JP2015530678A - マルウェア検出の動的な検疫 - Google Patents

マルウェア検出の動的な検疫 Download PDF

Info

Publication number
JP2015530678A
JP2015530678A JP2015534835A JP2015534835A JP2015530678A JP 2015530678 A JP2015530678 A JP 2015530678A JP 2015534835 A JP2015534835 A JP 2015534835A JP 2015534835 A JP2015534835 A JP 2015534835A JP 2015530678 A JP2015530678 A JP 2015530678A
Authority
JP
Japan
Prior art keywords
data
malware
reputation
monitor
safe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015534835A
Other languages
English (en)
Other versions
JP6005868B2 (ja
Inventor
ジー. ビショップ,マイケル
ジー. ビショップ,マイケル
ジェイ. ティディ,ラウル
ジェイ. ティディ,ラウル
ムティク,イゴール
ジェイ. ヒンチリフ,アレクサンダー
ジェイ. ヒンチリフ,アレクサンダー
シー. ウィリアムズ,クリストファー
シー. ウィリアムズ,クリストファー
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2015530678A publication Critical patent/JP2015530678A/ja
Application granted granted Critical
Publication of JP6005868B2 publication Critical patent/JP6005868B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Abstract

方法は、電子デバイスにおいてデータの一部を検出し、データのマルウェア状態の第1の表示を決定し、ある期間にデータを検疫し、第1及び第2の表示を比較することにより、データがマルウェアに関連するか否かを推定し、推定に基づいて、データを検疫から解放することを含む。第1の表示は、データのマルウェア状態が安全であることが確実でないこと及びデータのマルウェア状態が悪意のあるものではないことが確実でないことを示す。

Description

本発明の実施例は、概してコンピュータセキュリティ及びマルウェア保護に関し、特にマルウェア検出の動的な検疫に関する。
コンピュータ及び他の電子デバイスにおけるマルウェア感染は、検出及び修復するのに非常に煩わしく困難である。アンチマルウェア対策は、評価されたソフトウェアに対して悪意のあるコード又はファイルの署名を照合し、ソフトウェアがコンピュータシステムにとって有害であることを決定する。マルウェアは、多様な形のプログラム又は実行形式の使用を通じて自身を偽装することがある。マルウェアは、アンチマルウェア対策による検出を回避するために、自身を変化させる。このような場合、アンチマルウェア対策は、ゼロデイ攻撃(zero-day attack)における新たなマルウェア又は変形のマルウェアを検出できない可能性がある。マルウェアは、スパイウェア、ルートキット、パスワードスティーラ、スパム、フィッシング攻撃のソース、DoS(denial-of-service)攻撃、ウィルス、ロガー(logger)、トロイ(Torojan)、アドウェア、又は不要な動作を生成する他のデジタルコンテンツを含むことがあるが、これらに限定されない。
マルウェア検出の動的な検疫のための例示的なシステムの図 例示的なレピュテーションサーバの構成及び動作の図 マルウェア検出の動的な検疫のためのシステムの例示的な動作の図 電子デバイスでの実行又は電子デバイスのスキャンを行うように構成されたモニタに基づくシステムの例示的な実施例 マルウェア検出の動的な検疫のための方法の例示的な実施例の図 データを分析する方法の例示的な実施例の図 マルウェアの可能性の定量化を比較する方法の例示的な実施例の図
本発明の実施例並びにその特徴及び利点の完全な理解のため、添付図面と共に以下の説明に言及が行われる。
図1は、マルウェア検出の動的な検疫(quarantine)のための例示的なシステム100の図である。システム100は、動的な検疫を通じてマルウェアのデータ112のような情報を評価するモニタ102を実行するように構成されてもよい。一実施例では、データ112は、モニタ102がマルウェアをスキャンするように構成された電子デバイスに存在してもよい。他の実施例では、モニタ102は、データ112を傍受又は受信するように構成されてもよい。モニタ102は、そのマルウェア状態又はレピュテーション(reputation)についてデータ112を評価し、データ112を検疫106に配置し、時間遅延の後に、そのマルウェア状態又はレピュテーションについてデータ112を再評価するように構成される。一実施例では、モニタ102は、データ112のマルウェア状態が未知であること又は十分な確実性で決定できないことを元の評価が決定した場合、データ112を検疫106に配置し、データ112を再評価するように構成されてもよい。データ112の再評価の間に、モニタ102は、データ112のマルウェア状態が現時点で既知であるか否か又は変更されているか否かを決定し、再評価の結果に基づいて、データ112を許可又はブロックするように構成されてもよい。更に、モニタ102は、データ112のマルウェア状態が未知であること又は十分な確実性で決定できないことが継続する場合、再評価処理を繰り返し続けるように構成されてもよい。
モニタ102は、システムのいずれか適切な部分で実行するように構成されてもよい。モニタ102は、例えば、サーバ、コンピュータ、ノード、ゲートウェイ、ルータ、送信機又は受信機で実行するように構成されてもよい。一実施例では、モニタ102は、ネットワークゲートウェイ104のようなネットワーク管理デバイスで実行してもよい。
ネットワークゲートウェイ104は、ネットワーク、広域ネットワーク、イントラネット、移動ネットワーク、サブネットワーク、又はローカルエリアネットワーク(LAN:local area network)126のような他の設備へのアクセスを提供するように構成されてもよい。一実施例では、ネットワークゲートウェイ104は、LAN126に含まれてもよい。他の実施例では、ネットワークゲートウェイ104は、LAN126の外部になってもよい。ネットワークゲートウェイ104は、LAN126のノード又は他のデバイスのためにネットワークゲートウェイサービスを実行するように構成されたネットワークアプリケーション114を含んでもよい。ネットワークゲートウェイ104は、LAN126と他のネットワーク(イントラネット、ネットワーク、サブネットワーク又はインターネット等)との間のアクセスを提供するように構成されてもよい。この部分は、図1に示すようなネットワーク122を含んでもよい。ネットワークゲートウェイ104は、LAN内の宛先(クライアント電子デバイス108等)に向けたLAN126の外部からのトラヒック(データ112等)を受信するように構成されてもよい。トラヒックは、ネットワーク、サブネットワーク、サーバ、ウェブサイト、又は他の適切なエンティティを含んでもよいネットワークノード110から生じてもよく、ネットワーク122を通過してネットワークゲートウェイ104に到達してもよい。クライアント電子デバイス108は、例えば、コンピュータ、ラップトップ、サーバ、ハンドヘルドコンピュータデバイス、ネットワークデバイス、又はLAN126に通信可能に結合された他のデジタルエンティティを含んでもよい。
モニタ102は、ネットワークゲートウェイ104に存在してもよく、他の電子デバイス、サーバ、又はマルウェアをスキャンするための他の適切な機構に存在してもよい。モニタ102は、例えば、いずれかのアプリケーション、プロセス、スクリプト、モジュール、実行形式、実行可能プログラム、サーバ、実行可能オブジェクト、ライブラリ、又は他の適切なデジタルエンティティに実装されてもよい。モニタ102は、プロセッサ118のようなプロセッサにより実行されるロジック又は命令を含んでもよい。モニタ102の命令のロジックは、プロセッサ118に通信可能に結合されたメモリ120内に存在してもよい。
プロセッサ118は、例えば、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ(DSP:digital signal processor)、特定用途向け集積回路(ASIC:application specific integrated circuit)、又はプログラム命令及び/又はデータを解釈及び/又は実行するように構成された他のデジタル若しくはアナログ回路を有してもよい。或る実施例では、プロセッサ118は、メモリ120に格納されたプログラム命令及び/又は処理データを解釈及び/又は実行してもよい。メモリ120は、アプリケーションメモリ、システムメモリ又はこれらの双方として部分的に又は全体的に構成されてもよい。メモリ120は、1つ以上のメモリモジュールを保持及び/又は収容するように構成された如何なるシステム、デバイス又は装置を含んでもよい。各メモリモジュールは、ある期間にプログラム命令及び/又はデータを保持するように構成された如何なるシステム、デバイス又は装置を含んでもよい(例えば、コンピュータ読み取り可能媒体)。
一実施例では、モニタ102は、データ112を受信又はスキャンするために、ネットワークアプリケーション114又はネットワークゲートウェイ104の他の部分に通信可能に結合されてもよい。モニタ102は、例えば、データ112を直接傍受することにより、又はデータ112を受信したときにネットワークアプリケーション114によりアクセス又は呼び出されることにより、いずれか適切な方法でデータ112にアクセスしてもよい。他の実施例では、モニタ102は、例えば、電子デバイス(ネットワークゲートウェイ104又はクライアント電子デバイス108等)のメモリ又はディスクでマルウェアをスキャンすることにより、データ112にアクセスしてもよい。
データ112は、例えば、電子メール、電子メールの添付、ファイル、実行形式、実行可能プログラム、スクリプト、コード、アプリケーション又は他のエンティティを含んでもよい。モニタ102により分析されるデータ112の部分は、例えば、コードのような実行可能コンテンツ、マルウェアにより利用されることが知られているもののような感知可能データ部分、ハイパーリンク若しくは他の関係者への他のアドレス、送信者アドレス、メッセージテキスト、スパムのインジケータ、又は他の適切な情報を含んでもよい。モニタ102は、コンテンツに基づいてデジタル署名又はハッシュを生成することにより、データ112の部分を一意に識別するように構成されてもよい。一意の識別は、マルウェア関係の情報の情報源においてデータ112を調べるためにモニタ102により使用されてもよい。
ネットワークノード110は、サーバ、ウェブサイト、又はクライアント電子デバイス108若しくはシステム100の他のエンティティによりアクセス可能な他のネットワークエンティティを含んでもよい。ネットワークノード110は、データ112の形式の悪意のあるコンテンツを含んでもよい。悪意のあるコンテンツは、偽装したダウンロードのためでもよく、クライアント電子デバイス108の悪意のあるエージェントにより開始されてもよい。例えば、クライアント電子デバイス108で実行するマルウェアは、クライアント電子デバイス108のシステムリソースを利用するためのデータ112の形式の更なるコンテンツをダウンロードするために、ネットワークノード110にコンタクトしてもよい。ネットワークノード110は、クライアント電子デバイス108の正当なデータ、電子メール、ページ、又は他のコンテンツをスプーフィング(spoof)してもよい。クライアント電子デバイス108は、悪意のあるアプリケーション、電子メール、電子メールの添付、データ、ファイル、コード、又はデータ112の形式の他のコンテンツをダウンロードすることを試行してもよい。例えば、クライアント電子デバイス108のウェブブラウザアプリケーションは、表面上で正当なウェブサイトのネットワークノード110にアクセスしてもよいが、クライアント電子デバイス108での実行のためにデータ112の一部としてダウンロードされたスクリプトはマルウェアを含むことがある。他の例では、ネットワークノード110は、正当に見える電子メールを送信するが、悪意のある電子メールの添付で送信してもよく、正当に見えるファイルを伝送してもよい。このような添付又はファイルは、例えば、実行形式、実行可能プログラム、スクリプト、又は既知のアプリケーションの表面上で無害のデータファイル(ワードプロセッサのファイル、PDFファイル又はJavaScript(登録商標)等)を含んでもよい。従って、マルウェアは、例えば、悪意のアプリケーションとして実行して、又は既知のアプリケーションの弱点を利用することにより、クライアント電子デバイス108に感染してもよい。マルウェアは、アプリケーションに対して既知のアプリケーションの弱点を利用する命令が埋め込まれたファイル又はコードをオープン、起動又は実行させることにより、既知のアプリケーションの弱点を利用してもよい。このようなマルウェア攻撃は、スタック、ヒープ又は他のバッファのオーバーラン又はオーバーフローを利用するものを含んでもよい。
モニタ102は、アンチウィルスデータベース116に通信可能に結合されてもよい。アンチウィルスデータベース116は、署名、ライブラリ、ヒューリスティック・ルール、ホワイトリスト(安全であることが知られているデータ、ソフトウェア又はウェブサイトについての情報を含む)、ブラックリスト(マルウェアに関連することが知られているデータ、ソフトウェア又はウェブサイトについての情報を含む)、又はマルウェアの識別に関する他の情報を含んでもよい。モニタ102は、アンチウィルスデータベース116に対してデータ112のような受信情報を比較し、受信情報が悪意のあるものであるか否か又はマルウェアに関連するか否かを決定するように構成されてもよい。アンチウィルスデータベース116は、ネットワークゲートウェイ114内のように、モニタ102のローカルに格納されてもよい。モニタ102又は他の適切なエンティティは、アンチマルウェアサーバからアンチウィルスデータベース116のコンテンツを定期的に更新するように構成されてもよい。アンチウィルスデータベース116は、ファイル、レコード、データ構造、ライブラリ、アプリケーション、スクリプト又はデータベース等を用いて、いずれか適切な方法で実装されてもよい。
しかし、アンチウィルスデータベース116のローカルの実装を仮定すると、その中に含まれるコンテンツ及び情報は完全には最新でない可能性がある。更に、アンチウィルスデータベース116は、マルウェアの特定のインスタンスに最初に直面するマルウェアの“ゼロデイ”攻撃に関する情報を有さない可能性がある。更に、アンチウィルスデータベース116は、様々なアンチマルウェアクライアント又はアンチマルウェア検査結果からの現地報告のような様々な情報源へのアクセスを有さない可能性がある。従って、モニタ102は、最新のアンチマルウェア情報を決定するために、コンピュータクラウドを通じてアンチマルウェアサーバにアクセスするように構成されてもよい。このようなアンチマルウェアサーバは、例えば、レピュテーションサーバ126を含んでもよい。
モニタ102は、データ112のような受信情報のマルウェア状態を決定するために、レピュテーションサーバ126にアクセスするように構成されてもよい。レピュテーションサーバ126は、ネットワーク124のクラウドコンピュータサービス又はSaaS(software-as-a-service)として実行及び動作してもよい。ネットワーク124は、例えば、インターネット、イントラネット、広域ネットワーク、バックホールネットワーク、ピア・ツー・ピア・ネットワーク又はこれらのいずれかの組み合わせを含んでもよい。モニタ102がレピュテーションサーバ126にアクセスすることを試行し、レピュテーションサーバ126が何らかの理由で利用不可能である場合、モニタ102は、再び試行を繰り返すように構成されてもよい。このような繰り返しの試行は、レピュテーションサーバ126への所与のデータの部分についてのモニタ102による第1の決定の際に行われてもよく、所与のデータの部分についてのモニタ102によるいずれか後の決定の際に行われてもよい。
データ112のような所与の情報の部分について、レピュテーションサーバ126は、データ112がマルウェアに関連するか否かを決定するように構成されてもよい。一実施例では、レピュテーションサーバ126は、データ112がマルウェアに関連するか否かが確実に知られていないデータ112の分析を提供するように構成されてもよい。例えば、データ112のコンテンツのハッシュがマルウェアに一致するか否か又はデータ112の送信アドレスが既知のマルウェアネットワークサーバであるか否かが確実に分かった場合、ルールがモニタ102のような様々なアンチマルウェアクライアントに送信される。モニタ102のようなクライアントは、受信データ112が悪意のあることを決定し、適切な訂正動作を行う。しかし、或る場合には、データ112がマルウェアに関連するか否かが確実に分からない可能性がある。例えば、前に直面していないハッシュ、署名又はネットワークアドレスがデータ112内に含まれる可能性がある。他の例では、データ112のハッシュ、署名又はネットワークアドレスの分析がデータ112が安全又は危険であることを確実に結論付ける決定を生じていない可能性がある。従って、レピュテーションサーバ126は、ソフトウェア又はネットワークアドレスが悪意のあるものである可能性を決定するために、様々なソフトウェア及びネットワークアドレスの報告、インスタンス及び関連情報を把握するように構成されてもよい。この可能性は、報告されたインスタンスの配布、試行された送信のソース、証明書の状態又は不審な活動の他の指標のような如何なる適切な基準に基づいてもよい。個々に見て、不審な活動のこれらの指標は、データ112のマルウェア状態を確実に証明しない可能性がある。しかし、レピュテーションサーバ126は、データ112が悪意のあるものである可能性の推定を提供する際の要因として、これらを使用してもよい。更に、例えば、ソフトウェアが様々なクライアントから報告されるときに、又はネットワークサーバが危険にさらされているときに、不審な活動の指標は、リアルタイムで変化しており、マルウェア攻撃に関与させられる可能性がある。レピュテーションサーバ126は、データ112が悪意のあるものである可能性の定量化をモニタ102に提供するように構成されてもよい。
図2は、例示的なレピュテーションサーバ126の構成及び動作の図である。レピュテーションサーバ126は、マルウェア分析の要求を扱い、様々なクライアント230からの報告を受け付け、レピュテーションデータベース234のレピュテーション情報のアクセス及び維持管理を行うように構成されたレピュテーションサーバアプリケーション232を含んでもよい。レピュテーションサーバアプリケーション232は、いずれか適切なアプリケーション、実行形式、スクリプト、プログラム、ライブラリ、関数、モジュール又は他の適切なエンティティに実装されてもよい。レピュテーションサーバアプリケーション232は、モニタ102、レピュテーションデータベース234及びクライアント230に通信可能に結合されてもよい。
潜在的に悪意のあるソフトウェア又はネットワークアドレスについての情報は、様々なアンチマルウェアクライアント230により観測されるため、レピュテーションサーバアプリケーション232は、このような情報を受信し、これをレピュテーションデータベース234に格納してもよい。ルール、ヒューリスティック及びこのようなクライアント230により報告された観測に基づいて、レピュテーションデータベース234は、ソフトウェア又はネットワークアドレスが悪意のあるものである可能性を生成してもよい。クライアント230は、インターネット、広域ネットワーク、バックホールネットワーク、ピア・ツー・ピア・ネットワーク又は他の適切なエンティティのようなネットワークを通じて配置された電子デバイスで動作するアンチマルウェアソフトウェアにより実装されてもよい。一実施例では、クライアント230は、モニタ102のインスタンスを使用して実装されてもよい。
レピュテーションデータベース234は、データベース、ファイル、レコード、サーバ、ライブラリ、スクリプト又はこれらのいずれか適切な組み合わせのように、如何なる適切な方法で実装されてもよい。レピュテーションデータベース234は、ソフトウェア情報236を含んでもよく、デジタル情報の所与の部分が悪意のあるものである可能性が格納されてもよい。ソフトウェア情報236はまた、可能性の基礎を形成するデータを含んでもよい。ソフトウェア情報236は、ファイル名、署名又はハッシュ240のように如何なる適切な方法でインデックス化されてもよい。レピュテーションデータベース234は、ネットワークアドレス情報を含んでもよく、所与のネットワークエンティティが悪意のあるものである可能性が格納されてもよい。ネットワークアドレス情報248は、可能性の基礎を形成するデータを含んでもよい。ネットワークアドレス情報248は、ウェブサイトアドレス、ドメイン若しくはサーバ名、インターネットプロトコル(IP)アドレス又はサイト250の他の指標のように如何なる適切な方法でインデックス化されてもよい。
ソフトウェア情報236又はネットワークアドレス情報248におけるマルウェアの可能性は、レピュテーションスコアで表現されてもよい。レピュテーションスコアは、例えば、パーセントのスコア又はレピュテーションのランクを含んでもよい。レピュテーションスコア、パーセント、評価又はランクを表現する如何なる適切な機構又は方法が使用されてもよい。図2の例では、レピュテーションスコアは、データが安全であるというパーセントの確実性のレピュテーションスコア244として表現されてもよく、1から5の範囲内のレピュテーションランク246のレピュテーションスコアとして表現されてもよい。1は最も確からしく悪意のあるものであり、5は最も確からしく安全であるものである。レピュテーションデータベース234は、データが悪意のあるものである否かが確かではないデータを扱ってもよいが、レピュテーションデータベース234、レピュテーションサーバアプリケーション232又はレピュテーションスコアの受信者(モニタ102等)は、問題となっているデータがマルウェアとして扱われるか、安全であるとして扱われるかの推定のための閾値を適用してもよい。例えば、90パーセントより大きいパーセントの確実性のレピュテーションスコア224は安全として扱われてもよく、40パーセント未満のパーセントの確実性のレピュテーションスコア244は悪意のあるものとして扱われてもよい。これらの閾値の間のパーセントの確実性のレピュテーションスコア244を有するデータは、マルウェア状態として未知であると考えられてもよい。更に、レピュテーションデータベース234にエントリが存在しないデータ、又はレピュテーションスコアを生成するのに十分な情報が存在しないデータは、未知であるとして扱われてもよい。推定された安全、推定された悪意のあるもの又は未知の状態は、状態インジケータ242に格納されてもよい。レピュテーション及び関連する閾値の正確な分析は、レピュテーションサーバ126を実装する者の経験及びスキルに応じて調整されてもよい。
レピュテーションサーバアプリケーション232は、モニタ102からデータ112の要求を受け付けるように構成されてもよい。レピュテーションサーバアプリケーション232は、ネットワークアドレス情報248又はソフトウェア情報236におけるデータ112のインデックスを使用することにより、レピュテーションデータベース234の対応するレピュテーションスコア及び状態にアクセスするように構成されてもよい。例えば、レピュテーションサーバアプリケーション232は、パーセントの確実性のレピュテーションスコア244又はレピュテーションのランク246の形式の対応するレピュテーションスコアをモニタ102に返信してもよい。
図1に戻り、レピュテーションサーバ126からのデータ112のレピュテーションスコアを与えられると、モニタ102は、適切な動作を行うように構成されてもよい。例えば、レピュテーションサーバ126からのレピュテーションスコアが90パーセントのような所与の閾値より上である場合、モニタ102は、データ112がクライアント電子デバイス108に送信されることを許可するように構成されてもよい。他の例では、モニタ102は、データ112が実行されること、メモリにロードされること又は電子デバイス上に存在し続けることを許可するように構成されてもよい。レピュテーションサーバ126からのレピュテーションスコアが40パーセントのような所与の閾値より下である場合、モニタ102は、データ112がクライアント電子デバイス108に送信されることをブロックするように構成されてもよく、実行されること又はメモリにロードされることをブロックするように構成されてもよい。データ112がスパム電子メールのような特定の種類の介在リスクを与えることを分析又はレピュテーションが示す状況では、モニタ102は、データ112がアクセス、取得又は送信されることを手動で許可するようにシステム100の管理者又はユーザに対して許可するように構成されてもよい。しかし、レピュテーションサーバ126からのレピュテーションスコアは、データ112が悪意のあるものであるか否かを確実に示さない可能性がある。更に、レピュテーションサーバ126からのレピュテーションスコアは、どのようにデータ112が事実上扱われるべきかを規定する適切な閾値(上又は下)に到達しない可能性がある。このような未知のマルウェア状態を有するデータ112がクライアント電子デバイス108に進むことを許可することは、マルウェアがクライアント電子デバイス108に到達することを許可する可能性がある。このような未知のマルウェア状態を有するデータ112が実行されること又はメモリにロードされることを許可することは、マルウェアが動作することを許可する可能性がある。更に、このような未知のマルウェア状態を有するデータ112がクライアント電子デバイス108に進むことを拒否することは、偽陽性である可能性があり、正当な送信が誤って拒否される。
モニタ102は、例えば、アンチウィルスデータベース又はレピュテーションサーバ126へのアクセスに基づいて、データ112のマルウェア状態が未知であることを決定するように構成されてもよい。モニタ102は、未知のマルウェア状態を有するデータ112を検疫106に配置するように構成されてもよい。検疫106は、データ112が実行することができないように又はネットワークゲートウェイ104若しくはクライアント電子デバイス108の動作に影響を与えることができないように、データ112を安全な方法で格納してもよい。検疫106は、メモリの安全な部分、データベース、サンドボックス、電子メール検疫場所又は電子メール格納場所のように、如何なる適切な方法で実装されてもよい。検疫106は、クライアント電子デバイス108又はネットワークゲートウェイ104のように如何なる適切なデバイスに実装されてもよい。
レピュテーション分析は、更なる動作及び配布が問題となっているデータに関して観測されるときに時間と共に変化及び進化してもよいため、モニタ102は、未知のマルウェア状態を有するデータ112を検疫に保持し、後の時点でデータ112の更なる評価を実行するように構成されてもよい。データ112の更なる評価に基づいて、モニタ102は、データ112がアクセスされること又はクライアント電子デバイス108に進むことを自動的に許可するように、オペレータに対してデータ112が安全であり、データがアクセスされること又は進むことが許可されたことを通知するように、データ112をブロックするように、或いは、データ112の更なる後の評価を実行するまでデータ112を検疫し続けるように構成されてもよい。従って、システム100は、動的な検疫を利用してもよい。システム100は、データ112を検疫106に配置し、後にデータ112の更なる評価に基づいて検疫106からデータ112を解放するように構成される。
モニタ102は、データ112の更なる評価を行うことにより、動的な検疫を利用するように構成されてもよい。更なる評価は、アンチウィルスデータベース116に対してデータ112を比較することにより行われてもよい。アンチウィルスデータベース116は、更新されたルール、ヒューリスティック、又は他のマルウェア基準を受信している。更に、モニタ102は、レピュテーションサーバ126にアクセスすることにより、データ112の更なる評価を行うように構成されてもよい。レピュテーションサーバ126の情報は、前の評価から更新されていてもよい。従って、データ112の更新された評価は、例えば、データ112の他のインスタンスに関するクライアント230からの更なる情報を利用することにより行われてもよい。
モニタ102は、データ112の再評価を繰り返すように構成されてもよい。一実施例では、モニタ102は、24時間のような全期間の間にデータ112の再評価を繰り返すように構成されてもよい。データ112のマルウェア状態が解決されていない場合、元の基準又はここに記載の更なる基準に従って、モニタ102は、データ112が悪意のあるものであるかのようにデータ112を扱うように構成されてもよい。更に、モニタ102は、データ112のブロック、検疫106からのデータ112の削除、送信ネットワークノード110へのエラーメッセージの送信、送信ネットワークノード110へのスプーフィングのメッセージの送信、又はシステム管理者への警告のような訂正動作を行うように構成されてもよい。更に、モニタ102は、その識別情報、目的のクライアント及びネットワークノード110のような情報と共に、データ112をレピュテーションサーバ126に報告するように構成されてもよい。他の実施例では、モニタ102は、10分毎に1回のような所与の頻度でデータ112の再評価を繰り返すように構成されてもよい。データ112のマルウェア状態が解決されていない場合、元の基準又はここに記載の更なる基準に従って、モニタ102は、後にデータ112の評価を繰り返すように構成されてもよい。評価は、前述のような全期間に従って繰り返されてもよい。
モニタ102は、データ112の再評価の間に動的な検疫のためのいずれか適切な基準を使用するように構成されてもよい。一実施例では、モニタ102は、データ112の再評価の間に、元の基準で使用されたものと同じ基準を使用するように構成されてもよい。例えば、90パーセントのレピュテーションスコアが、データ112の元の評価の間にデータ112が安全であると考えられる最低の閾値である場合、同じ閾値がデータ112の再評価において使用されてもよい。他の例では、40パーセントのレピュテーションスコアが、データ112の元の評価の間にデータ112が悪意のあるものであると考えられる最大の閾値である場合、同じ閾値がデータ112の再評価において使用されてもよい。従って、このような閾値の間のいずれかのレピュテーションスコアは、データ112がマルウェア状態に関して未知であると考えられることをもたらし続けてもよい。しかし、データ112が最終的に安全である又は悪意のあるものであると扱われるのに不十分な情報が利用可能になる可能性がある。従って、他の実施例では、モニタ102は、データ112の再評価の間に元の評価で使用されたものと異なる基準を使用するように構成されてもよい。更なる実施例では、モニタ102は、評価の後の繰り返しの間に、前の再評価とは異なる更なる基準を適用するように構成されてもよい。
モニタ102は、動的な検疫について、データ112のレピュテーションスコアが前の評価から変化したか否かを決定するように構成されてもよい。一実施例では、モニタ102は、レピュテーションスコアが低くなっている場合、データ112が悪意のあるものであるかのように扱われることを決定するように構成されてもよい。更なる実施例では、レピュテーションスコアが増加している場合、データ112が安全であるかのように扱われることを決定するように構成されてもよい。
更に、モニタ102は、動的な検疫について、データ112のレピュテーションスコアが前の評価から実質的に変化したか否かを決定するように構成されてもよい。変化は、例えば、レピュテーションスコアの絶対的な差又はレピュテーションスコアのパーセントの差により測定されてもよい。一実施例では、モニタ102は、レピュテーションスコアが特定の量又はパーセントだけ低い場合、データ112が悪意のあるものであるかのように扱われることを決定するように構成されてもよい。更なる実施例では、モニタ102は、レピュテーションスコアが特定の量又はパーセントだけ増加している場合、データ112が安全であるかのように扱われることを決定するように構成されてもよい。更なる実施例では、絶対値の項であれパーセントの項であれ、変化の基準は、評価の後の繰り返しの間に変化してもよい。例えば、基準の量は、最初の再評価の間に使用された基準の量に比較して後の評価の間に低くされてもよく、これにより、実質的に小さい変化がデータ112の特定の処理を起動する。。
更に、モニタ102は、動的な検疫について、データ112のレピュテーションスコアが前の評価から中間の閾値に到達したか否かを決定するように構成されてもよい。中間の閾値は、データ112が悪意のあるものとして扱われる下限閾値と、データ112が安全であると扱われる上限閾値とを含んでもよい。下限閾値は、前に使用された下限閾値より高くてもよく、上限閾値は、前に使用された上限閾値より低くてもよい。例えば、データ112が悪意のあるものとして中間の閾値が扱うことは、前に使用されたもの(40パーセント等)より高いレピュテーションスコア(50パーセント等)でもよい。従って、再評価の間にデータ112のレピュテーションスコアが49パーセントに動いた場合、モニタ102は、レピュテーションスコアが中間の悪意のある閾値より下であることを決定し、データ112を悪意のあるものであるかのように扱ってもよい。一実施例では、モニタ102は、レピュテーションスコアがしたの下限の中間の閾値より下まで低くなっている場合、データ112が悪意のあるものであるかのように扱われることを決定するように構成されてもよい。更なる実施例では、モニタ102は、レピュテーションスコアが上限の中間の閾値まで増加した場合、データ112が安全であるものかのように扱われることを決定するように構成されてもよい。更なる実施例では、中間の閾値は、評価の後の繰り返しの間に変化してもよい。例えば、最終的に小さい変化がデータ112の特定の扱いを起動するように、後の評価の間に、下限閾値は上げられてもよく、上限閾値は低くされてもよい。閾値が元々モニタ102により未知のマルウェア状態を有するデータ112に適用されない他の実施例では、モニタ102は、再評価の間に閾値を適用するように構成されてもよい。
モニタ102は、ネットワークノード110から受信したいずれか適切なデータ112を評価するように構成されてもよい。更に、モニタ102は、ここに記載の方法で、初期の決定がデータ112のマルウェア状態が未知であることを示すいずれか適切なデータ112に、再評価を通じた動的な検疫を適用するように構成されてもよい。一実施例では、モニタ102は、ネットワークゲートウェイ104で受信した全てのデータのマルウェア状態を評価及び再評価するように構成されてもよい。他の実施例では、モニタ102は、特定の種類のトラヒックに対応するネットワークゲートウェイ104で受信した全てのデータのマルウェア状態を評価及び再評価するように構成されてもよい。例えば、モニタ102は、全ての電子メールトラヒックを分析するように構成されてもよい。他の例では、モニタは、電子メールへの全ての添付を分析するように構成されてもよい。更に他の実施例では、モニタ102は、実行形式、JavaScript、又は既知の弱点若しくは脆弱性を有するアプリケーションのファイルのようなマルウェアが利用する傾向にあるトラヒックを分析するように構成されてもよい。更に他の実施例では、モニタ102は、マルウェア状態が未知又は悪意のあるものである、ネットワークノード110から生じてネットワークゲートウェイ104で受信した全てのデータのマルウェア状態を評価及び再評価するように構成されてもよい。このような実施例では、モニタ102は、例えばデータ112のコンテンツ又はコードのマルウェア状態又はレピュテーションを決定する前に、まずネットワークノード110のマルウェア状態又はレピュテーションを決定してもよい。更なる実施例では、モニタ102は、再評価の目的で前述の実施例のいずれかを選択的に使用するように構成されてもよい。データ112の第1の評価は全てのトラヒック又はトラヒックのサブセット(一部)で行われるが、未知のマルウェア状態を有するデータ112の再評価は、特定の種類のトラヒック又はネットワークノード110が悪意のあるもの又は未知であるトラヒックのサブセットで行われる。
一実施例では、モニタ102は、データ112が安全であるかのように扱われることが決定された場合にデータ112がクライアント電子デバイス108に到達するように、データ112を動的な検疫から自動的に解放するように構成されてもよい。他の実施例では、モニタ012は、データ112が安全であるかのように扱われることが決定された場合にデータ112がクライアント電子デバイス108に到達するように、データ112が動的な検疫から安全に解放され得ることをモニタ102のオペレータに通知するように構成されてもよい。オペレータの入力に応じて、モニタ102は、データ112が安全であるかのように扱われることが決定された場合にデータ112がクライアント電子デバイス108に到達するように、データ112を動的な検疫から解放するように構成されてもよく、データ112を検疫し続けるように構成されてもよい。
モニタ102は、データ112が悪意のあるものであるかのように扱われることが決定された場合、動的な検疫のデータ112について適切な訂正動作を行うように構成されてもよい。例えば、データ112は検疫106から削除されてもよく、エラーメッセージがネットワークノード110に送信されてもよく、スプーフィングのメッセージが送信ネットワークノード110に送信されてもよく、システム管理者が警告されてもよい。データ112が検疫された場合、データ112が遅延することを示すメッセージがネットワークノード110、クライアント電子デバイス108又は管理者に送信されてもよい。データ112をブロックする最終的な決定又はデータ112が悪意のあるものであるかのようにデータ112を扱う最終的な決定の後に、データ112が成功したことを示すスプーフィングされたメッセージがネットワークノード110に送信されてもよい。メッセージは、エラーに直面したことを示してもよい。ネットワークノード110は、データ112を再送信してもよい。或る場合には、スプーフィング又はエラーメッセージは、データ112の初期の検疫の際に送信されてもよい。一実施例では、データ112内の悪意のあるコンテンツが除去又は置換され、データ112の残りがクライアント電子デバイス108に送信されてもよい。例えば、データ112において電子メール内の悪意のある添付は除去されるが、メッセージコンテンツは保護される。他の例では、データ112において電子メール内の悪意のあるウェブサイトへのリンクは除去されるが、メッセージコンテンツの残りは保護される。
動作中に、モニタ102は、クライアント電子ネットワークデバイス108へのデータ112又はクライアント電子ネットワークデバイス108からのデータ112のようなネットワークトラヒックをスキャンするために、ネットワークゲートウェイ104のようなデバイスで実行してもよい。トラヒックは、ネットワーク172上においてネットワークノード110で作られてもよい。モニタ102は、トラヒックを直接傍受してもよく、ネットワークアプリケーション114と協力して傍受してもよい。モニタ102は、全てのネットワークトラヒック又はこの一部を選択的に傍受してもよい。傍受したネットワークトラヒックの選択は、例えば、トラヒックのソース若しくはノード、トラヒックにより使用されるプロトコル、トラヒックの種類、又はトラヒックのコンテンツに基づいてもよい。一実施例では、モニタ102は、アンチウィルスデータベース116及びレピュテーションサーバ126の1つ以上にアクセスすることにより、トラヒックを評価してもよい。データ112のマルウェア状態が最初に未知であると決定された場合、モニタ102は、データ112を検疫106における動的な検疫に配置してもよい。モニタ102は、後にデータ112のマルウェア状態を再び評価してもよい。後の評価の後にデータ112が悪意のあるものとして扱われる場合、訂正動作が自動的に行われてもよい。後の評価の後にデータ112が安全であるとして扱われる場合、データ112は、クライアント電子デバイス108のようなその目的の宛先への配信のために自動的に解放されてもよく、オペレータは、データ112が安全であり、配信のために安全に解放され得ることを通知されてもよい。従って、検疫106は、マルウェア状態に関して更なる決定が行われるまで、データ112を一時的に収容してもよい。
図3は、マルウェア検出の動的な検疫のためのシステム100の例示的な動作の図である。(1)において、実施例では、試行された情報の伝送が受信されてもよい。伝送は、ネットワークノード110から生じてもよい。伝送はデータ112を含んでもよい。伝送は、単独で又は他のソフトウェアと協力して動作するモニタ102により傍受されてもよい。他の実施例では、(1)において、データ112は、モニタ102がマルウェアをスキャンするように構成された電子デバイスに存在してもよい。(2)において、データ112が分類されてもよい。データ112は、例えば、モニタ102が最初にそのマルウェア状態を評価するか否かを決定するため、又は初期の決定が状態が未知であるものである場合、データ112を再評価のために動的な検疫に配置するために、分類されてもよい。例えば、モニタ102は、電子メール、電子メールの添付、実行可能コード、危険にさらされたアプリケーションに関連するファイル、クライアントの未知若しくは悪意のあるアプリケーションによるトラヒック、又は未知若しくは悪意のある送信者からのトラヒックのような特定の種類のトラヒックを選択的に分析してもよい。アプリケーション又は送信者に関する初期の決定が行われてもよい。ネットワークノード110のようなデータ112に関連するネットワークアドレス、仮サーバ若しくはデバイス、又はデータ112内に含まれるリンクが決定されてもよい。データ112のハッシュ又はデジタル署名は、そのコンテンツを一意に識別するために決定されてもよい。
一実施例では、(3)において、モニタ102は、データ112がマルウェアを示すか否かを決定するために、アンチウィルスデータベース116のようなローカルのマルウェア情報源にアクセスしてもよい。(4)において、その結果が戻されてもよい。データ112が悪意のあるものである場合、ブロックされてもよい。データ112が安全であることが分かった場合、クライアント電子デバイス108に進むことが許可され、実行され、メモリにロードされ、又はネットワークゲートウェイ104若しくはクライアント電子デバイス108のようなシステム100の一部によりアクセスされてもよい。しかし、アンチウィルスデータベース116に従ってデータ112のマルウェア状態が未知である場合、他の実施例では、(5)において、モニタ102は、レピュテーションサーバ126のようなアンチマルウェアサーバにアクセスすることにより、データ112のマルウェア状態を決定してもよい。
レピュテーションサーバ126は、例えば、モニタ102により提供された、データ112に関連するネットワークアドレス、ハッシュ又はデジタル署名により、モニタ102により識別されたデータ112のレピュテーションを決定してもよい。図2に示すように、例えば、レピュテーションサーバ126は、例示的なハッシュ値“123”により識別されたデータ112が96パーセントのパーセントの確実性のレピュテーションスコア244を有すること、又は5のレピュテーションランク246のレピュテーションスコアを有することを決定してもよい。このようなレピュテーションスコアは、ハッシュ値“123”により識別されたデータ112が安全であることを示してもよい。一実施例では、レピュテーションサーバ126は、それ自体を示す状態インジケータ242を含んでもよい。状態インジケータ242は、上限閾値に基づいてもよい。上限閾値の上では、レピュテーションスコアは、データ112が安全であることが分かっているかのように扱われるべきであることを示す。他の実施例では、モニタ102又はレピュテーションスコアの他のユーザは、このような状態の決定を行うために、自身の閾値を適用してもよい。モニタ102は、このようなデータ112がクライアント電子デバイス108のようなその目的の受信者に配信されること、ロードされること、実行されること、又は例えばネットワークゲートウェイ104若しくはクライアント電子デバイス108によりアクセスされることを許可してもよい。
モニタ102は、例示的なハッシュ値“345”を使用してデータ112の指標をレピュテーションサーバ126に提供してもよい。レピュテーションサーバ126は、例示的なハッシュ値“345”により識別されたデータ112が22パーセントのパーセントの確実性のレピュテーションスコア244を有すること、又は1のレピュテーションランク246のレピュテーションスコアを有することを決定してもよい。このようなレピュテーションスコアは、ハッシュ値“345”により識別されたデータ112が悪意のあるものであることを示してもよい。一実施例では、レピュテーションサーバ126は、それ自体を示す状態インジケータ242を含んでもよい。状態インジケータ242は、下限閾値に基づいてもよい。下限閾値の下では、レピュテーションスコアは、データ112が悪意のあるものであることが分かっているかのように扱われるべきであることを示す。他の実施例では、モニタ102又はレピュテーションスコアの他のユーザは、このような状態の決定を行うために、自身の閾値を適用してもよい。モニタ102は、このようなデータ112がクライアント電子デバイス108のようなその目的の受信者に配信されること、ロードされること、実行されることをブロックしてもよく、他の訂正動作を行ってもよい。
モニタ102は、例示的なハッシュ値“789”を使用してデータ112の指標をレピュテーションサーバ126に提供してもよい。レピュテーションサーバ126は、例示的なハッシュ値“789”により識別されたデータ112が64パーセントのパーセントの確実性のレピュテーションスコア244を有すること、又は3のレピュテーションランク246のレピュテーションスコアを有することを決定してもよい。このようなレピュテーションスコアは、ハッシュ値“789”により識別されたデータ112が未知のマルチウェア状態を有することを示してもよい。一実施例では、レピュテーションサーバ126は、それ自体を示す状態インジケータ242を含んでもよい。状態インジケータ242は、2つの閾値に基づいてもよい。2つの閾値の間では、レピュテーションスコアは、データ112が未知のマルウェア状態を有することを示す。他の実施例では、モニタ102又はレピュテーションスコアの他のユーザは、このような状態の決定を行うために、自身の閾値を適用してもよい。モニタ102は、このようなデータ112を動的な検疫に配置してもよい。
モニタ102は、例示的なネットワークアドレス“111.111.111.111”を使用してデータ112の指標をレピュテーションサーバ126に提供してもよい。レピュテーションサーバ126は、データ112に関連するネットワークアドレス“111.111.111.111”が98パーセントのパーセントの確実性のレピュテーションスコア244を有すること、又は5のレピュテーションランク246のレピュテーションスコアを有することを決定してもよい。このようなレピュテーションスコアは、ネットワークアドレス“111.111.111.111に関連するデータ112が安全であることを示してもよい。一実施例では、レピュテーションサーバ126は、それ自体を示す状態インジケータ242を含んでもよい。状態インジケータ242は、上限閾値に基づいてもよい。上限閾値の上では、レピュテーションスコアは、データ112が安全であることが分かっているかのように扱われるべきであることを示す。他の実施例では、モニタ102又はレピュテーションスコアの他のユーザは、このような状態の決定を行うために、自身の閾値を適用してもよい。モニタ102は、このようなデータ112がクライアント電子デバイス108のようなその目的の受信者に配信されること、ロードされること、実行されること、又はネットワークゲートウェイ104若しくはクライアント電子デバイス108のようなシステム100の一部によりアクセスされることを許可してもよい。
モニタ102は、例示的なネットワークアドレス“113.113.113.113”を使用してデータ112の指標をレピュテーションサーバ126に提供してもよい。レピュテーションサーバ126は、データ112に関連するネットワークアドレス“113.113.113.113”が32パーセントのパーセントの確実性のレピュテーションスコア244を有すること、又は2のレピュテーションランク246のレピュテーションスコアを有することを決定してもよい。このようなレピュテーションスコアは、ネットワークアドレス“113.113.113.113に関連するデータ112が悪意のあるものであることを示してもよい。一実施例では、レピュテーションサーバ126は、それ自体を示す状態インジケータ242を含んでもよい。状態インジケータ242は、下限閾値に基づいてもよい。下限閾値の下では、レピュテーションスコアは、データ112が悪意のあるものであることが分かっているかのように扱われるべきであることを示す。他の実施例では、モニタ102又はレピュテーションスコアの他のユーザは、このような状態の決定を行うために、自身の閾値を適用してもよい。モニタ102は、このようなデータ112がクライアント電子デバイス108のようなその目的の受信者に配信されること、ロードされること、実行されることをブロックしてもよく、他の訂正動作を行ってもよい。
モニタ102は、例示的なネットワークアドレス“114.114.114.114”を使用してデータ112の指標をレピュテーションサーバ126に提供してもよい。レピュテーションサーバ126は、データ112に関連するネットワークアドレス“114.114.114.114”が62パーセントのパーセントの確実性のレピュテーションスコア244を有すること、又は3のレピュテーションランク246のレピュテーションスコアを有することを決定してもよい。このようなレピュテーションスコアは、ネットワークアドレス“114.114.114.114に関連するデータ112が未知のマルチウェア状態を有することを示してもよい。一実施例では、レピュテーションサーバ126は、それ自体を示す状態インジケータ242を含んでもよい。状態インジケータ242は、2つの閾値に基づいてもよい。2つの閾値の間では、レピュテーションスコアは、データ112が未知のマルウェア状態を有することを示す。他の実施例では、モニタ102又はレピュテーションスコアの他のユーザは、このような状態の決定を行うために、自身の閾値を適用してもよい。モニタ102は、このようなデータ112を動的な検疫に配置してもよい。
データ112についてのレピュテーションサーバ126のエントリは、モニタ102から収集された情報で更新されてもよい。更に、“999”のハッシュ値又は“116.116.116.116”のネットワークアドレスに関連するもののように、モニタ102がレピュテーションサーバ126内に存在しないデータの指標を提供した場合、レピュテーションサーバ126は、状態が未知であることをモニタ102に示してもよい。まだ存在していない場合には、報告されたデータ112についてエントリがレピュテーションサーバ126に入力されてもよい。
図3に戻り、(7)において、“789”若しくは“999”のハッシュ値を有するデータ112、又は“114.114.114.114”若しくは“116.116.116.116”のアドレスを有するネットワークノード110に関連するデータ112のように、データ112のマルウェア状態が未知である場合、モニタ102は、データ112を動的な検疫106に配置してもよい。“123”のハッシュ値を有するデータ112又は“111.111.111.111”のアドレスを有するネットワークノード110に関連するデータ112のように、上限閾値を超える高いレピュテーションスコアで決定されたデータ112又は安全であると指定されたデータ112については、モニタ102は、このようなデータ112がその目的の受信者に配信されること、実行されること、ロードされること、又はアクセスされることを許可してもよい。“456”のハッシュ値を有するデータ112又は“113.113.113.113”のアドレスを有するネットワークノード110に関連するデータ112のように、下限閾値の下の低いレピュテーションスコアで決定されたデータ112又は悪意のあるものであると指定されたデータ112については、モニタ102は、このようなデータ112を悪意のあるものとして扱い、実行、ロード又はクライアント電子デバイス108のようなその目的の受信者への配信をブロックしてもよく、他の訂正動作を行ってもよい。
データ112を動的な検疫に配置した後に、(8)において、モニタ102は、データ112を再評価する前に、指定の期間だけ待機してもよい。この期間は、1分又は10分のようにモニタ102が動作する頻度の設定により決定されてもよい。一実施例では、データ112を動的な検疫106には位置した後に、モニタ102は、送信が遅延しているというメッセージを送信者、目的の受信者又はシステム管理者に送信してもよい。しかし、送信者へのこのようなメッセージの送信は、ネットワークノード110の悪意のあるオペレータに対して、情報を送信する試行が検出されたという情報を提供し得る。従って、このようなメッセージは抑制されてもよい。システム100の管理者又はユーザは、その期間の間に検疫106からデータを手動で解放してもよく、削除してもよい。更に、例えばデータ112の繰り返しの評価を通じて、データ112について検疫時間の合計の閾値の長さを超えた場合、モニタ102は、データ112を永続的に検疫してもよく、データ112を悪意のあるものとして扱ってもよい。検疫時間の閾値の長さは可変でもよく、データ112の評価が閾値を超える変化を反映する場合、時間はリセットされる。従って、データ112の評価の最新に見える変化は、データ112の継続した再評価を生じてもよい。
(9)において、モニタ102は、例えばアンチウィルスデータベース116又はレピュテーションサーバ126にアクセスすることにより、データ112の1つ以上の評価を繰り返してもよい。(10)において、アンチウィルスデータベース116又はレピュテーションサーバ126は、データ112のレピュテーション又は他の分析をモニタ102に返信してもよい。データ112のレピュテーションスコアは変化してもよい。モニタ102は、データ112の更なる分析を行うために、このような変化又は変化がないことを使用してもよい。レピュテーションサーバ126は、安全又は悪意のあるもののようなデータ112の新たに決定されたマルウェア状態を有してもよく、マルウェア状態が未知であり続けるデータ112の新たに計算されたレピュテーションスコアを有してもよい。モニタ102は、データ112を許可するため、又はデータ112をブロックして訂正動作を行うために、データ112のこのような新たなマルウェア状態を適用してもよい。更に、データ112が未知のマルウェア状態を有し続ける場合、モニタ102は、いずれかのレピュテーションスコアの変化に基づく分析を適用してもよい。
例えば、図3に示すように、ハッシュ値“789”により識別されたデータ112のパーセントの確実性のレピュテーションスコア224は、時間と共に64パーセントから72パーセントに変化してもよい。一実施例では、レピュテーションのこのような変化は、モニタ102又はレピュテーションサーバ126により維持管理される閾値に従ってデータ112のマルウェア状態を未知から安全に変更してもよい。他の実施例では、このような変化は、データ112のマルウェア状態を未知として保持し続けてもよい。
他の例では、ネットワークアドレス“114.114.114.114”に関連するデータ112のパーセントの確実性のレピュテーションスコア244は、62パーセントから48パーセントに変化してもよく、レピュテーションのランク246のレピュテーションスコアは、3から2に変化してもよい。一実施例では、レピュテーションのこのような変化は、モニタ102又はレピュテーションサーバ126により維持管理される閾値に従ってデータ112のマルウェア状態を未知から悪意のあるものに変更してもよい。他の実施例では、このような変化は、データ112のマルウェア状態を未知として保持し続けてもよい。
モニタ102は、レピュテーションサーバ126から更新されたレピュテーションスコアを受信し、新たなレピュテーションスコアが閾値を超えた場合、データ112が安全であるものとして扱われることを決定してもよい。閾値は、(6)において元々使用された閾値を含んでもよい。閾値は、前の再評価又は(6)において元々使用されたものより低い中間の閾値を含んでもよい。閾値は新たなものでもよく、閾値はデータ112を評価するためにモニタ102により前に使用されたものではない。
一実施例では、モニタ102は、レピュテーションサーバ126から更新されたレピュテーションスコアを受信し、新たなレピュテーションスコアが閾値未満である場合、データ112が悪意のあるものとして扱われることを決定してもよい。閾値は、(6)において元々使用された閾値を含んでもよい。閾値は、前の再評価又は(6)において元々使用されたものより高い中間の閾値を含んでもよい。閾値は新たなものでもよく、閾値はデータ112を評価するためにモニタ102により前に使用されたものではない。
他の実施例では、モニタ102は、レピュテーションサーバ126から更新されたレピュテーションスコアを受信し、新たなレピュテーションスコアが絶対値又はパーセントの項で前のレピュテーションスコアに対して閾値量より大きくなっている場合、データ112が安全であるものとして扱われることを決定してもよい。閾値量は、元々のレピュテーションスコア又はデータ112の再評価の間に決定されたレピュテーションスコアに関してもよい。
更に他の実施例では、モニタ102は、レピュテーションサーバ126から更新されたレピュテーションスコアを受信し、新たなレピュテーションスコアが絶対値又はパーセントの項で前のレピュテーションスコアに対して閾値量より小さくなっている場合、データ112が悪意のあるものとして扱われることを決定してもよい。閾値量は、元々のレピュテーションスコア又はデータ112の再評価の間に決定されたレピュテーションスコアに関してもよい。
更に他の実施例では、モニタ102は、新たなレピュテーションスコアが元々のレピュテーションスコアより大きい場合、データ112が安全であるものとして扱われることを決定してもよい。更に、モニタ102は、新たなレピュテーションスコアが元々のレピュテーションスコアより小さい場合、データ112が悪意のあるものとして扱われることを決定してもよい。モニタ102は、このような決定を全評価期間の終わりに行ってもよい。
(11a)において、一実施例では、モニタ102がデータ112を安全であるとして扱うことを決定した場合、データ112は、クライアント電子デバイス108に配信されることが許可されてもよい。他の実施例では、(11a)において、データ112は、ロードされること、実行されること、又はシステム100の一部によりアクセスされることが許可されてもよい。(11b)において、モニタ102がデータ112を悪意のあるものとして扱うことを決定した場合、データ112はブロックされてもよく、永続的に検疫106に保持されてもよく、他の訂正動作が行われてもよい。エラー又はスプーフィングのメッセージがネットワークノード110に送信されてもよい。(11c)において、モニタがデータ112を安全なもの又は悪意のあるものとして扱うか否かを決定していない場合、データ112の評価は繰り返されてもよい。モニタ102は、評価を繰り返すか否かを判断する際に、データ112のレピュテーションスコア内の変化と、評価の期間とを考慮してもよい。例えば、データ112がレピュテーションスコアで変化を受けている場合、評価は続いてもよい。全閾値期間に到達していない場合、評価は続いてもよい。レピュテーションスコアの変化が観測された場合、評価の閾値期間は延長されてもよい。レピュテーションスコアが変化していない場合、あまり変化していない場合、又は閾値期間を超えた場合、評価は一時停止されてもよい。評価が中断したようなデータ112について、モニタ102は、永続的にデータ112を検疫してもよく、データ112を悪意のあるものとして扱ってもよく、訂正動作を行ってもよい。
ネットワークゲートウェイ104で実行するものとして示されているが、モニタ102は、いずれか適切な機械、デバイス又はサーバで実行してもよい。一実施例では、モニタ102は、クラウドコンピューティングシステム又はSaaS(software-as-a-service)として実行してもよく、モニタ102は、ネットワークゲートウェイ104又はクライアント電子デバイス108のようなシステム100の他の部分で直面したトラヒックをスキャンするが、異なるデバイスの異なるプロセッサ内で実行する。更に、アンチウィルスデータベース116又は検疫106のようなシステム100の様々な部分は、いずれか適切な機械、デバイス又はサーバに存在してもよく、実行してもよい。
図4は、電子デバイス402で実行するように又は電子デバイス402をスキャンするように構成されたモニタ102aに基づくシステム100の例示的な実施例を示している。電子デバイス402は、プログラム命令及び/又は処理データを解釈及び/又は実行するように構成された如何なるデバイスを有してもよく、コンピュータ、デスクトップ、サーバ、ラップトップ、パーソナルデジタルアシスタント又はスマートフォンを含むがこれらに限定されない。電子デバイス402は、電子デバイス402で実行し、ネットワークノード110aからのデータ112aのようなネットワークトラヒックを受信するアプリケーション412を含んでもよい。一例では、アプリケーション412は、マルウェアを含まないことが知られていてもよいが、それにも拘わらず、マルウェアを含み得るデータ112aにアクセスしてもよい。他の例では、アプリケーション412はマルウェア自体でもよく、マルウェアにより利用されるように弱点又は脆弱性を通じて危険にさらされてもよい。このような場合、モニタ102aは、アプリケーション412のマルウェア状態を決定することができない可能性があり、又はアプリケーション412を安全であると誤って分類する可能性がある。
一実施例では、モニタ102aは、電子デバイス402で実行し、アプリケーション412により受信されたデータ112a又はアプリケーション412によりアクセスされるデータ112bのようなネットワークトラヒックをスキャンしてもよい。モニタ102aは、モニタ102aにローカルのアンチウィルスデータベース116a若しくは電子デバイス402と同じネットワーク内のアンチウィルスデータベース116a、又はレピュテーションサーバ126aにアクセスし、データ112a又はデータ112bを評価及び再評価し、必要に応じて動的な検疫に配置してもよい。モニタ102aは、電子デバイス402のプロセッサ118aにより実行される電子デバイス402のメモリ120aに存在する命令を含んでもよい。
他の実施例では、モニタ102bは、電子デバイス402を管理、監視又は保護するように構成されたサーバ414で実行してもよい。モニタ102bは、アプリケーション412により受信されたデータ112a又はアプリケーション412によりアクセスされるデータ112bのようなネットワークトラヒックをスキャンしてもよい。モニタ102bは、モニタ102bにローカルのアンチウィルスデータベース116b若しくはサーバ414と同じネットワーク内のアンチウィルスデータベース116b、又はレピュテーションサーバ126aにアクセスし、データ112a又はデータ112bを評価及び再評価し、必要に応じて動的な検疫に配置してもよい。モニタ102bは、サーバ414のプロセッサ118bにより実行されるサーバ414のメモリ120bに存在する命令を含んでもよい。
図5は、マルウェア検出の動的な検疫のための方法500の例示的な実施例の図である。505において、一実施例では、電子デバイスに向けたデータは、傍受、観測又は検出されてもよい。一実施例では、このようなデータは、電子デバイス内から伝送されてもよく、デバイス内で生成されてもよい。他の実施例では、このようなデータは、電子デバイスの外部から電子デバイスに伝送されてもよい。データは、ネットワークアドレスを有する特定の送信者から生じ、所与のネットワーク及びネットワークアドレスを有する中間エンティティを流れ、特定のコンテンツを有し、特定の受信者に向けられてもよい。方法500は、特定の受信者及び他のエンティティをマルウェアから保護するために実行される。他の実施例では、電子デバイスのデータが検出されてもよい。データは、電子デバイスにおいてロード、実行又はアクセスされるように構成されてもよい。方法500は、データが存在する電子デバイスを保護するために実行されてもよい。データは、ファイル、電子メール、電子メールの添付又は他のデジタルデータを含んでもよい。510において、データがマルウェアについて更に分析されるか否かが決定されてもよい。このような決定は、例えば、送信者又は中間エンティティ、受信者、データのコンテンツ、データの種類に基づいてもよい。一実施例では、全てのデータが分析されてもよい。データが分析されない場合、方法500は565に進んでもよい。
データがマルウェアについて分析される場合、515において、データは分析されてもよい。このような分析は、例えば、ローカルのアンチマルウェアデータベース、ルール及びヒューリスティックを使用して実行されてもよく、クラウドコンピュータサーバ又はサーバにアクセスすることにより実行されてもよい。515のこのような分析は、図6の方法600により完全に又は部分的に実施されてもよい。このような分析は、例えば、データの悪意のある特性又は安全な特性の定量化、測定又は表現を生じてもよい。例えば、レピュテーションスコアのようにデータが悪意のあるもの又は安全であるものであるという可能性の定量化が受信されてもよい。
520において、分析の結果は、データがマルウェアに関連するか否かを決定するように評価されてもよい。データが悪意のあるものであることが決定された場合、方法500は560に進んでもよい。データが安全であることが決定された場合、方法500は565に進んでもよい。データのマルウェア状態が未知であることが決定された場合、方法500は525に進んでもよい。
525において、データは検疫に配置されてもよい。このような検疫は、サンドボックス、保護されたメモリ、電子メール検疫場所、電子メール格納場所、又はデータがシステムリソースで実行することを妨げるように構成された他の保護空間を含んでもよい。管理者、ユーザ又は目的の受信者は通知されてもよい。データの送信者は、メッセージ、エラー、又はスプーフィングのメッセージで通知されてもよい。
530において、データは、1分、10分又は30分のような或る期間に検疫内に保持されてもよい。期間は構成可能でもよい。期間は、データの前の評価に基づいてもよい。評価の増加した変化は、期間を減少させ、評価の減少した変化は、期間を増加させる。データは、この時間の間に検疫に保持されてもよい。
535において、データの分析が繰り返されてもよい。515の一部又は全部が繰り返されてもよく、図6の方法600により完全に又は部分的に実施されてもよい。ローカルのアンチマルウェアのルールへのアクセス、ヒューリスティック又はデータベースのようないくつかの分析が、このようなルールに変化が存在する場合に繰り返されてもよいが、そうでない場合には繰り返されなくてもよい。515に対して又は535の前の実行に対して異なる基準が535において使用されてもよい。例えば、535又は515の前の実行に対してマルウェアの可能性の異なる閾値、又はこのような可能性の変化における異なる閾値が535において適用されてもよい。一例では、データが安全であるかのように扱われることを決定するための上限閾値は、353の実行中に低くされてもよい。他の例では、データが悪意のあるものであると扱われることを決定するための下限閾値は、353の実行中に上げられてもよい。更に他の例では、データが悪意のあるものとして又は安全であるかのように扱われることを決定するための変化の閾値は、535の実行中に低くされてもよい。レピュテーションスコアのようなデータが悪意のあるもの又は安全であるという可能性の更新された定量化、測定又は表現が受信されてもよい。更新された定量化は、535で受信した元々の定量化又は535の前の実行において前に受信した定量化に対して、データが悪意のあるもの又は安全であるという可能性について評価されてもよい。
540において、データがマルウェアに関連することを分析が示すか否かが決定されてもよい。データがマルウェアに関連することを分析が示す場合、方法500は560に進んでもよい。データが安全であることを分析が示す場合、方法500は565に進んでもよい。データのマルウェア状態が未知である場合、方法500は550に進んでもよい。
550において、データが悪意のあるもの又は安全であるという更に確からしい可能性を待機する間に、データを動的に検疫し続けるか否かが決定されてもよい。決定は、例えば、24時間のようにデータが検疫され得る全期間の制限により行われてもよい。時間制限は、535の分析の結果に基づいてリセット、延長又は短縮されてもよい。例えば、535の複数の実行を通じて可能性の繰り返しの観測された変化は、時間制限をリセット又は延長させてもよい。他の例では、可能性が変化していないという535の観測は、時間制限を短縮させてもよい。分析が繰り返される場合、方法500は535に進んでもよい。分析が繰り返されない場合、方法500は560に進んでもよく、データを永続的に検疫してもよい。
560において、データが悪意のあるものであること又は悪意のあるものであるかのように扱われることが決定されてもよい。データは、削除されてもよく、除去されてもよく、永続的に動作不可能にされてもよい。データの受信者、管理者又はユーザは通知されてもよい。エラー又はスプーフィングのメッセージが送信者に送信されてもよい。データ及び後の分析に関する情報は、記録されてもよく、アンチマルウェアサーバに送信されてもよい。
565において、データが安全であること又は安全であるかのように扱われることが決定されてもよい。データは、検疫から自動的に解放され、目的の受信者に送信されてもよい。オペレータは、決定に関して通知されてもよい。データ及び後の分析に関する情報は、記録されてもよく、アンチマルウェアサーバに送信されてもよい。
図6は、データの一部を分析する方法600の例示的な実施例の図である。605において、データの識別情報が決定されてもよい。例えば、データの一部又は全部のデジタル署名又はハッシュが計算されてもよい。他の例では、データの送信者のネットワークアドレス又はデータを転送する中間エンティティのネットワークアドレスが決定されてもよい。他の例では、データのコンテンツ内のリンクのネットワークアドレスが決定されてもよい。識別情報は、データのマルウェア情報にアクセスするために使用されてもよい。
610において、関連するデータが安全であるか、悪意のあるものであるか、未知であるかを決定するために、識別情報を使用して、ローカルのアンチマルウェアデータベース、ルール又はヒューリスティックがアクセスされてもよい。ローカルのアンチマルウェア情報は、ローカルデバイス又はローカルエリアネットワークを通じて接続されたサーバに存在してもよい。615において、結果が分析されてもよい。識別情報がマルウェアに関連する場合、方法600は640に進んでもよい。識別情報が安全なデータに関連する場合、方法600は645に進んでもよい。識別情報がマルウェア若しくは安全なエンティティに関連しない場合又は未知である場合、方法600は620に進んでもよい。一実施例では、方法600は610〜615をスキップしてもよい。
620において、関連するデータが安全であるか、悪意のあるものであるか、未知であるかを決定するために、アンチマルウェアサーバは、識別情報を使用してアクセスされてもよい。アンチマルウェアサーバは、クラウドコンピュータ方式を通じてアクセス可能でもよく、マルウェアに関するリアルタイムのデータを含んでもよい。レピュテーションスコアのようなマルウェアとの関連付けの可能性は、アンチマルウェアサーバから取得されてもよい。625において、結果が分析されてもよい。識別情報がマルウェアに関連する場合、方法600は640に進んでもよい。識別情報が安全なデータに関連する場合、方法600は645に進んでもよい。識別情報がマルウェア若しくは安全なエンティティに関連しない場合又は未知である場合、方法600は635に進んでもよい。
635において、データのマルウェア状態が未知であることが決定されてもよい。レピュテーションスコアのような可能性が決定に提供されてもよい。640において、データのマルウェア状態が悪意のあるものであることが決定されてもよい。決定は、可能性に基づいて確実なものでもよく、近似でもよい。645において、データのマルウェア状態が安全であることが決定されてもよい。決定は、可能性に基づいて確実なものでもよく、近似でもよい。
図7は、マルウェアの可能性の定量化を比較する方法700の例示的な実施例の図である。方法700は、データの繰り返しの評価に基づいて、データの一部が安全であるか、悪意のあるものであるか、未知であるかを決定することを含んでもよい。方法700は、データが悪意のあるものであるという可能性の定量化に基づいてもよい。このような定量化は、例えば、レピュテーションスコアを含んでもよい。方法700は、現在決定された定量化と前に決定された定量化との比較に更に基づいてもよい。前に決定された定量化は、例えば、元の定量化又は繰り返しの中間の定量化を含んでもよい。従って、方法700について以下に説明する比較は、現在の定量化と、いずれかのこのような前の定量化との間のものでもよい。
705において、レピュテーションスコアのような現在及び前の定量化が決定されてもよい。このようなスコアは、例えば、図6の方法600の実行により決定されてもよい。710において、レピュテーションスコアを比較する1つ以上の基準が選択されてもよい。基準は、例えば、レピュテーションスコアのいずれかの変化が生じたか否か(この場合、方法700は715に進んでもよい)、レピュテーションが絶対の閾値量だけ変化したか否か(この場合、方法700は725に進んでもよい)、レピュテーションがパーセント量だけ変化したか否か(この場合、方法700は735に進んでもよい)、レピュテーションが上限又は下限閾値の制限に到達したか否か(この場合、方法700は745に進んでもよい)の間で選択されてもよい。一実施例では、710における基準の選択は、700が実行しているシステムの構成により行われてもよい。他の実施例では、特定の基準は、データが分析されている時間の長さ又は繰り返しの数に基づいて選択されてもよい。例えば、絶対値の変化、パーセントの変化又は閾値の到達のうち1つが、方法700の動作中に使用されてもよく、方法700の後の動作において、715におけるいずれかの変化基準が選択されてもよい。
715において、レピュテーションスコアのいずれかの変化が現在の定量化と前の定量化との間に行われたか否かが決定されてもよい。レピュテーションが増加した場合、方法700は760に進んでもよい。レピュテーションが増加していない場合、方法720において、レピュテーションが減少したか否かが決定されてもよい。そうである場合、方法700は755に進んでもよい。レピュテーションが減少していない場合、方法は765に進んでもよい。
725において、1つ以上の閾値を超えるレピュテーションスコアの変化が現在の定量化と前の定量化との間で行われたか否かが決定されてもよい。レピュテーションが第1の閾値の差を超えて増加している場合、方法700は760に進んでもよい。レピュテーションが第1の閾値の差を超えて増加していない場合、730において、レピュテーションが第2の閾値の差を超えて減少しているか否かが決定されてもよい。そうである場合、方法700は755に進んでもよい。レピュテーションが第2の閾値の差を超えて減少していない場合、方法700は765に進んでもよい。第1及び第2の閾値は同じでもよく、異なってもよい。更に、第1及び第2の閾値は、レピュテーションの絶対値によって表現されてもよい。更に、第1及び第2の閾値は、図7に関して説明した他の閾値と異なってもよい。
735において、1つ以上の閾値を超えるレピュテーションスコアのパーセントの変化が現在の定量化と前の定量化との間で行われたか否かが決定されてもよい。レピュテーションが第1の閾値のパーセントの差を超えて増加している場合、方法700は760に進んでもよい。レピュテーションが第1の閾値のパーセントの差を超えて増加していない場合、740において、レピュテーションが第2の閾値のパーセントの差を超えて減少しているか否かが決定されてもよい。そうである場合、方法700は755に進んでもよい。レピュテーションが第2の閾値のパーセントの差を超えて減少していない場合、方法700は765に進んでもよい。第1及び第2の閾値は同じでもよく、異なってもよい。更に、第1及び第2の閾値は、レピュテーションのパーセント値によって表現されてもよい。更に、第1及び第2の閾値は、図7に関して説明した他の閾値と異なってもよい。
745において、レピュテーションが現在の定量化と前の定量化との間で上限又は下限閾値のレピュテーションスコアに到達したか否かが決定されてもよい。レピュテーションが上限閾値を超えて増加している場合、方法700は760に進んでもよい。レピュテーションが上限閾値を超えて増加していない場合、750において、レピュテーションが下限閾値を超えて減少しているか否かが決定されてもよい。そうである場合、方法700は755に進んでもよい。レピュテーションが下限閾値を超えて減少していない場合、方法700は765に進んでもよい。
図7に関して説明した閾値は、方法700に関連するシステムの特定の実装に従って設定されてもよい。更に、方法700により使用される閾値は、方法700の異なる実行の間で調整されてもよい。例えば、方法700の後の実行は、小さいレピュテーションの差の閾値を利用してもよく、又は上限閾値と下限閾値との間の狭い間隔を利用してもよい。
755において、データが悪意のあるものであり、マルウェアに関連するものであるかのように扱われることが決定されてもよい。760において、データが安全であり、マルウェアを含まないかのように扱われることが決定されてもよい。765において、データが未知のマルウェア状態を有するかのように扱われることが決定されてもよい。770において、方法700又は他の方法の実行の間に行われる待機期間が調整されてもよい。更に、方法700に関して使用される基準及び閾値が調整されてもよい。
方法500、600及び700は、図1〜4のシステム又は方法500、600及び700を実施するように動作可能な他のシステムを使用して実施されてもよい。従って、方法500、600及び700の好ましい初期化ポイントと、方法500、600及び700を有する要素の順序とは、選択された実装に依存してもよい。或る実施例では、いくつかの要素は、任意選択で省略、繰り返し又は組み合わせが行われてもよい。特定の実施例では、方法500、600及び700は、コンピュータ読み取り可能媒体に具現されたソフトウェアに部分的に又は完全に実装されてもよい。
この開示の目的で、コンピュータ読み取り可能媒体は、ある期間にデータ及び/又は命令を保持し得るいずれかの手段又は手段の集合を含んでもよい。コンピュータ読み取り可能媒体は、非限定的に、直接アクセス記憶デバイス(例えば、ハードディスクドライブ又はフロッピー(登録商標)ディスク)、順次アクセス記憶デバイス(例えば、テープディスクドライブ)、コンパクトディスク、CD-ROM、DVD、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、電気的消去可能プログラム可能読み取り専用メモリ(EEPROM)及び/又はフラッシュメモリのような記憶媒体、配線、光ファイバ及び他の電磁気及び/又は光搬送波のような通信媒体、及び/又は前述のいずれかの組み合わせを含んでもよい。前述の例は、更なる実施例に関係する。例における詳細は、前述の1つ以上の実施例又はここに記載の1つ以上の実施例のいずれかで使用されてもよい。
以下の例は更なる実施例に関係する。
マルウェア攻撃を回避する方法は、電子デバイスで実行されてもよい。この方法のいずれか適切な部分又は態様は、以下に説明するように、少なくとも1つの機械読み取り可能記憶媒体又はシステムで実施されてもよい。方法は、要素、動作又は機能のいずれか適切な組み合わせを含んでもよい。例えば、方法は、データの一部を分析することを含んでもよい。更に、この方法は、データのマルウェア状態の第1の表示を決定することを含んでもよい。第1の表示は、データのマルウェア状態が安全であることが確実でないこと及びデータのマルウェア状態が悪意のあるものではないことが確実でないことを示してもよい。更に、この方法は、ある期間にデータを検疫することを含んでもよい。この方法は、データのマルウェア状態の第2の表示を決定し、第1及び第2の表示を比較することにより、データがマルウェアに関連するか否かを推定することを含んでもよい。更に、この方法は、データがマルウェアに関連するか否かの推定に基づいて、データを検疫から解放することを含んでもよい。この方法において、第1及び第2の表示を比較することは、表示が変化したか否かを決定し、データが安全であるという可能性の増加を示すことを含んでもよく、データがマルウェアに関連するか否かを決定することは、データが安全であるという可能性の増加に基づいて、データが安全であることを推定することを含んでもよい。第1及び第2の表示を比較することは、表示が変化したか否かを決定し、データが安全であるという可能性の減少を示すことを含んでもよく、データがマルウェアに関連するか否かを決定することは、データが安全であるという可能性の減少に基づいて、データが悪意のあるものであることを推定することを含んでもよい。データがマルウェアに関連する場合、データは、目的の受信者に到達することからブロックされてもよい。第1及び第2の表示を比較することは、第2の表示が閾値を横切ったか否かを決定することを含んでもよい。第1及び第2の表示を比較することは、データのマルウェア状態が安全であることが確実ではなく、データのマルウェア状態が悪意のあるものであることが確実ではないという決定を生じてもよい。このような決定が行われた場合、この方法は、決定に基づいて、検疫してデータのマルウェア状態の第3の表示を決定することを繰り返し、第3の表示を前に決定された表示と比較し、比較に基づいてデータのマルウェア状態を決定することを更に含んでもよい。表示はレピュテーションスコアを含んでもよい。
少なくとも1つの機械読み取り可能記憶媒体は、コンピュータ読み取り可能媒体で伝達されるコンピュータ実行可能命令を含んでもよい。媒体の様々な態様は、前述の方法又は後述のシステムのいずれか適切な部分又は組み合わせを実装してもよい。命令は、プロセッサにより実行可能でもよい。命令は、読み取られて実行された場合、プロセッサに対してデータの一部を分析させてもよい。更に、プロセッサは、データのマルウェア状態の第1の表示を決定するようにされてもよい。第1の表示は、データのマルウェア状態が安全であることが確実でないこと及びデータのマルウェア状態が悪意のあるものではないことが確実でないことを示してもよい。プロセッサは、ある期間にデータを検疫するようにされてもよい。更に、プロセッサは、データのマルウェア状態の第2の表示を決定するようにされてもよい。また、プロセッサは、第1及び第2の表示を比較することにより、データがマルウェアに関連するか否かを推定するようにされてもよい。更に、プロセッサは、データがマルウェアに関連するか否かの推定に基づいて、データを検疫から解放するようにされてもよい。第1及び第2の表示を比較することは、表示が変化したか否かを決定し、データが安全であるという可能性の増加を示すことを含んでもよく、データがマルウェアに関連するか否かを決定することは、データが安全であるという可能性の増加に基づいて、データが安全であることを推定することを含んでもよい。更に、第1及び第2の表示を比較することは、表示が変化したか否かを決定し、データが安全であるという可能性の減少を示すことを含んでもよく、データがマルウェアに関連するか否かを決定することは、データが安全であるという可能性の減少に基づいて、データが悪意のあるものであることを推定することを含んでもよい。更に、データがマルウェアに関連する場合、データは、目的の受信者に到達することからブロックされてもよい。また、第1及び第2の表示を比較することは、第2の表示が閾値を横切ったか否かを決定することを含んでもよい。更に、第1及び第2の表示を比較することは、データのマルウェア状態が安全であることが確実ではなく、データのマルウェア状態が悪意のあるものであることが確実ではないという決定を生じてもよい。プロセッサは、決定に基づいて、検疫してデータのマルウェア状態の第3の表示を決定することを繰り返し、第3の表示を前に決定された表示と比較し、比較に基づいてデータのマルウェア状態を決定するように更にされてもよい。更に、表示はレピュテーションスコアを含んでもよい。
システムは、マルウェア攻撃を回避するように構成されてもよい。このシステムは、前述の方法又は少なくとも1つの機械読み取り可能記憶媒体のいずれか適切な部分又は組み合わせを実装してもよい。このシステムは、コンピュータ読み取り可能媒体に結合されたプロセッサと、コンピュータ読み取り可能媒体で伝達されるコンピュータ実行可能命令とを含んでもよい。命令は、プロセッサにより読み取り可能でもよい。命令は、読み取られて実行された場合、プロセッサに対してデータの一部を分析させてもよい。更に、プロセッサは、データのマルウェア状態の第1の表示を決定するようにされてもよい。第1の表示は、データのマルウェア状態が安全であることが確実でないこと及びデータのマルウェア状態が悪意のあるものではないことが確実でないことを示してもよい。プロセッサは、ある期間にデータを検疫するようにされてもよい。更に、プロセッサは、データのマルウェア状態の第2の表示を決定するようにされてもよい。また、プロセッサは、第1及び第2の表示を比較することにより、データがマルウェアに関連するか否かを推定するようにされてもよい。更に、プロセッサは、データがマルウェアに関連するか否かの推定に基づいて、データを検疫から解放するようにされてもよい。第1及び第2の表示を比較することは、表示が変化したか否かを決定し、データが安全であるという可能性の増加を示すことを含んでもよく、データがマルウェアに関連するか否かを決定することは、データが安全であるという可能性の増加に基づいて、データが安全であることを推定することを含んでもよい。更に、第1及び第2の表示を比較することは、表示が変化したか否かを決定し、データが安全であるという可能性の減少を示すことを含んでもよく、データがマルウェアに関連するか否かを決定することは、データが安全であるという可能性の減少に基づいて、データが悪意のあるものであることを推定することを含んでもよい。更に、データがマルウェアに関連する場合、データは、目的の受信者に到達することからブロックされてもよい。また、第1及び第2の表示を比較することは、第2の表示が閾値を横切ったか否かを決定することを含んでもよい。更に、第1及び第2の表示を比較することは、データのマルウェア状態が安全であることが確実ではなく、データのマルウェア状態が悪意のあるものであることが確実ではないという決定を生じてもよい。プロセッサは、決定に基づいて、検疫してデータのマルウェア状態の第3の表示を決定することを繰り返し、第3の表示を前に決定された表示と比較し、比較に基づいてデータのマルウェア状態を決定するように更にされてもよい。更に、表示はレピュテーションスコアを含んでもよい。
前述の詳細は、1つ以上の実施例の如何なる場所で使用されてもよい。
この開示について詳細に説明したが、特許請求の範囲により規定される開示の要旨及び範囲を逸脱することなく、様々な変更、置換及び変形が行われてもよいことが分かる。

Claims (20)

  1. マルウェア攻撃を回避する方法であって、
    電子デバイスにおいて、データの一部を分析するステップと、
    前記データのマルウェア状態の第1の表示を決定するステップであり、前記第1の表示は、前記データの前記マルウェア状態が安全であることが確実でないこと及び前記データの前記マルウェア状態が悪意のあるものではないことが確実でないことを示すステップと、
    ある期間に前記データを検疫するステップと、
    前記データの前記マルウェア状態の第2の表示を決定するステップと、
    前記第1及び第2の表示を比較することにより、前記データがマルウェアに関連するか否かを推定するステップと、
    前記データがマルウェアに関連するか否かの前記推定に基づいて、前記データを検疫から解放するステップと
    を有する方法。
  2. 前記第1及び第2の表示を比較するステップは、表示が変化したか否かを決定し、前記データが安全であるという可能性の増加を示すことを含み、
    前記データがマルウェアに関連するか否かを決定するステップは、前記データが安全であるという可能性の増加に基づいて、前記データが安全であることを推定することを含む、請求項1に記載の方法。
  3. 前記第1及び第2の表示を比較するステップは、表示が変化したか否かを決定し、前記データが安全であるという可能性の減少を示すことを含み、
    前記データがマルウェアに関連するか否かを決定するステップは、前記データが安全であるという可能性の減少に基づいて、前記データが悪意のあるものであることを推定することを含む、請求項1に記載の方法。
  4. 前記データがマルウェアに関連する場合、前記データは、目的の受信者に到達することからブロックされる、請求項3に記載の方法。
  5. 前記第1及び第2の表示を比較するステップは、前記第2の表示が閾値を横切ったか否かを決定することを含む、請求項3に記載の方法。
  6. 前記第1及び第2の表示を比較するステップは、前記データの前記マルウェア状態が安全であることが確実ではなく、前記データの前記マルウェア状態が悪意のあるものであることが確実ではないという決定を生じ、
    前記決定に基づいて、検疫して前記データの前記マルウェア状態の第3の表示を決定することを繰り返すステップと、
    前記第3の表示を前に決定された表示と比較し、
    前記比較に基づいて前記データの前記マルウェア状態を決定するステップと
    を更に有する、請求項1に記載の方法。
  7. 前記表示はレピュテーションスコアを含む、請求項1に記載の方法。
  8. コンピュータ読み取り可能媒体で伝達されるコンピュータ実行可能命令を有する少なくとも1つの機械読み取り可能記憶媒体であって、
    前記命令は、プロセッサにより読み取り可能であり、読み取られて実行された場合、前記プロセッサに対して、
    データの一部を分析させ、
    前記データのマルウェア状態の第1の表示を決定させ、ただし、前記第1の表示は、前記データの前記マルウェア状態が安全であることが確実でないこと及び前記データの前記マルウェア状態が悪意のあるものではないことが確実でないことを示し、
    ある期間にデータを検疫させ、
    前記データの前記マルウェア状態の第2の表示を決定させ、
    前記第1及び第2の表示を比較することにより、前記データがマルウェアに関連するか否かを推定させ、
    前記データがマルウェアに関連するか否かの前記推定に基づいて、前記データを検疫から解放させる少なくとも1つの機械読み取り可能記憶媒体。
  9. 前記第1及び第2の表示を比較することは、表示が変化したか否かを決定し、前記データが安全であるという可能性の増加を示すことを含み、
    前記データがマルウェアに関連するか否かを決定することは、前記データが安全であるという可能性の増加に基づいて、前記データが安全であることを推定することを含む、請求項8に記載の少なくとも1つの機械読み取り可能記憶媒体。
  10. 前記第1及び第2の表示を比較することは、表示が変化したか否かを決定し、前記データが安全であるという可能性の減少を示すことを含み、
    前記データがマルウェアに関連するか否かを決定することは、前記データが安全であるという可能性の減少に基づいて、前記データが悪意のあるものであることを推定することを含む、請求項8に記載の少なくとも1つの機械読み取り可能記憶媒体。
  11. 前記データがマルウェアに関連する場合、前記データは、目的の受信者に到達することからブロックされる、請求項10に記載の少なくとも1つの機械読み取り可能記憶媒体。
  12. 前記第1及び第2の表示を比較することは、前記第2の表示が閾値を横切ったか否かを決定することを含む、請求項10に記載の少なくとも1つの機械読み取り可能記憶媒体。
  13. 前記第1及び第2の表示を比較することは、前記データのマルウェア状態が安全であることが確実ではなく、前記データのマルウェア状態が悪意のあるものであることが確実ではないという決定を生じ、
    前記プロセッサは、
    前記決定に基づいて、検疫して前記データの前記マルウェア状態の第3の表示を決定することを繰り返し、
    前記第3の表示を前に決定された表示と比較し、
    前記比較に基づいて前記データの前記マルウェア状態を決定するように更にされる、請求項8に記載の少なくとも1つの機械読み取り可能記憶媒体。
  14. 前記表示はレピュテーションスコアを含む、請求項8に記載の少なくとも1つの機械読み取り可能記憶媒体。
  15. マルウェア攻撃を回避するシステムであって、
    データの一部を含むデバイスと、
    コンピュータ読み取り可能媒体に結合されたプロセッサと、
    前記コンピュータ読み取り可能媒体で伝達されるコンピュータ実行可能命令と
    を有し、
    前記命令は、プロセッサにより読み取り可能であり、読み取られて実行された場合、前記プロセッサに対して、
    データの一部を分析させ、
    前記データのマルウェア状態の第1の表示を決定させ、ただし、前記第1の表示は、前記データの前記マルウェア状態が安全であることが確実でないこと及び前記データの前記マルウェア状態が悪意のあるものではないことが確実でないことを示し、
    ある期間にデータを検疫させ、
    前記データの前記マルウェア状態の第2の表示を決定させ、
    前記第1及び第2の表示を比較することにより、前記データがマルウェアに関連するか否かを推定させ、
    前記データがマルウェアに関連するか否かの前記推定に基づいて、前記データを検疫から解放させるシステム。
  16. 前記第1及び第2の表示を比較することは、表示が変化したか否かを決定し、前記データが安全であるという可能性の増加を示すことを含み、
    前記データがマルウェアに関連するか否かを決定することは、前記データが安全であるという可能性の増加に基づいて、前記データが安全であることを推定することを含む、請求項15に記載のシステム。
  17. 前記第1及び第2の表示を比較することは、表示が変化したか否かを決定し、前記データが安全であるという可能性の減少を示すことを含み、
    前記データがマルウェアに関連するか否かを決定することは、前記データが安全であるという可能性の減少に基づいて、前記データが悪意のあるものであることを推定することを含む、請求項15に記載のシステム。
  18. 前記データがマルウェアに関連する場合、前記データは、目的の受信者に到達することからブロックされる、請求項17に記載のシステム。
  19. 前記第1及び第2の表示を比較することは、前記第2の表示が閾値を横切ったか否かを決定することを含む、請求項17に記載のシステム。
  20. 前記第1及び第2の表示を比較することは、前記データのマルウェア状態が安全であることが確実ではなく、前記データのマルウェア状態が悪意のあるものであることが確実ではないという決定を生じ、
    前記プロセッサは、
    前記決定に基づいて、検疫して前記データの前記マルウェア状態の第3の表示を決定することを繰り返し、
    前記第3の表示を前に決定された表示と比較し、
    前記比較に基づいて前記データの前記マルウェア状態を決定するように更にされる、請求項15に記載のシステム。
JP2015534835A 2012-10-29 2013-10-21 マルウェア検出の動的な検疫 Active JP6005868B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/663,277 2012-10-29
US13/663,277 US8914886B2 (en) 2012-10-29 2012-10-29 Dynamic quarantining for malware detection
PCT/US2013/065894 WO2014070499A1 (en) 2012-10-29 2013-10-21 Dynamic quarantining for malware detection

Publications (2)

Publication Number Publication Date
JP2015530678A true JP2015530678A (ja) 2015-10-15
JP6005868B2 JP6005868B2 (ja) 2016-10-12

Family

ID=50548789

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015534835A Active JP6005868B2 (ja) 2012-10-29 2013-10-21 マルウェア検出の動的な検疫

Country Status (5)

Country Link
US (1) US8914886B2 (ja)
EP (1) EP2912596B1 (ja)
JP (1) JP6005868B2 (ja)
CN (1) CN104781824B (ja)
WO (1) WO2014070499A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019533258A (ja) * 2016-10-27 2019-11-14 ビットディフェンダー アイピーアール マネジメント リミテッド コンピュータセキュリティ動作を最適化するための動的評判インジケータ
US10560452B2 (en) 2016-02-16 2020-02-11 Fujitsu Limited Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network

Families Citing this family (188)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860274B2 (en) 2006-09-13 2018-01-02 Sophos Limited Policy management
US8515912B2 (en) 2010-07-15 2013-08-20 Palantir Technologies, Inc. Sharing and deconflicting data changes in a multimaster database system
US8429194B2 (en) 2008-09-15 2013-04-23 Palantir Technologies, Inc. Document-based workflows
US9104695B1 (en) 2009-07-27 2015-08-11 Palantir Technologies, Inc. Geotagging structured data
US9547693B1 (en) 2011-06-23 2017-01-17 Palantir Technologies Inc. Periodic database search manager for multiple data sources
US8732574B2 (en) 2011-08-25 2014-05-20 Palantir Technologies, Inc. System and method for parameterizing documents for automatic workflow generation
US9367687B1 (en) * 2011-12-22 2016-06-14 Emc Corporation Method for malware detection using deep inspection and data discovery agents
US9473437B1 (en) 2012-02-13 2016-10-18 ZapFraud, Inc. Tertiary classification of communications
US9798768B2 (en) 2012-09-10 2017-10-24 Palantir Technologies, Inc. Search around visual queries
US9081975B2 (en) 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
US9348677B2 (en) 2012-10-22 2016-05-24 Palantir Technologies Inc. System and method for batch evaluation programs
US8914886B2 (en) 2012-10-29 2014-12-16 Mcafee, Inc. Dynamic quarantining for malware detection
US9501761B2 (en) 2012-11-05 2016-11-22 Palantir Technologies, Inc. System and method for sharing investigation results
US9501507B1 (en) 2012-12-27 2016-11-22 Palantir Technologies Inc. Geo-temporal indexing and searching
US10140664B2 (en) 2013-03-14 2018-11-27 Palantir Technologies Inc. Resolving similar entities from a transaction database
US8909656B2 (en) 2013-03-15 2014-12-09 Palantir Technologies Inc. Filter chains with associated multipath views for exploring large data sets
US10275778B1 (en) 2013-03-15 2019-04-30 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation based on automatic malfeasance clustering of related data in various data structures
US8788405B1 (en) 2013-03-15 2014-07-22 Palantir Technologies, Inc. Generating data clusters with customizable analysis strategies
US8868486B2 (en) 2013-03-15 2014-10-21 Palantir Technologies Inc. Time-sensitive cube
US8924388B2 (en) 2013-03-15 2014-12-30 Palantir Technologies Inc. Computer-implemented systems and methods for comparing and associating objects
US9965937B2 (en) 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
US8799799B1 (en) 2013-05-07 2014-08-05 Palantir Technologies Inc. Interactive geospatial map
US9489513B1 (en) * 2013-06-25 2016-11-08 Symantec Corporation Systems and methods for securing computing devices against imposter processes
US9335897B2 (en) 2013-08-08 2016-05-10 Palantir Technologies Inc. Long click display of a context menu
US10277628B1 (en) 2013-09-16 2019-04-30 ZapFraud, Inc. Detecting phishing attempts
US9785317B2 (en) 2013-09-24 2017-10-10 Palantir Technologies Inc. Presentation and analysis of user interaction data
US9628507B2 (en) * 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US8938686B1 (en) 2013-10-03 2015-01-20 Palantir Technologies Inc. Systems and methods for analyzing performance of an entity
US8812960B1 (en) 2013-10-07 2014-08-19 Palantir Technologies Inc. Cohort-based presentation of user interaction data
US9116975B2 (en) 2013-10-18 2015-08-25 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores
US9219747B2 (en) * 2013-10-28 2015-12-22 At&T Intellectual Property I, L.P. Filtering network traffic using protected filtering mechanisms
US10223530B2 (en) * 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
US9105000B1 (en) 2013-12-10 2015-08-11 Palantir Technologies Inc. Aggregating data from a plurality of data sources
US9734217B2 (en) 2013-12-16 2017-08-15 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US10579647B1 (en) 2013-12-16 2020-03-03 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US10356032B2 (en) 2013-12-26 2019-07-16 Palantir Technologies Inc. System and method for detecting confidential information emails
US9338013B2 (en) 2013-12-30 2016-05-10 Palantir Technologies Inc. Verifiable redactable audit log
US8832832B1 (en) * 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9009827B1 (en) * 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US8924429B1 (en) 2014-03-18 2014-12-30 Palantir Technologies Inc. Determining and extracting changed data from a data source
US9836580B2 (en) 2014-03-21 2017-12-05 Palantir Technologies Inc. Provider portal
US9535974B1 (en) 2014-06-30 2017-01-03 Palantir Technologies Inc. Systems and methods for identifying key phrase clusters within documents
US9129219B1 (en) 2014-06-30 2015-09-08 Palantir Technologies, Inc. Crime risk forecasting
US9619557B2 (en) 2014-06-30 2017-04-11 Palantir Technologies, Inc. Systems and methods for key phrase characterization of documents
US9256664B2 (en) 2014-07-03 2016-02-09 Palantir Technologies Inc. System and method for news events detection and visualization
US9202249B1 (en) 2014-07-03 2015-12-01 Palantir Technologies Inc. Data item clustering and analysis
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
US9785773B2 (en) * 2014-07-03 2017-10-10 Palantir Technologies Inc. Malware data item analysis
US9319382B2 (en) * 2014-07-14 2016-04-19 Cautela Labs, Inc. System, apparatus, and method for protecting a network using internet protocol reputation information
US20160026923A1 (en) 2014-07-22 2016-01-28 Palantir Technologies Inc. System and method for determining a propensity of entity to take a specified action
US9419992B2 (en) 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US9390086B2 (en) 2014-09-11 2016-07-12 Palantir Technologies Inc. Classification system with methodology for efficient verification
US9767172B2 (en) 2014-10-03 2017-09-19 Palantir Technologies Inc. Data aggregation and analysis system
US9501851B2 (en) 2014-10-03 2016-11-22 Palantir Technologies Inc. Time-series analysis system
US9785328B2 (en) 2014-10-06 2017-10-10 Palantir Technologies Inc. Presentation of multivariate data on a graphical user interface of a computing system
US9229952B1 (en) 2014-11-05 2016-01-05 Palantir Technologies, Inc. History preserving data pipeline system and method
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US9483546B2 (en) 2014-12-15 2016-11-01 Palantir Technologies Inc. System and method for associating related records to common entities across multiple lists
US9348920B1 (en) 2014-12-22 2016-05-24 Palantir Technologies Inc. Concept indexing among database of documents using machine learning techniques
US10552994B2 (en) 2014-12-22 2020-02-04 Palantir Technologies Inc. Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US10362133B1 (en) 2014-12-22 2019-07-23 Palantir Technologies Inc. Communication data processing architecture
US9467455B2 (en) 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9648036B2 (en) 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9335911B1 (en) 2014-12-29 2016-05-10 Palantir Technologies Inc. Interactive user interface for dynamic data analysis exploration and query processing
US9817563B1 (en) 2014-12-29 2017-11-14 Palantir Technologies Inc. System and method of generating data points from one or more data stores of data items for chart creation and manipulation
US10372879B2 (en) 2014-12-31 2019-08-06 Palantir Technologies Inc. Medical claims lead summary report generation
US11302426B1 (en) 2015-01-02 2022-04-12 Palantir Technologies Inc. Unified data interface and system
US9432393B2 (en) * 2015-02-03 2016-08-30 Cisco Technology, Inc. Global clustering of incidents based on malware similarity and online trustfulness
US9727560B2 (en) 2015-02-25 2017-08-08 Palantir Technologies Inc. Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags
US9838418B1 (en) * 2015-03-16 2017-12-05 Synack, Inc. Detecting malware in mixed content files
EP3611632A1 (en) 2015-03-16 2020-02-19 Palantir Technologies Inc. Displaying attribute and event data along paths
US9886467B2 (en) 2015-03-19 2018-02-06 Plantir Technologies Inc. System and method for comparing and visualizing data entities and data entity series
US9348880B1 (en) 2015-04-01 2016-05-24 Palantir Technologies, Inc. Federated search of multiple sources with conflict resolution
US10103953B1 (en) 2015-05-12 2018-10-16 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US10628834B1 (en) 2015-06-16 2020-04-21 Palantir Technologies Inc. Fraud lead detection system for efficiently processing database-stored data and automatically generating natural language explanatory information of system results for display in interactive user interfaces
US9407652B1 (en) 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
US9418337B1 (en) 2015-07-21 2016-08-16 Palantir Technologies Inc. Systems and models for data analytics
US9392008B1 (en) 2015-07-23 2016-07-12 Palantir Technologies Inc. Systems and methods for identifying information related to payment card breaches
US9996595B2 (en) 2015-08-03 2018-06-12 Palantir Technologies, Inc. Providing full data provenance visualization for versioned datasets
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US9600146B2 (en) 2015-08-17 2017-03-21 Palantir Technologies Inc. Interactive geospatial map
US10489391B1 (en) 2015-08-17 2019-11-26 Palantir Technologies Inc. Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface
US10102369B2 (en) 2015-08-19 2018-10-16 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system
US9537880B1 (en) 2015-08-19 2017-01-03 Palantir Technologies Inc. Anomalous network monitoring, user behavior detection and database system
US9671776B1 (en) 2015-08-20 2017-06-06 Palantir Technologies Inc. Quantifying, tracking, and anticipating risk at a manufacturing facility, taking deviation type and staffing conditions into account
US11150917B2 (en) 2015-08-26 2021-10-19 Palantir Technologies Inc. System for data aggregation and analysis of data from a plurality of data sources
US9485265B1 (en) 2015-08-28 2016-11-01 Palantir Technologies Inc. Malicious activity detection system capable of efficiently processing data accessed from databases and generating alerts for display in interactive user interfaces
US10706434B1 (en) 2015-09-01 2020-07-07 Palantir Technologies Inc. Methods and systems for determining location information
US9639580B1 (en) 2015-09-04 2017-05-02 Palantir Technologies, Inc. Computer-implemented systems and methods for data management and visualization
US9984428B2 (en) 2015-09-04 2018-05-29 Palantir Technologies Inc. Systems and methods for structuring data from unstructured electronic data files
US9576015B1 (en) 2015-09-09 2017-02-21 Palantir Technologies, Inc. Domain-specific language for dataset transformations
US9977905B2 (en) 2015-10-06 2018-05-22 Assured Enterprises, Inc. Method and system for identification of security vulnerabilities
US10044745B1 (en) 2015-10-12 2018-08-07 Palantir Technologies, Inc. Systems for computer network security risk assessment including user compromise analysis associated with a network of devices
CN105227570B (zh) * 2015-10-19 2019-02-15 成都卫士通信息产业股份有限公司 一种综合防御的安全电子邮件系统
US9424669B1 (en) 2015-10-21 2016-08-23 Palantir Technologies Inc. Generating graphical representations of event participation flow
US10223429B2 (en) 2015-12-01 2019-03-05 Palantir Technologies Inc. Entity data attribution using disparate data sets
US10706056B1 (en) 2015-12-02 2020-07-07 Palantir Technologies Inc. Audit log report generator
US9760556B1 (en) 2015-12-11 2017-09-12 Palantir Technologies Inc. Systems and methods for annotating and linking electronic documents
US9514414B1 (en) 2015-12-11 2016-12-06 Palantir Technologies Inc. Systems and methods for identifying and categorizing electronic documents through machine learning
US10114884B1 (en) 2015-12-16 2018-10-30 Palantir Technologies Inc. Systems and methods for attribute analysis of one or more databases
US10373099B1 (en) 2015-12-18 2019-08-06 Palantir Technologies Inc. Misalignment detection system for efficiently processing database-stored data and automatically generating misalignment information for display in interactive user interfaces
US10372931B2 (en) * 2015-12-27 2019-08-06 Avanan Inc. Cloud security platform
US9888039B2 (en) 2015-12-28 2018-02-06 Palantir Technologies Inc. Network-based permissioning system
US9916465B1 (en) 2015-12-29 2018-03-13 Palantir Technologies Inc. Systems and methods for automatic and customizable data minimization of electronic data stores
US10871878B1 (en) 2015-12-29 2020-12-22 Palantir Technologies Inc. System log analysis and object user interaction correlation system
US9792020B1 (en) 2015-12-30 2017-10-17 Palantir Technologies Inc. Systems for collecting, aggregating, and storing data, generating interactive user interfaces for analyzing data, and generating alerts based upon collected data
US10698938B2 (en) 2016-03-18 2020-06-30 Palantir Technologies Inc. Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags
US9652139B1 (en) 2016-04-06 2017-05-16 Palantir Technologies Inc. Graphical representation of an output
US10986109B2 (en) 2016-04-22 2021-04-20 Sophos Limited Local proxy detection
US11165797B2 (en) * 2016-04-22 2021-11-02 Sophos Limited Detecting endpoint compromise based on network usage history
US10938781B2 (en) * 2016-04-22 2021-03-02 Sophos Limited Secure labeling of network flows
US11277416B2 (en) * 2016-04-22 2022-03-15 Sophos Limited Labeling network flows according to source applications
US11102238B2 (en) 2016-04-22 2021-08-24 Sophos Limited Detecting triggering events for distributed denial of service attacks
US10068199B1 (en) 2016-05-13 2018-09-04 Palantir Technologies Inc. System to catalogue tracking data
US10498711B1 (en) 2016-05-20 2019-12-03 Palantir Technologies Inc. Providing a booting key to a remote system
US20170359306A1 (en) 2016-06-10 2017-12-14 Sophos Limited Network security
US10007674B2 (en) 2016-06-13 2018-06-26 Palantir Technologies Inc. Data revision control in large-scale data analytic systems
US10084802B1 (en) 2016-06-21 2018-09-25 Palantir Technologies Inc. Supervisory control and data acquisition
US10545975B1 (en) 2016-06-22 2020-01-28 Palantir Technologies Inc. Visual analysis of data using sequenced dataset reduction
US10073968B1 (en) * 2016-06-24 2018-09-11 Symantec Corporation Systems and methods for classifying files
US10909130B1 (en) 2016-07-01 2021-02-02 Palantir Technologies Inc. Graphical user interface for a database system
US10291637B1 (en) 2016-07-05 2019-05-14 Palantir Technologies Inc. Network anomaly detection and profiling
US10698927B1 (en) 2016-08-30 2020-06-30 Palantir Technologies Inc. Multiple sensor session and log information compression and correlation system
US9847973B1 (en) * 2016-09-26 2017-12-19 Agari Data, Inc. Mitigating communication risk by detecting similarity to a trusted message contact
US10552002B1 (en) 2016-09-27 2020-02-04 Palantir Technologies Inc. User interface based variable machine modeling
US10726507B1 (en) 2016-11-11 2020-07-28 Palantir Technologies Inc. Graphical representation of a complex task
US9842338B1 (en) 2016-11-21 2017-12-12 Palantir Technologies Inc. System to identify vulnerable card readers
US10318630B1 (en) 2016-11-21 2019-06-11 Palantir Technologies Inc. Analysis of large bodies of textual data
US11250425B1 (en) 2016-11-30 2022-02-15 Palantir Technologies Inc. Generating a statistic using electronic transaction data
US9886525B1 (en) 2016-12-16 2018-02-06 Palantir Technologies Inc. Data item aggregate probability analysis system
GB201621434D0 (en) 2016-12-16 2017-02-01 Palantir Technologies Inc Processing sensor logs
US10249033B1 (en) 2016-12-20 2019-04-02 Palantir Technologies Inc. User interface for managing defects
US10728262B1 (en) 2016-12-21 2020-07-28 Palantir Technologies Inc. Context-aware network-based malicious activity warning systems
US10360238B1 (en) 2016-12-22 2019-07-23 Palantir Technologies Inc. Database systems and user interfaces for interactive data association, analysis, and presentation
US11373752B2 (en) 2016-12-22 2022-06-28 Palantir Technologies Inc. Detection of misuse of a benefit system
US10523609B1 (en) * 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10754872B2 (en) 2016-12-28 2020-08-25 Palantir Technologies Inc. Automatically executing tasks and configuring access control lists in a data transformation system
US10721262B2 (en) 2016-12-28 2020-07-21 Palantir Technologies Inc. Resource-centric network cyber attack warning system
US10762471B1 (en) 2017-01-09 2020-09-01 Palantir Technologies Inc. Automating management of integrated workflows based on disparate subsidiary data sources
US10133621B1 (en) 2017-01-18 2018-11-20 Palantir Technologies Inc. Data analysis system to facilitate investigative process
US10509844B1 (en) 2017-01-19 2019-12-17 Palantir Technologies Inc. Network graph parser
US10515109B2 (en) 2017-02-15 2019-12-24 Palantir Technologies Inc. Real-time auditing of industrial equipment condition
US10866936B1 (en) 2017-03-29 2020-12-15 Palantir Technologies Inc. Model object management and storage system
US10581954B2 (en) 2017-03-29 2020-03-03 Palantir Technologies Inc. Metric collection and aggregation for distributed software services
US10133783B2 (en) 2017-04-11 2018-11-20 Palantir Technologies Inc. Systems and methods for constraint driven database searching
US10563990B1 (en) 2017-05-09 2020-02-18 Palantir Technologies Inc. Event-based route planning
US10606872B1 (en) 2017-05-22 2020-03-31 Palantir Technologies Inc. Graphical user interface for a database system
US10795749B1 (en) 2017-05-31 2020-10-06 Palantir Technologies Inc. Systems and methods for providing fault analysis user interface
US10956406B2 (en) 2017-06-12 2021-03-23 Palantir Technologies Inc. Propagated deletion of database records and derived data
US10027551B1 (en) 2017-06-29 2018-07-17 Palantir Technologies, Inc. Access controls through node-based effective policy identifiers
US10708283B2 (en) * 2017-06-30 2020-07-07 Fortinet, Inc. Detection and mitigation of time-delay based network attacks
US11216762B1 (en) 2017-07-13 2022-01-04 Palantir Technologies Inc. Automated risk visualization using customer-centric data analysis
US10430444B1 (en) 2017-07-24 2019-10-01 Palantir Technologies Inc. Interactive geospatial map and geospatial visualization systems
US10963465B1 (en) 2017-08-25 2021-03-30 Palantir Technologies Inc. Rapid importation of data including temporally tracked object recognition
US11093624B2 (en) 2017-09-12 2021-08-17 Sophos Limited Providing process data to a data recorder
US10984427B1 (en) 2017-09-13 2021-04-20 Palantir Technologies Inc. Approaches for analyzing entity relationships
US10079832B1 (en) 2017-10-18 2018-09-18 Palantir Technologies Inc. Controlling user creation of data resources on a data processing platform
GB201716170D0 (en) 2017-10-04 2017-11-15 Palantir Technologies Inc Controlling user creation of data resources on a data processing platform
US10250401B1 (en) 2017-11-29 2019-04-02 Palantir Technologies Inc. Systems and methods for providing category-sensitive chat channels
US10769171B1 (en) 2017-12-07 2020-09-08 Palantir Technologies Inc. Relationship analysis and mapping for interrelated multi-layered datasets
US11314721B1 (en) 2017-12-07 2022-04-26 Palantir Technologies Inc. User-interactive defect analysis for root cause
US10877984B1 (en) 2017-12-07 2020-12-29 Palantir Technologies Inc. Systems and methods for filtering and visualizing large scale datasets
US10783162B1 (en) 2017-12-07 2020-09-22 Palantir Technologies Inc. Workflow assistant
US11133925B2 (en) 2017-12-07 2021-09-28 Palantir Technologies Inc. Selective access to encrypted logs
US11263382B1 (en) 2017-12-22 2022-03-01 Palantir Technologies Inc. Data normalization and irregularity detection system
US10142349B1 (en) 2018-02-22 2018-11-27 Palantir Technologies Inc. Verifying network-based permissioning rights
US11184379B1 (en) * 2018-03-16 2021-11-23 United Services Automobile Association (Usaa) File scanner to detect malicious electronic files
US10878051B1 (en) 2018-03-30 2020-12-29 Palantir Technologies Inc. Mapping device identifiers
US10255415B1 (en) 2018-04-03 2019-04-09 Palantir Technologies Inc. Controlling access to computer resources
US10877654B1 (en) 2018-04-03 2020-12-29 Palantir Technologies Inc. Graphical user interfaces for optimizations
US10754822B1 (en) 2018-04-18 2020-08-25 Palantir Technologies Inc. Systems and methods for ontology migration
US10885021B1 (en) 2018-05-02 2021-01-05 Palantir Technologies Inc. Interactive interpreter and graphical user interface
US10754946B1 (en) 2018-05-08 2020-08-25 Palantir Technologies Inc. Systems and methods for implementing a machine learning approach to modeling entity behavior
US10949400B2 (en) 2018-05-09 2021-03-16 Palantir Technologies Inc. Systems and methods for tamper-resistant activity logging
US11244063B2 (en) 2018-06-11 2022-02-08 Palantir Technologies Inc. Row-level and column-level policy service
US11119630B1 (en) 2018-06-19 2021-09-14 Palantir Technologies Inc. Artificial intelligence assisted evaluations and user interface for same
US10749875B2 (en) * 2018-06-28 2020-08-18 Microsoft Technology Licensing, Llc Security configuration lifecycle account protection for minors
US11126638B1 (en) 2018-09-13 2021-09-21 Palantir Technologies Inc. Data visualization and parsing system
US11294928B1 (en) 2018-10-12 2022-04-05 Palantir Technologies Inc. System architecture for relating and linking data objects
US11824840B1 (en) * 2019-02-04 2023-11-21 Meixler Technologies, Inc. System and method for web-browser based end-to-end encrypted messaging and for securely implementing cryptography using client-side scripting in a web browser
EP4123973A1 (en) 2019-02-08 2023-01-25 Palantir Technologies Inc. Isolating applications associated with multiple tenants within a computing platform
US11704441B2 (en) 2019-09-03 2023-07-18 Palantir Technologies Inc. Charter-based access controls for managing computer resources
EP3796165A1 (en) 2019-09-18 2021-03-24 Palantir Technologies Inc. Systems and methods for autoscaling instance groups of computing platforms
US11411992B2 (en) * 2019-11-07 2022-08-09 Mcafee, Llc Visual detection of phishing websites via headless browser
US11588848B2 (en) 2021-01-05 2023-02-21 Bank Of America Corporation System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button
CN113282921A (zh) * 2021-06-11 2021-08-20 深信服科技股份有限公司 一种文件检测方法、装置、设备及存储介质
US11941121B2 (en) * 2021-12-28 2024-03-26 Uab 360 It Systems and methods for detecting malware using static and dynamic malware models

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090328209A1 (en) * 2008-06-30 2009-12-31 Symantec Corporation Simplified Communication of a Reputation Score for an Entity
US20100077445A1 (en) * 2008-09-25 2010-03-25 Symantec Corporation Graduated Enforcement of Restrictions According to an Application's Reputation
JP2010211257A (ja) * 2009-03-06 2010-09-24 Sky Co Ltd 操作監視システム及び操作監視プログラム
US20120005751A1 (en) * 2010-07-02 2012-01-05 Symantec Corporation Systems and Methods for Creating Customized Confidence Bands for Use in Malware Detection

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2405229B (en) * 2003-08-19 2006-01-11 Sophos Plc Method and apparatus for filtering electronic mail
US8635690B2 (en) * 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US9160755B2 (en) 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US8214497B2 (en) * 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8589503B2 (en) * 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8108933B2 (en) 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8572740B2 (en) 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
EP2418600A1 (en) 2010-08-11 2012-02-15 Thomson Licensing Malware protection scheme
US8640245B2 (en) * 2010-12-24 2014-01-28 Kaspersky Lab, Zao Optimization of anti-malware processing by automated correction of detection rules
US20130152200A1 (en) * 2011-12-09 2013-06-13 Christoph Alme Predictive Heap Overflow Protection
US8914886B2 (en) 2012-10-29 2014-12-16 Mcafee, Inc. Dynamic quarantining for malware detection

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090328209A1 (en) * 2008-06-30 2009-12-31 Symantec Corporation Simplified Communication of a Reputation Score for an Entity
JP2011527046A (ja) * 2008-06-30 2011-10-20 シマンテック コーポレーション エンティティのレピュテーションスコアの簡易化された伝達
US20100077445A1 (en) * 2008-09-25 2010-03-25 Symantec Corporation Graduated Enforcement of Restrictions According to an Application's Reputation
JP2010079901A (ja) * 2008-09-25 2010-04-08 Symantec Corp アプリケーションの評判に応じて段階的に制限を実施する方法およびそのコンピュータプログラム
JP2010211257A (ja) * 2009-03-06 2010-09-24 Sky Co Ltd 操作監視システム及び操作監視プログラム
US20120005751A1 (en) * 2010-07-02 2012-01-05 Symantec Corporation Systems and Methods for Creating Customized Confidence Bands for Use in Malware Detection
WO2012003050A1 (en) * 2010-07-02 2012-01-05 Symantec Corporation Systems and methods for creating customized confidence bands for use in malware detection

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10560452B2 (en) 2016-02-16 2020-02-11 Fujitsu Limited Apparatus and method to control transfer apparatuses depending on a type of an unauthorized communication occurring in a network
JP2019533258A (ja) * 2016-10-27 2019-11-14 ビットディフェンダー アイピーアール マネジメント リミテッド コンピュータセキュリティ動作を最適化するための動的評判インジケータ
JP7068294B2 (ja) 2016-10-27 2022-05-16 ビットディフェンダー アイピーアール マネジメント リミテッド コンピュータセキュリティ動作を最適化するための動的評判インジケータ

Also Published As

Publication number Publication date
US20140123279A1 (en) 2014-05-01
CN104781824B (zh) 2018-05-15
EP2912596A1 (en) 2015-09-02
EP2912596A4 (en) 2016-04-06
JP6005868B2 (ja) 2016-10-12
CN104781824A (zh) 2015-07-15
US8914886B2 (en) 2014-12-16
WO2014070499A1 (en) 2014-05-08
EP2912596B1 (en) 2020-08-19

Similar Documents

Publication Publication Date Title
JP6005868B2 (ja) マルウェア検出の動的な検疫
US9769200B2 (en) Method and system for detection of malware that connect to network destinations through cloud scanning and web reputation
US11184372B2 (en) Detection and mitigation of time-delay based network attacks
US10095866B2 (en) System and method for threat risk scoring of security threats
US9392001B2 (en) Multilayered deception for intrusion detection and prevention
US8474044B2 (en) Attack-resistant verification of auto-generated anti-malware signatures
US8250657B1 (en) Web site hygiene-based computer security
US20190332771A1 (en) System and method for detection of malicious hypertext transfer protocol chains
US9948667B2 (en) Signature rule processing method, server, and intrusion prevention system
US9235706B2 (en) Preventing execution of task scheduled malware
EP2754081B1 (en) Dynamic cleaning for malware using cloud technology
US7720965B2 (en) Client health validation using historical data
EP3374870B1 (en) Threat risk scoring of security threats
US20230179631A1 (en) System and method for detection of malicious interactions in a computer network
US20170337376A1 (en) Adaptive Heuristic Behavioral Policing of Executable Objects
US8819823B1 (en) Method and apparatus for notifying a recipient of a threat within previously communicated data
US9275231B1 (en) Method and apparatus for securing a computer using an optimal configuration for security software based on user behavior
JP5952220B2 (ja) ファイル監視周期算出装置、ファイル監視周期算出システム、ファイル監視周期算出方法及びファイル監視周期算出プログラム
Faghani et al. Effects of security solutions on worm propagation
Guri et al. Limiting access to unintentionally leaked sensitive documents using malware signatures

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150327

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150327

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160412

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160711

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160809

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160907

R150 Certificate of patent or registration of utility model

Ref document number: 6005868

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250