System and method for mobile device replacement
US9042876B2 (en) 2009-02-17 2015-05-26 Lookout, Inc. System and method for uploading location information based on device movement
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US8397301B2 (en) * 2009-11-18 2013-03-12 Lookout, Inc. System and method for identifying and assessing vulnerabilities on a mobile communication device
US9665864B2 (en) * 2010-05-21 2017-05-30 Intel Corporation Method and device for conducting trusted remote payment transactions
US8738765B2 (en) 2011-06-14 2014-05-27 Lookout, Inc. Mobile device DNS optimization
US9521154B2 (en) 2011-08-03 2016-12-13 Hewlett Packard Enterprise Development Lp Detecting suspicious network activity using flow sampling
US8788881B2 (en) 2011-08-17 2014-07-22 Lookout, Inc. System and method for mobile device push communications
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9690635B2 (en) 2012-05-14 2017-06-27 Qualcomm Incorporated Communicating behavior information in a mobile computing device
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9210128B2 (en) * 2012-10-25 2015-12-08 Check Point Software Technologies Ltd. Filtering of applications for access to an enterprise network
US8655307B1 (en) 2012-10-26 2014-02-18 Lookout, Inc. System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US8855599B2 (en) 2012-12-31 2014-10-07 Lookout, Inc. Method and apparatus for auxiliary communications with mobile communications device
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9686023B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US9424409B2 (en) 2013-01-10 2016-08-23 Lookout, Inc. Method and system for protecting privacy and enhancing security on an electronic device
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
US9501645B2 (en) * 2013-03-15 2016-11-22 Rudolf H. Hendel System and method for the protection of computers and computer networks against cyber threats
US9225736B1 (en) 2013-06-27 2015-12-29 Symantec Corporation Techniques for detecting anomalous network traffic
US9875355B1 (en) * 2013-09-17 2018-01-23 Amazon Technologies, Inc. DNS query analysis for detection of malicious software
US9642008B2 (en) 2013-10-25 2017-05-02 Lookout, Inc. System and method for creating and assigning a policy for a mobile communications device based on personal data
US9973534B2 (en) 2013-11-04 2018-05-15 Lookout, Inc. Methods and systems for secure network connections
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
GB201501852D0 (en) * 2015-02-04 2015-03-18 Bishop Jonathan E Monitoring on-line activity
EP3289510B1 (en) 2015-05-01 2020-06-17 Lookout Inc. Determining source of side-loaded software
IL240909A (en) * 2015-08-27 2017-04-30 Syber 2 0 (2015) Ltd Mixing communication inlets for computer networks
JP2019507412A (ja) * 2015-12-31 2019-03-14 サイバー 2.0 (2015) リミテッド コンピュータネットワークにおけるトラフィックの監視
WO2017210198A1 (en) 2016-05-31 2017-12-07 Lookout, Inc. Methods and systems for detecting and preventing network connection compromise
US10931652B2 (en) * 2017-01-24 2021-02-23 Microsoft Technology Licensing, Llc Data sealing with a sealing enclave
US10911451B2 (en) 2017-01-24 2021-02-02 Microsoft Technology Licensing, Llc Cross-platform enclave data sealing
WO2018178028A1 (en) 2017-03-28 2018-10-04 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
EP3623982B1 (en) 2018-09-12 2021-05-19 British Telecommunications public limited company Ransomware remediation
EP3623980B1 (en) 2018-09-12 2021-04-28 British Telecommunications public limited company Ransomware encryption algorithm determination
US12008102B2 (en) 2018-09-12 2024-06-11 British Telecommunications Public Limited Company Encryption key seed determination

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533677A (ja) * 2001-03-12 2004-11-04 ヴィディウス インコーポレイテッド デジタルコンテンツの無許可トランスポートを監視するためのシステムおよび方法
US20050166066A1 (en) * 2004-01-22 2005-07-28 Ratinder Paul Singh Ahuja Cryptographic policy enforcement
JP2005268873A (ja) * 2004-03-16 2005-09-29 Tokyo Denki Univ 機密情報の不正送信を防止する方法および装置
EP1615373A1 (en) * 2003-12-08 2006-01-11 Huawei Technologies Co., Ltd. An access gateway of wlan and a method for ensuring network security using the access gateway of wlan
US20060248575A1 (en) * 2005-05-02 2006-11-02 Zachary Levow Divided encryption connections to provide network traffic security
JP2006338486A (ja) * 2005-06-03 2006-12-14 Nippon Telegr & Teleph Corp <Ntt> Url検証方法、装置、およびプログラム
WO2007016478A2 (en) * 2005-07-29 2007-02-08 Bit9, Inc. Network security systems and methods
US20070106754A1 (en) * 2005-09-10 2007-05-10 Moore James F Security facility for maintaining health care data pools
JP2007208887A (ja) * 2006-02-06 2007-08-16 Konami Digital Entertainment:Kk 通信装置、通信方法、ならびに、プログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US20030159070A1 (en) 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US8478824B2 (en) * 2002-02-05 2013-07-02 Portauthority Technologies Inc. Apparatus and method for controlling unauthorized dissemination of electronic mail
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
US7467202B2 (en) * 2003-09-10 2008-12-16 Fidelis Security Systems High-performance network content analysis platform
US20050240991A1 (en) 2004-04-27 2005-10-27 Dombkowski Kevin E Secure data communication system
US7703138B2 (en) * 2004-12-29 2010-04-20 Intel Corporation Use of application signature to identify trusted traffic
US20060156400A1 (en) * 2005-01-06 2006-07-13 Gbs Laboratories Llc System and method for preventing unauthorized access to computer devices
US7447768B2 (en) * 2005-01-19 2008-11-04 Facetime Communications, Inc. Categorizing, classifying, and identifying network flows using network and host components
US20070055731A1 (en) 2005-09-07 2007-03-08 Jason Thibeault System and method for secure communications utilizing really simple syndication protocol
WO2007038517A1 (en) 2005-09-26 2007-04-05 Wiresoft, Inc. Methods, software and apparatus for detecting and neutralizing viruses from computer systems and networks
US20070083930A1 (en) 2005-10-11 2007-04-12 Jim Dumont Method, telecommunications node, and computer data signal message for optimizing virus scanning
US8056115B2 (en) * 2006-12-11 2011-11-08 International Business Machines Corporation System, method and program product for identifying network-attack profiles and blocking network intrusions
US20080282080A1 (en) * 2007-05-11 2008-11-13 Nortel Networks Limited Method and apparatus for adapting a communication network according to information provided by a trusted client
KR100949808B1 (ko) * 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533677A (ja) * 2001-03-12 2004-11-04 ヴィディウス インコーポレイテッド デジタルコンテンツの無許可トランスポートを監視するためのシステムおよび方法
EP1615373A1 (en) * 2003-12-08 2006-01-11 Huawei Technologies Co., Ltd. An access gateway of wlan and a method for ensuring network security using the access gateway of wlan
US20050166066A1 (en) * 2004-01-22 2005-07-28 Ratinder Paul Singh Ahuja Cryptographic policy enforcement
JP2005268873A (ja) * 2004-03-16 2005-09-29 Tokyo Denki Univ 機密情報の不正送信を防止する方法および装置
US20060248575A1 (en) * 2005-05-02 2006-11-02 Zachary Levow Divided encryption connections to provide network traffic security
JP2006338486A (ja) * 2005-06-03 2006-12-14 Nippon Telegr & Teleph Corp <Ntt> Url検証方法、装置、およびプログラム
WO2007016478A2 (en) * 2005-07-29 2007-02-08 Bit9, Inc. Network security systems and methods
US20070106754A1 (en) * 2005-09-10 2007-05-10 Moore James F Security facility for maintaining health care data pools
JP2007208887A (ja) * 2006-02-06 2007-08-16 Konami Digital Entertainment:Kk 通信装置、通信方法、ならびに、プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10536261B2 (en) 2014-09-25 2020-01-14 Nec Corporation Analysis system, analysis method, and storage medium
US10554383B2 (en) 2014-09-25 2020-02-04 Nec Corporation Analysis system, analysis method, and storage medium
US10931468B2 (en) 2014-09-25 2021-02-23 Nec Corporation Analysis system, analysis method, and storage medium

Also Published As

Publication number Publication date
CN102246490A (zh) 2011-11-16
US20100154032A1 (en) 2010-06-17
CN102246490B (zh) 2015-06-24
JP5497060B2 (ja) 2014-05-21
WO2010066580A1 (en) 2010-06-17
US8549625B2 (en) 2013-10-01

Similar Documents

Publication Publication Date Title
JP5497060B2 (ja) 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法
US9661017B2 (en) System and method for malware and network reputation correlation
JP6086968B2 (ja) 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法
US10068091B1 (en) System and method for malware containment
Mell et al. Guide to malware incident prevention and handling
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
US7917955B1 (en) System, method and computer program product for context-driven behavioral heuristics
US8539582B1 (en) Malware containment and security analysis on connection
US8316446B1 (en) Methods and apparatus for blocking unwanted software downloads
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
US20100154061A1 (en) System and method for identifying malicious activities through non-logged-in host usage
US20210194915A1 (en) Identification of potential network vulnerability and security responses in light of real-time network risk assessment
US9069964B2 (en) Identification of malicious activities through non-logged-in host usage
Tang et al. Concept, characteristics and defending mechanism of worms
Khatri et al. Mobile guard demo: network based malware detection
Lacerda et al. A systematic mapping on security threats in mobile devices
Caliaberah et al. An Adaptive Security Architecture for Detecting Ransomware Attack Using Open Source Software
Gill Malware: Types, Analysis and Classifications
Honnavalli B et al. Comparative Analysis of Botnet and Ransomware for Early Detection
Kumar et al. A Network Based Approach to Malware Detection in Large IT Infrastructures
Kassim et al. Exploitation of Android Mobile Malware in Phishing Modus Operandi: A Malaysia Case Study
Arastouie et al. Detecting Botnets in View of an Efficient Method.
Dwivedi et al. INTERNATIONAL JOURNAL OF ENGINEERING SCIENCES & RESEARCH TECHNOLOGY RECENT TRENDS IN BOTNET RESEARCH
Tanni et al. A Technical Analysis of RedAlert Ransomware-Targeting Virtual Machine Files

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120612

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130730

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130909

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130909

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20130909

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20130911

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140115

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140115

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140115

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140218

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20140218

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20140218

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140305

R150 Certificate of patent or registration of utility model

Ref document number: 5497060

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees