JP2012533104A - ウイルス対策スキャン - Google Patents

ウイルス対策スキャン Download PDF

Info

Publication number
JP2012533104A
JP2012533104A JP2012518985A JP2012518985A JP2012533104A JP 2012533104 A JP2012533104 A JP 2012533104A JP 2012518985 A JP2012518985 A JP 2012518985A JP 2012518985 A JP2012518985 A JP 2012518985A JP 2012533104 A JP2012533104 A JP 2012533104A
Authority
JP
Japan
Prior art keywords
file
scan
database
intermediate scan
file system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012518985A
Other languages
English (en)
Other versions
JP5631988B2 (ja
Inventor
ヤルノ ニエメラ,
ティモ ハルモネン,
ヨルン ジールヴァルト,
ミカ ストールベリ,
Original Assignee
エフ−セキュア コーポレーション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エフ−セキュア コーポレーション filed Critical エフ−セキュア コーポレーション
Publication of JP2012533104A publication Critical patent/JP2012533104A/ja
Application granted granted Critical
Publication of JP5631988B2 publication Critical patent/JP5631988B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
  • Peptides Or Proteins (AREA)

Abstract

ファイルシステムのウイルス対策スキャンを実行するための方法および装置。ファイルシステム内のファイルについて、ファイルのスキャンが完了する前に、中間スキャン結果が獲得される。中間スキャン結果は次いでデータベースに記憶される。中間スキャン結果は、後続のスキャンを加速し、オンラインのウイルス対策サーバに他の有益な情報を提供するのに使用することができる。ファイルシステムの後続のスキャンにおいて、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうかの判定が行われる。特定の種類の中間スキャンについてスキャン結果が利用可能である場合には、当該ファイルについてスキャンが実行されなくてもよい。スキャン結果が利用できない場合には、スキャンを実行することができる。

Description

本発明はファイルシステムに記憶されたファイルのウイルス対策スキャンの分野に関する。
マルウェア(Malware)は悪意のあるソフトウェア(malicious software)の略であり、所有者の説明に基づく同意なしにコンピュータシステムに潜入し、またはこれを損傷するために設計された任意のソフトウェアを指す用語として使用される。マルウェアには、ウイルス、ワーム、トロイの木馬、ルートキット、アドウェア、スパイウェア、および他の任意の悪意のある望ましくないソフトウェアが含まれ得る。デスクトップ・パーソナル・コンピュータ(PC)、ラップトップ、携帯情報端末(PDA)、携帯電話など、どんなクライアント機器もマルウェアからの危険にさらされ得る。
機器がマルウェアに感染すると、ユーザは多くの場合望ましくない挙動およびシステム性能の低下に気付くことになる。というのは、感染が望ましくないプロセッサ動作、メモリ使用、およびネットワークトラフィックを生じさせ得るからである。またこの感染はアプリケーション全体またはシステム全体のクラッシュにつながる安定性の問題を引き起こす場合もある。感染した機器のユーザは、実際の原因がユーザの気付いていないマルウェア感染であるときに、性能不良がソフトウェアの欠陥またはハードウェアの問題によるものであると誤って思い込み、不適切な改善措置を講じる場合もある。
マルウェアの検出は厄介である。というのは、マルウェアの作者は自分のソフトウェアを検出するのが困難であるように設計し、多くの場合、システム上のマルウェアの存在を故意に隠す技術を用いる、すなわち、マルウェアアプリケーションは、現在実行中のプロセスを一覧表示するオペレーティング・システム・テーブルに表示されない可能性があるからである。
クライアント機器は、ウイルス対策アプリケーションを利用してマルウェアを検出し、おそらくは除去する。ウイルス対策アプリケーションは、スキャン、完全性検査およびヒューリスティック解析を含む様々な方法を利用してマルウェアを検出することができる。これらの方法の内、マルウェアスキャンには、個々のマルウェアプログラムに特徴的なウイルス指紋または「シグネチャ」を求めてファイルなどのオブジェクトを検査するウイルス対策アプリケーションが関与する。
オブジェクトがスキャンされるときには、いくつかの動作が順に実行される。初期の動作は、オブジェクトがマルウェアである可能性を除くのに使用することのできる単純で迅速な検査である。順序の初期に実行される動作の例には、チェックサム、ファイルヘッダ情報、ファイルセクションの数、および清浄なオブジェクトと感染したオブジェクトとで典型的に異なる他のファイル特性の比較が含まれる。これらの動作を順に実行することにより、スキャンはより速くなる。というのは、オブジェクトのより詳細なスキャンが必要となる前にオブジェクトを割り引くことができるからである。
多くのウイルス対策アプリケーションは、清浄なファイルが一度だけスキャンされるようにスキャンの結果をキャッシュに記憶する。しかし、シグネチャのデータベースが更新される都度、キャッシュはフラッシュされなければならない。というのは、キャッシュされたどのスキャン結果が新しいシグネチャに照らして有効でなくなるかを知るすべがないからである。これは、データベース更新の都度すべてのファイルが再スキャンされなければならないことを意味し、再スキャンは時間を要し、プロセッサリソースを食う。
本発明の一目的はファイルシステムに記憶されたファイルをスキャンする速度を向上させることであり、別の目的は、オンラインのウイルス対策サーバにより有益な情報を提供し、クライアントが、新しいマルウェアのリリースを考慮して以前にスキャンされたファイルをいつ再スキャンすべきか知ることを可能にすることである。
本発明の第1の態様によれば、ファイルシステムのウイルス対策スキャンを実行する方法が提供される。ファイルシステム内のファイルについて、ファイルのスキャンが完了する前に、中間スキャン結果が獲得される。中間スキャン結果は次いでデータベースに記憶される。中間スキャン結果は、後続のスキャンを加速し、オンラインのウイルス対策サーバに他の有益な情報を提供するのに使用することができる。ファイルシステムの後続のウイルス対策スキャンの間に、ファイルシステムに記憶されたファイルの中間スキャンを実行する前に、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうかの判定が行われる。特定の種類の中間スキャンについて結果が利用可能である場合には、当該スキャンはそのファイルについて実行されなくてもよい。結果が利用できない場合には、スキャンを実行することができる。一選択肢として、新しい中間スキャンの結果をデータベースに追加することもできる。
中間スキャン結果は、任意選択で、チェックサム、ファイルヘッダ情報、ファイルセクションの数、ファイルについてのハッシュ値、ファイルの部分についてのハッシュ値、エミュレーションからの重要データ、巡回冗長検査値、およびバイトサーチ結果のいずれかについてのスキャンから選択される。
一選択肢として、新しいマルウェアシグネチャが利用可能である場合には、方法は、データベースに記憶された結果から、新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定すること、およびそれらのファイルをファイルシステムの後続のスキャンから除外することを含む。プレフィルタ情報は、任意選択で、最終スキャンの日付、ファイルの種類、ファイルサイズ、ファイルセクションの数、ファイルヘッダ情報、ファイルについてのハッシュ値、ファイルの部分についてのハッシュ値、巡回冗長検査値、およびバイトサーチ結果のいずれかから選択される。
さらに別の選択肢として、方法は、データベースにファイルが最後に変更された日付を記憶すること、マルウェアによる感染が最初に可能であったのはいつか推定すること、およびファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルをスキャンから省くことを含む。さらに別の選択肢として、方法は、データベースにファイルが最後にスキャンされた日付を記憶すること、ファイルが最後にスキャンされた日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較すること、およびファイルシステムの後続のスキャンにおいて、ウイルス対策データベースが新しいマルウェア定義で更新された後で最後にスキャンされたファイルをスキャンから省くことを含む。
任意選択の実施形態によれば、データベースはファイルシステムからリモートに位置する。これはオンラインのウイルス対策スキャンに特に有益である。この場合には、方法は任意選択で、リモートのウイルス対策サーバにおいて、ファイルシステム内のファイルをスキャンするためにクライアント機器にマルウェアシグネチャを送信する前に、データベースに記憶された中間スキャン結果を使って、ファイルシステム内のファイルに関連したマルウェアシグネチャのセットを決定することを含む。次いで、マルウェアシグネチャのセットをクライアント機器に送信することができる。このようにして、クライアントに必要なシグネチャだけが送信され、それによって必要なシグナリングが低減される。
方法は任意選択で、中間スキャン結果データベースにおいて、複数のクライアント機器において記憶された複数のファイルシステムのいずれかについての中間スキャン結果を記憶することを含む。クライアント機器ごとに、クライアント機器の地理的位置およびファイルがクライアント機器におけるファイルシステムに記憶された時間のいずれかを含む追加的なデータが記憶される。リモートのウイルス対策サーバにおいて、追加的なデータは、ファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定するように請願され、ファイルの全部または一部のサンプルを求める要求が、クライアント機器のセットの各クライアント機器に送信される。
本発明の第2の態様によれば、ファイルシステムを記憶するためのメモリと、ファイルシステムに記憶された少なくとも1つのファイルのウイルス対策スキャンを実行するための、ファイルの少なくとも1回の中間スキャンを実行するように構成されているウイルス対策機能と、少なくとも1回の中間スキャンの結果を中間スキャン結果データベースに記憶するための手段とを備えるコンピュータ機器が提供される。ウイルス対策機能はさらに、ファイルシステム内のファイルの後続のスキャンを実行し、ファイルの中間スキャンを実行する前に、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうか判定するように構成されている。中間スキャン結果が中間スキャンについてデータベースにおいて利用可能である場合にはファイルに対する中間スキャンは実行されず、中間スキャン結果が中間スキャンについてデータベースにおいて利用できない場合には当該中間スキャンがファイルに対して実行される。
コンピュータ機器は任意選択で中間スキャン結果データベースを備えるが、このデータベースは別の実施形態ではリモートに位置していてもよく、その場合には、コンピュータ機器は、中間スキャンの結果を、中間スキャン結果データベースにおいてデータを読み込むためにリモートノードに送信するための送信機を備える。
本発明の第3の態様によれば、通信ネットワークにおいて使用するためのウイルス対策サーバが提供される。ウイルス対策サーバは、複数のファイルが記憶されるファイルシステムを備えるクライアント機器と通信するための手段と、ファイルシステム内の少なくとも1つのファイルの少なくとも1回の中間スキャンを含むファイルのウイルス対策スキャンを実行するように構成されたプロセッサとを備える。また、中間スキャンの結果を中間スキャン結果データベースに記憶することも提供される。
プロセッサは任意選択でさらに、データベースに記憶された中間スキャン結果を使って、クライアント機器におけるファイルシステム内のファイルに関連したマルウェアシグネチャのセットを決定するように構成され、クライアント機器と通信するための手段は、マルウェアシグネチャのセットをクライアント機器に送信するように構成される。さらに別の選択肢として、プロセッサはさらに、中間スキャン結果データベースにおいて記憶されたデータを使ってファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定するように構成され、クライアント機器と通信するための手段は、クライアント機器にファイルの全部または一部のサンプルを求める要求を送信するように構成される。
本発明の第4の態様によれば、プログラム可能なコンピュータ上で実行されると、プログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるコンピュータ可読コードを備えるコンピュータプログラムが提供される。コンピュータプログラムは、ファイルシステムに記憶されたファイルについて、ファイルのスキャンが完了する前に中間スキャン結果を獲得し、中間スキャン結果をデータベースに記憶するための命令を備える。コンピュータプログラムは、ファイルシステムの後続のウイルス対策スキャンの間に、ファイルシステムに記憶されたファイルの中間スキャンを実行する前に、ファイルに関連する中間スキャン結果がデータベースにおいて利用可能であるかどうか判定するための命令を備える。中間スキャン結果が特定の種類の中間スキャンについてデータベースにおいて利用可能である場合には、当該中間スキャンはファイルに対して実行されない。中間スキャン結果が特定の種類の中間スキャンについてデータベースにおいて利用できない場合には、中間スキャンがファイルに対して実行される。
コンピュータプログラムは任意選択で、新しいマルウェアシグネチャが利用可能である場合には、データベースに記憶された結果から、新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定し、それらのファイルをファイルシステムの後続のスキャンから除外するための命令を備える。
一選択肢として、コンピュータプログラムは、データベースにファイルが最後に変更された日付を記憶し、マルウェアによる感染が最初に可能であったのはいつか推定し、ファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルをスキャンから省くための命令を備える。これにより、感染し得ないファイルがスキャンされないようにする。
さらに別の選択肢として、コンピュータプログラムは、データベースにファイルが最後にスキャンされた日付を記憶し、ファイルが最後にスキャンされた日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較し、ファイルシステムの後続のスキャンにおいて、ウイルス対策データベースが新しいマルウェア定義で更新された後で最後にスキャンされたファイルをスキャンから省くための命令を備える。
データベースがリモートに位置する場合には、コンピュータプログラムは、リモートデータベースと通信するための命令を備える。一選択肢として、コンピュータプログラムは、リモートのウイルス対策サーバからマルウェアシグネチャのセットを受け取るための命令を備え、マルウェアシグネチャのセットは、ファイルシステム内のファイルに関連したマルウェアシグネチャのセットを決定し、関連したシグネチャだけがコンピュータ機器に送信されるようにするために、データベースに記憶された中間スキャン結果を使ってリモートのウイルス対策サーバにおいて決定されたものである。
本発明の第5の態様によれば、プログラム可能なコンピュータ上で実行されると、プログラム可能なコンピュータに、先に本発明の第1の態様において説明した方法を実行させるコンピュータ可読コードを備えるコンピュータプログラムを提供する。
本発明の第6の態様によれば、コンピュータ機器上で実行されると、コンピュータ機器に、先に本発明の第2の態様において説明したのと同様のコンピュータ機器として挙動させるコンピュータ可読コードを備えるコンピュータプログラムが提供される。
本発明の第7の態様によれば、サーバ上で実行されると、サーバに、先に本発明の第3の態様において説明したのと同様のウイルス対策サーバとして挙動させるコンピュータ可読コードを備えるコンピュータプログラムが提供される。
本発明の第8の態様によれば、先に本発明の第4、第5、第6または第7の態様のいずれか1つについて説明したのと同様のコンピュータ可読コードを記憶する記録媒体が提供される。
本発明の一実施形態によるクライアント機器を概略的に示すブロック図である。 本発明の一実施形態のステップを示す流れ図である。 本発明の一実施形態によるネットワークアーキテクチャを概略的に示すブロック図である。
図1を参照すると、本発明の第1の実施形態によるクライアント機器1が示されている。クライアント機器1は、スキャンされるべき複数のファイルが記憶されるファイルシステム2にアクセスすることができる。ファイルシステム2において記憶されたファイルのスキャンを実行するためにファイルシステム2と対話することができ、マルウェアに関するシグネチャ情報を含むウイルス対策データベース4とも対話することができるウイルス対策機能3が提供される。
ウイルス対策機能3は、ファイルシステム2内のファイルをスキャンするときに、数回の中間スキャンを実行し、各中間スキャンではファイルの1つの局面を調べる。ウイルスごとのシグネチャ情報は、リソース集約的なスキャンの前にファイルを迅速に除くのに使用することができる「プレフィルタ」情報を含み、ファイルが悪意のあるものであるかどうか判定するには詳細なウイルス駆除ルーチンが必要とされる。中間スキャンは、ウイルス対策データベース4において記憶されたプレフィルタ情報と比較するためにファイルから中間データを計算し、または別の方法で獲得するのに使用される。十分な回数の中間スキャンが実行された後で、完全スキャンを利用することができる。中間スキャンは、オンライン検査の結果、関連したタイムスタンプ、およびチェックサム比較の結果、ファイルヘッダ情報、セクションの数などといった中間スキャン結果を含み得る情報を獲得するのに使用することができる。中間スキャン結果の別の例には、完全なファイルと部分ファイルの両方に対してハッシュ演算を実行した結果、エミュレーションからの重要データ、巡回冗長検査(CRC)値、バイトサーチ結果、および静的解析の結果が含まれる。
中間スキャン結果データベース5が設けられ、ファイルごとの中間スキャン結果を記憶するのに使用される。この情報をデータベースに記憶することによって、頻繁に、またはスキャンプロセスの初期に必要とされ、または(処理リソースもしくはディスク入出力リソースの消費に関して)計算するのに高くつく中間スキャン結果を再利用することができる。中間スキャン結果データベース5は、データへの迅速なアクセスを可能にする任意の適切なやり方で構築される。例えば、中間スキャン結果データベース5は、ファイルパスを使用し、すべての計算データによって索引付けし、問い合わせを非常に高速にすることもできる。
中間スキャン結果データベース5を最新に保つために、ファイルシステム2内のファイルが変更される場合には、当該ファイルに関連する中間スキャン結果データベース5に記憶されたデータが、有効でなくなったものとして除去され、またはこれにフラグが立てられる。
ウイルス対策機能3は、次にファイルシステム2内のファイルのスキャンを実行するときに、中間スキャン結果データベース5に記憶された情報を使って、中間スキャン結果データベース5に記憶された情報をウイルス対策データベース4に記憶されたプレフィルタ情報と比較することによりスキャンプロセスを加速することができる。これにより、中間データを獲得するための各ファイルのリソース集約的なスキャンを行わせないようにする。ファイルシステム2内のファイルがスキャンされなければならないことが判明した場合には、どの中間スキャン結果が利用可能であるか判定するために中間スキャン結果データベース5が検査される。中間スキャン結果を再度計算するのではなく、スキャン動作は、利用可能な場合には、データベース5に記憶された中間スキャン結果を使用することができる。
また、中間スキャン結果データベース5に記憶された情報は、ウイルス対策データベース4更新の更新後に不必要な動作を防止し、スキャンプロセスを加速するのにも使用することができる。ウイルス対策データベース4が入出力装置6を介して新しいウイルスデータを受け取るときに、中間スキャン結果データベース5のない先行技術のシステムは、ファイルシステム2に記憶されたファイルを再スキャンしなければならない。しかし、本発明のこの実施形態によれば、ウイルス対策機能3は、中間スキャン結果データベース5内の情報を、新しいウイルスデータに含まれる更新された、または新しいマルウェアシグネチャごとのプレフィルタ情報と比較し、それによって、通常はスキャンされるはずの多数のファイルを除外する。さらに、ウイルス対策機能3は、中間スキャン結果データベース5を検査して、システム内の任意のファイルに対してマッチし得ないシグネチャ(例えば、特定のファイルと関連付けられるべきことがわかっているマルウェアの、当該ファイルがファイルシステム2に記憶されていないことがすでにわかっているときの検出など)を除き、残りのシグネチャとマッチし得ないファイルを除く。これにより、スキャンされなければならないファイルのセットが縮小され、それによってスキャンプロセスが加速される。このため、ウイルス対策データベース4の更新後のスキャンプロセスが大幅に加速される。
この動作は、新しい、または変更されたシグネチャについてのみ実行されてもよく、その場合にはそれらのシグネチャはタイムスタンプまたは他のカウンタ情報を含んでいなければならない。中間スキャン結果データベース5は、以前にファイルをスキャンするのに使用されたシグネチャデータベースのタイムスタンプやカウンタといった、ファイルが最後にスキャンされたのがいつか特定する情報を含み、そのため、再スキャンでは、前にスキャンして以来追加され、または変更されたシグネチャだけを処理しさえすればよい。
ウイルス対策データベース4に記憶されたシグネチャは、特定のマルウェアがいつ「野放しに」されたと推定されたか特定する情報を含み得る。この日付は、典型的には、ウイルス対策データベースのオペレータによって決定されるはずであり、例えば、オペレータが最初にマルウェアに気付いた日付などに基づくものとなるはずである。この場合には、マルウェアが最初に出現した日付以来変更されていないファイルシステム2内のファイルはスキャンされなくてもよく、それによってスキャン時間が短縮される。
中間スキャン結果データベース5は、ウイルス対策データベース4更新の影響を最小限に抑え、そのため、ウイルス対策データベース4更新の供給者がより小規模な更新をより頻繁に提供することが可能であり、供給者が新しい脅威により迅速に反応することが可能になる。また、中間スキャン結果データベース5の使用は、ファイルのアクセス速度も向上させる。先行技術の方法を使用すると、大部分のウイルス対策アプリケーションは、ファイルがウイルス対策データベース4への更新の後で次にアクセスされるときに初めてファイルを検査することになる。中間スキャン結果データベース5を使用すると、新しいウイルスシグネチャ更新が機器1において受け取られる都度、完全システムスキャンを実質上実行することができる。
また、中間スキャン結果データベース5の使用は、オンデマンドスキャン(設定時刻や、ウイルス対策データベース4の更新といった特定のイベントの後ではなく、ユーザがスキャンを指示するときのスキャン)のスキャン時間も向上させる。通常、オンデマンドスキャンは、ファイルシステム2内のすべてのファイルをスキャンし、スキャンプロセスが時間のかかるリソース集約的なプロセスになる。ウイルス対策機能3は、中間スキャン結果データベース5を検査して、システム内のどのファイルに対してもマッチし得ない検出(例えば、特定のファイルと関連付けられるべきことがわかっているマルウェアの、当該ファイルがファイルシステム2に記憶されていないことがすでにわかっているときの検出など)を除き、残りの検出にマッチし得ないファイルを除く。これにより、最小限の検出のセットを伴うスキャンされなければならないファイルの縮小セットが生じ、それによってスキャンプロセスが加速される。
また、クライアント機器1は、コンピュータ可読コードの形でコンピュータプログラム8が記憶されているメモリ7の形のコンピュータ可読媒体も備えることができる。クライアント機器1においてプロセッサにより実行されると、クライアント機器1はウイルス対策スキャンを実行する。
図2は、本発明の第1の実施形態によるステップを示す流れ図である。流れ図はファイルシステム内の1ファイルについての手順を示すものであることに留意されたい。手順はファイルシステムに記憶された多くのファイルについて繰り返される可能性が高いはずであることが理解されるであろう。以下の番号付けは図2の番号付けに対応する。
S1.中間スキャン結果データベース5にデータを読み込むための初期スキャンが実行される。ステップS1からS4を囲む点線は初期スキャンにおいて実行されるステップを表す。
S2.ファイルシステム内のファイルに対して中間スキャンが実行される。これは、前述のように、チェックサム比較、CRC結果などといった任意の中間スキャンとすることができる。
S3.中間スキャンの結果が中間スキャン結果データベース5に記憶される。
S4.さらに別の中間スキャンが必要とされる場合には、プロセスはステップS2に復帰する。そうでない場合には、ファイルについての中間スキャンがすべて完了する。
S5.ファイルシステムの後続のスキャンが開始される。
S6.ファイルシステムに記憶された所与のファイルについて、ウイルス対策機能3が実行されるべき中間スキャンを決定する。
S7.ウイルス対策機能3が、中間スキャンの結果が中間スキャンデータベース5にすでに記憶されているかどうか判定する。そうである場合には、データベースに記憶された結果がウイルス対策機能によって使用され、プロセスはステップS10に進み、そうでない場合には、手順はステップS8に進む。
S8.当該ファイルについて中間スキャンの結果が利用できないため、ファイルに対して中間スキャンが実行される。
S9.任意選択の一実施形態では、中間スキャンの結果が、ファイルシステムの後続のスキャンで使用するために中間スキャンデータベース5に記憶される。
S10.ファイルに関連する異なる情報を獲得するためにさらに別の中間スキャンが必要とされる場合には、手順はステップS6に復帰する。
S11.ここで当該ファイルについてのスキャンが完了する。ほとんどすべての場合に、ステップS5からS11の後続のスキャンの手順は、ファイルシステムに記憶された複数のファイルについて繰り返されることに留意されたい。
本発明の第2の特定の実施形態では、クライアントに特有の中間スキャン結果データベースがクライアント機器からリモートに位置する。これは、オンラインのウイルス対策スキャンにおいて発生する問題に対処するためである。オンラインのウイルス対策スキャンは、ウイルス対策スキャンを少なくとも一部はリモートで走らせることに基づくものである。クライアント機器は、ファイルがクライアント機器のファイルシステムに記憶されている場合には、ウイルス対策サーバに連絡を取ってオンラインのウイルス対策スキャンを実行する。
ここで図3を参照すると、入出力装置10、プロセッサ11、およびファイルシステム12を備えるクライアント機器9が提供され、通信ネットワーク13上でリモートサーバ14と通信する。リモートサーバ14は、クライアント機器9と通信するための入出力装置15、プロセッサ16、およびリモートのウイルス対策データベース18と通信するための入出力装置17を備える。データベースはサーバ14に位置し得ることに留意されたい。ファイルシステム12に記憶されたファイルが、リモートのウイルス対策データベース18と照合することによってリモートでスキャンされる。これにより、大規模なウイルス対策シグネチャデータベースをあらゆるクライアントに配信する必要がなくなり、更新をリモートのウイルス対策18データベースに迅速に入力することが可能になり、新しい脅威に非常に迅速に対応することができる。
前述のように、スキャンの速度は、ファイルシステム12に記憶された既知の清浄なファイルをスキャンから省くことによって、大幅に向上させることができる。未分類のファイルだけがスキャンされればよい。既知の清浄なファイルを特定する一つのやり方は、ファイルハッシュ値を使って誤判定(false positive)結果を防止することによるものである。
オンライン・ウイルス・スキャンの1つの問題は、有効シグネチャ公開機構(effective signature publishing mechanism)を備えることである。ウイルス対策データベース18が新しい、または変更されたマルウェアのシグネチャで更新されるとき、クライアント機器9は、ファイルシステム12に記憶された未分類のファイルのために次にリモートのウイルス対策サーバ14に問い合わせるときに初めてこの変更を検出することになる。この問題に対処するための1つのやり方は、各クライアント9に、新しいシグネチャの詳細について頻繁にリモートサーバ14をポーリングさせることであるが、これはサーバにとってはシグナリング集約的(1台のサーバは何千台ものクライアントを処理する場合がある)でもあり、リソース集約的でもある。逆に、クライアント機器9がリモートサーバ14に頻繁に連絡を取らない場合には、クライアント機器9が、オンラインのウイルス対策スキャンがマルウェアを検出する前のしばらくの間にこのマルウェアに感染するおそれもある。別の選択肢は、各シグネチャに有効期間(TTL:time−to−live)値を与えることである。TTL値は、シグネチャが有効に使用され得る期間を決定する。しかし、この選択肢もまたネットワークトラフィックおよびサーバ負荷を増大させるはずである。さらに別の問題は、詳細解析のためにクライアントから疑わしいファイルのサンプルを獲得することである。というのは、それらのサンプルが最初にスキャンされるときには、それらを悪意のあるものとしてトリガするはずの(後でマルウェアになるものについての)規則もシグネチャもないため、それらのサンプルは詳細解析のためにサーバ14に渡されないことになるからである。
本発明の第2の実施形態は、各クライアントに特有の中間スキャン結果を含む中間スキャンデータベース19を提供することによって前述の問題に対処し、中間スキャン結果データベース19にはサーバ14からアクセスすることができる。クライアント機器9は、未分類のファイルに関連するメタデータをサーバ14に送信する。メタデータは、関連したタイムスタンプを伴うローカルスキャン結果、および第1の実施形態について説明したような様々な中間スキャン結果を含むことができる。これには、単純なチェックサム、ファイルヘッダ情報、セクションの数、および清浄なファイルと感染したファイルとで一般に異なる他のファイル特性が含まれる。中間スキャン結果は、少なくともいくつかのハッシュ演算、完全なファイルと部分ファイル両方のハッシュ、エミュレーションからの重要データ、中間スキャン結果(CRC値、バイトサーチ結果など)、および静的解析の結果を含み得る。
中間スキャン結果データベース19は、特定のファイルごとにクライアント機器9上で生成された中間スキャン結果を記憶し、また、当該ファイルがファイルシステムに記憶されている他のクライアント機器のリストを記憶するのにも使用される。以下に示すように、中間スキャンデータベース19を使用することのできるやり方はいくつかある。
中間スキャン結果データベース19は、各クライアントに、当該クライアント機器のファイルシステムにおいて記憶された未分類のファイルにマッチするウイルス対策シグネチャだけが提供されるようにするために使用することができる。サーバ14は、中間スキャンデータベース19から獲得されたデータを使って、どのファイルが、どのクライアント機器上で、特定の検出シグネチャを使ってスキャンされるべきか判定する。クライアント機器9に関連し得るシグネチャだけが当該クライアントに送信され、このため、各クライアントには、当該クライアントに関連し、または関連する可能性の高いシグネチャだけが送信されることになる。これによりクライアントリソースの使用が低減され、シグネチャを配信する際の帯域幅の使用が低減される。
新しいマルウェアが特定されると、当該マルウェアについてのシグネチャデータは、当該データが利用可能なときにクライアント機器9に能動的にプッシュすることもでき、クライアント機器9が次にサーバ14に接続するときにクライアント機器9に送信することもできる。クライアント機器9はその情報を使ってスキャンを起動し、おそらくはマルウェアを駆除する。これによりクライアントへのシグネチャ情報の配信が大幅に加速される。
また中間スキャン結果データベース19は、サーバ14によるサービスを受ける何台のクライアントが特定のファイルのコピーを持つか、これらのクライアントの地理的位置、ファイルがファイルシステムに記憶された時刻などを判定するのに使用することもできる。この情報は、クライアントへのサンプル要求を、サンプル要求が疑わしいファイルを持つクライアントだけに送信されるようにトリガするのに使用することができる。
中間スキャンデータベース19のさらに別の用途は、シグネチャ作成を最適化することである。クライアントが持つファイル上でマッチし得るはずのどんな検出も含まないシグネチャを作成すべき理由はない。というのは、これは処理リソースおよび帯域幅の無駄になるはずだからである。
中間スキャン結果データベース19を使用することにより、所与のシグネチャについて全顧客ベースにわたって誤判定を引き起こし得るファイルのリストを完全に特定することができる。誤判定テストを最適化することができ、この限られたファイルのセットについてのみ実行することができる。
またサーバ14には、コンピュータ可読コードの形のコンピュータプログラム21が記憶されているメモリ20の形のコンピュータ可読媒体が提供されてもよい。サーバ14においてプロセッサにより実行されると、サーバ14はウイルス対策スキャンを実行する。
前述の実施形態には、本発明の範囲を逸脱することなく、様々な改変が加えられ得ることが当業者には理解されるであろう。例えば、前述の各例は、1つのファイルシステムだけを有するクライアント機器を示している。ファイルシステムはハードドライブ、光学ドライブ、ランダム・アクセス・メモリ、または他の任意の種類のメモリに記憶されていてもよく、複数のファイルシステムが設けられていてもよいことが理解されるであろう。

Claims (25)

  1. ファイルシステムのウイルス対策スキャンを実行する方法であって、
    前記ファイルシステムに記憶されたファイルについて、前記ファイルのスキャンが完了する前に中間スキャン結果を獲得することと、
    前記中間スキャン結果をデータベースに記憶することと、
    前記ファイルシステムの後続のウイルス対策スキャンの間に、前記ファイルシステムに記憶された前記ファイルの中間スキャンを実行する前に、前記ファイルに関連する中間スキャン結果が前記データベースにおいて利用可能であるかどうか判定することと、
    中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用可能である場合には前記ファイルの当該中間スキャンを実行せず、中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用できない場合には前記ファイルの当該中間スキャンを実行することと
    を含む方法。
  2. 中間スキャン結果が、チェックサム、ファイルヘッダ情報、ファイルセクションの数、前記ファイルのハッシュ値、前記ファイルの部分のハッシュ値、エミュレーションからの重要データ、巡回冗長検査値、およびバイトサーチ結果のいずれかについてのスキャンから選択される結果である、請求項1に記載の方法。
  3. 新しいマルウェアシグネチャが利用可能である場合に、前記データベースに記憶された前記結果から、前記新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定し、当該ファイルを前記ファイルシステムの後続のスキャンから除外することをさらに含む、請求項1または2に記載の方法。
  4. プレフィルタ情報が、最終スキャンの日付、ファイルの種類、ファイルサイズ、ファイルセクションの数、ファイルヘッダ情報、前記ファイルのハッシュ値、前記ファイルの部分のハッシュ値、巡回冗長検査値、およびバイトサーチ結果のいずれかから選択される、請求項3に記載の方法。
  5. 前記データベースにファイルが最後に変更された日付を記憶することと、
    マルウェアによる感染が最初に可能であったのはいつか推定することと、
    前記ファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルを前記スキャンから省くことと
    をさらに含む、請求項1乃至4のいずれか1項に記載の方法。
  6. 前記データベースにファイルが最後にスキャンされた日付を記憶することと、
    前記ファイルが最後にスキャンされた前記日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較することと、
    前記ファイルシステムの後続のスキャンにおいて、前記ウイルス対策データベースが前記新しいマルウェア定義で更新された後で最後にスキャンされたファイルを前記スキャンから省くことと
    をさらに含む、請求項5に記載の方法。
  7. 前記データベースが前記ファイルシステムからリモートに位置する、請求項1乃至6のいずれか1項に記載の方法。
  8. リモートのウイルス対策サーバにおいて、ファイルシステム内のファイルをスキャンするためにクライアント機器にマルウェアシグネチャを送信する前に、前記データベースに記憶された前記中間スキャン結果を使って、前記ファイルシステム内の前記ファイルに関連したマルウェアシグネチャのセットを決定することと、
    前記マルウェアシグネチャのセットを前記クライアント機器に送信することと
    をさらに含む、請求項7に記載の方法。
  9. 前記中間スキャン結果データベースにおいて、複数のクライアント機器において記憶された複数のファイルシステムのいずれかについての中間スキャン結果を記憶することと、
    クライアント機器ごとに、前記クライアント機器の地理的位置およびファイルが前記クライアント機器におけるファイルシステムに記憶された時刻のいずれかを含む追加的なデータを記憶することと、
    リモートのウイルス対策サーバにおいて、前記追加的なデータを使って、ファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定することと、
    前記クライアント機器のセットの各クライアント機器にファイルの全部または一部のサンプルを求める要求を送信することと
    をさらに含む、請求項7または8に記載の方法。
  10. ファイルシステムを記憶するためのメモリと、
    前記ファイルシステムに記憶された少なくとも1つのファイルのウイルス対策スキャンを実行するための、前記ファイルの少なくとも1回の中間スキャンを実行するように構成されているウイルス対策機能と、
    前記少なくとも1回の中間スキャンの結果を中間スキャン結果データベースに記憶するための手段と
    を備え、
    前記ウイルス対策機能がさらに、前記ファイルシステム内の前記ファイルの後続のスキャンを実行し、前記ファイルの中間スキャンを実行する前に、前記ファイルに関連する中間スキャン結果が前記データベースにおいて利用可能であるかどうか判定するように構成されており、
    中間スキャン結果が前記中間スキャンについて前記データベースにおいて利用可能である場合には、前記ウイルス対策機能が前記ファイルの当該中間スキャンを実行しないように構成され、前記中間スキャン結果が前記中間スキャンについて前記データベースにおいて利用できない場合には、前記ウイルス対策機能が前記ファイルの当該中間スキャンを実行するように構成されるコンピュータ機器。
  11. 前記中間スキャン結果データベースをさらに備える、請求項10に記載のコンピュータ機器。
  12. 前記中間スキャン結果データベースにデータを読み込むために前記中間スキャンの前記結果をリモートノードに送信するための送信機をさらに備える、請求項10に記載のコンピュータ機器。
  13. 通信ネットワークで使用するためのウイルス対策サーバであって、
    複数のファイルが記憶されるファイルシステムを有するクライアント機器と通信するための手段と、
    前記ファイルシステム内の少なくとも1つのファイルの少なくとも1回の中間スキャンを含むウイルス対策スキャンを実行するように構成されたプロセッサと、
    前記中間スキャンの結果を中間スキャン結果データベースに記憶するための手段と
    を備えるウイルス対策サーバ。
  14. 前記プロセッサがさらに、前記データベースに記憶された前記中間スキャン結果を使って、前記クライアント機器における前記ファイルシステム内の前記ファイルに関連したマルウェアシグネチャのセットを決定するように構成されており、
    前記クライアント機器と通信するための前記手段が、前記マルウェアシグネチャのセットを前記クライアント機器に送信するように構成されている、請求項13に記載のウイルス対策サーバ。
  15. 前記プロセッサがさらに、前記中間スキャン結果データベースにおいて記憶されたデータを使って、ファイルの全部または一部のサンプルを要求すべき相手のクライアント機器のセットを決定するように構成されており、
    前記クライアント機器と通信するための前記手段が、前記クライアント機器にファイルの全部または一部のサンプルを求める要求を送信するように構成されている、請求項13または14に記載のウイルス対策サーバ。
  16. プログラム可能なコンピュータ上で実行されると、前記プログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるコンピュータ可読コードを備えるコンピュータプログラムであって、
    前記ファイルシステムに記憶されたファイルについて、前記ファイルのスキャンが完了する前に中間スキャン結果を獲得するための命令と、
    前記中間スキャン結果をデータベースに記憶するための命令と、
    前記ファイルシステムの後続のウイルス対策スキャンの間に、前記ファイルシステムに記憶された前記ファイルの中間スキャンを実行する前に、前記ファイルに関連する中間スキャン結果が前記データベースにおいて利用可能であるかどうか判定するための命令と、
    中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用可能である場合には前記ファイルの当該中間スキャンを実行せず、中間スキャン結果が特定の種類の中間スキャンについて前記データベースにおいて利用できない場合には前記ファイルの当該中間スキャンを実行するための命令と
    を備えるコンピュータプログラム。
  17. 新しいマルウェアシグネチャが利用可能である場合に、前記データベースに記憶された前記結果から、前記新しいマルウェアのシグネチャと関連付けられるプレフィルタ情報とマッチし得ないファイルを決定し、当該ファイルを前記ファイルシステムの後続のスキャンから除外するための命令を備える請求項16に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
  18. 前記データベースにファイルが最後に変更された日付を記憶し、マルウェアによる感染が最初に可能であったのはいつか推定し、前記ファイルシステムの後続のスキャンにおいて、マルウェアによる感染が最初に可能になる前に最後に変更されたファイルを前記スキャンから省くための命令を備える請求項16または17に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
  19. 前記データベースにファイルが最後にスキャンされた日付を記憶し、前記ファイルが最後にスキャンされた前記日付をウイルス対策データベースが新しいマルウェア定義で更新された日付と比較し、前記ファイルシステムの後続のスキャンにおいて、前記ウイルス対策データベースが前記新しいマルウェア定義で更新された後で最後にスキャンされたファイルを前記スキャンから省くための命令を備える請求項18に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
  20. 前記ファイルシステムからリモートに位置するデータベースと通信するための命令を備える請求項16乃至19のいずれか1項に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
  21. リモートのウイルス対策サーバから、前記ファイルシステム内の前記ファイルに関連したマルウェアシグネチャのセットを決定するために前記データベースに記憶された前記中間スキャン結果を使って前記リモートのウイルス対策サーバにおいて決定されているマルウェアシグネチャのセットを受信するための命令を備える請求項20に記載のプログラム可能なコンピュータにファイルシステムのウイルス対策スキャンを実行させるためのコンピュータプログラム。
  22. プログラム可能なコンピュータ上で実行されると、前記プログラム可能なコンピュータに、請求項1乃至9のいずれか1項に記載のファイルシステムのウイルス対策スキャンを実行する方法を実行させるコンピュータ可読コードを備えるコンピュータプログラム。
  23. コンピュータ機器上で実行されると、前記コンピュータ機器に、請求項10乃至12のいずれか1項に記載のコンピュータ機器として挙動させるコンピュータ可読コードを備えるコンピュータプログラム。
  24. サーバ上で実行されると、前記サーバに、請求項13乃至15のいずれか1項に記載のウイルス対策サーバとして挙動させるコンピュータ可読コードを備えるコンピュータプログラム。
  25. 請求項16乃至24のいずれか1項に記載のコンピュータ可読コードを記憶した記録媒体。
JP2012518985A 2009-07-10 2010-07-07 ウイルス対策スキャン Active JP5631988B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0912017A GB2471716A (en) 2009-07-10 2009-07-10 Anti-virus scan management using intermediate results
GB0912017.1 2009-07-10
PCT/EP2010/059762 WO2011003958A1 (en) 2009-07-10 2010-07-07 Anti-virus scanning

Publications (2)

Publication Number Publication Date
JP2012533104A true JP2012533104A (ja) 2012-12-20
JP5631988B2 JP5631988B2 (ja) 2014-11-26

Family

ID=41022471

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012518985A Active JP5631988B2 (ja) 2009-07-10 2010-07-07 ウイルス対策スキャン

Country Status (9)

Country Link
US (1) US9965630B2 (ja)
EP (1) EP2452287B1 (ja)
JP (1) JP5631988B2 (ja)
CN (1) CN102483780B (ja)
BR (1) BRPI1016079A2 (ja)
GB (1) GB2471716A (ja)
IN (1) IN2012DN00880A (ja)
RU (1) RU2551820C2 (ja)
WO (1) WO2011003958A1 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013109761A (ja) * 2011-11-17 2013-06-06 Samsung Sds Co Ltd パターンマッチングエンジン及びこれを備えた端末装置並びにその方法
KR101421632B1 (ko) * 2013-02-13 2014-07-22 주식회사 잉카인터넷 멀웨어 스캐닝 시스템 및 방법
JP2015228264A (ja) * 2015-09-17 2015-12-17 株式会社エヌ・ティ・ティ・データ セキュリティ設定システム、セキュリティ設定方法およびプログラム
JP2016062583A (ja) * 2014-09-16 2016-04-25 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド ファイル処理方法及び装置
JP2017097842A (ja) * 2015-10-22 2017-06-01 エーオー カスペルスキー ラボAO Kaspersky Lab アンチウィルス判定の最適化のためのシステム及び方法
JPWO2021038704A1 (ja) * 2019-08-27 2021-03-04

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8590046B2 (en) * 2010-07-28 2013-11-19 Bank Of America Corporation Login initiated scanning of computing devices
US8621634B2 (en) * 2011-01-13 2013-12-31 F-Secure Oyj Malware detection based on a predetermined criterion
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US20150020203A1 (en) * 2011-09-19 2015-01-15 Beijing Qihoo Technology Company Limited Method and device for processing computer viruses
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
SG11201402078XA (en) * 2011-11-10 2014-09-26 Securebrain Corp Unauthorized application detection system and method
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
CN103366118A (zh) * 2012-04-06 2013-10-23 腾讯科技(深圳)有限公司 进行安装包病毒查杀的方法及装置
CN103425927A (zh) * 2012-05-16 2013-12-04 腾讯科技(深圳)有限公司 计算机文档病毒清除装置及清除方法
CN103577751B (zh) * 2012-07-25 2015-06-10 腾讯科技(深圳)有限公司 文件扫描方法和装置
CN103679022B (zh) * 2012-09-20 2016-04-20 腾讯科技(深圳)有限公司 病毒扫描方法和装置
US8925085B2 (en) * 2012-11-15 2014-12-30 Microsoft Corporation Dynamic selection and loading of anti-malware signatures
WO2014082599A1 (zh) * 2012-11-30 2014-06-05 北京奇虎科技有限公司 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
US9202050B1 (en) * 2012-12-14 2015-12-01 Symantec Corporation Systems and methods for detecting malicious files
US8973146B2 (en) * 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
US10409987B2 (en) 2013-03-31 2019-09-10 AO Kaspersky Lab System and method for adaptive modification of antivirus databases
CN105844155B (zh) * 2013-06-28 2019-04-26 北京奇虎科技有限公司 宏病毒查杀方法及系统
CN105580023B (zh) 2013-10-24 2019-08-16 迈克菲股份有限公司 网络环境中的代理辅助的恶意应用阻止
CN104281809A (zh) * 2014-09-30 2015-01-14 北京奇虎科技有限公司 病毒查杀的方法、装置及系统
CN105791233B (zh) * 2014-12-24 2019-02-26 华为技术有限公司 一种防病毒扫描方法及装置
US9654497B2 (en) * 2015-04-04 2017-05-16 International Business Machines Corporation Virus-release-date-based priority virus scanning
US9858418B2 (en) 2015-05-29 2018-01-02 International Business Machines Corporation Reducing delays associated with restoring quarantined files
RU2617923C2 (ru) * 2015-09-30 2017-04-28 Акционерное общество "Лаборатория Касперского" Система и способ настройки антивирусной проверки
RU2610228C1 (ru) * 2015-12-18 2017-02-08 Акционерное общество "Лаборатория Касперского" Система и способ выполнения запросов процессов операционной системы к файловой системе
RU2638735C2 (ru) * 2016-04-25 2017-12-15 Акционерное общество "Лаборатория Касперского" Система и способ оптимизации антивирусной проверки неактивных операционных систем
US10073968B1 (en) * 2016-06-24 2018-09-11 Symantec Corporation Systems and methods for classifying files
US9864956B1 (en) 2017-05-01 2018-01-09 SparkCognition, Inc. Generation and use of trained file classifiers for malware detection
US10305923B2 (en) 2017-06-30 2019-05-28 SparkCognition, Inc. Server-supported malware detection and protection
US10616252B2 (en) 2017-06-30 2020-04-07 SparkCognition, Inc. Automated detection of malware using trained neural network-based file classifiers and machine learning
US10242189B1 (en) * 2018-10-01 2019-03-26 OPSWAT, Inc. File format validation
RU2702053C1 (ru) * 2018-12-28 2019-10-03 Акционерное общество "Лаборатория Касперского" Способ снижения нагрузки на сканирующую подсистему путем дедупликации сканирования файлов
RU2726878C1 (ru) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Способ ускорения полной антивирусной проверки файлов на мобильном устройстве
US10621346B1 (en) * 2019-08-21 2020-04-14 Netskope, Inc. Efficient scanning for threat detection using in-doc markers
CN112613074A (zh) * 2020-12-30 2021-04-06 绿盟科技集团股份有限公司 一种敏感文件识别方法、装置、设备及介质
US12072978B2 (en) 2022-02-24 2024-08-27 Acronis International Gmbh Fast antimalware scan
US11599636B1 (en) * 2022-07-27 2023-03-07 Aurora Security Llc Systems and methods for managing and providing software packages which have undergone malware and/or vulnerability analysis
CN116186764B (zh) * 2023-01-05 2023-09-15 国网山东省电力公司 一种数据安全检查方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
US20050132184A1 (en) * 2003-12-12 2005-06-16 International Business Machines Corporation Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network
JP2005522800A (ja) * 2002-04-13 2005-07-28 コンピュータ アソシエイツ シンク,インコーポレイテッド 悪性コードを検知するシステム及び方法
JP2006040196A (ja) * 2004-07-30 2006-02-09 Hitachi Information & Control Systems Inc ソフトウェア監視システムおよび監視方法
JP2007034623A (ja) * 2005-07-26 2007-02-08 Sharp Corp コンピュータウイルスの検出方法、プログラム、プログラムが記憶された記録媒体およびコンピュータウイルスの検出装置
JP2007200102A (ja) * 2006-01-27 2007-08-09 Nec Corp 不正コードおよび不正データのチェックシステム、プログラムおよび方法
US7266845B2 (en) * 2000-08-31 2007-09-04 F-Secure Oyj Maintaining virus detection software
JP2008276774A (ja) * 2007-04-27 2008-11-13 Beijing Kingsoft Software Co Ltd オンラインウイルススキャンの装置及び方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5649095A (en) * 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US6021510A (en) * 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6952776B1 (en) 1999-09-22 2005-10-04 International Business Machines Corporation Method and apparatus for increasing virus detection speed using a database
US6892303B2 (en) * 2000-01-06 2005-05-10 International Business Machines Corporation Method and system for caching virus-free file certificates
US7340774B2 (en) 2001-10-15 2008-03-04 Mcafee, Inc. Malware scanning as a low priority task
US7337471B2 (en) * 2002-10-07 2008-02-26 Symantec Corporation Selective detection of malicious computer code
US20040158730A1 (en) * 2003-02-11 2004-08-12 International Business Machines Corporation Running anti-virus software on a network attached storage device
US7581253B2 (en) * 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Secure storage tracking for anti-virus speed-up
US7882561B2 (en) * 2005-01-31 2011-02-01 Microsoft Corporation System and method of caching decisions on when to scan for malware
US7636946B2 (en) * 2005-08-31 2009-12-22 Microsoft Corporation Unwanted file modification and transactions
CN100535916C (zh) * 2006-04-14 2009-09-02 北京瑞星国际软件有限公司 病毒扫描系统及其方法
US7797746B2 (en) 2006-12-12 2010-09-14 Fortinet, Inc. Detection of undesired computer files in archives
JP4943278B2 (ja) 2007-09-06 2012-05-30 株式会社日立製作所 ウィルススキャン方法及びその方法を用いた計算機システム
US20090094698A1 (en) 2007-10-09 2009-04-09 Anthony Lynn Nichols Method and system for efficiently scanning a computer storage device for pestware
RU80037U1 (ru) * 2007-10-31 2009-01-20 ЗАО "Лаборатория Касперского" Система управления антивирусными мобильными приложениями
US8255926B2 (en) * 2007-11-06 2012-08-28 International Business Machines Corporation Virus notification based on social groups

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7266845B2 (en) * 2000-08-31 2007-09-04 F-Secure Oyj Maintaining virus detection software
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
JP2005522800A (ja) * 2002-04-13 2005-07-28 コンピュータ アソシエイツ シンク,インコーポレイテッド 悪性コードを検知するシステム及び方法
US20050132184A1 (en) * 2003-12-12 2005-06-16 International Business Machines Corporation Apparatus, methods and computer programs for controlling performance of operations within a data processing system or network
JP2006040196A (ja) * 2004-07-30 2006-02-09 Hitachi Information & Control Systems Inc ソフトウェア監視システムおよび監視方法
JP2007034623A (ja) * 2005-07-26 2007-02-08 Sharp Corp コンピュータウイルスの検出方法、プログラム、プログラムが記憶された記録媒体およびコンピュータウイルスの検出装置
JP2007200102A (ja) * 2006-01-27 2007-08-09 Nec Corp 不正コードおよび不正データのチェックシステム、プログラムおよび方法
JP2008276774A (ja) * 2007-04-27 2008-11-13 Beijing Kingsoft Software Co Ltd オンラインウイルススキャンの装置及び方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013109761A (ja) * 2011-11-17 2013-06-06 Samsung Sds Co Ltd パターンマッチングエンジン及びこれを備えた端末装置並びにその方法
KR101421632B1 (ko) * 2013-02-13 2014-07-22 주식회사 잉카인터넷 멀웨어 스캐닝 시스템 및 방법
JP2016062583A (ja) * 2014-09-16 2016-04-25 バイドゥ オンライン ネットワーク テクノロジー(ペキン) カンパニー リミテッド ファイル処理方法及び装置
US10055583B2 (en) 2014-09-16 2018-08-21 Baidu Online Network Technology (Beijing) Co., Ltd. Method and apparatus for processing file
JP2015228264A (ja) * 2015-09-17 2015-12-17 株式会社エヌ・ティ・ティ・データ セキュリティ設定システム、セキュリティ設定方法およびプログラム
JP2017097842A (ja) * 2015-10-22 2017-06-01 エーオー カスペルスキー ラボAO Kaspersky Lab アンチウィルス判定の最適化のためのシステム及び方法
JPWO2021038704A1 (ja) * 2019-08-27 2021-03-04
JP7235126B2 (ja) 2019-08-27 2023-03-08 日本電気株式会社 バックドア検査装置、バックドア検査方法、及びプログラム

Also Published As

Publication number Publication date
CN102483780B (zh) 2015-08-12
GB2471716A (en) 2011-01-12
BRPI1016079A2 (pt) 2016-05-10
GB0912017D0 (en) 2009-08-19
US9965630B2 (en) 2018-05-08
US20120159631A1 (en) 2012-06-21
CN102483780A (zh) 2012-05-30
IN2012DN00880A (ja) 2015-07-10
JP5631988B2 (ja) 2014-11-26
WO2011003958A1 (en) 2011-01-13
RU2012102818A (ru) 2013-08-27
EP2452287A1 (en) 2012-05-16
RU2551820C2 (ru) 2015-05-27
EP2452287B1 (en) 2020-03-25

Similar Documents

Publication Publication Date Title
JP5631988B2 (ja) ウイルス対策スキャン
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US9679136B2 (en) Method and system for discrete stateful behavioral analysis
US8782791B2 (en) Computer virus detection systems and methods
JP5963008B2 (ja) コンピュータシステムの分析方法および装置
US8776240B1 (en) Pre-scan by historical URL access
US8307434B2 (en) Method and system for discrete stateful behavioral analysis
JP5738283B2 (ja) マルウェアスキャンに関する誤警報検出
US20140123279A1 (en) Dynamic quarantining for malware detection
US9614866B2 (en) System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
US8341746B2 (en) Identifying malware
US8726377B2 (en) Malware determination
WO2014082599A1 (zh) 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
US7539871B1 (en) System and method for identifying message propagation
US10747879B2 (en) System, method, and computer program product for identifying a file used to automatically launch content as unwanted
US8938807B1 (en) Malware removal without virus pattern
US11770388B1 (en) Network infrastructure detection
JP2006011552A (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム
US11436326B2 (en) False alarm detection for malware scanning

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140217

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140408

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141008

R150 Certificate of patent or registration of utility model

Ref document number: 5631988

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250