JP2015535115A5 - - Google Patents

Download PDF

Info

Publication number
JP2015535115A5
JP2015535115A5 JP2015542786A JP2015542786A JP2015535115A5 JP 2015535115 A5 JP2015535115 A5 JP 2015535115A5 JP 2015542786 A JP2015542786 A JP 2015542786A JP 2015542786 A JP2015542786 A JP 2015542786A JP 2015535115 A5 JP2015535115 A5 JP 2015535115A5
Authority
JP
Japan
Prior art keywords
malware
definitions
clients
definition
telemetry data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015542786A
Other languages
English (en)
Other versions
JP6304833B2 (ja
JP2015535115A (ja
Filing date
Publication date
Priority claimed from US13/682,288 external-priority patent/US8826431B2/en
Application filed filed Critical
Publication of JP2015535115A publication Critical patent/JP2015535115A/ja
Publication of JP2015535115A5 publication Critical patent/JP2015535115A5/ja
Application granted granted Critical
Publication of JP6304833B2 publication Critical patent/JP6304833B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Claims (17)

  1. 悪意のあるソフトウェア定義をクライアントに提供するコンピュータ実装方法であって、
    コンピュータプロセッサで、複数のクライアントからテレメトリデータを受信するステップであって、前記テレメトリデータが、前記クライアント上で作成されたファイルを説明する、受信するステップと、
    前記複数のクライアントの間で現在拡散しているマルウェアを識別するために、前記コンピュータプロセッサによって、前記テレメトリデータを解析するステップであって、
    マルウェア定義の集合におけるマルウェア定義のサイズを判定するステップと、
    前記マルウェア定義の前記サイズに基づいて、前記マルウェア定義と関連付けられるマルウェアが現在拡散しているかどうか判定するステップと、
    を含む、解析するステップと、
    前記コンピュータプロセッサによって、前記テレメトリデータの前記解析に応答して、前記マルウェア定義の集合をローカルマルウェア定義の集合にセグメント化するステップであって、前記ローカルマルウェア定義の集合が、前記複数のクライアントの間で現在拡散しているとして識別されたマルウェアに関するマルウェア定義を含む、セグメント化するステップと、
    前記コンピュータプロセッサによって、前記ローカルマルウェア定義の集合を前記複数のクライアントに提供するステップであって、前記複数のクライアントにより、前記ローカルマルウェア定義が記憶され、前記ローカルマルウェア定義の集合が使用されて、前記クライアント側でマルウェアが検出される、提供するステップと、
    を含む、方法。
  2. 前記複数のクライアントからテレメトリデータを受信するステップが、
    前記複数のクライアントのうちの1クライアント上で作成されたファイルが、前記マルウェア定義の集合におけるマルウェア定義と一致するかどうかを判定するステップと、
    前記1クライアントからのクラウド定義ルックアップ要求への返信であって、前記作成されたファイルが前記マルウェア定義の集合におけるマルウェア定義と一致するかどうかを示す返信を送信するステップと、
    を含む、請求項1に記載の方法。
  3. 前記作成されたファイルがマルウェア定義と一致すると判定されることに応答して、前記一致するマルウェア定義を前記1クライアントに提供するステップを更に含み、前記1クライアントにより、前記マルウェア定義が使用されて、前記作成されたファイルに包含されるマルウェアが修復される、請求項2に記載の方法。
  4. 前記テレメトリデータを解析するステップが、
    所定の期間内に前記複数のクライアントのうちの閾値数のクライアント上で検出されたマルウェアが、前記複数のクライアントの間で現在拡散していることを判定するステップ
    を含む、請求項1に記載の方法。
  5. 前記テレメトリデータの前記解析に応答して、前記マルウェア定義の集合を前記ローカルマルウェア定義の集合にセグメント化するステップが、
    クラウドマルウェア定義の集合を記憶するクラウド定義データベースを維持するステップと、
    前記テレメトリデータの前記解析に応答して、前記クラウドマルウェア定義の部分集合を識別するステップと、
    前記複数のクライアントに、前記ローカルマルウェア定義の集合として前記識別された前記クラウドマルウェア定義の部分集合を提供するステップと、
    を含む、請求項1に記載の方法。
  6. 前記マルウェア定義の集合をセグメント化するステップが、
    マルウェア定義に対応するマルウェアが前記複数のクライアントの間で現在拡散していないという判定に応答して、前記ローカルマルウェア定義の集合から当該マルウェア定義を削除するステップ
    を更に含む、請求項5に記載の方法。
  7. 悪意のあるソフトウェア定義をクライアントに提供するための実行可能なコンピュータプログラム命令を記憶するコンピュータ可読記憶媒体であって、前記コンピュータプログラム命令が、
    複数のクライアントからテレメトリデータを受信するステップであって、前記テレメトリデータが、前記クライアント上で作成されたファイルを説明する、受信するステップと、
    前記複数のクライアントの間で現在拡散しているマルウェアを識別するために、前記テレメトリデータを解析するステップであって、
    マルウェア定義の集合におけるマルウェア定義のサイズを判定するステップと、
    前記マルウェア定義の前記サイズに基づいて、前記マルウェア定義と関連付けられるマルウェアが現在拡散しているかどうか判定するステップと、
    を含む、解析するステップと、
    前記テレメトリデータの前記解析に応答して、前記マルウェア定義の集合をローカルマルウェア定義の集合にセグメント化するステップであって、前記ローカルマルウェア定義の集合が、前記複数のクライアントの間で現在拡散しているとして識別されたマルウェアに関するマルウェア定義を含む、セグメント化するステップと、
    前記ローカルマルウェア定義の集合を前記複数のクライアントに提供するステップであって、前記複数のクライアントにより、前記ローカルマルウェア定義が記憶され、前記ローカルマルウェア定義の集合が使用されて、前記クライアント側でマルウェアが検出される、提供するステップと、
    をコンピュータに実行させる命令を含む、コンピュータ可読記憶媒体。
  8. 前記複数のクライアントからテレメトリデータを受信するステップが、
    前記複数のクライアントのうちの1クライアント上で作成されたファイルが、前記マルウェア定義の集合におけるマルウェア定義と一致するかどうかを判定するステップと、
    前記1クライアントからのクラウド定義ルックアップ要求への返信であって、前記作成されたファイルが前記マルウェア定義の集合におけるマルウェア定義と一致するかどうかを示す返信を送信するステップと、
    を含む、請求項7に記載のコンピュータ可読記憶媒体。
  9. 前記コンピュータプログラム命令が、前記作成されたファイルがマルウェア定義と一致すると判定されることに応答して、前記一致するマルウェア定義を前記1クライアントに提供するステップを更に含み、前記1クライアントにより、前記マルウェア定義が使用されて、前記作成されたファイルに包含されるマルウェアが修復される、請求項8に記載のコンピュータ可読記憶媒体。
  10. 前記テレメトリデータを解析するステップが、
    所定の期間内に前記複数のクライアントのうちの閾値数のクライアント上で検出されたマルウェアが、前記複数のクライアントの間で現在拡散していることを判定するステップ
    を含む、請求項7に記載のコンピュータ可読記憶媒体。
  11. 前記テレメトリデータの前記解析に応答して、前記マルウェア定義の集合を前記ローカルマルウェア定義の集合にセグメント化するステップが、
    クラウドマルウェア定義の集合を記憶するクラウド定義データベースを維持するステップと、
    前記テレメトリデータの前記解析に応答して、前記クラウドマルウェア定義の部分集合を識別するステップと、
    前記複数のクライアントに、前記ローカルマルウェア定義の集合として前記識別された前記クラウドマルウェア定義の部分集合を提供するステップと、
    を含む、請求項7に記載のコンピュータ可読記憶媒体。
  12. 前記マルウェア定義の集合をセグメント化するステップが、
    マルウェア定義に対応するマルウェアが前記複数のクライアントの間で現在拡散していないという判定に応答して、前記ローカルマルウェア定義の集合から当該マルウェア定義を削除するステップ
    を更に含む、請求項11に記載のコンピュータ可読記憶媒体。
  13. 悪意のあるソフトウェア定義をクライアントに提供するためのシステムであって、
    コンピュータプログラムコードを実行するためのプロセッサと、
    実行可能なコンピュータプログラムコードを記憶するコンピュータ可読記憶媒体と、
    を備え、前記実行可能なコンピュータプログラムコードが、
    複数のクライアントからテレメトリデータを受信するステップであって、前記テレメトリデータが、前記クライアント上で作成されたファイルを説明する、受信するステップと、
    前記複数のクライアントの間で現在拡散しているマルウェアを識別するために、前記テレメトリデータを解析するステップであって、
    マルウェア定義の集合におけるマルウェア定義のサイズを判定するステップと、
    前記マルウェア定義の前記サイズに基づいて、前記マルウェア定義と関連付けられるマルウェアが現在拡散しているかどうか判定するステップと、
    を含む、解析するステップと、
    前記テレメトリデータの前記解析に応答して、前記マルウェア定義の集合をローカルマルウェア定義の集合にセグメント化するステップであって、前記ローカルマルウェア定義の集合が、前記複数のクライアントの間で現在拡散しているとして識別されたマルウェアに関するマルウェア定義を含む、セグメント化するステップと、
    前記ローカルマルウェア定義の集合を前記複数のクライアントに提供するステップであって、前記複数のクライアントにより、前記ローカルマルウェア定義が記憶され、前記ローカルマルウェア定義の集合が使用されて、前記クライアント側でマルウェアが検出される、提供するステップと、
    を前記プロセッサに実行させるコードを含む、システム。
  14. 前記複数のクライアントからテレメトリデータを受信するステップが、
    前記複数のクライアントのうちの1クライアント上で作成されたファイルが、前記マルウェア定義の集合におけるマルウェア定義と一致するかどうかを判定するステップと、
    前記1クライアントからのクラウド定義ルックアップ要求への返信であって、前記作成されたファイルが前記マルウェア定義の集合におけるマルウェア定義と一致するかどうかを示す返信を送信するステップと、
    を含む、請求項13に記載のシステム。
  15. 前記テレメトリデータを解析するステップが、
    所定の期間内に前記複数のクライアントのうちの閾値数のクライアント上で検出されたマルウェアが、前記複数のクライアントの間で現在拡散していることを判定するステップ
    を含む、請求項13に記載のシステム。
  16. 前記テレメトリデータの前記解析に応答して、前記マルウェア定義の集合を前記ローカルマルウェア定義の集合にセグメント化するステップが、
    クラウドマルウェア定義の集合を記憶するクラウド定義データベースを維持するステップと、
    前記テレメトリデータの前記解析に応答して、前記クラウドマルウェア定義の部分集合を識別するステップと、
    前記複数のクライアントに、前記ローカルマルウェア定義の集合として前記識別された前記クラウドマルウェア定義の部分集合を提供するステップと、
    を含む、請求項13に記載のシステム。
  17. 前記マルウェア定義の集合をセグメント化するステップが、
    マルウェア定義に対応するマルウェアが前記複数のクライアントの間で現在拡散していないという判定に応答して、前記ローカルマルウェア定義の集合から当該マルウェア定義を削除するステップ
    を更に含む、請求項16に記載のシステム。
JP2015542786A 2012-11-20 2013-11-14 マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 Active JP6304833B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/682,288 US8826431B2 (en) 2012-11-20 2012-11-20 Using telemetry to reduce malware definition package size
US13/682,288 2012-11-20
PCT/US2013/070137 WO2014081613A1 (en) 2012-11-20 2013-11-14 Using telemetry to reduce malware definition package size

Publications (3)

Publication Number Publication Date
JP2015535115A JP2015535115A (ja) 2015-12-07
JP2015535115A5 true JP2015535115A5 (ja) 2017-01-05
JP6304833B2 JP6304833B2 (ja) 2018-04-04

Family

ID=49679660

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015542786A Active JP6304833B2 (ja) 2012-11-20 2013-11-14 マルウェア定義パッケージサイズを縮小するためのテレメトリの使用

Country Status (5)

Country Link
US (2) US8826431B2 (ja)
EP (1) EP2923295B1 (ja)
JP (1) JP6304833B2 (ja)
CA (1) CA2891665C (ja)
WO (1) WO2014081613A1 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11126720B2 (en) 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US9292688B2 (en) 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US9202050B1 (en) * 2012-12-14 2015-12-01 Symantec Corporation Systems and methods for detecting malicious files
US20130254889A1 (en) * 2013-03-29 2013-09-26 Sky Socket, Llc Server-Side Restricted Software Compliance
US9723014B2 (en) * 2014-03-31 2017-08-01 International Business Machines Corporation Detecting malware-related activity on a computer
US9832216B2 (en) 2014-11-21 2017-11-28 Bluvector, Inc. System and method for network data characterization
US9332029B1 (en) * 2014-12-24 2016-05-03 AO Kaspersky Lab System and method for malware detection in a distributed network of computer nodes
US9639715B2 (en) 2015-04-27 2017-05-02 Microsoft Technology Licensing, Llc Protecting user identifiable information in the transfer of telemetry data
CN104850783B (zh) * 2015-04-30 2018-07-13 中国人民解放军国防科学技术大学 一种基于哈希特征矩阵的恶意软件云检测方法及系统
CN104850784B (zh) * 2015-04-30 2018-03-20 中国人民解放军国防科学技术大学 一种基于哈希特征向量的恶意软件云检测方法及系统
US10373050B2 (en) * 2015-05-08 2019-08-06 Qualcomm Incorporated Fixed point neural network based on floating point neural network quantization
RU2617654C2 (ru) * 2015-09-30 2017-04-25 Акционерное общество "Лаборатория Касперского" Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
RU2614929C1 (ru) * 2015-09-30 2017-03-30 Акционерное общество "Лаборатория Касперского" Способ передачи антивирусных записей, используемых для обнаружения вредоносных файлов
EP3151148B1 (en) * 2015-09-30 2019-02-20 AO Kaspersky Lab System and method for generating sets of antivirus records for detection of malware on user devices
US10354066B2 (en) 2016-02-26 2019-07-16 Cylance Inc. Retention and accessibility of data characterizing events on an endpoint computer
US9916446B2 (en) 2016-04-14 2018-03-13 Airwatch Llc Anonymized application scanning for mobile devices
US9917862B2 (en) 2016-04-14 2018-03-13 Airwatch Llc Integrated application scanning and mobile enterprise computing management system
KR101695278B1 (ko) * 2016-04-26 2017-01-23 (주)시큐레이어 실시간성 이벤트를 탐지하는 방법 및 이를 이용한 서버
US10515213B2 (en) 2016-08-27 2019-12-24 Microsoft Technology Licensing, Llc Detecting malware by monitoring execution of a configured process
US10313366B1 (en) * 2016-09-23 2019-06-04 EMC IP Holding Company LLC Retroactive identification of previously unknown malware based on network traffic analysis from a sandbox environment
US10699012B2 (en) 2017-01-11 2020-06-30 Cylance Inc. Endpoint detection and response utilizing machine learning
JP6834688B2 (ja) * 2017-03-30 2021-02-24 日本電気株式会社 マルウェア解析方法、マルウェア解析装置およびマルウェア解析システム
WO2018200458A1 (en) 2017-04-26 2018-11-01 Cylance Inc. Endpoint detection and response system event characterization data transfer
US10635806B2 (en) 2017-05-04 2020-04-28 Crowdstrike, Inc. Least recently used (LRU)-based event suppression
US10635813B2 (en) 2017-10-06 2020-04-28 Sophos Limited Methods and apparatus for using machine learning on multiple file fragments to identify malware
US11003774B2 (en) 2018-01-26 2021-05-11 Sophos Limited Methods and apparatus for detection of malicious documents using machine learning
US11941491B2 (en) 2018-01-31 2024-03-26 Sophos Limited Methods and apparatus for identifying an impact of a portion of a file on machine learning classification of malicious content
US11270205B2 (en) 2018-02-28 2022-03-08 Sophos Limited Methods and apparatus for identifying the shared importance of multiple nodes within a machine learning model for multiple tasks
US10752207B2 (en) * 2018-09-07 2020-08-25 Ford Global Technologies, Llc Multi-factor authentication of a hardware assembly
US11947668B2 (en) 2018-10-12 2024-04-02 Sophos Limited Methods and apparatus for preserving information between layers within a neural network
US11574052B2 (en) 2019-01-31 2023-02-07 Sophos Limited Methods and apparatus for using machine learning to detect potentially malicious obfuscated scripts
KR102211846B1 (ko) * 2020-07-21 2021-02-03 국방과학연구소 랜섬웨어 탐지 시스템 및 그의 동작 방법
US20240152611A1 (en) * 2021-03-16 2024-05-09 Nippon Telegraph And Telephone Corporation Determination device, determination method, and determination program
US12010129B2 (en) 2021-04-23 2024-06-11 Sophos Limited Methods and apparatus for using machine learning to classify malicious infrastructure
CN116842906A (zh) * 2022-03-25 2023-10-03 戴尔产品有限公司 用于文档传输的方法、设备和计算机程序产品

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US7401359B2 (en) * 2001-12-21 2008-07-15 Mcafee, Inc. Generating malware definition data for mobile computing devices
US7237008B1 (en) * 2002-05-10 2007-06-26 Mcafee, Inc. Detecting malware carried by an e-mail message
US9069957B2 (en) * 2006-10-06 2015-06-30 Juniper Networks, Inc. System and method of reporting and visualizing malware on mobile networks
WO2008043110A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of malware sample collection on mobile networks
US8214977B2 (en) * 2008-05-21 2012-07-10 Symantec Corporation Centralized scanner database with optimal definition distribution using network queries
US9367680B2 (en) 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US9208315B2 (en) * 2009-03-17 2015-12-08 Microsoft Corporation Identification of telemetry data
GB2469308B (en) * 2009-04-08 2014-02-19 F Secure Oyj Disinfecting a file system
JP2011186823A (ja) * 2010-03-09 2011-09-22 Nec Corp ウイルスチェックシステム、ウイルスチェック装置、及び、プログラム
US20120124007A1 (en) * 2010-11-16 2012-05-17 F-Secure Corporation Disinfection of a file system
RU2449360C1 (ru) 2011-03-28 2012-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ формирования антивирусных баз в соответствии с параметрами персонального компьютера
US8782793B2 (en) * 2012-05-22 2014-07-15 Kaspersky Lab Zao System and method for detection and treatment of malware on data storage devices

Similar Documents

Publication Publication Date Title
JP2015535115A5 (ja)
AU2019101570A4 (en) Data storage, data check, and data linkage method and apparatus
JP2016536667A5 (ja)
JP2016509308A5 (ja)
JP2015005308A5 (ja)
RU2016115859A (ru) Система и способ для применения индикатора репутации для облегчения сканирования на наличие вредоносных программ
JP2018500710A5 (ja)
RU2017105763A (ru) Неразрушаемый белый список
RU2016150428A (ru) Заполнение записей контактов пользователя
JP2015536001A5 (ja)
RU2015136264A (ru) Способ ведения базы данных и соответствующий сервер
JP2016524190A5 (ja)
JP2017523513A5 (ja)
WO2015191731A8 (en) Systems and methods for software analytics
MX2019006678A (es) Sistema y procedimientos de deteccion de cryptoware.
RU2015131126A (ru) Способ и устройство для управления возвратом к ранее просмотренной странице
JP2016508275A5 (ja)
WO2013019869A3 (en) Data fingerpringting for copy accuracy assurance
JP2014534532A5 (ja)
EP2685404A3 (en) Method and system for determining image similarity
BR112014002425A2 (pt) método, sistema, cliente e servidor para mapear arquivo
JP2018503154A5 (ja)
WO2013160763A3 (en) Memory dump and analysis in a computer system
JP2013542513A5 (ja)
JP2017508197A5 (ja)