JP2013507722A - 挙動に基づいた発見的方法の攻撃性の通知へのファイルの普及度の使用 - Google Patents
挙動に基づいた発見的方法の攻撃性の通知へのファイルの普及度の使用 Download PDFInfo
- Publication number
- JP2013507722A JP2013507722A JP2012534445A JP2012534445A JP2013507722A JP 2013507722 A JP2013507722 A JP 2013507722A JP 2012534445 A JP2012534445 A JP 2012534445A JP 2012534445 A JP2012534445 A JP 2012534445A JP 2013507722 A JP2013507722 A JP 2013507722A
- Authority
- JP
- Japan
- Prior art keywords
- file
- computer
- level
- behavior
- aggression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000016571 aggressive behavior Effects 0.000 title claims abstract description 69
- 230000003542 behavioural effect Effects 0.000 title claims description 12
- 230000035515 penetration Effects 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 51
- 230000006399 behavior Effects 0.000 claims abstract description 45
- 230000004044 response Effects 0.000 claims abstract description 11
- 230000000903 blocking effect Effects 0.000 claims abstract description 3
- 238000001514 detection method Methods 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims 4
- 230000000249 desinfective effect Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- -1 managers Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Transfer Between Computers (AREA)
Abstract
挙動に基づいた発見的方法による分析を適用する対象であるファイルの普及率を判定し、且つ、この普及率に応答して、分析において使用するべく攻撃性のレベルを調節する。攻撃性は、普及度が低いファイルの場合には、高いレベルに、且つ、普及度が高いファイルの場合には、低いレベルに、設定する。設定された攻撃性レベルを使用し、挙動に基づいた発見的方法による分析をファイルに対して適用する。攻撃性レベルを設定するステップに加えて、発見的分析は、普及度が低いファイルを、悪意を有する可能性が高いものとして、且つ、普及度が高いファイルを、悪意を有する可能性が低いものとして、動的に重み付けするステップを含むこともできる。適用された挙動に基づいた発見的方法による分析に基づいて、ファイルがマルウェアを含むかどうかを判定する。ファイルがマルウェアを含んでいると判定された場合には、ファイルのブロック、削除、隔離、及び/又は駆除などの適切なステップを実行することができる。
Description
本開示は、一般に、コンピュータセキュリティに関し、更に具体的には、対応する挙動に基づいた発見的マルウェア検出の攻撃性の通知へのファイルの普及度の使用に関する。
マルウェア(例えば、ウイルス、ワーム、トロイの木馬、スパイウェアなど)を検出(且つ、これにより、除去)するためのシステムが存在している。このようなマルウェア検出システムは、通常、静的ビットシグネチャ及び/又は発見的方法を使用してマルウェアを識別することにより、動作している。静的ビットシグネチャに基づいたマルウェア検出は、既知のマルウェアの特定のビットレベルパターン(シグネチャ)を識別するステップを伴う。これにより、ファイルをスキャニングし、それらのファイルがこのシグネチャを含んでいるかどうかを判定する。マルウェアが静的ファイルシグネチャを使用して識別された際には、それがマルウェアである可能性が高い。しかしながら、シグネチャに基づいた検出は、コンテンツを変更することにより、回避することができる。自身のマルウェアを操作してシグネチャに基づいた検出を回避することにマルウェアの作成者が熟達するのに伴って、シグネチャは、その有用性を喪失しつつある。
発見的なマルウェア検出は、様々な意思決定に基づいた規則又は重み付け法を適用することにより、所与のファイルがマルウェアである尤度を判定するステップを伴う。発見的分析は、多くの状況において有用な結果をもたらすことができるが、その正しさは、数学的に立証されていない。静的ファイルの発見的方法においては、ファイルのコンテンツを発見的に分析する。挙動に基づいた発見的方法においては、プログラムの挙動を発見的に分析する。いずれの方法も、それぞれと関連するコンテンツ及び挙動のタイプに関する一般化を実行することができるように、マルウェア及びクリーンファイルのサンプルセットによって発見的アナライザをトレーニングするステップを伴う。発見的分析は、ファイルがクリーンである又は悪意を有している尤度を判定するのみであることから、発見的分析を使用した疑わしいマルウェアの識別は、その名のとおり、完全に確実なものでは絶対にありえない。さらに、発見に基づいたファイルのマルウェア判定の信頼性は、トレーニングセットが、その定義が困難であり、且つ、実際世界のものとは常に異なっているという事実に伴う問題点をも有する。
挙動に基づいたマルウェア検出の1つの主要な欠点は、偽陽性である。発見的分析における固有の不確実性に起因し、悪意を有する方式で動作しているように見える悪意を有していないファイルをマルウェアとして判定する可能性が存在している。クリーンファイルを、悪意を有していると誤って分類すれば、正当な潜在的に重要なコンテンツが結果的にしばしばブロックされることになるため、問題である。この問題に対処するべく、偽陽性率を低下させるように、しばしば、使用する発見的方法の攻撃性を低下させている。残念ながら、発見的方法の攻撃性を相応して低下させると、検出される真陽性率も同様に低下することになる。換言すれば、弱い発見的方法を使用するほど、悪意を有するファイルが、クリーンであると誤って分類され、且つ、ユーザーに伝達される可能性が高くなる。
電子データの供給元である供給源の評判の追跡は、悪意を有するファイルを識別するべく使用される別の技法である。例えば、電子メールのアドレス及びドメインの評判を追跡し、信頼できる又は潜在的に悪意を有する電子メール送信者及びファイルシグネチャを識別することができる。評判に基づいたファイルの分類は、所与のファイルの供給源が周知である際には有効であろう。多数の電子コンテンツが供給源から時間の経過に伴って到来する場合には、その供給源の評判を秘密裏に評価し、且つ、これを使用してコンテンツをスクリーニング又は通過させることができる。残念ながら、評判に基づいたファイルの分類は、普及度の低い供給源を、確信をもって評価する際に問題を有する。
これらの課題に対処することが望ましいであろう。
発見的方法の攻撃性管理システムは、ターゲットファイルの普及率に基づいて、挙動に基づいた発見的方法によるマルウェア検出に使用するべく攻撃性レベルを調節する。例えば、評判追跡又はマルウェア検出システムからの入力に基づいて、挙動に基づいた発見的方法による分析を適用する対象であるファイルの普及率を判定する。判定されたファイルの普及率に応答して、ファイルの挙動に基づいた発見的方法による分析において使用するべく攻撃性レベルを調節する。更に詳しくは、攻撃性レベルは、普及度が低いファイルの場合には、高いレベルに、そして、普及度が高いファイルの場合には、低いレベルに設定する。一実施形態においては、異なる普及率を有するファイルに対して偽陽性許容レベルを設定し、且つ、ROC(Receiver Operating Characteristics)に基づいた分析を使用し、対応する攻撃性レベルを設定している。設定された攻撃性レベルを使用し、挙動に基づいた発見的方法による分析をファイルに対して適用する。これは、例えば、ファイルの挙動に基づいた発見的方法による分析の際に、使用する攻撃性レベルに応答して、ファイル属性の処理を変更すると共に/又は異なるファイル属性を測定するステップを伴うことができる。攻撃性レベルを設定するステップに加えて、いくつかの実施形態においては、発見的分析は、普及度が低いファイルを、悪意を有する可能性が高いものとして、且つ、普及度が高いファイルを、正当である可能性が高いものとして、動的に重み付けするステップをも含む。適用された挙動に基づいた発見的方法による分析に基づいて、ファイルがマルウェアを含むかどうかを判定する。ファイルがマルウェアを含んでいないと判定された場合には、必要に応じて、正常なファイル処理の進行を許容する。一方、ファイルがマルウェアを含んでいると判定された場合には、ファイルのブロック、ファイルの削除、ファイルの隔離、及び/又はファイルの駆除などの追加的なステップを実行することができる。
この概要及び以下の詳細な説明に記述されている特徴及び利点は、それらのすべてを網羅したものではなく、且つ、具体的には、添付の図面、本明細書、及び請求項に鑑み、多数の更なる特徴及び利点が当業者に明らかとなろう。更には、本明細書に使用されている言語は、基本的に、可読性及び教育的な目的のために選択されたものであり、従って、本発明の主題を線引き又は制限するべく選択されたものではなく、本発明の主題は、請求項によって判定することを要するという点に留意されたい。
添付図面は、様々な実施形態を示しているが、これらは、例示を目的としたものに過ぎない。当業者は、以下の説明から、本明細書に記述されている原理を逸脱することなしに、本明細書に示されている構造及び方法の代替実施形態を利用してもよいことを容易に認識するであろう。
図1は、発見的方法の攻撃性管理システム101を実装することができる例示用のネットワークアーキテクチャ100を示すブロックダイアグラムである。図示のネットワークアーキテクチャ100は、複数のクライアント103A、103B、及び103Nと、複数のサーバー105A及び105Nと、を含む。図1には、発見的方法の攻撃性管理システム101が、クライアント103A上に存在するものとして示されている。これは、一例に過ぎず、且つ、様々な実施形態においては、このシステム101の様々な機能は、クライアント103やサーバー105上にそのインスタンスを生成することも可能であり、或いは、複数のクライアント103及び/又はサーバー105の間に分散させることもできることを理解されたい。
クライアント103及びサーバー105は、図2に示されると共に後述されるものなどのコンピュータシステム210を使用して実装することができる。クライアント103及びサーバー105は、例えば、図2との関連において後述するネットワークインターフェイス248又はモデム247を介して、ネットワーク107に対して通信可能に結合されている。クライアント103は、例えば、ウェブブラウザ又はその他のクライアントソフトウェア(図示されてはいない)を使用し、サーバー105上のアプリカント及び/又はデータにアクセスすることができる。
図1は、一例として、3つのクライアントと、2つのサーバーと、を示しているが、実際には、更に多くの数の(又は、更に少ない数の)クライアント103及び/又はサーバー105を配備することができる。一実施形態においては、ネットワーク107は、インターネットの形態を有する。その他の実施形態においては、その他のネットワーク107又はネットワークに基づいた環境を使用することができる。
図2は、発見的方法の攻撃性管理システム101を実装するのに好適なコンピュータシステム210のブロックダイアグラムである。クライアント103及びサーバー105は、いずれも、このようなコンピュータシステム210の形態において実装することができる。図示のように、コンピュータシステム210の1つのコンポーネントは、バス212である。バス212は、少なくとも1つのプロセッサ214、システムメモリ217(例えば、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、フラッシュメモリ)、入出力(I/O)コントローラ218、スピーカシステム220などの外部オーディオ装置に対して通信可能に結合されるオーディオ出力インターフェイス222、ディスプレイ画面224などの外部ビデオ出力装置に対して通信可能に結合されるディスプレイアダプタ226、シリアルポート230、USB(Universal Serial Bus)レセプタクル230、パラレルポート(図示されてはいない)などの1つ又は複数のインターフェイス、キーボード232に対して通信可能に結合されるキーボードコントローラ233、少なくとも1つのハードディスク244(又は、1つ又は複数のその他の形態の磁気媒体)に対して通信可能に結合されるストレージインターフェイス234、フロッピーディスク238を受け入れるべく構成されたフロッピーディスクドライブ237、ファイバーチャネル(FC)ネットワーク290と接続するべく構成されたホストバスアダプタ(HBA)インターフェイスカード235A、SCSIバス239に対して接続するべく構成されたHBAインターフェイスカード235B、光ディスク242を受け入れるべく構成された光ディスクドライブ240、例えば、USBレセプタクル228を介してバス212に結合されたマウス246(又は、その他のポインティング装置)、例えば、シリアルポート230を介してバス212に結合されたモデム247、並びに、例えば、直接的にバス212に結合されたネットワークインターフェイス248などのコンピュータシステム210のその他のコンポーネントを通信可能に結合している。
その他のコンポーネント(図示されてはいない)を同様の方式によって接続してもよい(例えば、文書スキャナ、デジタルカメラ、プリンタなど)。逆に、図2に示されているコンポーネントのすべてが存在することは、必須ではない。コンポーネントは、図2に示されているものとは別の方法によって相互接続することもできる。
バス212により、プロセッサ214とシステムメモリ217の間のデータ通信が可能であり、システムメモリは、前述のように、ROM及び/又はフラッシュメモリ、並びに、RAMを含んでもよい。RAMは、通常、オペレーティングシステム及びアプリケーションプログラムがその内部に読み込まれる主メモリである。ROM及び/又はフラッシュメモリは、その他のコードに加えて、特定の基本ハードウェア動作を制御するBIOS(Basic Input−Output System)を収容することができる。アプリケーションプログラムは、ローカルなコンピュータ可読媒体(例えば、ハードディスク244や光ディスク242)上に保存し、且つ、システムメモリ217上に読み込むと共に、プロセッサ214によって実行することができる。又、アプリケーションプログラムは、例えば、ネットワークインターフェイス248又はモデム247を介して、遠隔場所(即ち、離れた場所に位置するコンピュータシステム210)からシステムメモリ217に読み込むこともできる。図2においては、発見的方法の攻撃性管理システム101は、システムメモリ217内に存在するものとして示されている。発見的方法の攻撃性管理システム101の動作については、図3との関連において更に詳しく後述する。
ストレージインターフェイス234は、1つ又は複数のハードディスク244(及び/又はその他の標準的なストレージ媒体)に結合される。1つ又は複数のハードディスク244は、コンピュータシステム210の一部であってもよく、或いは、物理的に別個であって、その他のインターフェイスシステムを通じてアクセスするものであってもよい。
ネットワークインターフェイス248及び/又はモデム247は、インターネットなどのネットワーク107に対して直接的に又は間接的に通信可能に結合することができる。このような結合は、有線又は無線であってよい。
図3は、いくつかの実施形態によるコンピュータシステム210のシステムメモリ217内に存在する発見的方法の攻撃性管理システム101の動作を示している。前述のように、発見的方法の攻撃性管理システム101の機能は、クライアント103やサーバー105上に存在することも可能であり、或いは、発見的方法の攻撃性管理システム101の機能をネットワーク107上のサービスとして提供するクラウドに基づいた演算環境内を含む複数のコンピュータシステム210の間に分散させることもできる。図3には、発見的方法の攻撃性管理システム101が、単一のエンティティとして示されているが、図示の発見的方法の攻撃性管理システム101は、必要に応じて単一の又は複数のモジュールとしてインスタンスを生成可能な機能の集合体を表していることを理解されたい(図3には、発見的方法の攻撃性管理システム101の特定の複数のモジュールのインスタンス生成例が示されている)。発見的方法の攻撃性管理システム101のモジュールは、コンピュータシステム210のプロセッサ214がモジュールを処理した際に、関連する機能をコンピュータシステム210が実行するように、任意のコンピュータシステム210のシステムメモリ217(例えば、RAM、ROM、フラッシュメモリ)内において(例えば、オブジェクトコード又は実行可能なイメージとして)インスタンスを生成することができることを理解されたい。本明細書において使用されている「コンピュータシステム」、「コンピュータ」、「クライアント」、「クライアントコンピュータ」、「サーバー」、「サーバーコンピュータ」、及び「演算装置」という用語は、記述されている機能を実行するべく構成及び/又はプログラムされた1つ又は複数のコンピュータを意味している。更には、発見的方法の攻撃性管理システム101の機能を実装するプログラムコードは、コンピュータ可読ストレージ媒体上に保存することができる。この文脈において、磁気又は光ストレージ媒体などの任意の形態の実体のあるコンピュータ可読ストレージ媒体を使用することができる。本明細書において使用されている「コンピュータ可読ストレージ媒体」という用語は、基礎をなす物理的媒体とは別個である電子信号を意味してはいない。
図3に示されているように、発見的方法の攻撃性管理システム101の攻撃性調節モジュール301は、検査対象であるターゲットファイル305のフィールドにおける普及率309の関数として、挙動に基づいた発見的方法の増減する攻撃性レベル303を調節する。
一般に、非常に普及しているマルウェア321は、やがて検出される傾向を有する。換言すれば、特定の悪意を有するファイル305が広く分布したら、マルウェア検出システムは、そのファイルを識別する傾向を有する。広く分布したマルウェア321が識別されたら、対応するシグネチャを生成し、且つ、マルウェア検出システムは、これを使用してそのマルウェアを識別及びブロックすることができる。普及度が低いマルウェア321は、検出及びシグネチャ化されている可能性が低く、且つ、従って、挙動に基づいた発見的方法による分析などのその他の検出方法により依存することになる。これらの理由から、後程詳述するように、攻撃性調節モジュール301は、普及度が低いファイル305に対しては、挙動に基づいた発見的方法による分析を実行するための攻撃性レベル303を増大させ、且つ、普及度が高いファイル305の場合には、攻撃性レベル303を減少させる。
図3に示されているように、普及度判定モジュール307は、マルウェア321の検出のために挙動に基づいた発見的方法による分析を適用する対象であるファイル305の普及率309を判定する。一実施形態においては、普及度判定モジュール307は、図示のように、この情報を評判追跡モジュール311から収集する。一般に、評判追跡モジュール311は、マルウェア検出システムと関連付けられており、マルウェア検出システムは、評判追跡を使用しており、且つ、従って、広範な評判追跡データ313の基盤と、従って、様々なファイル305のフィールドにおける普及率309を識別する情報と、にアクセスしている。その他の実施形態においては、普及度判定モジュール307は、フィールドに配置されている複数のクライアントエージェント(図示されてはいない)からコンパイルされたデータを有する中央集中型のマルウェア検出システムリポジトリ(図示されてはいない)などの別の供給源からの入力に基づいて普及率309を判定している。具体的には、普及度判定モジュール307と、発見的方法の攻撃性管理システム101と、全般的には、挙動に基づいた発見的方法による分析と、は、マルウェアを検出及び管理するべくその他の技法(例えば、シグネチャに基づいた分析、評判追跡)をも利用する更に大きなマルウェア検出システムの一部であってよいが、これは必須ではないことを理解されたい。
攻撃性調節モジュール301は、普及度判定モジュール307によって判定された個別のファイル305の関連する普及率309に基づいて、個別のファイル305に対して挙動に基づいた発見的方法による分析を実施するための攻撃性レベル303を調節する。1つしか存在していないファイル305(即ち、普及度判定モジュール307がそれまで遭遇したことがないファイル305)の場合に、最高レベルの攻撃性303を使用する。前述のように、高いレベルの攻撃性303は、高い真陽性率を結果的にもたらし、これは、普及度が低いファイル305の場合には、望ましく、その理由は、この場合には、潜在的に悪意を有していることをその他の方法によって検出することが困難であるためである。高いレベルの攻撃性303は、高い偽陽性率を結果的にもたらす傾向をも有する。従って、ファイル305の普及率309が増大するのに伴って、攻撃性調節モジュール310は、相応して、使用する攻撃性のレベル303を低下させる。
攻撃性のレベル303を変化させることにより、ファイル属性の特定の組合せが、挙動に基づいた発見的方法による分析において、どれだけ確実に処理されるか、並びに、潜在的にどの属性が計測されるか、に対して影響を付与可能であることを理解されたい。様々なレベルの攻撃性303において挙動に基づいた発見的方法による分析を実施する実装法については、当業者に周知であり、且つ、記述されている実施形態の環境におけるそれらの使用法についても、本開示に鑑み、当業者に容易に明らかとなろう。
攻撃性調節モジュール301が特定のファイル305の普及率309に基づいて特定のファイル305に使用するための攻撃性のレベル303を設定したら、挙動に基づいた発見的方法による分析モジュール315は、ファイルがマルウェア321を含むかどうかを判定するべく、その攻撃性レベル303を使用して挙動に基づいた発見的方法による分析を適用する。どの特定のファイル普及率309に基づいてどの特定レベルの攻撃性303を適用するのかは、可変設計パラメータであることを理解されたい。
マルウェア321の発見的な挙動に基づく検出は、真陽性率に対して偽陽性率をプロットする従来のROC(Receiver Operating Characteristics)によって計測することができる。許容可能であると見なされる偽陽性率が付与されたら、従来のROCに基づいた分析を使用し、対応する真陽性率を算出することができる。一実施形態においては、許容レベル設定モジュール323が、異なる普及率309を有するファイル305に対して偽陽性許容レベル325を設定し、且つ、ROC分析モジュール317が、対応する攻撃性レベル303を判定し、これに対して、攻撃性調節モジュール301が、これらのファイル305のための攻撃性のレベル303を設定する。許容レベル設定モジュール323によって設定される偽陽性許容レベル325は、可変設計パラメータであることを理解されたい。
攻撃性調節モジュール301が普及率309に基づいて攻撃性レベル303を調節している場合に、偽陽性に対する一貫性のある許容値が付与されると、ROCは、それぞれの普及率309において異なり、且つ、従って、異なる普及率309において異なる真陽性率を結果的にもたらす。この理由は、前述のように、普及度が低いファイル305は、悪意を有する可能性が高く、且つ、従って、対応する検出された陽性が、誤ったものである可能性が低いためである。従って、実際の真陽性率は、普及度が低い場合に、高い。
又、普及度重み付けモジュール319は、悪意を有していると分類される方向に、普及度が低いファイル305を動的に重み付けすることもできる。換言すれば、普及度重み付けモジュール319は、絶対的な限度の使用とは対照的に、高い普及率309を有するファイル305が、多くの場合に悪意を有していないと見なされ、且つ、低い普及率309を有するファイル305が、多くの場合に悪意を有していると見なされるようにするべく、所与のファイル305の挙動に基づいた発見的分析において使用される動的属性を調節することができる。
要すれば、挙動に基づいた発見的方法による分析モジュール315は、それぞれの分析されたファイル305の普及率309に応じて調節された攻撃性レベル303を使用することにより、個別のファイル305を分析し、それらのファイルがマルウェア321を含んでいるかどうかを判定する。又、挙動に基づいた発見的方法による分析モジュール315は、前述のように、悪意を有していると分類される方向に、普及度が低いファイル305を重み付けする発見的方法の属性を使用することもできる。これらの技法は、相対的に困難な領域である低い普及度のマルウェア321の検出を促進し、且つ、様々なファイル305の様々な普及率309における偽陽性率と真陽性率の間の均衡を提供する。
正当なファイル327であると宣告されたファイル305は、必要に応じてコンピュータシステム210によって処理可能であり、マルウェア321であると判定されたファイルは、ブロック、削除、隔離、駆除、又はさもなければ従来のマルウェア対策機能に従って処理することができることを理解されたい。
当業者には理解されるように、本発明は、その精神又は基本的な特徴を逸脱することなしに、その他の特定の形態において実施してもよい。同様に、部分、モジュール、エージェント、マネージャ、コンポーネント、機能、手順、動作、レイヤ、特徴、属性、方法、データ構造、及びその他の側面の特定の命名及び分割は、必須又は有意ではなく、従って、本発明又はその特徴を実装するメカニズムは、異なる名称、分割、及び/又はフォーマットを有してもよい。説明を目的とした上述の内容は、特定の実施形態を参照して記述している。しかしながら、上述の例示的な説明は、すべてを網羅したり、或いは、開示された形態そのままに限定したりすることを意図したものではない。上述の教示内容に鑑み、多くの変更及び変形が可能である。関連する原理及びそれらの実際の適用について最良に説明し、これにより、当業者が、想定される特定の使用法に好適な様々な変更を伴って又は伴うことなしに様々な実施形態を最良に利用することができるようにするべく、実施形態を選択し、且つ、説明した。
Claims (15)
- ターゲットファイルの普及率に基づいて、挙動に基づいた発見的方法によるマルウェア検出において使用するべく攻撃性レベルを調節するコンピュータ実装方法であって、
コンピュータにより、ファイルがマルウェアを含むかどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定するステップと、
コンピュータにより、前記ファイルの前記判定された普及率に応答して、前記ファイルの前記挙動に基づいた発見的方法による分析において使用するべく前記攻撃性レベルを調節するステップと、
コンピュータにより、前記攻撃性レベルを使用し、挙動に基づいた発見的方法による分析を前記ファイルに対して適用するステップと、
コンピュータにより、前記適用された挙動に基づいた発見的方法による分析に基づいて、前記ファイルがマルウェアを含むかどうかを判定するステップと、
を含む方法。 - コンピュータにより、ファイルがマルウェアを含むかどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定する前記ステップは、
コンピュータにより、評判追跡システムと関連するデータに基づいて、前記ファイルの前記普及率を判定するステップ
を更に含む請求項1に記載の方法。 - コンピュータにより、ファイルがマルウェアを含むかどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定する前記ステップは、
コンピュータにより、マルウェア検出システムと関連するデータに基づいて、前記ファイルの前記普及率を判定するステップ
を更に含む請求項1に記載の方法。 - コンピュータにより、前記ファイルの前記挙動に基づいた発見的方法による分析において使用するべく前記攻撃性レベルを調節する前記ステップは、
コンピュータにより、前記攻撃性レベルを、普及度が低いファイルの場合には、高いレベルに、且つ、普及度が高いファイルの場合には、低いレベルに、設定するステップ
を更に含む請求項1に記載の方法。 - コンピュータにより、前記ファイルの前記挙動に基づいた発見的方法による分析において使用するべく前記攻撃性レベルを調節する前記ステップは、
コンピュータにより、異なる普及率を有するファイルに対して偽陽性許容レベルを設定するステップと、
コンピュータにより、ROC(Receiver Operating Characteristics)に基づいた分析を使用し、異なる設定された偽陽性許容レベルを有するファイルに対して対応する攻撃性レベルを設定するステップと、
を更に含む請求項1に記載の方法。 - コンピュータにより、前記攻撃性レベルを使用し、挙動に基づいた発見的方法による分析を前記ファイルに対して適用する前記ステップは、
コンピュータにより、前記攻撃性レベルに応答して、前記ファイルの前記挙動に基づいた発見的方法による分析中に、少なくともいくつかのファイル属性の処理を変化させるステップ
を更に含む請求項1に記載の方法。 - コンピュータにより、前記攻撃性レベルを使用し、挙動に基づいた発見的方法による分析を前記ファイルに対して適用する前記ステップは、
コンピュータにより、前記攻撃性レベルに応答して、前記ファイルの前記挙動に基づいた発見的方法による分析中に計測するファイル属性を判定するステップ
を更に含む請求項1に記載の方法。 - コンピュータにより、普及度が低いファイルを、悪意を有する可能性が高いものとして、且つ、普及度が高いファイルを、正当である可能性が高いものとして、動的に重み付けするステップを更に含む請求項1に記載の方法。
- コンピュータにより、前記適用された挙動に基づいた発見的方法による分析に基づいて、前記ファイルがマルウェアを含むかどうかを判定する前記ステップは、
コンピュータにより、前記ファイルが正当であると判定するステップと、
コンピュータにより、前記ファイルが正当であるという判定に応答して、前記ファイルの標準的な処理を許容するステップと、
を更に含む請求項1に記載の方法。 - コンピュータにより、前記適用された挙動に基づいた発見的方法による分析に基づいて、前記ファイルがマルウェアを含むかどうかを判定する前記ステップは、
コンピュータにより、前記ファイルがマルウェアを含むと判定するステップと、
コンピュータにより、前記ファイルがマルウェアを含むという判定に応答して、
前記ファイルをブロックするステップと、
前記ファイルを削除するステップと、
前記ファイルを隔離するステップと、
前記ファイルを駆除するステップと、
からなる群からの少なくとも1つの追加的なステップを実行するステップと、
を更に含む請求項1に記載の方法。 - ターゲットファイルの普及率に基づいて、挙動に基づいた発見的方法によるマルウェア検出において使用するべく攻撃性レベルを調節するコンピュータプログラムプロダクトを含む少なくとも1つのコンピュータ可読ストレージ媒体であって、前記コンピュータプログラムプロダクトは、
ファイルがマルウェアを含むかどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定するプログラムコードと、
前記ファイルの前記判定された普及率に応答して、前記ファイルの前記挙動に基づいた発見的方法による分析において使用するべく前記攻撃性レベルを調節するプログラムコードと、
前記攻撃性レベルを使用し、挙動に基づいた発見的方法による分析を前記ファイルに対して適用するプログラムコードと、
前記適用された挙動に基づいた発見的方法による分析に基づいて、前記ファイルがマルウェアを含むかどうかを判定するプログラムコードと、
を含む、コンピュータ可読ストレージ媒体。 - ファイルがマルウェアを含むかどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定する前記プログラムコードは、
評判追跡システムと関連するデータに基づいて、前記ファイルの前記普及率を判定するプログラムコード
を更に含む請求項11に記載のコンピュータプログラムプロダクト。 - ファイルがマルウェアを含むかどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定する前記プログラムコードは、
マルウェア検出システムと関連するデータに基づいて、前記ファイルの前記普及率を判定するプログラムコード
を更に含む請求項11に記載のコンピュータプログラムプロダクト。 - 前記ファイルの前記挙動に基づいた発見的方法による分析において使用するべく前記攻撃性レベルを調節する前記プログラムコードは、
前記攻撃性レベルを、普及度が低いファイルの場合には、高いレベルに、且つ、普及度が高いファイルの場合には、低いレベルに、設定するプログラムコード
を更に含む請求項11に記載のコンピュータプログラムプロダクト。 - ターゲットファイルの普及率に基づいて、挙動に基づいた発見的方法によるマルウェア検出において使用するべく攻撃性レベルを調節するコンピュータシステムであって、
プロセッサと、
コンピュータメモリと、
ファイルがマルウェアを含むどうかを判定するべく、挙動に基づいた発見的方法による分析を適用する対象である前記ファイルの普及率を判定する手段と、
前記ファイルの前記判定された普及率に応答して、前記ファイルの前記挙動に基づいた発見的方法による分析において使用するべく前記攻撃性レベルを調節する手段と、
前記攻撃性レベルを使用し、挙動に基づいた発見的方法による分析を前記ファイルに対して適用する手段と、
前記適用された挙動に基づいた発見的方法による分析に基づいて、前記ファイルがマルウェアを含むかどうかを判定する手段と、
を含むコンピュータシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/606,163 US8302194B2 (en) | 2009-10-26 | 2009-10-26 | Using file prevalence to inform aggressiveness of behavioral heuristics |
| US12/606,163 | 2009-10-26 | ||
| PCT/US2010/054129 WO2011056592A1 (en) | 2009-10-26 | 2010-10-26 | Using file prevalence to inform agressiveness of behavioral heuristics |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013507722A true JP2013507722A (ja) | 2013-03-04 |
| JP5281717B2 JP5281717B2 (ja) | 2013-09-04 |
Family
ID=43899541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012534445A Active JP5281717B2 (ja) | 2009-10-26 | 2010-10-26 | 挙動に基づいた発見的方法の攻撃性の通知へのファイルの普及度の使用 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8302194B2 (ja) |
| EP (1) | EP2494446A4 (ja) |
| JP (1) | JP5281717B2 (ja) |
| CN (1) | CN102713853B (ja) |
| CA (1) | CA2777125C (ja) |
| WO (1) | WO2011056592A1 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017516172A (ja) * | 2014-03-27 | 2017-06-15 | マカフィー, インコーポレイテッド | クエリに基づいて普及度情報を提供するための複数の命令のプログラム、クエリに基づいて普及度情報を提供するための装置、クエリに基づいて普及度情報を提供するための方法、および、機械可読非一時的記録媒体 |
| US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312537B1 (en) * | 2008-03-28 | 2012-11-13 | Symantec Corporation | Reputation based identification of false positive malware detections |
| US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
| US8832835B1 (en) * | 2010-10-28 | 2014-09-09 | Symantec Corporation | Detecting and remediating malware dropped by files |
| US9075993B2 (en) * | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
| US9065849B1 (en) * | 2013-09-18 | 2015-06-23 | Symantec Corporation | Systems and methods for determining trustworthiness of software programs |
| CN107003669B (zh) | 2014-12-16 | 2023-01-31 | 伊莱克斯公司 | 用于机器人清洁设备的基于经验的路标 |
| US9942248B1 (en) * | 2015-06-24 | 2018-04-10 | Symantec Corporation | Systems and methods for adjusting behavioral detection heuristics |
| US10129291B2 (en) * | 2015-06-27 | 2018-11-13 | Mcafee, Llc | Anomaly detection to identify malware |
| US20230281310A1 (en) * | 2022-03-01 | 2023-09-07 | Meta Plataforms, Inc. | Systems and methods of uncertainty-aware self-supervised-learning for malware and threat detection |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178748A (ja) * | 2004-12-22 | 2006-07-06 | Fuji Xerox Co Ltd | ウィルスチェック方法、ネットワークシステム、情報処理方法、情報処理プログラム及び情報処理装置 |
| JP2007220007A (ja) * | 2006-02-20 | 2007-08-30 | Fujitsu Ltd | セキュリティ管理プログラム、ジョブ投入管理プログラム、およびセキュリティ管理方法 |
| JP2008545177A (ja) * | 2005-05-05 | 2008-12-11 | シスコ アイアンポート システムズ エルエルシー | 電子メッセージ中での脅威の識別 |
| JP2009116391A (ja) * | 2007-11-01 | 2009-05-28 | Nec Corp | 安全度評価と連動するセキュリティの方針設定装置、そのプログラムおよびその方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7373664B2 (en) | 2002-12-16 | 2008-05-13 | Symantec Corporation | Proactive protection against e-mail worms and spam |
| US7509680B1 (en) | 2004-09-01 | 2009-03-24 | Symantec Corporation | Detecting computer worms as they arrive at local computers through open network shares |
| US8365286B2 (en) | 2006-06-30 | 2013-01-29 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
| US7801840B2 (en) * | 2006-07-28 | 2010-09-21 | Symantec Corporation | Threat identification utilizing fuzzy logic analysis |
| US8955122B2 (en) | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US9246938B2 (en) | 2007-04-23 | 2016-01-26 | Mcafee, Inc. | System and method for detecting malicious mobile program code |
-
2009
- 2009-10-26 US US12/606,163 patent/US8302194B2/en active Active
-
2010
- 2010-10-26 WO PCT/US2010/054129 patent/WO2011056592A1/en active Application Filing
- 2010-10-26 EP EP10828858.0A patent/EP2494446A4/en not_active Ceased
- 2010-10-26 CA CA2777125A patent/CA2777125C/en active Active
- 2010-10-26 JP JP2012534445A patent/JP5281717B2/ja active Active
- 2010-10-26 CN CN201080045700.2A patent/CN102713853B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006178748A (ja) * | 2004-12-22 | 2006-07-06 | Fuji Xerox Co Ltd | ウィルスチェック方法、ネットワークシステム、情報処理方法、情報処理プログラム及び情報処理装置 |
| JP2008545177A (ja) * | 2005-05-05 | 2008-12-11 | シスコ アイアンポート システムズ エルエルシー | 電子メッセージ中での脅威の識別 |
| JP2007220007A (ja) * | 2006-02-20 | 2007-08-30 | Fujitsu Ltd | セキュリティ管理プログラム、ジョブ投入管理プログラム、およびセキュリティ管理方法 |
| JP2009116391A (ja) * | 2007-11-01 | 2009-05-28 | Nec Corp | 安全度評価と連動するセキュリティの方針設定装置、そのプログラムおよびその方法 |
Non-Patent Citations (4)
| Title |
|---|
| CSND200900600006; MA: 'セキュリティ・ソフトの2010年版を試す' I/O 第34巻 第9号 , 20090901, 第22,23頁, 株式会社工学社 * |
| JPN6012067617; シマンテック、革新的なレピュテーションベースのセキュリティ技術を提供、[online] , 20091001, シマンテック コーポレーション * |
| JPN6012067620; MA: 'セキュリティ・ソフトの2010年版を試す' I/O 第34巻 第9号 , 20090901, 第22,23頁, 株式会社工学社 * |
| JPN6012067623; '2010年版のセキュリティー対策ソフトが出揃う ユーザーから情報を集め新種のウイルスに対抗' 日経PC21 第14巻 第23号 , 20091024, 第17頁 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017516172A (ja) * | 2014-03-27 | 2017-06-15 | マカフィー, インコーポレイテッド | クエリに基づいて普及度情報を提供するための複数の命令のプログラム、クエリに基づいて普及度情報を提供するための装置、クエリに基づいて普及度情報を提供するための方法、および、機械可読非一時的記録媒体 |
| US10536261B2 (en) | 2014-09-25 | 2020-01-14 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10554383B2 (en) | 2014-09-25 | 2020-02-04 | Nec Corporation | Analysis system, analysis method, and storage medium |
| US10931468B2 (en) | 2014-09-25 | 2021-02-23 | Nec Corporation | Analysis system, analysis method, and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102713853B (zh) | 2015-09-09 |
| US20110099634A1 (en) | 2011-04-28 |
| WO2011056592A1 (en) | 2011-05-12 |
| EP2494446A4 (en) | 2013-08-21 |
| CA2777125A1 (en) | 2011-05-12 |
| CA2777125C (en) | 2013-06-25 |
| JP5281717B2 (ja) | 2013-09-04 |
| US8302194B2 (en) | 2012-10-30 |
| CN102713853A (zh) | 2012-10-03 |
| EP2494446A1 (en) | 2012-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5281717B2 (ja) | 挙動に基づいた発見的方法の攻撃性の通知へのファイルの普及度の使用 | |
| AU2018217323B2 (en) | Methods and systems for identifying potential enterprise software threats based on visual and non-visual data | |
| US11055411B2 (en) | System and method for protection against ransomware attacks | |
| US8701192B1 (en) | Behavior based signatures | |
| US8683585B1 (en) | Using file reputations to identify malicious file sources in real time | |
| US9495538B2 (en) | Graduated enforcement of restrictions according to an application's reputation | |
| US9361460B1 (en) | Detecting malware through package behavior | |
| US8499150B1 (en) | Selectively trusting signed files | |
| US8578345B1 (en) | Malware detection efficacy by identifying installation and uninstallation scenarios | |
| US8370942B1 (en) | Proactively analyzing binary files from suspicious sources | |
| US8302191B1 (en) | Filtering malware related content | |
| US9171253B1 (en) | Identifying predictive models resistant to concept drift | |
| US8516100B1 (en) | Method and apparatus for detecting system message misrepresentation using a keyword analysis | |
| US9276947B2 (en) | Identifying misuse of legitimate objects | |
| EP3252645B1 (en) | System and method of detecting malicious computer systems | |
| US9607148B1 (en) | Method and apparatus for detecting malware on a computer system | |
| JP2023501205A (ja) | ユニバーサル・シリアルバス・デバイスのセキュリティ・スクリーニング | |
| US8996875B1 (en) | Detecting malware signed with multiple credentials | |
| Shukla et al. | VAPT & Exploits, along with Classification of Exploits |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20121218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130228 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130507 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130524 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5281717 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |