JP2017516246A - アイドルプロセスの発見および制約 - Google Patents
アイドルプロセスの発見および制約 Download PDFInfo
- Publication number
- JP2017516246A JP2017516246A JP2017504635A JP2017504635A JP2017516246A JP 2017516246 A JP2017516246 A JP 2017516246A JP 2017504635 A JP2017504635 A JP 2017504635A JP 2017504635 A JP2017504635 A JP 2017504635A JP 2017516246 A JP2017516246 A JP 2017516246A
- Authority
- JP
- Japan
- Prior art keywords
- idle
- system call
- call information
- processor
- detecting whether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
本出願は、2014年5月15日に出願された仮出願第61/993,762号に対する優先権を主張し、その内容は参照によって本明細書に包含される。
Claims (14)
- プロセスに関するシステムコール情報を収集することと、
前記システムコール情報に基づいて前記プロセスがアイドル状態にあるかどうかを検出することと、
前記プロセスがシステムコールを定期的に発行するかどうかを判定するために、自己相関を使用して、前記プロセスが反復しているかどうかを検出することと、
前記プロセスがアイドル状態にあるか、または反復している場合、前記プロセスによって提示される攻撃対象領域を制限するために、前記プロセスを制約することと
を備える、プロセス制約のための方法。 - システムコール情報を収集することは、コールスタックを含んでいないシステムコール情報の限定されたサブセットを収集することを含む、請求項1に記載の方法。
- 前記プロセスがアイドル状態にあるかどうかを検出することは、プロセッサの活動を監視することをさらに含む、請求項1に記載の方法。
- 前記プロセスが反復しているかどうかを検出することは、前記システムコール情報からタイムスタンプ情報を削除することを含む、請求項1に記載の方法。
- 前記プロセスが反復しているかどうかを検出することは、相関するシーケンスと一致するように元のシーケンスをシフトし、対応するペアのタイムスタンプ間の平均差を比較することによって時間チェックを実行することをさらに含む、請求項4に記載の方法。
- 前記プロセスが反復しているかどうかを検出することは、前記平均差としきい値とを比較して、前記相関するシーケンスが真であるかどうかを判定することを含む、請求項5に記載の方法。
- 前記プロセスを制約することは、前記プロセスの通常動作を学習することと、前記通常動作を逸脱するシステムコールを識別することとを含む、請求項1に記載の方法。
- プロセスに関するシステムコール情報をメモリに格納することと、前記プロセスがアイドル状態にあるかどうかを判定することとのために構成されたシステムコールモニタと、
前記システムコール情報に基づいて、前記プロセスがアイドル状態にあるかどうかを検出することと、前記プロセスがシステムコールを定期的に発行するかどうかを判定するために、自己相関を使用して、前記プロセスが反復しているかどうかを検出することとのために構成されたプロセッサと、
前記プロセスがアイドル状態にあるか、または反復している場合に、前記プロセスによって提示される攻撃対象領域を制限するために、前記プロセスを制約するように構成された制約モジュールと
を備えるプロセス制約のためのシステム。 - 前記システムコールモニタが、コールスタックを含んでいないシステムコール情報の限定されたサブセットを収集するように構成された、請求項8に記載のシステム。
- 前記プロセッサが、前記プロセスがアイドル状態にあるかどうかを検出するために、プロセッサの活動を監視するようにさらに構成された、請求項8に記載のシステム。
- 前記プロセッサが、前記プロセスが反復しているかどうかを検出するために、前記システムコール情報からタイムスタンプ情報を削除するようにさらに構成された、請求項8に記載のシステム。
- 前記プロセッサが、前記プロセスが反復しているかどうかを検出するために、相関するシーケンスに一致するように元のシーケンスをシフトし、対応するペアのタイムスタンプ間の平均差を比較することによって時間チェックを実行するようにさらに構成された、請求項11に記載のシステム。
- 前記プロセッサが、前記プロセスが反復しているかどうかを検出するために、前記平均差としきい値を比較して、前記相関するシーケンスが真であるかどうかを判定するようにさらに構成された、請求項12に記載のシステム。
- 前記制約モジュールが、前記プロセスの通常動作を学習し、前記通常動作から逸脱するシステムコールを識別するようにさらに構成された、請求項8に記載のシステム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201461993762P | 2014-05-15 | 2014-05-15 | |
US61/993,762 | 2014-05-15 | ||
US14/712,421 | 2015-05-14 | ||
US14/712,421 US9602528B2 (en) | 2014-05-15 | 2015-05-14 | Discovering and constraining idle processes |
PCT/US2015/030950 WO2015175865A1 (en) | 2014-05-15 | 2015-05-15 | Discovering and constraining idle processes |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017516246A true JP2017516246A (ja) | 2017-06-15 |
JP6254329B2 JP6254329B2 (ja) | 2017-12-27 |
Family
ID=54480731
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017504635A Active JP6254329B2 (ja) | 2014-05-15 | 2015-05-15 | アイドルプロセスの発見および制約 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9602528B2 (ja) |
EP (1) | EP3143546B1 (ja) |
JP (1) | JP6254329B2 (ja) |
WO (1) | WO2015175865A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019067065A (ja) * | 2017-09-29 | 2019-04-25 | 富士通株式会社 | 検知プログラム、装置、及び方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06214809A (ja) * | 1993-01-18 | 1994-08-05 | Toshiba Corp | 計算機システム |
US5416726A (en) * | 1992-10-06 | 1995-05-16 | Microsoft Corporation | Method and system for placing a computer in a reduced power state |
JP2007148818A (ja) * | 2005-11-28 | 2007-06-14 | Ntt Docomo Inc | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
JP2010267128A (ja) * | 2009-05-15 | 2010-11-25 | Ntt Docomo Inc | 解析システム、解析装置、検知方法、解析方法及びプログラム |
US20130312093A1 (en) * | 2012-05-15 | 2013-11-21 | F-Secure Corporation | Foiling a Document Exploit Attack |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6775780B1 (en) * | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
US7725545B2 (en) * | 2004-02-20 | 2010-05-25 | Sybase 365, Inc. | Dual use counters for routing loops and spam detection |
US7712137B2 (en) * | 2006-02-27 | 2010-05-04 | Microsoft Corporation | Configuring and organizing server security information |
US8719190B2 (en) * | 2007-07-13 | 2014-05-06 | International Business Machines Corporation | Detecting anomalous process behavior |
GB0816556D0 (en) * | 2008-09-10 | 2008-10-15 | Univ Napier | Improvements in or relating to digital forensics |
IL197477A0 (en) * | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
-
2015
- 2015-05-14 US US14/712,421 patent/US9602528B2/en active Active
- 2015-05-15 WO PCT/US2015/030950 patent/WO2015175865A1/en active Application Filing
- 2015-05-15 EP EP15792336.8A patent/EP3143546B1/en active Active
- 2015-05-15 JP JP2017504635A patent/JP6254329B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5416726A (en) * | 1992-10-06 | 1995-05-16 | Microsoft Corporation | Method and system for placing a computer in a reduced power state |
JPH06214809A (ja) * | 1993-01-18 | 1994-08-05 | Toshiba Corp | 計算機システム |
JP2007148818A (ja) * | 2005-11-28 | 2007-06-14 | Ntt Docomo Inc | ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法 |
JP2009238153A (ja) * | 2008-03-28 | 2009-10-15 | Nec Corp | マルウェア対処システム、方法及びプログラム |
JP2010267128A (ja) * | 2009-05-15 | 2010-11-25 | Ntt Docomo Inc | 解析システム、解析装置、検知方法、解析方法及びプログラム |
US20130312093A1 (en) * | 2012-05-15 | 2013-11-21 | F-Secure Corporation | Foiling a Document Exploit Attack |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019067065A (ja) * | 2017-09-29 | 2019-04-25 | 富士通株式会社 | 検知プログラム、装置、及び方法 |
Also Published As
Publication number | Publication date |
---|---|
JP6254329B2 (ja) | 2017-12-27 |
US9602528B2 (en) | 2017-03-21 |
US20150334128A1 (en) | 2015-11-19 |
EP3143546A1 (en) | 2017-03-22 |
WO2015175865A1 (en) | 2015-11-19 |
EP3143546A4 (en) | 2017-11-15 |
EP3143546B1 (en) | 2021-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3205072B1 (en) | Differential dependency tracking for attack forensics | |
CN105787248B (zh) | 基于时间序列数据的分析的异常感测和预测系统及方法 | |
US9954882B2 (en) | Automatic baselining of anomalous event activity in time series data | |
US10558545B2 (en) | Multiple modeling paradigm for predictive analytics | |
JP6557774B2 (ja) | プロセストレースを用いたグラフベースの侵入検知 | |
WO2016095626A1 (zh) | 监控进程的方法和装置 | |
US20130246001A1 (en) | Device monitoring system and method | |
KR102534334B1 (ko) | 컴퓨팅 디바이스들에서 프로세스들에 대한 소프트웨어 공격들의 검출 | |
US20130305080A1 (en) | Real-Time Event Storm Detection in a Cloud Environment | |
US20150074808A1 (en) | Rootkit Detection in a Computer Network | |
Du et al. | ATOM: efficient tracking, monitoring, and orchestration of cloud resources | |
US6950773B1 (en) | Detecting thermal anomalies in computer systems based on correlations between instrumentation signals | |
US10452841B1 (en) | Modeling malicious behavior that occurs in the absence of users | |
Pundir et al. | RanStop: A hardware-assisted runtime crypto-ransomware detection technique | |
Rajput et al. | Remote non-intrusive malware detection for plcs based on chain of trust rooted in hardware | |
US11487875B1 (en) | Anomaly detection based on side-channel emanations | |
JP6254329B2 (ja) | アイドルプロセスの発見および制約 | |
KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
Liu et al. | Methodology of assessing information leakage through software-accessible telemetries | |
Zhao et al. | Applying chaos theory for runtime hardware Trojan detection | |
Taerat et al. | Blue gene/l log analysis and time to interrupt estimation | |
KR101988747B1 (ko) | 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치 | |
O'Shea et al. | A Wavelet-inspired Anomaly Detection Framework for Cloud Platforms. | |
KR101310070B1 (ko) | 프로그램간의 충돌을 예방하는 방법 및 그 방법이 기록된 기록매체 | |
Abbas et al. | Power profile based runtime anomaly detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170920 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171010 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171031 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171114 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171129 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6254329 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |