JP2020522808A - カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 - Google Patents
カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 Download PDFInfo
- Publication number
- JP2020522808A JP2020522808A JP2019566622A JP2019566622A JP2020522808A JP 2020522808 A JP2020522808 A JP 2020522808A JP 2019566622 A JP2019566622 A JP 2019566622A JP 2019566622 A JP2019566622 A JP 2019566622A JP 2020522808 A JP2020522808 A JP 2020522808A
- Authority
- JP
- Japan
- Prior art keywords
- file
- processor
- malware
- instructions
- size
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011897 real-time detection Methods 0.000 title claims abstract description 21
- 238000000034 method Methods 0.000 claims abstract description 262
- 230000008569 process Effects 0.000 claims abstract description 200
- 238000004458 analytical method Methods 0.000 claims abstract description 157
- 238000001514 detection method Methods 0.000 claims abstract description 102
- 230000004044 response Effects 0.000 claims abstract description 66
- 239000000872 buffer Substances 0.000 claims abstract description 27
- 230000000977 initiatory effect Effects 0.000 claims abstract description 10
- 230000000051 modifying effect Effects 0.000 claims abstract description 7
- 230000009471 action Effects 0.000 claims description 39
- 230000006399 behavior Effects 0.000 claims description 22
- 238000012937 correction Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 16
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000005067 remediation Methods 0.000 claims description 8
- 238000007726 management method Methods 0.000 description 64
- 238000003860 storage Methods 0.000 description 23
- 230000003068 static effect Effects 0.000 description 20
- 230000008901 benefit Effects 0.000 description 12
- 230000008859 change Effects 0.000 description 10
- 238000012986 modification Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000013459 approach Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 5
- 238000007796 conventional method Methods 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000009826 distribution Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000007792 addition Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000007619 statistical method Methods 0.000 description 3
- 241000256836 Apis Species 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 2
- 238000000342 Monte Carlo simulation Methods 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000010223 real-time analysis Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000000546 chi-square test Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012417 linear regression Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000004904 shortening Methods 0.000 description 1
- 238000004513 sizing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000528 statistical test Methods 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/202—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
- G06F11/2038—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant with a single idle spare processing component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
本出願は、参照によりその全体が組み込まれている、2017年5月30日に出願された米国特許仮出願第62/512,659号の利益を主張するものである。
従来のセキュリティ製品は、疑わしいアプリケーションプログラムインターフェース(API)コールおよびアクションを探すことによって未知のマルウェアからデバイスを保護するために、挙動分析および実行時ヒューリスティックスを含んでよい。マルウェアは、コンピュータおよびコンピュータシステムを損傷させまたは無効にすることが意図されたソフトウェアを指す。マルウェアは、ポリモーフィックまたはメタモーフィックなマルウェアを作成することによってセキュリティ製品による検出を回避する洗練されたプログラムが含むことがある。ポリモーフィックマルウェアは、異なる実行で新しい「署名」を生成する変異エンジンを使用して破壊的なコードを暗号化することによって変異する。メタモーフィックマルウェアは、実行可能コードを動的に再構築して悪意を分かりにくくする。検出を回避するために、マルウェアは、プッシュ、ポップ、NOP、およびジャンプ命令などの冗長なプロセッサオペコードを追加して、実行ファイルの署名を変更するが、機能性に影響しないことが可能である。
マルウェアのリアルタイム検出およびマルウェアからの保護のためのシステム、方法、および/またはコンピュータプログラム製品(たとえば、1つまたは複数の処理ユニットによって実行可能な命令を記憶するコンピュータ可読記憶媒体)が、例示的な実施形態によって開示される。コンピュータにおけるプロセッサは一般に、少なくとも2つの異なるモード、すなわちユーザモードとカーネルモードにおいて実行してよい。典型的には、アプリケーションはユーザモードにおいて実行してよく、コアオペレーティングシステムコンポーネントはカーネルモードにおいて実行してよい。
一実施形態において、カーネルモードにおけるマルウェアのリアルタイム検出およびマルウェアからの保護のための方法は、ユーザモードにおいて実行されているプロセスによって開始されたファイル操作要求を検出するステップを含む。検出されたファイル操作要求に関連付けられたファイルバッファに関してマルウェア検出分析が行われて、マルウェアの存在を示す挙動を検出する。マルウェアの存在を示す挙動を検出することに応答して、検出されたファイル操作要求を開始することを担当するプロセスが識別される。プログラムのブラックリストおよびプログラムのホワイトリストのうちの1つまたは複数において、識別されたプロセスの検索が行われて、識別されたプロセスが信頼されたプロセスであるかどうかを決定する。識別されたプロセスが信頼されたプロセスではないと決定することに応答して、識別されたプロセスに対してマルウェア修正アクションが実行される。マルウェアを記述する情報がクライアントデバイスに送信される。
図1は、実施形態に従う、カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護のためのシステムの例示的なブロック図を示す。システムは、管理ノード100、クラウドホスト105、およびセキュリティマネージャ115を含む。他の実施形態において、システムは、本明細書に説明されるものよりも、追加のまたは少ないコンポーネントを備える。同様に、機能は、ここで説明されるのと異なる方式でコンポーネントおよび/または異なるエンティティの間で分散されることが可能である。
一実施形態において、ファイル操作要求をインターセプトするために、フィルタマネージャ125は、ファイル操作要求をインターセプトするためにミニフィルタドライバが登録されているかどうかを決定する。ファイル操作要求をインターセプトするためにミニフィルタドライバが登録されていると決定することに応答して、フィルタマネージャ125は、ファイル操作要求をミニフィルタドライバにて送信する。ファイル操作要求の生成を担当するユーザプロセッサがI/Oマネージャ120によって識別されていると、フィルタマネージャ125は、プログラムのブラックリストおよびプログラムのホワイトリストのうちの1つまたは複数において、識別されたプロセスの検索を行って、識別されたプロセスが信頼されたプロセスであるかどうかを決定してよい。
図2は、実施形態に従う、プラットフォーム上のユーザモード235において実行されているアプリケーション225に関するマルウェアのリアルタイム検出およびマルウェアからの保護の例示的なブロック図を示す。示されているプラットフォームは、たとえば、Intel、AMD、またはARMによって製造されたプロセッサに基づいている。プラットフォーム上のオペレーティングシステムは、ユーザモード235およびカーネルモード240を含む。
図3は、実施形態に従う、マルウェアのリアルタイム検出およびマルウェアからの保護のための例示的なフィルタマネージャ125ならびにミニフィルタドライバ320、325、および330を示す。他の実施形態において、構成は、本明細書に説明されるものよりも追加のまたは少ないコンポーネントを備える。同様に、機能は、ここで説明されるのと異なる方式でコンポーネントおよび/または異なるエンティティの間で分散されることが可能である。
図4は、実施形態に従う、マルウェアのリアルタイム検出およびマルウェアからの保護のためのボリュームシャドウサービス(VSS)の例示的なコンポーネントを示す。VSSは、VSSコピーサービス400、VSSリクエスタ405、VSSライタ410、ならびにVSSプロバイダ415、420、および425を含む。他の実施形態において、VSSは、本明細書に説明されるものよりも追加のまたは少ないコンポーネントを備える。同様に、機能は、ここで説明されるのと異なる方式でコンポーネントおよび/または異なるエンティティの間で分散されることが可能である。
図5は、実施形態に従う、モンテカルロパイ近似に関する例示的なデータ点を示す図である。モンテカルロパイ近似は、暗号化されたファイルから圧縮されたファイルを区別するために使用されてよい。モンテカルロシミュレーションは、ファイルにおける値のランダム性の測定を可能にする。モンテカルロシミュレーションの1つのアプリケーションは、ファイルにおけるデータに基づいてPi(π)の値を近似することである。ファイルに含まれる値がランダムであるほど、πの推定される値がより正確である。Pi(π)の値は、正方形におけるデータ点510の総数に対する内接単位円におけるデータ点500の比によって計算される。
円面積(AreaCircle)=πr2
正方形面積(AreaSquare)=(2r)2=4r2
図6は、実施形態に従う、マルウェアのリアルタイム検出およびマルウェアからの保護のための例示的なプロセスを示す。一実施形態において、図6のプロセスは管理ノード100によって行われる。他のエンティティ(たとえばマルウェア分析モジュール140)が、他の実施形態においてプロセスのステップの一部または全部を行ってよい。同様に、実施形態は、異なるおよび/もしくは追加のステップを含み、または異なる順序でステップを行ってよい。
図7は、実施形態に従う、カーネルモードにおけるステガノグラフィのリアルタイム検出およびステガノグラフィからの保護のための例示的なポータブル実行可能(PE)ファイルのコンポーネントを示す。PEフォーマットは、実行ファイル、オブジェクトコード、DLL、FONフォントファイル、ならびにWindowsオペレーティングシステムの32ビットおよび64ビット版で使用される他のもののためのファイルフォーマットである。PEフォーマットは、Windows OSローダがラップされた実行可能コードを管理するために必要な情報をカプセル化するデータ構造である。
図8は、実施形態に従う、カーネルモードにおけるステガノグラフィのリアルタイム検出およびステガノグラフィからの保護のための例示的なプロセスを示す。一実施形態において、図8のプロセスは管理ノード100によって行われる。他のエンティティ(たとえばマルウェア分析モジュール140)が、他の実施形態においてプロセスのステップの一部または全部を行ってよい。同様に、実施形態は、異なるおよび/もしくは追加のステップ含み、または異なる順序でステップを行ってよい。
代替的実施形態
代替的実施形態において、本明細書に開示されている方法およびシステムは、管理ノード100上にローカルにまたはクラウド(たとえばクラウドホスト105)に記憶された機密データについての保護およびプライバシを強化するために使用されてよい。これらの代替的実施形態を使用して、予め設定された地理的境界を横切る機密データの許可されていないエクスポートが検出および/または防止されてよい。たとえば、実施形態は、特定の地理的領域に機密データをタグ付けし、データをその位置にロックするように使用され、その地理的領域からのデータの許可されていないエクスポートおよび/またはアクセスが監視および防止されるようにしてよい。したがって、代替的実施形態は、データ主体の個人データ、個人を識別できる情報のエクスポートに、ユーザにより大きな制御を提供してよい。また、代替的実施形態は、規制によって指定された合法的基準で行われない限りデータ処理を防止するための方法、およびデータ漏洩の効率的な報告を、企業に提供する。
加えて、代替的実施形態は、データが記憶されるときの仮名化および/または完全なデータ匿名化を企業が提供することを可能にする。一実施形態において、記憶された個人データが暗号化されて、結果の個人暗号化データは、正しい復号キーなしに特定のデータ主体に帰せられないようにされてよい。一実施形態において、トークン化が実装されてよく、それにより、機密データを、外因的なまたは悪用可能な意味または価値を有しない非機密代用物(トークン)に置き換える。トークン化は、データの種類または長さを変更せず、すなわち、それは、データの長さおよび種類に敏感なことがあるデータベースなどのレガシシステムによって処理されることが可能である。この手法の利点および利益は、従来の暗号化されたデータよりも少ない計算リソースおよび小さい記憶スペースで済むことである。保護されたデータに対するマルウェアまたはステガノグラフィ攻撃は、検出されたファイル操作要求に関連付けられたファイルに対するマルウェアまたはステガノグラフィ検出分析を行うことを含めて、開示されている実施形態を使用して、検出および防止されることが可能である。
図9は、マシン可読媒体から命令を読み取ってそれらをプロセッサまたはコントローラにおいて実行することができる例示的なマシンのコンポーネントを示すブロック図である。具体的には、図9は、コンピュータシステム900の例示的な形態においてマシンの概略図を示す。コンピュータシステム900は、本明細書に説明されている方法論(またはプロセス)の任意の1つまたは複数をマシンに行わせるための命令924(たとえば、プログラムコードまたはソフトウェア)を実行するために使用されることが可能である。代替的実施形態において、スタンドアロンデバイス、または他のマシンに接続する接続(たとえばネットワーク化)されたデバイスとして動作する。ネットワーク化された配置において、マシンは、サーバ/クライアントネットワーク環境におけるサーバマシンもしくはクライアントマシンとして、またはピアツーピア(または分散された)ネットワーク環境におけるピアマシンとして動作してよい。
本明細書を通じて、複数のインスタンスが、単一のインスタンスとして説明されたコンポーネント、動作、または構造を実施してよい。1つまたは複数の方法の個々の動作が別個の動作として示され説明されているが、個々の動作の1つまたは複数が同時に行われてよく、動作が示された順序で行われる必要はない。例示的な構成において別個のコンポーネントとして提示された構造および機能性は、結合された構造またはコンポーネントとして実施されてよい。同様に、単一のコンポーネントとして提示された構造および機能性は、別個のコンポーネントとして実施されてよい。これらおよび他の変形、修正、追加、および改良は、本明細書の主題の範囲内に入る。
Claims (40)
- カーネルモードにおけるマルウェアのリアルタイム検出およびマルウェアからの保護のための方法であって、
ユーザモードにおいて実行されているプロセスによって開始されたファイル操作要求を検出するステップと、
前記検出されたファイル操作要求に関連付けられたファイルバッファに関してマルウェア検出分析を行って、マルウェアの存在を示す挙動を検出するステップと、
前記マルウェアの前記存在を示す前記挙動を検出することに応答して、前記検出されたファイル操作要求を開始することを担当する前記プロセスを識別するステップと、
プログラムのブラックリストおよびプログラムのホワイトリストのうちの1つまたは複数において、前記識別されたプロセスの検索を行って、前記識別されたプロセスが信頼されたプロセスであるかどうかを決定するステップと、
前記識別されたプロセスが信頼されたプロセスではないと決定することに応答して、
前記識別されたプロセスに対してマルウェア修正アクションを実行するステップと、
前記マルウェアを記述する情報をクライアントデバイスに送信するステップと
を含むことを特徴とする方法。 - 前記ファイル操作要求を検出する前記ステップは、
前記ファイル操作要求に対応するファイルハンドルから、前記ファイル操作要求が所定の動作に対応するかどうかを決定するステップと、
前記ファイル操作要求が所定の動作に対応すると決定することに応答して、前記ファイル操作要求をインターセプトするステップと
を含むことを特徴とする請求項1に記載の方法。 - 前記ファイル操作要求を前記インターセプトする前記ステップは、
フィルタマネージャによって、ファイル操作要求をインターセプトするためにミニフィルタドライバが登録されているかどうかを決定するステップと、
ファイル操作要求をインターセプトするために前記ミニフィルタドライバが登録されていると決定することに応答して、前記フィルタマネージャによって、前記ファイル操作要求を前記ミニフィルタドライバに送信するステップと
を含むことを特徴とする請求項2に記載の方法。 - 前記マルウェア検出分析を行う前記ステップは、モンテカルロ近似、エントロピ決定、系列係数分析、算術平均決定、カイ二乗決定、および標準偏差決定のうちの1つまたは複数を行って、前記ファイルバッファ内のデータが暗号化されているかどうかを決定するステップを含むことを特徴とする請求項1に記載の方法。
- 前記識別されたプロセスが信頼されたプロセスではないと前記決定するステップは、
プログラムの前記ブラックリスト上において前記識別されたプロセスを特定するステップをさらに含み、
前記マルウェア修正アクションを実行する前記ステップは、
前記検出されたファイル操作要求に関連付けられた書き込み操作を終了するステップと、
前記検出されたファイル操作要求をメモリから削除することによって、前記検出されたファイル操作要求を終了するステップと、
前記識別されたプロセスに関連付けられたディスクファイルイメージを隔離するステップと
をさらに含むことを特徴とする請求項1に記載の方法。 - プログラムの前記ホワイトリスト上において前記識別されたプロセスを特定することに応答して、ミニフィルタドライバによって、前記検出されたファイル操作要求を無視するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記識別されたプロセスが信頼されたプロセスであるかどうかを決定する前記ステップは、プログラムの前記ブラックリストまたはプログラムの前記ホワイトリスト上において前記プロセスを特定しないことに応答して、前記クライアントデバイスに前記識別されたプロセスを許可することを求める要求を送信するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 前記識別されたプロセスが信頼されたプロセスではないと前記決定するステップは、前記クライアントデバイスに前記識別されたプロセスを許可することを求める前記要求を前記送信することに応答して、前記識別されたプロセスが許可されないというメッセージを前記クライアントデバイスから受信するステップをさらに含むことを特徴とする請求項7に記載の方法。
- 前記識別されたプロセスをプログラムの前記ブラックリストに追加するステップをさらに含むことを特徴とする請求項8に記載の方法。
- 前記識別されたプロセスが許可されたというメッセージを前記クライアントデバイスから受信することに応答して、前記識別されたプロセスをプログラムの前記ホワイトリストに追加するステップをさらに含むことを特徴とする請求項1に記載の方法。
- 命令を記憶する非一時的コンピュータ可読媒体であって、前記命令は、少なくとも1つのプロセッサによって実行されたとき、前記少なくとも1つのプロセッサに、
ユーザモードにおいて実行されているプロセスによって開始されたファイル操作要求を検出することと、
前記検出されたファイル操作要求に関連付けられたファイルバッファに関してマルウェア検出分析を行って、マルウェアの存在を示す挙動を検出することと、
前記マルウェアの前記存在を示す前記挙動を検出することに応答して、前記検出されたファイル操作要求を開始することを担当する前記プロセスを識別することと、
プログラムのブラックリストおよびプログラムのホワイトリストのうちの1つまたは複数において、前記識別されたプロセスの検索を行って、前記識別されたプロセスが信頼されたプロセスであるかどうかを決定することと、
前記識別されたプロセスが信頼されたプロセスではないと決定することに応答して、
前記識別されたプロセスに対してマルウェア修正アクションを実行することと、
前記マルウェアを記述する情報をクライアントデバイスに送信することと
を行わせることを特徴とする非一時的コンピュータ可読媒体。 - 前記ファイル操作要求を検出することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイル操作要求に対応するファイルハンドルから、前記ファイル操作要求が所定の動作に対応するかどうかを決定することと、
前記ファイル操作要求が所定の動作に対応すると決定することに応答して、前記ファイル操作要求をインターセプトすることと
を行わせる命令をさらに含むことを特徴とする請求項11に記載の非一時的コンピュータ可読媒体。 - 前記ファイル操作要求をインターセプトすることを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
フィルタマネージャによって、ファイル操作要求をインターセプトするためにミニフィルタドライバが登録されているかどうかを決定することと、
ファイル操作要求をインターセプトするために前記ミニフィルタドライバが登録されていると決定することに応答して、前記フィルタマネージャによって、前記ファイル操作要求を前記ミニフィルタドライバに対して送信することと
を行わせる命令をさらに含むことを特徴とする請求項12に記載の非一時的コンピュータ可読媒体。 - 前記マルウェア検出分析を行うことを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
モンテカルロ近似、エントロピ決定、系列係数分析、算術平均決定、カイ二乗決定、および標準偏差決定のうちの1つまたは複数を行って、前記ファイルバッファ内のデータが暗号化されているかどうかを決定することを行わせる命令をさらに含むことを特徴とする請求項11に記載の非一時的コンピュータ可読媒体。 - 前記識別されたプロセスが信頼されたプロセスではないと決定することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
プログラムの前記ブラックリスト上において前記識別されたプロセスを特定することを行わせる命令をさらに含み、
前記マルウェア修正アクションを実行することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記検出されたファイル操作要求に関連付けられた書き込み操作を終了することと、
前記検出されたファイル操作要求をメモリから削除することによって、前記検出されたファイル操作要求を終了することと、
前記識別されたプロセスに関連付けられたディスクファイルイメージを隔離することと
を行わせる命令をさらに含むことを特徴とする請求項11に記載の非一時的コンピュータ可読媒体。 - 前記少なくとも1つのプロセッサによって実行されたとき、前記少なくとも1つのプロセッサに、
プログラムの前記ホワイトリスト上において前記識別されたプロセスを特定することに応答して、ミニフィルタドライバによって、前記検出されたファイル操作要求を無視することを行わせる命令をさらに記憶することを特徴とする請求項11に記載の非一時的コンピュータ可読媒体。 - 前記識別されたプロセスが信頼されたプロセスであるかどうかを決定することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、 プログラムの前記ブラックリストまたはプログラムの前記ホワイトリスト上において前記プロセスを特定しないことに応答して、前記クライアントデバイスに前記識別されたプロセスを許可することを求める要求を送信することを行わせる命令をさらに含むことを特徴とする請求項11に記載の非一時的コンピュータ可読媒体。
- 前記識別されたプロセスが信頼されたプロセスではないと決定することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記クライアントデバイスに前記識別されたプロセスを許可することを求める前記要求を送信することに応答して、前記識別されたプロセスが許可されないというメッセージを前記クライアントデバイスから受信することを行わせる命令をさらに含むことを特徴とする請求項17に記載の非一時的コンピュータ可読媒体。 - 前記少なくとも1つのプロセッサによって実行されたとき、前記少なくとも1つのプロセッサに、
前記識別されたプロセスをプログラムの前記ブラックリストに追加することを行わせる命令をさらに記憶することを特徴とする請求項18に記載の非一時的コンピュータ可読媒体。 - 前記少なくとも1つのプロセッサによって実行されたとき、前記少なくとも1つのプロセッサに、
前記識別されたプロセスが許可されたというメッセージを前記クライアントデバイスから受信することに応答して、前記識別されたプロセスをプログラムの前記ホワイトリストに追加することを行わせる命令をさらに記憶することを特徴とする請求項11に記載の非一時的コンピュータ可読媒体。 - カーネルモードにおけるステガノグラフィのリアルタイム検出およびステガノグラフィからの保護のための方法であって、
ファイアウォール、オペレーティングシステム、または電子メールシステムを介して、ファイルの送信を検出するステップと、
前記ファイルのサイズを決定するステップと、
ファイルシステムから前記ファイルの記憶されたファイルサイズを取り出すステップと、
前記ファイルの前記決定されたサイズを前記ファイルの前記記憶されたファイルサイズと比較するステップと、
前記ファイルの前記決定されたサイズが前記ファイルの前記記憶されたファイルサイズよりも大きいことに応答して、前記ファイルに関してステガノグラフィ検出分析を実行するステップと、
前記ステガノグラフィ検出分析が前記ファイルにおけるステガノグラフィの存在を示すことに応答して、
ステガノグラフィ修正アクションを実行するステップ、および
前記ステガノグラフィを記述する情報をクライアントデバイスに対して送信するステップと
を含むことを特徴とする方法。 - 前記ファイルの前記サイズを決定する前記ステップは、
前記ファイルのセクションヘッダについてポインタを取得するステップであって、前記セクションヘッダは前記ファイルの複数のセクションに関連付けられている、該ステップと、
前記ファイルの前記複数のセクションの各セクションについて、前記セクションのサイズを決定するステップと、
前記ファイルの前記複数のセクションの各セクションの前記サイズを合計して、前記ファイルの前記サイズを決定するステップと
を含むことを特徴とする請求項21に記載の方法。 - 前記ファイルの前記セクションヘッダに対する前記ポインタを取得する前記ステップは、
前記ファイルのファイル名または前記ファイルのパスを使用して前記ファイルを開くステップと、
前記ファイルのヘッダを読み取るステップと、
前記ヘッダからマジックナンバーを取り出すステップと、
前記マジックナンバーを検証して、前記ファイルの前記セクションヘッダについてポインタを取得するステップと
を含むことを特徴とする請求項22に記載の方法。 - 前記ファイルに対して前記ステガノグラフィ検出分析を実行する前記ステップは、
前記ファイルにおける付加されたペイロードを識別するステップと、
前記付加されたペイロードを分析して、前記付加されたペイロードのファイルフォーマットを決定するステップと、
前記付加されたペイロードの前記ファイルフォーマットに基づいて、前記ステガノグラフィ検出分析を実行するステップと
を含むことを特徴とする請求項21に記載の方法。 - 前記ファイルに対して前記ステガノグラフィ検出分析を実行する前記ステップは、
前記ファイルにおける付加されたペイロードを識別するステップと、
モンテカルロ近似、エントロピ決定、系列係数分析、算術平均決定、カイ二乗決定、および標準偏差決定のうちの1つまたは複数を行って、前記付加されたペイロード内のデータが暗号化されているかどうかを決定するステップと
を含むことを特徴とする請求項21に記載の方法。 - 前記ファイルに対して前記ステガノグラフィ検出分析を実行する前記ステップは、
前記ファイルにおける付加されたペイロードを識別するステップと、
前記付加されたペイロード内の許可されていないデータの存在を識別するステップと
を含むことを特徴とする請求項21に記載の方法。 - 前記ファイルに対して前記ステガノグラフィ検出分析を実行する前記ステップは、
前記ファイルにおける付加されたペイロードを識別するステップと、
前記付加されたペイロード内のアセンブリレベル命令またはマシンレベル命令の存在を識別するステップと
を含むことを特徴とする請求項21に記載の方法。 - 前記ステガノグラフィ修正アクションを実行する前記ステップは、
前記ファイルの処理および送信を終了するステップと、
前記ファイルを隔離するステップと
を含むことを特徴とする請求項21に記載の方法。 - 命令を記憶する非一時的コンピュータ可読媒体であって、前記命令は、少なくとも1つのプロセッサによって実行されたとき、前記少なくとも1つのプロセッサに、
ファイアウォール、オペレーティングシステム、または電子メールシステムを介して、ファイルの送信を検出することと、
前記ファイルのサイズを決定することと、
ファイルシステムから前記ファイルの記憶されたファイルサイズを取り出すことと、
前記ファイルの前記決定されたサイズを、前記ファイルの前記記憶されたファイルサイズと比較することと、
前記ファイルの前記決定されたサイズが前記ファイルの前記記憶されたファイルサイズよりも大きいことに応答して、前記ファイルについてステガノグラフィ検出分析を実行することと、
前記ステガノグラフィ検出分析が前記ファイルにおけるステガノグラフィの存在を示すことに対し応答して、
ステガノグラフィ修正アクションを実行すること、および
前記ステガノグラフィを記述する情報をクライアントデバイスに送信することと
を行わせることを特徴とする非一時的コンピュータ可読媒体。 - 前記ファイルの前記サイズを決定することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルのセクションヘッダについてポインタを取得することであって、前記セクションヘッダは前記ファイルの複数のセクションに関連付けられている、該取得することと、
前記ファイルの前記複数のセクションの各セクションについて、前記セクションのサイズを決定することと、
前記ファイルの前記複数のセクションの各セクションの前記サイズを合計して、前記ファイルの前記サイズを決定することと
を行わせる命令を含むことを特徴とする請求項29に記載の非一時的コンピュータ可読媒体。 - 前記ファイルの前記セクションヘッダについて前記ポインタを取得することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルのファイル名または前記ファイルのパスを使用して前記ファイルを開くことと、
前記ファイルのヘッダを読み取ることと、
前記ヘッダからマジックナンバーを取り出すことと、
前記マジックナンバーを検証して、前記ファイルの前記セクションヘッダについてポインタを取得することと
を行わせる命令を含むことを特徴とする請求項30に記載の非一時的コンピュータ可読媒体。 - 前記ファイルに関して前記ステガノグラフィ検出分析を実行することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルにおける付加されたペイロードを識別することと、
前記付加されたペイロードを分析して、前記付加されたペイロードのファイルフォーマットを決定することと、
前記付加されたペイロードの前記ファイルフォーマットに基づいて、前記ステガノグラフィ検出分析を実行することと
を行わせる命令を含むことを特徴とする請求項29に記載の非一時的コンピュータ可読媒体。 - 前記ファイルに関して前記ステガノグラフィ検出分析を実行することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルにおける付加されたペイロードを識別することと、
モンテカルロ近似、エントロピ決定、系列係数分析、算術平均決定、カイ二乗決定、および標準偏差決定のうちの1つまたは複数を行って、前記付加されたペイロード内のデータが暗号化されているかどうかを決定することと
を行わせる命令を含むことを特徴とする請求項29に記載の非一時的コンピュータ可読媒体。 - 前記ファイルに関して前記ステガノグラフィ検出分析を実行することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルにおける付加されたペイロードを識別することと、
前記付加されたペイロード内の許可されていないデータの存在を識別することと
を行わせる命令を含むことを特徴とする請求項29に記載の非一時的コンピュータ可読媒体。 - 前記ファイルに関して前記ステガノグラフィ検出分析を実行することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルにおける付加されたペイロードを識別することと、
前記付加されたペイロード内のアセンブリレベル命令またはマシンレベル命令の存在を識別することと
を行わせる命令を含むことを特徴とする請求項29に記載の非一時的コンピュータ可読媒体。 - 前記ステガノグラフィ修正アクションを実行することを前記少なくとも1つのプロセッサに行わせる前記命令は、前記少なくとも1つのプロセッサに、
前記ファイルの処理および送信を終了することと、
前記ファイルを隔離することと
を行わせる命令を含むことを特徴とする請求項29に記載の非一時的コンピュータ可読媒体。 - コンピュータシステムであって、
少なくとも1つのコンピュータプロセッサと、
命令を記憶する非一時的コンピュータ可読媒体と
を備え、
前記命令は、前記少なくとも1つのコンピュータプロセッサによって実行されたとき、前記少なくとも1つのプロセッサに、
ファイアウォール、オペレーティングシステム、または電子メールシステムを介して、ファイルの送信を検出することと、
前記ファイルのサイズを決定することと、
ファイルシステムから前記ファイルの記憶されたファイルサイズを取り出すことと、
前記ファイルの前記決定されたサイズを前記ファイルの前記記憶されたファイルサイズと比較することと、
前記ファイルの前記決定されたサイズが前記ファイルの前記記憶されたファイルサイズよりも大きいことに応答して、前記ファイルに関してステガノグラフィ検出分析を実行することと、
前記ステガノグラフィ検出分析が前記ファイルにおけるステガノグラフィの存在を示すことに応答して、
ステガノグラフィ修正アクションを実行すること、および
前記ステガノグラフィを記述する情報をクライアントデバイスに送信することと
を行わせることを特徴とするコンピュータシステム。 - 前記ファイルの前記サイズを決定することを前記少なくとも1つのコンピュータプロセッサに行わせる前記命令は、前記少なくとも1つのコンピュータプロセッサに、
前記ファイルのセクションヘッダについてポインタを取得することであって、前記セクションヘッダは前記ファイルの複数のセクションに関連付けられている、取得することと、
前記ファイルの前記複数のセクションの各セクションについて、前記セクションのサイズを決定することと、
前記ファイルの前記複数のセクションの各セクションの前記サイズを合計して、前記ファイルの前記サイズを決定することと
を行わせる命令を含むことを特徴とする請求項37に記載のコンピュータシステム。 - 前記ファイルの前記セクションヘッダについて前記ポインタを取得することを前記少なくとも1つのコンピュータプロセッサに行わせる前記命令は、前記少なくとも1つのコンピュータプロセッサに、
前記ファイルのファイル名または前記ファイルのパスを使用して前記ファイルを開くことと、
前記ファイルのヘッダを読み取ることと、
前記ヘッダからマジックナンバーを取り出すことと、
前記マジックナンバーを検証して、前記ファイルの前記セクションヘッダについてポインタを取得することと
を行わせる命令を含むことを特徴とする請求項38に記載のコンピュータシステム。 - 前記ファイルに関して前記ステガノグラフィ検出分析を実行することを前記少なくとも1つのコンピュータプロセッサに行わせる前記命令は、前記少なくとも1つのコンピュータプロセッサに、
前記ファイルにおける付加されたペイロードを識別することと、
前記付加されたペイロードを分析して、前記付加されたペイロードのファイルフォーマットを決定することと、
前記付加されたペイロードの前記ファイルフォーマットに基づいて、前記ステガノグラフィ検出分析を実行することと
を行わせる命令を含むことを特徴とする請求項37に記載のコンピュータシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022110573A JP7460696B2 (ja) | 2017-05-30 | 2022-07-08 | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762512659P | 2017-05-30 | 2017-05-30 | |
US62/512,659 | 2017-05-30 | ||
PCT/US2018/035205 WO2018222766A1 (en) | 2017-05-30 | 2018-05-30 | Real-time detection of and protection from malware and steganography in a kernel mode |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022110573A Division JP7460696B2 (ja) | 2017-05-30 | 2022-07-08 | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020522808A true JP2020522808A (ja) | 2020-07-30 |
JP2020522808A5 JP2020522808A5 (ja) | 2021-07-26 |
Family
ID=64455580
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019566622A Pending JP2020522808A (ja) | 2017-05-30 | 2018-05-30 | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
JP2022110573A Active JP7460696B2 (ja) | 2017-05-30 | 2022-07-08 | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022110573A Active JP7460696B2 (ja) | 2017-05-30 | 2022-07-08 | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 |
Country Status (6)
Country | Link |
---|---|
US (3) | US11082444B2 (ja) |
EP (1) | EP3635603A4 (ja) |
JP (2) | JP2020522808A (ja) |
CN (2) | CN111095250A (ja) |
CA (1) | CA3065306A1 (ja) |
WO (1) | WO2018222766A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210294910A1 (en) * | 2020-03-18 | 2021-09-23 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
Families Citing this family (64)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9860274B2 (en) | 2006-09-13 | 2018-01-02 | Sophos Limited | Policy management |
US10909239B2 (en) * | 2017-06-29 | 2021-02-02 | Webroot, Inc. | Advanced file modification heuristics |
US10885213B2 (en) | 2017-09-12 | 2021-01-05 | Sophos Limited | Secure firewall configurations |
US10733290B2 (en) * | 2017-10-26 | 2020-08-04 | Western Digital Technologies, Inc. | Device-based anti-malware |
US11755758B1 (en) * | 2017-10-30 | 2023-09-12 | Amazon Technologies, Inc. | System and method for evaluating data files |
US10990975B2 (en) * | 2017-11-08 | 2021-04-27 | Paypal, Inc. | Detecting malware by monitoring client-side memory stacks |
US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
US11416612B2 (en) * | 2018-03-16 | 2022-08-16 | Acronis International Gmbh | Protecting against malware code injections in trusted processes |
US10846403B2 (en) | 2018-05-15 | 2020-11-24 | International Business Machines Corporation | Detecting malicious executable files by performing static analysis on executable files' overlay |
RU2708355C1 (ru) * | 2018-06-29 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде |
JP7151219B2 (ja) * | 2018-07-05 | 2022-10-12 | 株式会社リコー | 組み込み機器、ウィルススキャンプログラム実行方法、プログラム |
US11010469B2 (en) * | 2018-09-13 | 2021-05-18 | Palo Alto Networks, Inc. | Preventing ransomware from encrypting files on a target machine |
US10996990B2 (en) * | 2018-11-15 | 2021-05-04 | International Business Machines Corporation | Interrupt context switching using dedicated processors |
US11516247B2 (en) * | 2018-12-11 | 2022-11-29 | Acronis International Gmbh | System and method for protecting network resources |
US11681801B2 (en) | 2019-01-14 | 2023-06-20 | Dell Products L.P. | Malicious code purification in graphics files |
US11200316B2 (en) * | 2019-01-14 | 2021-12-14 | Dell Products L.P. | System and method for malicious code purification of portable network graphics files |
US11228910B2 (en) * | 2019-01-25 | 2022-01-18 | V440 Spó£Ka Akcyjna | Mobile communication device and method of determining security status thereof |
RU2716735C1 (ru) * | 2019-03-29 | 2020-03-16 | Акционерное общество "Лаборатория Касперского" | Система и способ отложенной авторизации пользователя на вычислительном устройстве |
CN110069936A (zh) * | 2019-03-29 | 2019-07-30 | 合肥高维数据技术有限公司 | 一种木马隐写方法和检测方法 |
US20220237238A1 (en) * | 2019-05-24 | 2022-07-28 | Nippon Telegraph And Telephone Corporation | Training device, determination device, training method, determination method, training method, and determination program |
CN110232261B (zh) * | 2019-06-03 | 2021-05-11 | 浙江大华技术股份有限公司 | 包文件的操作方法、文件处理设备及具有存储功能的设备 |
US11782790B2 (en) * | 2019-07-10 | 2023-10-10 | Centurion Holdings I, Llc | Methods and systems for recognizing unintended file system changes |
US11693963B2 (en) * | 2019-08-13 | 2023-07-04 | International Business Machines Corporation | Automatic ransomware detection with an on-demand file system lock down and automatic repair function |
US11328064B2 (en) | 2019-08-13 | 2022-05-10 | International Business Machines Corporation | Automatic ransomware detection with an on-demand file system lock down and automatic repair function |
US11409868B2 (en) * | 2019-09-26 | 2022-08-09 | At&T Intellectual Property I, L.P. | Ransomware detection and mitigation |
CN111049724B (zh) * | 2019-10-16 | 2022-06-17 | 中国平安财产保险股份有限公司 | 邮件安全性检查方法、装置、计算机设备及存储介质 |
US11113393B2 (en) * | 2019-11-04 | 2021-09-07 | Dell Products L.P. | Providing security features in write filter environments |
US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
US20210383010A1 (en) * | 2019-11-22 | 2021-12-09 | Pure Storage, Inc. | Measurement Interval Anomaly Detection-based Generation of Snapshots |
US11341236B2 (en) * | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
US11720714B2 (en) * | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
US11645162B2 (en) * | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
US11625481B2 (en) * | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
US20210397711A1 (en) * | 2019-11-22 | 2021-12-23 | Pure Storage, Inc. | Detection of Writing to a Non-header Portion of a File as an Indicator of a Possible Ransomware Attack Against a Storage System |
US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
US11657155B2 (en) * | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
US20230049233A1 (en) * | 2020-01-28 | 2023-02-16 | C2A-Sec, Ltd. | Control flow integrity system and method |
US11520876B2 (en) * | 2020-02-03 | 2022-12-06 | Dell Products L.P. | Efficiently authenticating an application during I/O request handling |
WO2021181391A1 (en) * | 2020-03-09 | 2021-09-16 | Greenberg Netanel | System and method for finding, tracking, and capturing a cyber-attacker |
WO2021187996A1 (ru) * | 2020-03-19 | 2021-09-23 | Айкьюпи Текнолоджи, Элтиди | Способ и система блокировки потенциально нежелательного программного обеспечения |
US20220050938A1 (en) * | 2020-08-12 | 2022-02-17 | Microsoft Technology Licensing, Llc | Predictive modeling for cloud capacity management |
CN112434285B (zh) * | 2020-12-03 | 2023-12-29 | 深信服科技股份有限公司 | 文件管理方法、装置、电子设备及存储介质 |
CN112487466A (zh) * | 2020-12-16 | 2021-03-12 | 厦门市美亚柏科信息股份有限公司 | 一种无特征加密文件检测方法、终端设备及存储介质 |
US20220200996A1 (en) * | 2020-12-23 | 2022-06-23 | Acronis International Gmbh | Systems and methods for protecting web conferences from intruders |
US11914724B2 (en) * | 2020-12-24 | 2024-02-27 | Acronis International Gmbh | Systems and methods for adjusting data protection levels based on system metadata |
US11765188B2 (en) * | 2020-12-28 | 2023-09-19 | Mellanox Technologies, Ltd. | Real-time detection of network attacks |
CN112347499B (zh) * | 2021-01-08 | 2021-04-30 | 北京东方通软件有限公司 | 一种程序自我保护的方法 |
US20220360594A1 (en) * | 2021-05-05 | 2022-11-10 | Sophos Limited | Mitigating threats associated with tampering attempts |
US11979418B2 (en) * | 2021-06-08 | 2024-05-07 | Microsoft Technology Licensing, Llc | Detecting potential malicious use of a resource management agent using a resource management log |
US11361075B1 (en) * | 2021-06-18 | 2022-06-14 | Citrix Systems, Inc. | Image steganography detection |
CN114553811B (zh) * | 2022-01-07 | 2023-04-28 | 中国人民解放军战略支援部队信息工程大学 | 基于时间戳调制和载体选择的高容量行为隐写方法 |
US11983268B2 (en) | 2022-02-15 | 2024-05-14 | Palo Alto Networks, Inc. | Prevention of container escape-based attacks of a host system |
EP4246351A1 (en) * | 2022-03-17 | 2023-09-20 | AO Kaspersky Lab | Detecting a harmful file using a database of vulnerable drivers |
US11831542B2 (en) * | 2022-04-13 | 2023-11-28 | Microsoft Technology Licensing, Llc | Platform for routing internet protocol packets using flow-based policy |
CN117131497B (zh) * | 2023-02-28 | 2024-06-14 | 荣耀终端有限公司 | 一种软件检测方法及电子设备 |
CN116127461B (zh) * | 2023-04-04 | 2023-07-25 | 阿里巴巴(中国)有限公司 | 数据保护方法及系统、存储服务器和客户端 |
CN116842505A (zh) * | 2023-04-13 | 2023-10-03 | 博智安全科技股份有限公司 | 基于windows操作系统进程可信域构建方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150058987A1 (en) * | 2013-08-22 | 2015-02-26 | F-Secure Corporation | Detecting File Encrypting Malware |
JP5996145B1 (ja) * | 2016-07-14 | 2016-09-21 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1828902A4 (en) | 2004-10-26 | 2009-07-01 | Rudra Technologies Pte Ltd | SYSTEM AND METHOD FOR IDENTIFYING AND REMOVING MALWARE ON A COMPUTER SYSTEM |
US7441153B1 (en) * | 2005-03-28 | 2008-10-21 | Network Appliance Inc. | Method and system for secure and reliable event logging |
US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
US8918427B1 (en) * | 2006-12-29 | 2014-12-23 | Symantec Operating Corporation | Virtualization of file input/output operations |
US8069484B2 (en) | 2007-01-25 | 2011-11-29 | Mandiant Corporation | System and method for determining data entropy to identify malware |
US8621610B2 (en) | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
US8621628B2 (en) | 2010-02-25 | 2013-12-31 | Microsoft Corporation | Protecting user mode processes from improper tampering or termination |
US9087199B2 (en) * | 2011-03-31 | 2015-07-21 | Mcafee, Inc. | System and method for providing a secured operating system execution environment |
US8656465B1 (en) | 2011-05-09 | 2014-02-18 | Google Inc. | Userspace permissions service |
US8650638B2 (en) * | 2011-10-18 | 2014-02-11 | Mcafee, Inc. | System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file |
CN102646173A (zh) * | 2012-02-29 | 2012-08-22 | 成都新云软件有限公司 | 基于黑白名单的安全防护控制方法及系统 |
US9021589B2 (en) * | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
US9043903B2 (en) | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
CN103116724B (zh) * | 2013-03-14 | 2015-08-12 | 北京奇虎科技有限公司 | 探测程序样本危险行为的方法及装置 |
US9197655B2 (en) * | 2013-07-16 | 2015-11-24 | Bank Of America Corporation | Steganography detection |
CN103679031B (zh) * | 2013-12-12 | 2017-10-31 | 北京奇虎科技有限公司 | 一种文件病毒免疫的方法和装置 |
US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
US10230739B2 (en) | 2015-06-26 | 2019-03-12 | Board Of Regents, The University Of Texas System | System and device for preventing attacks in real-time networked environments |
WO2017023775A1 (en) | 2015-07-31 | 2017-02-09 | Digital Guardian, Inc. | Systems and methods of protecting data from malware processes |
US20170091482A1 (en) * | 2015-09-30 | 2017-03-30 | Symantec Corporation | Methods for data loss prevention from malicious applications and targeted persistent threats |
US12021831B2 (en) | 2016-06-10 | 2024-06-25 | Sophos Limited | Network security |
US10191789B2 (en) | 2016-08-18 | 2019-01-29 | Crowdstrike, Inc. | Tracing system operations across remote procedure linkages to identify request originators |
US10609066B1 (en) | 2016-11-23 | 2020-03-31 | EMC IP Holding Company LLC | Automated detection and remediation of ransomware attacks involving a storage device of a computer network |
US9734337B1 (en) | 2017-01-24 | 2017-08-15 | Malwarebytes Inc. | Behavior-based ransomware detection |
EP3396580B1 (en) | 2017-04-25 | 2020-01-01 | Druva, Inc. | Multi-step approach for ransomware detection |
US10586043B2 (en) * | 2017-05-03 | 2020-03-10 | Samsung Electronics Co., Ltd. | System and method for detecting malicious software in NVME over fabrics devices |
-
2018
- 2018-05-30 JP JP2019566622A patent/JP2020522808A/ja active Pending
- 2018-05-30 CN CN201880049047.3A patent/CN111095250A/zh active Pending
- 2018-05-30 US US15/993,423 patent/US11082444B2/en active Active
- 2018-05-30 CA CA3065306A patent/CA3065306A1/en active Pending
- 2018-05-30 WO PCT/US2018/035205 patent/WO2018222766A1/en active Application Filing
- 2018-05-30 US US15/993,426 patent/US11575704B2/en active Active
- 2018-05-30 CN CN202311027155.XA patent/CN117171743A/zh active Pending
- 2018-05-30 EP EP18809684.6A patent/EP3635603A4/en active Pending
-
2022
- 2022-07-08 JP JP2022110573A patent/JP7460696B2/ja active Active
- 2022-12-28 US US18/147,478 patent/US20230231872A1/en active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150058987A1 (en) * | 2013-08-22 | 2015-02-26 | F-Secure Corporation | Detecting File Encrypting Malware |
JP2017068822A (ja) * | 2015-09-30 | 2017-04-06 | エーオー カスペルスキー ラボAO Kaspersky Lab | 悪意あるデータ暗号化プログラムの検出のためのシステムおよび方法 |
JP5996145B1 (ja) * | 2016-07-14 | 2016-09-21 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
Non-Patent Citations (1)
Title |
---|
安藤 類央 ほか2名: "Windows OS上でのフィルタドライバを用いたセキュアアクセス制御機構の構築 An implementation", コンピュータセキュリティシンポジウム2009 論文集, vol. 2009, no. 11, JPN6021037387, 19 October 2009 (2009-10-19), JP, pages 123 - 128, ISSN: 0004722071 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210294910A1 (en) * | 2020-03-18 | 2021-09-23 | Veritas Technologies Llc | Systems and methods for protecting a folder from unauthorized file modification |
Also Published As
Publication number | Publication date |
---|---|
US20180351968A1 (en) | 2018-12-06 |
CA3065306A1 (en) | 2018-12-06 |
US11575704B2 (en) | 2023-02-07 |
JP2022133461A (ja) | 2022-09-13 |
EP3635603A1 (en) | 2020-04-15 |
CN117171743A (zh) | 2023-12-05 |
WO2018222766A1 (en) | 2018-12-06 |
CN111095250A (zh) | 2020-05-01 |
US11082444B2 (en) | 2021-08-03 |
US20180351969A1 (en) | 2018-12-06 |
US20230231872A1 (en) | 2023-07-20 |
JP7460696B2 (ja) | 2024-04-02 |
EP3635603A4 (en) | 2021-03-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7460696B2 (ja) | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 | |
US11843631B2 (en) | Detecting triggering events for distributed denial of service attacks | |
US10657277B2 (en) | Behavioral-based control of access to encrypted content by a process | |
US10691824B2 (en) | Behavioral-based control of access to encrypted content by a process | |
US11165797B2 (en) | Detecting endpoint compromise based on network usage history | |
US10868821B2 (en) | Electronic mail security using a heartbeat | |
US9846776B1 (en) | System and method for detecting file altering behaviors pertaining to a malicious attack | |
US10986109B2 (en) | Local proxy detection | |
US10972483B2 (en) | Electronic mail security using root cause analysis | |
US9251343B1 (en) | Detecting bootkits resident on compromised computers | |
US20100037317A1 (en) | Mehtod and system for security monitoring of the interface between a browser and an external browser module | |
GB2551813A (en) | Mobile device policy enforcement | |
US11829467B2 (en) | Dynamic rules engine in a cloud-based sandbox | |
GB2570543A (en) | Detecting triggering events for distributed denial of service attacks | |
US11929992B2 (en) | Encrypted cache protection | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
KR101558054B1 (ko) | 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 패킷 처리 방법 | |
WO2019122832A1 (en) | Electronic mail security using a user-based inquiry | |
WO2022208045A1 (en) | Encrypted cache protection | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
US20240223537A1 (en) | Encrypted cache protection | |
US20240028707A1 (en) | In-memory scan for threat detection with binary instrumentation backed generic unpacking, decryption, and deobfuscation | |
US20230259612A1 (en) | Exploit detection in a cloud-based sandbox | |
Jayarathna et al. | Hypervisor-based Security Architecture to Protect Web Applications. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210531 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210531 |
|
A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20210531 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210915 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210928 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211214 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20220308 |