JP2017142744A - Information processing apparatus, virus detection method, and program - Google Patents
Information processing apparatus, virus detection method, and program Download PDFInfo
- Publication number
- JP2017142744A JP2017142744A JP2016025099A JP2016025099A JP2017142744A JP 2017142744 A JP2017142744 A JP 2017142744A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2016025099 A JP2016025099 A JP 2016025099A JP 2017142744 A JP2017142744 A JP 2017142744A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- target file
- action
- possibility
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
Description
本発明は、情報処理装置、ウィルス検出方法及びプログラムに関し、特に、ウィルスを検出するための情報処理装置、ウィルス検出方法及びプログラムに関する。 The present invention relates to an information processing device, a virus detection method, and a program, and more particularly, to an information processing device, a virus detection method, and a program for detecting a virus.
コンピュータウィルスの検出技術としては、シグネチャベースのウィルス検出技術(パターンマッチング検査)、静的及び動的なヒューリスティック検査等がある。シグネチャベースのウィルス検出技術は、収集したウィルスのサンプルをパターンファイルとして予め登録しておき、検査対象ファイルをパターンファイルとマッチングすることで、ウィルスを検出するものである。 Computer virus detection techniques include signature-based virus detection techniques (pattern matching inspection), static and dynamic heuristic inspections, and the like. The signature-based virus detection technique detects a virus by registering a collected virus sample in advance as a pattern file and matching the inspection target file with the pattern file.
また、静的(スタティック)ヒューリスティック検査は、検査対象コードを実行せずに、予め登録された挙動と、検査対象コードとの比較を行うことでウィルスを検出するものである。また、動的(ダイナミック)ヒューリスティック検査は、サンドボックス又は仮想マシン上で検査対象コードを実行し、特定の動作を監視することで、ウィルスを検出するものである。 In addition, the static heuristic inspection detects a virus by comparing a behavior registered in advance with the inspection target code without executing the inspection target code. The dynamic heuristic inspection detects viruses by executing inspection target code on a sandbox or a virtual machine and monitoring a specific operation.
特許文献1には、これらの検査を用いて、メールサーバで受信したメールの添付ファイルのウィルスを検査する技術について開示されている。特許文献1では、まず、添付ファイルにパターンマッチング検査を行い、ウィルスが検出されなければ、スタティックヒューリスティック検査を行い、そこでもウィルスが検出されなければ、さらに、ダイナミックヒューリスティック検査を行うものである。特に、ダイナミックヒューリスティック検査でウィルスが検出された場合には、添付ファイルから特徴を抽出し、パターンファイルへのフィードバックを行うものである。
ここで、上述した特許文献1では、未知のウィルスの検出精度が低いという問題点がある。まず、シグネチャベースのウィルス検出技術は、ウィルスシグネチャを抽出するために、ウィルスのサンプルを収集する必要がある。近年では、ウィルスやトロイ型の急速な拡大と伴い、それに対するサンプルの収集及び分析作業が増加している。そして、シグネチャベースのウィルス検出技術には、固有なヒステリシス性を有する。
Here, the above-described
そこで、特許文献1では固有なヒステリシス性の対策として、ヒューリスティック検査が用いられているが、特許文献1で監視対象となる動作は、外部へのメール送信やファイルの改竄等であり、単に監視対象の動作であるか否かによりウィルスか否かを検出しているに過ぎない。ところが、外部へのメール送信やファイルの編集という動作自体は、正常な動作も含むため、個別の動作だけではウィルスであるか否かの判断には不十分である。特に、未知のウィルスの場合、本来は正常な動作であってもその組み合わせや実行順序や回数によりウィルスとなり得るものもある。例えば、ユーザが入力したパスワードや個人情報を記録することだけでは悪意のある動作とは言えない。しかし、パスワードを記録する動作の後に、記録したパスワードを外部へメール送信する動作があった場合には、悪意のある動作、つまりウィルスである可能性が高いといえる。
Therefore, in
本発明は、このような問題点を解決するためになされたものであり、未知のウィルスの検出精度を向上するための情報処理装置、ウィルス検出方法及びプログラムを提供することを目的とする。 The present invention has been made to solve such problems, and an object thereof is to provide an information processing apparatus, a virus detection method, and a program for improving the detection accuracy of an unknown virus.
本発明の第1の態様にかかる情報処理装置は、
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える。
An information processing apparatus according to a first aspect of the present invention includes:
A storage unit that stores an action list in which a plurality of actions indicating a part of the action of the virus are associated with a weighting value indicating the possibility of the virus;
A detection unit for detecting an action included in the action list among the actions by the target file executed on the virtual machine;
A calculation unit that calculates virus possibility information indicating a virus possibility of the target file by using the weighting value associated with each detected action;
A determination unit for determining a virus degree of the target file based on the virus possibility information;
Is provided.
本発明の第2の態様にかかるウィルス検出方法は、
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する。
The virus detection method according to the second aspect of the present invention includes:
Run the target file on the virtual machine,
Among each action by the target file, detect what is included in the action list in which a plurality of actions indicating a part of the virus action and a weighting value indicating the possibility of the virus are associated,
Using the weighting value associated with each detected action, the virus possibility information indicating the virus possibility of the target file is calculated,
The degree of virus of the target file is determined based on the virus possibility information.
本発明の第3の態様にかかるウィルス検出プログラムは、
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
をコンピュータに実行させる。
The virus detection program according to the third aspect of the present invention includes:
Processing to execute the target file on the virtual machine;
A process for detecting an action included in an action list in which a plurality of actions indicating a part of a virus action and a weighting value indicating a possibility of a virus are associated with each other according to the target file;
A process of calculating virus possibility information indicating the possibility of virus of the target file using the weighting value associated with each detected action;
A process of determining a virus level of the target file based on the virus possibility information;
Is executed on the computer.
本発明により、未知のウィルスの検出精度を向上するための情報処理装置、ウィルス検出方法及びプログラムを提供することができる。 According to the present invention, it is possible to provide an information processing apparatus, a virus detection method, and a program for improving the detection accuracy of an unknown virus.
以下では、本発明を適用した具体的な実施の形態について、図面を参照しながら詳細に説明する。各図面において、同一要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明は省略する。 Hereinafter, specific embodiments to which the present invention is applied will be described in detail with reference to the drawings. In the drawings, the same elements are denoted by the same reference numerals, and redundant description will be omitted as necessary for the sake of clarity.
<実施の形態1>
図1は、本発明の実施の形態1にかかる情報処理装置100の構成を示すブロック図である。情報処理装置100は、記憶部110と、仮想マシン120と、検出部130と、算出部140と、判定部150とを備える。記憶部110は、行動リスト111を記憶する。行動リスト111は、複数の行動112と複数の重み付け値113とを対応付けた情報である。
<
FIG. 1 is a block diagram showing a configuration of the
行動112とは、ウィルスの動作の一部を示すものである。行動112は、例えば、プログラムにより実行されるファンクションコードや、それらを組み合わせて特定の処理(パスワードの記録、メールの送信)を示す情報である。つまり、行動112は単独では、コンピュータウィルスとはいえないものである。また、過去の複数のコンピュータウィルスの動作を複数の個別の行動の分割したものを用いても構わない。
The
また、重み付け値113とは、コンピュータウィルスの可能性を示す数値情報である。例えば、ウィルスの確率であってもよい。
The
仮想マシン120は、情報処理装置100内で動作するホストエミュレータであり、対象ファイルを実行可能である。検出部130は、仮想マシン120上で実行される対象ファイルによる各行動のうち、行動リスト111内に含まれるものを検出する。すなわち、検出部130は、仮想マシン120上で実行される対象ファイル内の行動(処理、動作)を監視し、行動リスト111内に含まれるものがあれば、検出する。算出部140は、検出された各行動112に対応付けられた重み付け値113を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する。ウィルス可能性情報とは、重み付け値113に所定の統計処理等の演算を行った結果である。判定部150は、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する。ウィルスの度合いとは、例えば、対象ファイルがウィルスであるか否かや、ウィルスの可能性を示す確率、ウィルスに該当する可能性のある対象ファイル内の記述(コード)の提示等であってもよい。
The
図2は、本発明の実施の形態1にかかるウィルス検出方法の流れを説明するためのフローチャートである。まず、情報処理装置100は、対象ファイルを仮想マシン120上で実行する(S11)。次に、検出部130は、対象ファイルによる各行動のうち、行動リスト111内に含まれる行動112を検出する(S12)。そして、算出部140は、行動リスト111から、検出された各行動に対応付けられた重み付け値を読み出し、読み出した重み付け値を用いて、対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する(S13)。その後、判定部150は、ウィルス可能性情報に基づいて、対象ファイルのウィルスの度合いを判定する(S14)。
FIG. 2 is a flowchart for explaining the flow of the virus detection method according to the first embodiment of the present invention. First, the
このように、本実施の形態1では、対象ファイル内の複数の行動について、予め登録された行動リスト内の行動とマッチングを行い、マッチングされた行動に対応付けられた重み付け値を用いて、ウィルスの可能性を判定するものである。そのため、対象ファイル内の単独の行動だけではウィルスに該当しなくても、複数の行動の組み合わせ等によっては、ウィルスの可能性のあるものを検出でき、未知のウィルスの検出精度を向上することができる。 As described above, in the first embodiment, for a plurality of actions in the target file, matching is performed with actions in a pre-registered action list, and a weighting value associated with the matched action is used. The possibility of this is determined. Therefore, even if a single action in the target file does not correspond to a virus, depending on the combination of multiple actions, it is possible to detect a possible virus and improve the detection accuracy of an unknown virus. it can.
<実施の形態2>
本実施の形態2は、上述した実施の形態1の具体的な実施例である。図3は、本発明の実施の形態2にかかる情報システムの全体構成を示すブロック図である。情報システムには、端末群1と、ウィルススキャンサーバ2と、NW機器群3とが含まれる。端末群1には、複数の端末11〜16が含まれ、各端末は、ウィルススキャンサーバ2と通信回線により接続されている。また、NW機器群3には、複数のNW機器31〜33が含まれ、各NW機器は、ウィルススキャンサーバ2と通信回線により接続されている。つまり、ウィルススキャンサーバ2は、端末群1とNW機器群3の間に配置されている。そして、ウィルススキャンサーバ2は、外部のネットワーク(インターネット等)からNW機器群3を経由して端末群1へ転送されるファイルについて、事前にウィルス検査を行うものである。
<
The second embodiment is a specific example of the first embodiment described above. FIG. 3 is a block diagram showing an overall configuration of the information system according to the second exemplary embodiment of the present invention. The information system includes a
図4は、本発明の実施の形態2にかかるウィルススキャンサーバ2の構成を示すブロック図である。ウィルススキャンサーバ2は、上述した情報処理装置100の一例であり、分析部21と、HASH計算部22と、ウィルススキャン部23と、ウィルス実行部24と、データ処理部25と、記憶部26とを備える。記憶部26は、上述した記憶部110の一例であり、ブラックリスト261と、HASH値262と、行動リスト263とを記憶する。ブラックリスト261には、公知のコンピュータウィルス(マルウェア等)の配布元として知られるURLが記録されたファイルである。つまり、ブラックリスト261には、ウィルスの可能性の高いファイルの取得元が記録されている。ブラックリスト261には、通常、2以上のURLが記録されている。HASH値262は、公知のマルウェア等から作成されたハッシュ値である。尚、HASH値262は、2以上のマルウェアのハッシュ値が含まれていてもよい。また、ブラックリスト261やHASH値262は、パターンファイルとして保持されていてもよい。行動リスト263は、上述した行動リスト111の一例である。
FIG. 4 is a block diagram showing a configuration of the
分析部21は、インターネットを介してダウンロードされたウィルス検査対象のファイル(以下、対象ファイル)をNW機器群3から取得する。また、分析部21は、対象ファイルの取得元がブラックリスト261に含まれるか否かの判定を行う。HASH計算部22は、対象ファイルのHASH値を計算し、HASH値262と比較する。ウィルススキャン部23は、対象ファイルについてウィルススキャンを実行する。特に、ウィルススキャン部23は、条件に応じてディープインスペクション又はクイックインスペクションを実行する。すなわち、ウィルススキャン部23は、対象ファイルの取得元がブラックリスト261に含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元がブラックリスト261に含まれない場合に、クイックインスペクションを実行する。
The
尚、ディープインスペクションでは、対象ファイルについて詳細なウィルス検査が行われる。一方、クイックインスペクションでは、対象ファイルについて簡易なウィルス検査が行われる。そのため、ディープインスペクションは、クイックインスペクションと比べて、検出精度が高く、一方で、処理負荷が高く、実行時間が長い。 In the deep inspection, a detailed virus inspection is performed on the target file. On the other hand, in the quick inspection, a simple virus inspection is performed on the target file. Therefore, deep inspection has higher detection accuracy than quick inspection, but has a high processing load and a long execution time.
ウィルス実行部24は、上述した仮想マシン120、検出部130、算出部140及び判定部150の一例である。ウィルス実行部24は、複数の仮想マシン(VM)24−1〜24−4を含む。尚、ウィルス実行部24は、少なくとも1以上の仮想マシンを備えていればよい。ウィルス実行部24は、所定の条件を満たす場合に、対象ファイルについて行動分析として、後述するウィルス実行検査を行い、対象ファイルのウィルスの度合いを判定する。
The
データ処理部25は、ウィルススキャン部23やウィルス実行部24の結果に基づき、対象ファイルの処理を行う。すなわち、データ処理部25は、対象ファイルが正常な場合には、本来の転送先の端末へ対象ファイルを転送する。一方、データ処理部25は、対象ファイルがウィルスであると判定された場合、対象ファイルを削除等の駆除を行う。
The
図5は、本発明の実施の形態2にかかる行動リスト263の例を示す図である。行動リスト263は、単独の行動ではウィルスではないが、複数の行動の組み合わせによりウィルスとなる可能性がある行動(悪意の可能性がある行動)について登録された情報である。ここでは、各行動(小項目)について大項目に分類しているが、分類の仕方はこれに限定されない。また、各小項目には、重み付け値が設定されている。
FIG. 5 is a diagram showing an example of the
以下に、大項目ごとに行動の説明をする。
(I)隠す行動:ファイルを隠す、サービスを隠す、レジストリを隠す、ポートを隠す、プロセスを隠す等の行動が挙げられる。例えば、「ファイルを隠す」とは、フォルダ内に保存されているファイルの属性を変更して、一般ユーザに対しては非表示にする処理を示す。また、「プロセスを隠す」とは、例えば、対象ファイルの実行に起因して、何らかのプロセスをプロセス監視ツール上で認識できないようにする処理を示す。
The following describes the behavior for each major item.
(I) Hiding behavior: actions such as hiding files, hiding services, hiding registries, hiding ports, hiding processes, etc. For example, “hide a file” indicates a process of changing the attribute of a file stored in a folder and hiding it from a general user. “Hide process” refers to, for example, processing for preventing any process from being recognized on the process monitoring tool due to execution of the target file.
(II)内容改ざん行動:ファイルの作成、移動及び削除、ファイル名の変更、ファイル内容の修正、ファイルを開く、ファイル種類の変更等の行動が挙げられる。「ファイルの作成等」は、単独では悪意があるとはいえないが、他の行動との組合せでウィルスである可能性がある。 (II) Contents tampering actions: actions such as creating, moving and deleting files, changing file names, modifying file contents, opening files, changing file types, and the like. “File creation etc.” is not malicious by itself, but may be a virus in combination with other actions.
(III)スタンドアップ行動:システムの再起動、自身の機能を自動的に起動させる設定等の行動が挙げられる。これらは、目標ホストにウイルスインプラントを行い、自動的に再起動させる可能性がある行動である。例えば、ダウンロードしたファイルが実行された際に、以後、自動的に再起動させるような設定を行う。自動的に再起動させるような設定とは、例えば、タスクスケジューラへの登録や、OS起動時のアプリケーションの自動起動リストへの追加等が挙げられる。 (III) Stand-up action: Actions such as restarting the system and setting for automatically starting up its own functions can be mentioned. These are actions that may cause the target host to virus implant and automatically reboot. For example, when the downloaded file is executed, settings are made so that it is automatically restarted thereafter. Examples of the setting for restarting automatically include registration in the task scheduler and addition of an application to the automatic start list when the OS is started.
(IV)ネットワーク行動:メールを送信、ポートのスキャンと監視、特定のドメインへのリクエストとレスポンス、外部IPとの接続等の行動が挙げられる。これらは、回数が多いことや、特定の宛先に繰り返しアクセスする場合などに、ウィルスである可能性がある。 (IV) Network behavior: Behaviors such as sending mail, scanning and monitoring ports, requests and responses to a specific domain, connection to external IP, etc. These may be viruses when they are frequently accessed or when a specific destination is repeatedly accessed.
(V)感染行動:対象ファイルの実行に伴い、自己のファイル又は他のファイルを変化させる行動が挙げられる。例えば、拡張子がexe,bat,scr,docx等である対象ファイルを実行した場合に、ファイル形式が変更/変換されること、対象ファイル自身の内容が更新されること、他のファイルの内容が更新されること等を検出する。これらの行動により、ウィルス感染する可能性があるためである。 (V) Infection behavior: Behavior that changes its own file or another file as the target file is executed. For example, when a target file with an extension of exe, bat, scr, docx, etc. is executed, the file format is changed / converted, the contents of the target file itself are updated, and the contents of other files are It detects that it is updated. This is because these actions may cause virus infection.
(VI)呼び起こす行動:特定の行動を触発して、関連のサービス又はプロセスを自動的に実行する行動が挙げられる。例えば、ボタンを押下した際に、バックグランドで、パスワード等の機密情報や個人情報の抽出する処理があった場合には、ウィルスの確率が高まるといえる。そのため、ボタン等の押下処理と機密情報の記録処理とが組み合わさった場合には、ウィルスの可能性があるといえる。 (VI) Actions to evoke: Actions that trigger specific actions and automatically execute related services or processes. For example, it can be said that the probability of a virus increases if there is a process of extracting confidential information such as a password or personal information in the background when the button is pressed. Therefore, it can be said that there is a possibility of a virus when the pressing process of a button or the like and the recording process of confidential information are combined.
(VII)散布行動:他のホスト又は他のフォルダにファイルをコピー又は情報を転送する等の行動が挙げられる。単独では不正とはいえないが、対象ファイルの実行に伴い何らかのファイルがコピー等されることは、ウィルスの可能性があり得るためである。 (VII) Scattering behavior: Behavior such as copying a file or transferring information to another host or another folder. Although it cannot be said that it is illegal alone, copying a file or the like as the target file is executed may be a virus.
(VIII)ファイアウォールを閉じる行動:ファイアウォールが自動終了する行動が挙げられる。対象ファイルの実行に伴いファイアウォールのプロセスが終了させられた場合には、ウィルスの可能性が高まるためである。 (VIII) Action of closing the firewall: An action of automatically closing the firewall is mentioned. This is because if the firewall process is terminated along with the execution of the target file, the possibility of a virus increases.
(IX)指定されたプロセス終了行動:キープロセス、セキュリティーサービスを自動終了する等の行動が挙げられる。特に、対象ファイルの実行に伴いアンチウィルスソフトが終了させられた場合には、ウィルスの可能性が高まるためである。 (IX) Designated process termination behavior: Examples include behaviors such as automatically terminating key processes and security services. In particular, if the anti-virus software is terminated with the execution of the target file, the possibility of a virus increases.
以上は、本実施の形態2にかかる行動リスト263の一例に過ぎず、また、重み付け値も例示に過ぎない。
The above is only an example of the
図6は、本発明の実施の形態2にかかるウィルス検出方法の流れを説明するためのフローチャートである。まず、分析部21は、対象ファイルを取得する(S101)。次に、分析部21は、対象ファイルの取得元のURLがブラックリスト261に存在するか否かを判定する(S102)。取得元のURLがブラックリスト261に存在しない場合(S102でNO)、HASH計算部22は、対象ファイルのHASH値を計算する(S103)。そして、HASH計算部22は、計算したHASH値と記憶部26に記憶されたHASH値262とが一致するか否かを判定する(S104)。
FIG. 6 is a flowchart for explaining the flow of the virus detection method according to the second embodiment of the present invention. First, the
ステップS102でYESの場合、又は、ステップS104でYESの場合、ウィルススキャン部23は、対象ファイルについてディープインスペクションを実行する(S105)。一方、ステップS104でNOの場合、ウィルススキャン部23は、対象ファイルについてクイックインスペクションを実行する(S106)。 If YES in step S102 or YES in step S104, the virus scanning unit 23 performs deep inspection on the target file (S105). On the other hand, if NO in step S104, the virus scanning unit 23 performs quick inspection on the target file (S106).
ステップS105又はS106の後、ウィルススキャン部23は、ウィルスが検出されたか否かを判定する(S107)。ウィルスが検出されなかった場合、ウィルススキャン部23は、対象ファイルをウィルス実行部24に転送する。そして、ウィルス実行部24は、対象ファイルについてウィルス実行検査を行う(S108)。
After step S105 or S106, the virus scanning unit 23 determines whether or not a virus is detected (S107). If no virus is detected, the virus scanning unit 23 transfers the target file to the
図7は、本発明の実施の形態2にかかるウィルス実行検査の流れを説明するためのフローチャートである。ウィルス実行部24は、VM24−1上で、対象ファイルを実行する(S201)。尚、使用する仮想マシンは、VM24−2〜24−4であっても構わない。
FIG. 7 is a flowchart for explaining a flow of the virus execution inspection according to the second embodiment of the present invention. The
次に、ウィルス実行部24は、対象ファイル内の行動kを検出する(S202)。例えば、対象ファイルの実行に伴い発生するイベントやOSのファンクションコール等を監視することにより検出する。そして、ウィルス実行部24は、検出した行動kが行動リスト263内に存在するか否かを判定する(S203)。存在する場合、ウィルス実行部24は、行動kの重み付け値Bkを計算する(S204)。尚、図5のように行動リスト263に予め重み付け値が設定されている場合、ウィルス実行部24は、行動リスト263から行動kに対応付けられた重み付け値を読み出す。
Next, the
ここで、重み付け値Bkの計算の仕方又は定義の仕方について説明する。まず、行動リスト263の小項目数を[1,n]とし、小項目kに対する重要度をSkとする。ここで、Skは正の整数とし、ユーザが行動に対して任意に設定するものとする。また、複数のサンプルウィルスの中で、行動kがヒットする確率をLkとする。尚、Lkは、予め算出されているものとする。そして、重み付け値Bkを以下の式(1)により算出する。つまり、重み付け値Bkは、複数のサンプルウィルスにおいて行動リスト内の行動が実行される度合いLkに基づく値といえる。
ステップS204の後、ウィルス実行部24は、対象ファイルの実行が終了したか否かを判定する(S205)。すなわち、対象ファイル内の全ての行動を検出し終えたか否かを判定する。対象ファイルが実行中の場合、ウィルス実行部24は、対象ファイル内の次の行動kを検出する(S206)。そして、以降、対象ファイルの実行終了までステップS203〜S206を繰り返す。
After step S204, the
ステップS205でNOの場合、つまり、対象ファイルの実行が終了した場合、ウィルス実行部24は、検出された全行動kの重み付け値をBkの合計TBを計算する(S207)。例えば、以下の式(2)によりTBを計算する。
そして、ウィルス実行部24は、合計TBが閾値thより大きいか否かを判定する(S208)。合計TBが閾値thより大きい場合、ウィルス実行部24は、対象ファイルがウィルスと判定する(S209)。一方、合計TBが閾値th以下の場合、ウィルス実行部24は、対象ファイルがウィルスではないと判定する(S210)。その後、図6のステップS110へ進む。
Then, the
続いて、ウィルス実行部24は、ウィルスが検出されたか否かを判定する(S110)。ウィルス実行部24は、図7の結果により判定する。ステップS107でYES又は、ステップS110でYESの場合、ウィルス実行部24は、対象ファイルをデータ処理部25へ転送し、データ処理部25は、対象ファイルを削除する(S109)。一方、ステップS110でNOの場合、ウィルス実行部24は、対象ファイルをデータ処理部25へ転送し、データ処理部25は、対象ファイルを本来の端末へ転送する(S111)。
Subsequently, the
図8は、本発明の実施の形態2にかかるウィルス実行検査の概念を説明するための図である。 FIG. 8 is a diagram for explaining the concept of the virus execution inspection according to the second embodiment of the present invention.
以上のように、本実施の形態2では、対象ファイルについて公知のウィルスについてのブラックリストやHASH値との比較により予めウィルスの検出を行い、その際、検出された場合にのみディープインスペクションを行うものである。このように、事前のブラックリストやHASH値の検査により、ウィルススキャンのレベルを分けることで、公知のウィルスの処理を効率化できる。 As described above, in the second embodiment, a virus is detected in advance by comparing the target file with a black list or HASH value for known viruses, and deep inspection is performed only when the virus is detected. It is. In this way, the known virus processing can be made more efficient by dividing the level of virus scanning by checking the black list and HASH value in advance.
さらに、ウィルス実行部24(検出部)は、ディープインスペクション又はクイックインスペクションの結果、ウィルスが検出されなかった場合に、仮想マシン上で対象ファイルの実行を行うものである。そのため、未知のウィルスに対してのみ、より処理負荷の高い、ヒューリスティック検査を行うことで、精度良く、かつ、処理効率を高めることができる。 Further, the virus execution unit 24 (detection unit) executes the target file on the virtual machine when no virus is detected as a result of the deep inspection or the quick inspection. Therefore, it is possible to improve the processing efficiency with high accuracy by performing a heuristic inspection with a higher processing load only on an unknown virus.
また、ウィルススキャンサーバ2は、複数の仮想マシンを有することが望ましい。そして、ウィルス実行部24は、異なる対象ファイルについて、異なる仮想マシン上で並列に実行を行う。例えば、ウィルス実行部24をクラウドコンピューティングにより実現することができる。これにより、ウィルス検出処理を効率化することができる。特に、図3のように、端末群1にファイルがダウンロードされる前に、ウィルス検出を行う場合には、通信のボトルネックを解消でき、より効果的である。
The
尚、上述した合計TBは、ウィルス可能性情報の一例に過ぎない。そのため、行動リスト263の定義の仕方によっては、小項目の組み合わせ、順序、繰り返しの回数等により重み付け値を定義することもできる。これにより、検出精度をより向上させることができる。
The total TB described above is merely an example of virus possibility information. Therefore, depending on how the
<その他の実施の形態>
尚、上述した実施の形態は、クラウドコンピューティング以外にも適用可能である。また、上述した図6及び図7の処理の流れは一例であり、本実施の形態はこれらに限定されない。
<Other embodiments>
Note that the above-described embodiment can be applied to other than cloud computing. Moreover, the flow of the process of FIG.6 and FIG.7 mentioned above is an example, and this Embodiment is not limited to these.
なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。 Note that the present invention is not limited to the above-described embodiment, and can be changed as appropriate without departing from the spirit of the present invention.
また、上述の実施の形態では、本発明をハードウェアの構成として説明したが、本発明は、これに限定されるものではない。本発明は、任意の処理を、CPU(Central Processing Unit)にコンピュータプログラムを実行させることにより実現することも可能である。 In the above-described embodiments, the present invention has been described as a hardware configuration, but the present invention is not limited to this. The present invention can also realize arbitrary processing by causing a CPU (Central Processing Unit) to execute a computer program.
上述の例において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、DVD(Digital Versatile Disc)、BD(Blu-ray(登録商標) Disc)、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(Random Access Memory))を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。 In the above example, the program can be stored and supplied to a computer using various types of non-transitory computer readable media. Non-transitory computer readable media include various types of tangible storage media. Examples of non-transitory computer-readable media include magnetic recording media (for example, flexible disks, magnetic tapes, hard disk drives), magneto-optical recording media (for example, magneto-optical disks), CD-ROMs (Read Only Memory), CD-Rs, CD-R / W, DVD (Digital Versatile Disc), BD (Blu-ray (registered trademark) Disc), semiconductor memory (for example, mask ROM, PROM (Programmable ROM), EPROM (Erasable PROM), flash ROM, RAM ( Random Access Memory)). The program may also be supplied to the computer by various types of transitory computer readable media. Examples of transitory computer readable media include electrical signals, optical signals, and electromagnetic waves. The temporary computer-readable medium can supply the program to the computer via a wired communication path such as an electric wire and an optical fiber, or a wireless communication path.
上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
(付記1)
ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リストを記憶する記憶部と、
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。
(付記2)
前記算出部は、前記対象ファイルについて、前記検出された全ての行動に前記重み付け値を合計して、前記ウィルス可能性情報を算出する
付記1に記載の情報処理装置。
(付記3)
前記記憶部は、ウィルスの可能性の高いファイルの取得元を記録したブラックリストをさらに記憶し、
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
付記1又は2に記載の情報処理装置。
(付記4)
前記検出部は、
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
付記3に記載の情報処理装置。
(付記5)
前記情報処理装置は、前記仮想マシンを複数有し、
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
付記1乃至4のいずれか1項に記載の情報処理装置。
(付記6)
前記重み付け値は、複数のサンプルウィルスにおいて前記行動リスト内の行動が実行される度合いに基づく値である
付記1乃至5のいずれか1項に記載の情報処理装置。
(付記7)
前記判定部は、
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
付記2に記載の情報処理装置。
(付記8)
対象ファイルを仮想マシン上で実行し、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。
(付記9)
対象ファイルを仮想マシン上で実行する処理と、
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。
A part or all of the above embodiments can be described as in the following supplementary notes, but is not limited thereto.
(Appendix 1)
A storage unit that stores an action list in which a plurality of actions indicating a part of the action of the virus are associated with a weighting value indicating the possibility of the virus;
A detection unit for detecting an action included in the action list among the actions by the target file executed on the virtual machine;
A calculation unit that calculates virus possibility information indicating a virus possibility of the target file by using the weighting value associated with each detected action;
A determination unit for determining a virus degree of the target file based on the virus possibility information;
An information processing apparatus comprising:
(Appendix 2)
The information processing apparatus according to
(Appendix 3)
The storage unit further stores a black list that records an acquisition source of a file having a high possibility of a virus,
A virus scanning unit that performs deep inspection on the target file when the acquisition source of the target file is included in the black list, and that performs quick inspection when the acquisition source is not included in the black list; Prepare
The information processing apparatus according to
(Appendix 4)
The detector is
The information processing apparatus according to
(Appendix 5)
The information processing apparatus includes a plurality of the virtual machines,
The information processing apparatus according to any one of
(Appendix 6)
The information processing apparatus according to any one of
(Appendix 7)
The determination unit
The information processing apparatus according to
(Appendix 8)
Run the target file on the virtual machine,
Among each action by the target file, detect what is included in the action list in which a plurality of actions indicating a part of the virus action and a weighting value indicating the possibility of the virus are associated,
Using the weighting value associated with each detected action, the virus possibility information indicating the virus possibility of the target file is calculated,
A virus detection method for determining a virus level of the target file based on the virus possibility information.
(Appendix 9)
Processing to execute the target file on the virtual machine;
A process for detecting an action included in an action list in which a plurality of actions indicating a part of a virus action and a weighting value indicating a possibility of a virus are associated with each other according to the target file;
A process of calculating virus possibility information indicating the possibility of virus of the target file using the weighting value associated with each detected action;
A process of determining a virus level of the target file based on the virus possibility information;
Virus detection program for causing the computer to execute
100 情報処理装置
110 記憶部
111 行動リスト
112 行動
113 重み付け値
120 仮想マシン
130 検出部
140 算出部
150 判定部
1 端末群
11〜16 端末
2 ウィルススキャンサーバ
3 NW機器群
31〜33 NW機器
21 分析部
22 HASH計算部
23 ウィルススキャン部
24 ウィルス実行部
25 データ処理部
26 記憶部
261 ブラックリスト
262 HASH値
263 行動リスト
DESCRIPTION OF
Claims (9)
仮想マシン上で実行される対象ファイルによる各行動のうち、前記行動リスト内に含まれるものを検出する検出部と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する算出部と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する判定部と、
を備える情報処理装置。 A storage unit that stores an action list in which a plurality of actions indicating a part of the action of the virus are associated with a weighting value indicating the possibility of the virus;
A detection unit for detecting an action included in the action list among the actions by the target file executed on the virtual machine;
A calculation unit that calculates virus possibility information indicating a virus possibility of the target file by using the weighting value associated with each detected action;
A determination unit for determining a virus degree of the target file based on the virus possibility information;
An information processing apparatus comprising:
請求項1に記載の情報処理装置。 The information processing apparatus according to claim 1, wherein the calculation unit calculates the virus possibility information by adding the weighting values to all the detected actions for the target file.
前記対象ファイルの取得元が前記ブラックリストに含まれる場合に、当該対象ファイルについてディープインスペクションを実行し、当該取得元が前記ブラックリストに含まれない場合に、クイックインスペクションを実行するウィルススキャン部をさらに備える、
請求項1又は2に記載の情報処理装置。 The storage unit further stores a black list that records an acquisition source of a file having a high possibility of a virus,
A virus scanning unit that performs deep inspection on the target file when the acquisition source of the target file is included in the black list, and that performs quick inspection when the acquisition source is not included in the black list; Prepare
The information processing apparatus according to claim 1 or 2.
前記ディープインスペクション又は前記クイックインスペクションの結果、ウィルスが検出されなかった場合に、前記仮想マシン上で前記対象ファイルの実行を行う
請求項3に記載の情報処理装置。 The detector is
The information processing apparatus according to claim 3, wherein when the virus is not detected as a result of the deep inspection or the quick inspection, the target file is executed on the virtual machine.
前記検出部は、異なる前記対象ファイルについて、異なる前記仮想マシン上で並列に実行を行う
請求項1乃至4のいずれか1項に記載の情報処理装置。 The information processing apparatus includes a plurality of the virtual machines,
The information processing apparatus according to any one of claims 1 to 4, wherein the detection unit executes the different target files in parallel on different virtual machines.
請求項1乃至5のいずれか1項に記載の情報処理装置。 The information processing apparatus according to any one of claims 1 to 5, wherein the weighting value is a value based on a degree to which an action in the action list is executed in a plurality of sample viruses.
前記ウィルス可能性情報が所定の閾値を上回る場合に、前記対象ファイルをウィルスとして判定する
請求項2に記載の情報処理装置。 The determination unit
The information processing apparatus according to claim 2, wherein when the virus possibility information exceeds a predetermined threshold, the target file is determined as a virus.
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動と、ウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出し、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出し、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する
ウィルス検出方法。 Run the target file on the virtual machine,
Among each action by the target file, detect what is included in the action list in which a plurality of actions indicating a part of the virus action and a weighting value indicating the possibility of the virus are associated,
Using the weighting value associated with each detected action, the virus possibility information indicating the virus possibility of the target file is calculated,
A virus detection method for determining a virus level of the target file based on the virus possibility information.
対象ファイルによる各行動のうち、ウィルスの動作の一部を示す複数の行動とウィルスの可能性を示す重み付け値とを対応付けた行動リスト内に含まれるものを検出する処理と、
前記検出された各行動に対応付けられた前記重み付け値を用いて、前記対象ファイルのウィルスの可能性を示すウィルス可能性情報を算出する処理と、
前記ウィルス可能性情報に基づいて、前記対象ファイルのウィルスの度合いを判定する処理と、
を前記コンピュータに実行させるウィルス検出プログラム。 Processing to execute the target file on the virtual machine;
A process for detecting an action included in an action list in which a plurality of actions indicating a part of a virus action and a weighting value indicating a possibility of a virus are associated with each other according to the target file;
A process of calculating virus possibility information indicating the possibility of virus of the target file using the weighting value associated with each detected action;
A process of determining a virus level of the target file based on the virus possibility information;
Virus detection program for causing the computer to execute
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016025099A JP6711000B2 (en) | 2016-02-12 | 2016-02-12 | Information processing apparatus, virus detection method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016025099A JP6711000B2 (en) | 2016-02-12 | 2016-02-12 | Information processing apparatus, virus detection method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017142744A true JP2017142744A (en) | 2017-08-17 |
JP6711000B2 JP6711000B2 (en) | 2020-06-17 |
Family
ID=59627340
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016025099A Active JP6711000B2 (en) | 2016-02-12 | 2016-02-12 | Information processing apparatus, virus detection method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6711000B2 (en) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019152912A (en) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | Unauthorized communication handling system and method |
WO2019180804A1 (en) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | Information processing device, communication type discrimination method, and program |
JP2020149390A (en) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | Cyber attack detector |
CN112580041A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Malicious program detection method and device, storage medium and computer equipment |
CN112580043A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Virtual machine-based virus killing method and device, storage medium and computer equipment |
CN112580042A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Malicious program resisting method and device, storage medium and computer equipment |
CN112580025A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Virtual machine-based poison reporting method and device, storage medium and computer equipment |
CN116680696A (en) * | 2023-08-04 | 2023-09-01 | 深圳市科力锐科技有限公司 | Virus program detection method, device and system |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007537626A (en) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | Programmable hardware for deep packet filtering |
JP2009223908A (en) * | 2001-04-16 | 2009-10-01 | Xaxon R & D Corp | Computer virus check device and semiconductor integrated circuit |
JP2011530121A (en) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | Method and system for filtering and monitoring program behavior |
JP2013524336A (en) * | 2010-03-30 | 2013-06-17 | アンラブ,インコーポレイテッド | Mobile communication terminal having behavior-based malicious code diagnosis function and diagnosis method thereof |
JP2014225302A (en) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | Virus detection program, virus detection method, and computer |
WO2015137249A1 (en) * | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | Monitoring device, monitoring method, and monitoring program |
WO2015152748A1 (en) * | 2013-07-05 | 2015-10-08 | Bitdefender Ipr Management Ltd | Process evaluation for malware detection in virtual machines |
JP2015230601A (en) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | Program analysis device, program analysis method, and program analysis system |
-
2016
- 2016-02-12 JP JP2016025099A patent/JP6711000B2/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009223908A (en) * | 2001-04-16 | 2009-10-01 | Xaxon R & D Corp | Computer virus check device and semiconductor integrated circuit |
JP2007537626A (en) * | 2004-04-19 | 2007-12-20 | ザ・リージェンツ・オブ・ザ・ユニバーシティ・オブ・カリフォルニア | Programmable hardware for deep packet filtering |
JP2011530121A (en) * | 2008-08-05 | 2011-12-15 | 北京金山▲軟▼件有限公司 | Method and system for filtering and monitoring program behavior |
JP2013524336A (en) * | 2010-03-30 | 2013-06-17 | アンラブ,インコーポレイテッド | Mobile communication terminal having behavior-based malicious code diagnosis function and diagnosis method thereof |
WO2015152748A1 (en) * | 2013-07-05 | 2015-10-08 | Bitdefender Ipr Management Ltd | Process evaluation for malware detection in virtual machines |
JP2016526730A (en) * | 2013-07-05 | 2016-09-05 | ビットディフェンダー アイピーアール マネジメント リミテッド | Process evaluation for malware detection in virtual machines |
WO2015137249A1 (en) * | 2014-03-13 | 2015-09-17 | 日本電信電話株式会社 | Monitoring device, monitoring method, and monitoring program |
JP2015230601A (en) * | 2014-06-05 | 2015-12-21 | 株式会社日立システムズ | Program analysis device, program analysis method, and program analysis system |
JP2014225302A (en) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | Virus detection program, virus detection method, and computer |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019152912A (en) * | 2018-02-28 | 2019-09-12 | 沖電気工業株式会社 | Unauthorized communication handling system and method |
JP7102780B2 (en) | 2018-02-28 | 2022-07-20 | 沖電気工業株式会社 | Unauthorized communication countermeasure system and method |
WO2019180804A1 (en) * | 2018-03-20 | 2019-09-26 | 株式会社Pfu | Information processing device, communication type discrimination method, and program |
JP2020149390A (en) * | 2019-03-14 | 2020-09-17 | 三菱電機株式会社 | Cyber attack detector |
JP7202932B2 (en) | 2019-03-14 | 2023-01-12 | 三菱電機株式会社 | Cyber attack detection device |
CN112580025A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Virtual machine-based poison reporting method and device, storage medium and computer equipment |
CN112580042A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Malicious program resisting method and device, storage medium and computer equipment |
CN112580043A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Virtual machine-based virus killing method and device, storage medium and computer equipment |
CN112580041A (en) * | 2019-09-30 | 2021-03-30 | 奇安信安全技术(珠海)有限公司 | Malicious program detection method and device, storage medium and computer equipment |
CN112580041B (en) * | 2019-09-30 | 2023-07-07 | 奇安信安全技术(珠海)有限公司 | Malicious program detection method and device, storage medium and computer equipment |
CN112580043B (en) * | 2019-09-30 | 2023-08-01 | 奇安信安全技术(珠海)有限公司 | Virtual machine-based disinfection method and device, storage medium and computer equipment |
CN112580042B (en) * | 2019-09-30 | 2024-02-02 | 奇安信安全技术(珠海)有限公司 | Method and device for combating malicious programs, storage medium and computer equipment |
CN116680696A (en) * | 2023-08-04 | 2023-09-01 | 深圳市科力锐科技有限公司 | Virus program detection method, device and system |
CN116680696B (en) * | 2023-08-04 | 2024-02-13 | 深圳市科力锐科技有限公司 | Virus program detection method, device and system |
Also Published As
Publication number | Publication date |
---|---|
JP6711000B2 (en) | 2020-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6711000B2 (en) | Information processing apparatus, virus detection method, and program | |
Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
US11356467B2 (en) | Log analysis device, log analysis method, and log analysis program | |
CN110383278A (en) | The system and method for calculating event for detecting malice | |
CN109586282B (en) | Power grid unknown threat detection system and method | |
KR101043299B1 (en) | Method, system and computer readable recording medium for detecting exploit code | |
TW201712586A (en) | Method and system for analyzing malicious code, data processing apparatus and electronic apparatus | |
CN102664875A (en) | Malicious code type detection method based on cloud mode | |
JP6717206B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and anti-malware program | |
US20200125728A1 (en) | Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
CN112084497A (en) | Method and device for detecting malicious program of embedded Linux system | |
RU2531565C2 (en) | System and method for analysing file launch events for determining safety ranking thereof | |
US8938807B1 (en) | Malware removal without virus pattern | |
Yang et al. | Detecting android malware with intensive feature engineering | |
US11321453B2 (en) | Method and system for detecting and classifying malware based on families | |
KR101988747B1 (en) | Ransomware dectecting method and apparatus based on machine learning through hybrid analysis | |
JP4050253B2 (en) | Computer virus information collection apparatus, computer virus information collection method, and program | |
KR101880689B1 (en) | Apparatus and method for detecting malicious code | |
KR101942442B1 (en) | System and method for inspecting malicious code | |
WO2022137883A1 (en) | Attack information generation device, control method, and non-transitory computer-readable medium | |
Alsmadi et al. | Behavioral-based malware clustering and classification | |
KR101726360B1 (en) | Method and server for generating suffix tree, method and server for detecting malicious code with using suffix tree |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190110 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191112 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200428 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200511 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6711000 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |