JP2016536667A5 - - Google Patents

Download PDF

Info

Publication number
JP2016536667A5
JP2016536667A5 JP2016520024A JP2016520024A JP2016536667A5 JP 2016536667 A5 JP2016536667 A5 JP 2016536667A5 JP 2016520024 A JP2016520024 A JP 2016520024A JP 2016520024 A JP2016520024 A JP 2016520024A JP 2016536667 A5 JP2016536667 A5 JP 2016536667A5
Authority
JP
Japan
Prior art keywords
entity
score
collection
updating
terminated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016520024A
Other languages
English (en)
Other versions
JP2016536667A (ja
JP6317435B2 (ja
Filing date
Publication date
Priority claimed from US14/046,728 external-priority patent/US9323931B2/en
Application filed filed Critical
Publication of JP2016536667A publication Critical patent/JP2016536667A/ja
Publication of JP2016536667A5 publication Critical patent/JP2016536667A5/ja
Application granted granted Critical
Publication of JP6317435B2 publication Critical patent/JP6317435B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Claims (15)

  1. 命令を記憶したメモリユニットを含むホストシステムであって、前記命令は、前記ホストシステムの少なくとも1つのハードウェアプロセッサにより実行されると、前記ホストシステムに、エンティティ管理モジュールと、エンティティ評価器と、スコアリングエンジンとを形成させ、
    前記エンティティ管理モジュールは、評価されるソフトウェアエンティティのコレクションを管理するように構成され、前記コレクションを管理することは、
    前記コレクションの第1のエンティティの子孫エンティティの集合を識別することと、
    前記第1のエンティティが終了したものであるかを判定することと、
    前記第1のエンティティが終了したものであるときに、子孫エンティティの前記集合のすべてのメンバが終了したものであるかを判定することと、
    子孫エンティティの前記集合のすべてのメンバが終了したものであるときに、前記第1のエンティティを前記コレクションから除去することと
    を含み、
    前記エンティティ評価器は、
    前記第1のエンティティを評価基準によって評価することと、
    前記第1のエンティティが前記評価基準を満たすときに、評価インジケータを前記スコアリングエンジンに送信することと
    を行うように構成され、
    前記スコアリングエンジンは、
    前記第1のエンティティに対して求められた第1のスコア、および、前記コレクションの第2のエンティティに対して求められた第2のスコアを記録することであって、前記の第1および第2のスコアは前記評価基準によって求められた、記録することと、
    前記の第1および第2のスコアを記録することに応じて、ならびに、前記評価インジケータを受信することに応じて、前記第2のスコアを前記評価インジケータによって更新することと、
    前記第2のエンティティが悪意あるものであるかを、更新された前記第2のスコアによって判定することと、
    前記評価インジケータを受信することに応じて、前記第1のスコアを前記評価インジケータによって更新することと、
    前記第1のエンティティが悪意あるものであるかを、更新された前記第1のスコアによって判定することと
    を行うように構成された、ホストシステム。
  2. 請求項1に記載のホストシステムであって、前記第1のエンティティは、前記第2のエンティティの子である、ホストシステム。
  3. 請求項1に記載のホストシステムであって、前記第2のエンティティは、前記第1のエンティティの子である、ホストシステム。
  4. 請求項1に記載のホストシステムであって、前記第1のエンティティは、前記第2のエンティティにより注入されたコードのセクションを含む、ホストシステム。
  5. 請求項1に記載のホストシステムであって、前記第2のエンティティは、前記第1のエンティティにより注入されたコードのセクションを含む、ホストシステム。
  6. 請求項1に記載のホストシステムであって、前記第2のスコアを更新することは、前記第2のスコアを、w・Sによって求められた量だけ変化させることを含み、Sは前記第1のスコアであり、wは数値的な重みである、ホストシステム。
  7. 請求項1に記載のホストシステムであって、評価されるソフトウェアエンティティの前記コレクションを管理することは、
    新しいソフトウェアエンティティの起動をインターセプトすることと、
    前記新しいソフトウェアエンティティを前記コレクションに追加することと
    をさらに含む、ホストシステム。
  8. 命令を記憶するコンピュータ可読記憶媒体であって、前記命令は、ホストシステムの少なくとも1つのプロセッサにより実行されると、前記ホストシステムを、
    評価されるソフトウェアエンティティのコレクションを管理することであって、
    前記コレクションの第1のエンティティの子孫エンティティの集合を識別することと、
    前記第1のエンティティが終了したものであるかを判定することと、
    前記第1のエンティティが終了したものであるときに、子孫エンティティの前記集合のすべてのメンバが終了したものであるかを判定することと、
    子孫エンティティの前記集合のすべてのメンバが終了したものであるときに、前記第1のエンティティを前記コレクションから除去することと、
    前記第1のエンティティに対して求められた第1のスコア、および、前記コレクションの第2のエンティティに対して求められた第2のスコアを記録することであって、前記の第1および第2のスコアは評価基準によって求められた、記録することと、
    前記の第1および第2のスコアを記録することに応じて、前記第1のエンティティを前記評価基準によって評価することと、
    前記第1のエンティティを評価することに応じて、前記第1のエンティティが前記評価基準を満たすときに、前記第2のスコアを更新することと、
    前記第2のスコアを更新することに応じて、前記第2のエンティティが悪意あるものであるかを、更新された前記第2のスコアによって判定することと、
    前記第1のエンティティを評価することに応じて、前記第1のエンティティが前記評価基準を満たすときに、前記第1のスコアを更新することと、
    前記第1のエンティティが悪意あるものであるかを、更新された前記第1のスコアによって判定することと
    を含む、管理すること
    を行うように構成する、コンピュータ可読記憶媒体。
  9. 請求項8に記載のコンピュータ可読記憶媒体であって、前記第1のエンティティは、前記第2のエンティティの子である、コンピュータ可読記憶媒体。
  10. 請求項8に記載のコンピュータ可読記憶媒体であって、前記第2のエンティティは、前記第1のエンティティの子である、コンピュータ可読記憶媒体。
  11. 請求項8に記載のコンピュータ可読記憶媒体であって、前記第1のエンティティは、前記第2のエンティティにより注入されたコードのセクションを含む、コンピュータ可読記憶媒体。
  12. 請求項8に記載のコンピュータ可読記憶媒体であって、前記第2のエンティティは、前記第1のエンティティにより注入されたコードのセクションを含む、コンピュータ可読記憶媒体。
  13. 請求項8に記載のコンピュータ可読記憶媒体であって、前記第2のスコアを更新することは、前記第2のスコアを、w・Sによって求められた量だけ変化させることを含み、Sは前記第1のスコアであり、wは数値的な重みである、コンピュータ可読記憶媒体。
  14. 請求項8に記載のコンピュータ可読記憶媒体であって、評価されるソフトウェアエンティティの前記コレクションを管理することは、
    新しいソフトウェアエンティティの起動をインターセプトすることと、
    前記新しいソフトウェアエンティティを前記コレクションに追加することと
    をさらに含む、コンピュータ可読記憶媒体。
  15. ホストシステムの少なくとも1つのプロセッサが、評価されるソフトウェアエンティティのコレクションを管理するステップを含む方法であって、前記コレクションを管理するステップは、
    前記コレクションの第1のエンティティの子孫エンティティの集合を識別するステップと、
    前記第1のエンティティが終了したものであるかを判定するステップと、
    前記第1のエンティティが終了したものであるときに、子孫エンティティの前記集合のすべてのメンバが終了したものであるかを判定するステップと、
    子孫エンティティの前記集合のすべてのメンバが終了したものであるときに、前記第1のエンティティを前記コレクションから除去するステップと、
    前記第1のエンティティに対して求められた第1のスコア、および、前記コレクションの第2のエンティティに対して求められた第2のスコアを記録するステップであって、前記の第1および第2のスコアは評価基準によって求められた、ステップと、
    前記の第1および第2のスコアを記録することに応じて、前記第1のエンティティを前記評価基準によって評価するステップと、
    前記第1のエンティティを評価することに応じて、前記第1のエンティティが前記評価基準を満たすときに、前記第2のスコアを更新するステップと、
    前記第2のスコアを更新することに応じて、前記第2のエンティティが悪意あるものであるかを、更新された前記第2のスコアによって判定するステップと、
    前記第1のエンティティを評価することに応じて、前記第1のエンティティが前記評価基準を満たすときに、前記第1のスコアを更新するステップと、
    前記第1のエンティティが悪意あるものであるかを、更新された前記第1のスコアによって判定するステップと
    を含む、方法。
JP2016520024A 2013-10-04 2014-09-25 マルウェア検出のための複雑なスコアリング Active JP6317435B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/046,728 US9323931B2 (en) 2013-10-04 2013-10-04 Complex scoring for malware detection
US14/046,728 2013-10-04
PCT/RO2014/000027 WO2015050469A1 (en) 2013-10-04 2014-09-25 Complex scoring for malware detection

Publications (3)

Publication Number Publication Date
JP2016536667A JP2016536667A (ja) 2016-11-24
JP2016536667A5 true JP2016536667A5 (ja) 2017-06-15
JP6317435B2 JP6317435B2 (ja) 2018-04-25

Family

ID=52001042

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016520024A Active JP6317435B2 (ja) 2013-10-04 2014-09-25 マルウェア検出のための複雑なスコアリング

Country Status (12)

Country Link
US (1) US9323931B2 (ja)
EP (1) EP3053087A1 (ja)
JP (1) JP6317435B2 (ja)
KR (1) KR101948711B1 (ja)
CN (1) CN105593870B (ja)
AU (1) AU2014330136B2 (ja)
CA (1) CA2931325C (ja)
HK (1) HK1220523A1 (ja)
IL (1) IL244861B (ja)
RU (1) RU2645268C2 (ja)
SG (1) SG11201602586SA (ja)
WO (1) WO2015050469A1 (ja)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015148914A1 (en) * 2014-03-27 2015-10-01 Cylent Systems, Inc. Malicious software identification integrating behavioral analytics and hardware events
US10078752B2 (en) 2014-03-27 2018-09-18 Barkly Protects, Inc. Continuous malicious software identification through responsive machine learning
US9733976B2 (en) * 2014-03-27 2017-08-15 Barkly Protects, Inc. Method and apparatus for SYSRET monitoring of system interactions
JP6370098B2 (ja) * 2014-05-16 2018-08-08 杉中 順子 情報処理装置、情報処理監視方法、プログラム、及び記録媒体
US9779239B2 (en) * 2015-03-15 2017-10-03 Fujitsu Limited Detection of malicious software behavior using signature-based static analysis
US10116688B1 (en) 2015-03-24 2018-10-30 Symantec Corporation Systems and methods for detecting potentially malicious files
US9646159B2 (en) * 2015-03-31 2017-05-09 Juniper Networks, Inc. Multi-file malware analysis
US9798878B1 (en) 2015-03-31 2017-10-24 Symantec Corporation Systems and methods for detecting text display manipulation attacks
WO2016193831A1 (en) * 2015-06-04 2016-12-08 Accenture Global Services Limited Process categorization for computer security
US9798877B2 (en) 2015-06-04 2017-10-24 Accenture Global Services Limited Security risk-based resource allocation
US9703961B2 (en) 2015-06-05 2017-07-11 Accenture Global Services Limited Process risk classification
US9767285B2 (en) 2015-06-04 2017-09-19 Accenture Global Services Limited Process categorization using crowdsourcing
US10176438B2 (en) 2015-06-19 2019-01-08 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for data driven malware task identification
US9942248B1 (en) * 2015-06-24 2018-04-10 Symantec Corporation Systems and methods for adjusting behavioral detection heuristics
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
US9852295B2 (en) 2015-07-14 2017-12-26 Bitdefender IPR Management Ltd. Computer security systems and methods using asynchronous introspection exceptions
US10089465B2 (en) * 2015-07-24 2018-10-02 Bitdefender IPR Management Ltd. Systems and methods for tracking malicious behavior across multiple software entities
WO2017040957A1 (en) * 2015-09-02 2017-03-09 Nehemiah Security Process launch, monitoring and execution control
RU2634175C2 (ru) * 2015-12-18 2017-10-24 Акционерное общество "Лаборатория Касперского" Способ выполнения антивирусных проверок
US10210331B2 (en) * 2015-12-24 2019-02-19 Mcafee, Llc Executing full logical paths for malware detection
US9965313B2 (en) * 2016-01-05 2018-05-08 Bitdefender IPR Management Ltd. Systems and methods for auditing a virtual machine
US20210026950A1 (en) * 2016-03-07 2021-01-28 Crowdstrike, Inc. Hypervisor-based redirection of system calls and interrupt-based task offloading
US10140448B2 (en) 2016-07-01 2018-11-27 Bitdefender IPR Management Ltd. Systems and methods of asynchronous analysis of event notifications for computer security applications
US10635479B2 (en) * 2016-12-19 2020-04-28 Bitdefender IPR Management Ltd. Event filtering for virtual machine security applications
US9734337B1 (en) * 2017-01-24 2017-08-15 Malwarebytes Inc. Behavior-based ransomware detection
US10592664B2 (en) * 2017-02-02 2020-03-17 Cisco Technology, Inc. Container application security and protection
US10061921B1 (en) * 2017-02-13 2018-08-28 Trend Micro Incorporated Methods and systems for detecting computer security threats
US10735468B1 (en) 2017-02-14 2020-08-04 Ca, Inc. Systems and methods for evaluating security services
US10320818B2 (en) * 2017-02-14 2019-06-11 Symantec Corporation Systems and methods for detecting malicious computing events
US10990678B2 (en) * 2017-07-26 2021-04-27 Comodo Security Solutions, Inc. Method to protect application running in a hostile environment
US10467552B2 (en) * 2017-07-31 2019-11-05 Pearson Education, Inc. System and method for automatic content provisioning
RU2708356C1 (ru) * 2018-06-29 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ двухэтапной классификации файлов
US11017083B2 (en) 2018-10-17 2021-05-25 International Business Machines Corporation Multiple phase graph partitioning for malware entity detection
KR102023746B1 (ko) * 2019-03-26 2019-09-20 넷마블 주식회사 악성코드 탐지 방법 및 장치
RU2739833C1 (ru) * 2019-06-28 2020-12-28 Акционерное общество "Лаборатория Касперского" Система и способ снижения нагрузки на сервис обнаружения вредоносных приложений
CN111191226B (zh) * 2019-07-04 2023-12-01 腾讯科技(深圳)有限公司 利用提权漏洞的程序的确定方法、装置、设备及存储介质
US11238154B2 (en) * 2019-07-05 2022-02-01 Mcafee, Llc Multi-lateral process trees for malware remediation
CN110598410B (zh) * 2019-09-16 2021-11-16 腾讯科技(深圳)有限公司 一种恶意进程的确定方法、装置、电子设备及存储介质
US10754506B1 (en) * 2019-10-07 2020-08-25 Cyberark Software Ltd. Monitoring and controlling risk compliance in network environments
CN111224942B (zh) * 2019-11-20 2021-11-16 重庆邮电大学 基于三元关联图检测的恶意软件传播控制方法及装置
WO2021106172A1 (ja) * 2019-11-28 2021-06-03 日本電信電話株式会社 ルール生成装置およびルール生成プログラム
RU2752241C2 (ru) * 2019-12-25 2021-07-23 Общество С Ограниченной Ответственностью «Яндекс» Способ и система для выявления вредоносной активности предопределенного типа в локальной сети
EP4264465A1 (en) 2020-12-17 2023-10-25 Virsec Systems, Inc. Runtime memory protection (rmp) engine

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2829078B2 (ja) * 1990-02-05 1998-11-25 株式会社日立製作所 プロセス分散方法
US7003110B1 (en) * 2000-11-14 2006-02-21 Lucent Technologies Inc. Software aging method and apparatus for discouraging software piracy
JP3992136B2 (ja) * 2001-12-17 2007-10-17 学校法人金沢工業大学 ウイルス検出方法および装置
US7748039B2 (en) 2002-08-30 2010-06-29 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
BR0307030A (pt) * 2003-05-17 2005-03-08 Microsoft Corp Mecanismo para a avaliação de riscos de segurança
US7870612B2 (en) 2006-09-11 2011-01-11 Fujian Eastern Micropoint Info-Tech Co., Ltd Antivirus protection system and method for computers
US7908660B2 (en) 2007-02-06 2011-03-15 Microsoft Corporation Dynamic risk management
US7559086B2 (en) 2007-10-02 2009-07-07 Kaspersky Lab, Zao System and method for detecting multi-component malware
CN101350052B (zh) 2007-10-15 2010-11-03 北京瑞星信息技术有限公司 发现计算机程序的恶意行为的方法和装置
US8037536B2 (en) 2007-11-14 2011-10-11 Bank Of America Corporation Risk scoring system for the prevention of malware
US10318730B2 (en) * 2007-12-20 2019-06-11 Bank Of America Corporation Detection and prevention of malicious code execution using risk scoring
US8904536B2 (en) * 2008-08-28 2014-12-02 AVG Netherlands B.V. Heuristic method of code analysis
US8615805B1 (en) * 2008-09-03 2013-12-24 Symantec Corporation Systems and methods for determining if a process is a malicious process
WO2010150251A1 (en) * 2009-06-22 2010-12-29 United Parents Online Ltd. Method and system of monitoring a network based communication among users
KR101057432B1 (ko) 2010-02-23 2011-08-22 주식회사 이세정보 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체
US8578345B1 (en) * 2010-04-15 2013-11-05 Symantec Corporation Malware detection efficacy by identifying installation and uninstallation scenarios
KR101122650B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
JP5478384B2 (ja) * 2010-06-24 2014-04-23 Kddi株式会社 アプリケーション判定システムおよびプログラム
RU2454714C1 (ru) * 2010-12-30 2012-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов
EP2691908B1 (en) * 2011-03-28 2018-12-05 McAfee, LLC System and method for virtual machine monitor based anti-malware security
US8042186B1 (en) * 2011-04-28 2011-10-18 Kaspersky Lab Zao System and method for detection of complex malware
US9323928B2 (en) 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
JP5492150B2 (ja) * 2011-07-04 2014-05-14 株式会社日立製作所 多重系コントローラシステムとその運転方法
WO2013082437A1 (en) * 2011-12-02 2013-06-06 Invincia, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
EP3044718A4 (en) * 2013-09-10 2017-05-17 Symantec Corporation Systems and methods for using event-correlation graphs to detect attacks on computing systems

Similar Documents

Publication Publication Date Title
JP2016536667A5 (ja)
RU2016114944A (ru) Сложное классифицирование для выявления вредоносных программ
JP2015535115A5 (ja)
JP2018503154A5 (ja)
JP2019032875A5 (ja)
BR112016022388A8 (pt) Sistemas e métodos para otimizar suporte de várias versões em índices
JP2017504859A5 (ja)
JP2012519923A5 (ja)
JP2014534532A5 (ja)
JP2015531914A5 (ja)
RU2015141552A (ru) Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
JP2013541083A5 (ja)
JP2015005308A5 (ja)
JP2014510963A5 (ja)
JP2016505940A5 (ja)
RU2016150428A (ru) Заполнение записей контактов пользователя
JP2011048822A5 (ja)
JP2014512608A5 (ja)
JP2014507713A5 (ja)
JP2011090718A5 (ja)
JP2016531355A5 (ja)
JP2016520941A5 (ja)
JP2016517576A5 (ja)
JP2015501469A5 (ja)
JP2020513632A5 (ja)