JP4961153B2 - コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること - Google Patents

コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること Download PDF

Info

Publication number
JP4961153B2
JP4961153B2 JP2006073364A JP2006073364A JP4961153B2 JP 4961153 B2 JP4961153 B2 JP 4961153B2 JP 2006073364 A JP2006073364 A JP 2006073364A JP 2006073364 A JP2006073364 A JP 2006073364A JP 4961153 B2 JP4961153 B2 JP 4961153B2
Authority
JP
Japan
Prior art keywords
malware
computer
suspicious
event
services
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006073364A
Other languages
English (en)
Other versions
JP2006285983A (ja
Inventor
フランシス トーマス アニル
フーディス エフィーム
クレイマー マイケル
コステア ミハイ
バール プラディープ
ケー.ダディア ラジェシュ
エデリー イーガル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006285983A publication Critical patent/JP2006285983A/ja
Application granted granted Critical
Publication of JP4961153B2 publication Critical patent/JP4961153B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Description

本発明は、コンピュータに関し、より詳細には、コンピュータをマルウェアから動的に保護することに関する。
ますます多くのコンピュータおよびその他のコンピューティングデバイスが、インターネットのような多様なネットワークを介して相互接続されるにつれ、コンピュータセキュリティは重要性が高まり、特にネットワークまたは情報ストリームを通じて配布される侵入または攻撃からのセキュリティが重要である。当業者およびその他の者は理解するように、これらの攻撃は多くの異なる形をとり、当然これらに制限されないが、コンピュータウィルス、コンピュータワーム、システムコンポーネントの取替え、サービス拒否攻撃、情報窃盗、さらにはコンピュータシステムの正当な特徴の悪用/濫用までも含む。これらのすべては、一つまたは複数のコンピュータシステムの脆弱性を不正な目的のために利用する。当業者は、多様なコンピュータ攻撃はそれぞれ技術的に異なることに気付くであろうが、本発明の目的および説明の簡潔さのために、これらの攻撃のすべてを以後で一般的にコンピュータマルウェアまたはより簡潔にマルウェアと言及する。
コンピュータシステムがコンピュータマルウェアに攻撃された、または「感染された」とき、有害な結果は多様であり、システムデバイスを動作不能にすること、ファームウェア、アプリケーションまたはデータファイルを削除または破壊すること、潜在的に敏感なデータをネットワーク上の他の場所に送信すること、コンピュータシステムをシャットダウンすること、またはコンピュータシステムをクラッシュさせることを含む。もう1つの、すべてではないが多くのコンピュータマルウェアの有害な側面は、感染したコンピュータシステムが他のコンピュータシステムを感染させるのに用いられることである。
図1は、コンピュータマルウェアが一般に配布される例示的ネットワーク化環境100を示す絵図である。図1に示すように、典型的な例示的ネットワーク化環境100は、複数のコンピュータ102〜108を含み、それらすべては、イントラネット、または一般にインターネットと呼ばれるグローバルTCP/IPネットワークを含むより大きな通信ネットワークなどの通信ネットワーク110を介して相互接続される。理由は何であれ、コンピュータ102のようなネットワーク110に接続されたコンピュータ上の悪意ある当事者は、コンピュータマルウェア112を開発し、ネットワーク110にリリース(release)する。矢印114で示すように、リリースされたコンピュータマルウェア112は、コンピュータ104のような1つまたは複数のコンピュータにより受け取られ、感染する。多くのコンピュータマルウェアについて典型的であるように、コンピュータ104は、一度感染すると矢印116で示すようにコンピュータ106のような他のコンピュータを感染させるのに用いられ、その感染したコンピュータは、矢印118で示すようにコンピュータ108のようなさらに他のコンピュータを感染させる。
アンチウィルスソフトウェアが、数千の知られたコンピュータマルウェアの認知に関してより洗練されて効率的になるにつれ、コンピュータマルウェアもより洗練された。たとえば、最近のコンピュータマルウェアの多くはポリモルフィック(polymorphic)である。言い換えると、これらは、検査中のアンチウィルスソフトウェアがそれにより認知することのできる、同定可能なパターンまたは「特徴」を何も有していない。これらのポリモルフィックマルウェアは、他のコンピュータシステムに伝播する前に自らを修正するため、しばしばアンチウィルスソフトウェアにより認知されない。
オペレーティングシステム、またはデバイスドライバおよびソフトウェアアプリケーションのような他のコンピュータシステムコンポーネントの中に脆弱性が同定され、処置が取られたとき、オペレーティングシステムプロバイダは一般に、その脆弱性を治癒するためのソフトウェアアップデートをリリースする。しばしばパッチと呼ばれるこれらのアップデートは、同定された脆弱性からコンピュータシステムを安全にするために、コンピュータシステムにインストールされるべきである。しかし、これらのアップデートは、本質的に、オペレーティングシステム、デバイスドライバ、またはソフトウェアアプリケーションのコンポーネントへのコード変更である。したがって、これらは、アンチウィルスソフトウェアプロバイダからのアンチウィルスアップデートのように迅速かつ自由にはリリースできない。これらのアップデートはコード変更であるため、ソフトウェアアップデートは一般にリリースされる前に多大な企業内テストを要する。
マルウェアを同定し、脆弱性に対して処置を取る現在のシステムの下では、コンピュータは、ある状況でマルウェアに攻撃される余地がある。たとえば、コンピュータユーザは、アンチウィルスソフトウェアのパッチおよび/またはアップデートをインストールしない場合がある。この場合、マルウェアは、ネットワーク上を、マルウェアから十分に保護されていないコンピュータ間で伝播することができる。しかし、ユーザが定期的にコンピュータをアップデートする場合でも、新たなコンピュータマルウェアがネットワーク上でリリースされてから、オペレーティングシステムコンポーネントについてのアンチウィルスソフトウェアをアップデートしてコンピュータシステムをマルウェアから保護することができるまでの、以後で脆弱性窓と言及する期間が存在する。名前が示唆するように、コンピュータシステムが新たなコンピュータマルウェアに攻撃を受けやすいまたは晒されているのは、この脆弱性窓の間である。
図2は、脆弱性窓を示す例示的タイムライン(timeline)のブロック図である。以下の議論で、タイムラインに関して重要な時間または出来事はイベントとして言及する。今日リリースされるマルウェアの多くは既知の脆弱性に基づくものであるが、時々、未知の脆弱性を利用するコンピュータマルウェアがネットワーク110にリリースされる。図2は、このシナリオの下で、タイムライン200に関して脆弱性窓204を示している。したがってタイムライン200に示すように、イベント202で、マルウェア著作者は新たなコンピュータマルウェアをリリースする。これが新たなコンピュータマルウェアであるとき、コンピュータシステムをマルウェアから保護するために利用できるオペレーティングシステムパッチもアンチウィルスアップデートも存在しない。したがって、脆弱性窓204が開かれる。
イベント206で示すように、新たなコンピュータマルウェアがネットワーク110上で流通を始めた後のある時点で、オペレーティングシステムプロバイダおよび/またはアンチウィルスソフトウェアプロバイダが新たなコンピュータマルウェアを検出する。当業者は理解するように、典型的には、新たなコンピュータマルウェアの存在は、オペレーティングシステムプロバイダおよびアンチウィルスソフトウェアプロバイダの両方によりおよそ数時間以内に検出される。
コンピュータマルウェアが検出されれば、アンチウィルスソフトウェアプロバイダは、アンチウィルスソフトウェアがコンピュータマルウェアをそれによって認知できるパターンまたは「特徴」を同定するプロセスを始めることができる。同様に、オペレーティングシステムプロバイダは、コンピュータマルウェアを解析し、オペレーティングシステムをコンピュータマルウェアから保護するためにパッチしなければならないかどうかを決定するためのプロセスを始めることができる。これらの平行した努力の結果として、イベント208で、オペレーティングシステムプロバイダおよび/またはアンチウィルスソフトウェアプロバイダは、アップデート、つまりコンピュータマルウェアに対処するためのオペレーティングシステムに対するソフトウェアパッチまたはアンチウィルスソフトウェアをリリースする。その後、イベント210で、アップデートは、ユーザのコンピュータシステムにインストールされ、それによりコンピュータシステムを保護し、脆弱性窓204を閉じる。
上記の例は、コンピュータマルウェアがコンピュータシステムにセキュリティ上の脅威を与える、すべての可能なシナリオの代表でしかないが、これらから分かるように脆弱性窓204は、コンピュータマルウェア112がネットワーク110にリリースされてから、対応するアップデートがユーザのコンピュータシステムにインストールされるまでの時間に存在する。不幸にも、脆弱性窓204が大きかろうが小さかろうが、感染したコンピュータはコンピュータの所有者に「駆除」および修理のための多大な金銭を負担させる。この損害は、数千または数十万のデバイスをネットワーク110に取り付けているかもしれない大きな法人または実在を扱う場合に、膨大になる可能性がある。マルウェアはユーザデータに変更を加えまたは破壊する場合があり、それらのすべては追跡および治癒することが極めて難しいまたは不可能かもしれない。上記のような損害は、この可能性により増幅される。
マルウェアにより引き起こされる脅威に対抗するために、異なる種類のマルウェアのエントリーポイントおよび/またはデータストリームを監視するための、ますます多くのアンチマルウェアサービスおよび他のイベント検出システムが開発されてきている。たとえば、アンチマルウェアサービスの文脈で、多くのコンピュータは今、伝統的アンチウィルスソフトウェアに加えて、ファイヤーフォール、動作(behavior)ブロッカ、およびスパイウェアシステムをコンピュータを保護するために使用する。当業者およびその他の者は、アンチマルウェアソフトウェアが、典型的には、(1)マルウェア特有のものとして知られているコードおよび/または活動、および(2)「疑わしい」または潜在的にマルウェアに特有なコードおよび/または活動を同定できることを認知するだろう。マルウェア特有のものとして知られているコードおよび/または活動が同定されるとき、マルウェアを処理するルーチンがコンピュータからマルウェアを「駆除」または取り除くために使われる。しかし、疑わしいコードおよび/または活動が同定されるときに、アンチマルウェアサービスは、十分な精度でそのコードおよび/または活動は実際にマルウェアの特徴であると宣言するために必要な情報を持っていない場合がある。さらに、多様な異なる目的のために、エントリーポイント、データストリーム、コンピュータの属性および/または活動を監視するための、他のイベント検出システムが開発されてきている。たとえば、いくつかのオペレーティングシステムは、コンピュータをマルウェアから事前に保護するときに有益な、コンピュータに関するある重大な「イベント」に加えて、中央処理装置(「CPU」)により実行される処理量を追跡する。
従来技術の水準についての前述の問題は、複数のアンチマルウェアサービスおよび他のイベント検出システムからナレッジベースをアグリゲート(aggregate)し、マルウェアからコンピュータを事前に保護するためのシステム、方法、およびコンピュータ可読媒体を対象とする本発明の原理により克服される。
本発明の一態様は、複数のアンチマルウェアサービスおよび/またはイベント検出システムを保持するスタンドアロン(stand−alone)コンピュータをマルウェアから保護する方法である。より具体的には、この方法は、(1)潜在的にマルウェアを示唆する疑わしいイベントを観測するためにアンチマルウェアサービスおよび/またはイベント検出システムを用いることと、(2)その疑わしいイベントが前もって決められている閾値を満たすかを判定することと、(3)その疑わしいイベントが前もって決められている閾値を満たす場合、コンピュータに制限的セキュリティポリシーを実施することとを含む。いくつかの場合に、すべてでないならば大半の入ってくるおよび出てゆくネットワークトラフィックをブロックするような、一般的セキュリティ手段を取るセキュリティポリシーを呼び出すことができる。他の場合に、制限的セキュリティポリシーは、コンピュータのエンティティ(entity)が利用可能なリソースを制限し、コンピュータがマルウェアに再感染しないようにすることもできる。
本発明のもう一つの態様は、複数のアンチマルウェアサービスおよび/またはイベント検出システムからナレッジベースをアグリゲートし、コンピュータをマルウェアから保護するソフトウェアシステムである。本発明の一実施形態で、ソフトウェアシステムは、データコレクタコンポーネント、データアナライザモジュール、およびポリシーインプリメンタを備える。データコレクタコンポーネントは、コンピュータにインストールされた異なるアンチマルウェアシステムおよび/またはイベント検出システムからのデータを集めるように動作する。この実施形態で、集められたデータは、潜在的にマルウェアを示唆する疑わしいイベントを記述している。様々なときに、データアナライザモジュールは、データコレクタコンポーネントにより集められたデータが全体としてマルウェアを示唆するかを決定することができる。データアナライザモジュールが、十分な確からしさでマルウェアは存在すると決定する場合、ポリシーインプリメンタは、コンピュータのリソースへのアクセスを制限する制限的セキュリティポリシーを課すことができる。
さらに他の実施形態で、コンテンツ、すなわち本明細書に記述される方法によってコンピュータを動作させるプログラムとともに、コンピュータ可読媒体が提供される。
本発明の前述の態様と多くの付随する利点は、添付の図面と共に以下の詳細な説明を参照することでより理解されるので、より容易に真意が認知されるだろう。
本発明により、複数のアンチマルウェアサービスおよび/またはイベント検出システムからナレッジベースをアグリゲートし、コンピュータをマルウェアから保護するための、システム、方法、およびコンピュータ可読媒体が提供される。本発明は、異なるアンチマルウェアサービスを用いてコンピュータをマルウェアから保護するという文脈で主に説明されるが、当業者およびその他の者は、本発明が説明された以外の他のソフトウェアシステムにも適用できることを理解するだろう。たとえば、本発明の態様は、現在利用可能な、またはやがて開発されるイベント検出システムの任意のものを用いるように、構成することができる。以下の説明では、まず、本発明を実施することのできるソフトウェアシステムの態様についての概略が与えられる。次に、本発明を実施する方法が説明される。本明細書に与えられる実例は、網羅的であることも、開示される厳密な形態に本発明を制限することも、意図するものではない。同様に、本明細書で説明されるどのステップも、同じ結果を得るために、他のステップまたはステップの組み合わせと交換することができる。
ここで図3を参照して、本発明の態様を実施することのできるコンピュータ300のコンポーネントを説明する。コンピュータ300は、これらに制限されないが、パーソナルコンピューティングデバイス、サーバベース(server−based)コンピューティングデバイス、パーソナルデジタルアシスタント、携帯電話、なんらかの種類のメモリを有するその他の電子デバイスなどを含む多様なデバイスのいずれかとすることができる。図3は、図示を容易にするために、および本発明の理解のためには重要ではないために、CPU、キーボード、マウス、プリンタ、またはその他のI/Oデバイス、ディスプレイ、その他といった多くのコンピュータの典型的コンポーネントを示していない。しかしながら、図3に示すコンピュータ300は、アンチウィルスソフトウェア302、ファイヤーウォールアプリケーション304、動作ブロッカ306、アンチスパイウェアソフトウェア308、およびメトリクス(metrics)システム309を備える。また、コンピュータ300は、本発明の態様を、データコレクタコンポーネント312、データアナライザモジュール314、およびポリシーインプリメンタ316を備えるアグリゲーションルーチン310において実施する。
当業者およびその他の者は、コンピュータ上の様々なエントリーポイントまたはデータストリームにおいてすべての異なる種類のマルウェアから保護するために、ますます多くのアンチマルウェアセキュリティサービスが利用可能になっていることを認知するだろう。たとえば今日、マルウェアからコンピュータを保護するために一般的な1つの防衛は、アンチウィルスソフトウェア302である。一般的な説明では、伝統的なアンチウィルスソフトウェア302は、マルウェア特有の「特徴」について、ディスクのようなI/O(input/output)デバイスからアクセスされているデータを調べる。また、ますます多くのアンチウィルスソフトウェア302が、マルウェア特有の活動を測定するように設計された、試行錯誤によるマルウェア検出技術を実行している。
もう1つの、コンピュータマルウェアからの保護において今日一般的な防衛は、ファイヤーウォールアプリケーション304である。当業者は、ファイヤーウォール304が、内部ネットワークと外部ネットワークの間の情報フローを制御することで、外部ネットワークに由来する認可されていないアクセスから内部ネットワークを保護するアンチマルウェアシステムであることを認知するだろう。内部ネットワークの外に由来するすべての通信はファイヤーウォール304に送られ、ファイヤーウォール304は通信を検査して、通信を受け入れることが安全かまたは許可しうるかどうかを決定する。
今日利用できるもう1つのアンチマルウェアサービスは、動作ブロッカ306であり、これは、良性の活動の発生を許可するように設計されたポリシーを実施し、ポリシーに反する活動が予定されているときには仲裁に入る。典型的には、動作ブロッカ306は、潜在的にマルウェアに感染したコードを分析して、コードが受け入れられない動作を実行するかどうかを決定する「サンドボックス」を実施する。たとえば、受け入れられない動作は、ユーザのアドレス帳の中で見つけられたエンティティに配布される大量Eメールの生成という形を取ることができる。同様に、受け入れられない動作は、システムレジストリのような重要なデータベース内の多数のエントリに変更を加えることと定義することができる。いずれにしても、動作ブロッカ306は、プログラムを分析し、受け入れられない動作を回避するように設計されたポリシーを実施する。
異なる種類のマルウェアを同定し、コンピュータから「駆除」するために、他の種類のアンチマルウェアサービスがますます開発されている。たとえば、アンチスパイウェアソフトウェア308は、ユーザにより実行される動作を追跡するプログラムを同定するように設計されている。スパイウェアは、他の種類のマルウェアについて生じるような、コンピュータ300への損傷は与えないかもしれないが、ユーザの中には行動を追跡され、未知のエンティティに報告されることを侵害であると受け止めるものもいる。この場合、ユーザはこの種類のマルウェアを同定し、コンピュータから駆除するアンチスパイウェアソフトウェア308をインストールすることができる。
当業者およびその他の者は、あるイベント検出システムが、コンピュータエントリポイント、データストリーム、および/またはコンピュータイベントおよび活動を監視することができることを認知するだろう。典型的には、イベント検出システムは、コンピュータ上で生じるイベントを同定するためのロジックを提供するだけでなく、データベース、イベントログ、および観測されたイベントに関するデータを取得するための他の種類のリソースを保持する。たとえば、図3に示すように、コンピュータ300は、コンピュータ300の様々な性能メトリクスを観測および記録するように設計されたメトリクスシステム309を保持する。この点に関して、メトリクスシステム309は、CPU使用率、ページフォルト(page fault)の発生、プロセスの終了、および他のコンピュータ300の性能特性を監視することができる。以下でさらに詳しく説明されるように、コンピュータ300の性能特性および他の生じるイベントの、コンピュータ上のパターンは、マルウェアを示唆することがある。具体的なイベント検出システム(たとえばメトリクスシステム309)について示し、説明してきたが、当業者およびその他の者は、本発明の範囲から逸脱することなく、他の種類のイベント検出システムをコンピュータ300に含めることができることを認知するだろう。
当業者およびその他の者は、図3を参照して上で説明されたアンチマルウェアシステム302、304、306、308、およびイベント検出システム309は、本発明の制限ではなく例示として解釈すべきであることを認知するだろう。たとえば、本発明は、本発明の範囲から逸脱することなく、ログまたはネットワークから利用することのできるその他の情報を再調査することによってコンピュータ300への認可されていないアクセスの検出を試みる、いわゆる侵入検出(intrusion detection)システムを用いて実施することができる。代わりに、本発明の態様は、示し、説明されたものとは異なるアンチマルウェアシステムおよび他のイベント検出システムを用いて実施することができる。たとえば、アンチスパイウェア308は点線で表され、コンピュータ300が、アンチウィルスソフトウェア302、ファイヤーウォールアプリケーション304、動作ブロッカ306、およびメトリクスシステム309のみを備え、アンチスパイウェアソフトウェア308を備えないときに本発明を用いることができることを示唆している。したがって、本発明の他の実施形態において、アンチマルウェアサービスおよびイベント検出システムをコンピュータ300に追加または取り去ることができる。
ますます洗練されるマルウェアを検出することにおけるアンチマルウェアサービスの精度は向上してきたが、存在するアンチマルウェアサービスは、特定の領域のマルウェアを検出することに制限されている。結果として、これらのスタンドアロンアンチマルウェアサービスは、固有の限界を有している。たとえば、ファイヤーウォールアプリケーション304は、マルウェアを、入ってくるおよび出ていくネットワーク活動を監視することにより検出し、データがネットワーク上を伝送されるその方法によって制限を受ける。当業者およびその他の者は、クライエントベース(client−based)コンピュータは、典型的には、サーバベース(server−based)コンピュータからデータを取得する際に1つまたは複数のファイルを要求することを認知するだろう。この場合、モダンネットワークのコンポーネントは、帯域幅の限られたネットワーク接続を介して伝送するために、ファイルをより小さな単位(「パケット」)に分割する。パケットは、ネットワーク上を伝送され、クライエントベースコンピュータに到着した時に、ファイヤーウォールアプリケーション304によって別個にマルウェアについてスキャンされる。したがって、ファイヤーウォールアプリケーション304は、パケットをマルウェアについてスキャンするときに完全なファイルを有していないことがあり、その結果としてすべての場合にはマルウェアを陽性に検出することができない可能性がある。
ファイヤーウォールアプリケーション304は、すべての場合にはマルウェアを陽性に検出することができないかもしれないが、ファイヤーウォールアプリケーション304を、マルウェアへの感染の強力な発見的指標となるデータを集める、または集めるように容易に構成することができる。たとえば、ファイヤーウォールアプリケーションは、典型的には、ネットワーク活動を監視し、これは、マルウェアの特性でありうる疑わしいデータについてパケット内容の「深い」監視をすることを含むことができる。ファイヤーウォールアプリケーション304が保持する統計から導くことのできる、マルウェアがコンピュータを感染させる試みをしているという強力な発見的指標は、ネットワーク活動の重大な増加が検出されたときに存在する。ネットワーク活動の増加それ自体は、必ずしもマルウェアを示唆するものではない。その代わりに、コンピュータが、増加した量のデータを伝送または受信しているかもしれないことには、正当な理由がある(たとえば、ユーザが、ネットワークを介して大きなマルチメディアファイルのダウンロードを始めた)。もしこの種類のイベントが、マルウェアへの感染を陽性に同定するためにファイヤーウォールアプリケーション304により用いられたなら、大量の、マルウェアが誤って同定される「誤った陽性」または場合が生じるだろう。
他のアンチマルウェアサービスおよびイベント検出システムも、コンピュータがマルウェアに感染している、またはマルウェアがコンピュータを感染させようと試みていることの発見的指標を観測する。たとえば、スパイウェアとして知られるある種類のマルウェアは、ユーザの行動を追跡するためには、常にコンピュータ上でアクティブ(active)である必要がある。コンピュータ起動時にアクティベイト(activate)されるために、スパイウェアは、SCM(Service Control Manager)またはレジストリキーといった、オペレーティングシステムの1つまたは複数の「拡張ポイント(extensibility point)」に登録する。上述の例と同様に、オペレーティングシステムの拡張ポイントにプログラムを登録すること自体は、プログラムがマルウェアであることの陽性な指標ではない。しかしながら、拡張ポイントに登録することは、マルウェアを示唆するかもしれない「疑わしい」イベントである。本発明は、これらの種類の疑わしいイベントにより提供されるナレッジを収集および活用し、マルウェアからの事前の保護を提供する。
上述のように、コンピュータ300は、データコレクタコンポーネント312、データアナライザモジュール314、およびポリシーインプリメンタ316を備えるアグリゲーションルーチン310を保持する。本発明の一実施形態を説明する一般的観点において、データコレクタコンポーネント312は、「疑わしい」イベントに関して、コンピュータ300にインストールされたアンチマルウェアサービスおよびイベント検出システム(たとえば、アンチウィルスソフトウェア302、ファイヤーウォールアプリケーション304、動作ブロッカ306、アンチスパイウェアソフトウェア308、およびメトリクスシステム309)からデータを得る。図4を参照して以下に詳細に説明されるように、集められたデータは、疑わしいイベントが生じたことの、アンチマルウェアサービスまたはイベント検出システムからの単なる指標の場合がある。また、データコレクタコンポーネント312は、アンチマルウェアサービスまたはイベント検出システムからの、疑わしいイベントの属性を説明するメタデータを得ることができる。いずれの場合においても、データコレクタコンポーネント312は、コンピュータ300にインストールされたアンチマルウェアサービスまたはイベント検出システムにとっての、疑わしいイベントに関するデータを報告し、および/また獲得するための、インターフェースとして機能する。
図3に示すように、アグリゲーションルーチン310は、データコレクタコンポーネント312に報告された、もしくはデータコレクタコンポーネント312により集められた疑わしいイベントが、前もって決められている閾値を満たすかを決定するデータアナライザモジュール314も備える。図4を参照して以下にさらに詳細に説明されるように、閾値が満たされるとき、エンティティ(たとえば、コンピュータ、ファイル、プロセス、その他)が、データアナライザモジュール314によりマルウェアとして「マーク」される。いくつかの場合において、データアナライザモジュール314は、閾値が満たされているかを判定するときに、与えられた時間フレームの疑わしいイベントの数が、通常よりも十分に大きい、または指定された量よりも大きいかどうかを判定する。また、図4を参照して以下により詳細に説明されるように、データアナライザモジュール314は、アンチマルウェアシステム302、304、306、308、およびメトリクスシステム309により生成されたメタデータを分析し、閾値が満たされるかを判定することができる。この場合、データアナライザモジュール314は、典型的には、アンチマルウェアサービスにより観測された疑わしいイベントがマルウェアの特性であるかを、より精密に判定するための改善された文脈を有する。
アグリゲーションルーチン310は、コンピュータ300に関連するエンティティがマルウェアとして「マーク」されたときに、コンピュータ300を保護するように設計されたポリシーを実行する、ポリシーインプリメンタ316も備える。すでに述べたように、データアナライザモジュール314は、データコレクタコンポーネント312に報告された疑わしいイベントが閾値を満たすかを判定する。閾値が満たされる場合、コンピュータ300をマルウェアから保護する制限的ポリシーを実施することができる。一般的に説明すると、ポリシーインプリメンタ316は、コンピュータをマルウェアから事前に保護するために、コンピュータ300のセキュリティレベルを上げる。デフォルトのポリシーは提供されるが、ユーザもしくはシステム管理者は、実施されるポリシーを選択することができる。たとえば、ユーザは、コンピュータ300に送られる、またはコンピュータ300に受信されるネットワーク伝送を、コンピュータ300からマルウェアを取り除くのに必要なもの以外にまったく許可しない非常に制限的なポリシーを課すことができる。しかしながら、制限ではないが、特定の通信ポートおよびアドレス上のネットワークトラフィックをブロックすること、Eメールまたはウェブブラウザアプリケーションといった、あるネットワーク関連アプリケーションへの、および/またはからの通信をブロックすること、あるアプリケーションを終了すること、およびコンピュータ300上の特定のハードウェアおよびソフトウェアコンポーネントへのアクセスをブロックすることを含む、他の保護的セキュリティ手段をポリシーにおいて定義し、ポリシーインプリメンタ316内で実施することができる。
本発明の一実施形態によると、ポリシーインプリメンタ316は、コンピュータ300上にインストールされた、1つまたは複数のアンチマルウェアサービス302,304、306および308と通信し、マルウェアとして「マーク」されたエンティティが利用できるリソースを制限するように構成される。たとえば、動作ブロッカソフトウェア306は、マルウェアとして「マーク」されたプロセスが、オペレーティングシステムの拡張ポイントにアクセスすることを回避するように構成されことができる。ポリシーインプリメンタ316は、動作ブロッカソフトウェア306と通信し、アンチスパイウェアソフトウェア308に、当該プロセスがこの種類の活動を実行することをブロックさせることができる。
本発明は多くの異なる文脈において実施することができ、以下はその例である。存在するアンチマルウェアサービスは、マルウェアの陽性な指標であるイベント、およびマルウェアの特性であるかもしれない疑わしいイベントを同定することができる。疑わしいイベントに関連するエンティティがマルウェアとして「マーク」されるなら、過剰な数の誤った陽性、または誤ってマルウェアとして同定される場合、が生じるだろう。しかしながら、エンティティが、アンチマルウェアサービスまたはイベント検出システムによって疑わしいと同定されたイベントに関連するというナレッジは、コンピュータをマルウェアから事前に保護するときに有用である。本発明は、この種の存在しているインフラストラクチャにおいて実施し、異なるアンチマルウェアサービスおよびイベント検出システムからナレッジをアグリゲートすることができる。より具体的には、異種のアンチマルウェアサービス(たとえば、アンチウィルスソフトウェア302、ファイヤーウォールアプリケーション304、動作ブロッカ306、およびアンチスパイウェアソフトウェア308)およびイベント検出システム(たとえば、メトリクスシステム309)が、本発明の態様を実施するソフトウェアモジュール(たとえば、アグリゲーションルーチン310)に、疑わしいイベントを報告するように構成することができる。もし、アンチマルウェアサービスまたはイベント検出システムにより観測された疑わしいイベントの数または種類が閾値を満たせば、アグリゲーションルーチン310がイベントに関連するエンティティをマルウェアであると「マーク」する。
当業者およびその他の者は、図3が、本発明により実施される機能を実行することのできる1つのコンピュータ300の、簡略化された例であることを認知するだろう。コンピュータ300の実際の実施形態は、図3に示されていない、または図3に伴う本文に説明されていない、さらなるコンポーネントを有する。また、図3は、コンピュータ300をマルウェアから事前に保護するための例示的コンピュータアーキテクチャを示すが、その他のコンポーネントアーキテクチャが可能である。
ここで図4を参照して、図3に示す、アンチマルウェアサービスまたはその他のイベント検出システムにより同定された疑わしいイベントがマルウェアの特性であるかを決定する、アグリゲーションルーチン310の例示的実施形態を説明する。
図4に示すように、アグリゲーションルーチン310は、ブロック400から始まり、ここでは、ルーチン310は、アンチマルウェアサービスまたは他のイベント検出システムにより疑わしいイベントが観測されるまで何もしない。アンチマルウェアサービスを伴う本発明の一実施形態によると、サービス内のロジックが、マルウェア感染の陽性な指標およびマルウェアの特性かもしれない疑わしいイベントの両方を定義する。もし、マルウェア感染の陽性な指標が同定されると、アグリゲーションルーチン310により実施されるソフトウェアルーチンは実行されない。しかしながら、疑わしいイベントが同定されるとき、イベントは報告され、疑わしいイベントに関連するエンティティがマルウェアとして「マーク」されるべきかを決定するために分析がなされる。たとえば、当業者およびその他の者は、多くのマルウェアは、伝送中に検出されることを避けるために暗号化され、実行される前に復号されることを認知するだろう。図3を参照して提供された上記の例と同様に、たとえば、アンチマルウェアサービスが暗号化ファイルに遭遇するとき、このこと自体はファイルがマルウェアを含むことの陽性な指標ではない。しかしながら、暗号化ファイルに遭遇することは、本発明の態様に報告される疑わしいイベントである。
ブロック402において、ブロック400で同定された疑わしいイベントがアグリゲーションルーチン310に報告される。本発明は、多くの異なる実施形態で実施することができ、以下はそのうちの例にすぎないことを良く理解されたい。一実施形態で、アグリゲーションルーチン310は、1つのソフトウェアプロバイダにより創作された、統合されたソフトウェアシステムにおいて実施される。たとえば、図3に示した、アンチウィルスソフトウェア302、ファイヤーウォールアプリケーション304、動作ブロッカ306、アンチスパイウェアソフトウェア308、およびメトリクスシステム309は、アグリゲーションルーチン310とともに統合することができる。この場合、アンチマルウェアサービス302、304、306、308、およびイベント検出システム309は、ブロック402において、当該技術分野で一般に知られている方法を用いて、疑わしいイベントの属性を記述するデータを直接渡すように構成することができる。本発明のもう1つの実施形態において、アグリゲーションルーチン310は、第三者プロバイダが疑わしいイベントを報告できるようにするAPI(Application Program Interface)を保持する。この場合、第三者により創作されたアンチマルウェアサービスまたはその他のイベント検出システムは、アグリゲーションルーチン310に「プラグイン(plug−in)」され、1つまたは複数のAPI呼び出しを発することで疑わしいイベントを報告することができる。さらにもう1つの実施形態によると、アグリゲーションルーチン310は、コンピュータ上の1つまたは複数のリソースから、疑わしいイベントを記述するデータを能動的に取得する。たとえば、図3を参照してすでに説明したように、イベント検出システム(たとえば、メトリクスシステム309)は、コンピュータ上で生じる異なるイベントを観測し、記録することができる。典型的には、イベント検出システムは、コンピュータ上で生じるイベントを同定するためのロジックを提供するだけでなく、他のソフトウェアモジュールが利用することのできる、データベース、イベントログ、および他のソフトウェアモジュールが利用することのできるさらなるの種類のリソースを保持する。この場合、アグリゲーションルーチン310は、イベント検出システムにより保持されるリソースから疑わしいイベントを記述するデータを獲得することができる。
図4にさらに説明するように、ブロック404で、アグリゲーションルーチン310は、アンチマルウェアサービスから受け取った、またはイベント検出システムのような他のソースから集めた、疑わしいイベントを記述するデータに関する分析を実行する。実行される分析は、アグリゲーションルーチン310へ報告される、またはアグリゲーションルーチン310により獲得される疑わしいイベントが、マルウェアがコンピュータを感染させようと試みている、またはコンピュータをすでに感染させたことを示唆する、前もって決められた閾値を満たすかを判定するように設計されている。たとえば、マルウェア著作者が、まだ知られていない脆弱性を利用した新たなマルウェアをリリースする。マルウェアは、(1)コンピュータにアクセスするのにめったに利用されないネットワークポートを用い、(2)ディスクのような、記録媒体に保存されるときに暗号化されたファイルに含まれ、(3)オペレーティングシステム拡張ポイントにアクセスを試み、および(4)ネットワークでアクセスできる他のコンピュータへの大量データの転送を引き起こし、CPU使用率が対応して増加する。すでに述べたように、本発明の一実施形態において、アンチマルウェアサービスまたはその他のイベント検出システムから集められたデータは、疑わしいイベントが同定されたことの単なる指標の場合がある。この実施形態において、ファイヤーウォールアプリケーション304のようなアンチマルウェアサービスは、めったに利用されないネットワークポートがアクセスされるときに疑わしいイベントが生じたと報告するように構成されることができる。さらに、マルウェアは、ネットワークでアクセスできる他のコンピュータへの大量データの転送を引き起こすので、ファイヤーウォールアプリケーション304は、ネットワーク活動の増加も疑わしいイベントであると判定することができる。そして、アンチスパイウェアソフトウェア308のような、他のアンチマルウェアサービスが、オペレーティングシステムの拡張ポイントがアクセスされるときに疑わしいイベントの発生を報告することができる。単に疑わしいイベントについての三つの報告を受けることは、前もって決められた閾値を満たすことができない。しかしながら次に、メトリクスシステム309は、CPU使用率が劇的に増加したことをイベントログに記録することができる。この場合、データコレクタコンポーネント312は、イベントログを監視し、疑わしいイベントがCPU使用率の増加の結果として生じたと判定するように構成されることができる。アグリゲーションルーチン310により適用される前もって決められた閾値は、この場合では、4つの疑わしいイベントがある時間フレーム内に生じたときに満たされることができる。しかしながら、当業者およびその他の者は、前もって決められた閾値を満たすのに、4つの疑わしいイベントが十分であるとする上記の例は、単に説明のために用いられた例であって、本発明の制限と解釈すべきでないことを認知するだろう。
本発明のもう1つの実施形態において、アグリゲーションルーチン310により集められたデータは、コンピュータに関連するエンティティがマルウェアかを判定することを助けるメタデータを備える。当業者およびその他の者は、いくつかの疑わしいイベントが、他の疑わしいイベントよりもマルウェアと関連している見込みがあることを認知するだろう。本発明の一実施形態において、コンピュータ上のアンチマルウェアサービスは、1つまたは複数の疑わしいイベントがマルウェアと関連している可能性を表す値を計算するように構成されている。上述の例では、ネットワーク活動の増加は、ファイヤーウォールアプリケーション304によって高い値が割り当てられ、これは、マルウェアが、コンピュータを感染させる、他のコンピュータを感染させる、他のコンピュータを攻撃する、または情報を漏らすことを試みている高い可能性が存在することを示唆する。逆に、暗号化されたファイルを記録媒体に保存することは、マルウェアと関連している見込みがより少なく、したがって低い値が割り当てられる。本発明の一実施形態によると、疑わしいイベントがマルウェアの特性である可能性を表すメタデータが、アグリゲーションルーチン310に報告される。この場合、前もって決められた閾値は、たとえば、1つまたは複数の疑わしいイベントが、マルウェア攻撃が生じている高い可能性を示唆するメタデータにより報告されているときに、満たされることができる。
アンチマルウェアサービスにより報告される疑わしいイベントは、異なるエンティティと関連することがあることを良く理解されたい。たとえば、ユーザは、暗号化されたファイルをネットワークからダウンロードすることができる。すでに述べたように、ファイルが暗号化されているため、アンチマルウェアサービスは、ファイルのダウンロードを、アグリゲーションルーチン310に疑わしいイベントとして報告することができる。また、アンチマルウェアサービスは、メタデータを、暗号化されたファイルがマルウェアに感染している可能性を表すファイルに関連させることができる。本発明の1つの実施形態において、ブロック404で、アグリゲーションルーチン310は、ファイルがマルウェアに感染していると分類するかを判定するために、前もって決められた閾値を用いる。しかしながら、他の実施形態においてアグリゲーションルーチン310は、他の種類のエンティティがマルウェアに感染しているかを判定するために、前もって決められた閾値を用いる。たとえば、アグリゲーションルーチン310は、コンピュータ全体、プロセス、または活動をマルウェアと関連するものとして「マーク」することができる。
さらにもう1つの本発明の実施形態において、アンチマルウェアサービスによりアグリゲーションルーチン310に報告されたメタデータは、エンティティの特性を表すために他のアンチマルウェアサービスにより用いられることができる。たとえば、上述の例では、ファイヤーウォールアプリケーション304は、アグリゲーションルーチン310にネットワークから暗号化されたファイルがダウンロードされたことを報告する。この場合、メタデータを、当該ファイルがファイヤーウォールアプリケーション304によって疑わしいと「マーク」された理由(たとえば、当該ファイルは暗号化されている)を指摘するファイルと関連させることができる。もし、当該ファイルが後にオペレーティングシステムの拡張ポイントへのアクセスの試みと関連付けられると、たとえば動作ブロッカ306は、クエリを発し、当該ファイルと関連するメタデータを獲得する。この場合において、動作ブロッカ306は、当該ファイルの特性をより精密に表すためにメタデータを用いることができる。たとえば、マルウェアの分析の経験から、暗号化されていることおよびオペレーティングシステムの拡張ポイントにアクセスすることの組み合わせは、非常に疑わしいイベントであると示唆することができる。したがって、動作ブロッカ306は、次に、当該ファイルはマルウェアに感染していると陽性に同定することができる。
判断ブロック406において、アグリゲーションルーチン310は、ブロック404で分析された疑わしいイベントが前もって決められた閾値を満たすかを判定する。前もって決められた閾値が満たされる場合、エンティティ(たとえば、コンピュータ、ファイル、プロセス、その他)は、マルウェアに関連しているとして「マーク」される。この場合、アグリゲーションルーチン310は、以下に説明されるブロック408に進む。逆に、前もって決められた閾値が満たされない場合、アグリゲーションルーチン310はブロック400に戻り、ブロック400から406までが、閾値が満たされるまで繰り返される。
図4に示すように、判断ブロック408で、アグリゲーションルーチン310は、登録されたアンチマルウェアサービスが、コンピュータからマルウェアを取り除くことができるかを判定する。すでに述べたように、アグリゲーションルーチン310は、アンチマルウェアサービスに、登録することおよび当該サービスがコンピュータから取り除くことのできるマルウェアの種類を同定するプロフィールを生成することを許可する。ブロック410に達したなら、マルウェアがコンピュータに感染しており、登録されたアンチマルウェアサービスが、コンピュータからマルウェアを取り除くことができる場合がある。この場合、アグリゲーションルーチン310により集められたメタデータは、マルウェアおよびコンピュータからマルウェアを取り除くことのできるアンチマルウェアサービスを同定するのに用いることができる。適切なアンチマルウェアサービスが同定された場合、アグリゲーションルーチン310は、ブロック410で、当該技術分野において一般に知られている方法を用いて、アンチマルウェアサービスにマルウェアを取り除かせることができる。次に、アグリゲーションルーチン310は、ブロック412に進む。逆に、もしマルウェアがコンピュータを感染させる試みをしているだけである、またはアンチマルウェアサービスがコンピュータからマルウェアを取り除くことができない場合、アグリゲーションルーチン310は、ブロック410を飛ばしてブロック412へ直接進む。
ブロック412において、アグリゲーションルーチン310は、マルウェアの拡散または感染を回避するように設計された制限的セキュリティポリシーを実施する。ブロック414に達した場合、マルウェアは同定され、コンピュータはマルウェアに依然として感染しているときもあるし、そうでないときもある。コンピュータが感染している場合、マルウェアの拡散を回避するように設計された一般的な制限的セキュリティポリシーが、典型的には実施される。たとえば、一般的セキュリティポリシーの実施は、典型的には、これらに制限されないが、コンピュータからのネットワーク伝送を制限すること、特定の通信ポートおよびアドレス上のネットワークトラフィックをブロックすること、Eメールまたはウェブブラウザアプリケーションといった、あるネットワーク関連アプリケーションへの、および/またはからの通信をブロックすること、あるアプリケーションを終了すること、およびコンピュータ300上の特定のハードウェアおよびソフトウェアコンポーネントへのアクセスをブロックすることといった、リソースへの多数の制限を適用することを含む。他の場合において、アグリゲーションルーチン310は、マルウェアをコンピュータから取り除き、したがってもう感染していないことがある。この場合においては典型的に、制限度の低いセキュリティポリシーが実施され、それはコンピュータをマルウェアに再感染することを回避するように設計されている。次に、アグリゲーションルーチン310は、ルーチンの終了するブロック414へ進む。
ブロック414において実施される制限的セキュリティポリシーは、エンティティがマルウェアでないという判断がなされれば、容易に外すことができることを良く理解されたい。たとえば、システム管理者またはユーザは、マルウェアを含むとして同定されたファイルが実は良性であると判定する場合がある。この場合、制限的セキュリティポリシーは、将来起こる学習の結果として、ユーザにより、システム管理者により、または自動的に生成されたコマンドにより外すことができる。
本発明の好ましい実施形態について示し、説明してきたが、様々な変更を、本発明の範囲から逸脱することなく、加えることができることが理解されるだろう。
マルウェアが一般的に配布される、伝統的なネットワーク化された環境を図示する絵図である。 従来技術において、脆弱性窓がどのように生じることがあるかを明らかにする例示的タイムラインを示すブロック図である。 コンピュータにインストールされた、異なるアンチマルウェアサービスおよびその他のイベント収集システムからナレッジベースをアグリゲートし、本発明によってマルウェアからコンピュータを事前に保護することができる、コンピュータのコンポーネントを示すブロック図である。 コンピュータにおいて実施される、本発明によってマルウェアからコンピュータを保護する方法の一実施形態を示す流れ図である。
符号の説明
300 コンピュータ
302 アンチウィルスソフトウェア
304 ファイヤーウォールアプリケーション
306 動作ブロッカ
308 アンチスパイウェアソフトウェア
309 メトリクスシステム
310 アグリゲーションルーチン
312 データコレクタコンポーネント
314 データアナライザモジュール
316 ポリシーインプリメンタ

Claims (11)

  1. コンピュータをマルウェアから事前に保護する、コンピュータ実施方法であって、
    複数のアンチマルウェアサービスを使用して潜在的にマルウェアを示唆する疑わしいイベントを観測することと、
    イベント検出システムを使用してコンピュータ上で発生するイベントを観測しイベントログに記録することと、
    前記イベントログを観測して疑わしいイベントを同定することと、
    前記複数のアンチマルウェアサービスから受け取った疑わしいイベントおよび前記イベントログの中の同定された疑わしいイベントの組み合わせが、前もって決められた閾値を満たすかを判定することと、
    前記組み合わせが、前記前もって決められた閾値を満たす場合、前記コンピュータに制限的セキュリティポリシーを適用することと
    を含み、
    前記疑わしいイベントの組み合わせが、前もって決められた閾値を満たすかを判定することは、
    それぞれの疑わしいイベントに対して、前記疑わしいイベントがマルウェアを示唆する可能性を定量化する、重み付けされた値を生成することと、
    前記疑わしいイベントの前記重み付けされた値の合計が、与えられた値よりも大きいかを判定することと
    を含むことを特徴とする方法。
  2. 前記複数のアンチマルウェアサービスを使用して潜在的にマルウェアを示唆する疑わしいイベントを観測することは、疑わしいイベントを記述するメタデータを前記複数のアンチマルウェアサービスから受け取ることを含むことを特徴とする請求項1に記載の方法。
  3. 前記疑わしいイベントを記述する前記メタデータは、エンティティの特性を表すために、アンチマルウェアサービスがアクセスすることができることを特徴とする請求項2に記載の方法。
  4. 前記疑わしいイベントの組み合わせ前もって決められた閾値を満たすかを判定することは、与えられた時間フレーム内のイベント数が与えられた値よりも大きいかを判定することを含むことを特徴とする
    請求項1に記載の方法。
  5. 前記制限的セキュリティポリシーは、前記観測された疑わしいイベントに関連するエンティティが、前記ポリシーに反する形で、コンピュータ上で行動を起こし、リソースにアクセスすることを回避することであることを特徴とする請求項1に記載の方法。
  6. 前記制限的セキュリティポリシーを適用することは、
    疑わしいイベントの組み合わせに関連するマルウェアを同定することと、
    前記複数のアンチマルウェアサービスの1つが同定された前記マルウェアを前記コンピュータから取り除くことができるかを判定することと、
    前記複数のアンチマルチウェアサービスの1つが当該同定されたマルウェアを前記コンピュータから取り除くことができる場合、そのアンチマルウェアサービスに該マルウェアを前記コンピュータから取り除かさせることと、
    逆に前記複数のアンチマルウェアサービスのいずれも前記マルウェアを取り除くことができない場合、該マルウェアの拡散を回避することと
    を含むことを特徴とする請求項1に記載の方法。
  7. アンチマルウェアサービスに前記マルウェアを前記コンピュータから取り除かさせることは、前記マルウェアが前記コンピュータを直後に感染させることを回避することを特徴とする請求項6に記載の方法。
  8. アンチマルウェアサービスに前記マルウェアを取り除かさせることは、前記複数のアンチマルウェアサービスの各々に、前記アンチマルウェアサービスがコンピュータから取り除くことのできるマルウェアの種類を示すプロフィールを登録または作成することを許可することを含むことを特徴とする請求項6に記載の方法。
  9. 前記制限的セキュリティポリシーを適用することは、前記コンピュータがネットワーク上のデータへアクセスする能力を制限することを含むことを特徴とする請求項6に記載の方法。
  10. 前記コンピュータがネットワーク上のデータへアクセスする能力を制限することは、
    特定の通信ポートのネットワークトラフィックをブロックすることと、
    あるネットワークベースアプリケーションからの通信をブロックすることと、
    前記コンピュータ上のハードウェアおよびソフトウェアのコンポーネントへのアクセスをブロックすることと、
    特定の通信ポートおよびアドレスのネットワークトラフィックをブロックすることと
    を含むことを特徴とする請求項9に記載の方法。
  11. アンチマルウェアサービスを含むコンピュータ上で実行されたときに、請求項1乃至10のいずれかのそれぞれのステップを当該コンピュータに実行させることを特徴とするプログラム。
JP2006073364A 2005-03-31 2006-03-16 コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること Active JP4961153B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/096,490 US8516583B2 (en) 2005-03-31 2005-03-31 Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US11/096,490 2005-03-31

Publications (2)

Publication Number Publication Date
JP2006285983A JP2006285983A (ja) 2006-10-19
JP4961153B2 true JP4961153B2 (ja) 2012-06-27

Family

ID=36636655

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006073364A Active JP4961153B2 (ja) 2005-03-31 2006-03-16 コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること

Country Status (5)

Country Link
US (2) US8516583B2 (ja)
EP (1) EP1708114B1 (ja)
JP (1) JP4961153B2 (ja)
KR (1) KR101292501B1 (ja)
CN (1) CN1841397B (ja)

Families Citing this family (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
JP4386732B2 (ja) 2002-01-08 2009-12-16 セブン ネットワークス, インコーポレイテッド モバイルネットワークの接続アーキテクチャ
US8516583B2 (en) 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
US7562293B2 (en) * 2005-05-27 2009-07-14 International Business Machines Corporation Method and apparatus for processing a parseable document
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US8255998B2 (en) * 2005-08-16 2012-08-28 Emc Corporation Information protection method and system
US8468604B2 (en) * 2005-08-16 2013-06-18 Emc Corporation Method and system for detecting malware
US20070169192A1 (en) * 2005-12-23 2007-07-19 Reflex Security, Inc. Detection of system compromise by per-process network modeling
US8549137B2 (en) * 2006-06-05 2013-10-01 Nec Corporation Monitoring device, monitoring system, monitoring method, and program
US20070294767A1 (en) * 2006-06-20 2007-12-20 Paul Piccard Method and system for accurate detection and removal of pestware
US8136162B2 (en) * 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
JP2008129707A (ja) * 2006-11-17 2008-06-05 Lac Co Ltd プログラム分析装置、プログラム分析方法、及びプログラム
US20080083031A1 (en) * 2006-12-20 2008-04-03 Microsoft Corporation Secure service computation
US8955105B2 (en) * 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US8413247B2 (en) * 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US20080229419A1 (en) * 2007-03-16 2008-09-18 Microsoft Corporation Automated identification of firewall malware scanner deficiencies
US7882542B2 (en) * 2007-04-02 2011-02-01 Microsoft Corporation Detecting compromised computers by correlating reputation data with web access logs
US8079074B2 (en) * 2007-04-17 2011-12-13 Microsoft Corporation Dynamic security shielding through a network resource
CN101059829A (zh) * 2007-05-16 2007-10-24 珠海金山软件股份有限公司 一种自动分析进程风险等级的装置和方法
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US9009828B1 (en) 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US9648039B1 (en) * 2008-01-24 2017-05-09 RazorThreat, Inc. System and method for securing a network
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
DE102008013634A1 (de) * 2008-03-11 2009-09-17 Wincor Nixdorf International Gmbh Verfahren und Vorrichtung zur Abwehr von Angriffen auf Systeme mit einer Plug & Play Funktion
US8732825B2 (en) * 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US9465937B1 (en) * 2008-05-30 2016-10-11 Symantec Corporation Methods and systems for securely managing file-attribute information for files in a file system
KR101011456B1 (ko) * 2008-06-30 2011-02-01 주식회사 이너버스 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템
US7530106B1 (en) * 2008-07-02 2009-05-05 Kaspersky Lab, Zao System and method for security rating of computer processes
CN101645125B (zh) * 2008-08-05 2011-07-20 珠海金山软件有限公司 过滤以及监控程序的行为的方法
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US9450960B1 (en) * 2008-11-05 2016-09-20 Symantec Corporation Virtual machine file system restriction system and method
TWI401582B (zh) * 2008-11-17 2013-07-11 Inst Information Industry 用於一硬體之監控裝置、監控方法及其電腦程式產品
US8825940B1 (en) 2008-12-02 2014-09-02 Siliconsystems, Inc. Architecture for optimizing execution of storage access commands
US8631485B2 (en) * 2009-01-19 2014-01-14 International Business Machines Corporation Identification of malicious activities through non-logged-in host usage
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
US9176859B2 (en) * 2009-01-07 2015-11-03 Siliconsystems, Inc. Systems and methods for improving the performance of non-volatile memory operations
JP2010198386A (ja) * 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
US8321935B1 (en) * 2009-02-26 2012-11-27 Symantec Corporation Identifying originators of malware
US10079048B2 (en) * 2009-03-24 2018-09-18 Western Digital Technologies, Inc. Adjusting access of non-volatile semiconductor memory based on access time
US8381290B2 (en) * 2009-07-17 2013-02-19 Exelis Inc. Intrusion detection systems and methods
US7743419B1 (en) 2009-10-01 2010-06-22 Kaspersky Lab, Zao Method and system for detection and prediction of computer virus-related epidemics
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
PL3407673T3 (pl) 2010-07-26 2020-05-18 Seven Networks, Llc Koordynacja ruchu w sieci komórkowej pomiędzy różnymi aplikacjami
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
EP2626803B1 (en) 2010-10-04 2017-07-05 Panasonic Intellectual Property Management Co., Ltd. Information processing device and method for preventing unauthorized application cooperation
RU2449348C1 (ru) * 2010-11-01 2012-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
JP5779334B2 (ja) * 2010-11-09 2015-09-16 デジタルア−ツ株式会社 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
US9575903B2 (en) 2011-08-04 2017-02-21 Elwha Llc Security perimeter
US9798873B2 (en) 2011-08-04 2017-10-24 Elwha Llc Processor operable to ensure code integrity
US20150128262A1 (en) * 2011-10-28 2015-05-07 Andrew F. Glew Taint vector locations and granularity
US9298918B2 (en) 2011-11-30 2016-03-29 Elwha Llc Taint injection and tracking
US9558034B2 (en) 2011-07-19 2017-01-31 Elwha Llc Entitlement vector for managing resource allocation
US9465657B2 (en) 2011-07-19 2016-10-11 Elwha Llc Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority
US9460290B2 (en) 2011-07-19 2016-10-04 Elwha Llc Conditional security response using taint vector monitoring
US9471373B2 (en) 2011-09-24 2016-10-18 Elwha Llc Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority
US9443085B2 (en) 2011-07-19 2016-09-13 Elwha Llc Intrusion detection using taint accumulation
US9098608B2 (en) 2011-10-28 2015-08-04 Elwha Llc Processor configured to allocate resources using an entitlement vector
US9170843B2 (en) 2011-09-24 2015-10-27 Elwha Llc Data handling apparatus adapted for scheduling operations according to resource allocation based on entitlement
US8984581B2 (en) * 2011-07-27 2015-03-17 Seven Networks, Inc. Monitoring mobile application activities for malicious traffic on a mobile device
US8677493B2 (en) * 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
US8239918B1 (en) 2011-10-11 2012-08-07 Google Inc. Application marketplace administrative controls
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
EP2789138B1 (en) 2011-12-06 2016-09-14 Seven Networks, LLC A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation
EP2788889A4 (en) 2011-12-07 2015-08-12 Seven Networks Inc FLEXIBLE AND DYNAMIC INTEGRATION SCHEMES OF A TRAFFIC MANAGEMENT SYSTEM WITH VARIOUS NETWORK OPERATORS TO REDUCE NETWORK TRAFFIC
US8774761B2 (en) * 2012-01-27 2014-07-08 Qualcomm Incorporated Mobile device to detect unexpected behaviour
US9519782B2 (en) * 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
US20140053267A1 (en) * 2012-08-20 2014-02-20 Trusteer Ltd. Method for identifying malicious executables
US9104864B2 (en) 2012-10-24 2015-08-11 Sophos Limited Threat detection through the accumulated detection of threat characteristics
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9117080B2 (en) * 2013-07-05 2015-08-25 Bitdefender IPR Management Ltd. Process evaluation for malware detection in virtual machines
US9336025B2 (en) 2013-07-12 2016-05-10 The Boeing Company Systems and methods of analyzing a software component
US9280369B1 (en) 2013-07-12 2016-03-08 The Boeing Company Systems and methods of analyzing a software component
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9852290B1 (en) 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US20150052614A1 (en) * 2013-08-19 2015-02-19 International Business Machines Corporation Virtual machine trust isolation in a cloud environment
CN105683988A (zh) * 2013-09-27 2016-06-15 迈克菲公司 管理软件补救
US9479521B2 (en) 2013-09-30 2016-10-25 The Boeing Company Software network behavior analysis and identification system
US20150135316A1 (en) * 2013-11-13 2015-05-14 NetCitadel Inc. System and method of protecting client computers
US10223530B2 (en) 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
WO2015142755A1 (en) * 2014-03-17 2015-09-24 Proofpoint, Inc. Behavior profiling for malware detection
US9769197B1 (en) * 2014-03-31 2017-09-19 Juniper Networks, Inc. Malware detection using external malware detection operations
US10282544B2 (en) * 2014-05-20 2019-05-07 Microsoft Technology Licensing, Llc Identifying suspected malware files and sites based on presence in known malicious environment
US9659176B1 (en) * 2014-07-17 2017-05-23 Symantec Corporation Systems and methods for generating repair scripts that facilitate remediation of malware side-effects
US10360378B2 (en) 2014-08-22 2019-07-23 Nec Corporation Analysis device, analysis method and computer-readable recording medium
JP6402577B2 (ja) * 2014-10-16 2018-10-10 株式会社リコー 情報処理システム、情報処理装置、設定判断方法およびプログラム
US10091214B2 (en) * 2015-05-11 2018-10-02 Finjan Mobile, Inc. Malware warning
CN108370325B (zh) * 2015-12-09 2021-05-07 华为技术有限公司 一种通过连接跟踪对网络的管理
US10103964B2 (en) * 2016-06-17 2018-10-16 At&T Intellectual Property I, L.P. Managing large volumes of event data records
US10678921B2 (en) * 2016-09-30 2020-06-09 AVAST Software s.r.o. Detecting malware with hash-based fingerprints
CN106911675B (zh) * 2017-02-09 2019-02-26 中国移动通信集团设计院有限公司 一种手机恶意软件预警方法和装置
US10503899B2 (en) * 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
WO2019185404A1 (en) 2018-03-25 2019-10-03 British Telecommunications Public Limited Company Malware infection prediction
CN111886841B (zh) * 2018-03-25 2022-10-14 英国电讯有限公司 保护计算机网络的一部分免受恶意软件攻击的方法,可读存储介质
US10826931B1 (en) * 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
WO2020204927A1 (en) * 2019-04-04 2020-10-08 Hewlett-Packard Development Company, L.P. Determining whether received data is required by an analytic
US11886390B2 (en) 2019-04-30 2024-01-30 JFrog Ltd. Data file partition and replication
US11340894B2 (en) 2019-04-30 2022-05-24 JFrog, Ltd. Data file partition and replication
US11386233B2 (en) 2019-04-30 2022-07-12 JFrog, Ltd. Data bundle generation and deployment
WO2021014326A2 (en) 2019-07-19 2021-01-28 JFrog Ltd. Software release verification
US20220060488A1 (en) * 2020-08-18 2022-02-24 Cloud Storage Security Methods for providing malware protection for cloud storage and devices thereof
US11860680B2 (en) 2020-11-24 2024-01-02 JFrog Ltd. Software pipeline and release validation
US11716310B2 (en) * 2020-12-31 2023-08-01 Proofpoint, Inc. Systems and methods for in-process URL condemnation
US20220318377A1 (en) * 2021-03-31 2022-10-06 Mcafee, Llc Responsible parent process identification
CN115001831B (zh) * 2022-06-09 2023-04-07 北京交通大学 基于恶意行为知识库动态部署网络安全服务的方法及系统
US20240031391A1 (en) * 2022-07-22 2024-01-25 Semperis Technologies Inc. (US) Attack path monitoring and risk mitigation in identity systems

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5533123A (en) 1994-06-28 1996-07-02 National Semiconductor Corporation Programmable distributed personal security
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6453345B2 (en) 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
JP3437065B2 (ja) 1997-09-05 2003-08-18 富士通株式会社 ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体
GB2333864B (en) 1998-01-28 2003-05-07 Ibm Distribution of software updates via a computer network
US6208720B1 (en) * 1998-04-23 2001-03-27 Mci Communications Corporation System, method and computer program product for a dynamic rules-based threshold engine
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US20020040439A1 (en) 1998-11-24 2002-04-04 Kellum Charles W. Processes systems and networks for secure exchange of information and quality of service maintenance using computer hardware
US6775780B1 (en) * 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
JP4700884B2 (ja) * 2000-04-28 2011-06-15 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータのセキュリティ情報を管理するための方法およびシステム
US6976251B2 (en) 2001-05-30 2005-12-13 International Business Machines Corporation Intelligent update agent
US20020194490A1 (en) 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
US6928549B2 (en) * 2001-07-09 2005-08-09 International Business Machines Corporation Dynamic intrusion detection for computer systems
CA2460492A1 (en) * 2001-09-28 2003-04-10 British Telecommunications Public Limited Company Agent-based intrusion detection system
US6907430B2 (en) 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
KR100466214B1 (ko) 2001-12-21 2005-01-14 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
US7269851B2 (en) * 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
JP2003233521A (ja) 2002-02-13 2003-08-22 Hitachi Ltd ファイル保護システム
US7340777B1 (en) * 2003-03-31 2008-03-04 Symantec Corporation In memory heuristic system and method for detecting viruses
US7171689B2 (en) 2002-02-25 2007-01-30 Symantec Corporation System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7254634B1 (en) 2002-03-08 2007-08-07 Akamai Technologies, Inc. Managing web tier session state objects in a content delivery network (CDN)
US7487543B2 (en) 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US7461404B2 (en) * 2002-11-04 2008-12-02 Mazu Networks, Inc. Detection of unauthorized access in a network
US20050033989A1 (en) 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US8990723B1 (en) * 2002-12-13 2015-03-24 Mcafee, Inc. System, method, and computer program product for managing a plurality of applications via a single interface
US20040143749A1 (en) 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
CN100466510C (zh) 2003-04-30 2009-03-04 华为技术有限公司 一种防止网络用户对网络地址转换(nat)设备攻击的方法
CA2472366A1 (en) 2003-05-17 2004-11-17 Microsoft Corporation Mechanism for evaluating security risks
JP3971353B2 (ja) 2003-07-03 2007-09-05 富士通株式会社 ウィルス隔離システム
US20050050334A1 (en) 2003-08-29 2005-03-03 Trend Micro Incorporated, A Japanese Corporation Network traffic management by a virus/worm monitor in a distributed network
US20050071432A1 (en) * 2003-09-29 2005-03-31 Royston Clifton W. Probabilistic email intrusion identification methods and systems
US7194769B2 (en) * 2003-12-11 2007-03-20 Massachusetts Institute Of Technology Network security planning architecture
US7603714B2 (en) 2004-03-08 2009-10-13 International Business Machines Corporation Method, system and computer program product for computer system vulnerability analysis and fortification
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
KR100602597B1 (ko) * 2004-03-10 2006-07-19 주식회사 이에프엠네트웍스 네트워크 상에서 사용되는 네트워크 자원 사용량을감지하여 사용자에게 바이러스 감염 가능성을 경고하는인터넷 공유기의 동작 방법 및 이를 위한 인터넷 공유기
US7084760B2 (en) 2004-05-04 2006-08-01 International Business Machines Corporation System, method, and program product for managing an intrusion detection system
US20060069909A1 (en) 2004-09-23 2006-03-30 Roth Steven T Kernel registry write operations
FI20041681A0 (fi) * 2004-12-29 2004-12-29 Nokia Corp Liikenteen rajoittaminen kommunikaatiojärjestelmissä
US8516583B2 (en) 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US20060259967A1 (en) * 2005-05-13 2006-11-16 Microsoft Corporation Proactively protecting computers in a networking environment from malware

Also Published As

Publication number Publication date
US9043869B2 (en) 2015-05-26
US20060236392A1 (en) 2006-10-19
CN1841397B (zh) 2010-06-02
EP1708114A2 (en) 2006-10-04
US20130332988A1 (en) 2013-12-12
EP1708114A3 (en) 2009-12-30
KR20060106655A (ko) 2006-10-12
US8516583B2 (en) 2013-08-20
EP1708114B1 (en) 2017-09-13
JP2006285983A (ja) 2006-10-19
CN1841397A (zh) 2006-10-04
KR101292501B1 (ko) 2013-08-01

Similar Documents

Publication Publication Date Title
JP4961153B2 (ja) コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること
US20060259967A1 (en) Proactively protecting computers in a networking environment from malware
US7882560B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
US8806650B2 (en) Methods and apparatus providing automatic signature generation and enforcement
US11675904B1 (en) Systems and methods for protecting against malware attacks using signature-less endpoint protection
US9286469B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic signature generation
US7716727B2 (en) Network security device and method for protecting a computing device in a networked environment
US8997231B2 (en) Preventive intrusion device and method for mobile devices
US7814543B2 (en) System and method for securing a computer system connected to a network from attacks
US20060294588A1 (en) System, method and program for identifying and preventing malicious intrusions
JP2018530066A (ja) 低信頼度のセキュリティイベントによるセキュリティインシデントの検出
JP2016053979A (ja) 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法
Sequeira Intrusion prevention systems: security's silver bullet?
EP1751651B1 (en) Method and systems for computer security
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
Mirashe et al. Notice of Retraction: 3Why we need the intrusion detection prevention systems (IDPS) in it company
CN115622754A (zh) 一种检测并防止mqtt漏洞的方法、系统和装置
Seo et al. Detection of unknown malicious codes based on group file characteristics
Ulltveit-Moe et al. Privacy leakage methodology (PRILE) for ids rules
Vallam COLLABORATIVE DETECTION OF POLYMORPHIC WORMS

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110722

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111024

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111027

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20111111

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120302

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120319

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120326

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4961153

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250