JP2019512142A - トリップワイヤファイルを生成するためのシステム及び方法 - Google Patents

トリップワイヤファイルを生成するためのシステム及び方法 Download PDF

Info

Publication number
JP2019512142A
JP2019512142A JP2018546431A JP2018546431A JP2019512142A JP 2019512142 A JP2019512142 A JP 2019512142A JP 2018546431 A JP2018546431 A JP 2018546431A JP 2018546431 A JP2018546431 A JP 2018546431A JP 2019512142 A JP2019512142 A JP 2019512142A
Authority
JP
Japan
Prior art keywords
file
tripwire
initial
tripwire file
trip wire
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018546431A
Other languages
English (en)
Other versions
JP6789308B2 (ja
Inventor
グー・レイ
ソコロフ・イリヤ
ブーシャー・マット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2019512142A publication Critical patent/JP2019512142A/ja
Application granted granted Critical
Publication of JP6789308B2 publication Critical patent/JP6789308B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Retry When Errors Occur (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

トリップワイヤファイルを生成するためのコンピュータ実装方法は、(1)初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することであって、初期のトリップワイヤファイルが、初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成される、生成することと、(2)後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することであって、後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿って初期のトリップワイヤ生成計算と異なる、生成することと、(3)初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することと、(4)初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整することと、を含むことができる。様々な他の方法、システム、及びコンピュータ可読媒体も開示される。

Description

個人及び組織は、典型的に、それらのコンピューティングリソースを、対応するセキュリティ脅威から保護しようとする。例えば、企業組織は、これらのセキュリティ脅威からデバイスを保護するために、クライアント側のアンチウィルス製品を当該企業組織のコンピューティングデバイスにインストールすることができる。同様に、企業組織は、組織のコンピューティングネットワークに侵入する不必要なネットワークトラフィックをフィルタリングするために、ゲートウェイ側のファイアウォールをインストールすることができる。
コンピューティングリソースに対するセキュリティ脅威を生成する攻撃者は、ますます巧妙かつ攻撃的になっている。例えば、一部の攻撃者は、ランサムウェアと名付けられた新型のセキュリティ脅威を開発している。ランサムウェアは、ユーザから1つ以上のコンピューティングリソースをロックし、一方で、コンピューティングリソースをロックから解放することと引き換えに、ユーザが料金を支払うことなどのいくつかのタスクを行うことを要求する。例えば、ランサムウェアは、ユーザが対応するランサム金額を支払うまで、ユーザがクラウドベースの記憶システムにバックアップするバックアップファイルのうちの1つ以上をロックし得る。従来のアンチウィルス製品及びファイアウォール製品などの伝統的なセキュリティ機構は、上で概説したようなランサムウェアを含む、新しいセキュリティ脅威からユーザを保護するように最適化されていない場合がある。故に、本開示は、ランサムウェア及び他のセキュリティ脅威からユーザを保護するための、追加的かつ改善されたシステム及び方法の必要性を特定し、対処する。
下で更に詳細に説明されるように、本開示は、概して、例えば、トリップワイヤ(tripwire)ファイルを生成するためのアルゴリズムの異なる多形バージョンを作成すること、アルゴリズムのそれぞれの多形バージョンを使用して対応するトリップワイヤファイルを生成すること、制御されたシミュレーション環境及び/若しくは現場において種々のトリップワイヤファイル性能を評価すること、並びに/又は下で更に論じられるように、以前の一組のトリップワイヤファイルの性能の評価に基づいて受信した自動フィードバックに基づいて、将来のトリップワイヤを生成するためのアルゴリズムの1つ以上のバージョンを調整すること、によって、トリップワイヤを生成するためのシステム及び方法に関する。1つの例において、トリップワイヤファイルを生成するためのコンピュータ実装方法は、(1)初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することであって、初期のトリップワイヤファイルが、初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成される、生成することと、(2)後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することであって、後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿って初期のトリップワイヤ生成計算と異なる、生成することと、(3)初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することと、(4)初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整することと、を含むことができる。
1つの実施形態において、セキュリティ脅威としては、ランサムウェアエクスプロイトを挙げることができる。更なる実施形態において、後続のトリップワイヤ生成計算が初期のトリップワイヤ生成計算と異なる次元は、(1)対応するトリップワイヤファイルを命名するための命名規則、(2)対応するトリップワイヤファイルのサイズ、(3)対応するトリップワイヤファイルのファイルフォーマット、及び/又は(4)基礎となるコンテンツのアイテムから対応するトリップワイヤファイルを生成するためのアルゴリズム、を含むことができる。
いくつかの実施例において、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することは、バックアップ動作中に、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なるかどうかをチェックすることを含むことができる。いくつかの実施例において、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なるかどうかをチェックすることは、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異ならないと判定することを含むことができる。加えて、コンピュータ実装方法は、クライアントデバイスにおけるセキュリティ脅威を検出し、対応するトリップワイヤファイルがセキュリティ脅威の検出を有効にすることに失敗したと判定することを更に含むことができる。
更なる実施例において、ライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なるかどうかをチェックすることは、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なると判定することを含むことができる。1つの実施形態において、コンピュータ実装方法は、(1)クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なると判定することに応答して、クライアントデバイスにおけるセキュリティ脅威の存在をチェックすることと、(2)クライアントデバイスにおけるセキュリティ脅威を検出することと、(3)対応するトリップワイヤファイルがセキュリティ脅威の検出を有効にしたと判定することと、を更に含むことができる。
いくつかの実施例において、クライアントデバイスにおけるセキュリティ脅威を検出することは、クライアントデバイスのユーザに、クライアントデバイスにおけるセキュリティ脅威の存在を確認するようにダイアログを表示することを含むことができる。更なる実施例において、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することは、セキュリティベンダーサーバにおける制御されたシミュレーション環境内で、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つの性能を評価することを含むことができる。
1つの実施形態において、上で説明した方法を実施するためのシステムは、(1)メモリに記憶された生成モジュールであって、(A)初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成し、初期のトリップワイヤファイルが、初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成され、(B)後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成し、後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿った初期のトリップワイヤ生成計算と異なる、生成モジュールと、(2)メモリに記憶された受信モジュールであって、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信する、受信モジュールと、(3)メモリに記憶された調整モジュールであって、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整する、調整モジュールと、(4)生成モジュール、受信モジュール、及び調整モジュールを実行するように構成された少なくとも1つの物理的プロセッサと、を含むことができる。
いくつかの実施例において、上で説明した方法は、非一時的コンピュータ可読媒体上のコンピュータ可読命令としてコード化することができる。例えば、コンピュータ可読媒体は、1つ以上のコンピュータ実行可能命令を含むことができ、当該命令は、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されたときに、コンピューティングデバイスに、(1)初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することであって、初期のトリップワイヤファイルが、初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成される、生成すること、(2)後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することであって、後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿って初期のトリップワイヤ生成計算と異なる、生成すること、(3)初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信すること、並びに(4)初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整すること、を行わせる。
上述した実施形態のうちのいずれかからの特徴は、本明細書で説明される一般的な原理に従って、互いに組み合わせて使用することができる。これらの及び他の実施形態、特徴、並びに利点は、添付図面及び特許請求の範囲と併せて以下の詳細な説明を読めば、より完全に理解されるであろう。
添付図面は、いくつかの例示的な実施形態を例示し、また、本明細書の一部である。以下の説明と併せて、これらの図面は、本開示の種々の原理を示し、説明する。
トリップワイヤファイルを生成するための例示的なシステムのブロック図である。 トリップワイヤファイルを生成するための追加的で例示的なシステムのブロック図である。 トリップワイヤファイルを生成するための例示的な方法のフロー図である。 本明細書で説明されるシステム及び方法の実施形態に関する、例示的なグラフィカルユーザインターフェースのブロック図である。 本明細書で説明されるシステム及び方法の実施形態に関する、例示的なグラフィカルユーザインターフェースのブロック図である。 本明細書で説明及び/又は例示される実施形態のうちの1つ以上を実装することができる、例示的なコンピューティングシステムのブロック図である。 本明細書で説明及び/又は例示される実施形態のうちの1つ以上を実装することができる、例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照符号及び記述は、必ずしも同一ではないが、類似の要素を示す。本明細書で説明される例示的実施形態は、様々な修正物及び代替的な形態が可能であるが、特定の実施形態が例として図面に示されており、本明細書に詳細に記載される。しかしながら、本明細書に記載される例示的実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲内にある全ての修正物、等価物、及び代替物を網羅する。
本開示は、概して、トリップワイヤファイルを生成するためのシステム及び方法を対象とする。下で更に詳細に説明されるように、開示されるシステム及び方法は、他の属性及びアルゴリズムよりも優れているトリップワイヤファイルを生成するための属性及びアルゴリズムを識別する、多形性進化のプロセスを含むことができる。優れた性能をもたらす属性及びアルゴリズムを反復的に選択することによって、開示されるシステム及び方法は、一般的な性能及びトリップワイヤファイルの生成を段階的に改善すること、及び対応するセキュリティ脅威をより効果的に検出することができる。
以下、図1〜図2を参照して、トリップワイヤファイルを生成するための例示的なシステムの詳細な説明を提供する。対応するコンピュータ実装方法の詳細な説明もまた、図3〜5に関連して提供される。加えて、本明細書で説明される実施形態のうちの1つ以上を実装することができる、例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明が、それぞれ、図6及び図7に関連して提供される。
図1は、トリップワイヤファイルを生成するための例示的なシステム100のブロック図である。この図に例示されるように、例示的なシステム100は、1つ以上のタスクを行うための1つ以上のモジュール102を含むことができる。例えば、下で更に詳細に説明されるように、例示的なシステム100はまた、初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することができる、生成モジュール104も含むことができる。初期のトリップワイヤファイルは、初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成することができる。生成モジュール104はまた、後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することもできる。後続のトリップワイヤ生成計算は、1つ以上の次元に沿った初期のトリップワイヤ生成計算と異なり得る。
例示的なシステム100は、加えて、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することができる、受信モジュール106を含むことができる。例示的なシステム100は、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整することができる、調整モジュール108を更に含むことができる。別々の要素として例示されているが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの一部分を表すことができる。
特定の実施形態において、図1のモジュール102のうちの1つ以上は、コンピューティングデバイスによって実行されたときに、コンピューティングデバイスに1つ以上のタスクを行わせることができる、1つ以上のソフトウェアアプリケーション又はプログラムを表すことができる。例えば、下で更に詳細に説明されるように、モジュール102のうちの1つ以上は、図2に例示されるデバイス(例えば、コンピューティングデバイス202及び/又はサーバ206)、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の一部分などの、1つ以上のコンピューティングデバイスに記憶され、そこで動作するように構成された、ソフトウェアモジュールを表すことができる。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを行うように構成された1つ以上の専用コンピュータの全て又は一部分も表すことができる。
図1に例示されるように、例示的なシステム100はまた、データベース120などの、1つ以上のデータベースも含むことができる。1つの例において、データベース120は、生成アルゴリズム122を記憶するように構成することができ、これは、トリップワイヤファイルを生成するための生成アルゴリズムの種々の多形バージョンに対応することができる。生成アルゴリズムの種々の多形バージョンは、それぞれ、1つ以上の次元に沿って異なってもよく(例えば、ランダム又は準ランダムに異なってもよく)、それによって、下で更に論じられるように、トリップワイヤファイルを生成するための生成アルゴリズムの多形進化及び改善を可能にする。データベース120はまた、トリップワイヤフィンガープリント124を記憶するように構成することができる。本明細書で使用される場合、「フィンガープリント」という用語は、概して、2つのファイル間のフィンガープリントの違いがそれらの基礎となるコンテンツの違いを示すように、対応するファイルの正確なコンテンツを一意的に識別するデータの任意のアイテムを指す。概して、フィンガープリントは、それらの対応するファイルよりも小さくなる傾向がある。1つの例示的な実施形態において、フィンガープリントは、ハッシュに対応する。加えて、データベース120は、バックアップファイル126を記憶するように構成することができ、これは、記憶装置ベンダーによって提供されるクラウドベースの記憶サーバなどのバックアップサーバに自動的かつ定期的にバックアップするように構成されるファイルに対応することができる。例示的な実施形態において、開示されるシステム及び方法は、下で更に論じられるように、自動化されたバックアップ手順の状況で動作させることができる。
データベース120は、単一のデータベース若しくはコンピューティングデバイス、又は複数のデータベース若しくはコンピューティングデバイスの一部分を表すことができる。例えば、データベース120は、図2のサーバ206の一部分、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の一部分を表すことができる。代替的に、図1のデータベース120は、図2のサーバ206、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の一部分などのコンピューティングデバイスによってアクセスすることが可能な、1つ以上の物理的に分離したデバイスを表すことができる。
図1の例示的なシステム100は、様々な方式で実装することができる。例えば、例示的なシステム100の全て又は一部分は、図2の例示的なシステム200の一部分を表すことができる。図2に示されるように、システム200は、ネットワーク204を介してサーバ206と通信するコンピューティングデバイス202を含むことができる。1つの例において、コンピューティングデバイス202は、モジュール102のうちの1つ以上によってプログラムすることができ、及び/又はデータの全て又は一部分をデータベース120に記憶することができる。加えて、又は代替的に、サーバ206は、モジュール102のうちの1つ以上によってプログラムすることができ、及び/又はデータの全て又は一部分をデータベース120に記憶することができる。
1つの実施形態において、図1からのモジュール102のうちの1つ以上は、コンピューティングデバイス202及び/又はサーバ206の少なくとも1つのプロセッサによって実行されたときに、コンピューティングデバイス202及び/又はサーバ206が、トリップワイヤファイルを生成することを可能にすることができる。例えば、下で更に詳細に説明されるように、生成モジュール104は、初期のトリップワイヤ生成計算218に従って、初期のトリップワイヤファイル210を生成することができる。初期のトリップワイヤファイル210は、初期のトリップワイヤファイル210の修正がセキュリティ違反の調査をトリガーするように構成することができる。生成モジュール104はまた、後続のトリップワイヤ生成計算220に従って、後続のトリップワイヤファイル212を生成することもできる。後続のトリップワイヤ生成計算220は、少なくとも1つの次元に沿って初期のトリップワイヤ生成計算218と異なり得る。受信モジュール106は、初期のトリップワイヤファイル210及び後続のトリップワイヤファイル212のうちの少なくとも1つがセキュリティ脅威216の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することができる。調整モジュール108は、初期のトリップワイヤファイル210及び後続のトリップワイヤファイル212のうちの少なくとも1つがセキュリティ脅威216を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイル214の自動生成を調整することができる。
コンピューティングデバイス202は、概して、コンピュータ実行可能命令を読み出すことが可能な、任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、限定されないが、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラス、など)、ゲーミングコンソール、これらのうちの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、又は任意の他の適切なコンピューティングデバイスが挙げられる。
サーバ206は、概して、トリップワイヤファイルの生成及び/又は管理を容易にすることが可能である任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、限定されないが、種々のデータベースサービスを提供するように、及び/又は特定のソフトウェアアプリケーションを動作させるように構成されたアプリケーションサーバ及びデータベースサーバが挙げられる。
ネットワーク204は、概して、通信又はデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、限定されないが、イントラネット、ワイドエリアネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM(登録商標))ネットワーク)、図7の例示的なネットワークアーキテクチャ700、及び同類のものが挙げられる。ネットワーク204は、無線又は有線接続を使用して通信又はデータ転送を容易にすることができる。1つの実施形態において、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にすることができる。
図3は、トリップワイヤファイルを生成するための例示的なコンピュータ実装方法300のフロー図である。図3に示されるステップは、任意の適切なコンピュータで実行可能コード及び/又はコンピューティングシステムによって行うことができる。いくつかの実施形態では、図3に示されるステップは、図1のシステム100の構成要素、図2のシステム200、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の一部分、のうちの1つ以上によって行うことができる。
図3に例示されるように、ステップ302で、本明細書で説明されるシステムのうちの1つ以上は、初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することができる。初期のトリップワイヤファイルは、初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成することができる。例えば、生成モジュール104は、図2のサーバ206の一部として、初期のトリップワイヤ生成計算218に従って初期のトリップワイヤファイル210を生成することができる。
本明細書で使用される場合、「トリップワイヤファイル」という用語は、概して、より大きいセキュリティシステムの状況の範囲内で、その内部構成を通して、又はその配置を通して、トリップワイヤファイルの修正が潜在的なセキュリティ違反の調査をトリガーするように構成されるファイルを指す。例えば、ソフトウェアセキュリティシステムは、トリップワイヤファイルをユーザのファイルシステムのフォルダ内に挿入することができる。ソフトウェアセキュリティシステムは、トリップワイヤファイルが修正されることを意図しないことをユーザに通知することができる。加えて、又は代替的に、ソフトウェアセキュリティシステムは、トリップワイヤファイル名、拡張子、出力、及び/又は基礎となるコンテンツ(例えば、テキスト又はマルチメディアコンテンツ)が、ファイルがユーザによって修正されることを意図しないことを示すように、トリップワイヤファイルを構成することができる。例えば、トリップワイヤファイルは、セキュリティベンダーのウォーターマークを含むことができ、ウォーターマークは、ユーザがファイルを修正してはならないことを示す、ユーザに対する警告を含むことができる。加えて、又は代替的に、ソフトウェアセキュリティシステムは、このファイルを、ユーザのクライアントデバイスに、又はクライアントデバイスのオペレーティングシステム用にインストールされた対応するソフトウェアセキュリティ製品のためのより大きいフォルダ内の新しく生成されたフォルダなどの、不明瞭な、又は目立たない場所に挿入することができる。概して、ソフトウェアセキュリティシステムは、このファイルを、新しく生成した、及び/又はユーザによってアクセス又は修正される可能性が低いフォルダ内に挿入することができる。
続いて、トリップワイヤファイルの生成及び挿入の後に、ソフトウェアセキュリティシステムは、トリップワイヤファイルのための新しく計算されたフィンガープリントが以前に計算されたフィンガープリントに一致するかどうかどうかをチェックすることなどによって、トリップワイヤファイルが修正されたかどうかをチェックすることができる。本明細書で使用される場合、「トリップワイヤファイルが修正された」という語句は、概して、トリップワイヤファイルのコンテンツが改変されたこと、トリップワイヤファイルが暗号化されたこと、及び/又はトリップワイヤファイルが削除されたことを指す。ソフトウェアセキュリティシステムは、進行中のデータバックアップ動作の一部として、予め定義されたスケジュールに従って、このチェックを日常的又は定期的に行うことができる。フィンガープリントが一致しない場合、トリップワイヤファイルが「トリップされ」ており、これは、下で更に論じられるように、潜在的なセキュリティ違反を調査するようにソフトウェアセキュリティシステムをトリガーすることができる。
本明細書で使用される場合、「トリップワイヤ生成計算」という用語は、概して、トリップワイヤファイルを生成するための任意の式、アルゴリズム、及び/又は計算を指す。各トリップワイヤ生成計算は、(1)トリップワイヤファイルを生成するための基礎として使用される、基礎となるコンテンツを取得するための1つ以上のソース、(2)ソースから取得した基礎となるコンテンツの1つ以上のアイテムをどのように修正するべきかを示す、1つ以上のアルゴリズム、及び/又は(3)生成されたトリップワイヤファイルを挿入するための1つ以上の宛先、を指定することができる。基礎となるコンテンツを取得するためのソースは、トリップワイヤファイルの宛先としての同じ機械、ディスク、ボリューム、ペアレントフォルダ、及び/又はフォルダなどの、セキュリティベンダーからの、及び/又はユーザのクライアントデバイス上の、固定の、及び/又はランダム若しくは準ランダムなソースを含むことができる。ソースから取得した基礎となるコンテンツの1つ以上のアイテムをどのように修正するべきかを示す、1つ以上のアルゴリズムは、(1)基礎となるコンテンツの1つ以上のアイテムを修正するための方法、(2)結果として生じるトリップワイヤファイルを命名するためのファイル名規則、(3)結果として生じるトリップワイヤファイルのファイルフォーマット(例えば、MICROSOFT WORD文書、又はポータブルドキュメントフォーマット文書)、及び/又は(4)結果として生じるトリップワイヤファイルのサイズ、を更に指定することができる。生成されたトリップワイヤファイルを挿入するための宛先は、上で更に論じたように、基礎となるコンテンツの1つ以上のアイテムが取得された単一のクライアントデバイス及び/又は同じ場所若しくはフォルダ上の単一又は多数の宛先を含むことができる。
生成モジュール104は、様々な方式で初期のトリップワイヤファイルを生成することができる。概して、生成モジュール104は、初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することができる。初期のトリップワイヤ生成計算は、トリップワイヤファイルを生成するための多数の多形計算又はアルゴリズムのうちの1つに対応することができる。多形計算又はアルゴリズムは、下で更に論じられるように、種々の多形計算の1つ以上の命令、特徴、態様、及び/又は属性を(例えば、ランダム又は半ランダムに)変動させることができ、それによって、トリップワイヤファイルの性能及び生成の選択、進化、及び改善を可能にするという点で、多形であり得る。
ステップ304で、本明細書で説明されるシステムのうちの1つ以上は、後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することができる。後続のトリップワイヤ生成計算は、少なくとも1つの次元に沿って初期のトリップワイヤ生成計算と異なり得る。例えば、生成モジュール104は、図2のサーバ206の一部として、後続のトリップワイヤ生成計算220に従って後続のトリップワイヤファイル212を生成することができる。
本明細書で使用される場合、「少なくとも1つの次元に沿って初期のトリップワイヤ生成計算と異なる」という語句は、概して、初期のトリップワイヤ生成計算及び後続のトリップワイヤ生成計算が、基礎となるトリップワイヤ生成計算の2つの異なる多形のバリアント又はバージョンであり、よって、2つの異なる計算が、対応するトリップワイヤファイルを異なる方式で生成することを指す。例えば、異なる計算は、異なるソースから、結果として生じるトリップワイヤファイルのための基礎となるコンテンツを取得することができ、基礎となるコンテンツを異なる方式で修正することができ、異なるサイズを有するトリップワイヤファイルを生成することができ、異なるファイルフォーマットを有するトリップワイヤファイルを生成することができ、異なるファイル名又は命名規則を有するトリップワイヤファイルを生成することができ、及び/又は結果として生じるトリップワイヤファイルを対応するクライアントデバイス内の異なるフォルダ又は場所に配置若しくは挿入することができる。概して、1つの多形トリップワイヤ生成計算のバリアントの任意のルール、命令、属性、修正、値、及び/又はステップは、固定、ランダム、又は準ランダムな修正パターンに従って別の多形トリップワイヤ生成計算バリアントと異なり得る。更なる実施例において、生成モジュール104は、1つ以上の変数(例えば、ソースの場所、サイズ、命名規則、ファイルフォーマット、宛先の場所、など)について、異なる値(例えば、ランダム又は準ランダムな値)の間で繰り返して、トリップワイヤファイルの多形バリアントを系統的に生成することができる(例えば、それによって、トリップワイヤ生成計算において使用される異なる変数の間でループしながら、各変数について異なる値の間をループする入れ子式ループを行う)。
更に、本明細書で使用される場合、「多形」という用語は、概して、バリアントのトリップワイヤ生成計算の生成を指し、よって、これらのバリアント計算は、上で論じたように、1つ以上のメトリックに沿って最良に機能する計算及び対応するトリップワイヤファイルの選択を、並びにランダム若しくは準ランダムな変異及び選択に従う基礎となるトリップワイヤ生成計算の対応する進化を可能にするために、1つ以上の次元に沿って異なる。故に、トリップワイヤ生成計算の変異、選択、及び進化は、下で更に論じられるように、トリップワイヤファイルの性能及び生成を改善することができる。
ステップ306で、本明細書で説明されるシステムのうちの1つ以上は、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することができる。例えば、受信モジュール106は、図2のサーバ206の一部として、初期のトリップワイヤファイル210及び後続のトリップワイヤファイル212のうちの少なくとも1つがセキュリティ脅威216の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することができる。
本明細書で使用される場合、「セキュリティ脅威」という用語は、概して、コンピューティング若しくはネットワークセキュリティの任意のマルウェア、エクスプロイト、侵入、及び/又は他の危殆化を指す。1つの実施形態において、セキュリティ脅威としては、ランサムウェアエクスプロイトを挙げることができる。概して、ステップ306のセキュリティ脅威は、ステップ302の潜在的なセキュリティ違反に対応することができる。
本明細書で使用される場合、「セキュリティ脅威の検出を有効にする」という語句は、概して、トリップワイヤファイルが配置されたセキュリティシステム全体という状況の範囲内で、トリップワイヤファイルの変化が、下で更に論じられるように、実際のセキュリティ脅威の検出(例えば、「真陽性」の結果)につながる潜在的なセキュリティ脅威の調査をトリガーするように機能する、トリップワイヤファイルを指す。
本明細書で使用される場合、「自動化されたフィードバック」という用語は、概して、上で概説したように、ステップ302及び304に従って生成されたトリップワイヤファイルを展開及び評価するためのプロセスにおいてソフトウェアセキュリティシステムが自動的に受信又は収集する、フィードバックを指す。例えば、ソフトウェアセキュリティシステムは、トリップワイヤファイルを定期的にスキャンして、トリップワイヤファイルが変更されたかどうか(例えば、それらのフィンガープリントが変更されたかどうか)を検出することができる。並行して、システム100及び200などのソフトウェアセキュリティシステムは、対応する企業クライアントデバイスにおいてクライアント側のアンチウィルス及びマルウェア保護システムによって検出された、検出されたセキュリティ脅威の指示を受信するなどの、セキュリティ脅威の検出について系統的又は連続的に監視することができる。加えて、ソフトウェアセキュリティシステムは、1つ以上のトリップワイヤファイルが修正されたことを検出することに応答して、潜在的なセキュリティ違反の調査をトリガーすることができる。
概して、ソフトウェアセキュリティシステムは、(A)トリップワイヤファイルが、対応するクライアントデバイスにおいてセキュリティ脅威が実際に存在することに起因して変更された(すなわち、真陽性)と検出されたのか、(B)トリップワイヤファイルが、対応するクライアントデバイスにおいてセキュリティ脅威が実際に存在するにもかかわらず変更されなかった(すなわち、偽陰性)のか、(C)トリップワイヤファイルが、対応するクライアントデバイスにおいてセキュリティ脅威が実際に存在しないことに起因して変更されなかった(すなわち、真陰性)のか、及び/又は(D)トリップワイヤファイルが、対応するクライアントデバイスにおいてセキュリティ脅威が実際に存在しなかったにもかかわらず変更された(すなわち、ユーザ又は他のエンティティがセキュリティ脅威を構成していないにもかかわらず、ユーザ又は他のエンティティトがリップワイヤファイルを修正することに起因する、偽陽性)のか、をチェックすることによって、多形トリップワイヤ生成計算バリアント及び結果として生じるトリップワイヤファイルの性能を評価することができる。概して、真陽性又は真陰性は、偽陽性又は偽陰性よりも高い性能レベルを示すことができる。故に、調節モジュール108は、真陽性若しくは真陰性をもたらしたトリップワイヤ生成計算により近く類似するようにトリップワイヤ生成計算を調整すること、及び/又は偽陽性若しくは偽陰性をもたらしたトリップワイヤ生成計算と相違するようにトリップワイヤ生成計算を調整すること、などによって、受信した自動化されたフィードバックに基づいて1つ以上のトリップワイヤ生成計算を調整することができる。
より一般的には、受信モジュール106は、検出された真陽性、偽陽性、真陰性、及び/又は偽陰性の数又は比率に基づいて多形トリップワイヤ生成計算バリアントを評価することができる。受信モジュール106は、多数のトリップワイヤファイルのバリアント及び/又はクライアントデバイス(例えば、数十、数百、数千、数万、及び/若しくは数百万、又は任意の他の恣意的な数のクライアントデバイスに展開され、各クライアントデバイスが1つ以上のそれぞれのトリップワイヤファイルのバリアントの1つ以上のインスタンスを受信する、数十、数百、数千、数万、及び/若しくは数百万、又は任意の他の恣意的な数のトリップワイヤファイル)に対応する、自動フィードバックとして、これらの種々の指示を受信することができる。
例えば、1つのトリップワイヤ生成計算のバリアントを使用して、同じトリップワイヤファイルの10個の異なるインスタンスを生成することができ、これらは、同じクライアントデバイス上の10個の異なる場所に挿入することができる。同様に、第2のトリップワイヤ生成計算を使用して、第2のトリップワイヤファイルの5つの異なるインスタンスを生成することができ、これらは、同じクライアントデバイス上の5つの異なる、又は重なる場所に挿入することができる。類似する様態において、種々の同じ又は異なるトリップワイヤファイルのバリアントは、単一のコピー又は多数のコピーとして、ネットワーク、領域、国、及び/又は世界全体にわたる多数の他のクライアントデバイスに展開されることができる。これらのクライアントデバイスの各々から、受信モジュール106などのサーバ側製品又はモジュールは、真陽性、偽陽性、真陰性、及び/又は偽陰性を検出するために、系統的又は連続的に監視することができる。受信モジュール106は、その後に、これらの指示の数又は比率を集計して、対応するトリップワイヤ生成計算のバリアントに関する性能スコア(例えば、1〜10のスケールに沿った十進スコア)を計算又は指定することができる。加えて、又は代替的に、トリップワイヤファイルのバリアントのいくつか又は全ては、現場において評価するのではなく、対応するセキュリティベンダーによって管理される制御されたシミュレーション環境において評価することができる。1つ以上のトリップワイヤ生成計算のバリアントの性能を評価した後に、調節モジュール108は、更に上で論じたように、別のトリップワイヤ生成計算のバリアントよりも良好に機能するトリップワイヤ生成計算のバリアントにより近く類似するように、トリップワイヤ生成計算を調整することができる。
図4は、本明細書に開示されるシステム及び方法を更に説明するための有用な実施例に対応する、種々のトリップワイヤファイルのバリアントの説明図を提供する。この図に示されるように、4つの異なるグラフィカルユーザインターフェース(「GUI」)、GUI 402、GUI 404、GUI 406、及びGUI 408は、セキュリティ脅威の検出を容易にするために種々のトリップワイヤファイルのバリアントのインスタンスが挿入された、異なるクライアントデバイスに対応することができる。GUI 402は、第1のトリップワイヤファイルのバリアントtripwire1.pdfの2つのインスタンス、並びに第2のトリップワイヤファイルのバリアントtripwire2.docの1つのインスタンスが、このクライアントデバイスに挿入されたことを示す。加えて、ランサムウェアエクスプロイト(すなわち、ransomware1.exe)が、このクライアントデバイスで検出されている。このクライアントデバイスにおける全てのトリップワイヤファイルのバリアントのインスタンスが変更されたものとして検出され(例えば、受信モジュール106が、それらのフィンガープリントが変更されたことを検出し)、それによって、真陽性を更に示す。
GUI 404は、第1のトリップワイヤファイルのバリアントの2つのインスタンス及び第3のトリップワイヤファイルのバリアントtripwire3.pdfの2つのインスタンスが、このクライアントデバイスにおいて挿入されたことを示す。GUI 404に示されるように、いかなるランサムウェア又は他のエクスプロイトもこのコンピューティングデバイスに存在しないにもかかわらず、第1のトリップワイヤファイルのバリアントの1つのインスタンス及び第3のトリップワイヤファイルのバリアントの2つのインスタンスが、変更されたものとして検出され、それによって、偽陽性を示す。第1のトリップワイヤファイルのバリアントの1つのインスタンスは、変更されておらず、それによって、真陰性を示す。
更に、GUI 406は、第1のトリップワイヤファイルのバリアントの2つのインスタンス、第2のトリップワイヤファイルのバリアントの1つのインスタンス、及び第3のトリップワイヤファイルのバリアントの1つのインスタンスが、このクライアントデバイスにおいて挿入されたことを示す。加えて、GUI 406は、同じransomware1.exeがこのクライアントデバイスにおいて検出されたことを示す。更に、第1のトリップワイヤファイルのバリアントの2つのインスタンス及び第2のトリップワイヤファイルのバリアントの1つのインスタンスが、変更されたものとして検出され、それによって、真陽性を示す。第3のトリップワイヤファイルのバリアントの単一のインスタンスが変更されておらず、それによって、偽陰性を示す。
GUI 408は、第1のトリップワイヤファイルのバリアントの2つのインスタンス、並びに第3のトリップワイヤファイルのバリアントの1つのインスタンスが、このクライアントデバイスにおいて挿入されたことを示す。加えて、GUI 408は、ランサムウェア又は他のエクスプロイトがこのクライアントデバイスに存在しないことを更に示す。第3のトリップワイヤファイルのバリアントの単一のインスタンスが、変更されたものとして検出され、それによって、偽陽性を示す。第1のトリップワイヤファイルのバリアントの2つのインスタンスは、変更されておらず、それによって、真陰性を示す。
より一般的には、受信モジュール106は、バックアップ動作中に、クライアントデバイス(例えば、tripwire1.pdf及び/又はtripwire3.pdf)上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶した同じトリップワイヤファイルの以前に計算したフィンガープリントと異なるかどうかをチェックすることによって、初期のトリップワイヤファイル(例えば、tripwire1.pdf)及び後続のトリップワイヤファイル(例えば、tripwire3.txt)のうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することができる。図4に示されるように、受信モジュール106は、1つ以上のトリップワイヤファイルのバリアントが変更されたかどうかをチェックすることができる。受信モジュール106は、(1)セキュリティ脅威(例えば、ransomware1.exe)の存在を検出することに応答して、並びに/又は(2)ソフトウェアセキュリティのスケジュール若しくはデータバックアップのスケジュールに従ってプリエンプティブに、系統的に、及び/若しくは連続的に、トリップワイヤファイルのバリアントのうちの1つ以上が変更されたかどうかをチェックすることができる。
特に、セキュリティ脅威の検出は、対応するトリップワイヤファイルが変更されたどうかを、及びその逆も同様にチェックすることをトリガーすることができる(すなわち、トリップワイヤファイルにおける変更の検出は、ユーザプロンプトを通して、又はクライアント側アンチウィルス製品を通して、セキュリティ脅威がクライアントデバイスに存在するかどうかをチェックすることをトリガーすることができる)。したがって、情報の1つのアイテム(例えば、セキュリティ脅威が存在するかどうか)を取得することは、情報の別のアイテム(例えば、トリップワイヤファイルが変更されたかどうか)を取得すること、又はその逆も同様にトリガーすることができ、それによって、受信モジュール106が、情報のこれらの2つのアイテムが真陽性、偽陽性、真陰性、及び/又は偽陰性のどれを示すのかを判定することを可能にする。加えて、いくつかの実施例において、フルリストア手順の検出は、ランサムウェア攻撃などのセキュリティ脅威の確認につながる調査をトリガーすることができる。ユーザが既存のバックアップからフルリストアを実行しようとするときには常に、受信モジュール106は、ユーザが同じ機械及び/又は同じディスクに対するリストアであるかどうかを随意に(例えば、サーバ側及び/又はクライアント側を)チェックすることができる。そういう場合であれば、そのユーザは、ランサムウェア攻撃などのエクスプロイトの被害者である可能性がある。受信モジュール106は、次いで、偽陰性を示し得る確認をユーザにダイアログ表示すること、及び/又はアンチウィルススキャンを動作させることなどによって、リストアがエクスプロイト(例えば、ランサムウェア攻撃)に起因するかどうかをチェックするためのセキュアな調査を開始することができる。更に、いくつかの実施例において、受信モジュール106は、いかなる真陰性の計算をトリガーする対応するセキュリティイベント(例えば、セキュリティ脅威の検出又は変更されたトリップワイヤファイルの検出)もないので、真陰性を考慮し得ない。
更なる実施例において、受信モジュール106は、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異ならない(すなわち、フィンガープリントがサーバに記憶されている)と判定することによって、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なるかどうかをチェックすることができる。例えば、受信モジュール106は、tripwire1.pdfの1つのインスタンスがGUI 404において変更されなかった、tripwire3.txtの1つのインスタンスがGUI 406において変更されなかった、及びtripwire1.pdfの両方のインスタンスがGUI 408において変更されなかった、と判定することができる。
更なる実施形態において、受信モジュール106は、(1)クライアントデバイスにおいてセキュリティ脅威を検出すること、及び(2)対応するトリップワイヤファイルがセキュリティ脅威の検出を有効にすることに失敗したと判定することができる。例えば、受信モジュール106は、GUI 406においてセキュリティ脅威(すなわち、ransomware1.exe)を検出し、更に、tripwire3.txtが変更されなかったと判定することができ、それによって、偽陰性を示す。
他の例において、受信モジュール106は、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶した同じトリップワイヤファイルの以前に計算したフィンガープリントと異なると判定することができる。例えば、受信モジュール106は、GUI 402、GUI 404、GUI 406、及びGUI 408において「[変更有]」の標識のインスタンスによって示されるように、トリップワイヤファイルのバリアントのインスタンスが変更されたと判定することができる。更なる例において、受信モジュール106は、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶した同じトリップワイヤファイルの以前に計算したフィンガープリントと異なると判定することに応答して、クライアントデバイスにおけるセキュリティ脅威の存在についてチェックすることができる。例えば、トリップワイヤファイルのバリアント(例えば、tripwire1.pdf)がGUI 402において変更されたと検出することに応答して、受信モジュール106は、セキュリティ脅威がクライアントデバイスに存在するかどうかを調査することができる。例えば、受信モジュール106は、クライアントデバイスのユーザに(例えば、同じ又は異なるクライアントデバイスの電話、テキストメッセージ、電子メール、及び/又はセキュリティ製品の警報を通して)、クライアントデバイスにおけるセキュリティ脅威、エクスプロイト、及び/又はマルウェアの存在を確認するようにダイアログを表示することができる。加えて、又は代替的に、受信モジュール106は、アンチウィルス又はアンチマルウェア製品によって行われるウィルススキャンなどの、ソフトウェアのセキュリティスキャンをトリガーすることができ、これは、クライアントデバイスにおけるセキュリティ脅威を更に検出することができる。クライアントデバイスにおいてセキュリティ脅威(例えば、GUI 402のransomware1.exe)を検出すると、受信モジュール106は、対応するトリップワイヤファイル(例えば、tripwire1.pdf又はtripwire2.doc)が、セキュリティ脅威の検出を有効にしたと判定することができ、それによって、真陽性を示す。
特に、図5は、GUI 402及びGUI 408の更なる詳細を示す。この実施例において、GUI 402は、ポップアップウインドウ502を更に含むことができ、これは、ransomware1.exeからのランサム要求のテキストを更に含む。この図に更に示されるように、テキストは、「あなたのコンピュータは、ランサム攻撃を受けています!あなたのコンピュータのロックを解除するには、RANSOM@GMAIL.COMまでPAYPALで100ドル送信してください。」と提示する。加えて、図5は、GUI 408、userfile2.txt、及びtripwire1.pdfに列挙される2つのファイルのコンテンツを更に示す。この実施例において、tripwire1.pdfは、基礎となるコンテンツとして、userfile2.txtを使用して生成モジュール104によって生成することができる。具体的には、生成モジュール104は、userfile2.txtの第1の部分を第2のテキスト文書に抜粋することができ、次いで、そのテキスト文書をポータブルドキュメントフォーマットに変換し、それによって、tripwire1.pdfを生成することができ、そのコンテンツがこの図に更に示される。
いくつかの例において、生成モジュール104は、通常の非トリップワイヤファイルとして、トリップワイヤファイルの偽装を最大にする様態でトリップワイヤファイルを生成することができる。例えば、生成モジュール104は、ユーザがファイルを修正してはならないことを示すいかなる警告も、トリップワイヤファイルコンテンツ又はメタデータ内に含むことができない。いくつかの例において、生成モジュール104は、ファイルがトリップワイヤファイルである旨の指示さえもファイル名にプットし得ない(例えば、生成モジュール104は、「tripwire1.pdf」の代わりに、ファイル「grocery list.pdf」と命名することができる)。他の例において、生成モジュール104は、随意に、ファイルがトリップワイヤファイルである旨の1つ以上の指示を、コンテンツ及び/又はメタデータ内のトリップワイヤファイルに挿入することができる。
ステップ308で、本明細書で説明されるシステムのうちの1つ以上は、初期のトリップワイヤファイル及び後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整することができる。例えば、調整モジュール108は、図2のサーバ206の一部として、初期のトリップワイヤファイル210及び後続のトリップワイヤファイル212のうちの少なくとも1つがセキュリティ脅威216を検出することに失敗したかどうかを示す自動化されたフィードバックに基づいて、第3のトリップワイヤファイル214の自動生成を調整することができる。
概して、調整モジュール108は、1つ以上性能メトリックに沿った別のトリップワイヤ生成計算よりも良好に機能するトリップワイヤ生成計算により近く類似する様態で第3のトリップワイヤファイルが生成されるように、第3のトリップワイヤファイルの生成を調整することができる。これらの性能メトリックは、第2の基礎となる性能メトリックに沿ったより高いランク、真陽性及び/若しくは真陰性のより高い比率数、並びに/又は偽陽性及び/若しくは偽陰性のより少ない数若しくは比率を含むことができる。例えば、受信モジュール106及び/又は調整モジュール108は、1つ以上のヒューリスティックを使用して、多数の異なるトリップワイヤ生成計算を評価することができ、当該1つ以上のヒューリスティックは、真陽性、真陰性、偽陽性、及び/又は偽陰性の受信した指示に基づくことができ、それによって、結果として生じる性能メトリックスコア(例えば、1〜10のスケールに沿った十進スコア)を生成する。調整モジュール108は、次いで、1つ以上の定義された閾値(例えば、2.0を超える性能メトリックスコア、真陽性/偽陽性、その他、に従う評価計算の上位20%)を満たした、1つ以上のトリップワイヤ生成計算を選択することができる。
概して、調整モジュール108は、トリップワイヤ生成計算の性能を評価するための全体的な評価計算への入力として、(1)基礎となる性能メトリックスコアに従う他のランクの間の計算のランク、(2)真陽性の数、(3)偽陽性の数、(4)真陰性の数、及び/又は(5)偽陰性の数、のうちの任意の1つ以上を使用することができる。より一般的には、調整モジュール108は、更に上で論じたように、どの属性が他の属性よりも良好に機能するのかを識別し、次いで、新しく作成されたトリップワイヤファイル後続の生成又はバッチにおいてそうした優れた属性をプロモートすることによって、トリップワイヤ生成計算属性の変異、選択、及び進化を実装又は促進することができる。
図4の実施例において、tripwire3.txtが(GUI 404及びGUI 408において)偽陽性をもたらし、かつ(GUI 406において)偽陰性をもたらしたので、tripwire3.txtを生じたトリップワイヤ生成計算は、明らかに他のものよりも劣っている。tripwire1.pdfが(GUI 404において)偽陽性を生じたので、残り2つのトリップワイヤファイルのうち、tripwire1.pdfは、おそらく、tripwire2.docよりもわずかに劣って機能した。それでもやはり、tripwire1.pdfの展開されたインスタンスの数は、tripwire2.docの展開されたインスタンスの数と異なり、この事実は、結果として生じるランキング及び性能メトリックを改変すること、又は影響を及ぼすことがあり得る。より一般的には、トリップワイヤファイルの性能を評価するための異なるヒューリスティックは、異なるランキング及び/又は性能スコアをもたらし得る。
図3における方法300と関連して上で説明したように、開示されるシステム及び方法は、他の属性及びアルゴリズムよりも優れている、トリップワイヤファイルを生成するための属性及びアルゴリズムを識別するための、多形性進化のプロセスを含むことができる。優れた性能をもたらす属性及びアルゴリズムを反復的に選択することによって、開示されるシステム及び方法は、一般的な性能及びトリップワイヤファイルの生成を段階的に改善すること、及び対応するセキュリティ脅威をより効果的に検出することができる。
以下は、開示されるシステム及び方法の実施形態のより具体的な説明を提供する。ランサムウェア攻撃は、過去数年にわたって急激に増加している。この攻撃は、単にデバイスからユーザを締め出すことから、ユーザのディスク全体を暗号化することに及ぶ。暗号ロックは、ユーザのファイルシステムを暗号化し、暗号解読鍵と引き換えに身代金を要求する、ランサムウェアの一形態である。暗号化アルゴリズムは、最近の攻撃においてより巧妙になってきており、暗号解読鍵を伴わずにユーザのファイルを解読するいかなる簡単な方法もない。
戦略的な場所に配置されたトリップワイヤファイルを使用して、トリップワイヤファイルのいずれかが改竄された(例えば、修正された、削除された、又は暗号化された)場合に、暗号ロック攻撃を検出することができる。しかしながら、これらのトリップワイヤファイルが正しく生成されない(静的コンテンツ、小さ過ぎる、命名パターンに従っている、など)場合、それらは、ランサムウェアエクスプロイトによって容易に検出し、迂回することができる。ランサムウェアエクスプロイトは、進化し続けており、これらのエクスプロイトの作成者は、エクスプロイトが検出されなくなるような方式を探している。課題は、ランサムウェアエクスプロイトによってトリップワイヤファイルを検出すること、及び迂回することができないように、有効なトリップワイヤファイルを生成することである。
開示されるシステム及び方法は、クラウドソーシング及び予測分析を通して暗号ロック攻撃を検出するために有効なトリップワイヤファイルを生成するという問題に対処する。有効なトリップワイヤファイルは、ランサムウェアから見れば通常のファイルであるように見えるので、暗号ロック攻撃中にそれらが迂回されることはない。最初に、各フォルダのコンテンツに基づいて(例えば、各フォルダは、バックアップシステムによってバックアップされる)トリップワイヤファイルをランダムに生成することができ、アルゴリズム及び他のファイルサイズ及びファイル名のようなファイル属性を変動させる。各生成されたトリップワイヤファイル及び生成アルゴリズムは、更に、エンドポイントコンピューティングデバイスに関する情報とともに、クラウドに記憶することができる。例えば、(1)トリップワイヤファイルとして静的セキュリティベンダーのロゴ画像ファイルを挿入すること、(2)画像のライブラリからランダムな画像を選択すること、(3)指定された場所においてユーザの既存の画像のごく一部分をランダムに切り取ること、(4)現在のディレクトリから既存の画像を選択し、セキュリティベンダーのロゴウォーターマークを当該画像に加えること、及び/又は(5)クリップをランダムに選択し、セキュリティベンダーのロゴウォーターマークを追加することによって、ユーザの指定したビデオに基づいて小さいビデオを作成すること、の各々は、トリップワイヤファイルを生成するためのバリアントアルゴリズムに対応することができる。これらの生成された全てのトリップワイヤファイルは、クラウドベースのシミュレーション環境にアップロードし、既知のランサムウェアエクスプロイトに対するそれらの効果を試験することができる。結果を予測モデルに送給して、将来のトリップワイヤ生成アルゴリズムを精緻化することができる。
加えて、開示されるシステム及び方法は、バックアッププロセス中に、これらのトリップワイヤファイルの有効性に関する統計を収集することができる。潜在的な暗号ロック攻撃確認されたときには、ユーザのバックアッププロセスを停止することができ、ソフトウェアセキュリティ製品によってユーザに警告することができる。ユーザは、次いで、セキュリティ脅威の存在を確認するように、又は代わりに偽陽性を確認するようにダイアログが表示される。例えば、全ての修正されたファイル(例えば、その日の間に修正された全てのファイル)をユーザに提示し、次いで、ランサムウェアエクスプロイトなどのセキュリティ脅威ではなく、ユーザが当該ファイルを修正したことを確認することができる。クライアントデバイスは、識別を誘発したエンドポイントを識別する情報とともに、真陽性及び偽陽性の両方をセキュリティベンダーのバックエンドサーバに報告することができる。
ユーザが(トリップワイヤファイルが有効であったため)暗号ロックされ、直近の影響を受けていないバックアップからリストアすることによって暗号ロック攻撃からリストアする必要がある場合、バックアップクライアントは、リストアが最近の暗号ロック攻撃の結果であることを確認するようユーザに依頼することができる。無効なトリップワイヤファイルに関する情報、並びに関連するエンドポイントを識別する情報は、セキュリティベンダーのバックエンドサーバに伝送することができる。有効及び無効なトリップワイヤファイル及びそれらの生成アルゴリズムに関する自動的に受信したフィードバックに基づいて、開示されるシステム及び方法は、最も有効なファイルタイプ及びそれらの対応するアルゴリズムを識別して、最も有効なトリップワイヤファイルをユーザのクライアントデバイス上の場所に生成するように、予測モデルを精緻化することができる。1つの例示的な例として、モデルは、最も有効なファイルタイプが、MICROSOFT WORD文書であると判定すること、及び最も有効な方法が、既存のWORD文書を取り込み、そのコピーを作製し、一方で、ウォーターマークを追加することであると判定することができる。開示されるシステム及び方法は、現場のクライアントデバイスから得られる詳細に基づいて、トリップワイヤファイルの生成を進化させ続けることができ、それによって、トリップワイヤ生成計算の変異、選択、及び進化を効果的にクラウドソーシングして、トリップワイヤファイルの性能を改善する。
図6は、本明細書で説明及び/又は例示される実施形態のうちの1つ以上を実装することが可能な、例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部分は、単独で又は他の要素と組み合わせて、本明細書で説明されるステップのうちの1つ以上(図3に例示されるステップのうちの1つ以上など)を行うことができ、及び/又は行うための手段とすることができる。コンピューティングシステム610の全て又は一部分はまた、本明細書で説明及び/又は例示される任意の他のステップ、方法、又はプロセスを行うことができ、及び/又は行うための手段とすることができる。
コンピューティングシステム610は、コンピュータ可読命令を実行することが可能な、任意のシングル又はマルチプロセッサのコンピューティングデバイス又はシステムを広く表す。コンピューティングシステム610の例としては、限定されないが、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は任意の他のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614と、システムメモリ616と、を含むことができる。
プロセッサ614は、概して、データを処理すること、又は命令を解釈し、実行することが可能な、任意のタイプ又は形態の処理ユニット(例えば、ハードウェア実装型中央処理ユニット)を表す。特定の実施形態において、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信することができる。これらの命令は、プロセッサ614に、本明細書で説明及び/又は例示される例示的な実施形態のうちの1つ以上の機能を行わせることができる。
システムメモリ616は、概して、データ及び/又は他のコンピュータ可読命令を記憶することが可能な、任意のタイプ又は形態の揮発性又は不揮発性記憶デバイス若しくは媒体を表す。システムメモリ616の例としては、限定されないが、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態において、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、以下で詳細に説明されるような一次記憶デバイス632など)の両方を含むことができる。1つの例において、図1からのモジュール102のうちの1つ以上は、システムメモリ616に搭載することができる。
特定の実施形態において、例示的なコンピューティングシステム610はまた、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素も含むことができる。例えば、図6に例示されるように、コンピューティングシステム610は、メモリコントローラ618と、入力/出力(I/O)コントローラ620と、通信インターフェース622と、を含むことができ、これらはそれぞれ、通信基盤612を介して相互接続することができる。通信基盤612は、概して、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることが可能な、任意のタイプ又は形態の基盤を表す。通信基盤612の例としては、限定されないが、通信バス(業界標準アーキテクチャ(ISA)、周辺構成要素相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ618は、概して、メモリ又はデータを扱うこと、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御することが可能な、任意のタイプ又は形態のデバイスを表す。例えば、特定の実施形態において、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御することができる。
I/Oコントローラ620は、概して、コンピューティングデバイスの入力及び出力機能を調整及び/又は制御することが可能な、任意のタイプ又は形態のモジュールを表す。例えば、特定の実施形態において、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶装置インターフェース634などの、コンピューティングシステム610の1つ以上の要素間におけるデータの転送を制御すること、又は容易することができる。
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることが可能な、任意のタイプ又は形態の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態において、通信インターフェース622は、コンピューティングシステム610と、追加的なコンピューティングシステムを含むプライベート又はパブリックネットワークとの間の通信を容易にすることができる。通信インターフェース622の例としては、限定されないが、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び任意の他の適切なインターフェースが挙げられる。少なくとも1つの実施形態において、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供することができる。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は任意の他の適切な接続を通して、そのような接続を間接的に提供することもできる。
特定の実施形態において、通信インターフェース622はまた、外部バス又は通信チャネルを介して、コンピューティングシステム610と1つ以上の追加的なネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタも表すことができる。ホストアダプタの例としては、限定されないが、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、電気電子技術者協会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタ、又は同類のものが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することも可能にすることができる。例えば、通信インターフェース622は、実行のためにリモートデバイスから命令を受信すること、又はリモートデバイスに命令を送信することができる。
図6に示されるように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介して通信基盤612に結合された、少なくとも1つのディスプレイデバイス624も含むことができる。ディスプレイデバイス624は、概して、ディスプレイアダプタ626によって転送される情報を視覚的に表示することが可能な、任意のタイプ又は形態のデバイスを表す。同様に、ディスプレイアダプタ626は、概して、ディスプレイデバイス624に表示するために、通信基盤612から(又は当該技術分野において知られているようなフレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ又は形態のデバイスを表す。
図6に示されるように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介して通信基盤612に結合された、少なくとも1つの入力デバイス628も含むことができる。入力デバイス628は、概して、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム610に提供することが可能な、任意のタイプ又は形態の入力デバイスを表す。入力デバイス628の例としては、限定されないが、キーボード、ポインティングデバイス、音声認識デバイス、又は任意の他の入力デバイスが挙げられる。
図6に示されるように、例示的なコンピューティングシステム610はまた、記憶装置インターフェース634を介して通信基盤612に結合された、一次記憶デバイス632及びバックアップ記憶デバイス633も含むことができる。記憶デバイス632及び633は、概して、データ及び/又は他のコンピュータ可読命令を記憶することが可能な、任意のタイプ又は形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブ、又は同類のものとすることができる。記憶インターフェース634は、概して、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ又は形態のインターフェース又はデバイスを表す。1つの例において、図1からのデータベース120は、一次記憶デバイス632に記憶することができる。
特定の実施形態において、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成された、取り外し可能な記憶ユニットから読み取ること、及び/又はそこに書き込むように構成することができる。適切な取り外し可能な記憶ユニットの例としては、限定されないが、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイス、又は同類のものが挙げられる。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令をコンピューティングシステム610に搭載することを可能にするための、他の類似する構造又はデバイスも含むことができる。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報の読み出し及び書き込みを行うように構成することができる。記憶デバイス632及び633はまた、コンピューティングシステム610の一部とすることもでき、又は他のインターフェースシステムを通してアクセスされる別々のデバイスとすることができる。
多くの他のデバイス又はサブシステムを、コンピューティングシステム610に接続することができる。反対に、図6に示される全ての構成要素及びデバイスが、本明細書で説明及び/又は例示される実施形態を実践するために存在する必要はない。上で言及したデバイス及びサブシステムはまた、図6に示されるものと異なる方法で相互接続することができる。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成も用いることができる。例えば、本明細書に開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読媒体上に、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化することができる。本明細書で使用される場合、「コンピュータ可読媒体」という語句は、概して、コンピュータ可読命令を記憶又は持つことが可能な、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、限定されないが、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ(BLU−RAY(登録商標))ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを含むコンピュータ可読媒体は、コンピューティングシステム610に搭載することができる。コンピュータ可読媒体に記憶されたコンピュータプログラムの全て又は一部分は、次いで、システムメモリ616に、並びに/又は記憶デバイス632及び633の種々の一部分に記憶することができる。プロセッサ614によって実行されたときに、コンピューティングシステム610に搭載されたコンピュータプログラムは、プロセッサ614に、本明細書で説明及び/又は例示される例示的な実施形態のうちの1つ以上の機能を行わせることができ、及び/又は行わせるための手段とすることができる。加えて、又は代替的に、本明細書で説明及び/又は例示される例示的な実施形態のうちの1つ以上は、ファームウェア及び/又はハードウェアに実装することができる。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合された、特定用途向け集積回路(ASIC)として構成することができる。
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745をネットワーク750に結合することができる、例示的なネットワークアーキテクチャ700のブロック図である。上で詳述されるように、ネットワークアーキテクチャ700の全て又は一部分は、単独で又は他の要素と組み合わせて、本明細書に開示されるステップのうちの1つ以上(図3に示されるステップのうちの1つ以上など)を行うことができ、及び/又は行うための手段とすることができる。ネットワークアーキテクチャ700の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実装するために使用することもでき、及び/又は実装するための手段とすることもできる。
クライアントシステム710、720、及び730は、一般に、図6の例示的なコンピューティングシステム610などの、任意のタイプ又は形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は、概して、種々のデータベースサービスを提供するように、及び/又は特定のソフトウェアアプリケーションを動作させるように構成された、アプリケーションサーバ又はデータベースサーバなどの、コンピューティングデバイス又はシステムを表す。ネットワーク750は、概して、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。1つの例において、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1からのシステム100の全て又は一部分を含むことができる。
図7に例示されるように、1つ以上の記憶デバイス760(1)〜(N)は、サーバ740に直接取り付けることができる。同様に、1つ以上の記憶デバイス770(1)〜(N)は、サーバ745に直接取り付けることができる。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、概して、データ及び/又は他のコンピュータ可読命令を記憶することができる、任意のタイプ又は形態の記憶デバイス又は媒体を表す。特定の実施形態において、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの種々のプロトコルを使用して、サーバ740及び745と通信するように構成された、ネットワーク接続ストレージ(NAS)デバイスを表すことができる。
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780にも接続することができる。SANファブリック780は、概して、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ又は形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶装置アレイ795との間の通信を容易にすることができる。SANファブリック780はまた、デバイス790(1)〜(N)及びアレイ795が、クライアントシステム710、720、及び730にローカルに取り付けられたデバイスに見えるような様態で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶装置アレイ795との間の通信も容易にすることができる。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶装置アレイ795は、概して、データ及び/又は他のコンピュータ可読命令を記憶することができる任意のタイプ又は形態の記憶デバイス又は媒体を表す。
特定の実施形態において、及び図6の例示的なコンピューティングシステム610を参照して、図6の通信インターフェース622などの通信インターフェースは、各クライアントシステム710、720、及び730、並びにネットワーク750の間に接続性を提供するように使用することができる。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であり得る。そのようなソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶装置アレイ795によってホストされるデータにアクセスすることを可能にすることができる。図7は、データを交換するためのネットワーク(インターネットなど)の使用を表しているが、本明細書で説明及び/又は例示される実施形態は、インターネット、又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態において、本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部分は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶装置アレイ795、又はこれらの任意の組み合わせに搭載され、これらによって実行され得る。本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部分はまた、コンピュータプログラムとしてコード化し、サーバ740に記憶し、サーバ745によって実行し、ネットワーク750を通じてクライアントシステム710、720、及び730に分散させることができる。
上で詳述されるように、コンピューティングシステム610、及び/又はネットワークアーキテクチャ700のうちの1つ以上の構成要素は、単独で又は他の要素と組み合わせて、トリップワイヤファイルを生成するための例示的な方法のうちの1つ以上のステップを行うことができ、及び/又は行うための手段とすることができる。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して種々の実施形態を記載しているが、本明細書で説明及び/又は例示されるブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素はそれぞれ、個々に及び/又は集合的に、広範囲にわたるハードウェア、ソフトウェア、又はファームウェア(又はそれらの任意の組み合わせ)構成を使用して実装することができる。加えて、多くの他のアーキテクチャを、同じ機能性を達成するように実装することができるので、他の構成要素内に含まれる構成要素の任意の開示は、本質的に例示的であると見なされるべきである。
いくつかの実施例では、図1の例示的なシステム100の全て又は一部分は、クラウドコンピューティング又はネットワークベースの環境の一部分を表すことができる。クラウドコンピューティング環境は、インターネットを介して種々のサービス及びアプリケーションを提供することができる。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤、など)は、ウェブブラウザ又は他のリモートインターフェースを通じてアクセス可能であり得る。本明細書で説明される種々の機能は、リモートデスクトップ環境又は任意の他のクラウドベースのコンピューティング環境を通して提供され得る。
種々の実施形態において、図1の例示的なシステム100の全て又は一部分は、クラウドベースのコンピューティング環境内でのマルチテナンシーを容易にすることができる。換言すれば、本明細書で説明されるソフトウェアモジュールは、本明細書で説明される機能のうちの1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成することができる。例えば、本明細書で説明されるソフトウェアモジュールのうちの1つ以上は、2つ以上のクライアント(例えば、顧客)が、サーバ上で動作しているアプリケーションを共有することを可能にするように、サーバをプログラムすることができる。この様態でプログラムされたサーバは、多数の顧客(すなわち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有することができる。本明細書で説明されるモジュールのうちの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は構成情報にアクセスすることができないように、各顧客に対して、マルチテナントアプリケーションのデータ及び/又は構成情報を分割することができる。
種々の実施形態によれば、図1の例示的なシステム100の全て又は一部分は、仮想環境内に実装することができる。例えば、本明細書で説明されるモジュール及び/又はデータは、バーチャルマシン内で存在させ、かつ/又は実行することができる。本明細書で使用される場合、「バーチャルマシン」という語句は、一般に、バーチャルマシンマネージャマネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。加えて、又は代替的に、本明細書で説明されるモジュール及び/又はデータは、仮想化層内に存在し、かつ/又は実行することができる。本明細書で使用される場合、「仮想化層」という語句は、概して、オペレーティングシステム環境をオーバーレイし、かつ/又はそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、あたかも基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理することができる。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられた呼び出しを、仮想化層内の場所にリダイレクトすることができる。
いくつかの実施例において、図1の例示的なシステム100の全て又は一部分は、モバイルコンピューティング環境の一部分を表すことができる。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、パーソナルデジタルアシスタント、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範囲にわたるモバイルコンピューティングデバイスによって実装することができる。いくつかの実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時点でのうちの1つだけのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特徴、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成に対する修正を制限する、及び/又はサードパーティのソフトウェアが他のアプリケーションの挙動を検査する能力を限定する制限されたプラットフォーム、アプリケーションのインストールを制限するための(例えば、認可されたアプリケーションストアだけにから生じさせるための)制御、等を含む、1つ以上の異なる特徴を有することができる。本明細書で説明される種々の機能は、モバイルコンピューティング環境に提供することができ、及び/又はモバイルコンピューティング環境と相互作用することができる。
加えて、図1の例示的なシステム100の全て又は一部分は、情報管理のためのうちの1つ以上のシステムの一部分を表すこと、それと相互作用すること、それによって生産されたデータを消費すること、及び/又はそれによって消費されるデータを生じさせることができる。本明細書で使用される場合、「情報管理」という語句は、データの保護、組織化、及び/又は記憶を指すことができる。情報管理のためのシステムの例としては、限定されないが、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システム、及び同類のものを挙げることができる。
いくつかの実施形態では、図1の例示的なシステム100の全て又は一部分は、情報セキュリティのためのうちの1つ以上のシステムの一部分を表すこと、それによって保護されるデータを生産すること、及び/又はそれと通信することができる。本明細書で使用される場合、「情報セキュリティ」という語句は、保護されたデータへのアクセスの制御を指すことができる。情報セキュリティのためのシステムの例としては、限定されないが、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシーコンプライアンスシステム、侵入検出及び防止システム、電子証拠開示システム、及び同類のものを挙げることができる。
いくつかの実施例によれば、図1の例示的なシステム100の全て又は一部分は、エンドポイントセキュリティのためのうちの1つ以上のシステムの部分を表すこと、それと通信すること、及び/又はそれから保護を受信することができる。本明細書で使用される場合、「エンドポイントセキュリティ」という語句は、無許可の及び/若しくは違法な使用、アクセス、並びに/又は制御からの、エンドポイントシステムの保護を指すことができる。エンドポイント保護のためのシステムの例としては、限定されないが、マルウェア対策システム、ユーザ認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービス、及び同類のものを挙げることができる。
本明細書で例示及び/又は説明されるプロセスパラメータ及びステップの順序は、単なる一例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書で例示及び/又は説明されるステップは、特定の順序で示される、又は論じられる場合があるが、これらのステップは、必ずしも例示される、又は論じられる順序で行う必要はない。本明細書で説明及び/又は例示される種々の例示的な方法はまた、本明細書で説明又は例示されるステップのうちの1つ以上を省略すること、又は開示されるものに加えて追加のステップを含むことができる。
種々の実施形態を、完全に機能的なコンピューティングシステムの状況において、本明細書で説明及び/又は例示してきたが、これらの例示的な実施形態のうちの1つ以上は、実際に分散を実施するために使用されるコンピュータ可読媒体の特定の種類にかかわらず、様々な形態のプログラム製品として配布することができる。本明細書に開示される実施形態はまた、特定のタスクを行うソフトウェアモジュールを使用して実装することができる。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに記憶することができる、スクリプト、バッチ、又は他の実行可能ファイルを含むことができる。いくつかの実施形態において、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの1つ以上を行うようにコンピューティングシステムを構成することができる。
加えて、本明細書で説明されるモジュールのうちの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態に変換することができる。加えて、又は代替的に、本明細書で列挙されるモジュールのうちの1つ以上は、コンピューティングデバイス上で実行すること、データをコンピューティングデバイスに記憶すること、及び/又は別用にはコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの任意の他の部分を、1つの形態から別の形態に変換することができる。
前述の説明は、当業者が、本明細書に開示される例示的な実施形態の種々の態様を最良に利用することを可能にするために提供してきた。この例示的な説明は、網羅的であること、又は開示される任意の正確な形態に限定することを意図しない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、全ての事項において例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途注記のない限り、「〜に接続される(connected to)」及び「〜に結合される(coupled to)」という用語(並びにその派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的及び非直接的(すなわち、他の要素又は構成要素を介しての)接続のどちらも許容すると解釈されるべきである。加えて、「1つ(a)」又は「1つ(an)」用語というは、本明細書及び特許請求の範囲で使用するとき、「〜のうちの少なくとも1つ(at least one of)」を意味すると解釈されるべきである。最後に、使い易さのために、「含む(including)」及び「有する(having)」という用語は、本明細書及び特許請求の範囲で使用するとき、「備える(comprising)」という用語と交換可能であり、また、同じ意味を有する。

Claims (20)

  1. トリップワイヤファイルを生成するためのコンピュータ実装方法であって、前記方法の少なくとも一部分が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって行われ、前記方法が、
    初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することであって、前記初期のトリップワイヤファイルが、前記初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成される、生成することと、
    後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することであって、前記後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿って前記初期のトリップワイヤ生成計算と異なる、生成することと、
    前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することと、
    前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つが前記セキュリティ脅威を検出することに失敗したかどうかを示す前記自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整することと、を含む、コンピュータ実装方法。
  2. 前記セキュリティ脅威が、ランサムウェアエクスプロイトを含む、請求項1に記載のコンピュータ実装方法。
  3. 前記後続のトリップワイヤ生成計算が前記初期のトリップワイヤ生成計算と異なる前記次元が、
    対応するトリップワイヤファイルを命名するための命名規則、
    前記対応するトリップワイヤファイルのサイズ、
    前記対応するトリップワイヤファイルのファイルフォーマット、
    基礎となるコンテンツのアイテムから前記対応するトリップワイヤファイルを生成するためのアルゴリズム、のうちの少なくとも1つを含む、請求項1に記載のコンピュータ実装方法。
  4. 前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つが前記セキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することが、バックアップ動作中に、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なるかどうかをチェックすることを含む、請求項1に記載のコンピュータ実装方法。
  5. 前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なるかどうかをチェックすることが、前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異ならないと判定することを含む、請求項4に記載のコンピュータ実装方法。
  6. 前記クライアントデバイスにおける前記セキュリティ脅威を検出することと、
    前記対応するトリップワイヤファイルが前記セキュリティ脅威の検出を有効にすることに失敗したと判定することと、を更に含む、請求項5に記載のコンピュータ実装方法。
  7. 前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なるかどうかをチェックすることが、前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なると判定することを含む、請求項4に記載のコンピュータ実装方法。
  8. 前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なると判定することに応答して、前記クライアントデバイスにおける前記セキュリティ脅威の存在をチェックすることと、
    前記クライアントデバイスにおける前記セキュリティ脅威を検出することと、
    前記対応するトリップワイヤファイルが前記セキュリティ脅威の検出を有効にしたと判定することと、を更に含む、請求項7に記載のコンピュータ実装方法。
  9. 前記クライアントデバイスにおける前記セキュリティ脅威を検出することが、前記クライアントデバイスのユーザに、前記クライアントデバイスにおける前記セキュリティ脅威の存在を確認するようにダイアログを表示することを含む、請求項7に記載のコンピュータ実装方法。
  10. 前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信することが、セキュリティベンダーサーバにおける制御されたシミュレーション環境内で、前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つの性能を評価することを含む、請求項1に記載のコンピュータ実装方法。
  11. トリップワイヤファイルを生成するためのシステムであって、前記システムが、
    メモリに記憶された生成モジュールであって、
    初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することであって、前記初期のトリップワイヤファイルが、前記初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成される、生成することと、
    後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することであって、前記後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿った前記初期のトリップワイヤ生成計算と異なる、生成することと、を行う、生成モジュールと、
    メモリに記憶された受信モジュールであって、前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信する、受信モジュールと、
    メモリに記憶された調整モジュールであって、前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つが前記セキュリティ脅威を検出することに失敗したかどうかを示す前記自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整する、調整モジュールと、
    前記生成モジュール、前記受信モジュール、及び前記調整モジュールを実行するように構成された少なくとも1つの物理的プロセッサと、を備える、システム。
  12. 前記セキュリティ脅威が、ランサムウェアエクスプロイトを含む、請求項11に記載のシステム。
  13. 前記後続のトリップワイヤ生成計算が前記初期のトリップワイヤ生成計算と異なる前記次元が、
    対応するトリップワイヤファイルを命名するための命名規則、
    前記対応するトリップワイヤファイルのサイズ、
    前記対応するトリップワイヤファイルのファイルフォーマット、
    基礎となるコンテンツのアイテムから前記対応するトリップワイヤファイルを生成するためのアルゴリズム、のうちの少なくとも1つを含む、請求項11に記載のシステム。
  14. 前記受信モジュールが、バックアップ動作中に、クライアントデバイス上の対応するトリップワイヤファイルのフィンガープリントが、バックアップサーバに記憶された前記同じトリップワイヤファイルの以前に計算されたフィンガープリントと異なるかどうかをチェックすることによって、前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つが前記セキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信する、請求項11に記載のシステム。
  15. 前記受信モジュールが、前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異ならないと判定することによって、前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なるかどうかをチェックする、請求項14に記載のシステム。
  16. 前記受信モジュールが、更に、
    前記クライアントデバイスにおける前記セキュリティ脅威を検出し、
    前記対応するトリップワイヤファイルが前記セキュリティ脅威の検出を有効にすることに失敗したと判定する、請求子15に記載のシステム。
  17. 前記受信モジュールが、前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なると判定することによって、前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なるかどうかをチェックする、請求項14に記載のシステム。
  18. 前記受信モジュールが、
    前記クライアントデバイス上の前記対応するトリップワイヤファイルの前記フィンガープリントが、前記バックアップサーバに記憶された前記同じトリップワイヤファイルの前記以前に計算されたフィンガープリントと異なると判定することに応答して、前記クライアントデバイスにおける前記セキュリティ脅威の存在をチェックし、
    前記クライアントデバイスにおける前記セキュリティ脅威を検出し、
    前記対応するトリップワイヤファイルが前記セキュリティ脅威の検出を有効にしたと判定する、請求項17に記載のシステム。
  19. 前記受信モジュールが、前記クライアントデバイスのユーザに、前記クライアントデバイスにおける前記セキュリティ脅威の存在を確認するようにダイアログを表示することによって、前記クライアントデバイスにおける前記セキュリティ脅威を検出する、請求項17に記載のシステム。
  20. 1つ以上のコンピュータ可読命令を備える非一時的コンピュータ可読媒体であって、該命令が、コンピューティングデバイスの少なくとも1つのプロセッサによって実行されたときに、前記コンピューティングデバイスに、
    初期のトリップワイヤ生成計算に従って初期のトリップワイヤファイルを生成することであって、前記初期のトリップワイヤファイルが、前記初期のトリップワイヤファイルの修正がセキュリティ違反の調査をトリガーするように構成される、生成すること、
    後続のトリップワイヤ生成計算に従って後続のトリップワイヤファイルを生成することであって、前記後続のトリップワイヤ生成計算が、少なくとも1つの次元に沿って前記初期のトリップワイヤ生成計算と異なる、生成すること、
    前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つがセキュリティ脅威の検出を有効にすることに失敗したかどうかを示す自動化されたフィードバックを受信すること、
    前記初期のトリップワイヤファイル及び前記後続のトリップワイヤファイルのうちの少なくとも1つが前記セキュリティ脅威を検出することに失敗したかどうかを示す前記自動化されたフィードバックに基づいて、第3のトリップワイヤファイルの自動生成を調整すること、を行わせる、非一時的コンピュータ可読媒体。
JP2018546431A 2016-03-15 2016-12-28 トリップワイヤファイルを生成するためのシステム及び方法 Active JP6789308B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/070,523 US10339304B2 (en) 2016-03-15 2016-03-15 Systems and methods for generating tripwire files
US15/070,523 2016-03-15
PCT/US2016/069034 WO2017160376A1 (en) 2016-03-15 2016-12-28 Systems and methods for generating tripwire files

Publications (2)

Publication Number Publication Date
JP2019512142A true JP2019512142A (ja) 2019-05-09
JP6789308B2 JP6789308B2 (ja) 2020-11-25

Family

ID=57838528

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018546431A Active JP6789308B2 (ja) 2016-03-15 2016-12-28 トリップワイヤファイルを生成するためのシステム及び方法

Country Status (5)

Country Link
US (1) US10339304B2 (ja)
EP (1) EP3430559B1 (ja)
JP (1) JP6789308B2 (ja)
CN (1) CN109074452B (ja)
WO (1) WO2017160376A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
KR102573921B1 (ko) * 2016-09-13 2023-09-04 삼성전자주식회사 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법
US10262135B1 (en) * 2016-12-13 2019-04-16 Symantec Corporation Systems and methods for detecting and addressing suspicious file restore activities
US10289844B2 (en) 2017-01-19 2019-05-14 International Business Machines Corporation Protecting backup files from malware
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
WO2019051507A1 (en) * 2017-09-11 2019-03-14 Carbon Black, Inc. METHODS OF BEHAVIORAL DETECTION AND PREVENTION OF CYBERATTAICS, AS WELL AS APPARATUS AND RELATED TECHNIQUES
US10831888B2 (en) * 2018-01-19 2020-11-10 International Business Machines Corporation Data recovery enhancement system
US10769278B2 (en) 2018-03-30 2020-09-08 Microsoft Technology Licensing, Llc Service identification of ransomware impact at account level
US11200320B2 (en) 2018-03-30 2021-12-14 Microsoft Technology Licensing, Llc Coordinating service ransomware detection with client-side ransomware detection
US10917416B2 (en) * 2018-03-30 2021-02-09 Microsoft Technology Licensing, Llc Service identification of ransomware impacted files
US11308207B2 (en) 2018-03-30 2022-04-19 Microsoft Technology Licensing, Llc User verification of malware impacted files
US10963564B2 (en) 2018-03-30 2021-03-30 Microsoft Technology Licensing, Llc Selection of restore point based on detection of malware attack
US10739979B2 (en) 2018-07-16 2020-08-11 Microsoft Technology Licensing, Llc Histogram slider for quick navigation of a time-based list
US11681591B2 (en) * 2019-04-02 2023-06-20 Acronis International Gmbh System and method of restoring a clean backup after a malware attack
US20220058264A1 (en) * 2020-08-18 2022-02-24 Micro Focus Llc Thread-based malware detection
US11714907B2 (en) * 2021-03-09 2023-08-01 WatchPoint Data, Inc. System, method, and apparatus for preventing ransomware

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8640247B2 (en) 2006-05-31 2014-01-28 The Invention Science Fund I, Llc Receiving an indication of a security breach of a protected set of files
US9009829B2 (en) 2007-06-12 2015-04-14 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for baiting inside attackers
US20120084866A1 (en) * 2007-06-12 2012-04-05 Stolfo Salvatore J Methods, systems, and media for measuring computer security
US8341736B2 (en) * 2007-10-12 2012-12-25 Microsoft Corporation Detection and dynamic alteration of execution of potential software threats
US20090281758A1 (en) * 2008-05-08 2009-11-12 Lecroy Corporation Method and Apparatus for Triggering a Test and Measurement Instrument
US8161556B2 (en) * 2008-12-17 2012-04-17 Symantec Corporation Context-aware real-time computer-protection systems and methods
US8613040B2 (en) * 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
US8549643B1 (en) * 2010-04-02 2013-10-01 Symantec Corporation Using decoys by a data loss prevention system to protect against unscripted activity
US8739281B2 (en) * 2011-12-06 2014-05-27 At&T Intellectual Property I, L.P. Multilayered deception for intrusion detection and prevention
JP2016033690A (ja) * 2012-12-26 2016-03-10 三菱電機株式会社 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
CN104298921B (zh) * 2013-07-15 2019-01-29 深圳市腾讯计算机系统有限公司 动画源文件安全漏洞检查方法及装置
US9992225B2 (en) * 2014-09-12 2018-06-05 Topspin Security Ltd. System and a method for identifying malware network activity using a decoy environment
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation
US9483644B1 (en) * 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9923908B2 (en) * 2015-04-29 2018-03-20 International Business Machines Corporation Data protection in a networked computing environment

Also Published As

Publication number Publication date
EP3430559B1 (en) 2020-08-26
JP6789308B2 (ja) 2020-11-25
US10339304B2 (en) 2019-07-02
WO2017160376A1 (en) 2017-09-21
US20170270293A1 (en) 2017-09-21
EP3430559A1 (en) 2019-01-23
CN109074452B (zh) 2021-12-03
CN109074452A (zh) 2018-12-21

Similar Documents

Publication Publication Date Title
JP6789308B2 (ja) トリップワイヤファイルを生成するためのシステム及び方法
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
JP6689992B2 (ja) 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
JP6122555B2 (ja) 危殆化されている秘密鍵を識別するためのシステム及び方法
EP3111364B1 (en) Systems and methods for optimizing scans of pre-installed applications
US10284587B1 (en) Systems and methods for responding to electronic security incidents
JP6703616B2 (ja) セキュリティ脅威を検出するためのシステム及び方法
US9065849B1 (en) Systems and methods for determining trustworthiness of software programs
US9338012B1 (en) Systems and methods for identifying code signing certificate misuse
JP2016528656A (ja) イベント相関グラフを使用してコンピューティングシステムに対する攻撃を検出するためのシステム及び方法
US9800590B1 (en) Systems and methods for threat detection using a software program update profile
US9894085B1 (en) Systems and methods for categorizing processes as malicious
US10250588B1 (en) Systems and methods for determining reputations of digital certificate signers
US9292691B1 (en) Systems and methods for protecting users from website security risks using templates
JP2019515388A (ja) セキュリティリスクプロファイルを決定するためのシステム及び方法
US9749299B1 (en) Systems and methods for image-based encryption of cloud data
US10242201B1 (en) Systems and methods for predicting security incidents triggered by security software
CN109997138A (zh) 用于检测计算设备上的恶意进程的系统和方法
US9569617B1 (en) Systems and methods for preventing false positive malware identification
US10169584B1 (en) Systems and methods for identifying non-malicious files on computing devices within organizations
US11216559B1 (en) Systems and methods for automatically recovering from malware attacks
US10546117B1 (en) Systems and methods for managing security programs
US11671422B1 (en) Systems and methods for securing authentication procedures
US11100226B1 (en) Systems and methods for identifying a malicious user interface
US10911486B1 (en) Systems and methods for utilizing custom tagging to protect against phishing attacks from malicious applications

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180901

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180901

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20180906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190903

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200720

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201006

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20201102

R150 Certificate of patent or registration of utility model

Ref document number: 6789308

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250