JP2018524716A5 - - Google Patents
Download PDFInfo
- Publication number
- JP2018524716A5 JP2018524716A5 JP2017566782A JP2017566782A JP2018524716A5 JP 2018524716 A5 JP2018524716 A5 JP 2018524716A5 JP 2017566782 A JP2017566782 A JP 2017566782A JP 2017566782 A JP2017566782 A JP 2017566782A JP 2018524716 A5 JP2018524716 A5 JP 2018524716A5
- Authority
- JP
- Japan
- Prior art keywords
- metadata
- generality
- exception
- activity
- highly
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000694 effects Effects 0.000 claims description 84
- 238000001514 detection method Methods 0.000 claims description 65
- 230000015654 memory Effects 0.000 claims description 34
- 238000000034 method Methods 0.000 claims description 27
- 230000002093 peripheral Effects 0.000 claims description 11
- 230000003278 mimic Effects 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 5
- 230000001788 irregular Effects 0.000 claims 4
- 230000001568 sexual Effects 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 230000002159 abnormal effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001413 cellular Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000006011 modification reaction Methods 0.000 description 3
- 235000010384 tocopherol Nutrition 0.000 description 3
- 235000019731 tricalcium phosphate Nutrition 0.000 description 3
- 230000002547 anomalous Effects 0.000 description 2
- 230000001902 propagating Effects 0.000 description 2
- 241000257465 Echinoidea Species 0.000 description 1
- 210000001624 Hip Anatomy 0.000 description 1
- 230000002596 correlated Effects 0.000 description 1
- 230000000875 corresponding Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
- 230000001360 synchronised Effects 0.000 description 1
Images
Description
[関連出願への相互参照]
本出願は、2015年6月27日に出願された、「マルウェアを特定するための変則検知」と題された米国非仮(実用)特許出願第14/752,893号の利益および優先権を主張し、それはその全体において参照によって本明細書に組み込まれる。
本出願は、2015年6月27日に出願された、「マルウェアを特定するための変則検知」と題された米国非仮(実用)特許出願第14/752,893号の利益および優先権を主張し、それはその全体において参照によって本明細書に組み込まれる。
本開示は、概して、情報セキュリティの分野に関し、より具体的には、マルウェアを特定するための変則検知に関する。
今日の社会において、ネットワークセキュリティの分野はますます重要になってきている。インターネットは、世界中の異なるコンピュータネットワークの相互接続を可能にしている。特に、インターネットは、様々なタイプのクライアントデバイスを介して、異なるコンピュータネットワークに接続された異なるユーザの間でデータを交換するための媒体を提供する。インターネットの使用が企業のコミュニケーションおよび個人のコミュニケーションを変えた一方、それは、また、悪意のある操作者がコンピュータおよびコンピュータネットワークへの不正アクセスを得るための、および、機密情報の意図的なまたは不注意による開示のための、手段として使用されている。
ホストコンピュータに感染する、悪意のあるソフトウェア(「マルウェア」)は、ホストコンピュータと関連づけられた企業または個人から機密情報を盗取する、他のホストコンピュータに伝播する、および/または、分散型サービス妨害攻撃を支援する、ホストコンピュータからのスパムまたは悪意のあるeメールを送信する、などの、任意の数の悪意のある動作を実行することが可能であり得る。従って、コンピュータおよびコンピュータネットワークを、悪意のあるソフトウェアおよびデバイスによる、悪意のある、および不注意なエクスプロイトから保護するための、著しい管理課題が残っている。
本開示、ならびにその特徴および利点のより完全な理解を提供するように、添付の図面と共に用いられる以下の説明が参照される。同様の参照符号は同様の部分を表す。
図面は、それらの寸法が本開示の範囲から大幅に逸脱することなく変わり得るので、必ずしも縮尺通りに描かれてはいない。
[例示的な実施形態]
図1Aは、本開示の一実施形態による、マルウェアを特定するための変則検知のための通信システム100aの簡略ブロック図である。図1Aに示されるように、通信システム100aは、電子デバイス102a−102d、クラウドサービス104、およびサーバ106を含み得る。1または複数の電子デバイス102a−102dは各々、メモリ110、プロセッサ112、例外検知モジュール114、1または複数のプロセス116a−116c、および複数のハードウェア118aおよび118bを含み得る。例外検知モジュール114は、メタデータデータベース120を含み得る。1または複数の周辺機器122aおよび122bは、1または複数の電子デバイス102a−102dと接続し得る。クラウドサービス104およびサーバ106は各々、ネットワーク例外検知モジュール124を含み得る。ネットワーク例外検知モジュール124は、メタデータデータベース120を含み得る。電子デバイス102a−102dと、クラウドサービス104と、サーバ106とは、ネットワーク108を用いて互いに通信し得る。
図1Aは、本開示の一実施形態による、マルウェアを特定するための変則検知のための通信システム100aの簡略ブロック図である。図1Aに示されるように、通信システム100aは、電子デバイス102a−102d、クラウドサービス104、およびサーバ106を含み得る。1または複数の電子デバイス102a−102dは各々、メモリ110、プロセッサ112、例外検知モジュール114、1または複数のプロセス116a−116c、および複数のハードウェア118aおよび118bを含み得る。例外検知モジュール114は、メタデータデータベース120を含み得る。1または複数の周辺機器122aおよび122bは、1または複数の電子デバイス102a−102dと接続し得る。クラウドサービス104およびサーバ106は各々、ネットワーク例外検知モジュール124を含み得る。ネットワーク例外検知モジュール124は、メタデータデータベース120を含み得る。電子デバイス102a−102dと、クラウドサービス104と、サーバ106とは、ネットワーク108を用いて互いに通信し得る。
図1Bは、本開示の一実施形態による、マルウェアを特定するための変則検知のための通信システム100bの簡略ブロック図である。図1Bに示されるように、通信システム100bは、電子デバイス102e−102g、クラウドサービス104、およびサーバ106を含み得る。電子デバイス102e−102gは、ローカルネットワーク128を用いて互いに通信し得る。ローカルネットワーク128は、電子デバイス102hを含み得る。電子デバイス102hは、ローカルネットワーク例外検知モジュール130を含み得る。ローカルネットワーク例外検知モジュール130は、メタデータデータベース120を含み得る。ローカルネットワーク128は、ネットワーク108を用いて、クラウドサービス104およびサーバ106と通信し得る。
例示的な実施形態において、通信システム100aおよび100bは、本開示の一実施形態によるマルウェアを特定するための変則検知のために構成され得る。例外検知モジュール114、ネットワーク例外検知モジュール124、およびローカルネットワーク例外検知モジュール130は、デバイスの挙動を理解し、ネットワーク上の各デバイスについて、デバイスの評価値を評価するように構成され得る。通信システム100aおよび100bは、また、アプリケーションまたはアクティビティに関連づけられたネットワークトラフィックにおけるコンテンツに基づいて、不審なアプリケーションまたはアクティビティを特定するように構成される。例えば、通信システム100aおよび100bは、システムのアクティビティを監視し、監視されたアクティビティをシステムのメタデータと比較し、潜在的に悪意のあるオブジェクトを検知すべく、一般性の低い例外(low prevalence outliers)を特定するように構成され得る。例えば、例外検知モジュール114は、プロセス116a−116c、ハードウェア118aおよび118b、および周辺機器122aおよび122bの挙動を理解し、プロセス116a−116c、ハードウェア118aおよび118b、ならびに周辺機器122aおよび122bの一般性の低い例外または変則的な挙動の認識によって、不審なアクティビティを特定するように構成され得る。また、ネットワーク例外検知モジュール124は、電子デバイス102a−102dの挙動を理解し、電子デバイス102a−102dの一般性の低い例外または変則的な挙動の認識によって、不審なアクティビティを特定するように構成され得る。さらに、ローカルネットワーク例外検知モジュール130は電子デバイス102e−102gの挙動を理解し、電子デバイス102e−102gの一般性の低い例外または変則的な挙動の認識によって、不審なアクティビティを特定するように構成され得る。メタデータデータベース120は、システム上のオブジェクトの挙動の理解を容易にするための、システム内の各オブジェクトに関するメタデータを含み得る。一例において、メタデータデータベース120は、通信システム100aおよび100bにおいて発見された各例外の普及度および期間、または、通信システム100aおよび100bに存在し得る共通に知られた例外の共通の普及度および期間(可能ならば)を含み得る。
例外検知モジュール114およびネットワーク例外検知モジュール124は、メタデータデータベース120を用いて、一般性の低い例外を判断し、および、一般性の低い例外がデバイス、プロセス、またはオブジェクトからの悪意のあるアクティビティをいつ示し得るかを判断し得る。例えば、例外検知モジュール114およびネットワーク例外検知モジュール124は、通信システム100aおよび100bにおけるオブジェクト(例えば、電子デバイス102a−102g、プロセス116a−116c、ハードウェア118aおよび118b、周辺機器122aおよび122bなど)のアクティビティを監視し、監視されたアクティビティをシステムのメタデータと比較し、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定するように構成され得る。一例において、監視されるアクティビティは、ポリモーフィック型の脅威を特定するための、システムにおけるオブジェクト(例えば、電子デバイス、プロセス、ハードウェア、周辺機器など)のメタデータの分析を含み得る。より具体的には、ファイル名の再使用、オブジェクトのフィンガープリントは同様だがハッシュが異なりその他の点では同一であるオブジェクトといった、ポリモーフィズム(polymorphism:同種異像)の指標を特定することによって、ポリモーフィック型の脅威の特定を容易にすべく、複数のシステムからのオブジェクトメタデータが比較され得る。ポリモーフィック型のオブジェクトは、別のオブジェクトと似ているが、ファイルジオメトリ、ファイルの暗号ハッシュなどの領域でのみ僅かに異なり、この相違が、オブジェクトが各システム上にどのように示されるかの指標となり得る。監視されるアクティビティは、別のオブジェクトのメタデータを再使用するオブジェクトを検知するための、システムのオブジェクトの再使用の分析をまた含み得る。例えば、一般的なオブジェクトによって用いられるファイル名などのメタデータを再使用するがその他の点では一般性の低いオブジェクトであるといった、一般性の低いオブジェクトは、かなり異なる(例えば、svchost.exeが、悪意のアプリケーションによって再使用される共通のファイル名である)。一般性の低い例外の期間が、潜在的に悪意のあるアクティビティを検知するために、少なくとも部分的に用いられ得る。一例において、各例外の普及度および期間は、例外検知モジュール114および/またはネットワーク例外検知モジュール124によって判断され得、比較的普及した、新しい例外は、悪意のあるアクティビティの指標となり得る。
図1の複数の要素は、任意の好適な(有線または無線)接続を採用する1または複数のインタフェースを通じて互いに結合され得、それはネットワーク(例えば、ネットワーク108、ローカルネットワーク128など)通信のための実行可能な経路を提供する。加えて、図1のそれらの要素の任意の1または複数は、特定の構成の必要性に基づいて、組み合わされ得、または、アーキテクチャから取り除かれ得る。通信システム100aおよび100bは、ネットワークにおけるパケットの送信または受信のための、伝送制御プロトコル/インターネットプロトコル(TCP/IP)通信が可能な構成を含み得る。通信システム100aおよび100bは、必要に応じて、および特定の必要性に基づいて、ユーザデータグラムプロトコル/IP(UDP/IP)または任意の他の好適なプロトコルと共に、また動作し得る。
通信システム100aおよび100bの特定の例の技術を示す目的で、ネットワーク環境をトラバースし得る通信を理解することが重要である。以下の基礎的情報は、本開示が適切に説明され得る根拠とみなされ得る。
現在、マルウェアはしばしば、マルウェアが動作する環境に、存在することが予期されるオブジェクトを模倣することによって、マルウェア自体を隠すことを試みる。マルウェアが模倣し得るオブジェクトは、様々なメタデータ、ファイル名、プロセス名、ファイルプロパティ、レジストリキーなどであり得る。この技術は、しばしば、ユーザおよび管理者からマルウェアを隠すためにうまく動作する。マルウェアが用いる模倣のプロセスを利用して、マルウェアを検知および特定できる方法が必要である。
図1Aおよび図1Bに概説されるような、マルウェアを特定するための変則検知のための通信システムが、これらの(および他の)課題を解決し得る。通信システム100aおよび100bは、集中化されたデータストア(例えば、メタデータデータベース120)を用いて、共通のアプリケーションおよびプロセスのメタデータを特定して、例外を特定するように構成され得る。検知アルゴリズムは、集中化されたデータストア(例えば、メタデータデータベース120)と共に動作して、環境内の一般性の高い、一様なオブジェクトを発見し、および、一般性の低い例外を探して、潜在的に悪意のあるオブジェクトを特定し得る。このプロセスは、人間の調査員が、システム上で異常な挙動を検査する場合に行うことと同様であり、通信システム100aおよび100bが、調査員および管理者が実現不可能な規模で、このタイプのロジックを自動化することを可能にし得る。
例外検知モジュール114およびローカルネットワーク例外検知モジュール130は、メタデータの例外を特定すべく、集中化されたデータストア(例えば、メタデータデータベース120)を用いると、通信システム100aおよび100bにおける一般性の高い、一様なオブジェクトを特定し、且つ、一般性の低い例外を探して、潜在的に悪意のオブジェクトを特定することができる。通信システム100aおよび100b、または通信システム100aおよび100bの一部分の分析は、スケジュールされたプロセスであってよく、一般性が高く、且つ、過去に例外があったとしてもわずかであるようなオブジェクトに対する例外を探す。(例えば、MSIExecは常に署名される。署名されていないMSIExecの1つの独特のインスタンスが、最新の分析で出現した場合、それは、悪意のあるアクティビティを示し得る)。これを拡張していくと、文脈の中で、新しい例外の上位集合を検査することになる。例えば、最新の分析の最中に、単一のシステムがVSEまたはHIPSの脅威イベントを有し、例外検知モジュール114が、17個の非常に珍しい例外を特定したならば、そのシステムは、悪意のあるアクティビティに遭遇している可能性が非常に高い。分析はまた、電子デバイスからのクエリへの応答などの、オンデマンドであり得る。クエリは、デバイスまたはネットワーク上の潜在的に悪意のある挙動に応答して行われるものであってよく、クエリは、通信システム100aおよび100b内の潜在的に悪意のある挙動、または一般的な挙動の位置を確認するために用いられ得る。例えば、ネットワーク例外検知モジュール124が、ローカルネットワークから、異常な量の例外アクティビティを検知している場合、ローカルネットワーク例外検知モジュール130は、その異常な量の例外アクティビティの出所が電子デバイス102eであるとトレースすることが可能であり得る。電子デバイス102eは、例外検知モジュール114を含み得、その異常な量の例外アクティビティのソースが、プロセス、周辺機器またはハードウェアであるとトレースし得る。
例外検知モジュール114およびローカルネットワーク例外検知モジュール130による分析は、環境内の1つのバイナリを除き、他のあらゆるバイナリインスタンスには有効な署名があるというような、ポリモーフィック型であり得る。分析はまた、オートランレジストリキーが環境内の他のものと合致しない、独特の値であるというような、オブジェクトの再使用を探してもよい。例えば、オートランレジストリキーのターゲットファイル群は、Adobeによって署名されているが、問題になっているターゲットバイナリは、唯一署名されていない。分析はまた、ファイル名を含み得る。例えば、一般に用いられるファイル(例えば、msiexec.exe)が、独特の位置にあり、独特のバイナリプロパティ(例えば、パック/アンパック、32/64ビットなど)を有する。一例において、ロジックの組み合わせは、例外検知モジュール114およびローカルネットワーク例外検知モジュール130によって成され得る。いくつかのプロパティ(例えば、ファイルバージョン情報)は、ダイナミックでありユビキタスではないように意図されている。他の点では同一のバイナリが、ネイティブWin32から.NETファイル構造に変更されることはありそうにない。一例において、ロジックエンジンは、メタデータの変化に異なる重みづけをするように構成され得る。
一実施形態において、ネットワーク例外検知モジュール124およびローカルネットワーク例外検知モジュール130は、ネットワークトラフィックを受動的にリッスンして、各電子デバイスとの間を行き来するネットワークトラフィックを監視するように構成され得る。一例において、ネットワークにおける1または複数の電子デバイス(例えば、電子デバイス102a−102d)は、ネットワークトラフィックを監視して、各々の電子デバイスとの間を行き来するネットワークトラフィックに基づいてアラートを提供するための例外検知モジュール114を各々含み得る。別の例において、中央ネットワークゲートウェイデバイス(例えば、電子デバイス102h)は、ローカルネットワーク例外検知モジュール130を用いて、トラフィックを監視し、情報アラートの提供に加えて、不審な挙動に自動的に対処することができる。
図1Aおよび図1Bのインフラストラクチャに移ると、例示的な実施形態による通信システム100aおよび100bが示される。概して、通信システム100aおよび100bは、任意の種類またはトポロジのネットワークにおいて実装され得る。ネットワーク108は、通信システム100aおよび100bを通じて伝播する情報のパケットを受信および送信する、相互接続された通信経路の一連のポイントまたはノードを示す。ネットワーク108は、ノード間の通信インタフェースを提供し、任意のローカルエリアネットワーク(LAN)、仮想ローカルエリアネットワーク(VLAN)、ワイドエリアネットワーク(WAN)、無線ローカルエリアネットワーク(WLAN)、メトロポリタンエリアネットワーク(MAN)、イントラネット、エクストラネット、仮想プライベートネットワーク(VPN)、および、ネットワーク環境において通信を容易にする任意の他の適切なアーキテクチャまたはシステム、または、それらの任意の好適な組み合わせとして、有線および/または無線通信を含んで構成され得る。ローカルネットワーク128は、電子デバイス102e−102gを通じて伝播する情報のパケットを受信および送信する、相互接続された通信経路の一連のポイントまたはノードを示す。ローカルネットワーク128は、ノード間の通信インタフェースを提供し、任意のローカルエリアネットワーク(LAN)、仮想ローカルエリアネットワーク(VLAN)、および、ネットワーク環境において通信を容易にする任意の他の適切なアーキテクチャまたはシステム、または、それらの任意の好適な組み合わせとして、有線および/または無線通信を含んで構成され得る。
通信システム100aおよび100bにおいて、パケット、フレーム、信号、データなどを含むネットワークトラフィックは、任意の好適な通信メッセージングプロトコルによって送信され得、および受信され得る。好適な通信メッセージングプロトコルは、開放型システム間相互接続(OSI)モデル、または、それらの任意の派生または変形(例えば、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザデータグラムプロトコル/IP(UDP/IP))、などの多層スキームを含み得る。加えて、セルラネットワークにわたる無線信号通信もまた、通信システム100aおよび100bにおいて、提供されてよい。好適なインタフェースおよびインフラストラクチャが、セルラネットワークとの通信を可能にするように提供されてよい。
本明細書で用いられる用語「パケット」は、パケット交換ネットワーク上のソースノードと宛先ノードとの間でルーティングされ得るデータの単位を指す。パケットは、ソースネットワークアドレスおよび宛先ネットワークアドレスを含む。これらのネットワークアドレスは、TCP/IPメッセージングプロトコルにおけるインターネットプロトコル(IP)アドレスであり得る。本明細書で用いられる用語「データ」は、電子デバイスおよび/またはネットワークにおいて、1つのポイントから別のポイントへ通信され得る任意の適切なフォーマットの、任意の種類のバイナリ、数値、音声、ビデオ、テキスト、もしくはスクリプトデータ、もしくは、任意の種類のソースもしくはオブジェクトコード、または、任意の他の好適な情報を指す。加えて、メッセージ、要求、応答、およびクエリはネットワークトラフィックの形態であり、従って、パケット、フレーム、信号、データなどを備え得る。
例示的な実装において、電子デバイス102a−102h、クラウドサービス104、およびサーバ106はネットワーク要素であり、それらは、ネットワーク環境において情報を交換するように操作可能な、ネットワーク機器、サーバ、ルータ、スイッチ、ゲートウェイ、ブリッジ、ロードバランサ、プロセッサ、モジュール、または、任意の他の好適なデバイス、コンポーネント、要素、もしくはオブジェクトを包含することが意図される。ネットワーク要素は、それらの操作を容易にする、任意の好適なハードウェア、ソフトウェア、コンポーネント、モジュール、または、オブジェクト、ならびに、ネットワーク環境においてデータまたは情報を受信、送信、および/または別の方法で通信するために好適なインタフェースを含み得る。これは、データまたは情報の効果的な交換を可能にする適切なアルゴリズムおよび通信プロトコルを含み得る。
通信システム100aおよび100bに関連づけられた内部構造に関して、電子デバイス102a−102h、クラウドサービス104、およびサーバ106の各々は、本明細書に概説される操作において用いられる情報を格納するための複数のメモリ要素を含み得る。電子デバイス102a−102h、クラウドサービス104、およびサーバ106の各々は、任意の好適なメモリ要素(例えば、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、消去可能プログラマブルROM(EPROM)、電気的消去可能プログラマブルROM(EEPROM)、特定用途向け集積回路(ASIC)など)、ソフトウェア、ハードウェア、ファームウェア、または、必要に応じて、および特定の必要性に基づいて、任意の他の好適なコンポーネント、デバイス、要素、もしくはオブジェクトに、情報を保持し得る。本明細書で説明された任意のメモリアイテムは、広義の用語「メモリ要素」の中に包含されると解釈されるべきである。さらに、通信システム100aおよび100bにおいて用いられ、トラッキングされ、送信され、または受信される情報は、任意のデータベース、レジスタ、キュー、テーブル、キャッシュ、制御リスト、または他のストレージ構造において提供され得、それらの全ては、任意の好適な時間枠で参照され得る。任意のそのようなストレージの選択肢が、本明細書で用いられる広義の用語「メモリ要素」の中に、また含まれ得る。
特定の例示的な実装において、本明細書に概説される機能は、非一時的コンピュータ読み取り可能媒体を含み得る1または複数の有形媒体において符号化されるロジック(例えば、ASICに提供される組み込みロジック、デジタル信号プロセッサ(DSP)命令、プロセッサまたは他の同様の機械によって実行されるソフトウェア(オブジェクトコードおよびソースコードを潜在的に含む)、など)によって実装され得る。これらの例のいくつかにおいて、メモリ要素は、本明細書に説明された操作のために用いられるデータを格納し得る。これは、本明細書に説明されたアクティビティを遂行するように実行される、ソフトウェア、ロジック、コード、またはプロセッサ命令を格納可能なメモリ要素を含む。
例示的な実装において、電子デバイス102a−102h、クラウドサービス104、およびサーバ106などの通信システム100aおよび100bのネットワーク要素は、本明細書に概説される操作を実現または促進する、ソフトウェアモジュール(例えば、例外検知モジュール114およびネットワーク例外検知モジュール124)を含み得る。これらのモジュールは、特定の構成および/またはプロビジョニングの必要性に基づき得る、任意の適切な態様で好適に組み合わされ得る。例示的な実施形態において、そのような操作は、ハードウェアによって遂行され得、それらの要素の外部に実装され得、または、意図される機能を実現する何らかの他のネットワークデバイスに含まれ得る。さらに、モジュールは、ソフトウェア、ハードウェア、ファームウェア、またはそれらの任意の好適な組み合わせとして実装され得る。これらの要素は、本明細書に概説されるような動作を実現させるように、他のネットワーク要素と連携し得るソフトウェア(またはレシプロケーティングソフトウェア(reciprocating software))をまた含み得る。
加えて、電子デバイス102a−102h、クラウドサービス104、およびサーバ106の各々は、本明細書に説明されたようなアクティビティを実行するソフトウェアまたはアルゴリズムを実行可能なプロセッサを含み得る。プロセッサは、本明細書で詳述された操作を実現するように、データと関連づけられた任意の種類の命令を実行し得る。一例において、プロセッサは、要素または物品(例えば、データ)を、1つの状態または物から、別の状態または物に変換し得る。別の例において、本明細書に概説されるアクティビティは、固定されたロジックまたはプログラム可能なロジック(例えば、プロセッサによって実行されるソフトウェア/コンピュータ命令)によって実装され得、本明細書において特定される要素は、デジタルロジック、ソフトウェア、コード、電子命令、またはそれらの任意の好適な組み合わせを含む、何らかのタイプのプログラム可能なプロセッサ、プログラム可能なデジタルロジック(例えば、フィールドプログラマブルゲートアレー(FPGA)、EPROM、EEPROM)、またはASICであり得る。本明細書で説明される、任意の潜在的な処理要素、モジュールおよび機械は、広義の用語「プロセッサ」の中に包含されると解釈されるべきである。
電子デバイス102a−102hは各々、ネットワーク要素であり得、例えば、デスクトップコンピュータ、ラップトップコンピュータ、モバイルデバイス、パーソナルデジタルアシスタント、スマートフォン、タブレット、または他の同様のデバイスを含む。クラウドサービス104は、クラウドサービスを電子デバイス102a−hに提供するように構成される。クラウドサービス104は、インターネットなどのネットワークにわたるサービスとして供給されるコンピューティングリソースの使用として、概して定義され得る。通常、計算、ストレージ、およびネットワークリソースがクラウドインフラストラクチャにおいて提供され、ワークロードをローカルネットワークからクラウドネットワークへ効果的にシフトする。サーバ106は、サーバまたは仮想サーバなどのネットワーク要素であり得、何らかのネットワーク(例えば、ネットワーク108)を介して通信システム100aおよび100bにおいて通信を開始することを所望しているクライアント、顧客、エンドポイント、またはエンドユーザに関連づけられ得る。用語「サーバ」は、通信システム100aおよび100bの中のクライアントの要求を果たす、および/または、クライアントの代わりにいくらかの計算のタスクを実行するように用いられるデバイスを含む。例外検知モジュール114が電子デバイス102aに位置するものとして図1Aに表されているが、これは例示目的のみである。例外検知モジュール114は、任意の好適な構成において組み合わされ、または分離され得る。さらに、ローカルネットワーク例外検知モジュール130が電子デバイス102hに位置するものとして図1Bに表されているが、これは例示のみの目的である。ローカルネットワーク例外検知モジュール130は、任意の好適な構成において組み合わされ、または分離され得る。さらに、例外検知モジュール114およびローカルネットワーク例外検知モジュール130は各々、クラウドサービス104またはサーバ106などの電子デバイス102a−fによってアクセス可能な別のネットワークと統合され得、または、別のネットワーク内に分散され得る。
図2に移ると、図2は、一実施形態による、マルウェアを特定するための変則検知に関連づけられ得るフロー200の可能な工程を示す、例示的なフローチャートである。一実施形態において、フロー200の1または複数の工程は、例外検知モジュール114、ローカルネットワーク例外検知モジュール130、およびネットワーク例外検知モジュール124によって実行され得る。202において、デバイスがネットワークに接続される。204において、システムは、当該デバイスのメタデータが、ネットワークの外部で利用可能かどうか判断する。例えば、システムは、当該デバイスの普及度、期間、および他のメタデータが、ネットワークの外部で利用可能かどうか判断し得る。当該デバイスのメタデータがネットワークの外部で利用可能でない場合、208に示されるように、システムは、同様のタイプのデバイスがネットワークに接続されているかどうか判断する。当該デバイスのメタデータがネットワークの外部で利用可能である場合、206に示されるように、当該デバイスのメタデータがネットワークの外部から取得される。208において、システムは、同様のタイプのデバイスがネットワークに接続されているかどうか判断する。
同様のタイプのデバイスがネットワークに接続されていない場合、212に示されるように、当該デバイスのアクティビティがネットワーク上で観測される。同様のタイプのデバイスがネットワークに接続されている場合、同様のタイプのデバイスのメタデータが、当該デバイスのメタデータに追加される。212において、当該デバイスのアクティビティがネットワーク上で観測される。
214において、当該デバイスからのメタデータが生成される。216において、システムは、当該デバイスの生成されたメタデータが変更される必要があるかどうか判断する。当該デバイスの生成されたメタデータが変更される必要がある場合、218に示されるように、当該デバイスのメタデータは必要に応じて変更される。当該デバイスの生成されたメタデータが変更される必要がない場合、フローは終了し、当該デバイスのメタデータは変更されない。
図3に移ると、図3は、一実施形態による、マルウェアを特定するための変則検知に関連づけられ得るフロー300の可能な工程を示す、例示的なフローチャートである。一実施形態において、フロー300の1または複数の工程は、例外検知モジュール114、ローカルネットワーク例外検知モジュール130、およびネットワーク例外検知モジュール124によって実行され得る。302において、システムのメタデータが判断される。304において、システムのアクティビティが監視される。306において、システムは、システムのアクティビティが、システムの判断されたメタデータの範囲内にあるかどうか判断する。システムのアクティビティが、システムの判断されたメタデータの範囲内にある(例えば、例外がない)場合、304に示されるように、システムのアクティビティは監視され続ける。システムのアクティビティが、システムの判断されたメタデータの範囲内にない(例えば、例外が存在する)場合、308に示されるように、是正措置がとられる。例えば、是正措置は、マルウェアがないか、システムをスキャンすること、または、システムのアクティビティがシステムの判断されたメタデータの範囲内にないことに関するソース若しくは原因をトレースすることであり得る。
図4は、一実施形態による、ポイントツーポイント(PtP)構成に配置された、コンピューティングシステム400を示す。特に、図4は、プロセッサ、メモリ、および入力/出力デバイスが、複数のポイントツーポイントインタフェースによって相互結合されるシステムを示す。概して、通信システム100aおよび100bのネットワーク要素の1または複数は、コンピューティングシステム400と同じ、または同様の態様で構成され得る。
図4に示されるように、システム400は、いくつかのプロセッサを含み得、明確さのために、それらのうちプロセッサ470および480の2つのみが示される。2つのプロセッサ470および480が示される一方、システム400の実施形態は、また、そのようなプロセッサを1つのみ含み得ることが、理解されるべきである。プログラムの複数のスレッドを実行するように、プロセッサ470および480は各々、一組のコア(すなわち、プロセッサコア474Aおよび474B、ならびにプロセッサコア484Aおよび484B)を含み得る。コアは、図1−図3を参照して上に説明されたものと同様の態様で、命令コードを実行するように構成され得る。各プロセッサ470、480は、少なくとも1つの共有キャッシュ471、481を含み得る。共有キャッシュ471、481は、プロセッサコア474および484などの、プロセッサ470、480の1または複数のコンポーネントによって利用されるデータ(例えば、命令)を格納し得る。
プロセッサ470および480は各々、メモリ要素432および434と通信するための、統合されたメモリコントローラロジック(MC)472および482をまた含み得る。メモリ要素432および/または434は、プロセッサ470および480によって用いられる様々なデータを格納し得る。代替的な実施形態において、メモリコントローラロジック472および482は、プロセッサ470および480から独立した、個別のロジックであり得る。
プロセッサ470および480は、任意の種類のプロセッサであり得、ポイントツーポイントインタフェース回路478および488をそれぞれ用いて、ポイントツーポイント(PtP)インタフェース450を介してデータを交換し得る。プロセッサ470および480は各々、ポイントツーポイントインタフェース回路476、486、494および498を用いて、個別のポイントツーポイントインタフェース452および454を介して、チップセット490とデータを交換し得る。チップセット490は、PtPインタフェース回路であり得るインタフェース回路492を用いて、高性能グラフィックインタフェース439を介して、高性能グラフィック回路438とデータをまた交換し得る。代替的な実施形態において、図4に示されたPtPリンクのいずれかまたは全ては、PtPリンクではなくマルチドロップバスとして実装され得る。
チップセット490は、インタフェース回路496を介してバス420と通信し得る。バス420は、バスブリッジ418およびI/Oデバイス416などの、それを介して通信する1または複数のデバイスを有し得る。バス410を介して、バスブリッジ418は、キーボード/マウス412(または、タッチスクリーン、トラックボールなどの他の入力デバイス)、通信デバイス426(モデム、ネットワークインタフェースデバイス、または、コンピュータネットワーク460を通じて通信し得る他のタイプの通信デバイスなど)、オーディオI/Oデバイス414、および/またはデータストレージデバイス428などの、他のデバイスと通信し得る。データストレージデバイス428は、プロセッサ470および/または480によって実行され得る、コード430を格納し得る。代替的な実施形態において、バスアーキテクチャの任意の部分は、1または複数のPtPリンクで実装され得る。
図4に図示されたコンピュータシステムは、本明細書に説明された様々な実施形態を実装するように利用され得るコンピューティングシステムの実施形態の、概略的な例示である。図4に図示されたシステムの様々なコンポーネントは、システムオンチップ(SoC)アーキテクチャ、または任意の他の好適な構成で組み合わされ得ることが、理解されるであろう。例えば、本明細書に開示された実施形態は、スマートセルラ電話、タブレットコンピュータ、パーソナルデジタルアシスタント、携帯可能ゲームデバイスなどの、モバイルデバイスを含むシステム内に組み込まれ得る。これらのモバイルデバイスは、少なくともいくつかの実施形態において、SoCアーキテクチャを備え得ることが理解されるであろう。
図5に移ると、図5は、本開示の例示的なARMエコシステムSoC500と関連づけられた簡略ブロック図である。本開示の少なくとも1つの例示的な実装は、本明細書で説明された変則検知機能、およびARMコンポーネントを含み得る。例えば、図5の例は、任意のARMコア(例えば、A−7、A−15など)に関連づけられ得る。さらに、アーキテクチャは、任意の種類のタブレット、スマートフォン(Android(登録商標) phone、iPhone(登録商標)を含む)、iPad(登録商標)、Google Nexus(登録商標)、Microsoft Surface(登録商標)、パーソナルコンピュータ、サーバ、ビデオ処理コンポーネント、ラップトップコンピュータ(任意の種類のノートブックを含む)、Ultrabook(登録商標)システム、任意の種類のタッチ対応入力デバイスなどの一部であり得る。
図5のこの例において、ARMエコシステムSOC500は、液晶ディスプレイ(LCD)に結合するモバイルインダストリープロセッサインタフェース(MIPI)/高精細度マルチメディアインタフェース(HDMI(登録商標))リンクと関連づけられ得る、複数のコア506−507、L2キャッシュ制御508、バスインタフェースユニット509、L2キャッシュ510、グラフィック処理ユニット(GPU)515、インターコネクト502、ビデオコーデック520、およびLCD I/F525を含み得る。
ARMエコシステムSOC500は、加入者識別モジュール(SIM)I/F530、ブートリードオンリメモリ(ROM)535、シンクロナスダイナミックランダムアクセスメモリ(SDRAM)コントローラ540、フラッシュメモリコントローラ545、シリアル周辺機器インタフェース(SPI)マスター550、好適な電力制御555、ダイナミックRAM(DRAM)560、およびフラッシュメモリ565を、また含み得る。加えて、1または複数の例示的な実施形態は、1または複数の通信機能、インタフェース、ならびに、Bluetooth(登録商標)570、3Gモデム575、全地球測位システム(GPS)580、および802.11Wi−Fi585という例などの機能を含み得る。
操作において、図5の例は、様々なタイプのコンピューティング(例えば、モバイルコンピューティング、ハイエンドデジタルホーム、サーバ、無線インフラストラクチャなど)を可能にする比較的低い電力消費と共に、処理機能を提供し得る。さらに、そのようなアーキテクチャは、任意の数のソフトウェアアプリケーション(例えば、Android(登録商標)、Adobe(R) Flash(R)プレーヤ、Java(登録商標)プラットフォームスタンダードエディション(Java(登録商標)SE)、Java(登録商標)FX、Linux(登録商標)、Microsoft Windows(登録商標) Embedded、SymbianおよびUbuntuなど)を可能にし得る。少なくとも1つの例示的な実施形態において、コアプロセッサは、結合された低レイテンシのレベル2キャッシュを有するアウトオブオーダー・スーパースカラー・パイプラインを実装し得る。
図6は、一実施形態によるプロセッサコア600を示す。プロセッサコア600は、マイクロプロセッサ、組み込まれたプロセッサ、デジタル信号プロセッサ(DSP)、ネットワークプロセッサ、またはコードを実行する他のデバイスなど、任意の種類のプロセッサのためのコアであり得る。1つのみのプロセッサコア600が図6に示されているが、プロセッサは、図6に示されたプロセッサコア600のうちの1つより多くを、代替的に含み得る。例えば、プロセッサコア600は、図4のプロセッサ470および480を参照して示されおよび説明された、プロセッサコア474a、474b、484aおよび484bの1つの例示的な実施形態を示す。プロセッサコア600は、シングルスレッドコアであり得、または、少なくとも1つの実施形態に関して、プロセッサコア600は、コア毎に1つより多いハードウェアスレッドコンテキスト(または「論理プロセッサ」)を含み得るという点で、マルチスレッドであり得る。
図6は、一実施形態によるプロセッサコア600に結合されるメモリ602を、また示す。メモリ602は、知られているような、そうでなければ当業者に利用可能なような、任意の多種多様なメモリ(メモリ階層の様々な層を含む)であり得る。メモリ602は、プロセッサコア600によって実行される、1または複数の命令であり得るコード604を含み得る。プロセッサコア600は、コード604によって示される命令のプログラムシーケンスに従ってよい。各命令はフロントエンドロジック606に入り、1または複数のデコーダ608によって処理される。デコーダは、その出力として、予め定義されたフォーマットの固定幅マイクロオペレーションなどの、マイクロオペレーションを生成し得、または、オリジナルのコード命令を反映する他の命令、マイクロ命令、または制御信号を生成し得る。フロントエンドロジック606は、レジスタリネーミングロジック610およびスケジューリングロジック612をまた含み、それは概して、リソースを割り当て、実行のための命令に対応する操作をキューに登録する。
プロセッサコア600は、一組の実行ユニット616−1から616−Nを有する実行ロジック614を、また含み得る。いくつかの実施形態は、特定の機能または機能の組に専用の、複数の実行ユニットを含み得る。他の実施形態は、1つの実行ユニットのみ、または、特定の機能を実行し得る1つの実行ユニットを含み得る。実行ロジック614は、コード命令によって指定される動作を実行する。
コード命令によって指定される動作の実行の完了後、バックエンドロジック618は、コード604の命令をリタイアし得る。一実施形態において、プロセッサコア600は、アウトオブオーダー実行を可能にするが、命令のインオーダーリタイアメントを必要とする。リタイアメントロジック620は、様々な知られている形態(例えば、リオーダーバッファまたは同様のもの)を取り得る。本態様において、プロセッサコア600は、少なくとも、デコーダによって生成される出力、レジスタリネーミングロジック610によって利用されるハードウェアレジスタおよびテーブル、および実行ロジック614によって書き換えられた任意のレジスタ(示されない)の観点から、コード604の実行の最中に変換される。
図6には示されないが、プロセッサは、プロセッサコア600を有するチップ上の他の要素を含み得、その少なくともいくらかが図6を参照して本明細書で示されて説明される。例えば、図6に示されるように、プロセッサは、プロセッサコア600と共にメモリ制御ロジックを含み得る。プロセッサは、I/O制御ロジックを含み得、および/または、メモリ制御ロジックと統合されたI/O制御ロジックを含み得る。
本明細書に提供された例と共に、相互作用は、2つ、3つ、またはより多くのネットワーク要素の観点から説明され得ることに留意する。しかしながら、これは、明確さおよび例示のみの目的で成されている。特定の場合には、限られた数のネットワーク要素を参照するのみによって、所与の組のフローの機能の1または複数の説明がより容易になり得る。通信システム100aおよび100bおよびそれらの教示は、容易に拡張可能であり、多数のコンポーネント、ならびに、より複雑な/洗練された配置及び構成に対応し得ることが、理解されるべきである。従って、提供された例は、無数の他のアーキテクチャに潜在的に適用されるものとしての通信システム100aおよび100bの、範囲を制限すべきではなく、または、広い教示を阻むべきではない。
前述のフロー図(すなわち、図2および図3)における操作は、通信システム100aおよび100bによって、または通信システム100aおよび100bの中で実行され得る、起こり得る相関するシナリオおよびパターンのいくつかのみを示すことに留意することが、また重要である。これらの操作のいくつかは、必要に応じて削除され得、または取り除かれ得、または、これらの操作は、本開示の範囲から逸脱することなく、大幅に書き換えられ得、または変更され得る。加えて、これらの操作の多数は、1または複数の追加の動作と同時に、またはそれと並行して実行されるものとして、説明されてきた。しかしながら、これらの操作のタイミングは大幅に変更され得る。前述の操作フローは、例示および説明の目的で提供されている。任意の好適な配置、時系列、構成、およびタイミング機構が、本開示の教示から逸脱することなく提供され得るという点で、かなりの柔軟性が、通信システム100aおよび100bによって提供される。
本開示は特定の配置及び構成を参照して詳細に説明されているが、これらの例示的な構成および配置は、本開示の範囲から逸脱することなく、大幅に変更され得る。さらに、特定のコンポーネントが、特定の必要性および実装に基づいて、組み合わされ、分離され、除去され、または追加され得る。加えて、通信システム100aおよび100bは、通信処理を容易にする特定の要素及び動作を参照して示されるが、これらの要素及び動作は、通信システム100aおよび100bの意図される機能を実現する任意の好適なアーキテクチャ、プロトコル、および/またはプロセスによって置換され得る。
数多くの他の変化、代替、変形、変更、および修正が、本分野の当業者に確認され得、本開示は、添付の特許請求の範囲の中に属するそのような変化、代替、変形、変更、および修正を、全て包含することが意図されている。米国特許商標庁(USPTO)、および加えて、本出願に関して発行される任意の特許の任意の読者の助力となるように、本明細書に添付の特許請求の範囲の解釈において、出願人は、以下に留意することを望む。(a)出願人は、添付のいかなる請求項も、文言「ための手段」または「ための段階」が特定の請求項において具体的に用いられない限り、本明細書の出願の日において存在する米国特許法第112条第6パラグラフを発動させる意図はない。(b)出願人は、添付の特許請求の範囲に反映されない限り、本明細書におけるいかなる発言によっても、いかなる方法でも、本開示を限定する意図はない。
[他の注記および例]
[他の注記および例]
例C1は、少なくとも1つのプロセッサによって実行された場合、少なくとも1つのプロセッサに、システムにおけるオブジェクトのアクティビティを監視させ、監視されたアクティビティをシステムのメタデータと比較させ、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定させる、1または複数の命令を有する少なくとも1つの機械可読媒体である。
例C2において、例C1の主題は、監視されたアクティビティをシステムのメタデータと比較することが、ポリモーフィック型の脅威を特定するための、システムにおけるオブジェクトのメタデータの分析を含むことを、随意に含み得る。
例C3において、例C1−C2のうちの任意の1つの主題は、監視されたアクティビティをシステムのメタデータと比較することが、オブジェクトが別のオブジェクトからのメタデータを再使用することを検知するための、システムのオブジェクトの再使用の分析を含むことを、随意に含み得る。
例C4において、例C1−C3のうちの任意の1つの主題は、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外の期間が、少なくとも部分的に用いられることを、随意に含み得る。
例C5において、例C1−C4のうちの任意の1つの主題は、監視されたアクティビティがシステムのファイル名の分析を含むことを、随意に含み得る。
例C6において、例C1−C5のうちの任意の1つの主題は、潜在的に悪意のあるアクティビティがオブジェクトと関連づけられ、オブジェクトがマルウェアスキャンされることを、随意に含み得る。
例C7において、例C1−C6のうちの任意の1つの主題は、システムのメタデータが、システム上で監視された、前のアクティビティから生成されることを、随意に含み得る。
例C8において、例C1−C7のうちの任意の1つの主題は、システムのメタデータが、同様のシステムの他のメタデータに少なくとも部分的に基づくことを、随意に含み得る。
例A1において、電子デバイスは例外検知モジュールを含み得、例外検知モジュールは、システムにおけるオブジェクトのアクティビティを監視し、監視されたアクティビティをシステムのメタデータと比較し、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定するように構成される。
例A2において、例A1の主題は、監視されたアクティビティをシステムのメタデータと比較することが、ポリモーフィック型の脅威を特定するための、システムにおけるオブジェクトのメタデータの分析を含むことを、随意に含み得る。
例A3において、例A1−A2のうちの任意の1つの主題は、監視されたアクティビティをシステムのメタデータと比較することが、オブジェクトが別のオブジェクトからのメタデータを再使用することを検知するための、システムのオブジェクトの再使用の分析を含むことを、随意に含み得る。
例A4において、例A1−A3のうちの任意の1つの主題は、悪意のあるアクティビティを検知すべく、一般性の低い例外の期間が、少なくとも部分的に用いられることを、随意に含み得る。
例A5において、例A1−A4のうちの任意の1つの主題は、監視されたアクティビティがシステムのファイル名の分析を含むことを、随意に含み得る。
例A6において、例A1−A5のうちの任意の1つの主題は、潜在的に悪意のあるアクティビティがオブジェクトと関連づけられ、オブジェクトがマルウェアスキャンされることを、随意に含み得る。
例A7において、例A1−A6のうちの任意の1つの主題は、システムのメタデータが、システム上で監視された、前のアクティビティから生成されることを、随意に含み得る。
例A8において、例A1−A7のうちの任意の1つの主題は、システムのメタデータが、同様のシステムの他のメタデータに少なくとも部分的に基づくことを、随意に含み得る。
例M1は、システムにおけるオブジェクトのアクティビティを監視することと、監視されたアクティビティをシステムのメタデータと比較することと、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定することと、を含む方法である。
例M2において、例M1の主題は、監視されたアクティビティをシステムのメタデータと比較することが、ポリモーフィック型の脅威を特定するための、システム上のオブジェクトのメタデータの分析を含むことを、随意に含み得る。
例M3において、例M1−M2のうちの任意の1つの主題は、監視されたアクティビティをシステムのメタデータと比較することが、オブジェクトが別のオブジェクトからのメタデータを再使用することを検知するための、システムのオブジェクトの再使用の分析を含むことを、随意に含み得る。
例M4において、例M1−M3のうちの任意の1つの主題は、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外の期間が、少なくとも部分的に用いられることを、随意に含み得る。
例M5において、例M1−M4のうちの任意の1つの主題は、監視されたアクティビティがシステムのファイル名の分析を含むことを、随意に含み得る。
例M6において、例M1−M5のうちの任意の1つの主題は、潜在的に悪意のあるアクティビティをオブジェクトと関連づけることと、潜在的に悪意のあるオブジェクトに対しマルウェアのスキャンをすることとを、随意に含み得る。
例M7において、例M1−M6のうちの任意の1つの主題は、システムのメタデータが、システム上で監視された、前のアクティビティから生成されることを、随意に含み得る。
例S1は、マルウェアを特定するための変則検知のためのシステムであり、システムは、システムにおけるオブジェクトのアクティビティを監視し、監視されたアクティビティをシステムのメタデータと比較し、潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定するように構成された、例外検知モジュールを含む。
例S2において、例S1の主題は、監視されたアクティビティをシステムのメタデータと比較することが、ポリモーフィック型の脅威を特定するための、システムにおけるオブジェクトのメタデータの分析、オブジェクトが別のオブジェクトからのメタデータを再使用することを検知するための、システムのオブジェクトの再使用の分析、およびシステムのファイル名の分析を随意に含み得る。
例X1は、例A1−A8、またはM1−M7のうちの任意の1つに示されるような方法を実装するための、または装置を実現するための、機械可読命令を含む機械可読記憶媒体である。例Y1は、例の方法M1−M7のうちのいずれかを実行するための手段を含む装置である。例Y2において、例Y1の主題は、方法を実行するための、プロセッサおよびメモリを含む手段を随意に含み得る。例Y3において、例Y2の主題は、機械可読命令を含むメモリを随意に含み得る。
Claims (19)
- プロセッサに、
前記プロセッサによって、システムのメタデータを生成する手順と、
メモリ内に、前記システムの前記メタデータを格納する手順と、
前記システム内の一般性の高いオブジェクトのアクティビティを監視する手順であって、前記一般性の高いオブジェクトは、前記システム内のプロセス、周辺機器、または電子デバイス上のハードウェアである、監視する手順と、
前記監視されたアクティビティを、前記メモリ内に格納された前記システムの前記メタデータと比較する手順と、
潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定する手順であって、前記一般性の低い例外は、前記一般性の高いオブジェクトのメタデータを模倣し、および、前記一般性の高いオブジェクトの前記メタデータの一部において、変則として現れる、特定する手順と、
前記一般性の高いオブジェクトの前記一般性の低い例外の特定に応答し、前記一般性の高いオブジェクトの前記一般性の低い例外に対し、マルウェアのスキャンをする手順と、を実行させるための、プログラム。 - 前記潜在的に悪意のあるアクティビティを検知すべく、前記一般性の低い例外の期間が少なくとも部分的に用いられる、請求項1に記載のプログラム。
- 前記一般性の低い例外によって模倣される前記一般性の高いオブジェクトの前記メタデータは、ファイル名、プロセス名、ファイルプロパティ、フィンガープリント、およびレジストリキーのうちの1または複数を含む、請求項1または2に記載のプログラム。
- 前記システムの前記メタデータは、前記システム上で監視された前のアクティビティから生成される、請求項1から3のいずれか一項に記載のプログラム。
- 前記システムの前記メタデータは、同様のシステムの他のメタデータに少なくとも部分的に基づく、請求項1から4のいずれか一項に記載のプログラム。
- 前記監視されたアクティビティを前記システムの前記メタデータと比較する手順は、ポリモーフィック型の脅威を特定するための、オブジェクトのメタデータの分析、前記オブジェクトが別のオブジェクトのメタデータを再使用しているかどうかを検知するための、前記システムのオブジェクトの再使用の分析、および前記システムのファイル名の分析のうちの少なくとも1つを含む、請求項1から5のいずれか一項に記載のプログラム。
- メモリ要素と、
ハードウェアプロセッサと、を備え、
前記ハードウェアプロセッサは、
システムのメタデータを生成し、
前記メモリ要素内に、前記システムの前記メタデータを格納し、
前記システム内の一般性の高いオブジェクトのアクティビティを監視し、前記一般性の高いオブジェクトは、前記システム内のプロセス、周辺機器、または電子デバイス上のハードウェアであり、
前記監視されたアクティビティを、前記メモリ要素内に格納された前記システムの前記メタデータと比較し、
潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定し、前記一般性の低い例外は、前記一般性の高いオブジェクトのメタデータを模倣し、および、前記一般性の高いオブジェクトの前記メタデータの一部において、変則として現れ、
前記一般性の高いオブジェクトの前記一般性の低い例外の特定に応答し、前記一般性の高いオブジェクトの前記一般性の低い例外に対し、マルウェアのスキャンをする、ように構成されている、装置。 - 前記潜在的に悪意のあるアクティビティを検知すべく、前記一般性の低い例外の期間が少なくとも部分的に用いられる、請求項7に記載の装置。
- 前記一般性の低い例外によって模倣される前記一般性の高いオブジェクトの前記メタデータは、ファイル名、プロセス名、ファイルプロパティ、フィンガープリント、およびレジストリキーのうちの1または複数を含む、請求項7または8に記載の装置。
- 前記システムの前記メタデータは、前記システム上で監視された前のアクティビティから生成される、請求項7から9のいずれか一項に記載の装置。
- 前記システムの前記メタデータは、同様のシステムの他のメタデータに少なくとも部分的に基づく、請求項7から10のいずれか一項に記載の装置。
- 前記監視されたアクティビティを前記システムの前記メタデータと比較することは、ポリモーフィック型の脅威を特定するための、オブジェクトのメタデータの分析、前記オブジェクトが別のオブジェクトのメタデータを再使用しているかどうかを検知するための、前記システムのオブジェクトの再使用の分析、および前記システムのファイル名の分析のうちの少なくとも1つを含む、請求項7から11のいずれか一項に記載の装置。
- システムのメタデータを生成する段階と、
前記システムの前記メタデータを格納する段階と、
前記システム内の一般性の高いオブジェクトのアクティビティを監視する段階であって、前記一般性の高いオブジェクトは、前記システム内のプロセス、周辺機器、または電子デバイス上のハードウェアである、監視する段階と、
前記監視されたアクティビティを、前記システムの前記メタデータと比較する段階と、
潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定する段階であって、前記一般性の低い例外は、前記一般性の高いオブジェクトのメタデータを模倣し、および、前記一般性の高いオブジェクトの前記メタデータの一部において、変則として現れる、特定する段階と、
前記一般性の高いオブジェクトの前記一般性の低い例外の特定に応答し、前記一般性の高いオブジェクトの前記一般性の低い例外に対し、マルウェアのスキャンをする段階と、を備える、方法。 - 前記潜在的に悪意のあるアクティビティを検知すべく、前記一般性の低い例外の期間が、少なくとも部分的に用いられる、請求項13に記載の方法。
- 前記一般性の低い例外によって模倣される前記一般性の高いオブジェクトの前記メタデータは、ファイル名、プロセス名、ファイルプロパティ、フィンガープリント、およびレジスタキーのうちの1または複数を含む、請求項13または14に記載の方法。
- 前記システムの前記メタデータは、前記システム上で監視された前のアクティビティから生成される、請求項13から15のいずれか一項に記載の方法。
- 前記監視されたアクティビティを前記システムにの前記メタデータと比較する段階は、ポリモーフィック型の脅威を特定するための、オブジェクトのメタデータの分析、前記オブジェクトが別のオブジェクトのメタデータを再使用しているかどうかを検知するための、前記システムのオブジェクトの再使用の分析、および前記システムのファイル名の分析のうちの少なくとも1つを含む、請求項13から16のいずれか一項に記載の方法。
- メモリと、
ハードウェアプロセッサと、を備え、
前記ハードウェアプロセッサは、
システムのメタデータを生成し、
前記メモリ内に前記システムの前記メタデータを格納し、
前記システム内の一般性の高いオブジェクトのアクティビティを監視し、前記一般性の高いオブジェクトは、前記システム内のプロセス、周辺機器、または電子デバイス上のハードウェアであり、
前記監視されたアクティビティを、前記メモリ内に格納された前記システムの前記メタデータと比較し、
潜在的に悪意のあるアクティビティを検知すべく、一般性の低い例外を特定し、前記一般性の低い例外は、前記一般性の高いオブジェクトのメタデータを模倣し、および、前記一般性の高いオブジェクトの前記メタデータの一部において、変則として現れ、
前記一般性の高いオブジェクトの前記一般性の低い例外の特定に応答し、前記一般性の高いオブジェクトの前記一般性の低い例外に対し、マルウェアのスキャンをする、ように構成されている、マルウェアを特定するための変則検知のシステム。 - 前記監視されたアクティビティを前記システムの前記メタデータと比較することは、ポリモーフィック型の脅威を特定するための、オブジェクトのメタデータの分析、前記オブジェクトが別のオブジェクトのメタデータを再使用しているかどうかを検知するための、前記システムのオブジェクトの再使用の分析、および前記システムのファイル名の分析のうちの少なくとも1つを含む、請求項18に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/752,893 | 2015-06-27 | ||
| US14/752,893 US10129291B2 (en) | 2015-06-27 | 2015-06-27 | Anomaly detection to identify malware |
| PCT/US2016/033978 WO2017003588A1 (en) | 2015-06-27 | 2016-05-25 | Anomaly detection to identify malware |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2018524716A JP2018524716A (ja) | 2018-08-30 |
| JP2018524716A5 true JP2018524716A5 (ja) | 2019-05-16 |
| JP6598221B2 JP6598221B2 (ja) | 2019-10-30 |
Family
ID=57602972
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017566782A Active JP6598221B2 (ja) | 2015-06-27 | 2016-05-25 | マルウェアを特定するための変則検知 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10129291B2 (ja) |
| EP (1) | EP3314511B1 (ja) |
| JP (1) | JP6598221B2 (ja) |
| CN (1) | CN107889551B (ja) |
| WO (1) | WO2017003588A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10009374B1 (en) * | 2015-08-04 | 2018-06-26 | Symantec Corporation | Detecting URL scheme hijacking |
| US10089467B1 (en) | 2017-05-23 | 2018-10-02 | Malwarebytes Inc. | Static anomaly-based detection of malware files |
| US10708281B1 (en) * | 2018-04-16 | 2020-07-07 | Akamai Technologies, Inc. | Content delivery network (CDN) bot detection using primitive and compound feature sets |
| US10992703B2 (en) | 2019-03-04 | 2021-04-27 | Malwarebytes Inc. | Facet whitelisting in anomaly detection |
| CN112583846A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种面向中小企业网络安全事件复杂分析系统 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
| US8505092B2 (en) * | 2007-01-05 | 2013-08-06 | Trend Micro Incorporated | Dynamic provisioning of protection software in a host intrusion prevention system |
| US8171554B2 (en) | 2008-02-04 | 2012-05-01 | Yuval Elovici | System that provides early detection, alert, and response to electronic threats |
| US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
| US9781148B2 (en) * | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US8561180B1 (en) * | 2008-10-29 | 2013-10-15 | Symantec Corporation | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises |
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8225406B1 (en) * | 2009-03-31 | 2012-07-17 | Symantec Corporation | Systems and methods for using reputation data to detect shared-object-based security threats |
| US7640589B1 (en) | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
| US8302194B2 (en) * | 2009-10-26 | 2012-10-30 | Symantec Corporation | Using file prevalence to inform aggressiveness of behavioral heuristics |
| US8516576B2 (en) * | 2010-01-13 | 2013-08-20 | Microsoft Corporation | Network intrusion detection with distributed correlation |
| US8683216B2 (en) | 2010-07-13 | 2014-03-25 | F-Secure Corporation | Identifying polymorphic malware |
| RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
| US8528088B2 (en) | 2011-05-26 | 2013-09-03 | At&T Intellectual Property I, L.P. | Modeling and outlier detection in threat management system data |
| WO2013015994A1 (en) | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Monitoring mobile application activities for malicious traffic on a mobile device |
| US8806641B1 (en) * | 2011-11-15 | 2014-08-12 | Symantec Corporation | Systems and methods for detecting malware variants |
| US8931092B2 (en) | 2012-08-23 | 2015-01-06 | Raytheon Bbn Technologies Corp. | System and method for computer inspection of information objects for shared malware components |
| CN102932424B (zh) * | 2012-09-29 | 2015-04-08 | 浪潮(北京)电子信息产业有限公司 | 一种分布式并行文件系统缓存数据同步的方法及系统 |
-
2015
- 2015-06-27 US US14/752,893 patent/US10129291B2/en active Active
-
2016
- 2016-05-25 CN CN201680037889.8A patent/CN107889551B/zh active Active
- 2016-05-25 JP JP2017566782A patent/JP6598221B2/ja active Active
- 2016-05-25 WO PCT/US2016/033978 patent/WO2017003588A1/en active Application Filing
- 2016-05-25 EP EP16818402.6A patent/EP3314511B1/en active Active
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10579544B2 (en) | Virtualized trusted storage | |
| US11328063B2 (en) | Identification of malicious execution of a process | |
| US20210029150A1 (en) | Determining a reputation for a process | |
| CN107409120B (zh) | 检测恶意外设的装置、方法及系统 | |
| US11379583B2 (en) | Malware detection using a digital certificate | |
| CN107980123B (zh) | 敏感数据的保护 | |
| JP6526842B2 (ja) | マルウェアの検出 | |
| US20170091453A1 (en) | Enforcement of file characteristics | |
| JP6583865B2 (ja) | プロファイリングイベントに基づいたエクスプロイト検出 | |
| JP6598221B2 (ja) | マルウェアを特定するための変則検知 | |
| EP3198513A1 (en) | Data verification using enclave attestation | |
| US20160180092A1 (en) | Portable secure storage | |
| JP2018524716A5 (ja) | ||
| US9769186B2 (en) | Determining a reputation through network characteristics | |
| JP6668390B2 (ja) | マルウェアの軽減 | |
| US10659479B2 (en) | Determination of sensor usage |