JP2019518298A - ウィルス検出技術ベンチマーキング - Google Patents

ウィルス検出技術ベンチマーキング Download PDF

Info

Publication number
JP2019518298A
JP2019518298A JP2019516080A JP2019516080A JP2019518298A JP 2019518298 A JP2019518298 A JP 2019518298A JP 2019516080 A JP2019516080 A JP 2019516080A JP 2019516080 A JP2019516080 A JP 2019516080A JP 2019518298 A JP2019518298 A JP 2019518298A
Authority
JP
Japan
Prior art keywords
electronic file
threat
virus
antivirus
solution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2019516080A
Other languages
English (en)
Inventor
ハットン,サミュエル・ハリソン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Glasswall IP Ltd
Original Assignee
Glasswall IP Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Glasswall IP Ltd filed Critical Glasswall IP Ltd
Publication of JP2019518298A publication Critical patent/JP2019518298A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0241Advertisements

Abstract

脅威インテリジェンスクラウドが開示される。その脅威インテリジェンスクラウドはマシンを備えることができる。そのマシン上の受信部が、アンチウィルスソリューションによって検出される脅威を含む、電子ファイルを受信することができる。ウィルストータルサービスが、電子ファイルをスキャンする従来のアンチウィルスソリューションからの情報を特定することができる。データベースが、ウィルストータルサービスからの情報を記憶することができる。報告ジェネレータが、情報から報告を生成することができる。【選択図】図6

Description

本発明は、包括的には電子的脅威を検出することに関し、より詳細には、種々の脅威検出技術を比較する情報を提供することに関する。
[関連出願データ]
本出願は、全ての目的のために引用することにより本明細書の一部をなすものとする、2016年6月6日に出願された米国仮特許出願第62/346,040号の恩典を主張する。
本出願は、2005年6月9日に出願された英国特許出願第0511749.4号の優先権を主張する2006年6月9日に出願されたPCT出願PCT/GB2006/002107号の国内移行出願である2012年5月22日に発行された現米国特許第8,185,954号である2008年6月17日に出願された米国特許出願第11/915,125号の継続出願である、2014年10月21日に発行された現米国特許第8,869,283号である2012年4月4日に出願された米国特許出願第13/438,933号の継続出願である、2016年12月6日に発行された現米国特許第9,516,045号である2014年10月2日に出願された米国特許出願第14/504,844号の継続出願である、現在係属中の2016年7月29日に出願された米国特許出願第15/223,257号に関連し、上記の全てが全ての目的のために引用することにより本明細書の一部をなすものとする。
本出願は、2006年12月4日に出願された英国特許出願第0624224.2号の優先権を主張する2007年11月8日に出願されたPCT出願PCT/GB2007/004258号の国内移行出願である2013年9月10日に発行された現米国特許第8,533,824号である2010年2月5日に出願された米国特許出願第12/517,614号の継続出願である、2015年5月19日に発行された現米国特許第9,034,174号である2013年5月21日に出願された米国特許出願第13/899,043号の分割出願であるとともに放棄された、2015年5月18日に出願された米国特許出願第14/715,300号の一部継続出願である、現在係属中の2015年8月13日に出願された米国特許出願第14/825,808号に関連し、上記の全てが引用することにより本明細書の一部をなすものとする。
本出願は、2013年10月4日に出願された英国特許出願第1317607.8号の優先権を主張する、現在係属中の2014年10月2日に出願された米国特許出願第14/504,666号に関連し、いずれの特許出願も引用することにより本明細書の一部をなすものとする。
本出願は、現在期限が切れている2014年11月26日に出願された米国仮特許出願第62/084,832号の恩典を主張する2016年5月3日に発行された現米国特許第9,330,264号である2015年1月20日に出願された米国特許出願第14/600,431号の継続出願である、現在係属中の2016年3月26日に出願された米国特許出願第15/082,791号に関連し、上記の全てが引用することにより本明細書の一部をなすものとする。
従来のアンチウィルス技術は、シグネチャ(signature)を用いて動作する。脅威が識別されると、これらの脅威に関するシグネチャが生成される。これらのシグネチャは、アンチウィルスソフトウェアアプリケーションによってアクセスされるデータベースに記憶され、その後、アンチウィルスソフトウェアアプリケーションは、ファイルをスキャンして、それらのファイルが任意の脅威に感染しているか否かを判断することができる。
新たな脅威が毎日のように識別されているので、シグネチャデータベースは増大し続けている。この事実は、アンチウィルスソフトウェアアプリケーションが、シグネチャデータベースを最新かつ有効にしておくために、更新情報を日常的にダウンロードしなければならないことを意味する。
しかし、異なるアンチウィルスソフトウェアアプリケーションは、異なる度合いで自らのシグネチャデータベースを更新する。この事実は、いくつかのアンチウィルスソフトウェアアプリケーションが、従来のアンチウィルスソフトウェアアプリケーションより迅速に或る特定の脅威を検出できることを意味する。新たに識別された脅威に関して特に、新たな脅威がアンチウィルスソフトウェアアプリケーションに追加される速さは、コンピュータシステムを保護するのに極めて重要である。
種々のアンチウィルスソフトウェアアプリケーションの性能を比較する方法が依然として必要とされている。
従来のアンチウィルスソリューションの詳細を示す図である。 改善されたアンチウィルスソリューションの詳細を示す図である。 電子ファイル内の脅威を識別する、図1及び図2のアンチウィルスソリューションを示す図である。 本発明の一実施形態による、ウィルストータルサービスを用いて、図2のアンチウィルスソリューションの性能を図1の従来のアンチウィルスソリューションと比較するように設計されるマシンを示す図である。 図4のマシンの更なる詳細を示す図である。 図1の従来のアンチウィルスソリューションが図3の電子ファイル内の脅威を検出できるか否かを判断する、図4のウィルストータルサービスを示す図である。 図4の報告ジェネレータの動作を示す図である。 図4のデータベースからの情報を用いて生成することができる、図7の報告の詳細を示す図である。 図7の報告の代替の提示を示す図である。 図7の報告の代替の提示を示す図である。 図7の報告の代替の提示を示す図である。 図7の報告の代替の提示を示す図である。 図7の報告の代替の提示を示す図である。 本発明の一実施形態による、図4のウィルストータルサービスを用いて、アンチウィルスソリューションの性能を比較するための手順のフローチャートである。 本発明の一実施形態による、図4のウィルストータルサービスを用いて、アンチウィルスソリューションの性能を比較するための手順のフローチャートである。 本発明の一実施形態による、図4のウィルストータルサービスを用いて、アンチウィルスソリューションの性能を比較するための手順のフローチャートである。 本発明の一実施形態による、図4のウィルストータルサービスを用いて、アンチウィルスソリューションの性能を比較するための手順のフローチャートである。 本発明の一実施形態による、図4のウィルストータルサービスに送達する前に、電子ファイルをいかに準備できるかの詳細を示す図である。
ここで、本発明の実施形態が詳細に参照されることになり、その例が添付の図面に示される。以下の詳細な説明において、本発明を完全に理解できるようにするために、数多くの具体的な詳細が説明される。しかしながら、これらの具体的な詳細を用いることなく、当業者が本発明を実施できることは理解されたい。他の事例では、実施形態の態様を無用にわかりにくくしないように、既知の方法、手順、構成要素、回路及びネットワークは詳細には説明されていない。
種々の要素を説明するために、本明細書において、第1の、第2の等の用語が使用される可能性があるが、これらの要素はこれらの用語によって制限されるべきでないことは理解されよう。これらの用語は、或る要素を別の要素と区別するためにのみ使用される。例えば、本発明の範囲から逸脱することなく、第1のモジュールを第2のモジュールと呼ぶことができ、同様に、第2のモジュールを第1のモジュールと呼ぶことができる。
本明細書において発明を説明する際に使用される用語は、特定の実施形態を説明することのみを目的としており、本発明を限定することは意図していない。本発明及び添付の特許請求の範囲を説明する際に使用されるとき、単数形「一(a、an)及びその(the)」は、文脈において明確に別段の指示がない限り、複数形も含むことを意図している。また、本明細書において使用されるときに、「及び/又は」という用語は、関連して列挙される物品の1つ以上の物品のありとあらゆる組み合わせを指しており、網羅することも理解されよう。本明細書において使用されるときに、「備える、含む(comprises、comprising)」という用語は、明言される機構、整数、ステップ、動作、要素及び/又は構成要素の存在を規定するが、1つ以上の他の機構、整数、ステップ、動作、要素、構成要素及び/又はそのグループの存在又は追加を除外しないことは更に理解されよう。図面の構成要素及び機構は必ずしも縮尺通りに描かれていない。
従来のアンチウィルスプログラムは、悪意のあるコンテンツについてファイルを調べることによって動作する。より詳細には、従来のアンチウィルスプログラムは、既知のウィルスのシグネチャについてファイルを調べる。しかし、ウィルス数が増大するにつれ、ファイル内で探索しなくてはならないシグネチャ数は増加の一途を辿る。さらに、経験則により、アンチウィルス開発者にまだ知られていないウィルスに対する或るレベルの保護が提供されるが、その保護は完全であると想定することができない。経験則によって検出することができる特徴を呈さない新たなウィルスが設計され得る可能性が常に存在する。
図1は、そのような従来のアンチウィルスソリューションの詳細を示す。図1には、従来のアンチウィルスソリューション105が示される。従来のアンチウィルスソリューション105は、シグネチャデータベース110と、データベース更新115と、スキャナ120と、隔離部125とを含むことができる。シグネチャデータベース110は、従来のアンチウィルスソリューション105によって認識することができるウィルスのシグネチャを記憶することができる。データベース更新115は、シグネチャデータベース110を新たなウィルスシグネチャで更新することができる。スキャナ120は、ファイルをスキャンして、シグネチャデータベース110内のウィルスシグネチャに基づいて、ファイル内で任意の認識されたウィルスを検出できるか否かを確認することができる。そして、隔離部125は、ユーザがファイルから後に脅威を除去しようと試みることができるように、認識された脅威を有するファイルを記憶することができる。
毎日のように新たなウィルスが現れている。ウィルスが認識され、そのシグネチャが識別されると、シグネチャデータベース110は、新たな脅威を反映するように更新される必要がある。これらの事実は、いくつかの問題をはらむ結論につながる。
第一に、シグネチャデータベース110が頻繁に更新されないとき、従来のアンチウィルスソリューション105は効力がなくなる。従来のアンチウィルスソリューション105の効力がなくなると、従来のアンチウィルスソリューション105は、最新の脅威からユーザを保護することができない。それゆえ、ユーザは、シグネチャデータベース110が可能な限り頻繁に更新されるのを確実にしなければならない。
第二に、新しい脅威ほど、ユーザの防御を突破する可能性が高いので、古い脅威より懸念が大きい。古い脅威ほどよく知られているが、それはこれらの脅威を無視できることを意味しない。すなわち、古い脅威も、新たな脅威と同じだけの損害をユーザのシステムに与える可能性がある。シグネチャデータベース110は、ユーザのシステムへの攻撃が達成されてしまうというリスクを伴わずには、より古い脅威のシグネチャを削除できない。それゆえ、シグネチャデータベース110のサイズは増大する一方であり、(データ圧縮が改善されなければ)そのサイズは減少しない。
第三に、従来のアンチウィルスソリューション105の動作に関する重要な点は、従来のアンチウィルスソリューション105は既知のウィルスを防ぐことしかできないことである。ウィルスが認識され、そのシグネチャがシグネチャデータベース110に追加されるまで、従来のアンチウィルスソリューション105は、ウィルスからユーザを保護することはできない。そのような攻撃は、ゼロデイ脅威として知られており、従来のアンチウィルスソリューション105にとって現実的な問題である。従来のアンチウィルスソリューションは、自らが知識を持たない脅威を防ぐことはできない。そして、発見的アルゴリズムは、シグネチャデータベース110によってまだ認識されていない新たな脅威を防ぐ手段を与えるが、発見的アルゴリズムは決して完全ではない。
2006年6月9日に出願されたPCT出願PCT/GB2006/002107号の国内移行出願である2012年5月22日に発行された現米国特許第8,185,954号である2008年6月17日に出願された米国特許出願第11/915,125号の継続出願である、2014年10月21日に発行された現米国特許第8,869,283号である2012年4月4日に出願された米国特許出願第13/438,933号の継続出願である、2016年12月6日に発行された現米国特許第9,516,045号である2014年10月2日に出願された米国特許出願第14/504,844号の継続出願である、現在係属中の2016年7月29日に出願された米国特許出願第15/223,257号は、ファイルが受信者に送達される前に、いかに検査できるかを記述しており、上記の全てが引用することにより本明細書の一部をなすものとする。従来のアンチウィルスソリューション105とは対照的に、このアンチウィルスソリューションの手法は、既知のウィルスのシグネチャ又は潜在的なウィルスの経験則を探さない。代わりに、その手法は、特定のタイプのファイルがどのように見えるべきであるかを反映する一組の規則を構築することによって機能する。言い換えると、この手法は、電子ファイル内の悪意のある(「不良」)コンテンツを識別するのではなく、良好であることが分かっている電子ファイルを識別することによって機能する。
手法は、ファイルの想定タイプ(意図されるファイルタイプ)を判断することによって開始する。これは、複数の異なる方法によって行うことができる。例えば、ファイルの拡張子は、多くの場合、意図されるファイルタイプを識別する。ファイル拡張子が.PDFである場合、ファイルは、Adobe(登録商標)PDFファイルフォーマットのファイルである可能性が最も高いのに対し、ファイル拡張子が.DOCである場合、ファイルは、Microsoft(登録商標)Wordファイルフォーマットのファイルである可能性が最も高い。(Adobe及びPDFは、米国及び/又は他の国におけるAdobe Systems Incorporated社の登録商標又は商標である。Microsoftは、米国及び/又は他の国におけるMicrosoft Corporation社の登録商標又は商標である。)意図されるファイルタイプを判断する別の方法は、ファイルを調べることである。いくつかのファイルフォーマットは、ファイル自体の中にファイルのタイプをデータ(テキスト又はデジタル)として含める。
意図されるファイルフォーマットが判断されると、そのファイルフォーマットに関連付けられた一組の規則を特定することができる。一組の規則は、ファイルがどのようにフォーマット設定されるべきか、及びそのコンテンツがどのように組織化されるべきかを指定する。ファイルが意図されるファイルタイプについての一組の規則に適合していない場合、ファイルが悪意のあるコンテンツを含む可能性がある。
一組の規則は、ファイル内の或る特定のコンテンツ要素が、ファイルタイプの規則に適合することができるコンテンツ要素であっても、悪意がある可能性があると指定することもできる。例えば、Microsoft Wordファイルフォーマットのファイルは、マクロを含む可能性がある。しかし、マクロは、悪意がある可能性もある。このため、一組の規則は、マクロが、ファイルフォーマットの規則に適合している場合であっても、潜在的に悪意があるとみなされることを指定することができる。
ファイルが調べられると、ファイルをサニタイズ(sanitize)することができる。ファイルのサニタイズは、不適合なファイルの部分を除去し、規則に適合しているファイルの部分のみを残すことを含む。ファイルの一部分が一組の規則に適合していない場合、必ずしもファイルが全体として拒否されるわけではないことに留意されたい。例えば、文書からマクロを除去することができ、一方で文書のテキストは許可することができる。
悪意のあるコンテンツが受信者に届くリスクを更に低減するために、サニタイズされたファイルを再生することができる。ファイルを再生することは、ファイルを再作成することを含み、送信者によって準備されたコンテンツを含めることができ、ファイルの不変部分はシステムによって作成することができる。例えば、文書の基本形式をシステムによって生成することができるのに対し、文書のテキスト及びそのフォーマット設定は、元のファイルから再生ファイルにコピーすることができる。このようにして、ファイルの不変部分に含められ得る任意の悪意のあるコンテンツが除去される。
ファイルがサニタイズされ、及び/又は、再生されると、ファイルを受信者に送達することができる。
図1の従来のアンチウィルスソリューション105等の、従来のアンチウィルスソリューションを上回る本システムの利点は、シグネチャがまだ知られていない新たなウィルスの発生に関する懸念がないことである。悪意のあるコンテンツを含むファイルは、ファイルタイプに関連付けられた規則に適合しないため、悪意のあるコンテンツを検出するのにシグネチャを用いることができるか否かと無関係に、悪意のあるコンテンツがブロックされることになる。
図2は、改善されたアンチウィルスソリューションの詳細を示す。図2において、アンチウィルスソリューション205は、ファイルタイプ識別部210と、ストレージ215と、スキャナ220と、サニタイザ225と、隔離部125とを含むことができる。ファイルタイプ識別部210は、電子ファイルの意図されるファイルタイプを識別することができる。上記で説明されたように、ファイルタイプ識別部210は、電子ファイルの拡張子に基づいて、又は意図されるファイルタイプのファイルのコンテンツを検査することによって、又は任意の他の望ましい手法によって動作する。さらに、ファイルタイプ識別部210は、異なる技法を用いて異なるファイルタイプを識別できるように、手法の組み合わせを使用することができる。
ストレージ215は、一組の規則230を記憶することができる。アンチウィルスソリューション205によって認識される意図されるファイルごとに、ストレージ215内に規則の異なる組230を含むことができる。一組の規則230は、電子ファイルが準拠していると見なされる条件を規定することができ、その場合、その電子ファイルは脅威がないと見なされる。
スキャナ220は、ファイルタイプ識別部210によって特定されるような、電子ファイルの意図されるファイルタイプに関する一組の規則230に従って電子ファイルをスキャンすることができる。スキャナ220は、図1のスキャナ120と同様の動作上の目的、すなわち、電子ファイル内の悪意のある脅威を識別すること、を有する。ただし、図1の従来のアンチウィルスソリューション105のスキャナ120が、図1のシグネチャデータベース110からのシグネチャを見つけるために電子ファイルをスキャンするのに対して、図2のアンチウィルスソリューション205のスキャナ220は、電子ファイル内のどのコンテンツが一組の規則230に準拠するか、そして、どのコンテンツが一組の規則230に準拠しないかを判断する。アンチウィルスソリューション205及び図1の従来のアンチウィルスソリューション105は非常に異なる原理を用いて動作するので、図2のアンチウィルスソリューション205内のスキャナ220の代わりに、図1の従来のアンチウィルスソリューション105内のスキャナ120を使用することはできない。
電子ファイル内の任意のコンテンツが準拠していないと判断される場合、すなわち、電子ファイル内の任意のコンテンツが一組の規則230(一組の規則230がいかに定義されるかに応じて、個々の規則、又は一組の規則230のサブセットのいずれか)を満たさない場合には、その非準拠コンテンツは、電子ファイルからサニタイズすることができる。例えば、Microsoft Word文書の場合、一組の規則230内の1つの規則は、「マクロが許されない」とすることができる。特定の電子ファイルがマクロを含むとわかった場合には、マクロ自体を非準拠コンテンツと見なすことができ、一方、電子ファイルの残りの部分は、準拠するコンテンツと見なすことができる。サニタイザ225は、準拠するコンテンツをそこに残しながら、電子ファイルから非準拠コンテンツを除去することによって、電子ファイルをサニタイズすることができる。サニタイザ225の代わりとして、又はそれに加えて、アンチウィルスソリューション205は、電子ファイルを再生することができるリジェネレータ(図2には示されない)を含むことができる。電子ファイルを再生することは、元のファイルと同じ(準拠する)コンテンツを有するが、元の電子ファイルを変更することによるのではなく、「一から新規に」構築される新たなファイルを構成することを伴うことができる。いくつかの状況:例えば、非準拠コンテンツを除去することによって、元の電子ファイルが潜在的に不安定な状態のままになる可能性がある場合に、又は準拠するコンテンツが終了する場所及び非準拠コンテンツが開始する場所を特定するのが難しい可能性があるときに、又は電子ファイルが再構成から恩恵を受けるときには、再生が有用である可能性がある。例えば、いくつかのファイルタイプが、特定の順序において見つけられると予想されるか、又は不要なセクションを含まないと予想される、そのファイルに関するセクションを規定する。非準拠コンテンツを除去することは、ファイルセクションを誤った順序のままにする場合があるか、又は不要なファイルセクションをそこに残したままにする場合がある。一方、電子ファイルを再生することは、その安定性が予測可能である電子ファイルを生成することになる。
隔離部125は、図1の隔離部125と同様に、ユーザが後にファイルから脅威を除去しようと試みることができるように、認識された脅威を有し、サニタイザ225によってサニタイズすることができないファイルを記憶することができる。
図3は、電子ファイル内の脅威を識別する、図2のアンチウィルスソリューション205及び図1のアンチウィルスソリューション105を示す。上記で説明されたように、図2のアンチウィルスソリューション205は、上位レベルにおいて、図1のアンチウィルスソリューション105に類似の機能を実行するが、2つのソリューションは異なる内部動作を使用する。電子ファイル305を与えられると、アンチウィルスソリューション205及び105は、電子ファイル305をスキャンし、脅威310が存在するか否かを判断することができる。問題は、各アンチウィルスソリューション205及び105が電子ファイル305内の脅威310をいつ識別できるか(さらには、それらのアンチウィルスソリューションが電子ファイル305内の脅威310を検出できるか否か)である。
図2に戻ると、アンチウィルスソリューション205は、図1の従来のアンチウィルスソリューション105と比べて、いくつかの技術的利点を有する。第一に、更新が必要とされるのは、一組の規則230に対してだけであり、それらの規則が変化するときだけである。一組の規則230は、悪意のある脅威を識別するのではなく、準拠するコンテンツを規定するので、一組の規則230は、特定のファイルフォーマットに関する規則が変化するときのみ更新を必要とする。そのような変化は、そのファイルタイプを使用するアプリケーションプログラムの新たなバージョンがリリースされるときに、又は場合によっては、そのアプリケーションが少なくとも一度の更新を受けるときに生じる場合がある。しかし、そのような変化が起こる頻度は相対的に低く、それは、アンチウィルスソリューション205が、アンチウィルスソリューション205の効力がなくなるのを回避するために一組の規則230を頻繁に更新する必要がないことを意味する。
第二に、一組の規則230の更新が起こる頻度は相対的に(図1のシグネチャデータベース110の更新に比べて)低いので、一組の規則230を記憶するために必要とされる空間は経時的に著しく増大しない。さらに、古くなった一組の規則230を削除し、不要なストレージを解放することができる。例えば、ユーザがアプリケーションの或るバージョンを別のバージョンにアップグレードし、そのアプリケーションの新たなバージョンが異なるファイルフォーマットを使用する場合には、古い方のファイルフォーマットを管理する一組の規則は必要とされない場合がある(アプリケーションの新たなバージョンは、例えば、そのようなファイルを読み出すことができない場合がある)。その場合、古い方の一組の規則は保持される必要はない。また、古い方の一組の規則を削除しても、システムのセキュリティは脆弱にならない。古い方の一組の規則を削除することは、以前に準拠していると見なされた或る特定のファイルがもはや認識されなくなり、セキュリティが向上する(そして、古い方のファイルタイプを使用する新たに受信されたファイルは非準拠と見なされ、古い方のファイルタイプを使用する悪意のあるコンテンツの侵入を防ぐ)ことを意味する。
最後に、図1の従来のアンチウィルスソリューション105とは異なり、アンチウィルスソリューション205は、ゼロデイ脅威を阻止することができる。ゼロデイ脅威は、図3の電子ファイル305内に非準拠コンテンツとして現れることになる。非準拠コンテンツが検出され、阻止されるので、ゼロデイ脅威は、ユーザのシステムに影響を及ぼさないように阻止されることになる。脅威があらかじめ識別されていなかったため、そのシグネチャが特定されていないという事実は、問題とされなくなる。
しかし、アンチウィルスソリューション205はゼロデイ脅威を検出し、阻止することができるが、アンチウィルスソリューション205が、図1の従来のアンチウィルスソリューション105と比べていかに優れているかを明らかにするのは容易ではない。その所説がいかに正しくても、小売業者が、アンチウィルスソリューション205が図1の従来のアンチウィルスソリューション105より良好にゼロデイ脅威を検出し、阻止できると断言するのは、その断言を支持するだけの証拠なしには、利己的であるように思われる。また、アンチウィルスソリューション205が、従来のアンチウィルスソリューションでは検出しなかったであろうゼロデイ脅威を阻止したと顧客に断言するのは、そのような断言を支持するだけの証拠なしには、必ずしも容易ではない。
図4は、本発明の一実施形態による、ウィルストータルサービスを用いて、図2のアンチウィルスソリューション205の性能を図1の従来のアンチウィルスソリューション105と比較するように設計されるマシンを示す。図4には、マシン405が示される。マシン405は、限定はしないが、デスクトップ若しくはラップトップコンピュータ、サーバ(スタンドアローンサーバ若しくはラックサーバ)、又は本発明の実施形態から恩恵を受けることができる任意の他のデバイスを含む、任意の所望のマシンとすることができる。マシン405は、特殊なポータブルコンピューティングデバイス、タブレットコンピュータ、スマートフォン、及び他のコンピューティングデバイスを含むこともできる。マシン405は、任意の所望のアプリケーションを実行することができる。データベースアプリケーションが好例であるが、本発明の実施形態は、任意の所望のアプリケーションに及ぶことができる。
マシン405は、その具体的な形態にかかわらず、プロセッサ410と、メモリ415と、ストレージデバイス420とを備えることができる。プロセッサ410は、任意の種々のプロセッサとすることができ、例えば、Intel Xeon、Celeron、Itanium、若しくはAtomプロセッサ、AMD Opteronプロセッサ、ARMプロセッサ等とすることができる。図4は、単一のプロセッサを示すが、マシン405は、任意の数のプロセッサ、又はマルチコアプロセッサを含むことができる。メモリ415は、フラッシュメモリ、スタティックランダムアクセスメモリ(SRAM)、永続性ランダムアクセスメモリ、強誘電性ランダムアクセスメモリ(FRAM(登録商標))、又は磁気抵抗ランダムアクセスメモリ(MRAM)等の不揮発性ランダムアクセスメモリ(NVRAM)等の任意の種類のメモリとすることができるが、通常は、DRAMである。メモリ415は、異なるメモリタイプの任意の所望の組み合わせとすることもできる。メモリ415は、マシン405の一部でもある、メモリコントローラ425によって制御することができる。
ストレージデバイス420は、ハードディスクドライブ、ソリッドステートドライブ(SSD)、又は任意の他の種類のストレージ等の任意の種類のストレージデバイスとすることができる。ストレージデバイス420は、そのタイプのストレージデバイスに適しており、メモリ415内に常駐することができるデバイスドライバ430によって制御することができる。
本発明の動作を支援するために、本発明の実施形態は、ウィルストータルサービス435に接続されるマシン405を有することができる。ウィルストータルサービス435は、図3の電子ファイル305を図1の種々の従来のアンチウィルスソリューション105に対して試験し、もしあるなら、従来のアンチウィルスソリューションのどのアンチウィルスソリューションが図3の電子ファイル305内の脅威を検出することができるかを判断することができる。ウィルストータルサービス435は、図6を参照しながら後に更に説明される。ウィルストータルサービス435は、マシン405内に含まれる構成要素とすることができるか、マシン405に直接接続される第2のマシンから、接続を介してアクセス可能とすることができるか、又はネットワーク(図4には示されない)を介してアクセス可能とすることができる。
また、マシン405は、アンチウィルスソリューション205、受信部440、データベース445及び報告ジェネレータ450を備えることもできる。アンチウィルスソリューション205は、上記で説明された通りとすることができ、図3の電子ファイル305が図2の一組の規則230に準拠するか否かを判断することができる。受信部440は、供給源から電子ファイルを受信することができ、その電子ファイルはアンチウィルスソリューション205に送達することができる。それに加えて、又はその代わりに、受信部440は、ウィルストータルサービス435で試験するために、アンチウィルスソリューション205から図3の電子ファイル305を受信することができる(例えば、マシン405が、アンチウィルスソリューション205がインストールされたマシンでない場合)。ウィルストータルサービス435がマシン405にのみ接続され、マシン405の一部でない場合、マシン405は、図3の電子ファイル305をウィルストータルサービス435に送信する送信機(図4には示されない)を備えることもできる。データベース445は、図3の電子ファイル305に対する図1の種々の従来のアンチウィルスソリューション105の性能に関する、ウィルストータルサービス435から受信された情報を記憶することができる。報告ジェネレータ450は、データベース445から情報を取り込み、アンチウィルスソリューション205の性能を図1の従来のアンチウィルスソリューション105と比較して、顧客又は販売業者(marketer)への報告を生成することができる。
プロセッサ410、メモリ415、ストレージデバイス420、メモリコントローラ425、デバイスドライバ430、受信部440、データベース445及び報告ジェネレータ450を備えるマシン405は、ウィルストータルサービス435への接続とともに、脅威インテリジェンスクラウドを構成する。さらに、適切な要求に応じて、本発明の実施形態では、これらの構成要素のサブセットで十分である可能性があるか、又は更なる構成要素を追加することができる。例えば、ウィルストータルサービス435からの情報を記憶する必要がない場合には、データベース445を除外することができるか、又はウィルストータルサービス435がマシン405の一部として含まれる場合には、受信部440を除外することができる。
図5は、図4のマシン405の更なる詳細を示す。図5を参照すると、通常、マシン405は1つ以上のプロセッサ410を備え、プロセッサはメモリコントローラ425及びクロック505を備えることができ、クロックは、マシン405の構成要素の動作を協調させるために使用することができる。また、プロセッサ410はメモリ415に結合することもでき、メモリ415は、例として、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、又は他の状態保存媒体(state preserving media)を含むことができる。また、プロセッサ410は、ストレージデバイス420に、そしてネットワークコネクタ510に結合することもでき、ネットワークコネクタは、例えば、イーサネット(登録商標)コネクタ又はワイヤレスコネクタとすることができる。また、プロセッサ410はバス515に接続することもでき、バスには、ユーザインターフェース520及び入力/出力インターフェースポートを取り付けることができ、入力/出力インターフェースポートは、数ある構成要素の中でも、入力/出力エンジン525を用いて管理することができる。
図6は、図1の従来のアンチウィルスソリューション105が図3の電子ファイル305内の脅威を検出できるか否かを判断する、図4のウィルストータルサービス435を示す。図6において、ウィルストータルサービス435は、電子ファイル305を受信することができる。ウィルストータルサービス435は、電子ファイル305が各従来のアンチウィルスソリューション105−1〜105−nによってスキャンされるように準備することができる。従来のアンチウィルスソリューション105−1〜105−nはそれぞれ異なるアンチウィルスソリューションとすることができ、それにより、図4のアンチウィルスソリューション205を任意の数の従来のアンチウィルスソリューション105−1〜105−nと比較できるようにする。それゆえ、従来のアンチウィルスソリューション105−1〜105−nはそれぞれ、異なる時点において電子ファイル305内の脅威を検出できる場合がある(従来のアンチウィルスソリューション105−1〜105−nの更新が、対象となる脅威のためのシグネチャを追加した時点による)。例えば、図6に示される時点において、従来のアンチウィルスソリューション105−1及び105−nは脅威310を検出することができるが、従来のアンチウィルスソリューション105−2は脅威310を検出することができない。
従来のアンチウィルスソリューション105−1〜105−nは、異なる更新後に脅威310を検出できる場合があるので(仮に、従来のアンチウィルスソリューション105−2が、例えば、従来のアンチウィルスソリューション105−2が脅威310を検出できるようにする更新を全く受信しない場合があることも起こり得るが、可能性は低い)、単に、電子ファイル305を従来のアンチウィルスソリューション105−1〜105−nに対して一度だけ試験することは、図4のアンチウィルスソリューション205がいかに優れているかを判断するのに十分でない場合がある。言い換えると、種々の従来のアンチウィルスソリューションが脅威310を検出するのにかかる時間を知ることが有用な可能性がある。したがって、本発明のいくつかの実施形態において、ウィルストータルサービス435は、電子ファイル305を従来のアンチウィルスソリューション105−1〜105−nに対して何度も試験することができる。ウィルストータルサービス435は、電子ファイル305を従来のアンチウィルスソリューション105−1〜105−nに対して所望の回数だけ、そして1日1回等の任意の所望の間隔において試験することができる。
ウィルストータルサービス435が電子ファイル305を従来のアンチウィルスソリューション105−1〜105−nに対して繰返し永久に試験していたなら、ウィルストータルサービス435は結局、過度の情報を与えることになっていた。例えば、全ての従来のアンチウィルスソリューション105−1〜105−nが電子ファイル305内の脅威310を検出するのに成功した時点で、電子ファイル305を再試験する必要はない(ただし、その後の更新によって、従来のアンチウィルスソリューション105−1〜105−nの1つ以上が電子ファイル305内の脅威310を検出するのを中止するかもしれないという可能性がある)。そして、或る時点において、1つ以上の従来のアンチウィルスソリューション105−1〜105−nが電子ファイル305内の脅威310を引き続き検出できない場合には、そのような情報は古い情報になる。したがって、本発明のいくつかの実施形態において、ウィルストータルサービス435は、或る時間窓中に電子ファイル305を従来のアンチウィルスソリューション105−1〜105−nに対して試験することができ、その後、ウィルストータルサービス435は、電子ファイル305を試験するのを中止することができる。
図6のように単独で示されるとき、ウィルストータルサービス435は、電子ファイル305のみを試験するように見える。しかし、実際には、ウィルストータルサービス435は、任意の数の電子ファイルを従来のアンチウィルスソリューション105−1〜105−nに対して試験することができる。電子ファイルがウィルストータルサービス145によって最初に受信された日付に基づいて、各電子ファイルは異なる試験窓を有することができる。さらに、本発明の実施形態は、異なる電子ファイルのための異なる窓をサポートすることができる。
電子ファイル305を従来のアンチウィルスソリューション105−1〜105−nに対して試験した後に、ウィルストータルサービス435は、情報605をデータベース445に送信することができる。このようにして、図4の報告ジェネレータ450は、電子ファイル305についての適切な報告を生成することができる。
図7は、図4の報告ジェネレータ450の動作を示す。図7において、報告ジェネレータ450は、データベース445から図6の情報605にアクセスすることができる。報告ジェネレータ450は、その後、図6の情報605を報告705に変換することができ、その報告は任意の所望の方法で使用することができる。例えば、報告705は、図6の従来のアンチウィルスソリューション105−1〜105−nと比べて、図4のアンチウィルスソリューション205がいかに優れているかを顧客に示すために、顧客に提供することができる。又は、報告705を用いて、図4のアンチウィルスソリューション205を売り出すことができる。
図8は、図4のデータベース445からの図6の情報605を用いて生成することができる、図7の報告705の詳細を示す。図8は、1つの報告例であり、他の報告も可能である。
図8において、報告705は、種々の列を含むものとして示される。これらの列は、ファイル名805、初期スキャン日810、種々の後の日付815−1〜815−5、及び脅威記述310を含む。また、報告705は、情報の種々の行820−1〜820−5も示す。各行820−1〜820−5は、図4のアンチウィルスソリューション205によって処理され、図4の従来のアンチウィルスソリューション105−1〜105−nに対して試験するために図6のウィルストータルサービス435に対してその後に提出される特定のファイルを記述することができる。例えば、行820−1は、「Invoice 1.doc」という名称のファイルが2017年4月26日に最初にスキャンされたことを示す。さらに、2017年4月26日に、図4の従来のアンチウィルスソリューション105−1〜105−nに対して試験されたときに(「T+0」は、「初期スキャン後のゼロデイ」を意味する)、従来のアンチウィルスソリューション105−1〜105−nのうちの20%のみが脅威「W97M/Downloader.axu」を検出できた。そのパーセンテージは、2017年4月26日の初期スキャンの1日後、3日後、7日後、30日後にそれぞれ、23.3%、30.5%、45.4%及び50.8%まで増加した。
行820−2〜820−5が、列815−5内に何も情報を示さないことに留意されたい。この事実は、例えば、初期スキャンの30日後にスキャンしなかったことを示すことができる。例えば、当日が2017年5月26日であったなら、当日は行820−2〜820−5内に示されるファイルの初期スキャン日の30日後ではなかった。
報告705は、列ファイル名805を含むことに留意されたい。ファイル名は、個人情報(PII(Personally Identifinable Information))と見なすことができる。本発明のいくつかの実施形態において、顧客が、PIIの流出を防ぐことを望む場合がある。そのため、任意のPIIを除去するように、電子ファイルを「スクラブする(scrubbed)」ことができる。例えば、コンテンツ、隠れコンテンツ、及びメタデータを含む、電子ファイル内の任意の情報を「スクラブ」してPIIを除去することができ、ファイルに、ランダムに生成された別の名前を割り当てることができる。又は、元の電子ファイルを図4のウィルストータルサービス435に与えるのではなく、代わりに、電子ファイルのハッシュを図4のウィルストータルサービス435に与えることができる。ハッシュによって、依然として、従来のアンチウィルスソリューション105−1〜105−n(又は従来のアンチウィルスソリューション105−1〜105−nの少なくともサブセット)がハッシュをスキャンして脅威のシグネチャを得るのに成功できるようになるなら、ウィルストータルサービス435に元の電子ファイルを全く与える必要はない。ハッシュは、任意の所望のハッシュアルゴリズムを用いて生成することができる。
図8は、図4のアンチウィルスソリューション205の性能を、図6の従来のアンチウィルスソリューション105−1〜105−nと比較する表として報告705を示すが、報告705は他の形態をとることもできる。図9A〜図9Eは、図7のいくつかの報告705の代替の提示を示す。
図9Aには、表905が示される。表905は、種々の送信者と、それらの送信者によって送信された電子ファイル内に含まれるウィルス(又は他の脅威)の数とを示す。これらの送信者は、必要に応じて、顧客のサイトを起源とする電子ファイルを送信する人々、又は他の送信者とすることができる。表905は、任意の数の送信者についての情報を示すことができる。表905は3人の送信者についての情報を示すが、例示にすぎない。
図9Bには、折れ線グラフ910が示される。折れ線グラフ910は、2つの異なる供給源から経時的にいくつの脅威が受信されたかを示す線915及び920を示す。折れ線グラフ910は、任意の数の供給源についての情報を示すことができる。折れ線グラフ910は2つの供給源についての情報を示すが、例示にすぎない。所望により、折れ線グラフ910とともに凡例を含むことができるか、又は供給源の素性がPIIと見なされる場合には、除外することができることに留意されたい。
折れ線グラフ910及び図9Aの表905は、類似の情報を提示する代替の方法であり、交換可能であることに留意されたい。図9Aの表905と同様の表を用いて、異なる供給源からいくつの脅威が受信されたかについての情報を提示することができ、折れ線グラフ910と同様の折れ線グラフを用いて、いくつの脅威が送信されたかについての情報を提示することができる。
図9Cには、折れ線グラフ925が示される。折れ線グラフ925は、任意の特定のタイプのいくつの脅威が経時的に受信されたかを示す、3つの線930、935及び940を示す。例えば、線930は、マクロに関していくつの脅威が受信されたかを示すことができ、線935は、埋込みファイルに関していくつの脅威が受信されたかを示すことができ、線940は、JavaScript(登録商標)に関していくつの脅威が受信されたかを示すことができる。折れ線グラフ925は、任意の数の脅威タイプについての情報を示すことができる。折れ線グラフ925は3つの脅威タイプについての情報を示すが、例示にすぎない。折れ線グラフ925に含むことができる他のタイプの脅威は、不正形式の画像、及びAdobe Acrobat形式の脅威を含む。(Acrobatは、米国及び/又は他の国におけるAdobe Systems Incorporated社の登録商標又は商標である。)
図9Dには、ヒストグラム945が示される。ヒストグラム945は、電子ファイルのタイプに基づいて、いくつの電子ファイルが脅威を含んでいたかを示す。ヒストグラム945は、任意の数のファイルタイプについての情報を示すことができる。ヒストグラム945は、6つのファイルタイプについての情報を示すが、例示にすぎない。
図9Eには、円グラフ950が示される。円グラフ950は、図4のアンチウィルスソリューション205によって電子ファイルがいかに処理されたかの結果を示す。例えば、セグメント955は、10個の電子ファイルがサニタイズされたことを示すことができ、セグメント960は、10個の電子ファイルが隔離されたことを示すことができ、セグメント965は、100個の電子ファイルが電子ファイルのファイルタイプに適したファイルの組に準拠した(そして、サニタイズ又は隔離を必要としなかった)ことを示すことができる。円グラフ950は、セグメント955、960、及び965のそれぞれに表されるファイルの数を示す表970を含むこともできる。円グラフ950は、任意の数のファイルについての情報を示すことができ、任意の数のセグメントを含むことができる。円グラフ950は3つのセグメント内に全部で120個のファイルについての情報を示すが、例示にすぎない。
図10A〜図10Dは、本発明の一実施形態による、図4のウィルストータルサービス435を使用して、アンチウィルスソリューションの性能を比較するための手順のフローチャートを示す。図10Aでは、ブロック1005において、図4のアンチウィルスソリューション205が図3の電子ファイル305を受信することができる。ブロック1010において、図4のアンチウィルスソリューション205が、図3の電子ファイル305をスキャンすることができる。ブロック1015において、図2のファイルタイプ識別部210が、図3の電子ファイル305のための意図されるファイルタイプを特定することができる。ブロック1020において、図4のアンチウィルスソリューション205が、図2の一組の規則230を識別することができる。
ブロック1025(図10B)において、図2のスキャナ220が、図3の電子ファイル305が図2の一組の規則230に準拠するか否かを判断することができる。図3の電子ファイル305が図2の一組の規則230に準拠する場合には、ブロック1030において、図4のアンチウィルス205が、図3の電子ファイル305に脅威がないと判断することができる。そうでない場合には、ブロック1035において、図2のスキャナ220が、図3の電子ファイル305が図2の一組の規則230に準拠しない箇所に基づいて、図3の脅威310を識別することができる。
図3の電子ファイル305に脅威がないか否かにかかわりなく、ブロック1040(図10C)において、図4の受信部440が、図3の電子ファイル305を受信することができる。ブロック1045において、図4のウィルストータルサービス435が、図3の電子ファイル305を図4の従来のアンチウィルスソリューション105−1〜105−nに対して試験することができる。ブロック1045は、破線1050によって示されるように、2回以上、そして所望により/必要に応じて何度も実行することができる。ブロック1055において、図4のウィルストータルサービス435が、従来のアンチウィルスソリューション105−1〜105−nのどのアンチウィルスソリューションが図3の電子ファイル305内の図3の脅威310を検出できるかを判断することができる。ブロック1060において、図4のウィルストータルサービス435が、従来のアンチウィルスソリューション105−1〜105−nがそれぞれ図3の電子ファイル305内の図3の脅威310を検出した時点を判断することができる。
ブロック1065(図10D)において、データベース445が図6の情報605を記憶することができる。図6の情報605は、従来のアンチウィルスソリューション105−1〜105−nのどのアンチウィルスソリューションが図3の電子ファイル305内の図3の脅威310を検出できるか、及び従来のアンチウィルスソリューション105−1〜105−nが図3の電子ファイル305内の図3の脅威310を検出した時点を含むことができる。ブロック1070において、図4の報告ジェネレータ450が、図4のデータベース445に記憶される図6の情報605から図7の報告705を生成することができる。ブロック1075において、報告705を、顧客に送達することができ、及び/又はブロック1080において、報告705を図4のアンチウィルスソリューション205を売り込む際に使用することができる。
図11は、本発明の一実施形態による、図4のウィルストータルサービス435に送達する前に、電子ファイル1205をいかに準備することができるかの詳細を示す。図11では、ブロック1105において、図3の電子ファイル305からPIIを除去することができる。ブロック1110において、図3の電子ファイル305からハッシュを生成することができる。ブロック1105及び1110は、それぞれ破線1115及び1120によって示されるように、所望により除外することができる。
図10A〜図11において、本発明のいくつかの実施形態が示される。しかし、ブロックの順序を変更することによって、ブロックを除外することによって、又は図示されないリンクを含むことによって、本発明の他の実施形態も可能であることは当業者には認識されよう。フローチャートの全てのそのような変形は、明確に説明されるか否かにかかわりなく、本発明の実施形態であると見なされる。
以下の論考は、本発明の概念の或る特定の態様を実施することができる適切な単数又は複数のマシンの簡単な概略説明を与えることが意図される。単数又は複数のマシンは、少なくとも部分的に、キーボード、マウス等の従来の入力デバイスからの入力によって、及び別のマシンから受信した命令、バーチャルリアリティ(VR)環境、バイオメトリックフィードバック、又は他の入力信号とのインタラクションによって制御することができる。本明細書において用いられるとき、「マシン」という語は、単一のマシン、仮想マシン、又は通信可能に結合された複数のマシン若しくは複数の仮想マシン若しくは複数のデバイスが共に動作するシステムを広義に含むことが意図される。例示的なマシンは、パーソナルコンピュータ、ワークステーション、サーバ、ポータブルコンピュータ、ハンドヘルドデバイス、電話、タブレット等のコンピューティングデバイス、及びプライベート又は公衆輸送機関、例えば、自動車、電車、タクシ等の輸送手段(transportation devices)を含む。
単数又は複数のマシンは、プログラマブル又は非プログラマブル論理デバイス又はアレイ等の埋込み型コントローラ、特定用途向け集積回路(ASIC)、埋込み型コンピュータ、スマートカード等を含むことができる。単数又は複数のマシンは、ネットワークインタフェース、モデム、又は他の通信可能な結合等を通じて、1つ以上のリモートマシンへの1つ以上の接続を利用することができる。マシンは、イントラネット、インターネット、ローカルエリアネットワーク、広域ネットワーク等の物理及び/又は論理ネットワークによって相互接続することができる。当業者であれば、ネットワーク通信は、無線周波数(RF)、衛星、マイクロ波、電気電子技術者協会(IEEE)802.11、Bluetooth(登録商標)、光、赤外線、ケーブル、レーザー等を含む、様々な有線及び/又は無線短距離又は長距離キャリア及びプロトコルを利用することができることを理解するであろう。
本発明の実施形態は、マシンによってアクセスされると、結果として、マシンがタスクを実行するか、又は抽象データタイプ若しくは低レベルハードウェアコンテキストを定義する、関数、プロシージャ、データ構造、アプリケーションプログラム等を含む関連データを参照して又はこれらと併せて説明することができる。関連データは、例えば、揮発性及び/又は不揮発性メモリ、例えば、RAM、ROM等に、又はハードドライブ、フロッピディスク、光ストレージ、テープ、フラッシュメモリ、メモリスティック、デジタルビデオディスク、バイオロジカルストレージ等を含む、他のストレージデバイス及びそれらの関連ストレージ媒体に記憶することができる。関連データは、物理及び/又は論理ネットワークを含む送信環境を介して、パケット、シリアルデータ、パラレルデータ、伝播信号等の形態で送達することができ、圧縮又は暗号化されたフォーマットで用いることができる。関連データを、分散環境において用い、マシンアクセスのためにローカルに及び/又は遠隔で記憶することができる。
本発明の実施形態は、1つ以上のプロセッサによって実行可能な命令を含む、有形の非一時的マシン可読媒体を含むことができ、命令は、本明細書に記載の本発明の要素を実行するための命令を含む。
本発明の原理を、例示される実施形態を参照して説明及び例示してきたが、例示される実施形態は、そのような原理から逸脱することなく構成及び詳細を変更することができ、任意の所望の方式で組み合わせることができることを認識されたい。そして、上記の論考は、特定の実施形態に焦点を当ててきたが、他の構成が予期される。特に、「本発明の一実施形態によれば」等の表現が本明細書において用いられているが、これらのフレーズは、実施形態の可能性を包括的に参照することが意図され、本発明を特定の実施形態の構成に制限することを意図していない。本明細書において用いられるとき、これらの語は、同じ実施形態、又は組み合わされて他の実施形態にされた異なる実施形態を参照することができる。
上記の例示的な実施形態は、本発明を限定するものとして解釈されない。いくつかの実施形態が説明されたが、当業者であれば、本開示の新規の教示及び利点から実質的に逸脱することなく、これらの実施形態に対し多くの変更が可能であることを容易に理解するであろう。したがって、全てのそのような変更形態が、特許請求の範囲に定義されるような本発明の範囲内に含まれることが意図される。
本発明の実施形態は、限定ではないが、以下の記述に拡張することができる。
記述1.本発明の一実施形態は、脅威インテリジェンスクラウドであって、
マシンと、
マシン上の受信部であって、この受信部は、第1のアンチウィルスソリューションによって検出される脅威を含む電子ファイルを受信するように動作する、受信部と、
電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するウィルストータルサービスと、
ウィルストータルサービスからの情報を記憶するデータベースと、
電子ファイル、及びウィルストータルサービスからの情報に応答して報告を生成する報告ジェネレータと、
を備える、脅威インテリジェンスクラウドを含む。
記述2.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、第1のアンチウィルスソリューションは、良好であると知られていないものとして脅威を識別する。
記述3.本発明の一実施形態は、記述2に記載の脅威インテリジェンスクラウドを含み、第1のアンチウィルスソリューションは、
電子ファイルのための意図されるファイルタイプを特定するファイルタイプ識別部と、
意図されるファイルタイプに関する一組の規則のためのストレージと、
電子ファイルが一組の規則に準拠するか否かを判断するスキャナと、
を備える。
記述4.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、脅威インテリジェンスクラウドは、ウィルストータルサービスを用いて、複数の時点において電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するように動作する。
記述5.本発明の一実施形態は、記述4に記載の脅威インテリジェンスクラウドを含み、脅威インテリジェンスクラウドは、ウィルストータルサービスを用いて、或る窓内の複数の時点において、電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するように動作する。
記述6.本発明の一実施形態は、記述4に記載の脅威インテリジェンスクラウドを含み、脅威インテリジェンスクラウドは、ウィルストータルサービスを用いて、1日1回、電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するように動作する。
記述7.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、情報は、複数の従来のアンチウィルスソリューションのどのアンチウィルスソリューションが電子ファイル内の脅威を検出するかを含む。
記述8.本発明の一実施形態は、記述7に記載の脅威インテリジェンスクラウドを含み、情報は、従来のアンチウィルスソリューションのそれぞれが電子ファイル内の脅威を検出する複数の日付を更に含む。
記述9.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、電子ファイルは、いかなる個人情報(PII)も含まない。
記述10.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、電子ファイルは電子ファイルのハッシュを含む。
記述11.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、報告は第1のアンチウィルスソリューションを売り込むために使用されるように設計される。
記述12.本発明の一実施形態は、記述1に記載の脅威インテリジェンスクラウドを含み、報告は、第1のアンチウィルスソリューションと従来のアンチウィルスソリューションとの比較を顧客に示すように設計される。
記述13.本発明の一実施形態は、
脅威インテリジェンスクラウドにおいて電子ファイルを受信することであって、この電子ファイルは第1のアンチウィルスソリューションによって検出される脅威を含む、受信することと、
脅威インテリジェンスクラウドによって電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することと、
複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかを判断することと、
第1のアンチウィルスソリューション及び複数の従来のアンチウィルスソリューションが電子ファイル内の脅威を識別する時点を比較する報告を生成することと、
を含む、方法を含む。
記述14.本発明の一実施形態は、記述13に記載の方法を含み、第1のアンチウィルスソリューションは、良好であると知られていないものとして脅威を識別する。
記述15.本発明の一実施形態は、
第1のアンチウィルスソリューションによって電子ファイルをスキャンすることと、
電子ファイルの意図されるファイルタイプを判断することと、
電子ファイルが意図されるファイルタイプに準拠する時点を規定する一組の規則を識別することと、
電子ファイルが意図されるファイルタイプに準拠する時点を規定する一組の規則を満たさないものとして脅威を識別することと、
を更に含む、記述14に記載の方法を含む。
記述16.本発明の一実施形態は、記述13に記載の方法を含み、脅威インテリジェンスクラウドによって、電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、脅威インテリジェンスクラウドによって、複数の時点において電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することを含む。
記述17.本発明の一実施形態は、記述16に記載の方法を含み、脅威インテリジェンスクラウドによって、複数の時点において電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、脅威インテリジェンスクラウドによって、或る窓内の複数の時点において、電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することを含む。
記述18.本発明の一実施形態は、記述16に記載の方法を含み、脅威インテリジェンスクラウドによって、複数の時点において電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、脅威インテリジェンスクラウドによって、1日に1回、電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することを含む。
記述19.本発明の一実施形態は、記述16に記載の方法を含み、複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかを判断することは、複数の従来のアンチウィルスソリューションのそれぞれが電子ファイル内の脅威を最初に検出する時点を識別することを含む。
記述20.本発明の一実施形態は、記述13に記載の方法を含み、電子ファイル(305)は、いかなる個人情報(PII)も含まない。
記述21.本発明の一実施形態は、記述20に記載の方法を含み、PIIは、電子ファイルが脅威インテリジェンスクラウドによって受信される前に、電子ファイルから除去される。
記述22.本発明の一実施形態は、記述13に記載の方法を含み、脅威インテリジェンスクラウドにおいて電子ファイルを受信することは、脅威インテリジェンスクラウドにおいて電子ファイルのハッシュを受信することを含む。
記述23.本発明の一実施形態は、記述13に記載の方法を含み、
複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかを判断することは、複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかをデータベースに記憶することを含み、
第1のアンチウィルスソリューション及び複数の従来のアンチウィルスソリューションが電子ファイル内の脅威を識別する時点を比較する報告を生成することは、データベースに基づいて、報告を生成することを含む。
記述24.本発明の一実施形態は、記述13に記載の方法を含み、
報告は、第1のアンチウィルスソリューションが、複数の従来のアンチウィルスソリューションのうちの少なくとも1つのアンチウィルスソリューションの前に電子ファイル内の脅威を検出したことを示し、
方法は、報告を顧客に転送することを更に含む。
記述25.本発明の一実施形態は、第1のアンチウィルスソリューションを売り込む際に報告を使用することを更に含む、記述13に記載の方法を含む。
記述26.本発明の一実施形態は、非一時的記憶媒体を備える物品であって、この非一時的記憶媒体は、マシンによって実行されるときに、結果として、
脅威インテリジェンスクラウドにおいて電子ファイルを受信する命令であって、この電子ファイルは第1のアンチウィルスソリューションによって検出される脅威を含む、受信する命令と、
脅威インテリジェンスクラウドによって電子ファイルを複数の従来のアンチウィルスソリューションに対して試験する命令と、
複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかを判断する命令と、
第1のアンチウィルスソリューション及び複数の従来のアンチウィルスソリューションが電子ファイル内の脅威を識別する時点を比較する報告を生成する命令と、
を記憶している、物品を含む。
記述27.本発明の一実施形態は、記述26に記載の物品を含み、第1のアンチウィルスソリューションは、良好であると知られていないものとして脅威を識別する。
記述28.本発明の一実施形態は、記述27に記載の物品を含み、非一時的記憶媒体は、マシンによって実行されるときに、結果として、
第1のアンチウィルスソリューションによって電子ファイルをスキャンする更なる命令と、
電子ファイルの意図されるファイルタイプを判断する更なる命令と、
電子ファイルが意図されるファイルタイプに準拠する時点を規定する一組の規則を識別する更なる命令と、
電子ファイルが意図されるファイルタイプに準拠する時点を規定する一組の規則を満たさないものとして脅威を識別する更なる命令と、
を記憶している。
記述29.本発明の一実施形態は、記述26に記載の物品を含み、脅威インテリジェンスクラウドによって、電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、脅威インテリジェンスクラウドによって、複数の時点において電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することを含む。
記述30.本発明の一実施形態は、記述29に記載の物品を含み、脅威インテリジェンスクラウドによって、複数の時点において電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、脅威インテリジェンスクラウドによって、或る窓内の複数の時点において、電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することを含む。
記述31.本発明の一実施形態は、記述29に記載の物品を含み、脅威インテリジェンスクラウドによって、複数の時点において電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、脅威インテリジェンスクラウドによって、1日に1回、電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することを含む。
記述32.本発明の一実施形態は、記述29に記載の物品を含み、複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかを判断することは、複数の従来のアンチウィルスソリューションのそれぞれが電子ファイル内の脅威を最初に検出する時点を識別することを含む。
記述33.本発明の一実施形態は、記述26に記載の物品を含み、電子ファイル(305)は、いかなる個人情報(PII)も含まない。
記述34.本発明の一実施形態は、記述33に記載の物品を含み、PIIは、電子ファイルが脅威インテリジェンスクラウドによって受信される前に、電子ファイルから除去される。
記述35.本発明の一実施形態は、記述26に記載の物品を含み、脅威インテリジェンスクラウドにおいて電子ファイルを受信することは、脅威インテリジェンスクラウドにおいて電子ファイルのハッシュを受信することを含む。
記述36.本発明の一実施形態は、記述26に記載の物品を含み、
複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかを判断することは、複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが電子ファイル内の脅威を識別するかをデータベースに記憶することを含み、
第1のアンチウィルスソリューション及び複数の従来のアンチウィルスソリューションが電子ファイル内の脅威を識別する時点を比較する報告を生成することは、データベースに基づいて、報告を生成することを含む。
記述37.本発明の一実施形態は、記述26に記載の物品を含み、
報告は、複数の従来のアンチウィルスソリューションのうちの少なくとも1つのアンチウィルスソリューションの前に第1のアンチウィルスソリューションが電子ファイル内の脅威を検出したことを示し、
非一時的記憶媒体は、マシンによって実行されるときに、結果として、報告を顧客に転送する更なる命令を記憶している。
記述38.本発明の一実施形態は、記述26に記載の物品を含み、非一時的記憶媒体は、マシンによって実行されるときに、結果として、第1のアンチウィルスソリューションを売り込む際に報告を使用する更なる命令を記憶している。
したがって、本明細書に記載の実施形態に対する多岐にわたる変形の観点から、この詳細な説明及び添付の資料は、例示的であることのみが意図され、本発明の範囲を限定するものとして解釈されるべきでない。したがって、本発明として特許請求されるものは、以下の特許請求及びその均等物の範囲及び趣旨に入り得る全ての変更形態である。

Claims (26)

  1. 脅威インテリジェンスクラウドであって、
    マシンと、
    前記マシン上の受信部であって、該受信部は、第1のアンチウィルスソリューションによって検出される脅威を含む電子ファイルを受信するように動作する、受信部と、
    前記電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するウィルストータルサービスと、
    前記ウィルストータルサービスからの前記情報を記憶するデータベースと、
    前記電子ファイル、及び前記ウィルストータルサービスからの前記情報に応答して報告を生成する報告ジェネレータと、
    を備える、脅威インテリジェンスクラウド。
  2. 前記第1のアンチウィルスソリューションは、良好であると知られていないものとして前記脅威を識別する、請求項1に記載の脅威インテリジェンスクラウド。
  3. 前記第1のアンチウィルスソリューションは、
    前記電子ファイルのための意図されるファイルタイプを特定するファイルタイプ識別部と、
    前記意図されるファイルタイプに関する一組の規則のためのストレージと、
    前記電子ファイルが前記一組の規則に準拠するか否かを判断するスキャナと、
    を備える、請求項2に記載の脅威インテリジェンスクラウド。
  4. 前記脅威インテリジェンスクラウドは、前記ウィルストータルサービスを用いて、複数の時点において前記電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するように動作する、請求項1に記載の脅威インテリジェンスクラウド。
  5. 前記脅威インテリジェンスクラウドは、前記ウィルストータルサービスを用いて、或る窓内の前記複数の時点において、前記電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するように動作する、請求項4に記載の脅威インテリジェンスクラウド。
  6. 前記脅威インテリジェンスクラウドは、前記ウィルストータルサービスを用いて、1日1回、前記電子ファイルに応答して複数の従来のアンチウィルスソリューションからの情報を特定するように動作する、請求項4に記載の脅威インテリジェンスクラウド。
  7. 前記情報は、前記複数の従来のアンチウィルスソリューションのどのアンチウィルスソリューションが前記電子ファイル内の前記脅威を検出するかを含む、請求項1に記載の脅威インテリジェンスクラウド。
  8. 前記情報は、前記従来のアンチウィルスソリューションのそれぞれが前記電子ファイル内の前記脅威を検出する複数の日付を更に含む、請求項7に記載の脅威インテリジェンスクラウド。
  9. 前記電子ファイル(305)は、いかなる個人情報(PII)も含まない、請求項1に記載の脅威インテリジェンスクラウド。
  10. 前記電子ファイルは前記電子ファイルのハッシュを含む、請求項1に記載の脅威インテリジェンスクラウド。
  11. 前記報告は前記第1のアンチウィルスソリューションを売り込むために使用されるように設計される、請求項1に記載の脅威インテリジェンスクラウド。
  12. 前記報告は、前記第1のアンチウィルスソリューションと前記従来のアンチウィルスソリューションとの比較を顧客に示すように設計される、請求項1に記載の脅威インテリジェンスクラウド。
  13. 脅威インテリジェンスクラウドにおいて電子ファイルを受信することであって、該電子ファイルは第1のアンチウィルスソリューションによって検出される脅威を含む、受信することと、
    前記脅威インテリジェンスクラウドによって前記電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することと、
    前記複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別するかを判断することと、
    前記第1のアンチウィルスソリューション及び前記複数の従来のアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別する時点を比較する報告を生成することと、
    を含む、方法。
  14. 前記第1のアンチウィルスソリューションは、良好であると知られていないものとして前記脅威を識別する、請求項13に記載の方法。
  15. 前記第1のアンチウィルスソリューションによって前記電子ファイルをスキャンすることと、
    前記電子ファイルの意図されるファイルタイプを判断することと、
    前記電子ファイルが前記意図されるファイルタイプに準拠する時点を規定する一組の規則を識別することと、
    前記電子ファイルが前記意図されるファイルタイプに準拠する時点を規定する前記一組の規則を満たさないものとして前記脅威を識別することと、
    を更に含む、請求項14に記載の方法。
  16. 前記脅威インテリジェンスクラウドによって、前記電子ファイルを複数の従来のアンチウィルスソリューションに対して試験することは、前記脅威インテリジェンスクラウドによって、複数の時点において前記電子ファイルを前記複数の従来のアンチウィルスソリューションに対して試験することを含む、請求項13に記載の方法。
  17. 前記脅威インテリジェンスクラウドによって、複数の時点において前記電子ファイルを前記複数の従来のアンチウィルスソリューションに対して試験することは、前記脅威インテリジェンスクラウドによって、或る窓内の前記複数の時点において、前記電子ファイルを前記複数の従来のアンチウィルスソリューションに対して試験することを含む、請求項16に記載の方法。
  18. 前記脅威インテリジェンスクラウドによって、複数の時点において前記電子ファイルを前記複数の従来のアンチウィルスソリューションに対して試験することは、前記脅威インテリジェンスクラウドによって、1日に1回、前記電子ファイルを前記複数の従来のアンチウィルスソリューションに対して試験することを含む、請求項16に記載の方法。
  19. 前記複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別するかを判断することは、前記複数の従来のアンチウィルスソリューションのそれぞれが前記電子ファイル内の前記脅威を最初に検出する時点を識別することを含む、請求項16に記載の方法。
  20. 前記電子ファイル(305)は、いかなる個人情報(PII)も含まない、請求項13に記載の方法。
  21. 前記PIIは、前記電子ファイルが前記脅威インテリジェンスクラウドによって受信される前に、前記電子ファイルから除去される、請求項20に記載の方法。
  22. 脅威インテリジェンスクラウドにおいて電子ファイルを受信することは、脅威インテリジェンスクラウドにおいて前記電子ファイルのハッシュを受信することを含む、請求項13に記載の方法。
  23. 前記複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別するかを判断することは、前記複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別するかをデータベースに記憶することを含み、
    前記第1のアンチウィルスソリューション及び前記複数の従来のアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別する時点を比較する報告を生成することは、前記データベースに基づいて、前記報告を生成することを含む、請求項13に記載の方法。
  24. 前記報告は、前記第1のアンチウィルスソリューションが、前記複数の従来のアンチウィルスソリューションのうちの少なくとも1つのアンチウィルスソリューションの前に前記電子ファイル内の前記脅威を検出したことを示し、
    前記方法は、前記報告を顧客に転送することを更に含む、請求項13に記載の方法。
  25. 前記第1のアンチウィルスソリューションを売り込む際に前記報告を使用することを更に含む、請求項13に記載の方法。
  26. 非一時的記憶媒体を備える物品であって、該非一時的記憶媒体は、マシンによって実行されるときに、結果として、
    脅威インテリジェンスクラウドにおいて電子ファイルを受信する命令であって、該電子ファイルは第1のアンチウィルスソリューションによって検出される脅威を含む、受信する命令と、
    前記脅威インテリジェンスクラウドによって前記電子ファイルを複数の従来のアンチウィルスソリューションに対して試験する命令と、
    前記複数の従来のアンチウィルスソリューションの中のどのアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別するかを判断する命令と、
    前記第1のアンチウィルスソリューション及び前記複数の従来のアンチウィルスソリューションが前記電子ファイル内の前記脅威を識別する時点を比較する報告を生成する命令と、
    を記憶している、物品。
JP2019516080A 2016-06-06 2017-06-06 ウィルス検出技術ベンチマーキング Withdrawn JP2019518298A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201662346040P 2016-06-06 2016-06-06
US62/346,040 2016-06-06
US15/613,810 2017-06-05
US15/613,810 US20170353475A1 (en) 2016-06-06 2017-06-05 Threat intelligence cloud
PCT/EP2017/063728 WO2017211839A1 (en) 2016-06-06 2017-06-06 Virus detection technologies benchmarking

Publications (1)

Publication Number Publication Date
JP2019518298A true JP2019518298A (ja) 2019-06-27

Family

ID=60482898

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019516080A Withdrawn JP2019518298A (ja) 2016-06-06 2017-06-06 ウィルス検出技術ベンチマーキング

Country Status (8)

Country Link
US (1) US20170353475A1 (ja)
EP (1) EP3465520A1 (ja)
JP (1) JP2019518298A (ja)
CN (1) CN109564612A (ja)
AU (1) AU2017277487A1 (ja)
CA (1) CA3025422A1 (ja)
TW (1) TW201812634A (ja)
WO (1) WO2017211839A1 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9553885B2 (en) * 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US9858424B1 (en) 2017-01-05 2018-01-02 Votiro Cybersec Ltd. System and method for protecting systems from active content
US10331890B2 (en) 2017-03-20 2019-06-25 Votiro Cybersec Ltd. Disarming malware in protected content
US10331889B2 (en) 2017-01-05 2019-06-25 Votiro Cybersec Ltd. Providing a fastlane for disarming malicious content in received input content
DK3528463T3 (da) * 2018-02-20 2023-05-01 Darktrace Holdings Ltd Cybersikkerhedsanalytiker med kunstig intelligens
JP6671693B2 (ja) * 2018-06-27 2020-03-25 株式会社プロット 電子ファイルの無害化処理プログラム、電子ファイルの無害化処理方法および記録媒体
US10904292B1 (en) * 2018-09-25 2021-01-26 Amazon Technologies, Inc. Secure data transfer device
US10904285B1 (en) * 2018-09-26 2021-01-26 Ca, Inc. Document sanitization
US11258677B1 (en) * 2019-09-27 2022-02-22 Amazon Technologies, Inc. Data representation generation without access to content
AU2022215147A1 (en) 2021-01-29 2023-09-14 Glasswall (Ip) Limited Machine learning methods and systems for determining file risk using content disarm and reconstruction analysis

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7765410B2 (en) * 2004-11-08 2010-07-27 Microsoft Corporation System and method of aggregating the knowledge base of antivirus software applications
GB2427048A (en) * 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9152789B2 (en) * 2008-05-28 2015-10-06 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US9009820B1 (en) * 2010-03-08 2015-04-14 Raytheon Company System and method for malware detection using multiple techniques
US10397246B2 (en) * 2010-07-21 2019-08-27 Radware, Ltd. System and methods for malware detection using log based crowdsourcing analysis
US20130074143A1 (en) * 2011-09-15 2013-03-21 Mcafee, Inc. System and method for real-time customized threat protection
CN103084147B (zh) 2011-11-08 2015-02-25 纳科石油化工有限公司 氧化铁磁性纳米粒子、其制备方法及其用于脱硫的方法
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content

Also Published As

Publication number Publication date
US20170353475A1 (en) 2017-12-07
AU2017277487A1 (en) 2019-01-03
CN109564612A (zh) 2019-04-02
TW201812634A (zh) 2018-04-01
EP3465520A1 (en) 2019-04-10
WO2017211839A1 (en) 2017-12-14
CA3025422A1 (en) 2017-12-14

Similar Documents

Publication Publication Date Title
JP2019518298A (ja) ウィルス検出技術ベンチマーキング
US11609994B2 (en) File sanitization technologies
US9686304B1 (en) Systems and methods for healing infected document files
US8646079B2 (en) Systems and methods for using property tables to perform non-iterative malware scans
JP6374631B1 (ja) リスクを管理するための、ポリシ管理の複数段階の使用
US8302193B1 (en) Methods and systems for scanning files for malware
US8806625B1 (en) Systems and methods for performing security scans
AU2017251867A1 (en) File-modifying malware detections
US20130247190A1 (en) System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity
US8621625B1 (en) Methods and systems for detecting infected files
US20170270293A1 (en) Systems and methods for generating tripwire files
US8336100B1 (en) Systems and methods for using reputation data to detect packed malware
US9202050B1 (en) Systems and methods for detecting malicious files
JP2017514259A (ja) 複数の異種データ管理システムからの情報資産メタデータを集約するためのシステム及び方法
US20150067860A1 (en) Virus Detector Controlled Backup Apparatus and File Restoration
CN110659484B (zh) 生成对于文件信息的请求以执行防病毒扫描的系统和方法
JP2010182019A (ja) 異常検知装置およびプログラム
US8448243B1 (en) Systems and methods for detecting unknown malware in an executable file
US9245132B1 (en) Systems and methods for data loss prevention
US9003533B1 (en) Systems and methods for detecting malware
US8402545B1 (en) Systems and methods for identifying unique malware variants
WO2023124041A1 (zh) 一种勒索病毒检测方法以及相关系统
JP2010182020A (ja) 不正検知装置およびプログラム
US8364705B1 (en) Methods and systems for determining a file set
US20230107209A1 (en) Reducing malware signature redundancy

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190129

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20190725

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190726