JP2017016631A - 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 - Google Patents
脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 Download PDFInfo
- Publication number
- JP2017016631A JP2017016631A JP2016045304A JP2016045304A JP2017016631A JP 2017016631 A JP2017016631 A JP 2017016631A JP 2016045304 A JP2016045304 A JP 2016045304A JP 2016045304 A JP2016045304 A JP 2016045304A JP 2017016631 A JP2017016631 A JP 2017016631A
- Authority
- JP
- Japan
- Prior art keywords
- file
- computer
- application
- software application
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 40
- 230000002155 anti-virotic effect Effects 0.000 claims description 19
- 230000008859 change Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 7
- 230000004913 activation Effects 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 5
- 230000003287 optical effect Effects 0.000 description 7
- 238000012544 monitoring process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
【解決手段】ファイルをオープンするという、ソフトウェア・アプリケーションからの要求を検出し、ファイルの1つ又は複数のパラメータを決定する。ファイル・アクセス・ポリシーは、ユーザコンピュータのリソースに対するソフトウェア・アプリケーションのアクセス権を規定する。ソフトウェア・アプリケーションの脆弱性を特定し、脆弱性に基づいてソフトウェア・アプリケーションに対するアプリケーション起動ポリシーを決定する。アプリケーション起動ポリシーは、ファイルオープンが許可又は禁止されるかどうかを少なくとも規定し、ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーに基づいて、オープンされたファイルの動作中、ソフトウェア・アプリケーションによる、ユーザコンピュータでのファイルオープン及びコンピュータ・リソースへのアクセスを制御する。
【選択図】図2
Description
例示的な方法は、
ユーザコンピュータでコンピュータファイルをオープンするという、ソフトウェア・アプリケーションからの要求を検出する工程と、
ファイルの1つ又は複数のパラメータを決定する工程であって、
ファイルのパラメータに基づいて、ファイル・アクセス・ポリシーを決定する工程と、
ファイル・アクセス・ポリシーは、ユーザコンピュータのリソースに対するソフトウェア・アプリケーションのアクセス権を少なくとも規定する工程と、
ソフトウェア・アプリケーションの脆弱性を特定する工程と、
決定された脆弱性に少なくとも基づいて、ソフトウェア・アプリケーションに対するアプリケーション起動ポリシーを決定する工程であって、
アプリケーション起動ポリシーは、ファイルオープンを許可又は禁止するかどうかを、少なくとも規定する工程と、
オープンされたファイルの動作中、ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーに基づいて、ソフトウェア・アプリケーションによるユーザコンピュータでのファイルオープン及びコンピュータ・リソースへのアクセスを制御する工程を含む。
ファイルシステムフィルターのドライバを用いる手段、
ユーザコンピュータでオペレーティングシステム(OS)のアプリケーションプログラミングインターフェース(API)のコールを傍受する手段、及び、
ソース・アプリケーションによりユーザコンピュータに提供されるAPIを用いる手段、
の少なくとも1つの手段を用いることによって決定する。
ハードウェアプロセッサによって、コンピュータファイルの1つ又は複数のパラメータを決定する工程は、
コンピュータファイルに対するウイルス対策用の解析を実行する工程を含み、コンピュータファイルのパラメータは、ウイルス対策用の解析結果を含む。
ソフトウェア・アプリケーションの脆弱性を特定する工程と、
ソフトウェア・アプリケーションの修正された脆弱性を決定する工程と、
以前のバージョンのソフトウェア・アプリケーションでの脆弱性を決定する工程と、
以前のバージョンのソフトウェア・アプリケーションでの修正された脆弱性を決定する工程、
をさらに備える。
本方法は、
ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーの優先順位を規定する工程をさらに含む。
ソフトウェア・アプリケーションによるコンピュータファイルのオープン及びコンピュータ・リソースのアクセスを制御する工程は、ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーのそれぞれの優先順位に基づいている。
ソフトウェア・アプリケーションが次の操作の1つ又は複数の操作の実行を禁止する工程を含み、その操作は、
コンピュータファイルシステムに対する低いレベルでのアクセスを実行する操作、
ディスクに対する低いレベルでのアクセスを実行する操作、
コンピュータでドライバを起動する操作、
コンピュータのレジストリを変更する操作、
コンピュータのメモリに直接アクセスする操作、
プロセス記述子を取得する操作、
ブラウザのAPIを使用する操作、
“%SystemRoot%”及び“%ProgramFiles%”ディレクトリ(全サブディレクトリを含む)にあり、拡張子が、“.exe“及び”.dll“であるファイルを変更する操作、
コンピュータのStartupディレクトリにあるファイルを生成及び変更する操作、
自動実行キーを生成及び変更する操作、
環境変数を含むアドレスを使用してファイルのリソースにアクセスする操作、
及び、コンピュータのユーザ・レジストリのリソースにアクセスする操作、
である。
次の1つまたは複数の手段に基づいて、ソフトウェア・アプリケーションが信頼のないファイル起源であるかどうかについて、ハードウェアプロセッサによって決定される工程と、
ソフトウェア・アプリケーションが信頼のないファイル起源であるかどうかという決定に基づいて、ハードウェアプロセッサにより、ソフトウェア・アプリケーションがユーザコンピュータでコンピュータファイルをオープン及びコンピュータ・リソースへアクセスする制御を行う工程をさらに含み、
その手段は、
信頼のないファイルに関する既知のソース・アプリケーションのデータベース内を検索する手段、
脆弱なモジュール又は信頼のないファイルをロードすることに対するソース・アプリケーションの振る舞いを解析する手段、及び、ソフトウェア・アプリケーションのメタデータを解析する手段、
である。
システムは、
ユーザコンピュータでコンピュータファイルをオープンするという、ソフトウェア・アプリケーションから要求を検出し、
コンピュータファイルの1つまたは複数のパラメータを決定し、
コンピュータファイルのパラメータに基づいて、要求されたコンピュータファイルに関連するファイル・アクセス・ポリシーを決定し、
ファイル・アクセス・ポリシーは、要求されたコンピュータファイルが動作している場合、ユーザコンピュータのリソースに対するソフトウェア・アプリケーションのアクセス権を少なくとも規定し、
ソフトウェア・アプリケーションの脆弱性を特定し、
決定された脆弱性に少なくとも基づいて、ソフトウェア・アプリケーションに対するアプリケーション起動ポリシーを決定し、
アプリケーション起動ポリシーは、ファイルのオープンを許可又は禁止するかどうかについて、少なくとも規定し、
オープンされたファイルの動作中、ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーに少なくとも基づいて、ユーザコンピュータでのソフトウェア・アプリケーションによるコンピュータファイルのオープン及びコンピュータ・リソースへアクセスを制御するように構成されるハードウェアプロセッサを備える。
ユーザコンピュータにおいてコンピュータファイルをオープンするという、ソフトウェア・アプリケーションからの要求を検出する命令と、
コンピュータファイルの1つ又は複数のパラメータを決定する命令と、
コンピュータファイルのパラメータに基づいて、要求されたコンピュータファイルに関連するファイル・アクセス・ポリシーを決定する命令と、
要求されたコンピュータファイルの動作中、ファイル・アクセス・ポリシーは、ユーザコンピュータのリソースに対するソフトウェア・アプリケーションのアクセス権を少なくとも規定し、
ソフトウェア・アプリケーションの脆弱性を特定する命令と、
少なくとも決定された脆弱性に基づいて、ソフトウェア・アプリケーションに対するアプリケーション起動ポリシーを決定する命令と、
アプリケーション起動ポリシーは、ファイルのオープンを許可又は禁止するかどうかを、少なくとも規定し、
オープンされたファイルの動作中、ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーに少なくとも基づいて、ユーザコンピュータでのソフトウェア・アプリケーションによるコンピュータファイルのオープン及びコンピュータ・リソースへのアクセスを制御する命令を含む。
一実施態様では、アクセス権は、コンピュータ・リソースを使用する各種操作の実行において、コンシューマー・アプリケーション101aの制限(例えば、禁止または承諾)を含むことができる。
このような操作は、以下を含むが、それらに限定されない。
ファイルシステムに対する低いレベルでのアクセスの実行する操作、ハードウェアディスクに対する低いレベルでアクセスを実行する操作、ドライバを起動する操作、OSレジストリを変更する操作、コンピュータメモリに直接アクセスする操作、プロセス記述子を取得する操作、ウェブブラウザのアプリケーションプログラミングインターフェース(API)を使用する操作、
“%SystemRoot%”及び“%ProgramFiles%”ディレクトリ(全サブディレクトリを含む)にあり、拡張子が“.exe”及び“.dll”であるファイルを変更する操作、
“Startup”ディレクトリにあるファイルを生成及び変更する操作、
自動実行キーの生成及び変更する操作、
環境変数を含むアドレスへのファイルリソースにアクセスする操作、及び、ユーザ・レジストリのリソースにアクセスする操作、及び、その他の操作である。
ソフトウェア・アプリケーションに対するアプリケーション起動ポリシーは、少なくともコンシューマー・アプリケーション101及び/又はコンシューマー・アプリケーション101aの決定された脆弱性に基づいて、特に、各々のバージョンのアプリケーションで、修正された、及び修正されてない、脆弱性の有無に基づいてもよい。
監視モジュール103は、ファイル102の生成を検出するために、以下の様々な既知の手段を用いてもよい。例えば、ファイルオープンを制御するドライバ(例:ファイルシステムフィルターのドライバ)を用いる手段、
システムAPI関数のコールを傍受する手段、
アプリケーションによって提供されるAPIを用いる手段、
又はその他の手段がある。
工程202で、解析モジュール104は、アプリケーション101における脆弱性の有無を決定する。一実施態様で、解析モジュール104は、最新及び以前のバージョンのソース・アプリケーション101における脆弱性の有無、且つ、コンシューマー・アプリケーション101aにおける脆弱性の有無をさらに決定してもよい。ソース・アプリケーション101が脆弱性を全く含まない場合、解析モジュール104は、例えば、アプリケーションデータベース106を用いて、ソース・アプリケーション101が信頼のないファイル起源であるかどうか、を決定してもよい。
表1
ソース・アプリケーション101は、重大な脆弱性を含むこともありえ、ユーザコンピュータシステムを相当な危険にさらすことができる(例えば、パスワード又は財務情報を盗むことを目的としたマルウェアがコンピュータにインストールされる可能性がある)。それは、重大ではない脆弱性も同様であり、拡大した脆弱性による非常に制限される権限と脆弱性による局所的に悪用可能なDos攻撃を含み得る。
このような評価をするのに、センシティブではないシステムの情報開示の脆弱性(例えば、アプリケーションのインストールパスのリモート開示)を使用してもよい。さらに、修正された脆弱性についても、表1に考慮されている。ソース・アプリケーション101が、信頼のないアプリケーションのソースである場合についても、表1に考慮されている。
例示的な態様に従って、コンピュータ・リソースに対する制限されたアクセス権は、一部のコンピュータ・リソースへのアクセスを拒否することを含むことが意図される。例えば、コンシューマー・アプリケーション101aは、OSのレジストリの変更を制限され、一方、図1の説明で述べられている他のアクションは許可されることができる。
さらに、どちらの例においても、禁止される種類のファイル102のオープンは拒否される。
表 2
他の例示態様では、ファイル・オープン・ポリシーは、ファイル・アクセス・ポリシー及びアプリケーション起動ポリシー(すなわち、リソースへのアクセスを許可する)の最も制約の少ないものとして選択されることができ、例として、表2にあるルール2に設けられている。
例えば、優先順位1を有するファイル・アクセス・ポリシーは、OSレジストリの変更に制限を課すことができ、一方、コンシューマー・アプリケーション101aに対する、より高い優先順位2を有するアプリケーション起動ポリシーは、レジスタの変更を許可できる。結果として、コンシューマー・アプリケーション101aに対する、最終的なファイル・オープン・ポリシーは、より高い優先順位2であるポリシーが優先されるため、OSのレジストリの変更を許可するルールが含まれるだろう。さらに、コンシューマー・アプリケーション101aに対するファイル・オープン・ポリシーでの許容ルールも、自動実行キーの変更承諾と優先順位2を有する承諾を含むであろう。それは、ファイル・アクセス・ポリシーから継承されたものであり、ファイルリソースへの低いレベルでのアクセス承諾と同様に、このような制限は、コンシューマー・アプリケーション101aのアプリケーション起動ポリシーにだけ見受けられる。結果として生じたファイル・オープン・ポリシーは、低レベルディスクアクセスの禁止が含まれ、それは、コンシューマー・アプリケーション101aに対する、アプリケーション起動ポリシーでの同様の許容ルールよりも高い優先順位であるディスク・アクセス・ポリシーから継承されたものである。
低い優先度にかかわらず、ダイレクト・メモリ・アクセスの禁止は、ファイル・アクセス・ポリシーで見られ、したがって、ファイル・オープン・ポリシーによって継承される。
ハードディスク27、磁気ディスクドライブ28、及び光学ドライブ30は、それぞれハードディスクインターフェース32、磁気ディスクインターフェース33及び光学ドライブインターフェース34を介してシステムバス23に接続される。ドライブ及び対応するコンピュータ情報媒体は、パーソナルコンピュータ20のコンピュータ命令、データ構造、プログラムモジュール、及び他のデータを記憶するため、電力的に独立しているモジュールである。
ユーザは、入力デバイス(キーボード40、マウス42)を用いて、パーソナルコンピュータ20にコマンドと情報を入力することが可能である。他の入力デバイス(図示せず)は、マイクロフォン、ジョイスティック、ゲームコントローラー、スキャナー、等を用いることができる。
そのような入力デバイスは、通常コンピュータシステム20に、シリアルポート46を介して、接続され、それは、順に、システムバスに接続されるが、それらは、他の方法で、例えば、パラレルポート、ゲームポート及びユニバーサルシリアルバス(USB)の助けを借りて、接続される。モニター47又は他の種類のディスプレイデバイスも、ビデオアダプター48等のインターフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンタ等他の周辺外部デバイス(図示せず)に備えてもよい。
Claims (22)
- ユーザコンピュータにおいて、ソフトウェア・アプリケーションによるコンピュータファイルのオープンを制御する方法であって、
前記方法は、
ユーザコンピュータでコンピュータファイルをオープンするというソフトウェア・アプリケーションからの要求を、ハードウェアプロセッサにより検出する工程と、
前記コンピュータファイルの1つ又は複数のパラメータを、前記ハードウェアプロセッサにより決定する工程と、
前記コンピュータファイルのパラメータに基づいて、要求された前記コンピュータファイルに関連するファイル・アクセス・ポリシーを、前記ハードウェアプロセッサにより決定する工程であって、
前記ファイル・アクセス・ポリシーは、前記要求されたコンピュータファイルの動作中、前記ユーザコンピュータのリソースに対する前記ソフトウェア・アプリケーションのアクセス権を少なくとも規定する工程と、
前記ハードウェアプロセッサにより前記ソフトウェア・アプリケーションの脆弱性を特定する工程と、
前記決定された脆弱性に少なくとも基づいて、前記ハードウェアプロセッサによりアプリケーション起動ポリシーを決定する工程であって、
前記アプリケーション起動ポリシーは、前記ファイルのオープンを許可又は禁止するかどうかを、少なくとも規定する工程と、
前記オープンされたファイルの動作中、前記ファイル・アクセス・ポリシー及び前記アプリケーション起動ポリシーに少なくとも基づいて、前記ハードウェアプロセッサにより、前記ソフトウェア・アプリケーションによる前記コンピュータファイルのオープン及び前記コンピュータ・リソースへのアクセスを、制御する工程と、
を備える、方法。
- 前記ソフトウェア・アプリケーションは、1つ又は複数のソース・アプリケーションを含み、前記ソース・アプリケーションは、前記コンピュータファイルとコンシューマー・アプリケーションを生成し、前記コンシューマー・アプリケーションは、前記ユーザコンピュータにある前記コンピュータファイルのオープンを要求する、請求項1に記載の方法。
- 前記ソース・アプリケーションによって作成されるコンピュータファイルは、プロセス、実行可能ファイル、スクリプトファイルとダイナミックライブラリの1つを含む、請求項2に記載の方法。
- 前記ソース・アプリケーションが前記コンピュータファイルを生成する時を次の手段を用いて決定する工程をさらに備え、
前記手段は、
ファイルシステムフィルターのドライバを用いる手段、
前記ユーザコンピュータでのオペレーティングシステム(OS)のアプリケーションプログラミングインターフェース(API)のコールを傍受する手段、
及び、
前記ソース・アプリケーションにより前記ユーザコンピュータに提供されるAPIを用いる手段、
の少なくとも1つを用いる工程を含む、
請求項2に記載の方法。
- 前記ハードウェアプロセッサによって決定された前記コンピュータファイルのパラメータは、前記コンピュータファイルの種類、前記コンピュータファイルのサイズ、前記コンピュータファイルのデジタル署名、及び前記コンピュータファイルの拡張子、の少なくとも1つを含む。
請求項1に記載の方法。
- 前記ハードウェアプロセッサによって、前記コンピュータファイルの1つ又は複数のパラメータを決定する工程は、前記コンピュータファイルに対するウイルス対策用の解析を実行する工程をさらに含み、前記コンピュータファイルのパラメータは前記ウイルス対策用の解析結果を含む、
請求項1に記載の方法。
- 前記ソフトウェア・アプリケーションの脆弱性を特定する工程と、
前記ソフトウェア・アプリケーションの修正された脆弱性を決定する工程と、
以前のバージョンの前記ソフトウェア・アプリケーションでの脆弱性を決定する工程と、
以前のバージョンの前記ソフトウェア・アプリケーションでの修正された脆弱性を決定する工程と、
を含む、
請求項1に記載の方法。
- 前記ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーの優先順位を規定する工程をさらに含み、
前記ソフトウェア・アプリケーションによる前記コンピュータファイルのオープン及び前記コンピュータ・リソースへのアクセスを制御する工程は、前記ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーのそれぞれの優先順位に基づいている、
請求項1に記載の方法。
- 前記コンピュータリソースのアクセス権は、前記ソフトウェア・アプリケーションが次の操作の1つ又は複数の操作の実行を禁止する工程を含み、
前記操作は、
前記コンピュータファイルシステムに対する低いレベルでのアクセスを実行する操作、
ディスクに対する低いレベルでアクセスを実行する操作、
前記コンピュータでドライバを起動する操作、
前記コンピュータのレジストリを変更する操作、
前記コンピュータのメモリに直接アクセスする操作、
プロセス記述子を取得する操作、
ブラウザのAPIを使用する操作、
全サブディレクトリを含む、“%SystemRoot%”及び“%ProgramFiles%”ディレクトリにあり、拡張子が.exe 及び.dllであるファイルを変更する操作、
前記コンピュータのStartupディレクトリにあるファイルを生成及び変更する操作、
自動実行キーを生成及び変更する操作、
環境変数を含むアドレスを使用してファイルのリソースにアクセスする操作、
及び、前記コンピュータのユーザ・レジストリのリソースにアクセスする操作、
である、
請求項1に記載の方法。
- 1つ又は複数の手段に基づいて、前記ソフトウェア・アプリケーションが信頼のないファイル起源であるどうかについて、前記ハードウェアプロセッサによって決定される工程と、
前記ソフトウェア・アプリケーションが、信頼のないファイル起源であるかどうかという決定に基づいて、前記ハードウェアプロセッサにより、前記ソフトウェア・アプリケーションが前記ユーザコンピュータで前記コンピュータファイルをオープン及び前記コンピュータ・リソースへのアクセスする制御を行う工程とをさらに含み、
前記手段は、
信頼のない既知の前記ソース・アプリケーションのデータベース内を検索する手段と、
脆弱なモジュール又は前記信頼のないファイルをロードすることに対する前記ソース・アプリケーションの振る舞いを解析する手段、
及び、前記ソフトウェア・アプリケーションのメタデータの解析する手段、である、
請求項1に記載の方法。
- ユーザコンピュータでのソフトウェア・アプリケーションによるコンピュータファイルのオープンを制御するためのシステムであって、
システムは、ハードウェアプロセッサを備え、
前記ハードウェアプロセッサは、
前記ユーザコンピュータで前記コンピュータファイルをオープンするという、前記ソフトウェア・アプリケーションからの要求を検出し、
前記コンピュータファイルの1つまたは複数のパラメータを決定し、
前記コンピュータファイルのパラメータに基づいて、要求された前記コンピュータファイルに関連するファイル・アクセス・ポリシーを決定し、
前記ファイル・アクセス・ポリシーは、前記要求されたコンピュータファイルの動作中、前記ユーザコンピュータのリソースに対する前記ソフトウェア・アプリケーションのアクセス権を少なくとも規定し、
前記ソフトウェア・アプリケーションの脆弱性を特定し、
前記決定された脆弱性に少なくとも基づいて、前記ソフトウェア・アプリケーションに対するアプリケーション起動ポリシーを決定し、
前記アプリケーション起動ポリシーは、前記ファイルのオープンを許可又は禁止されるかどうかを少なくとも規定し、
前記オープンされたファイルの動作中、前記ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーに少なくとも基づいて、前記ユーザコンピュータでの前記ソフトウェア・アプリケーションによる、前記コンピュータファイルのオープン及び前記コンピュータ・リソースへのアクセスを制御する、
ように構成される、
システム。
- 前記ソフトウェア・アプリケーションは、1つ又は複数のソース・アプリケーションを含み、前記ソース・アプリケーションは、前記コンピュータファイルとコンシューマー・アプリケーションを生成し、前記コンシューマー・アプリケーションは、前記ユーザコンピュータにある前記コンピュータファイルのオープンを要求する、
請求項11に記載のシステム。
- 前記プロセッサは、
前記ソース・アプリケーションが前記コンピュータファイルを生成する時を次の手段を用いて決定するように、さらに構成され、
前記手段は、
ファイルシステムフィルターのドライバを用いる手段、
前記ユーザコンピュータでのオペレーティングシステム(OS)のアプリケーションプログラミングインターフェース(API)のコールを用いる手段、
及び、前記ソース・アプリケーションにより前記ユーザコンピュータに提供されるAPIを用いる手段、
の少なくとも1つの手段である、
請求項12に記載のシステム。
- 前記ハードウェアプロセッサにより決定される前記コンピュータのパラメータは、
前記コンピュータファイルの種類、
前記コンピュータファイルのサイズ、
前記コンピュータファイルのデジタル署名、
及び、前記コンピュータファイルの拡張子、
の少なくとも1つを含む、
請求項11に記載のシステム。
- 前記ハードウェアプロセッサは、
前記ソフトウェア・アプリケーションの脆弱性の特定については、
前記ソフトウェア・アプリケーションでの修正された脆弱性を決定し、
以前のバージョンの前記ソフトウェア・アプリケーションでの脆弱性を決定し、
及び、以前のバージョンの前記ソフトウェア・アプリケーションでの修正された脆弱性を決定するように構成されることをさらに含む、
請求項11に記載のシステム。
- 前記プロセッサは、
前記ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーの優先順位を規定するようにさらに構成され、
前記ソフトウェア・アプリケーションによる、前記コンピュータファイルのオープン及び前記コンピュータ・リソースへのアクセスを制御することは、前記ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーのそれぞれの優先順位に基づいている、
請求項11に記載のシステム。
- 前記コンピュータ・リソースへのアクセス権は、前記ソフトウェア・アプリケーションが、次の操作の1つ又は複数の操作の実行を禁止することを含み、
前記操作は、
前記コンピュータファイルシステムに対する低いレベルでアクセスを実行する操作、
ディスクに対する低いレベルでアクセスを実行する操作、
前記コンピュータでドライバを起動する操作、
前記コンピュータのレジストリを変更する操作、
前記コンピュータのメモリに直接アクセスする操作、
プロセス記述子を取得する操作、
ブラウザのAPIを使用する操作、
全サブディレクトリを含む、“%SystemRoot%”及び“%ProgramFiles%”ディレクトリにあり、拡張子が.exe 及び.dllであるファイルを変更する操作、
前記コンピュータのStartupディレクトリにあるファイルを生成及び変更する操作、
自動実行キーを生成及び変更する操作、
環境変数を含むアドレスを使用してファイルのリソースにアクセスする操作、
及び、前記コンピュータのユーザ・レジストリのリソースにアクセスする操作、
である、
請求項11に記載のシステム。
- 前記プロセッサは、
次の1つまたは複数の手段に基づいて、前記ソフトウェア・アプリケーションが信頼のないファイル起源であるかどうかを決定し、
前記ソフトウェア・アプリケーションが信頼のないファイル起源であるかどうかの決定に基づいて、前記ユーザコンピュータで、前記ソフトウェア・アプリケーションが、前記コンピュータファイルをオープン及び、前記コンピュータ・リソースへのアクセスをさらに制御するように、
さらに構成される、
前記手段は、
前記信頼のないファイルの既知のソース・アプリケーションのデータベース内を検索する手段、
脆弱なモジュール又は前記信頼のないファイルのロードすることに対する前記ソース・アプリケーションの振る舞いを解析する手段、
前記ソース・アプリケーションのメタデータの解析する手段である、
請求項11に記載のシステム。
- ユーザコンピュータでのソフトウェア・アプリケーションによるコンピュータファイルのオープンを制御するためのコンピュータ実行可能命令を備える、非一時的なコンピュータ可読媒体であって、
前記命令は、
前記ユーザコンピュータで前記コンピュータファイルをオープンするという前記ソフトウェア・アプリケーションからの要求を検出する命令と、
前記コンピュータファイルの1つまたは複数のパラメータを決定する命令と、
前記コンピュータファイルのパラメータに基づいて、要求された前記コンピュータファイルに関連するファイル・アクセス・ポリシーを決定する命令と、
ここで、前記ファイル・アクセス・ポリシーは、前記要求されたコンピュータファイルの動作中に、前記ユーザコンピュータのリソースに対する前記ソフトウェア・アプリケーションのアクセス権を少なくとも規定し、
前記ソフトウェア・アプリケーションの脆弱性を特定する命令と、
前記決定された脆弱性に少なくとも基づいて、前記ソフトウェア・アプリケーションに対するアプリケーション起動ポリシーを決定する命令と、
前記アプリケーション起動ポリシーは、前記ファイルのオープンが許可又は禁止されるかどうかについて、少なくとも規定し、
前記オープンされたファイルの動作中、前記ファイル・アクセス・ポリシー及びアプリケーション起動ポリシーに少なくとも基づいて、前記ユーザコンピュータでの、前記ソフトウェア・アプリケーションによる、前記コンピュータファイルのオープン及び前記コンピュータ・リソースへのアクセスを制御する命令、
を含む、非一時的なコンピュータ可読媒体。
- 前記ソフトウェア・アプリケーションは、1つ又は複数のソース・アプリケーションを含み、
前記コンピュータファイルとコンシューマー・アプリケーションを生成し、
前記コンシューマー・アプリケーションは、前記ユーザコンピュータにある前記コンピュータファイルのオープンを要求する、
請求項19に記載の非一時的なコンピュータ可読媒体。
- 前記命令は、
前記ソフトウェア・アプリケーションの脆弱性を特定する命令と、
前記ソフトウェア・アプリケーションでの修正された脆弱性を決定する命令と、
以前のバージョンの前記ソフトウェア・アプリケーションでの脆弱性を決定する命令と、
以前のバージョンの前記ソフトウェア・アプリケーションでの修正された脆弱性を決定する命令とをさらに備える、
請求項19に記載の非一時的なコンピュータ可読媒体。
- 前記命令は、次の1つまたは複数の手段に基づいて、
前記ソフトウェア・アプリケーションが信頼のないファイル起源であるかどうかを決定する命令と、
前記ソフトウェア・アプリケーションが信頼のないファイル起源であるかどうかの決定に基づいて、前記ソフトウェア・アプリケーションが、前記ユーザコンピュータで、前記コンピュータファイルをオープン及び前記コンピュータ・リソースへのアクセスする制御を行う命令と、
をさらに備え、
前記手段は、
信頼のないファイルに関する既知のソース・アプリケーションのデータベース内の検索する手段と、
脆弱なモジュール又は信頼のないファイルをロードすることに対する前記ソース・アプリケーションの振る舞いを解析する手段、及び、
前記ソース・アプリケーションのメタデータを解析する手段である、
請求項19に記載の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/791,827 | 2015-07-06 | ||
US14/791,827 US9697361B2 (en) | 2015-07-06 | 2015-07-06 | System and method of controlling opening of files by vulnerable applications |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017016631A true JP2017016631A (ja) | 2017-01-19 |
JP6482489B2 JP6482489B2 (ja) | 2019-03-13 |
Family
ID=54106112
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016045304A Active JP6482489B2 (ja) | 2015-07-06 | 2016-03-09 | 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9697361B2 (ja) |
EP (1) | EP3115920B1 (ja) |
JP (1) | JP6482489B2 (ja) |
CN (1) | CN105760773B (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9794292B2 (en) * | 2015-10-26 | 2017-10-17 | Amazon Technologies, Inc. | Providing fine-grained access remote command execution for virtual machine instances in a distributed computing environment |
CN105956468B (zh) * | 2016-04-22 | 2018-12-28 | 中国科学院信息工程研究所 | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 |
US10176331B2 (en) * | 2016-06-10 | 2019-01-08 | Microsoft Technology Licensing, Llc | Enhanced metadata to authentically report the provenance of a file |
CN106681813B (zh) * | 2016-12-15 | 2020-06-12 | 腾讯科技(深圳)有限公司 | 一种系统管理方法及装置 |
US10511631B2 (en) * | 2017-01-25 | 2019-12-17 | Microsoft Technology Licensing, Llc | Safe data access through any data channel |
GB2563066B (en) | 2017-06-02 | 2019-11-06 | Avecto Ltd | Computer device and method for managing privilege delegation |
GB2566262B (en) | 2017-09-01 | 2020-08-26 | Avecto Ltd | Managing installation of applications on a computer device |
GB2566305B (en) | 2017-09-08 | 2020-04-15 | Avecto Ltd | Computer device and method for controlling process components |
GB2566949B (en) | 2017-09-27 | 2020-09-09 | Avecto Ltd | Computer device and method for managing privilege delegation |
CN107798252B (zh) * | 2017-10-27 | 2019-10-18 | 维沃移动通信有限公司 | 一种文件访问方法及移动终端 |
GB2568919B (en) | 2017-11-30 | 2020-07-15 | Avecto Ltd | Managing removal and modification of installed programs on a computer device |
GB2570655B (en) | 2018-01-31 | 2020-12-16 | Avecto Ltd | Managing privilege delegation on a server device |
GB2573491B (en) | 2018-02-08 | 2020-07-01 | Avecto Ltd | Managing privilege delegation on a computer device |
GB2570924B (en) | 2018-02-12 | 2021-06-16 | Avecto Ltd | Managing registry access on a computer device |
GB2572977B (en) | 2018-04-18 | 2020-04-22 | Avecto Ltd | Protecting a computer device from escalation of privilege attacks |
CN108875356B (zh) * | 2018-05-29 | 2020-12-01 | 杭州滚马网络有限公司 | 一种数据访问方法、终端及计算机可读存储介质 |
US11907354B2 (en) * | 2018-08-09 | 2024-02-20 | Cyberark Software Ltd. | Secure authentication |
US10594694B2 (en) | 2018-08-09 | 2020-03-17 | Cyberark Software Ltd. | Secure offline caching and provisioning of secrets |
US10749876B2 (en) | 2018-08-09 | 2020-08-18 | Cyberark Software Ltd. | Adaptive and dynamic access control techniques for securely communicating devices |
CN109344611B (zh) * | 2018-09-06 | 2024-02-27 | 天翼安全科技有限公司 | 应用的访问控制方法、终端设备及介质 |
GB2577067B (en) | 2018-09-12 | 2021-01-13 | Avecto Ltd | Controlling applications by an application control system in a computer device |
US10642979B1 (en) * | 2019-09-19 | 2020-05-05 | Capital One Services, Llc | System and method for application tamper discovery |
US11651067B2 (en) * | 2020-06-23 | 2023-05-16 | Acronis International Gmbh | Systems and methods for detecting stored passwords vulnerable to compromise |
US20230004638A1 (en) * | 2021-06-30 | 2023-01-05 | Citrix Systems, Inc. | Redirection of attachments based on risk and context |
KR20230075777A (ko) * | 2021-11-23 | 2023-05-31 | 삼성전자주식회사 | 애플리케이션 보안을 위한 방법, 및 그 방법을 수행하는 전자 장치 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080209138A1 (en) * | 2007-02-26 | 2008-08-28 | Microsoft Corporation | File Blocking Mitigation |
JP2010160791A (ja) * | 2008-12-17 | 2010-07-22 | Symantec Corp | コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 |
JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
US20150007315A1 (en) * | 2013-06-28 | 2015-01-01 | Symantec Corporation | Techniques for Detecting a Security Vulnerability |
US20150047046A1 (en) * | 2013-08-07 | 2015-02-12 | Kaspersky Lab Zao | System and Method for Protecting Computers from Software Vulnerabilities |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7185015B2 (en) | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
US8126856B2 (en) * | 2005-05-26 | 2012-02-28 | Hewlett-Packard Development Company, L.P. | File access management system |
US20070028291A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
US7913092B1 (en) * | 2005-12-29 | 2011-03-22 | At&T Intellectual Property Ii, L.P. | System and method for enforcing application security policies using authenticated system calls |
US20070199044A1 (en) * | 2006-02-17 | 2007-08-23 | Samsung Electronics Co., Ltd. | Systems and methods for distributed security policy management |
US20080016339A1 (en) * | 2006-06-29 | 2008-01-17 | Jayant Shukla | Application Sandbox to Detect, Remove, and Prevent Malware |
CN101350053A (zh) * | 2007-10-15 | 2009-01-21 | 北京瑞星国际软件有限公司 | 防止网页浏览器被漏洞利用的方法和装置 |
JP4342584B2 (ja) | 2007-10-29 | 2009-10-14 | 株式会社東芝 | ファイルアクセス制御装置及びプログラム |
US20090138969A1 (en) * | 2007-11-26 | 2009-05-28 | Kim Yun Ju | Device and method for blocking autorun of malicious code |
US20100146589A1 (en) | 2007-12-21 | 2010-06-10 | Drivesentry Inc. | System and method to secure a computer system by selective control of write access to a data storage medium |
US8448218B2 (en) * | 2008-01-17 | 2013-05-21 | Josep Bori | Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability |
KR100985074B1 (ko) | 2009-02-05 | 2010-10-04 | 주식회사 안철수연구소 | 선별적 가상화를 이용한 악성 코드 사전 차단 장치, 방법 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 |
US9721090B2 (en) * | 2010-04-29 | 2017-08-01 | Safend Ltd. | System and method for efficient inspection of content |
US8918874B2 (en) * | 2010-05-25 | 2014-12-23 | F-Secure Corporation | Malware scanning |
US9436826B2 (en) * | 2011-05-16 | 2016-09-06 | Microsoft Technology Licensing, Llc | Discovering malicious input files and performing automatic and distributed remediation |
US20150358357A1 (en) * | 2012-12-31 | 2015-12-10 | British Telecommunication Public Limited Company | Processing device and method of operation thereof |
WO2014142986A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
EP2835758B1 (en) * | 2013-08-07 | 2016-11-02 | Kaspersky Lab, ZAO | System and method for controlling access to encrypted files |
US20150332043A1 (en) * | 2014-05-15 | 2015-11-19 | Auckland Uniservices Limited | Application analysis system for electronic devices |
CN104657676B (zh) * | 2015-03-05 | 2017-11-07 | 北京安普诺信息技术有限公司 | 一种基于微过滤驱动的文件强制访问控制方法及其系统 |
-
2015
- 2015-07-06 US US14/791,827 patent/US9697361B2/en active Active
- 2015-08-13 EP EP15180993.6A patent/EP3115920B1/en active Active
-
2016
- 2016-01-29 CN CN201610067361.7A patent/CN105760773B/zh active Active
- 2016-03-09 JP JP2016045304A patent/JP6482489B2/ja active Active
-
2017
- 2017-05-30 US US15/607,742 patent/US10621356B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080209138A1 (en) * | 2007-02-26 | 2008-08-28 | Microsoft Corporation | File Blocking Mitigation |
JP2010160791A (ja) * | 2008-12-17 | 2010-07-22 | Symantec Corp | コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 |
JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
US20150007315A1 (en) * | 2013-06-28 | 2015-01-01 | Symantec Corporation | Techniques for Detecting a Security Vulnerability |
US20150047046A1 (en) * | 2013-08-07 | 2015-02-12 | Kaspersky Lab Zao | System and Method for Protecting Computers from Software Vulnerabilities |
Also Published As
Publication number | Publication date |
---|---|
US20170011220A1 (en) | 2017-01-12 |
US9697361B2 (en) | 2017-07-04 |
US20170262631A1 (en) | 2017-09-14 |
CN105760773A (zh) | 2016-07-13 |
JP6482489B2 (ja) | 2019-03-13 |
CN105760773B (zh) | 2019-02-01 |
EP3115920B1 (en) | 2017-11-22 |
EP3115920A1 (en) | 2017-01-11 |
US10621356B2 (en) | 2020-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6482489B2 (ja) | 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 | |
US9547765B2 (en) | Validating a type of a peripheral device | |
EP3113063B1 (en) | System and method for detecting malicious code in random access memory | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
US8505069B1 (en) | System and method for updating authorized software | |
EP2541453B1 (en) | System and method for malware protection using virtualization | |
US9081967B2 (en) | System and method for protecting computers from software vulnerabilities | |
EP3462358B1 (en) | System and method for detection of malicious code in the address space of processes | |
US7792964B2 (en) | Running internet applications with low rights | |
US11677754B2 (en) | Access control systems and methods | |
Min et al. | Rethinking Software Component Security: Software Component Level Integrity and Cross Verification | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
RU2606883C2 (ru) | Система и способ открытия файлов, созданных уязвимыми приложениями | |
EP2835757B1 (en) | System and method protecting computers from software vulnerabilities | |
RU2595510C1 (ru) | Способ исключения процессов из антивирусной проверки на основании данных о файле |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170817 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180427 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180515 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20180814 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20181012 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181114 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190212 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6482489 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |