JP4806428B2 - 非正常プロセスの探知方法及び装置 - Google Patents
非正常プロセスの探知方法及び装置 Download PDFInfo
- Publication number
- JP4806428B2 JP4806428B2 JP2008134440A JP2008134440A JP4806428B2 JP 4806428 B2 JP4806428 B2 JP 4806428B2 JP 2008134440 A JP2008134440 A JP 2008134440A JP 2008134440 A JP2008134440 A JP 2008134440A JP 4806428 B2 JP4806428 B2 JP 4806428B2
- Authority
- JP
- Japan
- Prior art keywords
- target
- abnormal
- generation time
- file generation
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 368
- 230000002159 abnormal effect Effects 0.000 title claims description 90
- 238000001514 detection method Methods 0.000 claims description 31
- 238000012544 monitoring process Methods 0.000 claims description 24
- 230000002265 prevention Effects 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 8
- 238000007689 inspection Methods 0.000 description 7
- 230000003211 malignant effect Effects 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003472 neutralizing effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Description
210 非正常プロセス探知部
211 対象プロセス設定部
213 プロセス監視部
215 ファイル生成時間変更監視部
217 ファイル生成時間変更防止部
219 非正常プロセス探知部
221 結果出力部
223 強制終了部
Claims (13)
- コンピューティング環境で生成されるプロセスを確認するプロセス監視部と、
前記プロセス監視部で確認されたプロセスのうち検査する対象プロセスをあらかじめ設定する対象プロセス設定部と、
前記プロセス設定部で設定された対象プロセスがファイル生成時間の変更を要請するか否かを確認するファイル生成時間変更監視部と、
前記対象プロセスがファイル生成時間の変更を要請する場合に、前記対象プロセスが要請したファイル生成時間の変更を防止するファイル生成時間変更防止部と、
前記対象プロセス設定部で設定された対象プロセスの子プロセスがあらかじめ設定された基準時間以内にファイルを生成した場合、前記子プロセスを非正常プロセスとして判断する非正常プロセス探知部と、
を含む非正常プロセスの探知装置。 - 前記非正常プロセス探知部で非正常プロセスとして判断されたプロセスを強制終了する強制終了部と、
前記非正常プロセス判断結果を出力する結果出力部とをさらに含むことを特徴とする請求項1に記載の非正常プロセスの探知装置。 - 前記対象プロセス設定部で設定する対象プロセスは、あらかじめ設定された確認対象ファイルを実行するプロセスであることを特徴とする請求項1に記載の非正常プロセスの探知装置。
- 前記ファイル生成時間変更監視部は、前記対象プロセスが呼び出しするファイル生成時間変更APIを確認することを特徴とする請求項1に記載の非正常プロセスの探知装置。
- 前記ファイル生成時間変更防止部で前記対象プロセスの生成時間変更の防止は、前記対象プロセスで呼び出しするファイル生成時間変更APIを代替する代替関数を提供することを特徴とする請求項1に記載の非正常プロセスの探知装置。
- 前記子プロセスは前記対象プロセス設定部で設定された対象プロセスによって生成されるプロセスであることを特徴とする請求項1に記載の非正常プロセスの探知装置。
- 前記対象プロセス設定部は、前記非正常プロセス探知部で前記子プロセスが非正常プロセスとして判断されない場合に、前記子プロセスを対象プロセスに設定することを特徴とする請求項1に記載の非正常プロセスの探知装置。
- コンピューティング環境で生成されるプロセスがあらかじめ設定された対象プロセスの子プロセスであるか否かを確認する段階と、
前記生成されるプロセスがあらかじめ設定された対象プロセスである場合、前記生成されるプロセスがファイル生成時間の変更を要請するか否かを確認し、ファイル生成時間の変更を要請するとき、前記生成されるプロセスが要請したファイル生成時間の変更を防止する段階と、
前記子プロセスとして確認されたプロセスがあらかじめ設定された基準時間以内にファイルを生成した場合、前記プロセスを非正常プロセスとして認識する段階と、
を含む非正常プロセスの探知方法。 - 前記あらかじめ設定された対象プロセスは、あらかじめ設定された確認対象ファイルを実行するプロセスであることを特徴とする請求項8に記載の非正常プロセスの探知方法。
- 前記子プロセスは、前記あらかじめ設定された対象プロセスによって生成されるプロセスであることを特徴とする請求項8に記載の非正常プロセスの探知方法。
- 前記生成されるプロセスが要請したファイル生成時間の変更を防止する段階は、前記生成されるプロセスで呼び出しするファイル生成時間変更APIを代替する代替関数を提供することをさらに含むことを特徴とする請求項8に記載の非正常プロセスの探知方法。
- 前記子プロセスとして確認されたプロセスがファイルを生成する時間があらかじめ設定された基準時間より長時間である場合、前記プロセスを対象プロセスに登録する段階をさらに含むことを特徴とする請求項8に記載の非正常プロセスの探知方法。
- 前記非正常プロセスとして認識されたプロセスを強制終了する段階をさらに含むことを特徴とする請求項8に記載の非正常プロセスの探知方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2007-0090906 | 2007-09-07 | ||
KR1020070090906A KR100897849B1 (ko) | 2007-09-07 | 2007-09-07 | 비정상 프로세스 탐지 방법 및 장치 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009064414A JP2009064414A (ja) | 2009-03-26 |
JP4806428B2 true JP4806428B2 (ja) | 2011-11-02 |
Family
ID=39929596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008134440A Active JP4806428B2 (ja) | 2007-09-07 | 2008-05-22 | 非正常プロセスの探知方法及び装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8091133B2 (ja) |
EP (1) | EP2034422A3 (ja) |
JP (1) | JP4806428B2 (ja) |
KR (1) | KR100897849B1 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8316439B2 (en) * | 2006-05-19 | 2012-11-20 | Iyuko Services L.L.C. | Anti-virus and firewall system |
KR101256461B1 (ko) | 2012-09-03 | 2013-04-19 | 주식회사 안랩 | 프로세스 실행 시점 판단장치 및 방법 |
KR101478327B1 (ko) * | 2013-01-28 | 2014-12-31 | 네이버 주식회사 | 시스템 최적화 모니터링 및 오동작 방지 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 |
US10089465B2 (en) | 2015-07-24 | 2018-10-02 | Bitdefender IPR Management Ltd. | Systems and methods for tracking malicious behavior across multiple software entities |
US10043005B2 (en) | 2016-03-31 | 2018-08-07 | Bitdefender IPR Management Ltd. | Systems and methods for application control in virtualized environments |
US10534910B1 (en) * | 2016-10-04 | 2020-01-14 | Hewlett-Packard Development Company, L.P. | Using threat model to monitor host execution |
US9734337B1 (en) * | 2017-01-24 | 2017-08-15 | Malwarebytes Inc. | Behavior-based ransomware detection |
US10873589B2 (en) | 2017-08-08 | 2020-12-22 | Sonicwall Inc. | Real-time prevention of malicious content via dynamic analysis |
US11151252B2 (en) | 2017-10-13 | 2021-10-19 | Sonicwall Inc. | Just in time memory analysis for malware detection |
US10685110B2 (en) * | 2017-12-29 | 2020-06-16 | Sonicwall Inc. | Detection of exploitative program code |
US10902122B2 (en) | 2018-01-31 | 2021-01-26 | Sonicwall Inc. | Just in time memory analysis for malware detection |
US11232201B2 (en) | 2018-05-14 | 2022-01-25 | Sonicwall Inc. | Cloud based just in time memory analysis for malware detection |
WO2021065069A1 (ja) * | 2019-09-30 | 2021-04-08 | 株式会社オートネットワーク技術研究所 | 検知装置、車両、検知方法および検知プログラム |
WO2024063171A1 (ko) * | 2022-09-21 | 2024-03-28 | 시큐레터 주식회사 | 자식 프로세스의 악성 행위를 검사하기 위한 방법 및 이를 위한 장치 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2001241454A1 (en) | 2000-02-07 | 2001-08-14 | Panacya, Inc. | Computer security system indentifying suspect behaviour |
US6981279B1 (en) * | 2000-08-17 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for replicating and analyzing worm programs |
US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
WO2003050662A1 (fr) | 2001-12-13 | 2003-06-19 | Japan Science And Technology Agency | Systeme d'execution securisee d'un logiciel |
US7370360B2 (en) * | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
US7152242B2 (en) * | 2002-09-11 | 2006-12-19 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
US7631353B2 (en) * | 2002-12-17 | 2009-12-08 | Symantec Corporation | Blocking replication of e-mail worms |
WO2004075060A1 (ja) | 2003-02-21 | 2004-09-02 | Tabei, Hikaru | コンピュータウィルス検出装置 |
JP4503260B2 (ja) | 2003-09-25 | 2010-07-14 | 大日本印刷株式会社 | 不正アクセス監視システム |
KR100594870B1 (ko) * | 2004-05-25 | 2006-07-03 | 배기봉 | 비정상 파일 및 프로세스의 탐지 제거 방법 |
EP1818907A4 (en) | 2004-12-01 | 2008-06-25 | Matsushita Electric Ind Co Ltd | PLAYING DEVICE, IMAGE SYNTHESIS PROCEDURE, IMAGE SYNTHESIS PROGRAM AND INTEGRATED CIRCUIT |
WO2006101549A2 (en) * | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
KR100628869B1 (ko) | 2004-12-14 | 2006-09-27 | 한국전자통신연구원 | 악성 코드가 숨겨진 오피스 문서 탐지장치 및 그 방법 |
US20070067844A1 (en) * | 2005-09-16 | 2007-03-22 | Sana Security | Method and apparatus for removing harmful software |
US7930346B2 (en) * | 2005-08-24 | 2011-04-19 | Microsoft Corporation | Security in peer to peer synchronization applications |
KR20070029540A (ko) * | 2005-09-10 | 2007-03-14 | 배기봉 | 특수 설계된 전자 mark 의 파일 삽입 및 파일 기본 속성기반으로 하는 신종 악성코드 탐지/제거 기능 및 패치 관리기능, 조기 경보 기능을 제공하는 시스템 종합 보안솔루션 구현 기법 |
US20070094496A1 (en) * | 2005-10-25 | 2007-04-26 | Michael Burtscher | System and method for kernel-level pestware management |
JP4745858B2 (ja) * | 2006-02-20 | 2011-08-10 | 富士通株式会社 | セキュリティ管理プログラム、およびセキュリティ管理方法 |
KR100870140B1 (ko) | 2006-11-13 | 2008-11-24 | 한국전자통신연구원 | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 |
US7620992B2 (en) * | 2007-10-02 | 2009-11-17 | Kaspersky Lab Zao | System and method for detecting multi-component malware |
US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
-
2007
- 2007-09-07 KR KR1020070090906A patent/KR100897849B1/ko active IP Right Grant
-
2008
- 2008-04-16 US US12/103,794 patent/US8091133B2/en active Active
- 2008-05-22 JP JP2008134440A patent/JP4806428B2/ja active Active
- 2008-07-31 EP EP08161569A patent/EP2034422A3/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
KR20090025788A (ko) | 2009-03-11 |
EP2034422A2 (en) | 2009-03-11 |
US20090070876A1 (en) | 2009-03-12 |
US8091133B2 (en) | 2012-01-03 |
EP2034422A3 (en) | 2009-09-16 |
KR100897849B1 (ko) | 2009-05-15 |
JP2009064414A (ja) | 2009-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4806428B2 (ja) | 非正常プロセスの探知方法及び装置 | |
US7721333B2 (en) | Method and system for detecting a keylogger on a computer | |
RU2530210C2 (ru) | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы | |
US8719935B2 (en) | Mitigating false positives in malware detection | |
US9607093B2 (en) | Method and system for operating multiple web pages with anti-spoofing protection | |
US10318730B2 (en) | Detection and prevention of malicious code execution using risk scoring | |
JP3900501B2 (ja) | ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム | |
JP6176622B2 (ja) | マルウェアの検出方法 | |
US20140331323A1 (en) | Detection of rogue software applications | |
US11120124B2 (en) | Method for detecting a deviation of a security state of a computing device from a desired security state | |
JP6238093B2 (ja) | マルウェアリスクスキャナー | |
JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
EP3093787A1 (en) | Apparatus and method for detecting unsteady flow of program | |
JP6714112B2 (ja) | グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減 | |
JP4792352B2 (ja) | ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム | |
CN110955894B (zh) | 一种恶意内容检测方法、装置、电子设备及可读存储介质 | |
US20120246723A1 (en) | Windows kernel alteration searching method | |
KR101595936B1 (ko) | 백신과 컴퓨터 최적화 기능을 구비한 컴퓨터 최적화 방법, 최적화 서버 및 컴퓨터 판독 가능한 기록매체 | |
KR101716690B1 (ko) | 데이터 무단 엑세스 차단 방법 및 그 기능이 구비된 컴퓨팅 장치 | |
KR100937010B1 (ko) | 유해 프로세스 검출/차단 재발방지 방법 | |
CN106022131B (zh) | 一种指令处理方法及装置 | |
JP2005234849A (ja) | 監視装置及び監視方法及びプログラム | |
JP2019067031A (ja) | 不正ソフトウエア検知システム | |
JP2005128933A (ja) | 情報処理装置、不正侵入検出方法及び不正侵入検出プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110330 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110408 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110708 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110726 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110812 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4806428 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140819 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |