JP2019023918A - スクリプトの実行をブロックするシステム及び方法 - Google Patents
スクリプトの実行をブロックするシステム及び方法 Download PDFInfo
- Publication number
- JP2019023918A JP2019023918A JP2018192992A JP2018192992A JP2019023918A JP 2019023918 A JP2019023918 A JP 2019023918A JP 2018192992 A JP2018192992 A JP 2018192992A JP 2018192992 A JP2018192992 A JP 2018192992A JP 2019023918 A JP2019023918 A JP 2019023918A
- Authority
- JP
- Japan
- Prior art keywords
- script
- hash value
- bytecode
- similarity
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013515 script Methods 0.000 title claims abstract description 161
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000000903 blocking effect Effects 0.000 title claims abstract description 20
- 230000006870 function Effects 0.000 claims description 16
- 125000000524 functional group Chemical group 0.000 claims description 7
- 238000011156 evaluation Methods 0.000 description 39
- 238000004364 calculation method Methods 0.000 description 28
- 238000004458 analytical method Methods 0.000 description 11
- 230000003287 optical effect Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010845 search algorithm Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
さらに、悪意ある複合プログラム(具体的には、悪意あるスクリプト)に感染したコンピュータ・システムを検出するというタスクには、既知のセキュリティ・ソリューションにおいて大きな問題も存在している。悪意ある複合プログラムは、すべてが悪意ある機能を搭載するものではないが、いくつかのファイルから構成されたものである。
ハードウェアプロセッサによって、クライアントからサーバへのスクリプトの要求を傍受する工程と、
ハードウェアプロセッサによって、傍受したスクリプトのバイトコードを生成する工程と、
ハードウェアプロセッサによって、生成されたバイトコードのハッシュ値を計算する工程と、
ハードウェアプロセッサによって、バイトコードのハッシュ値と、データベースに保存されている悪意ある及びクリーンなスクリプトにおける複数のハッシュ値との間の類似度を決定する工程と、
ハードウェアプロセッサによって、データベースから類似のハッシュ値を識別する工程であって、識別されたハッシュ値とバイトコードのハッシュ値との類似度は、類似性の閾値の範囲内にある、工程と、
ハードウェアプロセッサによって、類似のハッシュ値の信頼係数を決定する工程と、
ハードウェアプロセッサによって、要求されたスクリプトが、類似度及び類似のハッシュ値の信頼係数に基づいて、悪意があるかどうか、を決定する工程と、
ハードウェアプロセッサによって、クライアントでの悪意あるスクリプトの実行をブロックする工程を備えている。
クライアントに、ネットワークのスクリプト要求を傍受するように構成されたドライバを提供する工程を含む。
ハードウェアプロセッサによって、ディスクへのデータの書き込み、ファイルシステムのオブジェクトの動作、及びプログラムの実行、における機能を担うスクリプトのコマンドを識別する工程と、
ハードウェアプロセッサによって、識別されたスクリプトコマンドをそれらの識別された機能に基づいて複数の機能グループにグループ化する工程と、
ハードウェアプロセッサによって、各機能グループにバイナリの値を割り当てる工程と、
ハードウェアプロセッサによって、バイナリの値からバイトコードを生成する工程を含む。
クライアントからサーバへのスクリプトの要求を傍受し、
傍受したスクリプトのバイトコードを生成し、
生成されたバイトコードのハッシュ値を計算し、
バイトコードのハッシュ値と、データベースに保存されている悪意ある及びクリーンなスクリプトにおける複数のハッシュ値との間の類似度を決定し、
データベースから類似のハッシュ値を識別し、識別されたハッシュ値とバイトコードのハッシュ値の類似度は、類似性の閾値の範囲内にあり、
類似のハッシュ値の信頼係数を決定し、
要求されたスクリプトが、類似度及び類似のハッシュ値の信頼係数に基づいて、悪意があるかどうかと決定し、
クライアントでの悪意あるスクリプトの実行をブロックするように構成される。
上記命令は、クライアントからサーバへのスクリプトの要求を傍受する命令と、
傍受したスクリプトのバイトコードを生成する命令と、
生成されたバイトコードのハッシュ値を計算する命令と、
バイトコードのハッシュ値と、データベースに保存されている悪意ある及びクリーンなスクリプトにおける複数のハッシュ値の間の類似度を決定する命令と、
データベースからの類似のハッシュ値を識別する命令であって、識別されたハッシュ値とバイトコードのハッシュ値の類似度は、類似性の閾値の範囲内にある、命令と、
類似のハッシュ値の信頼係数を決定する命令と、
要求されたスクリプトが、類似度及び類似のハッシュ値の信頼係数に基づいて、悪意があるかどうかを決定する命令と、
クライアントで悪意あるスクリプトの実行をブロックする命令
を含む。
対応するAPI関数のコールを傍受することによって、傍受したスクリプトの実行を防ぐ工程と、
予め用意した信頼できるスクリプトを実行することを意図したスクリプトに交換する工程と、
起動されたスクリプトによって要求された場所に、予め用意したデータを送信する工程、
を含むが、これらに限定されない。
データのファジーハッシュ値とは、ファジーハッシュ値が計算されるデータ領域とは別のデータ領域から計算されたハッシュ値のセットで構成されるものであり、及び、ファジー検索とは、データ構造(ユークリッド空間、ツリー空間、等の要素)を用いているセットにおいて、要素を検索する技術であり、任意の与えられた空間での比較的少ない数で、検索している要素に最も近いセットの要素を迅速に検索することができる。
少なくとも1つのグループをハッシュ値ライブラリ170から選択し、
そのグループにある少なくとも1つのハッシュ値が、ハッシュ値計算モジュール130によって算出されたハッシュ値に対して、予め設定された類似性の閾値に対応する類似度を有し、
少なくとも1つの選択されたグループ及びその決定された類似度を解析モジュール150へ送信するように構成されている。
比較しているハッシュ値の類似度は、比較のハッシュ値が互いにどれほど類似しているかを特徴づける数値でありえ、ハッシュ値を比較する手段によって決定されることができる。
ファジーハッシュ値を比較する(つまり、ハッシュ値を計算するためのデータにおける類似度を特徴づける数値を計算する)こと、
ファジー検索メトリックを計算する(つまり、検索されるセットのSEEK要素とFIND要素の間の距離を計算する)こと、
によって計算することができる。
少なくとも1つのグループを含む少なくとも1つの評価テンプレートを評価テンプレートライブラリ180から選択し、
検索モジュール140によって選択された少なくとも1つのグループに対する上記グループの類似度は、予め設定された閾値に対応しており、
評価テンプレートは、ハッシュ値ライブラリ170からの少なくとも1つのグループ、数値的な値である評価テンプレート信頼係数を含むデータセットから構成され、
及び、選択された評価テンプレートからの評価テンプレート信頼係数と計算された類似度を、評価作成モジュール160へ送信する、
ように構成されることができる。
多次元ベクトル(多次元ベクトルの要素は、グループに含まれるデータである)のベクター積を求めること、とファジー検索メトリックを計算することによって算出することができる。
解析モジュール150から得られた少なくとも1つの評価テンプレート信頼係数及び検索モジュール140から得られた少なくとも1つのハッシュ値の類似度に基づいて、傍受モジュール110によって傍受したスクリプトが、悪意あるかについて決定し、
且つ、適切な判断を傍受モジュール110へ送信する、ように構成されている。
選択されたシーケンスに残っているスクリプトコマンドは、コマンドのグループに組み込まれる(例えば、ファイルへデータを書き込み、ファイルの起動、及び、ファイルの削除、を担っているスクリプトコマンドのシーケンスは1つのグループに組み込まれる)ことになる。各スクリプトコマンド又はスクリプトコマンドのグループは、固有の2バイトの値を割り当てられる。2バイトの値の得られたシーケンスは、算出されたバイトコードで構成される。
ファジーハッシュ値は、ブロックのサイズ(バイトコードが、そのブロックに分割されている)とこれらのブロックのハッシュ値を含むデータのセットである。この後、ハッシュ値計算モジュールは、算出されたハッシュ値を検索モジュール140へ送信する。
2つのハッシュ値のファジー比較の結果は、0から1の範囲の数値である。それは、比較のハッシュ値が互いにどれほど類似しているかを示し、2つのハッシュ値の類似度として知られるものである(例えば、お互いに10%の差異があるスクリプトコマンドを含むスクリプトのバイトコードから計算されたファジーハッシュ値の類似性は、0.9と等しくなるだろう)。
比較対象であるグループの少なくとも1つのハッシュ値とハッシュ値計算モジュール130から得られたハッシュ値との類似度が、設定された閾値(例えば、0.85)より大きい場合、そのグループが発見されたと見なされ、ハッシュ値計算モジュール130から得られたハッシュ値は、比較対象であるグループに属する。この後、選択されたグループと決定された類似度は、解析モジュール150へ送られる。ハッシュ値ライブラリ170にあるグループも更新され、ハッシュ値計算モジュール130から得られたハッシュ値は、選択されたグループに追加される。更新されたグループが、より多くの悪意あるスクリプトのハッシュ値を含むことになるので、これによって、後に傍受されるスクリプトに対するグループ検索の精度が増す。ファイルc:\mydoc.docxから傍受したスクリプトに対して、以下の機能を備えるスクリプトのハッシュ値を含んだグループが選択された。
・グループ#1-ディスクへの書き込み及びファイルの属性の設定(類似度0.98)。
・グループ#2 - タスクマネージャーのブロック、タスクバーを隠す(類似度0.95)。
・グループ#3 - ファイルの削除(類似度0.90)。
・グループ#4 - VBA手段を使用して、Windowsのウィンドウの作成(類似度0.87)。
選択されたグループは、解析モジュール150に送られる。
・テンプレート#1"blocker":テンプレート信頼係数0.1であり、グループ#1(類似度1.0)、グループ#2(類似度1.0)、グループ#3(類似度0.9)を含む。
・テンプレート#2"cryptor":テンプレート信頼係数0.3であり、グループ#1(類似度0.7)、グループ#3(類似度1.0)、グループ#4(類似度0.95)を含む。
選択された評価テンプレートのテンプレート信頼係数は、検索モジュール140によって選択されるグループと同様に、評価作成モジュールに送られる。
2つのハッシュ値のファジー比較の結果は、0から1の範囲の数値である。それは、比較のハッシュ値が互いにどれほど類似しているかを示し、2つのハッシュ値の類似度として知られるものである。
比較対象であるグループの少なくとも1つのハッシュ値とハッシュ値計算モジュール130から得られたハッシュ値との類似度が、設定された閾値(例えば、0.5)より大きい場合、そのグループが発見されたと見なされ、ハッシュ値計算モジュール130から得られたハッシュ値は、比較対象であるグループに属する。この後、選択されたグループと決定された類似度は、解析モジュール150へ送られる。ハッシュ値ライブラリ170にあるグループも更新される。ハッシュ値計算モジュール130から得られたハッシュ値は、選択されたグループに追加される。これによって、後に傍受されるスクリプトに対するグループ検索の有効性が増す。サイトhttp://tasianits.comから傍受したスクリプトの場合には、以下の機能を備えるスクリプトのハッシュ値を含んだグループが選択された。
・グループ#1 - ディスクへの書き込み、ユーザのコンピュータ・システムでのファイルの実行(類似度0.7)
・グループ#2 - ActiveXの脆弱性を利用した動作のセット(類似度1.0)
これによって、どのグループが評価テンプレートライブラリ180からの各評価テンプレートに含まれているのか、及び、それらが検索モジュール150から受け取ったグループにどれほど類似しているかについて決定がなされる。用いられる比較の手法は、ファジー検索アルゴリズムをであってもよく、その結果は、0から1の範囲の数値となる。それは、比較するグループのセットが互いにどれほど類似しているかを特徴づけるけるものであり、2つのグループのセットの類似度として知られるものである。検索モジュール140から受け取ったグループに対して、以下の評価テンプレートが選択された。
テンプレート#1 "injector":テンプレート信頼係数0.0、グループ#1(類似度1.0)、#2(類似度1.0)を含む。選択された評価テンプレートのテンプレート信頼係数は、評価作成モジュール160に送られる。
示されるように、コンピュータ・システムは、中央処理ユニット21、システムメモリ22及びシステムバス23を含み、システムバスは、様々なシステムコンポーネント(中央処理ユニット21に付随するメモリを含む)に接続している。システムバス23は、先行文献で知られている任意のバス構造のように実現され、順にバスメモリ又はバスメモリコントローラ、周辺バス、及びローカルバスを含み、それは、任意の他のバスアーキテクチャと相互作用することができる。システムメモリは、読み出し専用メモリ(ROM)24及びランダムアクセスメモリ(RAM)25を含む。基本入出力システム(BOIS)26は、パーソナルコンピュータ20の要素間で情報の転送を保証する基本的な手順を含み、ROM24を使用してオペレーティングシステムをロードする時にも同様である。
ユーザは、入力デバイス(キーボード40、マウス42)で、パーソナルコンピュータ20に、コマンドと情報を入力することができる。他の入力デバイス(図示せず)として、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることができる。そのような入力デバイスは、通常、シリアルポート46を介してコンピュータ・システム20に接続され、それは、順番に、システムバスに接続される。それらは、他の方法(例えば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(USB))を用いて接続できる。モニター47又は他の型の表示デバイスもまた、ビデオアダプタ48などのインターフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンター等の他の周辺出力デバイス(図示せず)を搭載することができる。
Claims (18)
- 悪意あるスクリプトの実行をブロックするための方法であって、
前記方法は、
ハードウェアプロセッサによって、クライアントからサーバへのスクリプトの要求を傍受する工程と、
前記ハードウェアプロセッサによって、前記傍受したスクリプトのバイトコードを生成する工程と、
前記ハードウェアプロセッサによって、前記生成されたバイトコードのハッシュ値を計算する工程と、
前記ハードウェアプロセッサによって、前記バイトコードのハッシュ値と、データベースに保存されている、悪意ある及びクリーンなスクリプトにおける複数のハッシュ値との間の類似度を決定する工程と、
前記ハードウェアプロセッサによって、前記データベースから類似のハッシュ値を識別する工程であって、前記識別されたハッシュ値と前記バイトコードのハッシュ値との類似度は、類似性の閾値内にある、工程と、
前記ハードウェアプロセッサによって、前記類似のハッシュ値の信頼係数を決定する工程と、
前記ハードウェアプロセッサによって、前記要求されたスクリプトが、前記類似度と前記類似のハッシュ値の信頼係数に基づいて、悪意があるかどうかを決定する工程と、
前記ハードウェアプロセッサによって、前記クライアントでの悪意あるスクリプトの実行をブロックする工程を
備える方法。 - スクリプトの要求を傍受する工程は、前記クライアントに、ネットワークのスクリプト要求を傍受するように構成されたドライバを提供する工程を含む、請求項1に記載の方法。
- 前記バイトコードは、前記スクリプトにおける少なくとも1つのオペコードを含む、
請求項1に記載の方法。 - 前記スクリプトのバイトコードを生成する工程は、
前記ハードウェアプロセッサによって、ディスクへのデータの書き込み、ファイルシステムのオブジェクトの動作、及びプログラムの実行、の機能を担うスクリプトコマンドを識別する工程と、
前記ハードウェアプロセッサによって、前記識別されたスクリプトコマンドを、前記識別された機能に基づいて、複数の機能グループにグループ化する工程と、
前記ハードウェアプロセッサによって、各機能グループにバイナリの値を割り当てる工程と、
前記ハードウェアプロセッサによって、前記バイナリの値から前記バイトコードを生成する工程を含む、
請求項1に記載の方法。 - ハッシュ値は、ファジーハッシュを含む、請求項1に記載の方法。
- 一致するハッシュ値を検索する手法は、ファジー検索を含む、請求項1に記載の方法。
- 悪意あるスクリプトの実行をブロックするためのシステムであって、
前記システムは、ハードウェアプロセッサを備え、
前記ハードウェアプロセッサは、
クライアントからサーバへのスクリプトの要求を傍受し、
前記傍受したスクリプトのバイトコードを生成し、
前記生成されたバイトコードのハッシュ値を計算し、
前記バイトコードのハッシュ値と、データベースに保存されている悪意ある及びクリーンなスクリプトにおける複数のハッシュ値との間の類似度を決定し、
前記データベースから類似したハッシュ値を識別し、前記識別されたハッシュ値と前記バイトコードのハッシュ値との類似度は、類似性の閾値の範囲内にあり、
前記類似のハッシュ値の信頼係数を決定し、
前記要求されたスクリプトが、前記類似度及び前記類似のハッシュ値の信頼係数に基づいて、悪意があるかどうかを決定し、
前記クライアントでの悪意あるスクリプトの実行をブロックするように構成される、システム。 - スクリプトの要求の傍受は、
前記クライアントに、ネットワークスクリプト要求を傍受するように構成されたドライバを提供することを含む、請求項7に記載のシステム。 - 前記バイトコードは、前記スクリプトにおける少なくとも1つのオペコードを含む、請求項7に記載のシステム。
- 前記スクリプトのバイトコードの生成は、
ディスクへのデータの書き込み、ファイルシステムのオブジェクトの動作及びプログラムの実行、の機能を担うスクリプトコマンドの識別と、
前記識別されたスクリプトコマンドの、前記識別された機能に基づく、複数の機能グループへのグループ分けと、
各機能グループへのバイナリの値の割り当てと、
前記バイナリの値からの前記バイトコードの生成を含む、請求項7に記載のシステム。 - ハッシュ値は、ファジーハッシュを含む、請求項7に記載のシステム。
- 一致するハッシュ値の検索は、ファジー検索を含む、請求項7に記載のシステム。
- 悪意あるスクリプトの実行をブロックするためのコンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体であって、前記命令は、
クライアントからサーバへのスクリプトの要求を傍受する命令と、
前記傍受したスクリプトのバイトコードを生成する命令と、
前記生成されたバイトコードのハッシュ値を計算する命令と、
前記バイトコードの前記ハッシュ値と、データベースに保存されている悪意ある及びクリーンなスクリプトにおける複数のハッシュ値との間の類似度を決定する命令と、
前記データベースから類似のハッシュ値を識別する命令であってと、前記識別されたハッシュ値と前記バイトコードのハッシュ値との類似度が類似性の閾値内にある、命令と、
前記類似のハッシュ値の信頼係数を決定する命令と、
前記要求されたスクリプトが前記類似度と前記類似のハッシュ値の前記信頼係数に基づいて悪意があるかどうかを決定する命令と、
前記クライアントで前記悪意あるスクリプトの実行をブロックする命令と、
を含む、非一時的なコンピュータ可読媒体。 - スクリプトの要求を傍受する命令は、
前記クライアントに、ネットワークスクリプト要求を傍受するように構成されたドライバを提供する命令を含む、
請求項13に記載の非一時的なコンピュータ可読媒体。 - 前記バイトコードが、前記スクリプトにおける少なくとも1つのオペコードを含む、請求項13に記載の非一時的なコンピュータ可読媒体。
- 前記スクリプトのバイトコードを生成する命令は、
前記ハードウェアプロセッサによって、ディスクへのデータの書き込み、ファイルシステムのオブジェクトの動作、プログラムの実行、の機能を担うスクリプトコマンドを識別する命令と
前記ハードウェアプロセッサによって、前記識別されたスクリプトコマンドを、前記識別された機能に基づいて、複数の機能グループにグループ化する命令と、
前記ハードウェアプロセッサによって、各機能グループにバイナリの値を割り当てる命令と、
前記ハードウェアプロセッサによって、前記バイナリの値から前記バイトコードを生成する命令を含む、
請求項13に記載の非一時的なコンピュータ可読媒体。 - ハッシュ値は、ファジーハッシュを含む、請求項13に記載の非一時的なコンピュータ可読媒体。
- 一致するハッシュ値を検索する命令は、ファジー検索を含む、請求項13に記載の非一時的なコンピュータ可読媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2015141537 | 2015-09-30 | ||
RU2015141537A RU2606564C1 (ru) | 2015-09-30 | 2015-09-30 | Система и способ блокировки выполнения сценариев |
US15/062,455 | 2016-03-07 | ||
US15/062,455 US9648032B2 (en) | 2015-09-30 | 2016-03-07 | System and method for blocking execution of scripts |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163361A Division JP6568504B2 (ja) | 2015-09-30 | 2016-08-24 | スクリプトの実行をブロックするシステム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019023918A true JP2019023918A (ja) | 2019-02-14 |
JP6670907B2 JP6670907B2 (ja) | 2020-03-25 |
Family
ID=58409392
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163361A Active JP6568504B2 (ja) | 2015-09-30 | 2016-08-24 | スクリプトの実行をブロックするシステム及び方法 |
JP2018192992A Active JP6670907B2 (ja) | 2015-09-30 | 2018-10-12 | スクリプトの実行をブロックするシステム及び方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016163361A Active JP6568504B2 (ja) | 2015-09-30 | 2016-08-24 | スクリプトの実行をブロックするシステム及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9648032B2 (ja) |
JP (2) | JP6568504B2 (ja) |
CN (1) | CN107066883B (ja) |
RU (1) | RU2606564C1 (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108401253B (zh) * | 2017-02-06 | 2022-12-27 | 腾讯科技(深圳)有限公司 | 一种应用信息识别方法、装置以及系统 |
US10754948B2 (en) * | 2017-04-18 | 2020-08-25 | Cylance Inc. | Protecting devices from malicious files based on n-gram processing of sequential data |
KR102006242B1 (ko) * | 2017-09-29 | 2019-08-06 | 주식회사 인사이너리 | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 |
RU2708356C1 (ru) * | 2018-06-29 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Система и способ двухэтапной классификации файлов |
US10819733B2 (en) * | 2018-07-24 | 2020-10-27 | EMC IP Holding Company LLC | Identifying vulnerabilities in processing nodes |
US11188622B2 (en) | 2018-09-28 | 2021-11-30 | Daniel Chien | Systems and methods for computer security |
US20210026969A1 (en) * | 2019-07-23 | 2021-01-28 | Chameleonx Ltd | Detection and prevention of malicious script attacks using behavioral analysis of run-time script execution events |
CN110674497B (zh) * | 2019-09-27 | 2021-07-02 | 厦门安胜网络科技有限公司 | 一种恶意程序相似度计算的方法和装置 |
CN112783615B (zh) * | 2019-11-08 | 2024-03-01 | 北京沃东天骏信息技术有限公司 | 一种数据处理任务的清理方法和装置 |
US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
CN113158146A (zh) * | 2020-01-07 | 2021-07-23 | 网联清算有限公司 | 脚本管理方法、脚本管理平台、计算设备及介质 |
US11438145B2 (en) | 2020-05-31 | 2022-09-06 | Daniel Chien | Shared key generation based on dual clocks |
US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
US11531675B1 (en) * | 2021-07-19 | 2022-12-20 | Oracle International Corporation | Techniques for linking data to provide improved searching capabilities |
CN114268475A (zh) * | 2021-12-13 | 2022-04-01 | 北京知道创宇信息技术股份有限公司 | 恶意脚本拦截方法、系统、服务器及计算机可读存储介质 |
US20230185915A1 (en) * | 2021-12-14 | 2023-06-15 | Palo Alto Networks, Inc. | Detecting microsoft windows installer malware using text classification models |
CN114430339A (zh) * | 2021-12-25 | 2022-05-03 | 深圳太极云软技术有限公司 | 一种网络请求的过滤方法、装置、终端和可读存储介质 |
EP4246352A1 (en) * | 2022-03-17 | 2023-09-20 | AO Kaspersky Lab | System and method for detecting a harmful script based on a set of hash codes |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010009269A (ja) * | 2008-06-26 | 2010-01-14 | Iwate Univ | コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム |
JP2013529335A (ja) * | 2010-04-28 | 2013-07-18 | シマンテック コーポレーション | クラスタリングを使用した行動シグネチャの生成 |
JP2014504399A (ja) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7707634B2 (en) * | 2004-01-30 | 2010-04-27 | Microsoft Corporation | System and method for detecting malware in executable scripts according to its functionality |
US8037535B2 (en) * | 2004-08-13 | 2011-10-11 | Georgetown University | System and method for detecting malicious executable code |
US7590589B2 (en) * | 2004-09-10 | 2009-09-15 | Hoffberg Steven M | Game theoretic prioritization scheme for mobile ad hoc networks permitting hierarchal deference |
US7801840B2 (en) * | 2006-07-28 | 2010-09-21 | Symantec Corporation | Threat identification utilizing fuzzy logic analysis |
US8312546B2 (en) | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
US9235704B2 (en) * | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US8635694B2 (en) * | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
US20100205297A1 (en) * | 2009-02-11 | 2010-08-12 | Gurusamy Sarathy | Systems and methods for dynamic detection of anonymizing proxies |
US8850219B2 (en) * | 2010-05-13 | 2014-09-30 | Salesforce.Com, Inc. | Secure communications |
RU2446459C1 (ru) * | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
RU2444056C1 (ru) * | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
US8997233B2 (en) * | 2011-04-13 | 2015-03-31 | Microsoft Technology Licensing, Llc | Detecting script-based malware using emulation and heuristics |
US9032526B2 (en) * | 2011-05-12 | 2015-05-12 | Microsoft Technology Licensing, Llc | Emulating mixed-code programs using a virtual machine instance |
US8584235B2 (en) | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
CN102609649B (zh) * | 2012-02-06 | 2015-09-02 | 北京百度网讯科技有限公司 | 一种自动采集恶意软件的方法和装置 |
US9300682B2 (en) * | 2013-08-09 | 2016-03-29 | Lockheed Martin Corporation | Composite analysis of executable content across enterprise network |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9148441B1 (en) * | 2013-12-23 | 2015-09-29 | Symantec Corporation | Systems and methods for adjusting suspiciousness scores in event-correlation graphs |
RU2580032C2 (ru) * | 2014-08-01 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения категории доверенности приложения |
-
2015
- 2015-09-30 RU RU2015141537A patent/RU2606564C1/ru active
-
2016
- 2016-03-07 US US15/062,455 patent/US9648032B2/en active Active
- 2016-08-24 JP JP2016163361A patent/JP6568504B2/ja active Active
- 2016-09-28 CN CN201610862858.8A patent/CN107066883B/zh active Active
-
2018
- 2018-10-12 JP JP2018192992A patent/JP6670907B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010009269A (ja) * | 2008-06-26 | 2010-01-14 | Iwate Univ | コンピュータウィルス検出装置、コンピュータウィルス検出方法及びコンピュータウィルス検出プログラム |
JP2013529335A (ja) * | 2010-04-28 | 2013-07-18 | シマンテック コーポレーション | クラスタリングを使用した行動シグネチャの生成 |
JP2014504399A (ja) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107066883B (zh) | 2020-04-07 |
JP6670907B2 (ja) | 2020-03-25 |
US9648032B2 (en) | 2017-05-09 |
JP6568504B2 (ja) | 2019-08-28 |
CN107066883A (zh) | 2017-08-18 |
RU2606564C1 (ru) | 2017-01-10 |
US20170093893A1 (en) | 2017-03-30 |
JP2017097843A (ja) | 2017-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6670907B2 (ja) | スクリプトの実行をブロックするシステム及び方法 | |
US11055411B2 (en) | System and method for protection against ransomware attacks | |
CN109583193B (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
US9860270B2 (en) | System and method for determining web pages modified with malicious code | |
KR101607951B1 (ko) | 클라우드 기술을 사용한 멀웨어에 대한 동적 클리닝 | |
JP6346632B2 (ja) | モバイルデバイスでの悪質なファイルを検出するシステム及び方法 | |
RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
US10013555B2 (en) | System and method for detecting harmful files executable on a virtual stack machine based on parameters of the files and the virtual stack machine | |
JP2019505943A (ja) | サイバーセキュリティシステムおよび技術 | |
US10372907B2 (en) | System and method of detecting malicious computer systems | |
WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
CN105760787A (zh) | 用于检测随机存取存储器中的恶意代码的系统及方法 | |
US10860719B1 (en) | Detecting and protecting against security vulnerabilities in dynamic linkers and scripts | |
EP3113065B1 (en) | System and method of detecting malicious files on mobile devices | |
JP6322240B2 (ja) | フィッシング・スクリプトを検出するためのシステム及び方法 | |
Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
JP7320462B2 (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
US20200218832A1 (en) | Automatic Initiation of Execution Analysis | |
RU2587426C2 (ru) | Система и способ обнаружения направленных атак на корпоративную инфраструктуру | |
EP3151149B1 (en) | System and method for blocking execution of scripts | |
EP4246351A1 (en) | Detecting a harmful file using a database of vulnerable drivers | |
RU2659739C1 (ru) | Способ контроля доступа к составным файлам | |
CN115408690A (zh) | 用于检测应用程序中的潜在恶意更改的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181106 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181109 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181109 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190618 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190918 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200302 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6670907 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |