JP2022094354A - マルウェア検出のためのコンテキストプロファイリング - Google Patents
マルウェア検出のためのコンテキストプロファイリング Download PDFInfo
- Publication number
- JP2022094354A JP2022094354A JP2022020909A JP2022020909A JP2022094354A JP 2022094354 A JP2022094354 A JP 2022094354A JP 2022020909 A JP2022020909 A JP 2022020909A JP 2022020909 A JP2022020909 A JP 2022020909A JP 2022094354 A JP2022094354 A JP 2022094354A
- Authority
- JP
- Japan
- Prior art keywords
- malware
- profile
- sample
- analysis
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title description 3
- 230000000694 effects Effects 0.000 claims abstract description 34
- 238000004458 analytical method Methods 0.000 claims description 103
- 238000000034 method Methods 0.000 claims description 34
- 230000009471 action Effects 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 22
- 230000001010 compromised effect Effects 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 5
- 230000003068 static effect Effects 0.000 description 34
- 238000001914 filtration Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 7
- 238000013515 script Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
Description
た通信がファイアウォールを通過することを許可する。ファイアウォールは、通例、ネットワークアクセスに対するファイアウォール機能を提供するデバイス、デバイスセット、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、その他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムに統合されうる。ファイアウォールは、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、および、データアプライアンス(例えば、セキュリティアプライアンスまたはその他のタイプの専用デバイス)など、様々なタイプのデバイス上の1以上のソフトウェアアプリケーションに統合されるか、もしくは、かかるアプリケーションとして実行されることが可能であり、様々な実装例において、専用ハードウェア(ASICまたはFPGAなど)に実装される場合もある。
イル転送、ならびに、様々なその他のタイプのアプリケーションおよびその他のプロトコル(Telnet、DHCP、TCP、UDP、および、TFTP(GSS)など))。例えば、アプリケーション・ファイアウォールは、標準ポートで通信を試みる無許可プロトコルをブロックできる(例えば、プロトコルに非標準ポートを用いて忍び込もうとする無許可/ポリシー外のプロトコルが、一般に、アプリケーション・ファイアウォールを用いて識別されうる)。
イブリッドクラウドコンピューティング環境に流れ込むアプリケーションおよびそれらの環境にわたるアプリケーションを安全に有効化することを可能にする。自動化機能(VM監視、動的アドレスグループ、および、RESTベースAPIなど)により、企業は、VMの変化を積極的に監視してそのコンテキストをセキュリティポリシーへ動的にフィードすることにより、VMの変化時に発生しうるポリシーラグを排除することができる。
および106など)と、企業ネットワーク140の外側のノード(例えば、外部ネットワーク118を介して到達可能なノード)との間の通信に関するポリシーを施行するよう構成されている。かかるポリシーの例は、トラフィックシェーピング、サービスの質、および、トラフィックのルーティングを管理するポリシーを含む。ポリシーの他の例は、受信(および/または送信)電子メールの添付ファイル、ウェブサイトコンテンツ、インスタントメッセージングプログラムを通して交換されたファイル、および/または、その他のファイル転送、における脅威のスキャンを求めるものなど、セキュリティポリシーを含む。いくつかの実施形態において、データアプライアンス102は、さらに、企業ネットワーク140内にとどまるトラフィックに関するポリシーを施行するように構成される。
うに命令されうる。
る。アプリケーションが悪意あるアプリケーションであると判定された場合、データアプライアンス102は、解析結果に基づいてファイルダウンロードを自動的にブロックするよう構成されてよい。さらに、マルウェアに対するシグネチャを生成して、(例えば、他のデータアプライアンス(データアプライアンス136および148など)へ)供給することで、悪意あるものと判定されたファイルをダウンロードするための将来のファイル転送要求を自動的にブロックできる。
よって設定されたイベントに基づいて)送信できる。コンテンツパッケージの一例は、パッケージ名、アプリを一意に識別するためのハッシュ値、および、識別された各マルウェアアプリのマルウェア名(および/またはマルウェアファミリ名)などの情報と共に、識別されたマルウェアアプリのリストを含む。サブスクリプションは、データアプライアンス102によってインターセプトされてデータアプライアンス102によってセキュリティプラットフォーム122へ送信されたファイルだけの解析を扱うことができ、また、セキュリティプラットフォーム122に知られているすべてのマルウェア(または、モバイルマルウェアだけではなくその他の形態のマルウェア(例えば、PDFマルウェア)など、その一部)のシグネチャを扱うことができる。
rosoft XP SP3対Windows7 SP2、または、iOS9.0対iOS10.0)。複数の仮想マシンインスタンスが同時に実行される場合、単一の動的解析エンジンが、インスタンスすべてを管理してもよいし、該当する場合には、複数の動的解析エンジンが、(例えば、各々が自身の仮想マシンインスタンスを管理するように)用いられてもよい。後に詳述するように、解析の動的な部分の間に、アプリケーションによって取られる動作(ネットワーク活動を含む)が解析される。
既知の悪意あるURL、および/または、マルウェアに関連するユーザエージェント文字列)は、本明細書ではネットワーク「侵害インジケータ」(IOC)とも呼ばれる。
odipと同様に)それ自身を読み出し、offset68のPEヘッダを変更する無限ループに入り、次いで、結果として得られるファイルを、www.virustotal.com/vtapi/v2/file/scanへのHTTP POST要求を介してVirusTotalウェブサービスへ送信する。
に表すことを保証するのに役立つようにフィルタリングされる。様々な実施形態において、かかるフィルタリングは、NTP、NETBIOS、および、IGMPに関連するネットワーク活動を除去することを含む。
静的/動的解析を補完するために利用できる。第2例として、マルウェアプロファイルは、(例えば、フォレンジック解析および/またはエンドポイント保護のために)アプライアンス/エンドポイントによって利用されうる。
(または、該当する場合、別の適切な判定)を割り当てることができる。
710)、(例えば、広告の表示に関連する)多くの異なるリソースが、彼女の閲覧と連動して彼女のブラウザによって要求される(例えば、714)。同様に、アリスがTwitterにアクセスする時、彼女の接続は、HTTPSを利用し(716)、(例えば、画像の表示に関連する)多くの異なるリソースが、彼女の閲覧と連動して彼女のブラウザによって要求される(例えば、712)。
110 クライアントデバイス
120 システム
122 セキュリティプラットフォーム
130 マルウェア
140 企業ネットワーク
150 サーバ
300 解析システム
Claims (9)
- システムであって、
プロセッサであり、
マルウェアプロファイルを受信する工程であって、前記マルウェアプロファイルは、
前記マルウェアプロファイルに関連する既知の悪意あるアプリケーションのコピーを実行することに関連する1以上の活動のセットを含む、工程と、
前記マルウェアプロファイルと一致するエントリのセットに対する1以上のログのセットを解析する工程と、
前記エントリのセットを前記マルウェアプロファイルと一致するものとして特定することに少なくとも部分的に基づいて、ホストが侵害されたと判定する工程と、を実行するよう構成された、プロセッサと、
前記プロセッサに接続され、前記プロセッサに命令を提供するよう構成されたメモリと、
を備える、システム。 - 請求項1に記載のシステムであって、
前記ログのセットは、複数のホストに関連するエントリを含み、前記ログのセットを解析する工程は、前記複数のホストに含まれる各ホストについて、検索を実行する工程を含む、システム。 - 請求項1に記載のシステムであって、
前記エントリのセットが前記マルウェアプロファイルと一致すると判定することは、サブシーケンス一致を判定することを含む、システム。 - 請求項1に記載のシステムであって、
前記プロセッサは、さらに、解析のためにサンプルのコピーをセキュリティプラットフォームに送信するよう構成されている、システム。 - 請求項1に記載のシステムであって、
前記プロセッサは、さらに、解析のためにサンプルのコピーをセキュリティプラットフォームに送信するよう構成され、前記マルウェアプロファイルは、前記セキュリティプラットフォームから受信される、システム。 - 請求項1に記載のシステムであって、
前記プロセッサは、さらに、解析のためにサンプルのコピーをセキュリティプラットフォームに送信するよう構成され、前記マルウェアプロファイルは、前記セキュリティプラットフォームから受信され、前記マルウェアプロファイルは、前記サンプルが悪意あるものであると前記セキュリティプラットフォームが判定したことに応答して受信される、システム。 - 請求項1に記載のシステムであって、
前記プロセッサは、さらに、前記ホストが侵害されたとの判定に応答して、是正動作を取るよう構成されている、システム。 - 請求項1に記載のシステムであって、
前記1以上のログのセットを解析する工程は、定期的に実行される、システム。 - 請求項1に記載のシステムであって、
前記1以上のログのセットを解析する工程は、前記マルウェアプロファイルの受信に応答して実行される、システム。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/885,393 | 2018-01-31 | ||
US15/885,388 US11159538B2 (en) | 2018-01-31 | 2018-01-31 | Context for malware forensics and detection |
US15/885,393 US10764309B2 (en) | 2018-01-31 | 2018-01-31 | Context profiling for malware detection |
US15/885,388 | 2018-01-31 | ||
JP2020541576A JP7256196B2 (ja) | 2018-01-31 | 2019-01-29 | マルウェア検出のためのコンテキストプロファイリング |
PCT/US2019/015684 WO2019152421A1 (en) | 2018-01-31 | 2019-01-29 | Context profiling for malware detection |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020541576A Division JP7256196B2 (ja) | 2018-01-31 | 2019-01-29 | マルウェア検出のためのコンテキストプロファイリング |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022094354A true JP2022094354A (ja) | 2022-06-24 |
JP7386909B2 JP7386909B2 (ja) | 2023-11-27 |
Family
ID=67479452
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020541576A Active JP7256196B2 (ja) | 2018-01-31 | 2019-01-29 | マルウェア検出のためのコンテキストプロファイリング |
JP2022020909A Active JP7386909B2 (ja) | 2018-01-31 | 2022-02-15 | マルウェア検出のためのコンテキストプロファイリング |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020541576A Active JP7256196B2 (ja) | 2018-01-31 | 2019-01-29 | マルウェア検出のためのコンテキストプロファイリング |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP3746926A4 (ja) |
JP (2) | JP7256196B2 (ja) |
CN (1) | CN112005234A (ja) |
WO (1) | WO2019152421A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114494038B (zh) * | 2021-12-29 | 2024-03-29 | 扬州大学 | 基于改进yolox-s的靶面透视失真矫正方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007011628A (ja) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | シグネチャ配布装置およびシグネチャ配布システム |
US20170201529A1 (en) * | 2016-01-08 | 2017-07-13 | Retarus Gmbh | Technique for detecting malicious electronic messages |
WO2017217301A1 (ja) * | 2016-06-13 | 2017-12-21 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1647483A (zh) * | 2002-04-17 | 2005-07-27 | 计算机联合思想公司 | 检测和反击企业网络中的恶意代码 |
EP1872222A1 (en) | 2005-04-18 | 2008-01-02 | The Trustees of Columbia University in the City of New York | Systems and methods for detecting and inhibiting attacks using honeypots |
JP4883409B2 (ja) | 2007-01-22 | 2012-02-22 | 独立行政法人情報通信研究機構 | データ類似性検査方法及び装置 |
JP5083760B2 (ja) | 2007-08-03 | 2012-11-28 | 独立行政法人情報通信研究機構 | マルウェアの類似性検査方法及び装置 |
US9177144B2 (en) * | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
US8239948B1 (en) * | 2008-12-19 | 2012-08-07 | Symantec Corporation | Selecting malware signatures to reduce false-positive detections |
US8635694B2 (en) | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
US8424091B1 (en) * | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
US8695095B2 (en) | 2011-03-11 | 2014-04-08 | At&T Intellectual Property I, L.P. | Mobile malicious software mitigation |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US8549645B2 (en) * | 2011-10-21 | 2013-10-01 | Mcafee, Inc. | System and method for detection of denial of service attacks |
US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
US9565202B1 (en) * | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9241010B1 (en) * | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US9680845B2 (en) | 2015-03-31 | 2017-06-13 | Juniper Neworks, Inc. | Detecting a malicious file infection via sandboxing |
-
2019
- 2019-01-29 CN CN201980010410.5A patent/CN112005234A/zh active Pending
- 2019-01-29 JP JP2020541576A patent/JP7256196B2/ja active Active
- 2019-01-29 WO PCT/US2019/015684 patent/WO2019152421A1/en unknown
- 2019-01-29 EP EP19747436.4A patent/EP3746926A4/en active Pending
-
2022
- 2022-02-15 JP JP2022020909A patent/JP7386909B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007011628A (ja) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | シグネチャ配布装置およびシグネチャ配布システム |
US20170201529A1 (en) * | 2016-01-08 | 2017-07-13 | Retarus Gmbh | Technique for detecting malicious electronic messages |
WO2017217301A1 (ja) * | 2016-06-13 | 2017-12-21 | 日本電信電話株式会社 | ログ分析装置、ログ分析方法およびログ分析プログラム |
Non-Patent Citations (1)
Title |
---|
川口信隆: "マルウェア対策ユーザサポートシステムの検討", 電子情報通信学会2010年総合大会講演論文集 通信2, JPN6014000833, 2 March 2010 (2010-03-02), pages 83頁, ISSN: 0005029872 * |
Also Published As
Publication number | Publication date |
---|---|
EP3746926A4 (en) | 2021-10-06 |
JP7256196B2 (ja) | 2023-04-11 |
JP7386909B2 (ja) | 2023-11-27 |
WO2019152421A1 (en) | 2019-08-08 |
CN112005234A (zh) | 2020-11-27 |
EP3746926A1 (en) | 2020-12-09 |
JP2021514501A (ja) | 2021-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11616761B2 (en) | Outbound/inbound lateral traffic punting based on process risk | |
US10855656B2 (en) | Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation | |
US11863571B2 (en) | Context profiling for malware detection | |
US11861008B2 (en) | Using browser context in evasive web-based malware detection | |
US11949694B2 (en) | Context for malware forensics and detection | |
US9584550B2 (en) | Exploit detection based on heap spray detection | |
JP7386909B2 (ja) | マルウェア検出のためのコンテキストプロファイリング | |
US20240039893A1 (en) | Beacon and threat intelligence based apt detection | |
US20230344867A1 (en) | Detecting phishing pdfs with an image-based deep learning approach | |
US11743286B2 (en) | Combination rule mining for malware signature generation | |
KR20220053549A (ko) | 인라인 멀웨어 검출 | |
US11863586B1 (en) | Inline package name based supply chain attack detection and prevention | |
US20230082289A1 (en) | Automated fuzzy hash based signature collecting system for malware detection | |
US20230412564A1 (en) | Fast policy matching with runtime signature update | |
US11770361B1 (en) | Cobalt strike beacon HTTP C2 heuristic detection | |
US20230344866A1 (en) | Application identification for phishing detection | |
US20240039952A1 (en) | Cobalt strike beacon https c2 heuristic detection | |
US20240039951A1 (en) | Probing for cobalt strike teamserver detection | |
US20230385412A1 (en) | Automatically detecting unknown packers | |
WO2024049702A1 (en) | Inline package name based supply chain attack detection and prevention | |
WO2024025705A1 (en) | Cobalt strike beacon http c2 heuristic detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220304 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230404 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230622 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230830 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231002 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231017 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231114 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7386909 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |