JP2019220132A - プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 - Google Patents
プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 Download PDFInfo
- Publication number
- JP2019220132A JP2019220132A JP2018206539A JP2018206539A JP2019220132A JP 2019220132 A JP2019220132 A JP 2019220132A JP 2018206539 A JP2018206539 A JP 2018206539A JP 2018206539 A JP2018206539 A JP 2018206539A JP 2019220132 A JP2019220132 A JP 2019220132A
- Authority
- JP
- Japan
- Prior art keywords
- pattern
- event
- threat
- malicious program
- computing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 230000000694 effects Effects 0.000 claims abstract description 64
- 238000001514 detection method Methods 0.000 claims abstract description 50
- 230000009471 action Effects 0.000 claims abstract description 45
- 238000012544 monitoring process Methods 0.000 claims description 55
- 230000003252 repetitive effect Effects 0.000 claims description 21
- 230000003993 interaction Effects 0.000 claims description 12
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 9
- 230000003542 behavioural effect Effects 0.000 abstract 1
- 230000006399 behavior Effects 0.000 description 62
- 230000002155 anti-virotic effect Effects 0.000 description 30
- 230000008569 process Effects 0.000 description 27
- 238000010586 diagram Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000007630 basic procedure Methods 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Abstract
Description
Claims (18)
- コンピューティングシステム上の悪意あるプログラムを検出するための、コンピュータ上で実現される方法であって、
悪意あるプログラムと関連するアクティビティとマッチする、サイレント使用モードで構成されたパターンである、悪意あるプログラムのパターンをロードすることと、
前記悪意あるプログラムのパターンに対応する一つ以上のイベントの検出に基づいて脅威を検出するが、前記検出された脅威を取り除く処置は実行しないことを含む、前記サイレント使用モードにおける前記悪意あるプログラムのパターンの使用を第1期間中に行うことによって、コンピューティングシステム上の前記脅威を検出することと、
前記イベントはユーザの行動の結果として発生し、また前記イベントは反復的性質を持つとの判定に対応して、前記検出されたイベントを以後の検出から除外する一つ以上のパラメータを前記悪意あるプログラムのパターンに追加することと、
前記第1期間の終了に対応して、前記悪意あるプログラムのパターンをアクティブ使用モードに切り替えることと、
を含むことを特徴とする、方法。 - 前記アクティブ使用モードにおける前記悪意あるプログラムのパターンの使用は、前記コンピューティングシステム上の、前記悪意あるプログラムのパターンに対応する以後の脅威を検出すること、およびそれを取り除くための処置を実行することを含むことを特徴とする、請求項1に記載の方法。
- 前記イベントは反復的性質を持つと判定することは、前記イベントが、所与の第2期間以内にしきい値回数を超えて検出されたかどうかを判定することを含むことを特徴とする、請求項1に記載の方法。
- 前記イベントはユーザ行動の結果として発生したと判定することは、前記コンピューティングシステム上における、前記ユーザの前記コンピューティングシステムのグラフィカルユーザインターフェースの要素との相互作用、および前記ユーザの前記コンピューティングシステムの入力装置との相互作用のうち、少なくとも一方を含む前記ユーザのアクティビティを検出することを含むことを特徴とする、請求項1に記載の方法。
- 前記コンピューティングシステム内で発生するイベントを監視すること、および
前記監視されたイベントおよび関連するイベントパラメータのリストを含むイベントログを生成することをさらに含み、前記イベントが反復的性質を持つかどうかの判定は、前記イベントログの解析に基づいて行われることを特徴とする、請求項1に記載の方法。 - 前記イベントはユーザ行動の結果として発生し、また前記イベントは反復的性質を持つとの前記判定に基づいて、前記検出された脅威は誤検出として特徴付けられることを特徴とする、請求項1に記載の方法。
- コンピューティングシステム上の悪意あるプログラムを検出するためのシステムであって、
ユーザ行動を入力する入力装置と、
ハードウェアプロセッサと、
を備え、
前記ハードウェアプロセッサは、
悪意あるプログラムと関連するアクティビティとマッチする、サイレント使用モードで構成されたパターンである、悪意あるプログラムのパターンをロードし、
前記悪意あるプログラムのパターンに対応する一つ以上のイベントの検出に基づいて脅威を検出するが、前記検出された脅威を取り除く処置は実行しないことを含む、前記サイレント使用モードにおける前記悪意あるプログラムのパターンの使用を第1期間中に行うことによって、コンピューティングシステム上の前記脅威を検出し、
前記イベントはユーザ行動の結果として発生し、また前記イベントは反復的性質を持つとの判定に対応して、前記検出されたイベントを以後の検出から除外する一つ以上のパラメータを前記悪意あるプログラムのパターンに追加し、
前記第1期間の終了に対応して、前記悪意あるプログラムのパターンをアクティブ使用モードに切り替える
ことを特徴とする、システム。 - 前記アクティブ使用モードにおいて前記悪意あるプログラムのパターンを使用する前記ハードウェアプロセッサは、さらに、前記コンピューティングシステム上の、前記悪意あるプログラムのパターンに対応する以後の脅威を検出して、それを取り除くための処置を実行することを特徴とする、請求項7に記載のシステム。
- 前記イベントは反復的性質を持つと判定する前記ハードウェアプロセッサは、さらに、前記イベントが、所与の第2期間以内にしきい値回数を超えて検出されたかどうかを判定することを特徴とする、請求項7に記載のシステム。
- 前記イベントはユーザの行動の結果として発生したと判定する前記ハードウェアプロセッサは、さらに、前記コンピューティングシステム上における、前記ユーザの前記コンピューティングシステムのグラフィカルユーザインターフェースの要素との相互作用、および前記ユーザの前記コンピューティングシステムの前記入力装置との相互作用のうち、少なくとも一方を含む前記ユーザのアクティビティを検出することを特徴とする、請求項7に記載のシステム。
- 前記ハードウェアプロセッサは、さらに、
前記コンピューティングシステム内で発生するイベントを監視し、
前記監視されたイベントおよび関連するイベントパラメータのリストを含むイベントログを生成し、前記イベントが反復的性質を持つかどうかの判定は、前記イベントログの解析に基づいて行われることを特徴とする、請求項7に記載のシステム。 - 前記イベントはユーザ行動の結果として発生し、また前記イベントは反復的性質を持つとの前記判定に基づいて、前記検出された脅威は誤検出として特徴付けられることを特徴とする、請求項7に記載のシステム。
- コンピューティングシステム上の悪意あるプログラムを検出するためのコンピュータ実行可能な命令を含む非一時的なコンピュータ読み取り可能な媒体であって、
悪意あるプログラムと関連するアクティビティとマッチする、サイレント使用モードで構成されたパターンである、悪意あるプログラムのパターンをロードし、
前記悪意あるプログラムのパターンに対応する一つ以上のイベントの検出に基づいて脅威を検出するが、前記検出された脅威を取り除く処置は実行しないことを含む、前記サイレント使用モードにおける前記悪意あるプログラムのパターンの使用を第1期間中に行うことによって、コンピューティングシステム上の前記脅威を検出し、
前記イベントはユーザの行動の結果として発生し、また前記イベントは反復的性質を持つとの判定に対応して、前記検出されたイベントを以後の検出から除外する一つ以上のパラメータを前記悪意あるプログラムのパターンに追加し、
前記第1期間の終了に対応して、前記悪意あるプログラムのパターンをアクティブ使用モードに切り替える
ための命令を含むことを特徴とする、非一時的なコンピュータ読み取り可能な媒体。 - 前記アクティブ使用モードにおいて前記悪意あるプログラムのパターンを使用するための命令は、前記コンピューティングシステム上の、前記悪意あるプログラムのパターンに対応する以後の脅威を検出して、それを取り除くための処置を実行するための命令を含むことを特徴とする、請求項13に記載の非一時的なコンピュータ読み取り可能な媒体。
- 前記イベントは反復的性質を持つと判定するための命令は、前記イベントが、所与の第2期間以内にしきい値回数を超えて検出されたかどうかを判定するための命令を含むことを特徴とする、請求項13に記載の非一時的なコンピュータ読み取り可能な媒体。
- 前記イベントはユーザ行動の結果として発生したと判定するための命令は、前記コンピューティングシステム上における、前記ユーザの前記コンピューティングシステムのグラフィカルユーザインターフェースの要素との相互作用、および前記ユーザの前記コンピューティングシステムの入力装置との相互作用のうち、少なくとも一方を含む前記ユーザのアクティビティを検出するための命令を含むことを特徴とする、請求項13に記載の非一時的なコンピュータ読み取り可能な媒体。
- 前記コンピューティングシステム内で発生するイベントを監視し、
前記監視されたイベントおよび関連するイベントパラメータのリストを含むイベントログを生成するための命令をさらに含み、
前記イベントが反復的性質を持つかどうかの判定は、前記イベントログの解析に基づいて行われることを特徴とする、請求項13に記載の非一時的なコンピュータ読み取り可能な媒体。 - 前記イベントはユーザ行動の結果として発生し、また前記イベントは反復的性質を持つとの前記判定に基づいて、前記検出された脅威は誤検出として特徴付けられることを特徴とする、請求項13に記載の非一時的なコンピュータ読み取り可能な媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/011,033 | 2018-06-18 | ||
US16/011,033 US10839074B2 (en) | 2017-10-19 | 2018-06-18 | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019220132A true JP2019220132A (ja) | 2019-12-26 |
JP6861196B2 JP6861196B2 (ja) | 2021-04-21 |
Family
ID=69096692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018206539A Active JP6861196B2 (ja) | 2018-06-18 | 2018-11-01 | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6861196B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7465237B2 (ja) | 2020-06-26 | 2024-04-10 | アクロニス・インターナショナル・ゲーエムベーハー | アプリケーションにおける挙動の異常を検出するシステム、方法およびコンピュータ可読媒体 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009211293A (ja) * | 2008-03-03 | 2009-09-17 | Nec Corp | 通信制御システム、通信制御方法、及び通信制御用プログラム |
JP2013065168A (ja) * | 2011-09-16 | 2013-04-11 | Kddi Corp | アプリケーション解析装置およびプログラム |
JP2014513834A (ja) * | 2011-04-18 | 2014-06-05 | ファイヤアイ インク | マルウェア検出のための電子メッセージ分析 |
US20160366161A1 (en) * | 2015-06-15 | 2016-12-15 | Stealth Security, Inc. | Passive security analysis with inline active security device |
JP2017010258A (ja) * | 2015-06-22 | 2017-01-12 | 富士通株式会社 | 不正操作監視装置、不正操作監視方法および不正操作監視システム |
US9794287B1 (en) * | 2016-10-31 | 2017-10-17 | International Business Machines Corporation | Implementing cloud based malware container protection |
-
2018
- 2018-11-01 JP JP2018206539A patent/JP6861196B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009211293A (ja) * | 2008-03-03 | 2009-09-17 | Nec Corp | 通信制御システム、通信制御方法、及び通信制御用プログラム |
JP2014513834A (ja) * | 2011-04-18 | 2014-06-05 | ファイヤアイ インク | マルウェア検出のための電子メッセージ分析 |
JP2013065168A (ja) * | 2011-09-16 | 2013-04-11 | Kddi Corp | アプリケーション解析装置およびプログラム |
US20160366161A1 (en) * | 2015-06-15 | 2016-12-15 | Stealth Security, Inc. | Passive security analysis with inline active security device |
JP2017010258A (ja) * | 2015-06-22 | 2017-01-12 | 富士通株式会社 | 不正操作監視装置、不正操作監視方法および不正操作監視システム |
US9794287B1 (en) * | 2016-10-31 | 2017-10-17 | International Business Machines Corporation | Implementing cloud based malware container protection |
Non-Patent Citations (3)
Title |
---|
安藤槙悟ほか: "通信の遷移に着目した不正ダイレクトの検出によるWebサイト検知システムの提案", 情報処理学会研究報告, JPN6020025727, 5 July 2011 (2011-07-05), JP, pages 205 - 210, ISSN: 0004307396 * |
山内雅明ほか: "スマートホームIoTにおけるユーザ行動の学習に基づく異常検知手法", 信学技報, JPN6020025724, 7 December 2017 (2017-12-07), JP, pages 73 - 78, ISSN: 0004307395 * |
酒井崇裕ほか: "侵入挙動の反復性を用いたボット検知方式", 情報処理学会論文誌, JPN6020025729, 15 September 2010 (2010-09-15), JP, pages 1591 - 1599, ISSN: 0004307397 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7465237B2 (ja) | 2020-06-26 | 2024-04-10 | アクロニス・インターナショナル・ゲーエムベーハー | アプリケーションにおける挙動の異常を検出するシステム、方法およびコンピュータ可読媒体 |
Also Published As
Publication number | Publication date |
---|---|
JP6861196B2 (ja) | 2021-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10984097B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
RU2571723C2 (ru) | Система и способ для снижения нагрузки на операционную систему при работе антивирусного приложения | |
EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
EP2169582B1 (en) | Method and apparatus for determining software trustworthiness | |
US7895448B1 (en) | Risk profiling | |
EP2515250A1 (en) | System and method for detection of complex malware | |
US8561179B2 (en) | Method for identifying undesirable features among computing nodes | |
WO2012022225A1 (zh) | 一种基于云安全的主动防御方法 | |
KR101086203B1 (ko) | 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법 | |
US20170061126A1 (en) | Process Launch, Monitoring and Execution Control | |
US20190147163A1 (en) | Inferential exploit attempt detection | |
RU2531565C2 (ru) | Система и способ анализа событий запуска файлов для определения рейтинга их безопасности | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
JP6861196B2 (ja) | プログラムの危険な挙動のパターンをユーザのコンピュータシステムに適応させるシステムおよび方法 | |
WO2020027956A1 (en) | Listen mode for application operation whitelisting mechanisms | |
KR101880689B1 (ko) | 악성코드 진단장치 및 방법 | |
RU2665909C1 (ru) | Способ избирательного использования шаблонов опасного поведения программ | |
RU2652448C1 (ru) | Система и способ адаптирования шаблонов опасного поведения программ к компьютерным системам пользователей | |
JP2005234849A (ja) | 監視装置及び監視方法及びプログラム | |
JP2023177332A (ja) | コンピュータ又はコンピュータネットワークにおける脅威検出の構成及び方法 | |
CN117914582A (zh) | 一种进程挖空攻击的检测方法、装置、设备及存储介质 | |
CN113569239A (zh) | 恶意软件分析方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190624 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200629 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200721 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201012 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210323 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210329 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6861196 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |