JP2015181031A - マルウェアを示すヘッダフィールド属性の識別をコンピュータで実現する方法およびシステム - Google Patents

マルウェアを示すヘッダフィールド属性の識別をコンピュータで実現する方法およびシステム Download PDF

Info

Publication number
JP2015181031A
JP2015181031A JP2015102581A JP2015102581A JP2015181031A JP 2015181031 A JP2015181031 A JP 2015181031A JP 2015102581 A JP2015102581 A JP 2015102581A JP 2015102581 A JP2015102581 A JP 2015102581A JP 2015181031 A JP2015181031 A JP 2015181031A
Authority
JP
Japan
Prior art keywords
integer
attribute
malware
attributes
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015102581A
Other languages
English (en)
Other versions
JP6129897B2 (ja
Inventor
ケネディー マーク
Mark Kennedy
ケネディー マーク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2015181031A publication Critical patent/JP2015181031A/ja
Application granted granted Critical
Publication of JP6129897B2 publication Critical patent/JP6129897B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Abstract

【課題】マルウェアを検出する方法を提供する。
【解決手段】複数の既知の無害な実行可能ファイルにおける複数のメタデータフィールドを検査し210、複数の既知の悪意がある実行可能ファイルにおける複数のメタデータフィールドを検査し220、複数の既知の無害な実行可能ファイル、および既知の悪意がある実行可能ファイルにおける複数のメタデータフィールドの検査によって得られた情報に基づき、マルウェアを示すメタデータフィールド属性を推論する230。
【選択図】図2

Description

消費者および企業は、機密データを保存するのに、ますますコンピュータに依存するよ
うになってきた。よって悪意あるプログラマーたちは、他者のコンピュータに対して違法
な制御およびアクセスを得ることに、ますます力を傾注し続けているようである。悪意を
抱くコンピュータプログラマーたちは、他人のコンピュータシステムおよびデータに危害
を及ぼすウィルス、トロイの木馬、ワームおよびその他のプログラムをこれまでに作り、
また作り続けている。これら悪意のあるプログラムは、通常マルウェアと称される。
セキュリティソフトウェア会社は、顧客に対して日頃からマルウェア署名(例えば、マ
ルウェアを識別するハッシュ機能)を作成し、また展開することによって、マルウェアの
高まる風潮と闘っている。しかしながら、膨大な量のマルウェアがまだ識別されていない
。従って必要なのは、未確認のマルウェアを検出する方法(プロセス)である。
本発明の実施形態は、悪意があるファイル(以下「悪意ファイル」と称する)の一つ以
上のメタデータフィールド属性に基づく悪意があるデータ(以下「悪意データ」と称する
)の検出を目的とする。例えば、検査モジュールは、複数の既知の無害な実行可能ファイ
ルの複数のメタデータフィールドを検査することができる。検査モジュールはまた、複数
の既知の悪意がある実行可能ファイル(以下「悪意実行ファイル」と称する)の複数のメ
タデータフィールドも検査することができる。推論モジュールは、複数の既知の無害な実
行可能ファイル(以下「無害実行ファイル」と称する)および既知の悪意実行ファイルに
おける複数のメタデータフィールドを検査することによって収集した情報に基づいて、マ
ルウェアを示すメタデータフィールド属性を推論することができる。
いくつかの実施形態では、セキュリティモジュールは、複数の既知の無害実行ファイル
、および既知の悪意実行ファイルにおけるメタデータフィールドの検査から推論された情
報を使って、未知の実行可能ファイル(以下「未知実行ファイル」と称する)がマルウェ
アを含んでいるか否かを判定することができる。例えば、セキュリティモジュールは、未
知実行ファイルを受け取る可能性がある。このとき、セキュリティモジュールは、その未
知実行ファイルがマルウェアを示すメタデータフィールド属性を含んでいるか否かを決定
することによって、その未知実行ファイルがマルウェアを含んでいるか否かを決定するこ
とができる。
少なくとも一つの実施形態では、セキュリティモジュールは、未知実行ファイルがマル
ウェアを含んでいるのであれば、セキュリティアクションを実施することができる。セキ
ュリティモジュールは、未知実行ファイルの隔離、未知実行ファイルのセキュリティベン
ダーへの報告、未知実行ファイルのマルウェアファイルリストへの追加、および/または
他の適切なセキュリティアクションを実施することによって、セキュリティアクションを
実施することができる。上述の実施形態の機能は、本明細書に記載の一般原理に基づいて
、互いに組み合わせて使用することができる。これら実施形態および他の実施形態、機能
および利点は、添付図面および特許請求の範囲と合わせて下記の説明を読むことによって
、より完全に理解することができるであろう。
添付図面は多数の実施例を示し、これら図面は本明細書の一部である。以下の説明とと
もに、これら図面は、本発明の様々な原理を提示し、また説明するものである。
ある実施形態によるマルウェア検出の例示的なシステムのブロック図である。 ある実施形態によるマルウェア検出の例示的な方法のフローチャートである。 ある実施形態による例示的な実行可能ファイルのブロック図である。 ある実施形態によるマルウェア検出の例示的な方法のフローチャートである。 本明細書に記載および/または説明する一つ以上の実施例を実行することのできるコンピューティングシステム例のブロック図である。 本明細書に記載および/または説明する一つ以上の実施形態を実行することのできる、例示的なコンピューティングネットワークのブロック図である。
図面全体にわたり、同一の参照符号および説明は、類似するが、必ずしも同じものとは
限らない要素を示している。本明細書に記載の実施例は、様々な変更した形態または代替
的形態となり得るが、図面には例として特定の実施形態を示し、本明細書において詳細を
示す。しかし、本明細書に記載の実施例は、開示された特定の形態に限定することを意図
するものではない。むしろ本発明は、添付する特許請求の範囲に該当する、あらゆる変更
形態、等価形態、代替的形態をカバーする。
以下に、より詳細に示すように、本発明は、一般に、既知の無害な実行可能ファイル(
無害実行可能ファイル)と既知の悪意のある実行可能ファイル(悪意実行可能ファイル)
とを検査し、そして検査中に得られる情報を使ってマルウェアの検出を行って、未知のフ
ァイルがマルウェアを含んでいるか否かを決定する方法およびシステムに関する。図1は
、既知の無害実行可能ファイルと既知の悪意実行可能ファイルを検査し、そして未知の実
行可能ファイル(未知実行可能ファイル)がマルウェアを含んでいるか否かを決定する例
示的なシステムの図である。図2は、既知の無害実行可能ファイルおよび既知の悪意実行
可能ファイルを検査し、マルウェアを示すメタデータ属性を推論する例示的なプロセスを
示す。図3は例示的なポータブルの実行可能(PE)ファイルを示し、図4はPEファイル
がマルウェアを含んでいるか否かを決定する例示的なプロセスを示す。本発明の実施形態
を実現する例示的なコンピューティングシステムおよび例示的なネットワークを、図5お
よび図6に示す。
図1は例示的なシステム100のブロック図である。システム100は一つ以上のタス
クを実施する一つ以上のモジュール110を含むことができる。例えば、モジュール11
0は、既知の無害実行可能ファイルおよび既知の悪意実行可能ファイルのメタデータフィ
ールドを検査する検査モジュール112を含むことができる。実行可能フィールドのメタ
データフィールドは、実行可能ファイルのヘッダフィールドおよび/またはその他のフィ
ールドを含むことができる。モジュール110はまた、既知の無害実行可能ファイルおよ
び既知の悪意実行可能ファイルを検査することによって得られる情報に基づいて、マルウ
ェアを示すメタデータフィールド属性を推論する、推論モジュール114を含むこともで
きる。モジュール110は、マルウェアを示すメタデータフィールド属性を使って未知実
行可能ファイルがマルウェアを含んでいるか否かを決定することのできる、セキュリティ
モジュール116を含むことができる。
ある実施形態では、図1の一つ以上のモジュール110は、コンピューティングシステ
ムによって実行されるとき、本明細書に開示する一つ以上のステップをコンピューティン
グシステムに実施させる、一つ以上のソフトウェアアプリケーションまたはプログラムを
表すことができる。例えば、以下により詳しく説明するように、一つ以上のモジュール1
10は、図5に示すコンピューティングシステム510のような一つ以上のコンピューテ
ィング装置および/または図6に示す例示的なネットワークアーキテクチャ600の一部
で実行するために構成した、ソフトウェアモジュールを表すことができる。図1の一つ以
上のモジュール110はまた、本明細書に開示するステップと関連する一つ以上のタスク
を実行するように構成した、一つ以上の特別用途コンピュータの全体または一部も表すこ
とができる。
システム100はデータベース120を含むことができる。データベース120は、既
知の無害実行可能ファイルおよび既知の悪意実行可能ファイル内で検査される一つ以上の
メタデータフィールドのリストを記憶することのできる、メタデータフィールド・データ
ベース122を含むことができる。データベース120はまた、マルウェアメタデータフ
ィールド情報データベース124を含むことができる。マルウェアメタデータフィールド
情報データベース124は、マルウェアを示すメタデータフィールド属性および/または
メタデータフィールド属性がどのようにマルウェアを示すのかを識別するどんな情報も含
むことができる。マルウェアを示すメタデータフィールド属性は、実行可能ファイル内で
見つかった場合、その実行可能ファイルがマルウェアを含んでいることを示すことのでき
る一つ以上のメタデータフィールド属性を含むことができる。
いくつかの実施形態では、マルウェアメタデータフィールド情報データベース124は
、マルウェアのメタデータフィールド属性をどのように利用して、未知の実行可能ファイ
ルがマルウェアを含んでいるか否かを決定するのかを示す情報を含むことができる。ある
実施形態によると、マルウェアメタデータフィールド情報データベース124は、任意の
適切な機械学習アルゴリズムを既知の無害実行可能ファイルおよび既知の悪意実行可能フ
ァイルに適用することから得られる情報を含むことができる。例えば、マルウェアメタデ
ータフィールド情報データベース124は、マルウェアの検出におけるメタデータ属性の
有用性を示す、一つ以上のメタデータフィールド属性の重み付け情報を含むことができる
いくつかの実施形態では、マルウェアメタデータフィールド情報データベース124は
、閾値を示す閾値情報を含むことができる。セキュリティモジュール116は、マルウェ
アメタデータフィールド情報データベース124のメタデータフィールド属性と一致する
実行可能ファイルのメタデータフィールド属性の数が閾値以上の場合、実行可能ファイル
がマルウェアを含んでいると決定することができる。マルウェアメタデータフィールド情
報データベース124は、付加的または代替的に、マルウェアを示すメタデータフィール
ド属性の一つ以上の組み合わせを示す情報を含むことができる。いくつかの実施形態では
、マルウェアメタデータフィールド情報データベース124は、マルウェアを示すあるメ
タデータフィールド属性が、マルウェアを示す別のメタデータフィールド属性よりも強力
なマルウェアの指標であることを示す情報を含むことができる。
図1の一つ以上のデータベース120は、一つ以上のコンピューティング装置の一部分
を示す。一つ以上のデータベース120は、図5に示すコンピューティングシステム51
0の一部分および/または図6に示す例示的なネットワークアーキテクチャ600のいく
つかの部分を示す。あるいは、図1の一つ以上のデータベース120は、コンピューティ
ング装置によってアクセスすることのできる一つ以上の物理的に分かれた装置を示す。
図2は検査モジュール112などの検査モジュール、推論モジュール114などの推論
モジュールおよび/またはセキュリティモジュール116などのセキュリティモジュール
によって実現することのできるプロセスを示す。検査モジュールは、複数の既知の無害実
行可能ファイルにおける複数のメタデータフィールドを検査することができる(ステップ
210)。例えば、検査モジュールは、2つ以上の既知の無害実行可能ファイルにおける
2つ以上のメタデータフィールドを検査することができる。
既知の無害実行可能ファイルは、無害であると識別された任意のファイル(すなわち、
マルウェアを含まないファイル)を含む。実行可能ファイルのメタデータフィールドは、
実行可能ファイルに関するおよび/またはそれに関連する情報を持つどんなフィールドで
あってもよい。例えば、実行可能ファイルのメタデータフィールドにおける入力事項は、
実行可能ファイルの属性を示すことができる。
いくつかの実施形態では、メタデータフィールドはまた、実行可能ファイルの静的属性
を含むことができる。本明細書において、用語「静的属性」とは、ファイルが実行されて
いないときに観測できるファイルの属性に言及する。つまり、静的属性は、実行可能ファ
イルの情報の検査に基づいて決定できる属性である。逆に、動的属性は、ファイルの実行
に基づいて観測される属性である。
実行可能ファイルは、コンピュータが実行できるコード(つまり、命令)を含む任意の
ファイルとすることができる。実行可能ファイルはまた、実行ファイルまたはバイナリと
称することもできる。実行可能ファイルは、適切な実行可能ファイルフォーマットによっ
てフォーマットすることができる。実行可能ファイルフォーマットの例として、ポータブ
ル実行可能(PE)ファイルフォーマットがある。PEファイルフォーマットは、WIN
DOWS(登録商標)オペレーティングシステムの32ビットおよび64ビットのバージ
ョンに使用されるファイルフォーマットとすることができる。実行可能ファイルはまた、
LINUX(登録商標)オペレーティングシステム、MAC(登録商標)オペレーティン
グシステム、UNIX(登録商標)オペレーティングシステムおよび/または他のオペレ
ーティングシステムの実行ファイルを含むことができる。
既知の無害実行可能ファイルの検査に加え、検査モジュールは、複数の既知の悪意実行
可能ファイルにおける複数のメタデータフィールドを検査することができる(ステップ2
20)。例えば検査モジュールは、2つ以上の既知の悪意実行可能ファイルにおける2つ
以上のメタデータフィールドを検査することができる。既知の悪意実行可能ファイルとし
ては、コンピュータシステムおよびデータに危害を及ぼすウィルス、トロイの木馬、ワー
ムおよび/または他のプログラムのような、マルウェアを含むことで知られるどんな実行
可能ファイルがある。いくつかの実施形態では、検査モジュールは、既知の無害実行可能
ファイルおよび既知の悪意実行可能ファイル内で同じメタデータフィールドを検査するこ
とができる。他の実施形態では、検査モジュールは、既知の悪意実行可能ファイルよりも
既知の無害実行可能ファイル内で、一つ以上の様々なメタデータフィールドを検査するこ
とができる。
検査モジュールは、実行可能ファイルのメタデータフィールド内の属性値を決定するこ
とによって、実行可能ファイルのメタデータフィールドを検査することができる。検査モ
ジュールは、検査中に収集した情報(例えば、属性値)を、例えばマルウェアメタデータ
フィールド情報データベース124のようなデータベースに記憶することができる。
検査モジュールが既知の無害実行可能ファイルおよび既知の悪意実行可能ファイルを検
査した後に、推論モジュールは、検査中に得た情報に基づいて、マルウェアを示すメタデ
ータフィールド属性を推論することができる。先にも述べたように、検査中に得た情報は
属性情報を含むことができる。推論モジュールは属性情報の処理を行い、どの属性がマル
ウェアを示すのかを決定することができる。推論モジュールは、適切な機械学習アルゴリ
ズムを使って、どの属性がマルウェアを示しているかを決定することができる。推論モジ
ュールはまた、未知の実行可能ファイルがマルウェアを含んでいるか否かを決定するのに
メタデータ属性をどのように使用するのかを決定するために、任意の適切な機械学習アル
ゴリズムも使うことができる。例えば、推論モジュールは、メタデータ属性のどの組み合
わせが悪意実行可能ファイルを示すのかを決定することができる。推論モジュールは、マ
ルウェアメタデータフィールド情報データベース124のようなデータベースに、マルウ
ェアを識別するためのメタデータ属性の使用法に関するあらゆる情報を記憶することがで
きる。
実行可能ファイルは、様々なタイプのメタデータフィールドおよびそれに対応する属性
を含むことができる。例えば、実行可能なファイルとしては、一つ以上のデバッグ・セク
ション属性に関する1つ以上のデバッグ・セクションフィールド、1つ以上のインポート
属性に関する1つ以上のインポートフィールド、1つ以上のシンボル・テーブル属性に関
する1つ以上のシンボル・テーブルフィールド、1つ以上のオプショナル・ヘッダ属性に
関する1つ以上のオプショナル・ヘッダフィールド、1つ以上の特性属性に関する一つ以
上の特性フィールド、1つ以上のイメージ・サブシステム属性に関する1つ以上のイメー
ジ・サブシステムフィールド、1つ以上のベース・オブ・イメージ属性に関する1つ以上
のベース・オブ・イメージフィールド、1つ以上のリンカ・バージョン属性に関する1つ
以上のリンカ・バージョンフィールド、1つ以上のサイズ属性に関する1つ以上のサイズ
フィールド、および/または1つ以上のリアル・バーチャル・アドレス(RVA)属性に
関する1つ以上のRVAフィールドがある。
実行可能ファイルとしては、さらに、1つ以上のエントリー・ポイント属性に関する1
つ以上のエントリー・ポイントフィールド、1つ以上のコード・セクション・ベース属性
に関する1つ以上のコード・セクション・ベースフィールド、1つ以上のノー・イン・ア
ウト属性に関する1つ以上のノー・イン・アウトフィールド、1つ以上のスレッド・レベ
ル・スペキュレーション(TLS)属性に関する1つ以上のTLSフィールド、1つ以上
のハズ・サーティフィケート属性に関する1つ以上のハズ・サーティフィケートフィール
ド、1つ以上のノード属性に関する1つ以上のノードフィールド、1つ以上のアライメン
ト属性に関する1つ以上のアライメントフィールド、1つ以上のオペレーティング・-シ
ステム・バージョン属性に関する1つ以上のオペレーティング・システム・バージョンフ
ィールド、1つ以上のイメージ・バージョン属性に関する1つ以上のイメージ・バージョ
ンフィールド、1つ以上のミニマム・サブシステム・バージョン属性に関する1つ以上の
ミニマム・サブシステム・バージョンフィールド、1つ以上のダイナミック・リンク・ラ
イブラリ(DLL)特性属性に関する1つ以上のDLL特性フィールド、1つ以上のエク
スターナルバインディングファシリティ(EBFs)属性に関する1つ以上のEBFsフ
ィールド、1つ以上のスタック・サイズ属性に関する一つ以上のスタック・サイズフィー
ルド、1つ以上のヒープ・サイズ属性に関する1つ以上のヒープ・サイズフィールド、お
よび/または1つ以上のセクション数属性に関する1つ以上のセクション数フィールドが
ある。
本明細書に記載する属性は、任意の適切な種類のデータによっても表すことができる。
例えば、デバッグ・セクション属性としては、デバッグ・セクション整数があり、このシ
ンボル・テーブル属性としては、シンボル・テーブル・ポインタ整数および/またはシン
ボル整数の数があり、イメージ・サブシステム属性としては、グラフィカル・ユーザーイ
ンタフェース整数および/またはキャラクタ・ベース・ユーザーインタフェース整数があ
り、またリンカ・バージョン属性としては、メジャー・リンカ・バージョン整数および/
またはマイナー・リンカ・バージョン整数がある。RVA属性としては、RVA・エント
リー・ポイント整数、RVA・スタート・オブ・コード・セクション整数、RVA・ベー
ス・オブ・コード-セクション整数、および/またはRVA・スタート・オブ・データ・
セクション整数がある。
オペレーティング・システム・バージョン属性としては、メジャー・オペレーティング
・システム・バージョン整数および/またはマイナー・オペレーティング・システム・バ
ージョン整数がある。イメージ・バージョン属性としては、メジャー・イメージ・バージ
ョン整数および/またはマイナー・イメージ・バージョン整数がある。ミニマム・サブシ
ステム・バージョン属性としては、メジャー・サブシステム・バージョン整数および/ま
たはマイナー・サブシステム・バージョン属性がある。サイズ属性としては、イメージ・
サイズ整数、コード・セクション・サイズ整数、初期化・データ・サイズ整数、非初期化
・データ・サイズ整数、および/またはヘッダ・サイズ整数がある。オプショナル・ヘッ
ダ属性としては、実行可能ファイルのオプショナル・ヘッダにおける任意の属性がある。
エントリー・ポイント属性としては、エントリー・ポイント整数がある。コード・セク
ション・ベース属性としては、コード・セクション・ベース整数がある。アライメント属
性としてはセクション・アライメント整数および/またはファイル・アライメント整数が
ある。DLL・特性属性としては、DLL・特性整数があり、スタック-サイズ属性とし
ては、サイズ・オブ・スタック・リザーブ整数および/またはサイズ・オブ・スタック・
コミット整数があり、ヒープ・サイズ属性としては、サイズ・オブ・ヒープ・リザーブ整
数および/またはサイズ・オブ・ヒープ・コミット整数があり。ベース・オブ・イメージ
属性としては、ベース・オブ・イメージ整数があり、EBFs属性としてはEBFs整数
がある。ノー・イン・アウト属性としては、ノー・イン・アウト整数があり、ハズ・サー
ティフィケート属性としては、ハズ・サーティフィケート整数があり、ナンバー・オブ・
セクション属性としては、ナンバー・オブ・セクション整数があり、ノード属性としては
ノード整数があり、TLS属性としてはTLS整数がある。
インポート属性としては、ハズ・インポート整数、ハズ・ディレイド・インポート整数
、urlmon・インポート整数、msvcrt・インポート整数、oleaut32・
インポート整数、setupapi・インポート整数、user32・インポート整数、
advapi32・インポート整数、shell32・インポート整数、gdi32・イ
ンポート整数、comdlg32・インポート整数および/またはimm32・インポー
ト整数がある。特性属性としては、様々な実行可能ファイル特性用の1つ以上の特性フラ
グがある。
上述のように、メタデータフィールド属性は、実行可能ファイルの様々な特性を表すこ
とができる。例えば、複数のセクション・アライメント整数を使用して、セクションをど
こにロードする必要があるかを示すことができる。複数のファイル・アライメント整数は
、セクション開始のオフセットとすることができる。メジャーおよびマイナーのオペレー
ティング・システム・バージョン整数は、実行可能ファイルの実行に必要なミニマム・オ
ペレーティング・システムバージョンを示すことができる。メジャーおよびマイナーのイ
メージ・バージョン整数は、実行可能ファイルのバージョンを示す。メジャーおよびマイ
ナーのサブシステム・バージョン整数は、実行可能ファイルの実行に必要とされる、最小
限のサブシステム・バージョンを示すことができる。イメージ・サイズ整数は、セクショ
ン・アライメントを考慮したイメージのサイズを示すことができる。ヘッダ・サイズ整数
は、実行可能ファイルにおけるヘッダの全体サイズを示すことができる。グラフィカル・
ユーザーインタフェース整数は、実行可能ファイルがグラフィカル・ユーザーインタフェ
ースを使用するか否かを示すフラグを含むことができる。キャラクターベースド・ユーザ
ーインタフェース整数は、実行可能ファイルがキャラクター・ベースド・ユーザーインタ
フェースを使用するか否かを示すフラグを含むことができる。
サイズ・オブ・スタック・リザーブ整数は、スタックのためにとっておく必要のあるア
ドレススペースの量を示すことができる。サイズ・オブ・スタック・コミット整数は、ス
タックのためにコミットされる実際のメモリ量を示すことができる。サイズ・オブ・ヒー
プ・リザーブ整数は、ヒープのためにとっておく必要のあるアドレススペースの量を示す
ことができる。サイズ・オブ・ヒープ・コミット整数は、ヒープのためにコミットされる
実際のメモリ量を示すことができる。シンボル・テーブル・ポインタ整数は、シンボル・
テーブルのオフセットとすることができる。ナンバー・オブ・シンボル整数は、シンボル
・テーブル内のシンボル数を示すことができる。デバッグ・セクション整数は、実行可能
ファイルがデバッグ・セクションを有するか否かを示すことができる。メジャーおよびマ
イナーのリンカ・バージョン整数は、実行可能ファイルを生成したリンカのバージョンを
示すことができる。コード・セクション・サイズ整数は、実行可能ファイルにおけるコー
ドセクションのサイズを示すことができる。初期化・データ・サイズ整数は、実行可能フ
ァイルの中の初期化・データセクションのサイズを示すことができる。非初期化・データ
・サイズ整数は、実行可能ファイルの中の非初期化・データセクションのサイズを示すこ
とができる。
urlmon・インポート整数は、実行可能ファイルがurlmon.dllファイル
にリンクしているか否かを示すことができる。msvcrt・インポート整数は、実行可
能ファイルがmsvcrt.dllファイルにリンクしているか否かを示すことができる
。oleaut32・インポート整数は、実行可能ファイルがoleaut32.dll
ファイルにリンクしているか否かを示すことができる。 setupapi・インポート
整数は、実行可能ファイルがsetupapi.dllファイルにリンクしているか否か
を示すことができる。user32・インポート整数は、実行可能ファイルがuser3
2−import.dll ファイルにリンクしている否かを示すことができる。adv
api32・インポート整数は、実行可能ファイルがadvapi.exeファイルにリ
ンクしているか否かを示すことができる。shell32・インポート整数は、実行可能
ファイルがshell32・imports.dllファイルにリンクしているか否かを
示すことができる。gdi32インポート整数は、実行可能ファイルが gdi32.d
llファイルにリンクしているか否かを示すことができる。comdlg32・インポー
ト整数は、実行可能ファイルがkomdlg32.dllファイルにリンクしているか否
かを示すことができる。imm32・インポート整数は、実行可能ファイルがimm32
.dllファイルにリンクしているか否かを示すことができる。
上述したように、実行可能ファイルはPEファイルフォーマットとすることができる。
図3はPEファイルフォーマットの実行可能ファイル300の例を示す。図3に示すよう
に、実行可能ファイル300は、ディスクオペレーティングシステム(DOS)スタブ3
10を含むことができる。実行可能ファイル300はまた、ファイルヘッダ320を含む
ことができる。ファイルヘッダ320は一つ以上のメタデータフィールドを含むことがで
きる。例えば、ファイルヘッダ320は、バイナリが動作するよう意図したシステムを示
すマシンフィールド、ナンバー・オブ・セクションフィールド、タイム・スタンプフィー
ルド、シンボル・テーブル・ポインタフィールド、シンボル数フィールド、デバッグ・情
報フィールド、オプショナル・ヘッダ・サイズフィールド、イメージ・ファイル・リロケ
ーション・ストリップドフィールド、イメージ・ファイル・実行可能・イメージフィール
ド、イメージ・ファイル・ライン・ナンバー・ストリップドフィールド、ファイル・ロー
カル・シンボル・ストリップドフィールド、イメージ・ファイル・アグレッシブ・ウォー
キング・セット・トリムフィールド、イメージ・ファイル・バイツ・リバースド・ローフ
ィールド、イメージ・ファイル・32-ビット・マシンフィールド、イメージ・ファイル
・デバッグ・ストリップドフィールド、イメージ・ファイル・リムーバブル・ラン・フロ
ム・スワップフィールド、イメージ・ファイル・ネット・ラン・フロム・スワップフィー
ルド、イメージ・ファイル・システムフィールド、イメージ・ファイルダイナミックリン
クライブラリ(DLL)フィールド、および/またはイメージ・ファイル・アップ・シス
テム・オンリーフィールドを含むことができる。
実行可能ファイル300はまた、オプショナル・ヘッダ330を含むことができる。オ
プショナル・ヘッダ330は、一つ以上のメタデータフィールドを含む。例えば、オプシ
ョナル・ヘッダ330は、メジャー・リンカ・バージョンフィールド、マイナー・リンカ
・バージョンフィールド、サイズ・オブ・コードフィールド、サイズ・オブ・初期化・デ
ータフィールド、サイズ・オブ・非初期化・データフィールド、オフセット・ツー・ザ-
エントリー・ポイントフィールド、アドレス・オブ・エントリー・ポイントフィールド、
オフセット・ツー・ザ・ベース・オブ・コードフィールド、ベース・オブ・データフィー
ルド、セクション・アライメントフィールド、ファイル・アライメントフィールド、メジ
ャー・オペレーティング・システム・バージョンフィールド、マイナー・オペレーティン
グ・システム・バージョンフィールド、メジャー・イメージ・バージョンフィールド、マ
イナー・イメージ・バージョンフィールド、メジャー・サブシステム・バージョンフィー
ルド、マイナー・サブシステム・バージョンフィールド、WINDOWS(登録商標)・
32-ビットグラフィカルユーザーインタフェース(GUI)アプリケーションフィール
ド、WINDOWS(登録商標)・32-ビット・バージョン・バリューフィールド、サ
イズ・オブ・イメージフィールド、サイズ・オブ・ヘッダフィールド、チェック・サムフ
ィールド、イメージ・サブシステム・ネイティブフィールドを含むことができる。
オプショナル・ヘッダ330はまた、イメージ・サブシステム・WINDOWS(登録
商標)・GUIフィールド、イメージ・サブシステム・WINDOWS(登録商標)キャ
ラクターユーザーインタフェース(CUI)フィールド、イメージ・サブシステム・OS
/2・CUIフィールド、イメージ・サブシステム・POSIX・CUIフィールド、D
LL・特性フィールド、プロセス・アタッチメントフィールド、スレッド・デタッチメン
トフィールド、スレッド・アタッチメントフィールド、プロセス・デタッチメントフィー
ルド、サイズ・オブ・スタック・リザーブフィールド、サイズ・オブ・スタック・コミッ
トフィールド、サイズ・オブ・ヒープ・リザーブフィールド、サイズ・オブ・ヒープ・コ
ミットフィールド、ローダフラグ、イメージ-ディレクトリフラグを含むことができる。
実行可能ファイル300はまた、データディレクトリ340およびセクションヘッダ3
50を含むことができる。セクションヘッダ350は、1つ以上のメタデータフィールド
を含むことができる。例えば、セクションヘッダ350は、イメージ・サイズショートニ
ング・フィールド、イメージ・セクション・ヘッダフィールド、バーチャル・アドレスフ
ィールド、サイズ・オブ・ロー・データフィールド、ポインター・ツー・ローデータフィ
ールド、ポインター・ツー・リロケーションフィールド、実行可能ファイル300の一つ
以上の属性を示す一つ以上のフラグを含むことのできる特性フィールドを含む。実行可能
なファイル300はまた、セクション1の360(1)からセクションNの360(n)
を含むことができる。
図4は、ポータブル実行可能ファイルのマルウェアを検出する方法を示す。検査モジュ
ールは、複数の既知のポータブルな無害実行可能ファイルの複数のメタデータフィールド
を検査することができる(ステップ410)。検査モジュールはまた、複数の既知のポー
タブルな悪意実行可能ファイルにおける複数のメタデータフィールドを検査することがで
きる(ステップ420)。検査モジュールは、既知のポータブルな無害実行可能ファイル
および/または既知のポータブルな悪意実行可能ファイルを任意な数だけ検査することが
できる。例えば、検査モジュールは、数十、数百、数千、数万、数百万の実行可能ファイ
ルを検査することができる。検査モジュールはまた、既知のポータブルな無害実行可能フ
ァイルおよび/または既知のポータブルな悪意実行可能ファイルのメタデータフィールド
を任意な数だけ検査することができる。実行可能ファイルが検査された後、推論モジュー
ルは検査に基づいて、マルウェアを示すメタデータフィールド属性を推論することができ
る(ステップ430)。
セキュリティモジュールは、推論モジュールによって推論された情報を使って、未知の
実行可能ファイルがマルウェアを含んでいるか否かを決定することができる。例えば、セ
キュリティモジュールは未知の実行可能ファイルを受け取る可能性がある(ステップ44
0)。セキュリティモジュールは、未知の実行可能ファイルが前もって識別されたマルウ
ェアを示すメタデータフィールド属性を含んでいるか否かを決定することによって、未知
の実行可能ファイルがマルウェアを含んでいるか否かを決定することができる。
いくつかの実施形態では、セキュリティモジュールはアンチウィルスセキュリティソフ
トウェアプログラムを含む、またはその一部とすることができる。少なくとも一つの実施
形態によると、クライアントコンピューティング装置はセキュリティモジュールを含むこ
とができ、そしてセキュリティモジュールは、クライアントコンピューティング装置の未
知のファイルがマルウェアを含んでいるか否かを決定することによって、クライアントコ
ンピューティング装置を保護することができる。セキュリティモジュールはまた、クライ
アントコンピューティング装置にダウンロードされるファイルがマルウェアを含んでいる
か否かを決定することができる。その他の実施形態では、サーバまたは他の任意のコンピ
ューティング装置もセキュリティモジュールを含むことができる。
一実施形態では、850,000個の既知の無害実行可能ファイルおよび500,00
0個の既知の悪意実行可能ファイルを検査モジュールによって検査した。検査中に収集さ
れた情報は、推論モジュールによって処理され、マルウェアを示すヘッダフィールド属性
を決定した。推論モジュールによって推論された情報に基づき、セキュリティモジュール
は、0.5%以下の誤検出判定を返しながら、約50〜60%の悪意実行可能ファイルを
悪質なものとして識別することができた。このような結果を当業者は予期しなかったであ
ろう。
図5は、本明細書に記載および/または説明する1つ以上の実施形態を実行することの
できる例示的なコンピューティングシステム510のブロック図である。コンピューティ
ングシステム510は、コンピュータの読み取り可能な命令を実行することのできる1つ
のまたは複数のマルチプロセッサコンピューティング装置またはシステムを広義に表して
いる。コンピューティングシステム510の例としては、以下のものに限定しないが、ワ
ークステーション、ラップトップ、クライアント側端末、サーバ、分散コンピューティン
グシステム、ハンドヘルドデバイスまたは他のコンピューティングシステムまたは装置が
ある。その最も基本的な構成において、コンピューティングシステム510は少なくとも
1個のプロセッサ514およびシステムメモリ516を備えることができる。
プロセッサ514は、一般に、データ処理または命令の機械言語翻訳および実行を行う
ことのできる任意のタイプまたは形式の処理ユニットを表す。ある実施形態では、プロセ
ッサ514は、ソフトウェアアプリケーションまたはモジュールから命令を受け取る可能
性がある。これらの命令によって、プロセッサ514は本明細書に記載および/または説
明する一つ以上の実施例の機能を実施することができる。例えば、プロセッサ514は、
単独で、またはその他の構成部品と組み合わせて、本明細書に記載する検査、推論、受け
取り、決定および/または実行というステップのうち一つ以上のものを実施する、または
実施する手段とすることができる。プロセッサ514は、さらに、本明細書に記載および
/または説明する他のステップ、方法またはプロセスを実施する、または実施する手段と
することができる。
システムメモリ516は、一般に、データおよび/または他のコンピュータの読み取り
可能な命令を記憶することのできる、任意のタイプまたは形式の揮発性もしくは不揮発性
の記憶装置または媒体を表す。システムメモリ516の例としては、以下のものに限定し
ないが、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、フラッシ
ュメモリまたはその他のあらゆる適切なメモリ装置がある。ある実施形態では、必須では
ないが、コンピューティングシステム510は、揮発性メモリユニット(例えばシステム
メモリ516)および不揮発性記憶装置(例えば、以下に詳細を説明する主記憶装置53
2など)の双方を有することができる。
ある実施形態では、例示的なコンピュータシステム510は、さらに、プロセッサ51
4およびシステムメモリ516に加えて、1つ以上のコンポーネントまたは素子を備える
ことができる。例えば、図5に説明するように、コンピューティングシステム510は、
メモリコントローラ518、入力/出力(I/O)コントローラ520および通信インタ
フェース522を備えることができ、それらはそれぞれ通信インフラ512を介して相互
に接続する。通信インフラ512は、一般に、コンピューティング装置における1個以上
のコンポーネント間の通信を容易化することのできる、任意のタイプまたは形式のインフ
ラを表す。通信インフラ512の例としては、以下のものに限定しないが、通信バス(I
SA,PCI,PCIeまたは同様のバス)およびネットワークがある。
メモリコントローラ518は、一般に、メモリもしくはデータの処理、またはコンピュ
ーティングシステム510の1個以上のコンポーネント間の通信を制御することのできる
、任意のタイプまたは形式の装置を表す。例えば、ある実施形態では、メモリコントロー
ラ518は、通信インフラ512を介して、プロセッサ514、システムメモリ516、
I/Oコントローラ520間の通信を制御することができる。ある実施形態では、メモリ
コントローラは、単独で、または他の素子と組み合わせて、例えば検査、推論、受け取り
、決定、および/または実行などのような、本明細書に記載および/または説明する、一
つ以上のステップまたは機能を実施する、または実施する手段とすることができる。
I/Oコントローラ520は、一般に、コンピューティング装置の入出力機能の調整お
よび/または制御を行うことのできる、任意のタイプまたは形式のモジュールを表す。例
えば、ある実施形態では、I/Oコントローラは、コンピューティングシステム510の
1個以上の素子、例えば、プロセッサ514、システムメモリ516、通信インタフェー
ス522、ディスプレイアダプタ526、入力インタフェース530および記憶インタフ
ェース534間におけるデータ送信の制御または容易化を行うことができる。I/Oコン
トローラ520は、例えば、単独で、または他の素子と組み合わせて、本明細書に記載す
る検査、推論、受け取り、決定、および/または実施というステップのうち一つ以上を実
施するために使用することができるか、または実施するための手段とすることができる。
I/Oコントローラ520は、さらに、本明細書に示す他のステップまたは機能を実施す
るために使うことができる、または実施するための手段とすることができる。
通信インタフェース522は、例示的なコンピューティングシステム510と1つ以上
の付加装置との間の通信を容易化することのできる、任意のタイプまたは形式の通信装置
またはアダプタを広義に表す。例えば、ある実施形態では、通信インタフェース522は
、コンピューティングシステム510および付加的コンピューティングシステムを備える
プライベートまたはパブリックのネットワークとの間の通信を容易化することができる。
通信インタフェース522の例としては、以下のものに限定しないが、有線ネットワーク
インタフェース(例えばネットワークインタフェースカード)、無線ネットワークインタ
フェース(例えば無線ネットワークインタフェースカードなど)、モデムおよび他の適切
なインタフェースがある。少なくとも一つの実施形態では、通信インタフェース522は
、例えばインターネットなどのネットワークへの直接のリンクを介して、リモートサーバ
への直接的な接続を提供することができる。通信インタフェース522はまた、例えば、
ローカルエリアネットワーク(Ethernet(登録商標)ネットネットワークなど)
、パーソナルエリアネットワーク、電話またはケーブルネットワーク、携帯電話接続、衛
星データ接続またはその他の適切な接続を通して、このような接続を間接的に提供するこ
ともできる。
ある実施形態では、通信インタフェース522はまた、外部バスまたは通信チャネルを
介して、コンピューティングシステム510と1つ以上の追加ネットワークまたは記憶装
置との間で通信を容易化するように構成した、ホストアダプタを表すこともできる。ホス
トアダプタの例には、SCSIホストアダプタ、USBホストアダプタ、IEEE594
ホストアダプタ、SATAとeSATAホストアダプタ、ATAとPATAホストアダプ
タ、ファイバーチャネルインタフェースアダプタ、Ethernet(登録商標)アダプ
タなどが含まれるが、これらに限定されない。また通信インタフェース522によって、
コンピューティングシステム510に分散またはリモートコンピューティングを行わせる
こともできる。例えば、通信インタフェース522はリモート装置から命令を受け取った
り、または実行のためにリモート装置へ命令を送ったりすることができる。ある実施形態
では、通信インタフェース522は、単独で、またはその他の構成要素と組み合わせて、
本明細書に開示する検査、推論、受け取り、決定および/または実施というステップのう
ち一つ以上のものを実施する、または実施する手段とすることができる。通信インタフェ
ース522は、さらに、本明細書に示す他のステップおよび特徴を実施するために使用す
ることができる、または実施する手段とすることができる。
図5に示すように、コンピューティングシステム510は、さらに、ディスプレイアダ
プタ526を介して通信インフラ512に接続する少なくとも1つのディスプレイ装置5
24を備えることができる。ディスプレイ装置524は一般に、ディスプレイアダプタ5
26によって転送される情報を視覚的に表示することのできる、任意のタイプまたは形式
の装置を表す。同様に、ディスプレイアダプタ526は、一般に、ディスプレイ装置52
4で表示するように、通信インフラ512(または本発明の技術分野で既知のフレームバ
ッファ)からのグラフィックス、テキストおよび他のデータを転送するよう構成した、任
意のタイプまたは形式の装置を表す。
図5に示すように、例示的なコンピューティングシステム510は、さらに、入力イン
タフェース530を介して通信インフラ512に接続する、少なくとも1個の入力装置5
28を備えることができる。入力装置528は、一般に、コンピュータまたは人間が生成
した入力を例示的コンピューティングシステム510に供給することのできる、任意のタ
イプまたは形式の入力装置を表す。入力装置528の例としては、以下のものに限定しな
いが、キーボード、ポインティング装置、音声認識装置または他の入力装置がある。少な
くとも一つの実施形態では、入力装置528は、単独で、または他の素子と組み合わせて
、本明細書に開示する検査、推論、受け取り、決定、および/または実施というステップ
のうち一つ以上のものを実施することができるか、または実施するための手段とすること
ができる。入力装置528は、さらに、本明細書に示すその他のステップおよび特徴を実
施するために使用することができるか、または実施するための手段とすることができる。
図5に説明するように、例示的なコンピューティングシステム510は、さらに、記憶
インタフェース534を介して通信インフラ512に接続する、主記憶装置532および
バックアップ記憶装置533を備えることができる。記憶装置532および533は、一
般に、データおよび/または他のコンピュータ読み取り可能な命令を記憶することのでき
る、任意のタイプおよび/または形式の記憶装置または記憶媒体を表す。例えば、記憶装
置532,533は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、フロ
ッピー(登録商標)ディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラ
ッシュドライブとすることができる。記憶インタフェース423は、一般に、記憶装置5
32,533と、コンピューティングシステム510における他の素子との間でデータの
送信を行う、任意のタイプまたは形式のインタフェースまたはデバイスを表す。
ある実施形態では、記憶装置532,533は、コンピュータソフトウェア、データ、
または他のコンピュータ読み取り可能な情報を記憶するように構成した、リムーバブル記
憶装置に対する読み出しおよび/または書き込みを行うよう構成することができる。適切
なリムーバブル記憶ユニットの例としては、以下のものに限定しないが、フロッピー(登
録商標)ディスク、磁気テープ、光ディスク、フラッシュメモリ装置がある。記憶装置5
32,533はまた、コンピュータソフトウェア、データまたは他のコンピュータの読み
取り可能な命令をコンピューティングシステム510にロードするための他の類似な構造
またはデバイスを備えることができる。例えば、記憶装置532,533は、ソフトウェ
ア、データまたは他のコンピュータの読み取り可能な情報を読み出しおよび書き込みする
よう構成することができる。記憶装置532,533は、さらに、コンピューティングシ
ステム510の一部とする、または他のインタフェースシステムを通してアクセスする個
別のデバイスとすることもできる。
ある実施形態では、本明細書に開示する例示的なファイルシステムを主記憶装置532
に記憶するとともに、本明細書に開示する例示的なファイルシステムバックアップをバッ
クアップ記憶装置533に記憶することができる。記憶装置532,533は、例えば、
本開示に示す他のステップや特徴を実施するために使用することができる、または実施す
るための手段とすることができる。
他の多数のデバイスまたはサブシステムをコンピューティングシステム510に接続す
ることができる。逆に、本明細書に記載および/または説明する実施形態を実施するため
に、図5に示すコンポーネントおよびデバイスの全てが存在しなければならないというこ
とではない。上述したデバイスおよびサブシステムは、さらに、図5に示すものとは異な
る方法で相互に接続することができる。コンピューティングシステム510は、さらに、
ソフトウェア、ファームウェア、および/またはハードウェア構成を任意の数だけ使用す
ることができる。例えば、本明細書に開示する一つ以上の実施例は、コンピュータ読み取
り可能な媒体にコンピュータプログラム(または、コンピュータソフトウェア、ソフトウ
ェアアプリケーション、コンピュータの読み取り可能な命令またはコンピュータ制御ロジ
ックとも称することができる)として符号化することができる。用語「コンピュータ読み
取り可能な媒体」とは、一般に、コンピュータの読み取り可能な命令を記憶または担持す
ることができる任意の形式の装置、キャリア、または媒体に言及する。コンピュータ読み
取り可能な媒体としては、以下のものに限定しないが、例えば、搬送波のような伝送タイ
プの媒体、および磁気記憶媒体のような物理的媒体(例えば、ハードディスクドライブや
フロッピー(登録商標)ディスク)、光記憶媒体(例えば、CD−ROMまたはDVD−R
OM)、電子記憶媒体(例えばソリッドステートドライブおよびフラッシュ媒体)および他
の分散システムがある。
コンピュータプログラムを含むコンピュータ読み取り可能な媒体は、コンピューティン
グシステム510にロードすることができる。コンピュータ読み取り可能な媒体に記憶さ
れるコンピュータプログラムの全体または一部は、それからシステムメモリ516および
/または記憶装置532,533の様々な部分に記憶される。プロセッサ514によって
実行されると、コンピューティングシステム510にロードされたコンピュータプログラ
ムは、プロセッサ514に、本明細書に記載および/または説明する一つ以上の実施例の
機能を実施させる、または実施させるための手段となるようにすることができる。付加的
または代替的に、本明細書に記載および/または説明する一つ以上の実施例は、ファーム
ウェアおよび/またはハードウェアで実現することができる。例えば、コンピューティン
グシステム510は、本明細書に開示する一つ以上の実施例を実現するよう構成した、特
定用途向け集積回路(ASIC)として構成することができる。
図6は、例示的なネットワークアーキテクチャ600のブロック図であり、クライアン
トシステム610,620,630およびサーバ640,645をネットワーク650に
接続することができる。クライアントシステム610,620,630は、一般に、例え
ば図5の例示的なコンピューティングシステム510のような、任意のタイプまたは形式
のコンピューティング装置またはシステムを表す。同様に、サーバ640,645は、一
般に、様々なデータベースサービスの提供および/または特定のソフトウェアアプリケー
ションを実行するよう構成した、アプリケーションサーバまたはデータベースサーバのよ
うな、コンピューティング装置またはシステムを表す。ネットワーク650は、一般に、
例えば、イントラネット、広域ネットワーク(WAN)、ローカルエリアネットワーク(
LAN)、パーソナルエリアネットワーク(PAN)またはインターネットを含む、あら
ゆる電気通信またはコンピュータネットワークを表す。
図6に示すように、1台以上の記憶装置660(1)〜(N)をサーバ640に直接取
り付けることができる。同様に、1台以上の記憶装置670(1)〜(N)をサーバ64
5に直接取り付けることができる。記憶装置660(1)〜(N)および記憶装置670
(1)〜(N)は一般に、データおよび/または他のコンピュータ読み取り可能な命令を
記憶することのできる、任意のタイプもしくは形式の記憶装置または媒体を表している。
ある実施形態では、記憶装置660(1)〜(N)および記憶装置670(1)〜(N)
は、NFS,SMBまたはCIFSのような様々なプロトコルを使って、サーバ640お
よび645と通信を行うように構成したネットワーク接続ストレージ(NAS)装置を表
すことができる。
サーバ640,645は、さらに、ストレージエリアネットワーク(SAN)ファブリ
ック680に接続することができる。SANファブリック680は一般に、複数の記憶装
置間の通信を容易化することのできる、任意のタイプもしくは形式のコンピュータネット
ワークまたはアーキテクチャを表す。SANファブリック680は、サーバ640,64
5、複数の記憶装置690(1)〜(N)、および/またはインテリジェントストレージ
アレイ695間の通信を容易化することができる。SANファブリック680は、さらに
、ネットワーク650およびサーバ640,645を介して、クライアントシステム61
0,620,630と記憶装置690(1)〜(N)および/またはインテリジェントス
トレージアレイ695との間の通信を、記憶装置690(1)〜(N)およびアレイ69
5がクライアントシステム610,620,630に局部的に取り付けられた装置として
現れるようにして、容易化する。記憶装置660(1)〜(N)および記憶装置670(
1)〜(N)のように、記憶装置690(1)〜(N)およびインテリジェントストレー
ジアレイ695は、一般に、データおよび/または他のコンピュータ読み取り可能な命令
を記憶することのできる、任意のタイプもしくは形式の記憶装置または媒体を表す。
ある実施形態では、図5の例示的なコンピューティングシステム510につき説明する
と、図5の通信インタフェース522のような通信インタフェースは、クライアントシス
テム610,620,630のそれぞれとネットワーク650との間に接続能力を付与す
るために使用することができる。クライアントシステム610,620,630は、例え
ば、ウェブブラウザまたはその他のクライアントソフトウェアを使って、サーバ640ま
たは645の情報にアクセスすることができる。このようなソフトウェアによって、クラ
イアントシステム610,620,630は、サーバ640,サーバ645、記憶装置6
60(1)〜(N)、記憶装置670(1)〜(N)、記憶装置690(1)〜(N)お
よび/またはインテリジェントストレージアレイ695によってホストされるデータにア
クセスすることができる。図6はデータ交換のネットワーク(例えばインターネットのよ
うな)の使用を説明するものであるが、本明細書に記載および/または説明する実施形態
は、インターネットまたは特定のネットワークベースの環境に限定されるものではない。
少なくとも一つの実施形態では、本明細書に開示する一つ以上の実施例の全てまたは一
部を、コンピュータプログラムとして符号化し、サーバ640、サーバ645、記憶装置
660(1)〜(N)、記憶装置670(1)〜(N)、記憶装置690(1)〜(N)
および/またはインテリジェントストレージアレイ695またはそれらの任意の組み合わ
せにロードし、そして実行することができる。本明細書に開示する一つ以上の実施例の全
てまたは一部もまたコンピュータプログラムとして符号化し、サーバ640に記憶し、サ
ーバ645によって実行し、ネットワーク650によってクライアントシステム610,
620,630に分散することができる。よって、ネットワークアーキテクチャ600は
、単独で、または他の素子と組み合わせて、本明細書に開示する検査、推論、受け取り、
決定および/または実行というステップのうち1つ以上を行うことができる、および/ま
たは行う手段とすることができる。ネットワークアーキテクチャ600は、さらに、本開
示に示すその他のステップや機能の特徴を実施するために使用される、または実施するた
めの手段とすることができる。
詳細に上述したように、コンピューティングシステム410および/またはネットワー
クアーキテクチャ500の一つ以上のコンポーネントは、単独または他の素子との組み合
わせで、本明細書に記載および/または説明する例示的な方法の一つ以上のステップを実
施することができる、または実施するための手段とすることができる。例えば、コンピュ
ーティングシステムは、複数の既知の無害実行可能ファイルにおける複数のメタデータフ
ィールドを検査することができる。コンピューティングシステムは、さらに、複数の既知
の悪意実行可能ファイルにおける複数のメタデータフィールドも検査することができる。
コンピューティングシステムは、複数の既知の無害な、および既知の悪意実行可能ファイ
ルにおける複数のメタデータフィールドを検査することから得た情報に基づいて、マルウ
ェアを示すメタデータフィールド属性を推論することができる。
ある実施形態では、コンピューティングシステムは悪意実行可能ファイルを受け取る可
能性がある。コンピューティングシステムは、未知の実行可能ファイルがマルウェアを示
すメタデータフィールド属性を含んでいるか否かを決定することにより、未知の実行可能
ファイルがマルウェアを含んでいるか否かを決定することができる。少なくとも一つの実
施形態では、コンピューティングシステムは、未知の実行可能ファイルがマルウェアを含
んでいると、セキュリティアクションを実施することができる。
様々な実施形態によると、複数の既知の無害実行可能ファイルは、ポータブルの実行可
能ファイルを含むことができ、複数の既知の悪意実行可能ファイルはポータブルの実行可
能ファイルを含むことができる。少なくとも一つの実施形態では、メタデータフィールド
属性はヘッダフィールド属性を含むことができる。ある実施形態によると、ヘッダフィー
ルド属性は、デバッグ・セクション属性、インポート属性、シンボル・テーブル属性、オ
プショナル・ヘッダ属性、特性属性、イメージ・サブシステム属性、リンカ・バージョン
属性、サイズ属性、リアル・バーチャル・アドレス属性、エントリー・ポイント属性、コ
ード・セクション・ベース属性、アライメント属性、オペレーティング・システム・バー
ジョン属性、イメージ・バージョン属性、ミニマム・サブシステム・バージョン属性、ダ
イナミック・リンク・ライブラリキャラクテリスティック属性、スタック・サイズ属性、
ヒープ・サイズ属性、セクション数属性、ノー・イン・アウト属性、スレッド・レベル・
スペキュレーション属性および/またはベース・オブ・イメージ属性のうち少なくとも一
つを含む。
いくつかの実施形態では、マルウェアを示すメタデータフィールド属性は、複数の既知
の無害な実行可能ファイルと既知の悪意実行可能ファイル内で検査される複数のメタデー
タフィールドのサブセットを含む。少なくとも一つの実施形態では、マルウェアを示すメ
タデータフィールド属性は、静的属性を含むことができる。様々な実施形態では、マルウ
ェアを示すメタデータフィールド属性の推論は、マルウェアを示すメタデータフィールド
属性の少なくとも一つの組み合わせの決定を含む。少なくとも一つの実施形態によると、
マルウェアを示すメタデータフィールド属性の推論には、マルウェアを示す第1メタデー
タフィールド属性が、マルウェアを示す第2メタデータフィールド属性よりも強いマルウ
ェアの指標であるという決定を含む。
いくつかの実施形態では、マルウェアを示すメタデータフィールド属性は、デバッグ・
セクション属性、シンボル・テーブル属性、イメージ・サブシステム属性、リンカ・バー
ジョン属性、リアル・バーチャル・アドレス属性、オペレーティング・システム・バージ
ョン属性、イメージ・バージョン属性、ミニマム・サブシステム・バージョン属性、ダイ
ナミック・リンク・ライブラリ・キャラクテリスティック属性、スタック・サイズ属性、
ヒープ・サイズ属性、および/またはセクション数属性のうち少なくとも一つを含む。
いくつかの実施形態では、マルウェアを示すメタデータフィールド属性は、セクション
・アライメント整数、ファイル・アライメント整数、メジャー・オペレーティング・シス
テム・バージョン整数、マイナー・オペレーティング・システム・バージョン整数、メジ
ャー・イメージ・バージョン整数、マイナー・イメージ・バージョン整数、メジャー・サ
ブシステム・バージョン整数、マイナー・サブシステム・バージョン整数、イメージ・サ
イズ整数、ヘッダ・サイズ整数、グラフィカル・ユーザーインタフェース整数、キャラク
タ・ベース・ユーザーインタフェース整数、サイズ・オブ・スタック・リザーブ整数、サ
イズ・オブ・スタック・コミット整数、サイズ・オブ・ヒープ・リザーブ 整数、サイズ
・オブ・ヒープ・コミット整数、シンボル・テーブル・ポインタ整数、シンボル数整数、
デバッグ・セクション整数、メジャー・リンカ・バージョン整数、マイナー・リンカ・バ
ージョン整数、コード・セクション・サイズ整数、初期化・データ・サイズ整数、非初期
化・データ・サイズ整数、リアル・バーチャル・アドレス(「RVA」)エントリー・ポ
イント整数、RVA・スタート・オブ・コード・セクション整数、RVA・ベース・オブ
・コード・セクション整数、RVA・スタート・オブ・データ・セクション整数、ベース
・オブ・イメージ整数、ハズ・インポート整数、ハズ・ディレイ・インポート整数、エク
スターナル・バインディング・ファシリティ整数、ノー・イン・アウト整数、urlmo
n・インポート整数、スレッド・レベル・スペキュレーション整数、msvcrt・イン
ポート整数、oleaut32・インポート整数、setupapi・インポート整数、
user32・インポート整数、advapi32・インポート整数、shell32・
インポート整数、gdi32・インポート整数、comdlg32・インポート整数、i
mm32・インポート整数、 ハズ・サーティフィケート整数、ノード整数および/また
はセクション数整数のうち少なくとも2つを含む。
ある実施形態によると、システムは、複数の既知の無害実行可能ファイルにおける複数
のヘッダフィールド、および複数の既知の悪意実行可能ファイルにおける複数のヘッダフ
ィールドを検査するようにプログラムした検査モジュールを有する。このシステムは、さ
らに、検査モジュールによって得た情報を記憶するように構成したデータベースと、検査
モジュールから取得した情報に基づいて、マルウェアを示すヘッダフィールド属性を推論
するようにプログラムした推論モジュールとを有する。
ある実施形態では、システムは未知の実行可能ファイルを受け取る、および/またはそ
の未知の実行可能ファイルがマルウェアを示すヘッダフィールド属性を含んでいるか否か
を決定することによって、その未知の実行可能ファイルがマルウェアを含んでいるか否か
を決定するようにプログラムしたセキュリティシステムを有することができる。少なくと
も一つの実施形態では、セキュリティモジュールは、さらに、未知の実行可能ファイルが
マルウェアを含んでいる場合、セキュリティアクションを実施するようにプログラムする
ことができる。
上述の開示は特定のブロック図、フローチャートおよび例を使って様々な実施形態を示
すが、本明細書に記載および/または説明する各ブロック図の構成部分、フローチャート
ステップ、動作および/またはコンポーネントは、広範囲のハードウェア、ソフトウェア
またはファームウェア(またはそれらの組み合わせ)を使って個々におよび/または集合
的に実現することができる。さらに、他のコンポーネントに含まれる構成部品の開示はど
のようなものであっても、同じ機能を達成するために多くの他のアーキテクチャを実現す
ることができるので、本来は例示的なものと見なすことができる。
本明細書に記載および/または説明するプロセスパラメータおよびステップの順序は、
単なる例であり、所望に応じて修正することができる。例えば、本明細書に説明または記
載のステップは特定の順序で示す、または論じたが、これらのステップは必ずしも説明ま
たは論じた通りの順序で行う必要はない。本明細書に記載または説明する様々な例示的方
法もまた、本明細書に記載または説明する1つ以上のステップを削除することもできるし
、または開示されたものに加えて、追加のステップを含むこともできる。
さらに、様々な実施形態を完全に機能的なコンピューティングシステムとして本明細書
に記載および/または説明してきたが、分散を行うために実際に使用される特定の種類の
コンピュータ読み取り可能な媒体に関わらず、一つ以上のこれらの実施例は、様々な形態
のプログラム製品として流通させることができる。本明細書に開示する実施形態はまた、
特定のタスクを実行するソフトウェアモジュールを使って実現することもできる。これら
のソフトウェアモジュールは、コンピュータ読み取り可能な記憶媒体またはコンピューテ
ィングシステムに記憶することのできるスクリプト、バッチまたはその他の実行可能ファ
イルを含むことができる。いくつかの実施形態では、これらのソフトウェアモジュールは
、本明細書に開示する一つ以上の実施例を実行するコンピューティングシステムとして構
成することができる。
上述の説明は、当業者が本明細書に記載する実施例の様々な態様を最大限に利用できる
ように行った。この例示的説明は網羅的、または開示した通りの形式に限定することを意
図したものではない。本発明の要旨または範囲から逸脱することなく、多くの変更および
改変が可能である。本明細書に記載する実施形態は、あらゆる面において例示的であり、
限定するものではないと見なし、また、添付の特許請求の範囲および特許請求の範囲が決
定する等価物を参照して本発明の範囲を決定するのが望ましい。
別段に記載のない限り、明細書または特許請求の範囲において、各要素は複数存在し得
る。さらに、簡単のために、明細書および請求項で使用される「〜を含む」および「〜を
有する」という言葉は、同じ意味を持つ言葉である「〜を備える」と置き替えることがで
きる。
100 システム
110 モジュール
112 検査モジュール
114 推論モジュール
116 セキュリティモジュール
120 データベース
122 メタデータフィールド・データベース
124 マルウェアメタデータフィールド情報データベース
300 実行可能ファイル
310 DOSスタブ
320 ファイルヘッダ
330 オプショナル・ヘッダ
340 データディレクトリ
350 セクションヘッダ
360(1) セクション1
360(2) セクション2
360(n) セクションN
510 コンピューティングシステム
514 プロセッサ
516 システムメモリ
518 メモリコントローラ
520 I/Oコントローラ
522 通信インタフェース
524 ディスプレイ装置
526 ディスプレイアダプタ
528 入力装置
530 入力インタフェース
532 主記憶装置
533 バックアップ記憶装置
534 記憶インタフェース
600 ネットワークアーキテクチャ
610、620、630 クライアント
640、645 サーバ
650 ネットワーク
660(1)〜660(N)、670(1)〜670(N)、690(1)〜690(N
)装置
680 SANファブリック
695 インテリジェント記憶アレイ

Claims (20)

  1. マルウェア検出をコンピュータで実現する方法において、
    複数の既知の無害実行可能ファイルにおける複数のメタデータフィールドを検査するス
    テップと、
    複数の既知の悪意実行可能ファイルにおける複数のメタデータフィールドを検査するス
    テップと、
    前記複数の既知の無害実行可能ファイル、および既知の悪意実行可能ファイルにおける
    複数のメタデータフィールドの検査から得られた情報に基づき、マルウェアを示すメタデ
    ータフィールド属性を推論するステップと
    を有する、マルウェア検出をコンピュータで実現する方法。
  2. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、さらに、
    未知の実行可能ファイルを受け取るステップと、
    前記未知の実行可能ファイルがマルウェアを示すメタデータフィールド属性を含んでい
    るか否かを決定することによって、前記未知の実行可能ファイルがマルウェアを含んでい
    るか否かを決定するステップと
    を有する、方法。
  3. 請求項2に記載のマルウェア検出をコンピュータで実現する方法において、さらに、
    前記未知の実行可能ファイルがマルウェアを含んでいる場合、セキュリティアクション
    を実施するステップを有する、
    方法。
  4. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、
    前記複数の既知の無害実行可能ファイルはポータブル実行可能ファイルを有し、
    前記複数の既知の悪質実行可能ファイルはポータブル実行可能ファイルを有し、
    前記メタデータフィールド属性はヘッダフィールド属性を有する、
    マルウェア検出をコンピュータで実現する方法。
  5. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、
    前記マルウェアを示すメタデータフィールド属性は、以下の属性、すなわち、
    デバッグ・セクション属性、
    インポート属性、
    シンボル・テーブル属性、
    オプショナル・ヘッダ属性、
    特性属性、
    イメージ・サブシステム属性、
    リンカ・バージョン属性、
    サイズ属性、
    リアル・バーチャル・アドレス属性、
    エントリー・ポイント属性、
    コード・セクション・ベース属性、
    アライメント属性、
    オペレーティング・システム・バージョン属性、
    イメージ・バージョン属性、
    ミニマム・サブシステム・バージョン属性、
    ダイナミック・リンク・ライブラリ・特性属性、
    スタック・サイズ属性、
    ヒープ・サイズ属性、
    セクション個数属性、
    ノー・イン・アウト属性、
    スレッド・レベル・スペキュレーション属性、
    ベース・オブ・イメージ属性
    のうち少なくとも一つを有する、方法。
  6. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、マルウェア
    を示す前記メタデータフィールド属性は、前記複数の既知の無害実行可能ファイルおよび
    既知の悪意実行可能ファイル内で検査された、前記複数のメタデータフィールドからの属
    性のサブセットを有する、方法。
  7. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、マルウェア
    を示す前記メタデータフィールド属性は静的属性を有する、方法。
  8. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、マルウェア
    を示すメタデータフィールド属性を推論するステップは、マルウェアを示すメタデータフ
    ィールド属性の少なくとも一つの組み合わせを決定するステップを有する、方法。
  9. 請求項1に記載のマルウェア検出をコンピュータで実現する方法において、マルウェア
    を示すメタデータフィールド属性を推論するステップは、マルウェアを示す第1メタデー
    タフィールド属性が、マルウェアを示す第2メタデータフィールド属性よりも強い指標で
    あることを決定するステップを有する、方法。
  10. 請求項1に記載のマルウェア検出をコンピュータで実施する方法において、少なくとも
    一つのコンピュータ読み取り可能な媒体における、コンピュータ実行可能命令として明確
    に具現化した、方法。
  11. マルウェア検出をコンピュータで実現する方法において、
    複数の既知の無害なポータブル実行可能ファイルにおける複数のメタデータフィールド
    を検査するステップと、
    複数の既知の悪意があるポータブル実行可能ファイルにおける複数のメタデータフィー
    ルドを検査するステップと、
    前記複数の既知の無害なポータブル実行可能ファイル、および既知の悪意があるポータ
    ブル実行可能ファイルにおける前記複数のメタデータフィールドの検査から得られた情報
    に基づき、マルウェアを示すメタデータフィールド属性を推論するステップと、
    未知の実行可能ファイルを受け取るステップと、
    前記未知の実行可能ファイルがマルウェアを示すメタデータフィールドを含んでいるか
    否かを決定することによって、前記未知の実行可能ファイルがマルウェアを含んでいるか
    否かを決定するステップと
    を有する、マルウェア検出をコンピュータで実現する方法。
  12. 請求項11に記載のマルウェア検出をコンピュータで実現する方法において、
    マルウェアを示すメタデータフィールド属性は、以下の属性、すなわち
    デバッグ・セクション属性、
    シンボル・テーブル属性、
    イメージ・サブシステム属性、
    リンカ・バージョン属性、
    リアル・バーチャル・アドレス属性、
    オペレーティング・システム・バージョン属性、
    イメージ・バージョン属性、
    ミニマム・サブシステム・バージョン属性、
    ダイナミック・リンク・ライブラリ・特性属性、
    スタック・サイズ属性、
    ヒープ・サイズ属性、
    セクション数属性、
    のうち、少なくとも1つを含むものとした、方法。
  13. 請求項11に記載のマルウェア検出をコンピュータで実現する方法において、
    マルウェアを示す前記メタデータフィールド属性は、以下の整数、すなわち
    セクション・アライメント整数、
    ファイル・アライメント整数、
    メジャー・オペレーティング・システム・バージョン整数、
    マイナー・オペレーティング・システム・バージョン整数、
    メジャー・イメージ・バージョン整数、
    マイナー・イメージ・バージョン整数、
    メジャー・サブシステム・バージョン整数、
    マイナー・サブシステム・バージョン整数、
    イメージ・サイズ整数、
    ヘッダ・サイズ整数、
    グラフィカル・ユーザーインタフェース整数、
    キャラクタ・ベース・ユーザーインタフェース整数、
    サイズ・オブ・スタック・リザーブ整数、
    サイズ・オブ・スタック・コミット整数、
    サイズ・オブ・ヒープ・リザーブ整数、
    サイズ・オブ・ヒープ・コミット整数、
    シンボル・テーブル・ポインタ整数、
    シンボル個数整数、
    デバッグ・セクション整数、
    メジャー・リンカ・バージョン整数、
    マイナー・リンカ・バージョン整数、
    コード・セクション・サイズ整数、
    初期化・データ・サイズ整数、
    非初期化・データ・サイズ整数、
    リアル・バーチャル・アドレス・エントリー・ポイント整数、
    リアル・バーチャル・アドレス・スタート・オブ・コード・セクション整数、
    リアル・バーチャル・アドレス・ベース・オブ・コード・セクション整数、
    リアル・バーチャル・アドレス・スタート・オブ・データ・セクション整数、
    ベース・オブ・イメージ整数、
    ハズ・インポート整数、
    ハズ・ディレイ・インポート整数、
    エクスターナル・バインディング・ファシリティ整数、
    ノー・イン・アウト整数、
    urlmon・インポート整数、
    スレッド・レベル・スペキュレーション整数、
    msvcrt・インポート整数、
    oleaut32・インポート整数、
    setupapi・インポート整数、
    user32・インポート整数、
    advapi32・インポート整数、
    shell32・インポート整数、
    gdi32・インポート整数、
    comdlg32・インポート整数
    imm32・インポート整数
    ハズ・サーティフィケート整数、
    ノード整数
    セクション個数整数
    のうち、少なくとも2つを含むものとした、方法。
  14. 請求項11に記載のマルウェア検出をコンピュータで実現する方法において、さらに、
    前記未知の実行可能ファイルがマルウェアを含む場合にセキュリティアクションを実施
    するステップを有し、
    前記セキュリティアクションは、以下のステップ、すなわち、
    前記未知の実行可能ファイルを隔離するステップと、
    前記未知の実行可能ファイルをセキュリティソフトウェアベンダーに報告するステップ
    と、
    前記未知の実行可能ファイルをマルウェアファイルのリストへ追加するステップと
    のうち、少なくとも一つを有する、方法。
  15. 請求項11に記載のマルウェア検出をコンピュータで実現する方法において、少なくと
    も一つのコンピュータ読み取り可能な媒体における、コンピュータ実行可能命令として明
    確に具現化した、方法。
  16. 検査モジュールであって、
    複数の既知の無害な実行可能ファイルにおける複数のヘッダフィールドを検査し、
    複数の既知の悪意がある実行可能ファイルにおける複数のヘッダフィールドを検査す

    ようプログラムした、該検査モジュールと、
    前記検査モジュールと通信し、前記検査モジュールによって得られた情報を記憶するよ
    う構成したデータベースと、
    前記検査モジュールから得られた前記情報に基づき、マルウェアを示すヘッダフィール
    ド属性を推論するようプログラムした推論モジュールと
    を備えたシステム。
  17. 請求項16に記載のシステムにおいて、さらに、
    セキュリティシステムであって、
    未知の実行可能ファイルを受け取り、
    前記未知の実行可能ファイルがマルウェアを示す前記ヘッダフィールド属性を含んで
    いるか否かを決定することによって、前記未知の実行可能ファイルがマルウェアを含んで
    いるか否かを決定する
    ようにプログラムした、該セキュリティシステムを有する、システム。
  18. 請求項17に記載のシステムにおいて、前記セキュリティモジュールは、さらに、前記
    未知の実行可能ファイルがマルウェアを含んでいる場合に、セキュリティアクションを実
    施するようプログラムした、システム。
  19. 請求項16に記載のシステムにおいて、前記ヘッダフィールド属性は、以下の属性、す
    なわち、
    デバッグ・セクション属性、
    インポート属性、
    シンボル・テーブル属性、
    オプショナル・ヘッダ属性、
    特性属性、
    イメージ・サブシステム属性、
    リンカ・バージョン属性、
    サイズ属性、
    リアル・バーチャル・アドレス属性、
    エントリー・ポイント属性、
    コード・セクション・ベース属性、
    アライメント属性、
    オペレーティング・システム・バージョン属性、
    イメージ・バージョン属性、
    ミニマム・サブシステム・バージョン属性、
    ダイナミック・リンク・ライブラリ・特性属性、
    スタック・サイズ属性、
    ヒープ・サイズ属性、
    セクション個数属性、
    ノー・イン・アウト属性、
    スレッド・レベル・スペキュレーション属性、
    ベース・オブ・イメージ属性
    のうち、少なくとも一つを含む、システム。
  20. 請求項16に記載のシステムにおいて、マルウェアを示す前記ヘッダフィールド属性は
    静的属性を含む、システム。
JP2015102581A 2008-12-18 2015-05-20 マルウェアを示すヘッダフィールド属性の識別をコンピュータで実現する方法およびシステム Active JP6129897B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/338,877 US8181251B2 (en) 2008-12-18 2008-12-18 Methods and systems for detecting malware
US12/338,877 2008-12-18

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2009286595A Division JP2010146566A (ja) 2008-12-18 2009-12-17 マルウェア検出方法およびシステム

Publications (2)

Publication Number Publication Date
JP2015181031A true JP2015181031A (ja) 2015-10-15
JP6129897B2 JP6129897B2 (ja) 2017-05-17

Family

ID=41859811

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2009286595A Pending JP2010146566A (ja) 2008-12-18 2009-12-17 マルウェア検出方法およびシステム
JP2015102581A Active JP6129897B2 (ja) 2008-12-18 2015-05-20 マルウェアを示すヘッダフィールド属性の識別をコンピュータで実現する方法およびシステム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2009286595A Pending JP2010146566A (ja) 2008-12-18 2009-12-17 マルウェア検出方法およびシステム

Country Status (4)

Country Link
US (1) US8181251B2 (ja)
EP (1) EP2199941B1 (ja)
JP (2) JP2010146566A (ja)
CN (2) CN101753570A (ja)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7051322B2 (en) 2002-12-06 2006-05-23 @Stake, Inc. Software analysis framework
US8613080B2 (en) 2007-02-16 2013-12-17 Veracode, Inc. Assessment and analysis of software security flaws in virtual machines
US20100192222A1 (en) * 2009-01-23 2010-07-29 Microsoft Corporation Malware detection using multiple classifiers
KR101122650B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
JP5135389B2 (ja) * 2010-06-30 2013-02-06 株式会社日立情報システムズ 情報漏えいファイル検知装置、及びその方法とプログラム
EP2418600A1 (en) * 2010-08-11 2012-02-15 Thomson Licensing Malware protection scheme
US8875286B2 (en) 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
AU2011336466C1 (en) 2010-12-01 2017-01-19 Cisco Technology, Inc. Detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US9218461B2 (en) 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
KR20120072120A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법
RU2454714C1 (ru) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов
JP2012150658A (ja) * 2011-01-19 2012-08-09 Lac Co Ltd 情報処理装置、システム、通信監視方法およびプログラム
US9672355B2 (en) 2011-09-16 2017-06-06 Veracode, Inc. Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security
US8875293B2 (en) * 2011-09-22 2014-10-28 Raytheon Company System, method, and logic for classifying communications
US9286063B2 (en) 2012-02-22 2016-03-15 Veracode, Inc. Methods and systems for providing feedback and suggested programming methods
US9020652B2 (en) * 2012-04-13 2015-04-28 The Boeing Company Event processing system for an electrical power system
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
CN102867038A (zh) * 2012-08-30 2013-01-09 北京奇虎科技有限公司 文件类型的确定方法和装置
US9292688B2 (en) 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US11126720B2 (en) 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US20140283046A1 (en) * 2013-03-13 2014-09-18 Mcafee, Inc. Anti-malware scanning of database tables
US10649970B1 (en) * 2013-03-14 2020-05-12 Invincea, Inc. Methods and apparatus for detection of functionality
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9280369B1 (en) 2013-07-12 2016-03-08 The Boeing Company Systems and methods of analyzing a software component
US9852290B1 (en) 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US9336025B2 (en) 2013-07-12 2016-05-10 The Boeing Company Systems and methods of analyzing a software component
US8943592B1 (en) * 2013-07-15 2015-01-27 Eset, Spol. S.R.O. Methods of detection of software exploitation
CN105431859A (zh) * 2013-07-31 2016-03-23 惠普发展公司,有限责任合伙企业 指示恶意软件的信号标记
US9798981B2 (en) 2013-07-31 2017-10-24 Entit Software Llc Determining malware based on signal tokens
CN104424437B (zh) * 2013-08-28 2018-07-10 贝壳网际(北京)安全技术有限公司 多文件样本的测试方法、装置和客户端
RU2568285C2 (ru) 2013-09-30 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Способ и система анализа работы правил обнаружения программного обеспечения
EP2854065B1 (en) * 2013-09-30 2018-06-06 AO Kaspersky Lab A system and method for evaluating malware detection rules
US9479521B2 (en) 2013-09-30 2016-10-25 The Boeing Company Software network behavior analysis and identification system
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
US9262296B1 (en) * 2014-01-31 2016-02-16 Cylance Inc. Static feature extraction from structured files
CN103944757B (zh) * 2014-04-11 2017-11-10 珠海市君天电子科技有限公司 网络异常检测的方法和装置
US9548988B1 (en) 2014-08-18 2017-01-17 Symantec Corporation Systems and methods for attributing potentially malicious email campaigns to known threat groups
US9762593B1 (en) 2014-09-09 2017-09-12 Symantec Corporation Automatic generation of generic file signatures
US9367685B2 (en) * 2014-09-30 2016-06-14 Juniper Networks, Inc. Dynamically optimizing performance of a security appliance
US9754106B2 (en) * 2014-10-14 2017-09-05 Symantec Corporation Systems and methods for classifying security events as targeted attacks
US9571510B1 (en) 2014-10-21 2017-02-14 Symantec Corporation Systems and methods for identifying security threat sources responsible for security events
EP3222024A1 (en) 2014-11-21 2017-09-27 Bluvector, Inc. System and method for network data characterization
US9330264B1 (en) * 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
CN105488405A (zh) * 2014-12-25 2016-04-13 哈尔滨安天科技股份有限公司 一种基于pdb调试信息的恶意代码分析方法及系统
US9813437B2 (en) 2015-06-15 2017-11-07 Symantec Corporation Systems and methods for determining malicious-download risk based on user behavior
US10642976B2 (en) * 2015-06-27 2020-05-05 Mcafee, Llc Malware detection using a digital certificate
US9740862B1 (en) * 2015-06-29 2017-08-22 Juniper Networks, Inc. Identifying malware based on a relationship between a downloader file and a downloaded file
US9690938B1 (en) 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
RU2606559C1 (ru) * 2015-10-22 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ оптимизации антивирусной проверки файлов
CN106709337A (zh) * 2015-11-18 2017-05-24 中兴通讯股份有限公司 一种恶意捆绑软件的处理方法和装置
JP2017102566A (ja) * 2015-11-30 2017-06-08 日本電信電話株式会社 不正ファイル検知装置、不正ファイル検知方法、および、不正ファイル検知プログラム
RU2679783C2 (ru) * 2015-12-18 2019-02-12 Закрытое акционерное общество "Лаборатория Касперского" Способ создания сценария популярных событий активации
US9836603B2 (en) 2015-12-30 2017-12-05 Symantec Corporation Systems and methods for automated generation of generic signatures used to detect polymorphic malware
JP6592177B2 (ja) * 2016-02-24 2019-10-16 日本電信電話株式会社 攻撃コード検知装置、攻撃コード検知方法及び攻撃コード検知プログラム
US10028145B2 (en) * 2016-04-15 2018-07-17 Microsoft Technology Licensing, Llc Blocking undesirable communications in voice over internet protocol systems
US10116680B1 (en) 2016-06-21 2018-10-30 Symantec Corporation Systems and methods for evaluating infection risks based on profiled user behaviors
WO2017223294A1 (en) 2016-06-22 2017-12-28 Invincea, Inc. Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning
US10049214B2 (en) * 2016-09-13 2018-08-14 Symantec Corporation Systems and methods for detecting malicious processes on computing devices
US10454961B2 (en) * 2016-11-02 2019-10-22 Cujo LLC Extracting encryption metadata and terminating malicious connections using machine learning
US20180285565A1 (en) * 2017-03-30 2018-10-04 AVAST Software s.r.o. Malware detection in applications based on presence of computer generated strings
US11537713B2 (en) * 2017-08-02 2022-12-27 Crashplan Group Llc Ransomware attack onset detection
US10929534B2 (en) 2017-10-18 2021-02-23 AO Kaspersky Lab System and method detecting malicious files using machine learning
US11240275B1 (en) * 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10826931B1 (en) * 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US10742670B1 (en) * 2018-04-18 2020-08-11 NortonLifeLock Inc. Detecting and preventing execution of a malicious computer application using utility driven graph summarization
US10846403B2 (en) * 2018-05-15 2020-11-24 International Business Machines Corporation Detecting malicious executable files by performing static analysis on executable files' overlay
US11138313B2 (en) 2018-08-13 2021-10-05 Juniper Networks, Inc. Malware detection based on user interactions
US10853489B2 (en) * 2018-10-19 2020-12-01 EMC IP Holding Company LLC Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures
CN109543408B (zh) * 2018-10-29 2021-10-12 卓望数码技术(深圳)有限公司 一种恶意软件识别方法和系统
US11403411B2 (en) * 2018-11-20 2022-08-02 Cisco Technology, Inc. Unstructured data sensitivity inference for file movement tracking in a network
US11196766B2 (en) * 2019-03-21 2021-12-07 Red Hat, Inc. Detecting denial of service attacks in serverless computing
CN110147655A (zh) * 2019-03-28 2019-08-20 江苏通付盾信息安全技术有限公司 应用程序的安全防护系统及方法
CN110135152B (zh) * 2019-03-28 2021-07-02 江苏通付盾信息安全技术有限公司 应用程序攻击检测方法及装置
CN110569403B (zh) * 2019-09-11 2021-11-02 腾讯科技(深圳)有限公司 一种字符串提取的方法以及相关装置
CN110765444A (zh) * 2019-09-23 2020-02-07 云深互联(北京)科技有限公司 一种企业浏览器访问权限配置方法和装置
US20230297687A1 (en) * 2022-03-21 2023-09-21 Vmware, Inc. Opportunistic hardening of files to remediate security threats posed by malicious applications

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005535972A (ja) * 2002-08-14 2005-11-24 メッセージラボズ リミテッド 実行可能コード内のウィルスをヒューリスティックに検出する方法とシステム
EP1760620A2 (en) * 2005-08-16 2007-03-07 EEye Digital Security Methods and Systems for Detection of Forged Computer Files
JP2007280013A (ja) * 2006-04-06 2007-10-25 Internatl Business Mach Corp <Ibm> 情報処理装置による通信を制御する方法およびプログラム
JP2008545177A (ja) * 2005-05-05 2008-12-11 シスコ アイアンポート システムズ エルエルシー 電子メッセージ中での脅威の識別

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041173A (ja) * 2000-07-18 2002-02-08 Moan Kokusai Kofun Yugenkoshi プログラムファイル認証方法
US7263616B1 (en) * 2000-09-22 2007-08-28 Ge Medical Systems Global Technology Company, Llc Ultrasound imaging system having computer virus protection
EP1742151A4 (en) * 2004-04-26 2010-11-10 Inc Nat University Iwate Unive DEVICE, METHOD AND PROGRAM FOR EXTRACTING SINGLE INFORMATION FROM COMPUTER VIRUSES
US7461339B2 (en) * 2004-10-21 2008-12-02 Trend Micro, Inc. Controlling hostile electronic mail content
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US20080134326A2 (en) * 2005-09-13 2008-06-05 Cloudmark, Inc. Signature for Executable Code
US20090013405A1 (en) * 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code
KR100938672B1 (ko) * 2007-11-20 2010-01-25 한국전자통신연구원 악성 코드에 의해 삽입된 동적 연결 라이브러리 검출 장치 및 방법
KR100942795B1 (ko) * 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
CN101281571B (zh) * 2008-04-22 2010-12-22 白杰 防御未知病毒程序的方法
CN101316171B (zh) * 2008-06-30 2010-12-08 成都市华为赛门铁克科技有限公司 病毒防范方法和装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005535972A (ja) * 2002-08-14 2005-11-24 メッセージラボズ リミテッド 実行可能コード内のウィルスをヒューリスティックに検出する方法とシステム
JP2008545177A (ja) * 2005-05-05 2008-12-11 シスコ アイアンポート システムズ エルエルシー 電子メッセージ中での脅威の識別
EP1760620A2 (en) * 2005-08-16 2007-03-07 EEye Digital Security Methods and Systems for Detection of Forged Computer Files
JP2007280013A (ja) * 2006-04-06 2007-10-25 Internatl Business Mach Corp <Ibm> 情報処理装置による通信を制御する方法およびプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
PETER SZOR, THE ART OF COMPUTER VIRUS RESEARCH AND DEFENSE, JPN6016026451, 3 February 2005 (2005-02-03), ISSN: 0003516473 *
柿本 圭介、他: "自己組織化マップを用いたWindowsシステムサービスコールの分類によるマルウェア検出手法", 情報処理学会研究報告, vol. 2008, no. 45, JPN6014025503, 15 May 2008 (2008-05-15), JP, pages 43 - 48, ISSN: 0003516472 *

Also Published As

Publication number Publication date
US8181251B2 (en) 2012-05-15
EP2199941B1 (en) 2017-06-21
JP6129897B2 (ja) 2017-05-17
EP2199941A2 (en) 2010-06-23
CN101753570A (zh) 2010-06-23
EP2199941A3 (en) 2012-04-25
JP2010146566A (ja) 2010-07-01
US20100162395A1 (en) 2010-06-24
CN105095760A (zh) 2015-11-25

Similar Documents

Publication Publication Date Title
JP6129897B2 (ja) マルウェアを示すヘッダフィールド属性の識別をコンピュータで実現する方法およびシステム
US11586736B2 (en) Systems and methods for detecting malicious processes
Jing et al. Morpheus: automatically generating heuristics to detect android emulators
US8479291B1 (en) Systems and methods for identifying polymorphic malware
US9043922B1 (en) Systems and methods for determining malicious-attack exposure levels based on field-data analysis
US9330258B1 (en) Systems and methods for identifying uniform resource locators that link to potentially malicious resources
US9405899B2 (en) Software protection mechanism
US9009836B1 (en) Security architecture for virtual machines
US9158915B1 (en) Systems and methods for analyzing zero-day attacks
US9703956B1 (en) Systems and methods for categorizing virtual-machine-aware applications for further analysis
US10176329B2 (en) Systems and methods for detecting unknown vulnerabilities in computing processes
US9804948B2 (en) System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing
US9111089B1 (en) Systems and methods for safely executing programs
US8904538B1 (en) Systems and methods for user-directed malware remediation
Čeponis et al. Towards a robust method of dataset generation of malicious activity for anomaly-based HIDS training and presentation of AWSCTD dataset
US9552481B1 (en) Systems and methods for monitoring programs
US10075456B1 (en) Systems and methods for detecting exploit-kit landing pages
Shalaginov et al. Automated intelligent multinomial classification of malware species using dynamic behavioural analysis
US9323924B1 (en) Systems and methods for establishing reputations of files
US10880316B2 (en) Method and system for determining initial execution of an attack
US10846405B1 (en) Systems and methods for detecting and protecting against malicious software
US10635811B2 (en) System and method for automation of malware unpacking and analysis
US10546125B1 (en) Systems and methods for detecting malware using static analysis
US9501649B2 (en) Systems and methods for determining potential impacts of applications on the security of computing systems
Yin et al. Privacy-breaching behavior analysis

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161012

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170314

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170412

R150 Certificate of patent or registration of utility model

Ref document number: 6129897

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250