JP2020109611A - コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 - Google Patents

コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 Download PDF

Info

Publication number
JP2020109611A
JP2020109611A JP2019147481A JP2019147481A JP2020109611A JP 2020109611 A JP2020109611 A JP 2020109611A JP 2019147481 A JP2019147481 A JP 2019147481A JP 2019147481 A JP2019147481 A JP 2019147481A JP 2020109611 A JP2020109611 A JP 2020109611A
Authority
JP
Japan
Prior art keywords
graph
subgraph
objects
subgraphs
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019147481A
Other languages
English (en)
Other versions
JP6893534B2 (ja
Inventor
アイ. スメンコフ イゴール
I Sumenkov Igor
アイ. スメンコフ イゴール
ワイ. ゴロヴァノフ セルゲイ
Y Golovanov Sergey
ワイ. ゴロヴァノフ セルゲイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2020109611A publication Critical patent/JP2020109611A/ja
Application granted granted Critical
Publication of JP6893534B2 publication Critical patent/JP6893534B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/01Dynamic search techniques; Heuristics; Dynamic trees; Branch-and-bound
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • Computing Systems (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Computational Mathematics (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】コンピュータシステム内の悪意のあるアクティビティの源を検出するための方法およびシステムを提供する。【解決手段】方法は、コンピュータシステムのオブジェクトに関する情報を収集し、オブジェクトに関して収集した情報に基づいてグラフを形成し、グラフから少なくとも2つの誘導部分グラフ(以下、部分グラフ)を選択し、選択した部分グラフごとに、部分グラフの頂点間の関係の強さを記述する数値特性を表す有害度係数を決定し、選択した部分グラフから、決定した部分グラフの有害度係数の中で有害度係数が最小であり、関連する部分グラフの有害度係数の合計が最大である部分グラフを決定し、決定した部分グラフの少なくとも1つの頂点と関連するオブジェクトをコンピュータシステム内の悪意のあるアクティビティの源として識別することを含む。【選択図】図2

Description

本開示は情報セキュリティを提供するための技術に関し、より具体的には、コンピュータシステム内の悪意のある活動(アクティビティ)の源を検出するシステムおよび方法に関する。
近年のコンピュータ技術の急速な成長、および様々なコンピューティングデバイス(パーソナルコンピュータ、ノートブック、タブレット、スマートフォンなど)の普及は、様々な活動分野および多数のタスク(インターネットサーフィンから銀行振替および電子文書トラフィックまで)におけるこれらのデバイスの使用を強力に後押ししている。コンピューティングデバイスの増加およびこれらのデバイス上で実行されるソフトウェアの量と並行して、悪意のあるプログラムの数も急速に増加している。
現在、悪意のあるプログラムが多数存在する。悪意のあるプログラムの中には、ユーザのデバイスから個人データおよび機密データ(ログイン情報およびパスワード、銀行情報、電子文書など)を盗むものがある。他の悪意のあるプログラムは、DDoS(Distributed Denial of Service)のような攻撃のために、または他のコンピュータまたはコンピュータネットワークに対する総当たりの方法によってパスワードをソートするために、ユーザのデバイスからいわゆるボットネットを形成する。さらに他の悪意のあるプログラムは、侵入的な広告、有料のサブスクリプション、市外局番へのSMSの送信などを介してユーザに有料コンテンツを勧める。
アンチウイルスとして知られる特別なプログラムは、上記の脅威に非常によく対処する。しかしながら、たとえば、コンピュータシステムに対する標的型サイバー攻撃(APT:持続的標的型攻撃)の場合、また、コンピュータシステムが感染してアンチウイルスが当該コンピュータシステム上で機能していない場合など(例えば、アンチウイルスがインストールされなかったか、またはオフにされたとき)の特定の状況では、上記のアンチウイルスは実際には役に立たない。
この場合、コンピュータシステムが感染していることを確認するためには、コンピュータシステム状態のリソース大量消費分析を実行し、コンピュータシステムの挙動ログ、コンピュータネットワーク内で送受信されているデータ、ユーザの行動などを分析する必要がある。このような対策は多くの場合手動で実行する必要があり、それによって対策の有効性はアップするが、作業コストが著しく増加する。
これまでに知られている技術は、コンピュータシステムで収集される多種多様なデータを復元してリンクさせるというタスクには対処するが、当該データについて特定された関係に基づいてコンピュータシステムの状態を分析するというタスクは扱わない。しかし、かかるデータについて特定された関係に基づいて、所与の時点での分析対象コンピュータシステムの状態、または、所与の時点に当該コンピュータシステム上で実行されたアクションを後で分析することができ、分析対象コンピュータシステムの特定の状態、または、当該コンピュータシステム上で実行されたアクションの発生の原因を特定することができる。
本開示によれば、コンピュータシステム内の悪意のあるアクティビティの源を検出するという課題をより効果的に解決することができる。
本開示は、データの情報セキュリティを提供するように設計される。
本開示の技術的結果は、コンピュータシステムのオブジェクト間の関係の分析に基づいて、コンピュータシステム内の悪意のあるアクティビティの源を検出することである。
いくつかの態様では、これらの結果は、コンピュータシステム内の悪意のあるアクティビティの源を検出するための方法により実現され、当該方法は、コンピュータシステム内の悪意のあるアクティビティの源を検出するためのシステムの構成要素を用いて実現される。当該方法は、コンピュータシステムのオブジェクト(以下、「オブジェクト」)に関する情報を収集するステップと、オブジェクトに関して収集された情報に基づいて、オブジェクトを頂点として表し、収集された情報の分析に基づいて決定されるオブジェクト間の関係をエッジとして表したグラフを形成するステップと、得られたグラフから少なくとも2つの誘導部分グラフ(以下、部分グラフ)を選択するステップと、選択された部分グラフごとに、部分グラフの頂点間の関係の強さを記述する数値特性を表す有害度係数を決定するステップと、選択された部分グラフから、決定された部分グラフの有害度係数の中で有害度係数が最小であり、関連する部分グラフの有害度係数の合計が最大である部分グラフを決定するステップと、決定された部分グラフの少なくとも1つの頂点と関連するオブジェクトをコンピュータシステム内の悪意のあるアクティビティの源として識別するステップと、を含む。
本方法の別の特定の態様では、コンピュータシステムの悪意のあるアクティビティについて以前に形成されたグラフであって、各々が有害度係数に関連付けられるグラフを含むグラフのデータベースのうち、少なくとも1つの部分グラフとの類似度に基づいて、部分グラフの有害度係数を決定する。
本方法のさらに別の特定の態様では、部分グラフの有害度係数は、当該部分グラフの頂点に関連付けられたオブジェクトのうちの少なくとも1つのオブジェクトに悪意がある確率を特徴付ける有害度係数である。
本方法の別の特定の態様では、因果関係に関連付けられたグラフエッジによって他の部分グラフに関連する部分グラフのみが分析される。
本方法のさらに別の特定の態様では、直径が所定の閾値未満である部分グラフが分析される。
本方法の別の特定の態様では、悪意のあるアクティビティの源であるとして確認されたオブジェクトのうち、これまで知られていないオブジェクトが選択される。
本開示はまた、悪意のあるアクティビティの源を検出するためのシステムを提供する。一態様では、システムは、コンピュータシステムのオブジェクトに関する情報を収集し、オブジェクトに関して収集された情報に基づいて、オブジェクトを頂点として表し、収集された情報の分析に基づいて決定されるオブジェクト間の関係をエッジとして表したグラフを形成し、得られたグラフから少なくとも2つの誘導部分グラフ(以下、部分グラフ)を選択し、選択された部分グラフごとに、部分グラフの頂点間の関係の強さを記述する数値特性を表す有害度係数を決定し、選択された部分グラフから、有害度係数を決定した部分グラフの中で有害度係数が最小であり、関連する部分グラフの有害度係数の合計が最大である部分グラフを決定し、決定された部分グラフの少なくとも1つの頂点と関連するオブジェクトを、コンピュータシステム内の悪意のあるアクティビティの源として識別するように構成されたハードウェアプロセッサを備える。
本開示はさらに、上述の方法を実行するための命令を格納するコンピュータ可読媒体を提供する。
本開示の例示的な態様についての上記簡略化した概要は、本開示の基本的な理解に役立つ。この発明の概要は、想定される態様全てを包含する包括的な概観ではなく、すべての態様の重要なまたは重大な要素を識別することも、本開示のいずれかまたはすべての態様の範囲を画定することも意図していない。前述のことを達成するために、本開示の1つまたは複数の態様は、特許請求の範囲に記載し具体的に示した特徴を含む。
本明細書に組み込まれその一部を構成する添付の図面は、本開示の1つまたは複数の例示的な態様を示し、詳細な説明とともに、それらの原理および実装を説明するものである。
図1は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティを検出するシステムを示す図である。 図2は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティを検出する方法のフロー図である。 図3は、本開示の例示的な態様による、コンピュータシステムのオブジェクト間の関係の分析に基づいてグラフを形成するためのフロー図である。 図4は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムの別の態様を示す図である。 図5は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティの源を検出する方法のフロー図である。 図6は、本開示の例示的な態様による、汎用コンピュータシステム、パーソナルコンピュータ、またはサーバのブロック図である。
例示的な態様は、本明細書ではネットワークファイルシステムに格納されたファイルを保護するためのシステム、方法、およびコンピュータプログラムプロダクトの文脈で説明される。当業者であれば、以下の説明は単に例示的なものであり、決して限定的なものではないことを理解するであろう。他の態様は、本開示を利用する当業者には容易に示唆されるであろう。以下、添付の図面に示される例示的な態様の実施形態を詳細に参照する。図面および以下の説明を通じて、同一または類似の要素を参照するために、可能な限り同一の参照符号が使用される。
以下の定義および概念を、本開示の種々の態様の説明に使用する。
機能関係とは、オブジェクト間の関係(リンク)の一種であり、各オブジェクトの変化が互いに対応する関係を指す。機能関係では、因果関係の一次属性は存在しない:生産性(一方のオブジェクトが他方を生み出すのではない)、時間の非対称性(それらは共存し、一方が他方に先行しない)、および不可逆性。
図1は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティを検出するシステムのブロック図である。
コンピュータシステム内の悪意のあるアクティビティを検出するシステム100は、収集モジュール110と、コンピュータシステムのオブジェクト111と、訓練済み選択モデル112と、グラフ形成モジュール120と、グラフデータベース131と、検索モジュール130と、分析モジュール140と、決定141と、再訓練モジュール150と、を含む。
一態様では、収集モジュール110は:
・コンピュータシステムのオブジェクト111に関する情報(以下、それぞれ「オブジェクト」および「オブジェクトに関する情報」という)を収集する;
・収集した情報の分析に基づいてオブジェクト111間の関係を決定し、各関係には関係の信頼度が割り当てられる;
・収集したオブジェクト111および決定した関係に関する情報をグラフ形成モジュール120に送る。
例えば、収集モジュール110によるコンピュータシステムのオブジェクト111に関する情報の収集は、コンピュータシステムにインストールされた専用ドライバを用いて行うことができ、このドライバは、プロセス間、ネットワーク内などで転送されているデータをインターセプトする。
システムの一変形態様では、オブジェクト111は少なくとも以下を含むことができる:
・ファイル;
・ネットワークパケット;
・サイト;
・物理的および仮想的の両方のRAMページ;
・当該オブジェクトに関連する、オペレーティングシステムのプロセスおよび他のオブジェクト;
・オペレーティングシステムのイベント;
・オペレーティングシステムまたはアプリケーションのログに書き込まれたエントリ;
・MFТ(マスタファイルテーブル)に書き込まれたエントリ;
・オペレーティングシステム・レジストリに書き込まれたエントリ。
例えば、オブジェクト111は、「http://google.com」または「http://files.downloads.com/chrome.exe」などのウェブサイトアドレスを構成することができる。
さらに別の例では、オペレーティングシステム・ログ「system.evtx」はエントリ111で構成される。一例を以下に示す:
Figure 2020109611
 システムイベントを記述する「key」−「value」の組を含む。
システムのさらに別の変形態様では、オブジェクト111に関する情報は少なくとも以下を含む:
・当該オブジェクト111を一意的に特徴付ける情報。
・当該オブジェクト111と他のオブジェクト111との間の関係の存在について結論付けることを可能にする情報。
例えば、アーカイブ#3から抽出されたファイル#1およびファイル#2が存在する場合、これらのファイルはサイズによって特徴付けられ、また、それらの作成時間(本質的にはアーカイブから抽出された時間)によって特徴付けられる。ファイルのサイズはファイル#1と#2が互いに関連しているかどうかに関する情報を実質的に含まないが、これらのファイルの作成時間はファイルがアーカイブから抽出されたことを間接的に示すことができる(例えば、ファイル#1と#2の作成時間が所与の精度で一致する場合)。
さらに別の例では、ファイルの作成に関する情報(すなわち、いつ、どの名前で、どのプロセスが、ファイルを作成したか)を含むオペレーティングシステム・ログからのデータは、たとえば、ファイル#1から開始したプロセス#4がファイル#2を作成したときに、ファイル#1とファイル#2との間の直接関係を示すことができる。
システムのさらに別の変形態様では、オブジェクト111に関する情報は少なくとも以下を含む:
・ファイルに関する情報:
−ファイル名
−ファイルへの経路
−ファイルサイズ
・プロセスに関する情報:
−プロセス識別子
−親プロセスおよび子プロセスの識別子
−プロセスが開始したファイルの名前
・ネットワークパケットに関する情報:
−ネットワークパケットの送受信のアドレス
−ネットワークパケットのサイズ
−ネットワークパケットに含まれる種類、サイズおよび「データの畳み込み」
−ネットワークパケットを受信又は送信するアプリケーションの名前
・RAMページ:
−RAMページの種類、サイズ、フラグ
−RAMページのサイズ、位置、種類、および「データの畳み込み」
−プロセスの識別子、および指定されたRAMページ上のデータを扱うアプリケーションの名前
・オペレーティングシステム・ログのエントリ:
−key-value。keyはパラメータの名前であり、valueはその値である。
例えば、オペレーティングシステム・レジストリ(オペレーティングシステム・ログの1つと見なすことができる)には、以下のエントリが現れうる:
Figure 2020109611
上の例では、keyはフィールド名「ImagePath」であり、当該keyのvalueは、値のペア「field type」または「REG_EXPAND_SZ%」、および、「field value」または「systemroot%\KtknjRrl.exe」である。
データの畳み込み(ハッシュ和)はハッシュ関数を用いてデータを処理した結果であり、所与のデータセットはいずれも、より小さいサイズの別のデータセットに関連付けられる。特定の例では、データの畳み込みは当該データのチェックサムである(CRC32またはMD5など)。
システムのさらに別の変形態様では、オブジェクト111間の関係は、オブジェクト111間の論理関係または機能関係(例えば、バイナリ関係の形態のもの)である。論理関係は、2つのオブジェクト111が連帯的に使用されるとき(すなわち、オブジェクト111が、関連するオブジェクトとして使用されるとき、または、関連する時点で、特に同時に、使用されるとき)に生じ得るが、かかるオブジェクトは互いに関係しないことがある(例えば、ネットワークパケットとオペレーティングシステムのイベント「ファイルをディスクに書き込む」)。他方、機能関係は、1つのオブジェクト111が他のオブジェクト111を分析するために使用されるときに生じ得る(例えば、サイトとネットワークパケット)。
システムのさらに別の変形態様では、条件を満たす場合に2つのオブジェクト111の間に関係(機能関係および論理関係の両方)が確立される。条件とは少なくとも以下の一つを満たすことである:
・第1のオブジェクトが第2のオブジェクトによって提供されるデータを処理する;
例えば、プロセス間通信(IPC)技術の使用であり、一例として、第1のプロセスが第2のプロセスのメモリからデータを読み出す;
・第1のオブジェクトが第2のオブジェクトを使用する;
例えば、動的リンクライブラリ(DLL)を、その動作のためのプログラムによって使用する;
・第1および第2のオブジェクトが、第3のオブジェクトによって使用される;
例えば、その作業中のプログラムによる2つの独立したDLLの使用(すなわち、DLLのうちの一方の機能が他方の機能を使用しないDLL);
・当該オブジェクトは、それらを特徴付ける少なくとも1つの同一のパラメータを有する;
例えば、パラメータはファイル名である場合がある。
さらに詳細に説明すると上記の例は以下のように現れる:
サービスを作成すると以下が実行される:
・ファイル「KtknjRrl.exe」のハードディスクへの書き込み。MFTに情報が書き込まれる:
Figure 2020109611
 ・イベントログで実行された操作に関するデータの書き込み:
Figure 2020109611
 ・作成されたサービスに関するデータのレジストリへの書き込み:
Figure 2020109611
3つのエントリはすべて、(ファイル「KtknjRrl.exe」に対応するIDにより)MFTの共通パラメータとして現れるファイル名「KtknjRrl.exe」、イベントログ、およびレジストリによって統合される。
さらに別の実施形態では、ユーザがブラウザ「chrome.exe」によって、サイト「http://files.com」からアーカイブ「drivers.zip」をダウンロードする。そして、アーカイブから、アプリケーション「WinZip」によって、ファイル「driver.sys」を抽出する。この場合、ファイル「drivers.sys」は、ファイル「drivers.zip」に直接関連し、ブラウザ「chrome.exe」に間接的に関連することが確立される。この例のオブジェクト111は、オブジェクト#1としてブラウザ「chrome.exe」、オブジェクト#2としてアーカイブ「drivers.zip」、オブジェクト#3としてファイル「driver.sys」、オブジェクト#4としてサイト「http://files.com」である。
オブジェクト#1やオブジェクト#1の挙動の変化がオブジェクト#2やオブジェクト#2の挙動に影響する場合(例えば、オブジェクト#1がアーカイブであり、オブジェクト#2がアーカイブから抽出されるファイルである場合)には、オブジェクト#1とオブジェクト#2との間に直接的な関係が成立する。オブジェクト#1とオブジェクト#3との間、および、オブジェクト#2とオブジェクト#3との間に直接的な関係が存在する(例えば、アーカイブから抽出された2つのファイルの間に間接的な関係が成立する)場合には、オブジェクト#1とオブジェクト#2との間に間接的な関係が成立する。オブジェクト間の直接的な関係と間接的な関係の両方を同時に確立することが可能である。
一般に、上記の例では、以下の関係を特定することができる:
Figure 2020109611
オブジェクト111間の関係を示すさらに別の例では、Windowsオペレーティングシステムの様々なサービスがそれらの作業に関するデータを、「[id of entry][time][process][event][parameters]」という形式でオペレーティングシステム・ログ「system.evtx」に書き込む。たとえば、ログには以下のエントリが含まれる:
Figure 2020109611
上記の場合、同一のファイル「data.dat」が30秒の差で書き込み及び読み出しされていて2つの異なるオブジェクト111を関連付ける事前に設定した条件を満たしているので、プロセス「hsayy.exe」がプロセス「explorer.exe」に関連することが確立される。
システムのさらに別の変形態様では、2つのオブジェクト111間の関係の信頼度は、当該オブジェクト111の一方が、当該オブジェクト111の他方のオブジェクトに対して論理関係または機能関係を有する確率を特徴付ける数値である。
例えば、関係の信頼度は0.0〜1.0の範囲内の実数値であってもよい。この場合、値0.0はオブジェクト111同士が確実に関係していないことを意味し、値1.0はオブジェクト111間に関係が確実に存在することを意味する。
このように、オブジェクト111間の関係の信頼度が可能な最大値(例えば、上述の例では1.0)でない場合、オブジェクト111間の関係の決定は本質的に確率的であり、関係は厳密に決定されるわけではなく、当該オブジェクト111間の関係に関する統計データ等、過去の経験に基づいて決定されることが多い。
例えば、差分0.1秒で作成された2つのオブジェクト111が互いに関連している(例えば、ソフトウェアのインストール時に作成された)ということは推測ではあるものの、オペレーティングシステムの動作や各種ソフトウェアのインストールに関する膨大な量の累積統計データに基づく信頼度の高い推測である。
本システムのさらに別の変形態様では、見出された関係および収集されたオブジェクト111に関する情報のグラフ形成モジュール120への送信は、収集されたオブジェクト111間に見出された関係の信頼度が予め設定した閾値を超える場合にのみ行われる。
例えば、関係の信頼度は、関係が成立しているオブジェクト111の#1、#2それぞれを、これらのオブジェクト111を特徴付けるパラメータ{pi}および{qi}の組で記述することによって算出できる。
システムのさらに別の変形態様では、収集モジュール110が情報を収集し、互いの関係が決定されているオブジェクト111の選択は、訓練済み選択モデル112を使用して行うことができる。訓練済み選択モデル112は、(悪意があるか又は安全であるか)予め挙動が知られているコンピュータシステムを含む訓練用サンプルに基づき、先行技術において知られている機械学習の手法を用いて予め作成される。これにより、選択可能なオブジェクト111の数が最小となる傾向があり、オブジェクト111およびそれらの関係に関する情報の分析に基づき分析モジュール140が下した悪意のあるアクティビティの検知に関する決定の精度が最高となる傾向がある。かかるアプローチにより、下される決定の精度を維持しつつ、コンピュータシステム内の悪意のあるアクティビティを特定するために使用される計算資源(メモリ、プロセッサ時間など)を削減することが可能である。
コンピュータシステム内の悪意のあるアクティビティを特定するため、以下では、オブジェクト111(オブジェクトに関する情報)およびオブジェクト111間の関係の両方を使用することができるので、選択されたオブジェクト111のグループおよび選択されたオブジェクト111間に見出される関係のグループを、グラフの要素として表すことが有用である。グラフは、その使用において広範かつ多機能の理論(グラフ理論)が構築されてきた数学的オブジェクトであり、その分析によって抽象的な数学的問題を解くことができる。
グラフは、一連のグラフ頂点およびグラフエッジ(すなわち頂点のペア間の接続)を表す抽象的な数学的オブジェクトである。例えば、一連の頂点として、一連のオブジェクト111を使用することができ、一連のエッジとして、選択されたオブジェクト111間の一連の論理関係および機能関係を使用することができる。
異なる適用領域に対するグラフの種類に応じて、方向性、関係の数の制限、および頂点またはエッジに関する補足データは異なり得る。数学およびコンピュータサイエンスにおいて実用的な多くの構造は、グラフによって表すことができる。例えば、コンピュータシステムは有向グラフによってモデル化できる。かかる有向グラフでは、上述のように、頂点がオブジェクト111(オブジェクト111に関する情報を表すパラメータセットによって記述される)であり、円弧(有向エッジ)がオブジェクト111間の論理関係および機能関係である。さらに、各頂点(関係)に重み(関係の信頼度)を割り当て、重み付き有向グラフを形成することができる。
一態様では、グラフ形成モジュール120は:
・見出された関係に関する情報に基づいて少なくとも2つのグラフを形成する。グラフの直径は予め指定した値未満とし、グラフの頂点はオブジェクト111で、エッジは決定された関係とする;
・形成されたグラフに基づいて要約グラフを形成する。要約グラフは、第1および第2のグラフのうちの少なくとも1つの頂点と、それらの頂点を結ぶ1つのエッジとを含む;
・形成されたグラフから、少なくとも2つの誘導部分グラフ(以下、部分グラフ)を抽出する;
・形成された要約グラフを検索モジュールおよび分析モジュール140に転送する。
例えば、コンピュータシステムをクライアントの分散システムとして表すことができる場合、各クライアントのグラフは、各クライアントから収集されたオブジェクト111と、これらのオブジェクト111間で見つかった関係とに基づいて形成される。
システムの1つの変形態様では、上記のように形成された要約グラフは、グラフのエッジの数(すなわち、オブジェクト111間の関係)を減らすために最適化される。
例えば、グラフの最適化中に、グラフから少なくとも以下のものが除去される:
・所定のプロパティを有する頂点(指定されたパラメータを有する、指定されたタイプのオブジェクトなど)、
・所定のプロパティを有するエッジ(例えば、オブジェクトの作成時間に関連するオブジェクト間の関係)、
・重複するエッジ。
システムのさらに別の変形態様では、要約グラフのエッジの交点の数を最小限に抑える。この場合、グラフのエッジの交点の数(グラフの交点の数)は有限セットの交点のグラフとしてのそのグラフの表現における要素の最小数であり、または同等であるが、グラフのすべてのエッジをカバーするのに必要なクリックの最小数である。
システムのさらに別の変形態様では、グラフ形成モジュール120は:
・見つかった関係に関する情報に基づいてグラフを形成する。グラフの頂点はオブジェクト111であり、エッジは決定された関係である。よって、
−グラフの直径は所定のパラメータ未満である;
−第1および第2のグラフのうちの少なくとも1つの頂点と、これらの頂点を結ぶ1つのエッジとを含む;
・形成されたグラフを検索モジュールおよび分析モジュール140に転送する。
システムのさらに別の変形態様では、グラフ形成モジュール120はいくつかのグラフ(少なくとも3つ)に基づいていくつかのグラフを形成することができるが、要約グラフのグラフ数(少なくとも2つ)よりも少ない。
例えば、分散システムを表すコンピュータシステム(例えば、ローカルエリアネットワークに統合されたパーソナルコンピュータ)の分析中に、コンピュータ(本質的にコンピュータシステムの独立した要素)ごとにいくつかのグラフが形成される。次に、コンピュータごとに形成されたグラフに基づいて、コンピュータごとに1つの要約グラフが形成され、形成された要約グラフのセット全体が検索モジュール130に送られる。
さらに別の例では、コンピュータシステムが分散システムを表す場合、オペレーティングシステム・ログ「security.evtx」のエントリに含まれるユーザ名およびそのIPアドレスを含む、そのコンピュータシステムのオブジェクト111に関する情報に基づいて、グラフが構築される。その結果、例えば、以下の一連の動作(方向グラフ)が得られる:
ユーザ#1がコンピュータ#1上でファイルを作成→…
…→コンピュータ#2からユーザ#1がログイン→…
…→コンピュータ#2上でユーザ#1がユーザ#2としてログアウト→…
…→コンピュータ#3からユーザ#2がログイン等々。
検索モジュール130は、以下のように設計される:
・グラフデータベース131から、取得されたグラフとの類似度が所定のレベルを超える少なくとも1つのグラフを選択する。グラフデータベースはコンピュータシステムのアクティビティについて以前に形成されたグラフを保持し、各グラフには、そのアクティビティの分析に基づいて悪意のあるアクティビティの係数が割り当てられる;
・選択されたグラフを分析モジュール140に送る。
本システムの1つの変形態様では、コンピュータシステムから選択されて既知の悪意のあるアクティビティを有するオブジェクト111に基づいて形成されたグラフで、グラフデータベース131が事前に充填される。これらのグラフは、上述した収集モジュール110およびグラフ形成モジュール120を用いて作成される。
システムのさらに別の変形態様では、選択モデル112の機械学習に使用される教師用サンプルを構成するコンピュータシステムから選択されたオブジェクト111に基づいて形成されたグラフで、グラフデータベース131が充填される。
本システムのさらに別の変形態様では、グラフデータベース131は上述の方法によって形成された実際のグラフではなく、畳み込みを格納する。さらに、検索モジュール130は、グラフ形成モジュール120から得られたグラフの畳み込みを算出し、グラフデータベース131における検索は、グラフの算出済み畳み込みの畳み込みと、データベースに保持されたグラフの畳み込みとを比較することによって行われる。
システムのさらに別の変形態様では、フレキシブルハッシュ(ファジーハッシュ)がグラフの畳み込みとして使用される。
システムのさらに別の変形態様では、グラフの同型度が決定され、それに基づいてグラフの類似度が決定される。
分析モジュール140は、グラフ形成モジュール120および検索モジュール130から得られたグラフの分析結果に基づいて、コンピュータシステム内の悪意のあるアクティビティの検出に関する決定141を下すように設計されている。
システムの1つの変形態様では、グラフデータベース内で見つけられた少なくとも1つのグラフの有害度係数の分析、および当該グラフと形成されたグラフとの類似度に基づいて、コンピュータシステム内の悪意のあるアクティビティの検出に関する決定が下される。
例えば、分析対象のコンピュータシステムの要約有害度は次の公式で算出できる。
Figure 2020109611
 式中、
wは、分析対象のコンピュータシステムの有害度係数であり、
wjは、グラフデータベース131から選択されたj番目のグラフの有害度係数であり、
c{i,j}は、形成されたi番目のグラフとグラフデータベース131から選択されたj番目のグラフとの類似度であり、
Nは、分析対象のコンピュータシステムについて形成されたグラフの数であり、
Mは、グラフデータベース131から選択されたグラフの数である。
さらに別の例では、分析対象のコンピュータシステムの有害度係数wは0.0(コンピュータシステム内に悪意のあるアクティビティがない)から1.0(コンピュータシステム内に悪意のあるアクティビティがあった)までの範囲内であり得る。上述の有害度係数wmが所定の値(例えば0.75)を超える場合、分析対象のコンピュータシステム内に悪意のあるアクティビティが検出された旨の決定が下される。
システムのさらに別の変形態様では、形成されたグラフの分析に基づいて、コンピュータシステム内の悪意のあるアクティビティの源であるオブジェクト111が決定される(図4、図5参照)。
一態様では、再訓練モジュール150は、分析モジュール140が下した決定141に基づいて選択モデル112を再訓練することができ、その結果、同じコンピュータシステムの有害度に関する分析を繰り返すと、収集モジュール110によって選択されたオブジェクト111の分析に基づいてグラフ形成モジュール120によってグラフを形成する間に、少なくとも:
・選択可能なオブジェクト111の数は最小になる傾向があり、この場合、これらのオブジェクト111およびオブジェクト111間の関係に関する情報の分析に基づいて分析モジュール140が下す決定は、精度が最高の決定となる傾向がある。すなわち、第1および第2の種類のエラー発生率が低くなる傾向がある(これはさらに、大量の統計サンプルに基づいて評価することができ、それまでに使用され所望の結果を得ている技術を使用して達成できる。そして、選択と評価は統計サンプルに基づき実行される。);
・グラフ形成モジュール120によるグラフの形成のための計算資源の利用は、再訓練されていないモデルの使用中に選択されたオブジェクト111を使用する場合よりも少ない。
次に、コンピュータシステム内の悪意のあるアクティビティを検出するシステムの動作を、以下の例によって考察する:
ユーザは、以下のアクションを連続して実行する:
・パスワードを入力してリモートコンピュータにサインオンする。
・新しいサービスを作成する。
上記により、当該コンピュータシステムにおいて以下の変更が生じる:
・サービスの作成によりレジストリが変更される。
・サービスによりPowershellが起動される。
・Powershellによりファイルが作成される。
収集モジュール110は、コンピュータシステム111のオブジェクトに関する情報を収集する:
・オブジェクト#1 − ログ中のエントリ
・オブジェクト#2 − ログ中のエントリ
・オブジェクト#3 − レジストリ中のキー
・オブジェクト#4 − ログ中のエントリ
・オブジェクト#5 − ファイルシステム内のファイルの作成。
グラフ形成モジュール120は、収集されたオブジェクト111を基に、以下のデータに基づいて関係を構築する:
オブジェクト#1(ログ中のエントリ)→[ユーザ名による関係]→…
…→オブジェクト#2(ログ中のエントリ)→[サービス名による関係]→…
…→オブジェクト#3 (レジストリ中のキー)→[レジストリキー内のファイル名による関係]→…
…→オブジェクト#4(ログ中のエントリ)→[ログのファイル名による関係]…→
…→オブジェクト#5(ファイルシステム内のファイルの作成)
図2は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティを検出する方法のフロー図である。
コンピュータシステム内の悪意のあるアクティビティを検出する方法のフロー図は、コンピュータシステムのオブジェクトに関する情報を収集するステップ210と、オブジェクト間の関係を決定するステップ220と、グラフを形成するステップ230と、要約グラフを形成するステップ240と、グラフを選択するステップ250と、悪意のあるアクティビティに関する決定を下すステップ260と、選択モデルを再訓練するステップ270とを含む。
ステップ210では、コンピュータシステム111のオブジェクトに関する情報を収集する。
本方法の特定の態様では、情報が収集されるオブジェクト111の選択は、訓練済み選択モデル112を使用して行われる。
ステップ220では、収集された情報の分析に基づいてオブジェクト111間の関係を決定する。各関係には関係の信頼度が割り当てられる。
本方法の1つの特定の態様では、互いの関係の信頼度が所定の閾値未満であるオブジェクト111は、悪意のあるアクティビティについてのコンピュータシステムのさらなる分析から除外される(すなわち、これらのオブジェクト111は本質的にグラフから除去され、以後の分析では使用されない)。
したがって、コンピュータシステムの有害度の分析に使用される計算資源の削減が達成される。
ステップ230では、見つかった関係(当該関係について確立された信頼度の使用を含む)に基づいて、少なくとも2つのグラフが形成される。グラフの直径は所定のパラメータ未満であり、グラフの頂点はオブジェクト111であり、エッジは見つかった関係である。
ステップ240では、形成されたグラフに基づいて要約グラフが形成され、要約グラフは第1および第2のグラフのうちの少なくとも1つの頂点と、これらの頂点を結ぶ1つのエッジとを含む。
ステップ250では、グラフデータベース131から、形成された要約グラフとの類似度が所定のレベルよりも大きい、少なくとも1つのグラフを選択する。グラフデータベースはコンピュータシステムのアクティビティについて以前に形成されたグラフを保持し、各グラフには、そのアクティビティの分析に基づいて悪意のあるアクティビティの係数が割り当てられる。
本方法の1つの変形態様では、悪意のあるアクティビティの係数の割り当ては、たとえば、アナリストによるグラフの分析に基づいて行うなど、先行技術によって知られている任意の方法によって行われる。
ステップ260では、形成されたグラフおよび選択されたグラフの分析の結果に基づいて、コンピュータシステム内の悪意のあるアクティビティの検出に関する決定が下される。
ステップ270では、選択モデル112は、ステップ260で下された決定141に基づいて再訓練される。このため、ステップ210で選択されたオブジェクト111の分析に基づいてステップ230でグラフを形成する間に、同じコンピュータシステムの有害度の分析を繰り返すと、少なくとも:
・選択可能なオブジェクト111の数は最小になる傾向があり、この場合、ステップ260において、これらのオブジェクト111に関する情報およびこれらのオブジェクト111間の関係の分析に基づいて下される決定は、精度が最高の決定となる傾向がある;
・ステップ230におけるグラフの形成のための計算資源の利用は、再訓練されていないモデルの使用中に選択されたオブジェクト111を使用する場合よりも少ない。
図3は、本開示の例示的な態様による、コンピュータシステムのオブジェクト間の関係の分析に基づいてグラフを形成するためのフロー図である。
コンピュータシステム111のオブジェクト間の関係の分析に基づいてグラフを形成するための図は、形成された初期グラフ310および320、結合グラフ330、および最適化グラフ340を含む。各グラフにおいて、グラフの頂点はコンピュータシステムのオブジェクト301、302、303である。
複数のオブジェクト301は異なるオブジェクトであると考えられるが(複数のオブジェクトは本質的には異なるが、便宜上全て同じ符号で表示する)、オブジェクト302および303は同じである。
初期グラフ310および320は、収集されたオブジェクト301、302、303およびそれらの間で識別された関係の分析に基づいて形成される。
図3において、実線はオブジェクト111間の機能関係を示し、点線は論理関係を示し、矢印はリンク付けと、リンク付けされたオブジェクトとを示す(すなわち、矢印は関係を誘発するオブジェクト111を始点として、そのオブジェクト111に関連するオブジェクト111に向かう)。例えば、ファイル「report.docx」が、ファイル「report.docx」、「report_old.docx」、「report_new.docx」を含む特定のアーカイブ「data.zip」から抽出される場合、矢印は、アーカイブ「data.zip」から、抽出されたファイル「report.docx」への機能関係を示す。
例えば、収集モジュール110はコンピュータシステム111のオブジェクトに関する情報を収集するために使用され、コンピュータシステムはいくつかの独立した構成要素(例えば、クライアントおよびサーバ)から構成することができ、異なる独立した構成要素から収集された前述のオブジェクト111も独立しているとみなすことができる。このようにして、いくつかの初期グラフが形成される。
さらに別の例では、コンピュータシステムは単一のもの(1つの独立した構成要素のみを含む)である。したがって、収集されたすべてのオブジェクト111は、従属していると見なすことができるものの、比較的独立した(少数の関係を有する)いくつかのグループに分割することもでき、それらについていくつかの初期グラフ(各グループにつき1つ)が構築される。
例えば、悪意のあるプログラムがコンピュータシステム内で実行されている場合、複数の独立したモジュール(例えば、ディスクシステム、データベース、メモリ、電子ドキュメントなどで動作するモジュール)から構成され得る当該コンピュータシステム(バックドア)の遠隔制御を可能にし、「マスタ」からコマンドを受信して、当該悪意のあるプログラムは特定の悪意のあるアクションまたは許可されていないアクションを実行することができる。1つの特定の例では、悪意のあるプログラムは、「ドキュメントを暗号化する」コマンドと、「パスワードを取得する」コマンドという2つの異なるコマンドを受信する。この2つのアクションは独立して、悪意のあるプログラムの別々のモジュールによって実施することができる。このようなコンピュータシステムの分析では、2つの独立したグラフが構築され、そのうちの1つではオブジェクト111は大部分がファイル(ドキュメント)であり、他の1つではオブジェクト111はオペレーティングシステム・ログ内のエントリである。このような場合でも、2つのグラフ間の関係は、ネットワークアクティビティ(オペレーティングシステム・ログに同様に反映される)、アクティビティの源(悪意のあるプログラムのモジュール)、アクティビティの開始時間、ネットワークパケットなどによって追跡することができる。
グラフ形成モジュール120は、初期グラフ310、320を形成する。初期グラフ310、320は、(頂点として)少なくとも2つの同一または類似のオブジェクト111(類似のオブジェクトとは、指定された分量以下の量だけ少なくとも1つのパラメータが互いに異なるオブジェクトである)を含む。例えば、初期グラフ310は、2つの同一のオブジェクト303を含む。
結合グラフ330は、以前に形成された初期グラフ310および320に基づいて形成される。
グラフ形成モジュール120は、結合グラフ330を形成するための基礎となる全ての初期グラフに存在する全ての同一又は類似のオブジェクト111を含むように、結合グラフ330を形成する。例えば、結合グラフ330は、初期グラフ310、320に存在する全てのオブジェクト302、303を含む。
結合グラフ330は要約グラフとして見ることができ、これに基づいて、検索モジュール130は、そのグラフの以下の分析を実行する。この場合も、コンピュータシステム内の悪意のあるアクティビティを検出するシステムが必要とするコンピュータ資源(グラフデータベース内の空間、グラフを形成し、検索し、分析するための計算資源など)を削減するために、グラフ形成モジュール120は結合グラフ330の最適化を実行し、最適化グラフ340を形成する。
最適化グラフ340は、以前に形成された結合グラフ330に基づいて形成される。
グラフ形成モジュール120は、最適化グラフ340が全ての初期グラフおよび結合グラフに存在する全ての同一又は類似のオブジェクト111を含むように、最適化グラフ340を形成する。例えば、最適化グラフ340は、初期グラフ310、320および結合グラフ330に存在する全てのオブジェクト302、303を含む。
ただし、これらのオブジェクト111に関連しないすべてのオブジェクトおよび関係(頂点およびエッジ)は、最適化グラフ340から除去することができる(白い円301として示される)。
したがって最適化後には、上述のオブジェクト302、303に加えて、初期グラフ310、320を形成するステップで以前には存在しなかった関係が確立されたオブジェクト304を見つけることができる。
最適化グラフ340は既に、結合グラフ330よりもコンパクトになっているため、この最適化グラフを使用して作業を進めることがより最適である。
図4は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティの源を検出するシステム400のブロック図である。
コンピュータシステム内の悪意のあるアクティビティの源を検出するシステム400のブロック図は、収集モジュール110、グラフ形成モジュール120、アクティビティ決定モジュール410、分析モジュール420、および判定モジュール430を含む。
アクティビティ決定モジュール410は、以下を実行するように設計される:
・選択された部分グラフごとにアクティビティ係数を決定する。ここで、有害度係数は、当該部分グラフの頂点間のグラフの強度を記述する数値特性を表す;
・選択された部分グラフおよび有害度係数を分析モジュール420に送る。
システムの1つの変形態様では、部分グラフの有害度係数は、当該部分グラフと、コンピュータシステムの悪意のあるアクティビティの以前に形成されたグラフを含むグラフデータベースの中の各々有害度係数が割り当てられている少なくとも1つの部分グラフとの類似度に基づいて決定される。
この場合、グラフの部分グラフまたは誘導部分グラフは、グラフの頂点のサブセットと、このサブセットの頂点のペアを結ぶすべてのエッジとから形成される別のグラフである。
システムのさらに別の変形態様では、部分グラフのアクティビティ係数は、当該部分グラフの頂点に関連するオブジェクトのうちの少なくとも1つのオブジェクトに悪意がある可能性を特徴付ける有害度係数である。
一態様では、分析モジュール420は:
・部分グラフを決定する。決定された部分グラフにおいて:
−有害度係数は、部分グラフについて決定された有害度係数の最小値であり、
−当該部分グラフに関連する部分グラフの要約有害度係数(すなわち、部分グラフの有害度係数の合計、または部分グラフの有害度係数の代表値)は最大値である;
・見つかった部分グラフを判定モジュール430に送る。
システムの1つの変形態様では、分析モジュール420は、因果関係に対応するエッジ(すなわち、機能関係ではなく論理関係に対応するエッジ)によって、他の部分グラフに関連する部分グラフを分析する。
システムのさらに別の変形態様では、分析モジュール420は、直径が所定の閾値未満である部分グラフを分析する。
判定モジュール430は、コンピュータシステム内の悪意のあるアクティビティの源として見つかった部分グラフの少なくとも1つの頂点に関連付けられたオブジェクト111を決定するように設計される。
システムの一変形態様では、判定モジュール430は、これまでに知られていないオブジェクト111を悪意のあるアクティビティの源として選択する。
図5は、本開示の例示的な態様による、コンピュータシステム内の悪意のあるアクティビティの源を検出する方法のフロー図である。
コンピュータシステム内の悪意のあるアクティビティの源を検出する方法の構造図は、コンピュータシステムのオブジェクト111に関する情報を収集するステップ210(図2に図示)と、グラフを形成するステップ230(図2に図示)と、部分グラフを選択するステップ510と、有害度係数を決定するステップ520と、部分グラフを決定するステップ530と、悪意のあるアクティビティの源を決定するステップ540とを含む。
ステップ210では、収集モジュール110を用いて、コンピュータシステムのオブジェクト111(以下、「オブジェクト」)に関する情報を収集する。
ステップ230では、グラフ形成モジュール120を使用して、オブジェクト111について収集された情報に基づいてグラフを形成する。ここで、グラフの頂点はオブジェクト111であり、エッジは、収集された情報の分析に基づいて決定されたオブジェクト間の関係である。
ステップ510では、アクティビティ決定モジュール410を使用して、形成されたグラフから少なくとも2つの誘導部分グラフ(以下、部分グラフ)を選択する。
ステップ520では、アクティビティ決定モジュール410を使用して、選択された各部分グラフの有害度係数を決定する。有害度係数は当該部分グラフの頂点間の関係の強さを記述する数値特性である。
ステップ530では、分析モジュール420を使用して、以下のような部分グラフを決定する:
・有害度係数が、部分グラフについて決定された有害度係数の最小値であり、
・当該部分グラフに関連する部分グラフの要約有害度係数は最大値である。
ステップ540では、判定モジュール430を使用して、コンピュータシステム内の悪意のあるアクティビティの源として判定された部分グラフの少なくとも1つの頂点に関連付けられたオブジェクトを決定する。
図6は、例示的な態様に従って、コンピュータシステム内の悪意のあるアクティビティの源を検出するためのシステムおよび方法の態様が実装され得るコンピュータシステム20を示すブロック図である。なお、コンピュータシステム20は例えば、先に説明したシステム100に相当し得る。コンピュータシステム20は、複数のコンピューティングデバイス、または単一のコンピューティングデバイス、例えば、デスクトップコンピュータ、ノート型コンピュータ、ラップトップコンピュータ、モバイルコンピューティングデバイス、スマートフォン、タブレットコンピュータ、サーバ、メインフレーム、埋め込みデバイス、および他の形態のコンピューティングデバイスとすることができる。
図示されるように、コンピュータシステム20は、中央処理装置(CPU)21と、システムメモリ22と、中央処理装置21に関連するメモリを含む様々なシステムコンポーネントを接続するシステムバス23とを含む。システムバス23は、バスメモリまたはバスメモリコントローラ、周辺バス、および他の任意のバスアーキテクチャとインタラクトすることができるローカルバスを含むことができる。バスの例としては、PCI、ISA、PCI−Express、HyperTransport(商標)、InfiniBand(商標)、Serial ATA、I2C、および他の適切な相互接続が挙げられる。中央処理装置21(プロセッサとも呼ばれる)は、単一または複数のコアを有する単一または複数のプロセッサ群を含むことができる。プロセッサ21は、本開示の技術を実現する1つまたは複数のコンピュータ実行可能コードを実行することができる。システムメモリ22は、ここで使用されるデータおよび/またはプロセッサ21によって実行可能なコンピュータプログラムを記憶するための任意のメモリとすることができる。システムメモリ22は、ランダムアクセスメモリ(RAM)25などの揮発性メモリ、およびリードオンリメモリ(ROM)24、フラッシュメモリなどの不揮発性メモリ、またはそれらの任意の組合せを含むことができる。基本入出力システム(BIOS)26は、ROM24を使用してオペレーティングシステムをロードするときのような、コンピュータシステム20の要素間で情報を転送するための基本手順を記憶することができる。
コンピュータシステム20は、1つまたは複数のリムーバブル記憶装置27、1つまたは複数の非リムーバブル記憶装置28、またはそれらの組合せなどの1つまたは複数の記憶装置を含むことができる。1つまたは複数のリムーバブル記憶装置27および非リムーバブル記憶装置28は、ストレージインタフェース32を介してシステムバス23に接続される。一態様では、記憶装置および対応するコンピュータ可読記憶媒体は、コンピュータシステム20のコンピュータ命令、データ構造、プログラムモジュール、および他のデータを記憶するための独立電源型モジュールである。システムメモリ22、リムーバブル記憶装置27、および非リムーバブル記憶装置28は、様々なコンピュータ可読記憶媒体を使用することができる。コンピュータ可読記憶媒体の例には、キャッシュ、SRAM、DRAM、ゼロキャパシタRAM、ツイントランジスタRAM、eDRAM、EDO RAM、DDR RAM、EEPROM、NRAM、RRAM(登録商標)、SONOS、PRAMなどの機械メモリ、ソリッドステートドライブ(SSD)またはフラッシュドライブなどのフラッシュメモリまたは他のメモリ技術、ハードディスクドライブまたはフロッピーディスクなどの磁気カセット、磁気テープ、および磁気ディスクストレージ、コンパクトディスク(CD-ROM)またはデジタル多用途ディスク(DVD)などの光ストレージ、ならびに所望のデータを記憶するために使用することができ、コンピュータシステム20によってアクセスすることができる任意の他の媒体が含まれる。
コンピュータシステム20のシステムメモリ22、リムーバブル記憶装置27、および非リムーバブル記憶装置28を使用して、オペレーティングシステム35、追加のプログラムアプリケーション37、他のプログラムモジュール38、およびプログラムデータ39を記憶することができる。コンピュータシステム20は、キーボード、マウス、スタイラス、ゲームコントローラ、音声入力デバイス、タッチ入力デバイスなどの入力デバイス40からデータを通信する周辺インタフェース46、または、シリアルポート、パラレルポート、ユニバーサルシリアルバス(USB)などの1つまたは複数のI/Oポートを経由するプリンタもしくはスキャナなどの他の周辺デバイス、または、他の周辺インタフェースを含むことができる。1つまたは複数のモニタ、プロジェクタ、または統合ディスプレイなどのディスプレイ装置47も、ビデオアダプタなどの出力インタフェース48を介してシステムバス23に接続することができる。コンピュータシステム20は、ディスプレイ制御装置47に加え、ラウドスピーカおよび他のオーディオビジュアル装置のような他の周辺出力装置(図示せず)を装備することができる。
コンピュータシステム20は、1つまたは複数のリモートコンピュータ49へのネットワーク接続を使用して、ネットワーク環境で動作することができる。リモートコンピュータ49は、コンピュータシステム20の性質を説明する上述の要素の大部分またはすべてを含むローカルコンピュータワークステーションまたはサーバとすることができる。ルータ、ネットワーク局、ピアデバイス、または他のネットワークノードなどの他のデバイスも、コンピュータネットワーク内に存在し得るが、これらに限定されない。コンピュータシステム20は、ローカルエリアコンピュータネットワーク(LAN)50、ワイドエリアコンピュータネットワーク(WAN)、イントラネット、およびインターネットなどの1つまたは複数のネットワークを介してリモートコンピュータ49と通信する1つまたは複数のネットワークインタフェース51またはネットワークアダプタを含むことができる。ネットワークインタフェース51としては、例えば、イーサネット(登録商標)インタフェース、フレームリレーインタフェース、SONETインタフェース、無線インタフェース等が挙げられる。
本開示の態様は、システム、方法、および/またはコンピュータプログラム製品であってもよい。コンピュータプログラム製品は、プロセッサに本開示の態様を実行させるためのコンピュータ可読プログラム命令が格納されたコンピュータ可読記憶媒体(または複数の媒体)を含むことができる。
コンピュータ可読記憶媒体は、コンピューティングシステム20などのコンピューティングデバイスのプロセッサによってアクセスすることができる命令またはデータ構造の形態のプログラムコードを保持し、記憶することができる有形デバイスとすることができる。コンピュータ可読記憶媒体は、電子記憶デバイス、磁気記憶デバイス、光記憶デバイス、電磁記憶デバイス、半導体記憶デバイス、またはそれらの任意の適切な組合せとすることができる。例えば、このコンピュータ可読記憶媒体は、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、EEPROM、ポータブルコンパクトディスクリードオンリメモリ(CD-ROM)、デジタル多用途ディスク(DVD)、フラッシュメモリ、ハードディスク、ポータブルコンピュータディスケット、メモリスティック、フロッピー(登録商標)ディスク、あるいはパンチカードまたは命令が記録された溝内の隆起構造などの機械的に符号化されたデバイスを含むことができる。本明細書で使用されるように、コンピュータ可読記憶媒体は、電波または他の自由に伝播する電磁波、導波管または伝送媒体を通って伝播する電磁波、または有線で伝送される電気信号など、一時的な信号そのものであると解釈されるべきではない。
本明細書で説明するコンピュータ可読プログラム命令は、例えば、インターネット、ローカルエリアネットワーク、ワイドエリアネットワーク、および/またはワイヤレスネットワークなどのネットワークを介して、コンピュータ可読記憶媒体からそれぞれのコンピューティングデバイスに、または外部コンピュータもしくは外部記憶デバイスにダウンロードすることができる。ネットワークは、銅線伝送ケーブル、光伝送ファイバ、無線伝送、ルータ、ファイアウォール、スイッチ、ゲートウェイコンピュータ、および/またはエッジサーバを含むことができる。各コンピューティングデバイス内のネットワークインタフェースは、ネットワークからコンピュータ可読プログラム命令を受信し、それぞれのコンピューティングデバイス内のコンピュータ可読記憶媒体に記憶するために、コンピュータ可読プログラム命令を転送する。
本開示の処理を実行するためのコンピュータ可読プログラム命令は、アセンブリ命令、命令セットアーキテクチャ(ISA)命令、機械命令、機械依存命令、マイクロコード、ファームウェア命令、状態設定データ、またはオブジェクト指向プログラミング言語および従来の手続き型プログラミング言語を含む1つまたは複数のプログラミング言語の任意の組合せで書かれたソースコードまたはオブジェクトコードのいずれかとすることができる。コンピュータ可読プログラム命令は、完全にユーザのコンピュータ上で、部分的にユーザのコンピュータ上で、スタンドアロンソフトウェアパッケージとして、部分的にユーザのコンピュータ上で、部分的にリモートコンピュータ上で、または完全にリモートコンピュータまたはサーバ上で実行することができる。後者のシナリオでは、リモートコンピュータは、LANまたはWANを含む任意のタイプのネットワークを介してユーザのコンピュータに接続されてもよく、または(例えば、インターネットを介して)外部コンピュータに接続されてもよい。いくつかの態様では、例えば、プログラマブル論理回路、フィールドプログラマブルゲートアレイ(FPGA)、またはプログラマブル論理アレイ(PLA)を含む電子回路は、本開示の態様を実行するために、電子回路をパーソナル化するためにコンピュータ可読プログラム命令の状態情報を利用することによって、コンピュータ可読プログラム命令を実行することができる。
様々な態様では、本開示で説明されるシステムおよび方法はモジュールによって対処することができる。本明細書で使用される「モジュール」という用語は、例えば、特定用途向け集積回路(ASIC)またはFPGAなどのハードウェアを使用して実装される、あるいは、マイクロプロセッサシステムおよび(実行されている間に)マイクロプロセッサシステムを専用デバイスに変換するモジュールの機能を実装するための命令セットなどのハードウェアおよびソフトウェアの組合せとして実装される、現実世界のデバイス、コンポーネント、または構成要素の構成を指す。また、モジュールは2つの組み合わせとして実装されてもよく、特定の機能はハードウェアのみによって促進され、他の機能はハードウェアとソフトウェアとの組み合わせによって促進される。いくつかの実装形態ではモジュールの少なくとも一部、および場合によってはすべてが、コンピュータシステムのプロセッサ(上記の図6でより詳細に説明したものなど)上で実行され得る。したがって、各モジュールは、様々な適切な構成で実現されてもよく、本明細書で例示される任意の特定の実装形態に限定されるべきではない。
明確にするため、本明細書では態様の一般的な特徴のすべてを開示しているわけではない。本開示の任意の実際の実装の開発において、開発者の特定の目標を達成するために、多数の実装固有の決定が行われなければならず、これらの特定の目標は、異なる実装および異なる開発者によって異なることが理解されるのであろう。そのような開発努力は複雑で時間がかかる可能性があるが、それにもかかわらず、本開示の恩恵を受ける当業者にとっては日常的なエンジニアリングの仕事であることが理解される。
さらに、本明細書で使用される語法または用語は説明を目的としたものであり、限定を目的としたものではない。したがって、本明細書の語法または用語は、関連技術の当業者の知識と組み合わせて、本明細書で提示される教示およびガイダンスに照らして、当業者によって解釈されるべきであることを理解されたい。さらに、明細書または特許請求の範囲におけるいかなる用語も、そのように明示的に記載されていない限り、一般的ではない意味または特別な意味に帰することを意図していない。
本明細書で開示される様々な態様は、例示として本明細書で言及される既知のモジュールに対する現在および将来の既知の同等物を包含する。さらに、態様および用途が示され、説明されてきたが、本明細書に開示された発明概念から逸脱することなく、上記よりも多くの変形例が可能であることは本開示の恩恵を受ける当業者には明らかであろう。

Claims (20)

  1. コンピュータシステム内の悪意のあるアクティビティの源を検出するための方法であって、
    前記コンピュータシステムのオブジェクトに関する情報を収集し、
    オブジェクトに関して収集された情報に基づいて、オブジェクトを頂点として表し、収集された情報の分析に基づいて決定されるオブジェクト間の関係をエッジとして表したグラフを形成し、
    得られたグラフから少なくとも2つの誘導部分グラフを選択し、
    選択された部分グラフごとに、部分グラフの頂点間の関係の強さを記述する数値特性を表す有害度係数を決定し、
    選択された部分グラフから、決定された部分グラフの有害度係数の中で有害度係数が最小であり、関連する部分グラフの有害度係数の合計が最大である部分グラフを決定し、
    決定された部分グラフの少なくとも1つの頂点と関連するオブジェクトをコンピュータシステム内の悪意のあるアクティビティの源として識別する、
    各処理を含む、方法。
  2. コンピュータシステムの悪意のあるアクティビティについて以前に形成されたグラフであって、各々が有害度係数に関連付けられるグラフを含むグラフのデータベースのうち、少なくとも1つの部分グラフとの類似度に基づいて、部分グラフの有害度係数を決定することをさらに含む、請求項1に記載の方法。
  3. 前記部分グラフの有害度係数は、当該部分グラフの頂点に関連付けられたオブジェクトのうちの少なくとも1つのオブジェクトに悪意がある確率を特徴付ける有害度係数である、請求項1に記載の方法。
  4. 因果関係に関連付けられたグラフエッジによって他の部分グラフに関連する部分グラフのみが分析される、請求項1に記載の方法。
  5. 直径が所定の閾値未満である部分グラフが分析される、請求項1に記載の方法。
  6. 前記悪意のあるアクティビティの源であるとして確認された前記オブジェクトのうち、これまで知られていないオブジェクトが選択される、請求項1に記載の方法。
  7. 前記オブジェクトは、ファイル、フォルダ、アプリケーション、レジストリエントリ、またはウェブサイトのうちの少なくとも1つを含む、請求項1に記載の方法。
  8. コンピュータシステム内の悪意のあるアクティビティの源を検出するためのシステムであって、
    ハードウェアプロセッサを備え、当該ハードウェアプロセッサは、
    前記コンピュータシステムのオブジェクトに関する情報を収集し、
    オブジェクトに関して収集された情報に基づいて、オブジェクトを頂点として表し、収集された情報の分析に基づいて決定されるオブジェクト間の関係をエッジとして表したグラフを形成し、
    得られたグラフから少なくとも2つの誘導部分グラフを選択し、
    選択された部分グラフごとに、部分グラフの頂点間の関係の強さを記述する数値特性を表す有害度係数を決定し、
    選択された部分グラフから、決定された部分グラフの有害度係数の中で有害度係数が最小であり、関連する部分グラフの有害度係数の合計が最大である部分グラフを決定し、
    決定された部分グラフの少なくとも1つの頂点と関連するオブジェクトをコンピュータシステム内の悪意のあるアクティビティの源として識別する、
    ように構成される、システム。
  9. コンピュータシステムの悪意のあるアクティビティについて以前に形成されたグラフであって、各々が有害度係数に関連付けられるグラフを含むグラフのデータベースのうち、少なくとも1つの部分グラフとの類似度に基づいて、部分グラフの有害度係数を決定するように構成される、請求項8に記載のシステム。
  10. 前記部分グラフの有害度係数は、当該部分グラフの頂点に関連付けられたオブジェクトのうちの少なくとも1つのオブジェクトに悪意がある確率を特徴付ける有害度係数である、請求項8に記載のシステム。
  11. 因果関係に関連付けられたグラフエッジによって他の部分グラフに関連する部分グラフのみが分析される、請求項8に記載のシステム。
  12. 直径が所定の閾値未満である部分グラフが分析される、請求項8に記載のシステム。
  13. 前記悪意のあるアクティビティの源であるとして確認された前記オブジェクトのうち、これまで知られていないオブジェクトが選択される、請求項8に記載のシステム。
  14. 前記オブジェクトは、ファイル、フォルダ、アプリケーション、レジストリエントリ、またはウェブサイトのうちの少なくとも1つを含む、請求項8に記載のシステム。
  15. コンピュータシステム内の悪意のあるアクティビティの源を検出するための命令を記憶する非一時的なコンピュータ可読媒体であって、前記命令は、
    前記コンピュータシステムのオブジェクトに関する情報を収集し、
    オブジェクトに関して収集された情報に基づいて、オブジェクトを頂点として表し、収集された情報の分析に基づいて決定されるオブジェクト間の関係をエッジとして表したグラフを形成し、
    得られたグラフから少なくとも2つの誘導部分グラフを選択し、
    選択された部分グラフごとに、部分グラフの頂点間の関係の強さを記述する数値特性を表す有害度係数を決定し、
    選択された部分グラフから、決定された部分グラフの有害度係数の中で有害度係数が最小であり、関連する部分グラフの有害度係数の合計が最大である部分グラフを決定し、
    決定された部分グラフの少なくとも1つの頂点と関連するオブジェクトをコンピュータシステム内の悪意のあるアクティビティの源として識別する、
    ことを含む、コンピュータ可読媒体。
  16. 前記命令はさらに、
    コンピュータシステムの悪意のあるアクティビティについて以前に形成されたグラフであって、各々が有害度係数に関連付けられるグラフを含むグラフのデータベースのうち、少なくとも1つの部分グラフとの類似度に基づいて、部分グラフの有害度係数を決定することを含む、請求項15に記載のコンピュータ可読媒体。
  17. 前記部分グラフの有害度係数は、当該部分グラフの頂点に関連付けられたオブジェクトのうちの少なくとも1つのオブジェクトに悪意がある確率を特徴付ける有害度係数である、請求項15に記載のコンピュータ可読媒体。
  18. 因果関係に関連付けられたグラフエッジによって他の部分グラフに関連する部分グラフのみが分析される、請求項15に記載のコンピュータ可読媒体。
  19. 直径が所定の閾値未満である部分グラフが分析される、請求項15に記載のコンピュータ可読媒体。
  20. 前記悪意のあるアクティビティの源であるとして確認された前記オブジェクトのうち、これまで知られていないオブジェクトが選択される、請求項15に記載のコンピュータ可読媒体。
JP2019147481A 2018-12-28 2019-08-09 コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法 Active JP6893534B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2018147236 2018-12-28
RU2018147236A RU2724800C1 (ru) 2018-12-28 2018-12-28 Система и способ обнаружения источника вредоносной активности на компьютерной системе
US16/420,409 US11403398B2 (en) 2018-12-28 2019-05-23 System and method of detecting a source of malicious activity in a computer system
US16/420,409 2019-05-23

Publications (2)

Publication Number Publication Date
JP2020109611A true JP2020109611A (ja) 2020-07-16
JP6893534B2 JP6893534B2 (ja) 2021-06-23

Family

ID=71121872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019147481A Active JP6893534B2 (ja) 2018-12-28 2019-08-09 コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法

Country Status (4)

Country Link
US (1) US11403398B2 (ja)
JP (1) JP6893534B2 (ja)
CN (1) CN111382435B (ja)
RU (1) RU2724800C1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10419469B1 (en) * 2017-11-27 2019-09-17 Lacework Inc. Graph-based user tracking and threat detection
CN113704202A (zh) * 2021-09-03 2021-11-26 杭州雾联科技有限公司 一种进程监控方法、进程监控系统及相关装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016073765A1 (en) * 2014-11-05 2016-05-12 Nec Laboratories America, Inc. Method and system for behavior query construction in temporal graphs using discriminative sub-trace mining
US20160164901A1 (en) * 2014-12-05 2016-06-09 Permissionbit Methods and systems for encoding computer processes for malware detection
JP2016206943A (ja) * 2015-04-22 2016-12-08 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060236100A1 (en) * 2005-04-19 2006-10-19 Guruprasad Baskaran System and method for enhanced layer of security to protect a file system from malicious programs
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US8161550B2 (en) 2007-01-23 2012-04-17 Knowledge Based Systems, Inc. Network intrusion detection
JP5123641B2 (ja) 2007-10-31 2013-01-23 株式会社日立製作所 性能履歴の管理方法および性能履歴の管理システム
CN102034042B (zh) * 2010-12-13 2012-10-03 四川大学 基于函数调用关系图特征的恶意代码检测新方法
US8931092B2 (en) * 2012-08-23 2015-01-06 Raytheon Bbn Technologies Corp. System and method for computer inspection of information objects for shared malware components
US9336388B2 (en) * 2012-12-10 2016-05-10 Palo Alto Research Center Incorporated Method and system for thwarting insider attacks through informational network analysis
CN104463601A (zh) * 2014-11-13 2015-03-25 电子科技大学 一种在线社会媒体系统中检测恶意评分用户的方法
US20160364794A1 (en) * 2015-06-09 2016-12-15 International Business Machines Corporation Scoring transactional fraud using features of transaction payment relationship graphs
CN105184160B (zh) * 2015-07-24 2018-05-18 哈尔滨工程大学 一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法
CN105740711B (zh) * 2016-01-29 2018-08-31 哈尔滨工业大学深圳研究生院 一种基于内核对象行为本体的恶意代码检测方法及系统
US10437995B2 (en) * 2016-03-31 2019-10-08 AVAST Software s.r.o. Systems and methods for inference of malware labels in a graph database
AU2017249322B2 (en) * 2016-04-15 2021-04-22 Sophos Limited Forensic analysis of computing activity and malware detection using an event graph
US9928366B2 (en) 2016-04-15 2018-03-27 Sophos Limited Endpoint malware detection using an event graph
RU2634181C1 (ru) * 2016-06-02 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных компьютерных систем
US10810210B2 (en) * 2017-05-12 2020-10-20 Battelle Memorial Institute Performance and usability enhancements for continuous subgraph matching queries on graph-structured data
CN107153847A (zh) * 2017-05-31 2017-09-12 北京知道创宇信息技术有限公司 预测用户是否存在恶意行为的方法和计算设备
RU2654151C1 (ru) * 2017-08-10 2018-05-16 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов
US11159555B2 (en) * 2018-12-03 2021-10-26 Accenture Global Solutions Limited Generating attack graphs in agile security platforms

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016073765A1 (en) * 2014-11-05 2016-05-12 Nec Laboratories America, Inc. Method and system for behavior query construction in temporal graphs using discriminative sub-trace mining
US20160164901A1 (en) * 2014-12-05 2016-06-09 Permissionbit Methods and systems for encoding computer processes for malware detection
JP2016206943A (ja) * 2015-04-22 2016-12-08 株式会社日立製作所 サイバー攻撃分析装置及びサイバー攻撃分析方法

Also Published As

Publication number Publication date
US20200210578A1 (en) 2020-07-02
CN111382435B (zh) 2023-06-23
CN111382435A (zh) 2020-07-07
US11403398B2 (en) 2022-08-02
JP6893534B2 (ja) 2021-06-23
RU2724800C1 (ru) 2020-06-25

Similar Documents

Publication Publication Date Title
US11188649B2 (en) System and method for classification of objects of a computer system
EP3716110B1 (en) Computer-security event clustering and violation detection
JP7575842B2 (ja) システム・イベントの自動意味論的モデリング
JP7023259B2 (ja) 悪意あるファイルを検出するためのシステムおよび方法
EP3716111B1 (en) Computer-security violation detection using coordinate vectors
JP6715292B2 (ja) 機械学習を用いる悪意のあるファイルを検出するシステムおよび方法
US8856937B1 (en) Methods and systems for identifying fraudulent websites
JP7264631B2 (ja) コンピュータシステムにおける不正行為を検出するためのシステム及び方法
KR101858620B1 (ko) 기계 학습을 이용한 자바스크립트 분석 장치 및 방법
CN109948335B (zh) 用于检测计算机系统中的恶意活动的系统和方法
Vanitha et al. Malicious-URL detection using logistic regression technique
JP6691240B2 (ja) 判定装置、判定方法、および、判定プログラム
JP6893534B2 (ja) コンピュータシステム内の悪意のあるアクティビティの源を検出するシステムおよび方法
TWI610196B (zh) 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品
JP7320462B2 (ja) アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法
US11330010B2 (en) Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files
EP3674943A1 (en) System and method of detecting a source of malicious activity in a computer system
EP3674948B1 (en) System and method for classification of objects of a computer system
US20240220619A1 (en) Systems and methods for selecting client backup files for maliciousness analysis

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200206

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210303

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210512

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210525

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210601

R150 Certificate of patent or registration of utility model

Ref document number: 6893534

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250