JP5035918B2 - 不適切なコードおよびデータの拡散防止 - Google Patents

不適切なコードおよびデータの拡散防止 Download PDF

Info

Publication number
JP5035918B2
JP5035918B2 JP2008515291A JP2008515291A JP5035918B2 JP 5035918 B2 JP5035918 B2 JP 5035918B2 JP 2008515291 A JP2008515291 A JP 2008515291A JP 2008515291 A JP2008515291 A JP 2008515291A JP 5035918 B2 JP5035918 B2 JP 5035918B2
Authority
JP
Japan
Prior art keywords
file
data
electronic file
format
content data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008515291A
Other languages
English (en)
Other versions
JP2008546111A (ja
Inventor
ニコラス・ジョン・スケイルズ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Glasswall IP Ltd
Original Assignee
Glasswall IP Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=34855273&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP5035918(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Glasswall IP Ltd filed Critical Glasswall IP Ltd
Publication of JP2008546111A publication Critical patent/JP2008546111A/ja
Application granted granted Critical
Publication of JP5035918B2 publication Critical patent/JP5035918B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/06Message adaptation to terminal or network requirements
    • H04L51/063Content adaptation, e.g. replacement of unsuitable content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Communication Control (AREA)
  • Storage Device Security (AREA)

Description

本発明は、不適切なコードおよびデータの拡散を防止するコンピュータシステムと、それらシステムをオペレーションする方法とに関する。
過去10年間、コンピュータシステムは、不適切なコードの攻撃を受けることが多くなっている。(現在までの)不適切コードの最も極端な例は、コンピューターウイルスである。コンピューターウイルスは、同名の生物ウイルスのように、1台のマシンに感染し、次にそこから、電子メールシステムの情報源を乗っ取ることによって、他のコンピュータに感染することができる。その結果、ウイルスが侵入した各コンピュータのアドレス帳を用いて、コンピュータへウイルスを含む電子メールが、1台のコンピュータから他の多くのコンピュータに送信される。
そして、結果的に、帯域幅(回線容量)が浪費され、これがユーザにとって頭痛の種となっている。更に、多くのウイルスは、侵入した各コンピュータにおいて、例えばファイルの消去など、好ましくない動きをする。
ウイルスは、典型的には、別個の添付ファイルで、実行可能なコードとして到来する。しかし、ウイルスは、電子メールの一部に隠されていることもあり、明確なコードの分離や実行をユーザに要求することなく、活動するようになる。ワードプロセッサ、スプレッドシート、データベースなどの多くのアプリケーションには、強力なマクロスクリプト言語が含まれている。マクロスクリプト言語は、ドキュメントのように見えるファイルに、特定の動作を行うことができるスクリプトを含ませることが可能である。ウイルスの作者は、マクロウイルスを書くためにそのようなスクリプト言語を利用し、そして、ドキュメントのように見えるファイルを含んだ電子メール添付物が、隠蔽ウイルスの隠れ場所となる。
ウイルスは、不適切なコードが唯一の形態ではない。「無料」のプログラムが、隠された「スパイウェア」とともによく配布される。スパイウェアは、例えば、ユーザのコンピュータに密かにインストールされる。スパイウェアは、その後、訪れたウェブサイトや他のトランザクションを遠隔のコンピュータに報告する可能性がある。スパイウェアのうちの或るものは、好ましくない広告を表示させる。また、或るスパイウェアは、モデムが高額料金の番号を繰り返しダイアルするようにし向けて、スパイウェアの作者が遠距離通信オペレータから収入を受け取る。その他の有害な種類のコードとしては、マルウェア、ワーム、トラップドアなどがある。
ウイルスが、或るコンピュータから他のコンピュータへと自己増殖する一方で、スパムメール(無差別広告メール)やディスク上での隠れた配布によって、或いは、益々増加する何の気なしに開いたウェブサイトからのダウンロードによって、ウイルス以外の形態の不適切コードが配布されている。この種の不適切コードは、全て共通して、その存在や真の目的が隠匿され、ターゲットとなったコンピュータの所有者やユーザには分からないという事実である。或る種のものは比較的害が少ないが、貴重なビジネスデータを一掃する能力をもつものもあり、これ故に、ウイルス除去ソフトウェアを提供する産業が発展してきた。
現在知られているアンチウイルス(ウイルス駆除)ソフトウェアは、保護されるコンピュータ上で実行されるプログラムから構成される。このようなプログラムは、典型的には、モニタモードとスキャンモードとで動作する。上記モニタモードでは、アクセスされるファイルに対して、そのファイルへアクセスされるたびにウイルスチェックが行われる。上記スキャンモードでは、(ディスクドライブなどの)特定な場所の全てのファイルがスキャンされる。アンチウイルスプログラムのプロバイダは、ウイルスの発生を監視していて、新しいウイルスが検出されると、アンチウイルスプログラム会社は、ウイルスを解析し、ウイルスを検出するのに使用できるデータを抽出する。次いで、このデータは、当該特定のアンチウイルスプログラムを実行するコンピュータが利用できるものとされる。すなわち、上記プログラムは、典型的には、アンチウイルスプログラム会社のウェブサイト上に提供され、ダウンロードすることによって、上記プログラムの実行が図られる。
ウイルスは種々様々な方法で検出される。ウイルスの一部を形成する一連の特徴コードを保存することができる。また、上記一連の特徴コードの存在に対してスキャンされたファイルを保存することができる。すなわち、上記一連の特徴コードは、ウイルスに対する「サイン」または「指紋」として機能する。これに代わって、ウイルスは、それが意図する挙動によって検出することができる。また、ソースコードやスクリプトファイルを解析して、ウイルスの特徴である所定動作を検出してもよい。
ウイルスは、不幸にも、生物のウイルスと同様、容易に「変化」できる。大文字や小文字の置換に相当するようなコードの小さな変化によって、ウイルスのサインを変化させることができる。したがって、如何なる方法であれ、ウイルスを検出するためのデータファイルは、極めて大きなものとなっている。また、アンチウイルスプログラムに費やされる時間は、チェックすべきサインや規則の数が大きくなるにつれて、それに対応して、増大している。この時間の増大は、ウイルススキャンモードでは許可できるかもしれないが、モニタモードでは、ファイルへのアクセス所要時間に対して、絶えず増加する待ち時間が付加される。更に、ダウンロードがより大きなものとなるにつれて、また、より頻繁に必要になるにつれて、ユーザが必要な最新情報をダウンロードし損なって、したがって、最も新しい(したがって最も危険な)ウイルスに対して無防備となる危険性が高い。
したがって、本発明は、不適切なコードに抗した保護への全く異なるアプローチを取るものである。本発明の一側面によれば、所定のファイル形式のコンテンツデータを含む電子ファイルを受信する方法であって、上記電子ファイルを受信するプロセスと、上記ファイル形式と許可可能なコンテンツデータの値または範囲値を指定する関連する一連の規則とを判定するプロセスと、上記コンテンツデータのいずれかが指定された上記値または範囲値と一致するかを判定するプロセスとを備え、上記コンテンツデータのいずれかが一致する場合、上記一致するコンテンツデータを再生して上記表明されているファイル形式において代替の再生された電子を生成する。
対応するコンピュータシステム、プログラム、およびそのようなプログラムを載せる媒体も提供される。
本発明の一実施形態は、それぞれの受信されたファイルを解析し、次いでそれから代替ファイルを再構成するように動作する。オリジナルファイル自体は保護すべきコンピュータ上に直接保存されたりアクセスされたりしないため、オリジナルファイルはそれ自体ではそのコンピュータに害を及ぼすことはできない。オリジナルファイルは、例えば、それが実行できないビット反転形式その他の形式で保存されるであろう。一方、上記代替ファイルは、「クリーンな」コードおよびデータしか生成することができないジェネレータルーチンを使用して生成される。したがって、受信されたファイル内のコードがどのようなコードであってもそれに対応した不適切コードを生成することはできない。
本発明の一部は、コンピュータファイルに関する幾つかの長く知られている真実の新たな応用にその根拠を置くことができる。最近ではコンピュータにインポートされる大多数のファイルが標準化されたファイルフォーマットである。独自に開発したプログラムは、それら自身のファイルフォーマットを作り出している(そしてそれらのプログラムによって使用されることを予定しているデータはそれらのフォーマットに合致しなければならない)が、異なる独占プログラム間のデータの交換に対しては少なからぬ需要がある。すなわち、第一に、1つの独占プログラムには別の独占プログラムによって書かれたデータを読み込むためのインポートフィルタがたいてい供給されており、第二に、如何なる独占プログラムにも関連づけられていない幾つかのフォーマットが存在する。そのような汎用的なフォーマットの例としては、ASCIIテキスト、リッチテキストフォーマット(RTF)、ハイパーテキストマークアップランゲージ(HTML)、およびエクステンシブルマークアップランゲージ(XML)がある。
したがって、ファイル中のデータは、それが任意のアプリケーションプログラムによって読み込まれることになっており、かつ様々なファイルで使用される各フォーマットが広く知られているものであるならば、厳格な規格に精確に従っていなければならない。本発明者らは、各ファイルによって使用される各フォーマットは幅広く変化することを許可しているが、大多数のファイルには幾つかの比較的狭い実用的な制約を満たすデータが含まれているということに気づいた。例えば、ほとんどのオペレーティングシステムおよびアプリケーションは、かなりの長さのファイルタイトルを受け入れるが、ほとんどのユーザが、たいてい短くて容易に認識できるファイル名を使用する。
したがって、本発明の一実施形態によって行われる解析は、表明されたファイル形式の仕様にそれ以外では一致しているデータが、実用的な限界に違反しているか否かを検出することを含むものとすることができる。これらの「現実世界」の制約は、本発明が「正常な」受け入れ可能なファイルを検出することを可能にする。このタイプの実用的な限界に対応していない如何なるファイルコンテンツもジェネレータプログラムに渡されることはなく、したがってユーザのコンピュータに実行可能な形式において到達することはない。
したがって、本発明の一実施形態は、周知のアンチウイルスプログラムとは基本的に異なった様式で動作するものであることが分かるであろう。周知のアンチウイルスプログラムは、ウイルスを検出することを狙いとしており、ウイルスであることが検出されない全てのものを通過させる。したがって、それらのプログラムは最大の危険から、すなわち未知のウイルスの危険からユーザを保護することに必ず失敗する。新参のウイルスはそれぞれ、ウイルス対策会社の注目するところとなる前に、既に多くのコンピュータに感染してしまうに違いない。
更に、ウイルス対策ソフトウェアがインストールされ、検出済みデータの最新版を保有している場合でも、ウイルスは、そのウイルス対策ソフトウェアによって検出可能となる前に、通常、保護されるコンピュータのハードドライブその他の媒体に保存されるであろう。何らかの理由でウイルス対策ソフトウェアが動作しないと、そのウイルスは適当な場所にあって活性化される可能性がある。
公開米国特許出願US2003/0145213は、ファイル内においてマクロまたは悪意のあるコードを検出するシステムを開示している。そのファイルは、その後、テンプレートで再構築され、その悪意のあるコードがテンプレートから除去されて、上記ファイルの汚染されていないバージョンを提供する。
全く対照的に、本発明は、ウイルスを検出することも、また代表的なウイルス様の挙動を拒絶することすらも、その狙いとする必要がない。その代わりに、全ての入力ファイルを完全に拒絶することができ、可能な場合はそれらのファイルを、不適切なコードおよびデータを含ませることができない生成ファイルに代替させる。したがって、不適切なコードおよびデータが、保護すべきコンピュータのハードドライブに実行可能な形式で到達することを防ぐことができ、それらが1台のコンピュータから別のコンピュータへ伝染することは不可能となる。
ここで、公開米国特許出願2003/229810が、ウイルスに対する保護策として「光学式ファイアウォール」の提案を開示している。この後すぐに明白になるであろう理由により、このシステムは実施に移された(または、実施に移すことができたものである)とは考えられない。その公開出願には、ファイアウォールコンピュータが画像ファイルなどのファイルを受け取って、そのファイアウォールコンピュータのディスプレイ上にその画像を表示するシステムが記載されている。光学式センサアレイが画像をスキャンし、スキャンされた画像が相手の受信者に与えられる。画像内に隠されたウイルスはどれも表示されず、したがってスキャンされた画像においてウイルスであるとは判定されない。変形例として、スクリーンのビットマップを実際のスクリーン表示の代わりに使用する場合もある。
様々な理由から、上述の米国特許出願において提供される「光学式カプラ」ファイアウォールは、ウイルスに対する有効かつ信頼できる保護を提供することはできないであろう。
例えば、光学式文字認識(OCR)ソフトウェアを使用した再現は、不適切な情報を提供する可能性がある。更に、ビデオ技術を使用した画像の再現は、意図したより低い品質の画像を提供する可能性がある。また、入力ファイルがウイルスを含む場合、その入力ファイルを受信するコンピュータが感染してしまうであろう。
他方、再生ファイルを実行し、表示し、光学スキャンする代わりに、それらのファイルを解析し、次に、再生することにより、本発明の一実施形態は、大多数の場合、オリジナルファイル(それに不適切コードがないならば)と匹敵する代替ファイルをその代替が透明になるようなしかたで提供することができる。
ファイルフォーマットは、それらの複雑さにばらつきがある。一方の極において、テキストファイルは単純なフォーマットを有する。スクリプトやマクロを含むことができるファイル(ワードプロセッサやスプレッドシートファイルなど)は、中間的な複雑さのものであるが、コードを含むファイルはコードパーサ(コード構文解析ツール)によってしか完全に解析することができない。本発明によればそのようなコード解析は結局可能となるが、本発明の実施形態は、その1つの利便性として、ドキュメントファイルから全てのマクロとスクリプトを除去し、プログラム、コード、マクロまたはスクリプトだけから成る如何なるファイルも通過させないように動作することもできる。
ユーザが上記のようなファイルを受信することを望む場合も頻繁におこるであろうことは容易に想像がつく。したがって、1つの好ましい実施形態においては、本発明は、特定のソースに由来するファイル(または特定の形式のファイル)は常時通過させ、他のソースに由来するファイルは拒絶するように、ソースによってファイルをフィルタリングするように構成したフィルタと同時並行で動作するようにしてもよい。
このように、本発明の実施形態は全てのソースからのファイル内のコードを受信することをブロック(阻止)する一方で、並列フィルタが既知のソースからだけの上記ファイルを許可する。したがって、ユーザは、本発明によって拒絶されるであろう、例えば、システム管理者や公認されたウェブサイトからのファイルを受信することができる。ユーザがコードを受信することを望むそれらのソースのみを識別することにより、本発明は不適切コードを阻止することができる。
本発明はウイルスを検出することより、むしろファイル規格との一致および代表的なユーザの対応を検出することによって機能することが可能となるため、頻繁な更新は不要である。そのような更新が必要となるのは、ある規格に対する大きな変更が広範囲に受け容れられたとき、あるいはユーザの対応が実質的に変化したときだけであり、これらはいずれもウイルス対策の更新版を配布しなければならないときの大急ぎのスピードと比べるとスローな処理過程である。同様に、実行すべきテストの回数が時間の経過とともにほぼ安定して維持されるため、プログラム起動のための待ち時間も時の経過によって全く増加しない。
本発明のこれらおよびその他の側面、実施形態および利点について次の記載および請求項において論ずる。ここで、本発明の実施形態を添付の図面を参照して説明するが、これは例示として説明するに過ぎない。
第1実施形態
本発明の第1実施形態を示す基本的システムレイアウトは、図1Aに示される。電子ファイル101は、情報源(ソース)で生成され、伝送媒体103を介して伝送される。伝送媒体103としては、有線システムや無線システムなどの電子ファイル伝送に適した媒体を用いることができる。電子ファイル101は、通常の方式で伝送媒体103を通過して送信先に到達する。本実施形態では、AV(アンチウイルス)アプリケーション105が送信先のシステムにインストールされている。AVアプリケーション105の動作によって、到来する電子ファイル内のデータは、予め定義された許可フォーマットに照らして解析されるまで、送信先のオペレーティングシステム107への進入が許可されず、また、データが許可されるものであると判定された場合には、再生される。すなわち、AVアプリケーション105は、電子ファイル101がオペレーティングシステム107に通過許可できるか否かを決定するものである。
図1Bは、本発明の実施形態を実施するのに一致したコンピュータシステムを示す。コンピュータ109は、入力インタフェース111において、到来する電子ファイル101を受信する。入力インタフェース111はマイクロプロセッサ113に接続されている。マイクロプロセッサ113は、受信されたファイルに対して、様々なプロセスを実行するように構成されている。マイクロプロセッサ113はパーサ(構文解析ツール)115を含んでいる。マイクロプロセッサ113は、更に、メモリ装置117と、ディスクドライブ119と、ディスプレイ125やキーボード127などの出力装置への接続を可能にする幾つかのインタフェース(121、123)とに接続されている。
到来した実行可能なファイルがAVアプリケーション内に入ったときに自動的に実行されることがないように、本システムでは、到来する電子ファイルを構成するデータを、何らかの適切なスクランブル(暗号化)フォーマットで、メモリに格納するようになっている。
この実施形態では、スクランブル法によって、1バイト内のビットの順序が反転されている。すなわち、ビット0〜7は順序通りに受け取られるが、ビット反転方式で格納され、ビット0がビット7に転換され、ビット1がビット6に転換され、ビット2がビット5に転換され、ビット3がビット4に転換される。したがって、例えば、10110000から成る1バイトの場合、00001101の順序で格納される。このようにして、如何なる実行可能なコードも自動的に実行されることが不可能となり、したがって、如何なる既感染電子ファイルもAVアプリケーションまたは送信先のオペレーティングシステムに感染することができない。
ファイルの所望の送信先にAVアプリケーションを配置する代わりに、AVアプリケーションを情報源に、或いは、伝送媒体内の何処かに配置してもよい。或いは、電子ファイルを伝送経路に沿った地点で解析することが可能であるならば、それ以外の場所に配置してもよい。
図1Cは、電子ファイル101が送信先のオペレーティングシステム107への通過が許可されるか否かを決定すべく、第1実施形態においてAVアプリケーション105が実行する基本ステップのフローチャートを示している。ステップS109では、電子ファイル101が、任意の適切な手段を用いて、AVアプリケーション105に入力される。この入力手段は、受け取られる電子ファイルの種類と、電子ファイルが伝送される媒体とに依って、変えることができる。この実施形態においては、電子ファイル101はAVアプリケーション内に受け入れられる。
ステップS111では、電子ファイル101が所定のフォーマットに一致しているかどうかを判定すべく、一致解析装置によって解析が行われる。AVアプリケーションは、既知で許可可能な予め定義された複数の格納済フォーマットのうちの1つに一致する電子ファイルのみを通過できるように、設計されている。一般に、ファイルはコンテンツデータから構成される。上記コンテンツデータは、特定の一連の規則から成るファイル形式の仕様にしたがって符号化され配列される。ファイルの各形式(テキスト、HTML、XML、スプレッドシートなど)は関連する一連の規則を有する。一般的なファイルの形式は、屡々、ファイル名の末尾語(例えば、.pdfや.txtや.doc)によって示される。或いは、それに代わって、ファイル中の初めの数バイトのデータによって示されることがある。ファイルの形式の多くは、ファイル構造に関するものを示すヘッダを含み、次にコンテンツデータ(例えば、テキスト、数字、音声または画像のデータ)が続く。
コンテンツデータは、パラメータ(例えば、コンテンツデータがボールド体で表示されることを示すタグ)を含んでもよい。ファイル形式の仕様を構成する規則は、そのようなパラメータが取ることのできる値や範囲を指定するものとしてよい。それらの規則は、例えば、コンテンツデータが取り得る許可値または許可範囲値を指定するものとしてもよい。
特定の形式のファイルを開くことができるアプリケーションプログラムは、ファイル形式の仕様を構成する規則をファイルに適用するために、パーサ(構文解析ツール)を含んでいて、コンテンツデータを抽出して表示または処理する。例えば、ワードプロのアプリケーションは、ファイルを、その工業所有権が保護されたファイルフォーマット(例えば、登録商標Microsoft Word)で開くことができる。また、その他のワードプロのアプリケーションの所有権保護されたファイルフォーマットでファイルを開くことができるし、リッチテキストフォーマット(RTF)やASCIIやHTMLなどの一般的なファイルフォーマットでも、ファイルを開くことができる。特定の形式のファイルとしてコンテンツデータを格納できるアプリケーションプログラムは、ファイル形式の仕様を構成する規則をコンテンツデータに適用するためのジェネレータを含んで、ファイルを所要のフォーマットで作成する。
本実施形態では、各ファイル形式に対して、所定のフォーマットが格納されている。この所定のフォーマットは、通常、そのファイル仕様を構成する規則を含んでいる。しかし、所定のフォーマットは、頻繁に使用されるフォーマット(の一部分)に関連した規則を含んでいるに過ぎない。更に、所定のフォーマットは、一般的かつ頻繁に使用される値と範囲を含むだけのものとなるように、追加規則を含んで、コンテンツおよびパラメータが取り得る数値や範囲を制約する。このようにして、所定形式のファイルの一部分は、頻繁に日常的に発生するデータとパラメータとから専ら成り、本実施形態の対応する格納済所定フォーマットによって、上記ファイルの一部分のみを解析することができる。
システムを通過するのを許可されないデータ形式の構成要素の例としては、ワードプロセッサで作成されたファイル中の複合マクロや、HTML頁中のIフレームがある(上記データ形式は稀にしか使用されないので、それらに関する規則を所定のフォーマットが含んでいなく、したがって許可されない)。稀にしか使用されなくてシステムを通過することが許可されないデータ値の例としては、一般的に使用されるTAB、CB/LF、およびLF文字以外には、ASCIIファイル内の制御文字がある(所定のフォーマットは上記データ値を除外した値に限定される)。
一致解析装置は、電子ファイルが、そのファイル中に記述されているフォーマットに沿うものであるか否かを判定する。また、一致解析装置は、全パラメータが、その特定の電子ファイル形式に関連付けられる所定フォーマットに一致しているかを判定する。電子ファイルがいずれの所定フォーマットにも一致しない場合、電子ファイルは、再生されることなく、ステップS113において有効にブロックされ、好ましくは消去される。しかし、電子ファイルが所定フォーマットに一致している場合は、コンテンツデータが電子ファイルから抽出され(かつ、データ構造に暫定的に保存され)、ステップS115に示すように、上記コンテンツデータは、電子ファイル形式に付随した所定フォーマットで(暫定データ構造から)一致解析装置によって再生され、代替ファイルが作成される。
再生された電子ファイルは、次に、ステップS117で、例えばオペレーティングシステムに送られ、標準の方式で処理される。所定フォーマットを構成する規則を用いてファイルから抽出できるコンテンツデータは、全て、抽出され、再生される。したがって、抽出できない部分は、如何なるものも再生することができない。
このように、ファイルの一致チェックと再生によって、ウイルスがオペレーティングシステムに進入して感染するのは不可能となる。実際、通常見られるフォーマットのコンテンツデータ以外には、抽出されて再生されるものはない。
電子メッセージをサブパーツ(下位部分)に分解することができる状況では、電子メッセージのサブパーツの或るものは所定フォーマットに一致し、それ以外のサブパーツは一致しない。このような状況において、AVアプリケーションは、一致する全てのサブパーツが実在テストに一致するか否かを判定し(例えば、大多数の或いは最重要なパーツが一致するか否かを判定し)、一致する場合は、一致している電子メッセージのサブパーツを再生する。
メッセージの一致しないサブパーツは再生されない。その代わりに、AVアプリケーションは、関連の警告テキストを電子メッセージに挿入して、メッセージの一部が通過許可されないことを受信者に知らせる。選択肢として、この警告テキストは、サブパーツが通過許可されない理由を示すものとすることができる。
更に、電子ファイルのサブパーツの一部分も、この一部分に対応する所定の許可フォーマットに一致していない場合には、ブロックでき、すなわち再生することなく、好ましくは消去できる。すなわち、例えば、ASCII電子ファイルの文字列が制御文字(例えば「BEL」文字)を含んでいる場合、この文字列を、AVアプリケーションにより挿入されるテキスト警告に置き換えて、この文字列は所定フォーマットに一致しないので再生電子ファイルのこの部分から除外されている、と受信者に知らせることができる。上記一致解析装置は、許可されない制御文字(例えば「BEL」文字)を特別に探索するのではなく、所定の許可フォーマットによって定義された許可される制御文字だけを通過させる。
他の方法として、一致しない制御文字は、スペースに置き換えたり、或いは完全に除外したりすることも可能である。種々の選択肢は、例えば、AVアプリケーションが作動する環境に依って、また、少なくとも最小限の一致情報がAVアプリケーションを介して目的とする所に至ることが如何に重要かに依って、選択される。
ここで、第1実施形態のさらなる代替を説明する。電子ファイルまたはそのサブパーツが一致しなく、したがって目的のオペレーティングシステムに通過到達できないとAVアプリケーションが判定する場合、オリジナルの電子ファイルは脅威フィルタアプリケーションへと通される。この脅威フィルタアプリケーションは、電子ファイルまたはそのサブパーツに付随した脅威が存在するか否かを判定する。
この判定は、システムが特定のソースから何を受け取ることを期待しているかに基づいて、行われる。システムは、この判定を、データ形式のリストをメモリに格納された所定のソースリストに照らして吟味検討する。そして、データ形式がそのソースから受け取られるか否かを調べる。すなわち、電子メールがソースによりフィルタリングされているか否かを調べる。したがって、不一致データが脅威でないことが知られている場合、不一致データを含むファイルが同一ソースから受け取られると、オリジナルの不一致データはオペレーティングシステムに通過到達することが許される。このようにして、AVアプリケーションと脅威フィルタアプリケーションとを備えるシステムは、大多数の安全な電子ファイルが所望の送信先に通過到達することを可能とする。
第2実施形態
以下に説明する第2実施形態では、電子ファイルとは、インターネット上で作成者からインターネットサービスプロバイダ(ISP)に伝送される電子メールのことである。ISPは、各電子メールを電子メールクライアントサーバに送る。電子メールクライアントサーバは、電子メールを受信すると直ぐに、相手の受信者の受信ボックスに電子メールを送る。
図2は、本発明のAVアプリケーションが組み込まれた本実施形態による電子メールシステムの配置を示す。電子メールは送信者によってソース場所201から送信される。その電子メールは、インターネット203を経由して、インターネットサービスプロバイダ(ISP)205へ送られる。上記ISPは、電子メールに組み込まれたドメイン名によって決定される。受信者の電子メールクライアントサーバ207は、ダイレクトオープン接続によって、ISP205に接続されている。第1の接続は、送信電子メールを電子メールクライアントサーバ207からISP205へ送るためのシンプルメール転送プロトコル(SMTP)送信接続209である。第2の接続は、ISP205から電子メールを取り出すPOP(ポストオフィスプロトコル)の受信接続211である。
AVアプリケーション105はISP205に配置されている。AVアプリケーション105は、受信者の電子メールクライアントサーバ207に接続された入出力ポートに存在して、電子メールクライアントサーバ207によって送受信される全ての送受信電子メールを解析する。
本実施形態では、AVアプリケーション105は一片のコンピュータコードである。上記コンピュータコードは、既知のコンピュータプログラミング技法を用いて実行される。電子メールが電子メールクライアントサーバ207に入る前に、電子メールクライアントサーバ207に送られる電子メールは全て、AVアプリケーション105を通過しなければならない。同様に、電子メールクライアントサーバによってISP205に送られる電子メールは全て、ISP205に入る前に、AVアプリケーション105を通過しなければならない。
AVアプリケーション105は、データがこのアプリケーションに入る際に、そのデータを解析することによって、受信電子メールのメッセージを分析する。第1実施形態と同様、実行可能なファイルを動作停止させるべく、データはスクランブルモードで格納されている。AVアプリケーション105は、受信電子メールの個々のパーツが所定の許可フォーマットに一致するか否かを判定する。そのパーツが一致する場合は、AVアプリケーション105は電子メールメッセージの各パーツを再生する。したがって、如何なる電子メール内の如何なるウイルスも、受信者のシステムに感染することは許されなく、また、受信者のシステムからISPに通ることは許されない。
本実施形態では、一致解析装置は、特定のデータ形式を解析するために用いられていて、(第1実施形態で説明したように)そのデータ形式に対応した所定フォーマットに一致するか否かを調べ、そして、一致するコンテンツデータを抽出する。次に、一致解析装置は、そのデータ形式に対応した所定の許可フォーマットを用いて、そのデータを再生する。各データ形式は、それ自身の特有の一致解析装置によって解析され、再生される。
各一致解析装置は、受け取ったデータに応じて、データに関する特定の規則群を実行する。これらの規則は、ファイル形式に対する所定の公的な仕様によって定義されている。また、現実の世界でよく見られる(したがって安全な)周知のデータ形式の例によって定義されている。上記規則は、一般的に、ファイル形式仕様に一致するファイルのサブセットのみを許可する。しかし、公的仕様の規則の内の或るものは、通常は規則に反するが、緩和することができる。例えば、電子メールアドレスはスペースを含まないが、人気の電子メールアプリケーションにはこの規則を破るものがある。この点に関して仕様に違反する電子メールは、どこにでもある。したがって、本実施形態による電子メールを解析する所定フォーマットは、スペースを含む電子メールアドレスを受け入れて、電子メールアドレスを解析、抽出する。
また、一致解析装置は、データファイル内の特定のパラメータをチェックするものでもよい。例えば、ファイルがRTF(リッチテキストフォーマット)ファイルであるとヘッダに記述されている場合、最初の数バイトのデータが読み込まれて、これが正しいかどうかを判定する。
図3は、本実施形態に従ってAVアプリケーションを組み込んだシステムの動作法のフローチャートを示す。図3に見られるように、ステップS301において、電子メールが、SMTP受信接続を介して、ISP(インターネットサービスプロバイダ)にて受信される。
ステップS303において、プロトコル一致解析装置が、受信電子メールの基本フォーマットを読み込むプロセスを実行する。そして、基本電子メールプロトコルに一致するように電子メールを再生する。(不一致型の電子メールリーダは電子メールを読む。)次いで、読み込まれたデータは、基本電子メールプロトコルに一致する電子メールライタに渡される。このようにして、何処にでもある不一致は一致電子メールに変換される。例えば、受信者の電子メールアドレスが酷い状態に形成されている場合には、電子メールライタがそれを書き直して一致させる。
もう一つの例は、電子メールメッセージが、「From:」というヘッダが無い状態で、受け取られるときである。この場合には、電子メールメッセージがカプセル化されて、全体が、ヘッダ「From:」を含む新しい電子メールメッセージとなる。
電子メール内の他のパラメータも一致したものにされる。上記パラメータは、例えば、行長、正しいASCII文字列の使用、適切な場合における正しいBASE64コーディングの使用、完全なヘッダ情報(「To:」、「Subject:」など)、電子メールのヘッダと本文との間のスペースなどである。
電子メールが、その一部を書き直すことができない程に、まずく形成されている場合、不一致部分が脱落しても筋の通る電子メールがまだ存在しているかどうかが判定される。その処理の結果、まだ電子メールが筋の通ると判定された場合、電子メールは、不一致部分が欠けた状態のままで書き直されることができる。その場所には、警告テキストを挿入してもよい。
また、プロトコル一致解析装置は、電子メール全体を拒絶するものとしてもよい。例えば、プロトコル一致解析装置が、不一致BASE64のコード化が電子メール内の大きいデータ片で使用されていることを検出した場合、その電子メールは、ステップS305において、完全に拒絶される。
プロトコル一致解析装置が、電子メールが電子メールプロトコルに一致すると判定した場合、その電子メールはプロトコル一致解析装置によって再生される。そして、そのプロセスにおいて、次のステップに渡される。
全ての電子メールは、電子メール用の最新RFC規格(すなわち、RFC822とその後続版)に一致させるべきである。この規格は、電子メールがいかに形成されるかを定義している。電子メールがプロトコル一致解析装置を通した後には、RFC822規格の一致解析装置は、電子メールがRFC822規格に一致しているかどうかを検査する。すなわち、RFC822規格の一致解析装置は、まず、(後述するように)電子メール内の境界を見つけて電子メールを個々の構成部分に分解し、次に、電子メールの各構成部分を解析してそれがRFC822に一致するかを検査することにより、上記一致チェックを行う。
RFC822規格の一致解析装置が、周知の全データ形式の一致をチェックできることを保証すべく、RFC規格が更新される際には、更新が必要であることが理解される。
周知のごとく、電子メールは、例えば図4に示すように、幾つかの別々の部分から構成される。電子メールは、RFC822ヘッダ401から始まる。RFC822ヘッダ401は、「From:」、「To:」、「Subject:」などの幾つかのフィールドが定義される。その次は、MIMEヘッダ403である。MIMEヘッダ403は、「コンテンツ形式」などの拡張プロトコルで使用される幾つかのフィールドを定義する。上記拡張プロトコルは、電子メールの異なる部分間の境界を示すのに使用されるテキストを定義する。
ヘッダ401に続いて、最初の境界405が示される。電子メールの次の部分は、もう1つのヘッダであるMEVIEヘッダ407から始まる。MEVIEヘッダ407は、この部分で使用されるフォーマットを定義する。この例では、この部分は、テキストフォーマットで表示されるテキスト内容を備える。したがって、その後には、テキスト409のブロックが続く。テキストブロック409の終わりには、もう1つの境界411が存在する。
もう1つのMIMEヘッダ413が、電子メールの次の部分がどのフォーマットであるかを示す。この例では、電子メールの次の部分は、混合テキストおよびHTMLのフォーマットブロック415である。もう1つの境界417は、その部分の終わりを電子メールに示す。
電子メールの最後部分として、最終MIMEヘッダ419が、電子メールの添付物に関するデータ形式を示す。この場合は、上記データ形式はZIPファイルである。ZIPファイル421は、符号化されて電子メールに加えられるBASE64である。次に、最終境界423が電子メールの終わりを示す。
図3のステップS307において、RFC822規格の一致解析装置は、パーサ(構文解析ツール)を用いて、電子メールを構成するASCII文字を解析する。次いで、RFC822規格の一致解析装置は、電子メールにおける境界を検出して、特定のパラメータが既知の許可可能な所定フォーマットに一致するか否かを検査できる。例えば、RFC822規格の一致解析装置は行長を検査して、行長がRFC822規格に一致するか否かを調べ、2000以下の行長のみが再生される。
電子メール内の構文解析されたデータがRFC822規格に一致するか否かを調べるために、更なる検査を行うことができる。例えば、電子メール内の文字が規格で定義された既知の許可可能なASCII文字であるか否か、ヘッダ情報が規格で定義された通りか否か、そしてヘッダ長が規格の定義に一致するか否か、が検査される。ここに挙げたこれらの検査は、RFC822規格の一致解析装置が実行する様々な大検査群の単なる例に過ぎない(その他の部分は、当業者には明白であろう)。本発明は、それ自体、上に挙げた例に限定されるものではない。
RFC822規格の一致解析装置は、構文解析されたデータを解析して基本RFC822規格に一致するか否かを調べると同時に、特定のパラメータがRFC822規格の電子メールの現実の例に一致するか否かをも検査する。すなわち、特定のパラメータの仕様では、ユーザが定義するように開放されているが、現実の世界では、妥当な値のみが使用される。例えば、電子メールは、通常、最小の数のパーツを備えるのみである。したがって、1000個の境界を含む電子メールが受信される場合、この電子メールは、RFC822規格の電子メールの現実例とはならず、したがってRFC822規格の一致解析装置によって、ブロックされる。すなわち、電子メールは再生されず、好ましくは消去される。
更なる一致チェックを要するデータを含んだ電子メールの各構成部分に対しては、本実施形態では、ステップS309において、構成部分の対応するデータ形式に依って、構成部分を個別の一致解析装置に送る。すなわち、解析された電子メール部分がテキストと定義された場合、テキストを構成するASCII文字が、テキスト一致解析装置に送られる。解析された電子メール部分がTIFFファイルと定義された場合は、TIFFファイルを構成する文字がTIFF一致解析装置に送られる。
ステップS309において、各一致解析装置は、送られてきたデータを解析して、データが、表明されたフォーマットに一致するか否かを調べる。一致する場合、データは一致解析装置によって再生される。データ内に何らかの不一致がある場合、データは一致解析装置によって除外されるか、或いは、可能ならば、一致するようにデータが再生される。データを一致するように再生する例の一つは、入れ子ブラケットが欠けている場合に、RTFファイルに入れ子ブラケットを追加する例である。
電子メールが異なるデータ形式の入れ子構造を含んでいる場合、一致解析装置が繰り返し呼び出される。そして、数台の特定の装置は順次動作され、各装置は、新たなデータ形式が発見される各ポイントで、待機させられる。このようにして、電子メールは、JPEG写真ファイルを含むワードプロセッサドキュメント等のZIPファイルを帯同するが、一連の異なる一致解析装置(zip、ワードプロセシング、JPEG)を通過でき、入れ子構造のファイルを介してドロップダウンして、各ファイルが順次解析される。解析の終わりには、一致する再生部分を用いて、ファイルが再編成される。
ステップS311において、適切に理路整然として理解可能かつ有意義な電子メールを形成すべく電子メールの十分な部分が再生されていると判定されると、ステップS313に示すように、上記再生された部分を用いて、また、RFC822規格の一致解析装置を用いて、データは再編成される。これにより、再生された電子メールが正しいフォーマットで確実に送られる。
次いで、ステップS315に示すように、SMTPプロトコルを用いて、再生された電子メールはAVアプリケーションにより所望の受信者に送信される。
しかし、ステップS311において、有用な電子メールを形成すべく電子メールの十分な部分が再生されなかったとAVアプリケーションが判定した場合、電子メールはステップS317において拒絶される。ステップS317では、警告テキストが所望の電子メール受信者に送られて、受信者に向けられた電子メールがシステムによって拒絶されたことを受信者に知らせる。警告テキストは、メッセージが削除された詳細な理由を含むことができる。また、警告テキストは、受信者が送信者を識別するのに役立つ情報を更に含むか、或いは電子メールが拒絶された理由を含むことができる。
本実施形態において使用する一致解析装置の幾つかの例を以下に詳細に説明する。これらの一致解析装置は、ステップS309において使用できる。RFC822ヘッダやMIMEヘッダ或いはファイル拡張子の情報に基づいて、テキストであると表明する電子メールの構成部分は、S309で示すように、テキスト一致解析装置に渡される。テキスト一致解析装置は、以下に述べるように、テキストデータを構文解析し、そのテキストデータが所定の許可可能なフォーマットに一致するか否かを判定する。
例えば、カンマ区切り変数(CSV:Comma Separated Variable)やリッチテキストフォーマット(RTF)などの異なる形式のテキストファイルが幾つか存在するとき、テキスト一致解析装置は、最初に、構文解析されたデータが表明しているのはどの形式のテキストファイルであるのかを識別しなければならない。電子メールに添付されたファイルは、全て、それと関連のあるファイル拡張子を有して、ファイル形式が何であるかを示す。テキスト一致解析装置は、MIMEヘッダ内の構文解析されたファイル拡張子を解析して、そのテキストファイルが純粋なASCIIファイルであるか否かを判定する。純粋なASCIIファイルであれば、以下に述べる通り、ASCII一致解析装置を使用すればよい。
一方、テキスト一致解析装置が、解析の結果、そのテキストファイルが純粋なASCII以外のファイル形式、例えばCSVファイルであると判定した場合は、CSV一致解析装置が呼び出されてCSVデータを解析し、再生する。しかしながら、まず最初に、ASCII一致解析装置が、電子メール内のテキストファイルを構成しているASCII文字を解析して、そのテキスト列がASCIIの所定フォーマットに一致するか否かを調べ、一致していれば、そのASCIIファイルを再生する。
ASCII一致解析装置はデータを解析して、ファイルが最小のASCII所定フォーマットに一致していることを確実にする。例えば、ASCII一致解析装置は、ASCII文字32〜127と、4つの制御文字、すなわち、「改行」(LF=10)、「復帰改行」(CR=13)、「タブ」(TAB=9)および「垂直タブ」(VT=11)のみの再生を許可し、そしてシステムを通過することを許可する。
ベル文字(BEL=7)などの他の制御文字は、AVアプリケーションによって定義されるASCIIファイルの所定の許可可能なフォーマット内には、存在しない。したがって、ASCII一致解析装置は、構文解析されるASCIIコードブロックにおいて「BEL」文字を再生せず、そのASCII文字を拒絶する。
ASCII一致解析装置が実行するその他の解析例は、
・固有の行長さは1024文字未満であるか?
・ワード長さは25文字未満であるか?
・文字に対するスペースの割合は所定限界以下であるか?
である。
データが基本所定フォーマットに一致していないために、ASCII一致解析装置がASCIIコードの一部分のデータを再生することができない場合はいつでも、ASCII一致解析装置は、そのデータを検査して、それが他のいずれかの形式のASCIIコード(例えば、ソースコード、BinHex、BASE64など)に一致するか否かを調べる。データが他の形式のASCIIコードに一致する場合、そのデータはそのASCII形式に関する一致解析装置に送られる。この一致解析装置は、上に示した例では、ソースコード一致解析装置、BinHex一致解析装置、或いはBASE64一致解析装置である。当然のことながら、BASE64ASCIIコードファイルは、符号化されたデータ内に他の形式のファイルを含み得る。これらの他の形式のファイルもまた、次に、関連するファイル形式一致解析装置などに送られる。
上記他の形式のASCIIコード一致解析装置は、電子メールのこの部分のデータに対して更なる一致限定事項を有する。例えば、ファイルがチェックされて、このファイルが適切に構造化されたコードであるか否か、正しい行長を有するか否かなどが調べられる。各一致解析装置が、コンテンツおよびパラメータのデータが一致していると判定すると、すなわち、そのデータを抽出すると、抽出されたコンテンツデータは当該一致解析装置により許可所定フォーマットにて再生される。
ASCII一致解析装置がいったんそのタスクを終了すると、再生されたASCIIデータは、そのデータが表明する関連のテキスト一致解析装置に送られる。この実施形態では、テキストファイルがCSVファイルである。したがって、データはCSV一致解析装置に送られる。
CSV一致解析装置によって実行される検査例は以下の通りである。すなわち、CSV一致解析装置は、パラグラフがCSVファイルに対する所定フォーマットの一部でないとき、ASCIIデータを解析して、確実に、長いテキストパラグラフが含まれないようにする。一致しないために解析できないデータは、CSV一致解析装置によって拒絶される。また、CSV一致解析装置は、検査をして、例えば、デリミッター(非制限手段)の数がCSVファイル内のデリミッターの通常所定数に一致するか否かを調べる。データが一致するとCSV一致解析装置が判定した場合、そのデータは同一のフォーマットに再生される。
このようにして、所定のフォーマットに一致するテキストファイル部分のみが、AVアプリケーションの次のステージに通過できる。このテキストファイルの一致部分のみが、再生された他のデータ形式部と共に再生され、再編成されて、送信先に送られる。したがって、電子メールのウイルスを含む部分は、不一致となり、したがってブロックされ、すなわち再生されることがなく、そして好ましくは、削除される。不一致部分は、AVアプリケーションを通過できなく、オペレーティングシステムに感染することが許されない。
一致解析装置の他の例として、TIFFファイルを解析し再生するのに使用されるTIFF(Tagged Image File Format)一致解析装置がある。
TIFFファイルは、1組のディレクトリとタグとが所定のフォーマットで配置された構造化フォーマットを有している。イメージデータ自体が意味のある画像を表しているか否かを判定できる。しかしながら、TIFF一致解析装置は、イメージデータが確実に所定の限界内に収まっているかを確認するために、イメージデータを構文解析し分析する。
TIFFファイル内のヘッダ情報は、正しい情報が完全で手付かずのものであるか否かを調べるために、構文解析され分析される。例えば、TIFF一致解析装置は、ヘッダ情報がTIFF画像に対して妥当限界内の解像度、サイズ、被写界深度を含むものであるか否かを調べるために検査を行う。更に、TIFF一致解析装置は、ヘッダに示された帯片(ストリップ)の数がイメージデータと合っているか否かを判定する。
TIFFファイルは、典型的には、LZW(Lempel-Ziv-Welch)圧縮技術を通常使用して圧縮される。帯片の長が妥当な所定限界内にあるか否かを調べるために、各TIFF帯片は一致解析装置によって解凍される。例えば、帯片長が最大イメージサイズの限界以下の場合(例えば、標準のA0用紙サイズより大きい場合)、帯片は拒絶される。TIFF一致解析装置が1つの帯片を拒絶すると、TIFFファイル全体が拒絶される。
また、TIFF一致解析装置は、TIFFファイル内のタグ(すなわち、パラメータデータ)に関する解析を実行する。タグは所定の許可フォーマットに照らして検査されて、例えば、タグが(ヘッダにおけるタグ情報のディレクトリに従って)指定された順序にあるか否か、タグが互いに正しく関連づけられているか否かについて調べられる。
TIFF一致解析装置が、データが所定の許可フォーマットに一致すると判定すると、データが再生されて、オリジナルのファイル名を有する再生TIFFファイルが作成される(上記ファイル名は所定のフォーマットに一致する)。再生TIFFファイルは電子メールサーバに送られて電子メールに再編成される。
TIFFファイル自体の中に他のイメージ形式をもたせることも可能である。例えば、JPEG画像をTIFFファイル内にカプセル化してもよい。TIFF一致解析装置によって異なるイメージ形式が検出された場合、そのイメージに関連するデータが別の一致解析装置、この例では、JPEG一致解析装置に送られる。次いで、JPEG一致解析装置は、そのデータを構文解析し分析して、データが予期されるJPEGフォーマットに一致するか否かを調べる。一致している場合、そのデータをJPEGフォーマットで再生する。再生されたデータは、次に、再生されたTIFFファイル内に再編成される。上記TIFFファイルは、その後、更に再生電子メールを再編成するために使用される。次に、この電子メールは電子メールサーバに渡される。
本実施形態における別の利用可能な選択肢は、AVアプリケーションが、電子メールの不一致箇所に代えて、警告テキストを挿入することである。すなわち、電子メールの再生時に、一致解析装置が不一致箇所のデータを構文解析して、その箇所の一部が所定の許可可能なフォーマットに一致しないと判定された場合、一致解析装置は、不一致部分の代わりに、警告テキストを挿入して、その電子メールの一部がAVアプリケーションによって拒絶されたことを相手の電子メール受信者に知らせる。或いは、不一致のために一致解析装置が電子メールの一部分全体をブロックする場合、AVアプリケーションは、警告テキストを電子メール内に挿入して、電子メールの一部分がブロックされたことを相手の受信者に知らせる。すなわち、電子メールの一部分が、再生されなかったこと、更に好ましくは消去されたことを相手の受信者に知らせる。
第3実施形態
次に、本発明の第3実施形態を、図5を参照して説明する。
この第3実施形態は、第2実施形態の全ての特徴が組み込まれ、第2実施形態と関連して述べた選択肢(オプション)のいずれをも含むものである。
図5は、本第3実施形態によるプロセスのフローチャートを示す。
本実施形態は、AVアプリケーションが電子メールの一部、部分または全体(本実施形態では「不一致部分」という)をブロックする状況に関する。ステップS501において、部分が不一致であるか否かについて、したがって、部分がブロックされるべきか否かについて、AVアプリケーションが判定を行う。AVアプリケーションによってブロックされた場合、その不一致部分は脅威フィルタアプリケーションに送られて、ステップS503に示すように、その不一致部分が脅威であるか否かを確認する。
脅威フィルタアプリケーションは、システムユーザの選択に基づいて、その不一致部分が真の脅威と見なされるか否かを判定する。上記システムは、そのメモリ内に、脅威と考えられないファイル形式のリストと、これらファイル形式に付随したソースとを格納している。したがって、システムは、ファイルの送信者とファイル形式に基づいて、そのファイルが通過許可されるか否かを判定することができる。
ステップS503での判定において、ファイル形式が、関連するソースから、許可可能としてリストアップされたものの一つではないと判定された場合、そのファイルはステップS505でブロックされる。
ファイル形式が許可可能と見なされた場合、ステップS507において、不一致部分はAVアプリケーションを迂回する。AVアプリケーションは、ステップS509において、受信ファイルの残りを再生する。そして、AVアプリケーションは、ステップS511において、ファイルの再生された一致部分と迂回した不一致部分とを再編成する。
例えば、バンキングシステムが多数の電子メールを既知の送信者から受信し、その多数の電子メールが複雑なマクロを組み込んだスプレッドシートを含んでいる場合、これらのマクロが、スプレッドシートの添付ファイル内のマクロ用所定許可フォーマットに収まらないことがある。その場合、マクロ一致解析装置は電子メールのこの部分をブロックすることになる。
しかしながら、誰がその電子メールを送っているかをバンキングシステムが判定でき、また、送信者が、バンキングシステムの信頼できる相手として、これらのファイル形式のデータベース内に入力されているときは、電子メールの中のスプレッドシートは脅威とは見なされない。したがって、システムユーザは上記脅威フィルタアプリケーションをセットアップして、これら不一致マクロ部分が、AVアプリケーションを迂回し、且つ、電子メールの再生された部分と共に再編成された電子メールとすることができる。
これに代替わる方法として、脅威フィルタアプリケーションは或るモードで動作させることができる。これによって、AVアプリケーションから受け取った再生ファイルが、送信先のシステムに連通することを許可されるべきか否かを判定する。不一致部分自体は即座にファイル全体が拒絶される程にはAVアプリケーションに対して不一致ではないが、結果的にはオリジナルのファイルと実質的に異なる再生一致ファイルとなる、そのような不一致部分を含むファイルをAVアプリケーションが受け取った場合、再生ファイルは脅威フィルタアプリケーションに送られる。例えば、オリジナルのファイルサイズは、AVアプリケーションによって再生されないマクロ内の膨大な数の書直し言語に起因して、再生された一致ファイルのサイズよりもかなり大きなものになり得る。
脅威フィルタアプリケーションは、ファイル形式がそのファイルに対して承認されたソースから送られているか否かを判定する。送られている場合は、脅威フィルタアプリケーションは、そのファイル形式がシステムを通過することを許可する。
他の実施形態
本発明の実施形態は、単なる例証としてここに記載されているに過ぎないこと、また、本発明の範囲から逸脱することなく種々の変更および変形がなし得ることが理解される。
本発明は、電子ファイルをソースから送信先に移す如何なるシステムにおいても、実施し得ることが理解される。本発明の目的とする電子ファイル送信方法は、特定の方法に限定されるものではない。すなわち、例えば、一つのコンピュータシステムのハードウェア内の1つの構成要素から他の構成要素に、電子ファイルを転送してもよい。或いは、例えば、基地局から空中インタフェースを介して移動電話装置に、電子ファイルを転送してもよい。また、例えば、ローカルエリアネットワーク(LAN)や広域ネットワーク(WAN)を介して、或いはインターネットを経由して、電子ファイルを伝送してもよい。
更に、上述した実施形態の更なる選択肢として、ユーザのためにオーバーライド装置を備えて、電子ファイル受領時に、ユーザが、AVアプリケーションまたは脅威フィルタアプリケーションによってなされた判定を手動でオーバーライド(処置)することが考えられる。すなわち、不一致に起因してAVアプリケーション内の一致解析装置が電子メールの一部または部分または全体をブロックするときであっても、電子メールの不一致なものの再生、再編成を許可する選択肢がユーザに与えられる。
この選択肢の実施の一例は、相手の受信者にテキスト警告書を提供して、不一致と解析された電子メールは、所定の許可フォーマットに一致するものと同様にシステム通過を許可すべきであるか否かを受信者に尋ねることである。この警告に対する応答により、可能であれば、電子メールを再生し、再編成する命令が一致解析装置に与えられる。或いはそれに代わって、オリジナルの電子メールは、AVアプリケーションおよび脅威フィルタアプリケーションの両方を迂回することが許可されて、再生されることなくシステムを通過する。
更に、第2実施形態で説明したAVアプリケーションは、ISP電子メールサーバ以外の場所に設置し得ることが考えられる。例えば、AVアプリケーションは、受信者の電子メールクライアントサーバに配置し設置してもよい。こうして、電子メールクライアントサーバによってハードディスクドライブ上の受信者受信ボックスに送られた電子メールが、上述した再生電子メールとなる。
更に、AVアプリケーションは、限定的なものではないが、シリコン、ガリウム砒素(GaAs)、リン化インジウム(InP)などの半導体素子において、ハードワイヤ接続してもよいことが考えられる。すなわち、AVアプリケーションは定量化可能なタスクを有している。この定量化可能なタスクは、所定の一致フォーマットを形成するプロセスに対して更新する必要がない。構文解析、分析、再生および再編成を含むAVアプリケーションのタスクを実行するのに必要な命令は、任意の適切な半導体装置において、実現可能である。また、AVアプリケーションを実行するのに必要な命令は、半固定メモリ素子や固定メモリ素子に格納しておくことが可能である。そのとき、上記メモリ素子は、接続されたプロセッサと協働して作動し、AVアプリケーションを実行する。これらの場合、本発明を、保護すべきコンピュータとは分離して、別個の装置として提供することが可能となる。上記別個の装置(例えば、モデムカード、ネットワークアダプタカード、またはディスクドライブコントローラなどのカード)には、保護すべきコンピュータとは別のプロセッサやメモリハードウェアが含まれる。そうすることによって、到来する電子ファイルを保護すべきコンピュータのファイルシステムその他のリソースから完全に隔離し、通常書込みや更新のできない場所に上記電子ファイルを保存して、それによりAVアプリケーション自体に対する“トラップドア”攻撃を回避するという利点が得られる。すなわち、一定レベルの物理的セキュリティが得られるという利点がある。上記半導体装置はプロセッサとメモリ素子とから成り、上記プロセッサはメモリ素子からのAVアプリケーションを実行させ、到来ファイルを隔離するために、上記ファイルをメモリ素子に保存する。
更に、上記半導体装置は、従来法を用いる適当なネットワークカードの一部として設けることが考えられる。このようにして、ネットワークカードは、上記方法を用いて受信電子ファイルを再生することによって、ネットワークを不適切なコードおよびデータから確実に保護する手段として、通信ネットワーク内で用いることができる。
更に、上記第1実施形態で説明した電子ファイルは、コンピュータ装置によって受け取られ、着脱可能なメモリ素子に保存することが考えられる。例えば、電子ファイルは、直接またはワイヤレスの媒体を介して、コンピュータ装置に接続されたUSBディスク装置、スマートカード、セキュアデジタル(SD)メモリ装置、マルチメディアカード(MMC)メモリ装置、コンパクトフラッシュ(CF)カード1型または2型、スマートメディア(SM)カード、XDカード、フロッピーディスク、ZIPドライブ、ポータブルハードドライブ、その他の適切なメモリ装置に保存することができる。
更に、本出願で説明されるオペレーティングシステムは、ファイルを使用するあらゆるシステムであり得ると考えられる。例えば、埋込み型システム、ルータ、ネットワークカード等である。
更に、他のスクランブル方法を用いて、確実に、受信された実行可能ファイルが自動的には実行され得ないことが考えられる。例えば、スクランブル方法は、バイトスワップ法を用いて、受信バイトの各ペアを格納する。この例では、ABCDEFの6バイトがAVアプリケーションによって受信された場合であって、バイトAが最初にバイトFが最後に受信された場合には、上記ABCDEFはBADCFEの順でメモリに格納される。最初のバイトAは2番目のメモリ位置に格納され、2番目のバイトBは最初のメモリ位置に格納される。この反転は、後続のメモリ位置における受信バイトの各ペアに対しても、生じる。このようにして、如何なる実行可能なコードも自動的に動作することができないので、如何なる感染電子ファイルも、AVアプリケーションや送信先のオペレーティングシステムに感染することができない。
誤解を避けるために述べておくと、本明細書によって、上述の新規実施形態のいずれか或いは全てに対して、単独で或いは組み合わせで、保護が求められている。
本発明の様々な局面および実施形態およびそれらの変形例について説明したので、本発明が、その原理から逸脱することなく、構成や詳細において変更され得ることを当業者は認識する。我々は、全ての実施形態および請求項の精神と範囲に含まれる変更や変形について権利を主張する。
本発明の一実施形態による電子ファイルシステムのブロックダイアグラムを示す。 本発明の実施形態での使用に適したコンピュータシステムを示す。 本発明の一実施形態によるプロセスのフローチャートを示す。 本発明の第2実施形態による電子メールシステムのブロックダイアグラムを示す。 本発明の第2実施形態によるプロセスのフローチャートを示す。 電子メールを形成する異なる部分のレイアウト例を示す。 本発明の第3実施形態によるプロセスのフローチャートを示す。

Claims (20)

  1. 一連の規則に対応する所定のファイル形式のコンテンツデータを含む到来電子ファイルを受信する方法において、
    所定のファイル形式にしたがって符号化され配列されたコンテンツデータを含む上記到来電子ファイルを受信することと、
    上記受信した電子ファイルの表明されている所定のファイル形式と許可可能なコンテンツデータの値または範囲値を指定する関連する一連の規則とを判定することと、
    上記判定された表明されている所定のファイル形式に対応する上記一連の規則内において上記コンテンツデータのいずれかが指定された上記値または範囲値と一致するかを判定することと、
    上記コンテンツデータのいずれかが一致する場合、上記一致するコンテンツデータを再生して、上記表明されているファイル形式において代替の再生された電子ファイルを生成することと
    を備え、
    上記代替の再生された電子ファイルは上記再生されたコンテンツデータを含んでいることを特徴とする方法。
  2. 請求項1に記載の方法において、
    上記一連の規則は、受け入れ可能なデータの既知例に基づいた値または範囲値を指定することを特徴とする方法。
  3. 請求項2に記載の方法において、
    上記一連の規則は、許可可能な制御文字を指定することを特徴とする方法。
  4. 請求項2に記載の方法において、
    上記一連の規則は、所定のサイズ限界を指定することを特徴とする方法。
  5. 請求項4に記載の方法において、
    上記所定のサイズ限界は、イメージファイル内のラインのサイズであることを特徴とする方法。
  6. 請求項1に記載の方法において、
    データの各バイトは、ビットの順序が反転して格納されていることを特徴とする方法。
  7. 請求項1に記載の方法において、
    上記データは、受信された各対のデータバイトが反転メモリ順に配置されるように、格納されることを特徴とする方法。
  8. 請求項1に記載の方法において、
    上記電子ファイル内からのコンテンツデータが全て一致すると判定される場合に限り、上記代替の再生された電子ファイルを転送することを更に備えていることを特徴とする方法。
  9. 請求項1に記載の方法において、
    上記電子ファイルの送信者に関連した上記到来電子ファイルの相手の受信者が上記所定のファイル形式を事前承認しているときに限って、上記コンテンツデータの一部、部分または全体が不一致な場合、上記電子ファイルを送ることを更に備えていることを特徴とする方法。
  10. 請求項1に記載の方法において、
    上記コンテンツデータの一部、部分または全体が不一致な場合、上記電子ファイルを送ることを更に備え、上記到来電子ファイルの相手の受信者が上記電子ファイルの上記所定のデータフォーマットおよび送信者を事前承認していなく、唯一、受信時に上記相手の受信者は上記電子ファイルを承認することを特徴とする方法。
  11. 請求項1に記載の方法において、
    一致しないコンテンツデータを警告テキストに置換することを更に備えていることを特徴とする方法。
  12. 請求項1に記載の方法において、
    上記到来電子ファイルは電子メールであって、上記コンテンツデータが一致すると判定される場合、上記再生された電子メールを相手の受信者に送ることを更に備えていることを特徴とする方法。
  13. 請求項12に記載の方法において、
    上記代替の再生された電子メールは、電子メールクライアントからハードディスクドライブに送られることを特徴とする方法。
  14. 請求項12に記載の方法において、
    上記代替の再生された電子メールは、インターネットサーバプロバイダのサーバから電子メールクライアントサーバに送られることを特徴とする方法。
  15. 請求項1に記載の方法において、
    着脱可能なメモリ装置からの上記到来電子ファイルを受信することと、上記代替の再生された電子ファイルをコンピュータ装置に送ることとを更に備えていることを特徴とする方法。
  16. 請求項1〜15のいずれかに記載の方法を実行するようにしたコンピュータプログラムを記録したコンピュータ読取り可能な記録媒体。
  17. 請求項1〜15のいずれかに記載の方法を実行するための命令を含むメモリ手段を備えていることを特徴とする半導体装置。
  18. 請求項17に記載の半導体装置において、
    上記半導体装置は、半固定メモリ装置または固定メモリ装置であることを特徴とする導体装置。
  19. 請求項17または18に記載の半導体装置を備えていることを特徴とするネットワークカード。
  20. 所定のデータファイル形式にしたがって符号化され配列されたコンテンツデータを含む到来電子ファイルを受信するための手段と、
    上記受信した電子ファイルの表明されている所定のデータファイル形式と許可可能なコンテンツデータの値または範囲値を指定する関連する一連の規則とを判定するための第1の判定手段と、
    上記判定された表明されている所定のデータフォーマットに対応する上記一連の規則において上記コンテンツデータのいずれかが指定された上記値または範囲値と一致するかを判定するための第2の判定手段と、
    上記第2の判定手段によるいくつかの一致するコンテンツデータの肯定的な判定に応答して、上記表明された所定のデータファイル形式において代替の再生された電子ファイルを生成するために上記一致するコンテンツデータを再生することができる手段と
    を備え、
    上記代替の再生された電子ファイルは上記再生されたコンテンツデータを含んでいることを特徴とするコンピュータシステム。
JP2008515291A 2005-06-09 2006-06-09 不適切なコードおよびデータの拡散防止 Active JP5035918B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB0511749A GB2427048A (en) 2005-06-09 2005-06-09 Detection of unwanted code or data in electronic mail
GB0511749.4 2005-06-09
PCT/GB2006/002107 WO2006131744A1 (en) 2005-06-09 2006-06-09 Resisting the spread of unwanted code and data

Publications (2)

Publication Number Publication Date
JP2008546111A JP2008546111A (ja) 2008-12-18
JP5035918B2 true JP5035918B2 (ja) 2012-09-26

Family

ID=34855273

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008515291A Active JP5035918B2 (ja) 2005-06-09 2006-06-09 不適切なコードおよびデータの拡散防止

Country Status (16)

Country Link
US (8) US8185954B2 (ja)
EP (1) EP1891571B1 (ja)
JP (1) JP5035918B2 (ja)
CN (1) CN101194264B (ja)
AU (1) AU2006256525B2 (ja)
CA (1) CA2611227C (ja)
CY (1) CY1115334T1 (ja)
DK (1) DK1891571T3 (ja)
ES (1) ES2428040T3 (ja)
GB (1) GB2427048A (ja)
MY (1) MY149919A (ja)
PL (1) PL1891571T3 (ja)
PT (1) PT1891571E (ja)
SI (1) SI1891571T1 (ja)
TW (1) TWI387299B (ja)
WO (1) WO2006131744A1 (ja)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050081057A1 (en) * 2003-10-10 2005-04-14 Oded Cohen Method and system for preventing exploiting an email message
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US20070220187A1 (en) * 2006-03-20 2007-09-20 Lawrence Kates Virus-resistant computer with data interface for filtering data
GB0607594D0 (en) * 2006-04-13 2006-05-24 Qinetiq Ltd Computer security
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8024800B2 (en) * 2006-09-25 2011-09-20 International Business Machines Corporation File attachment processing method and system
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US8655959B2 (en) * 2008-01-03 2014-02-18 Mcafee, Inc. System, method, and computer program product for providing a rating of an electronic message
US8060490B2 (en) 2008-11-25 2011-11-15 Microsoft Corporation Analyzer engine
GB2466455A (en) 2008-12-19 2010-06-23 Qinetiq Ltd Protection of computer systems
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US9742778B2 (en) 2009-09-09 2017-08-22 International Business Machines Corporation Differential security policies in email systems
US8380797B2 (en) * 2009-11-09 2013-02-19 General Electric Company Business data exchange layer
FR2965997B1 (fr) * 2010-10-07 2013-06-28 Electricite De France Procede et dispositif de transfert securise de donnees
EP2710507B1 (en) 2011-05-20 2019-10-16 BAE Systems PLC Supervised data transfer
US8695096B1 (en) * 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9858415B2 (en) * 2011-06-16 2018-01-02 Microsoft Technology Licensing, Llc Cloud malware false positive recovery
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US9167675B2 (en) * 2012-06-22 2015-10-20 Sergio Alejandro Ortiz-Gavin High frequency programmable pulse generator lighting apparatus, systems and methods
US9047293B2 (en) * 2012-07-25 2015-06-02 Aviv Grafi Computer file format conversion for neutralization of attacks
US9456229B2 (en) * 2012-07-26 2016-09-27 International Business Machines Corporation Parsing single source content for multi-channel publishing
CN103544437A (zh) * 2012-12-27 2014-01-29 哈尔滨安天科技股份有限公司 一种基于扩展名和文件格式一致性的安全判别方法和装置
US8813242B1 (en) * 2013-02-25 2014-08-19 Mobile Iron, Inc. Auto-insertion of information classification
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
US9332025B1 (en) * 2013-12-23 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious files
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US9769195B1 (en) * 2015-04-16 2017-09-19 Symantec Corporation Systems and methods for efficiently allocating resources for behavioral analysis
US9553885B2 (en) * 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US20170353475A1 (en) * 2016-06-06 2017-12-07 Glasswall (Ip) Limited Threat intelligence cloud
US9858424B1 (en) 2017-01-05 2018-01-02 Votiro Cybersec Ltd. System and method for protecting systems from active content
US10013557B1 (en) 2017-01-05 2018-07-03 Votiro Cybersec Ltd. System and method for disarming malicious code
US10331890B2 (en) 2017-03-20 2019-06-25 Votiro Cybersec Ltd. Disarming malware in protected content
US10331889B2 (en) 2017-01-05 2019-06-25 Votiro Cybersec Ltd. Providing a fastlane for disarming malicious content in received input content
TWI650670B (zh) * 2017-09-08 2019-02-11 中華電信股份有限公司 閘道裝置、非暫態電腦可讀取媒體及其惡意文件檔案之淨化方法
EP3675433A4 (en) 2017-09-14 2020-09-30 Mitsubishi Electric Corporation ELECTRONIC MAIL INSPECTION DEVICE, METHOD AND PROGRAM
CN111008378B (zh) * 2019-11-29 2023-08-01 四川效率源信息安全技术股份有限公司 一种清洗硬盘固件区恶意代码的方法
CN111131180B (zh) * 2019-12-05 2022-04-22 成都西维数码科技有限公司 一种大规模云环境中分布式部署的http协议post拦截方法
WO2022162379A1 (en) 2021-01-29 2022-08-04 Glasswall (Ip) Limited Machine learning methods and systems for determining file risk using content disarm and reconstruction analysis
US11349732B1 (en) * 2021-04-22 2022-05-31 Hewlett Packard Enterprise Development Lp Detection of anomalies in a network

Family Cites Families (96)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5050212A (en) 1990-06-20 1991-09-17 Apple Computer, Inc. Method and apparatus for verifying the integrity of a file stored separately from a computer
US5649095A (en) * 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
US5655130A (en) * 1994-10-14 1997-08-05 Unisys Corporation Method and apparatus for document production using a common document database
US5745897A (en) * 1994-11-21 1998-04-28 Bay Networks Group, Inc. Method and system for compiling management information base specifications
NL1000669C2 (nl) 1995-06-26 1996-12-31 Nederland Ptt Werkwijze en inrichtingen voor het overdragen van data met controle op transmissiefouten.
US6493761B1 (en) * 1995-12-20 2002-12-10 Nb Networks Systems and methods for data processing using a protocol parsing engine
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US8225408B2 (en) 1997-11-06 2012-07-17 Finjan, Inc. Method and system for adaptive rule-based content scanners
US6807632B1 (en) 1999-01-21 2004-10-19 Emc Corporation Content addressable information encapsulation, representation, and transfer
JPH11224190A (ja) * 1998-02-09 1999-08-17 Yaskawa Electric Corp コンピュータネットワーク網に接続した計算機の保護方法及びそのプログラムを記録した記録媒体
US6401210B1 (en) * 1998-09-23 2002-06-04 Intel Corporation Method of managing computer virus infected files
US6336124B1 (en) * 1998-10-01 2002-01-01 Bcl Computers, Inc. Conversion data representing a document to other formats for manipulation and display
US6519702B1 (en) 1999-01-22 2003-02-11 Sun Microsystems, Inc. Method and apparatus for limiting security attacks via data copied into computer memory
US7391865B2 (en) 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
AU7753300A (en) * 1999-10-04 2001-05-10 Kana Communications, Inc. Method and apparatus for interprocess messaging and its use for automatically generating transactional email
US6697950B1 (en) * 1999-12-22 2004-02-24 Networks Associates Technology, Inc. Method and apparatus for detecting a macro computer virus using static analysis
US7225181B2 (en) * 2000-02-04 2007-05-29 Fujitsu Limited Document searching apparatus, method thereof, and record medium thereof
EP1122932B1 (en) 2000-02-04 2006-08-09 Aladdin Knowledge Systems Ltd. Protection of computer networks against malicious content
US8959582B2 (en) * 2000-03-09 2015-02-17 Pkware, Inc. System and method for manipulating and managing computer archive files
US7093135B1 (en) * 2000-05-11 2006-08-15 Cybersoft, Inc. Software virus detection methods and apparatus
GB2357939B (en) * 2000-07-05 2002-05-15 Gfi Fax & Voice Ltd Electronic mail message anti-virus system and method
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US7636945B2 (en) 2000-07-14 2009-12-22 Computer Associates Think, Inc. Detection of polymorphic script language viruses by data driven lexical analysis
US6895011B1 (en) 2000-08-15 2005-05-17 Lucent Technologies Inc. Method and apparatus for re-sequencing data packets
GB2366706B (en) 2000-08-31 2004-11-03 Content Technologies Ltd Monitoring electronic mail messages digests
JP4415232B2 (ja) * 2000-10-12 2010-02-17 ソニー株式会社 情報処理装置および方法、並びにプログラム記録媒体
US9311499B2 (en) * 2000-11-13 2016-04-12 Ron M. Redlich Data security system and with territorial, geographic and triggering event protocol
US7669051B2 (en) 2000-11-13 2010-02-23 DigitalDoors, Inc. Data security system and method with multiple independent levels of security
US7322047B2 (en) 2000-11-13 2008-01-22 Digital Doors, Inc. Data security system and method associated with data mining
GB2371125A (en) * 2001-01-13 2002-07-17 Secr Defence Computer protection system
JP2002259187A (ja) * 2001-03-01 2002-09-13 Nec Corp 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム
AU2002256018A1 (en) 2001-03-29 2002-10-15 Accenture Llp Overall risk in a system
US6895534B2 (en) * 2001-04-23 2005-05-17 Hewlett-Packard Development Company, L.P. Systems and methods for providing automated diagnostic services for a cluster computer system
US7058858B2 (en) * 2001-04-23 2006-06-06 Hewlett-Packard Development Company, L.P. Systems and methods for providing automated diagnostic services for a cluster computer system
US8095597B2 (en) * 2001-05-01 2012-01-10 Aol Inc. Method and system of automating data capture from electronic correspondence
US7502829B2 (en) 2001-06-21 2009-03-10 Cybersoft, Inc. Apparatus, methods and articles of manufacture for intercepting, examining and controlling code, data and files and their transfer
CA2454219C (en) * 2001-07-12 2010-11-30 Research In Motion Limited System and method for providing remote data access for a mobile communication device
US7526572B2 (en) * 2001-07-12 2009-04-28 Research In Motion Limited System and method for providing remote data access for a mobile communication device
US7487544B2 (en) * 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US6947947B2 (en) 2001-08-17 2005-09-20 Universal Business Matrix Llc Method for adding metadata to data
US7640361B1 (en) * 2001-08-24 2009-12-29 Mcafee, Inc. Systems and methods for converting infected electronic files to a safe format
US20040008368A1 (en) * 2001-09-07 2004-01-15 Plunkett Michael K Mailing online operation flow
US20030079142A1 (en) 2001-10-22 2003-04-24 Aladdin Knowledge Systems Ltd. Classifying digital object security category
US20030079158A1 (en) 2001-10-23 2003-04-24 Tower James Brian Secured digital systems and a method and software for operating the same
US7363506B2 (en) * 2002-01-30 2008-04-22 Cybersoft, Inc. Software virus detection methods, apparatus and articles of manufacture
US6922827B2 (en) * 2002-02-22 2005-07-26 Bea Systems, Inc. Iterative software development environment with prioritized build rules
US20030163732A1 (en) * 2002-02-28 2003-08-28 Parry Travis J. Device-specific firewall
US7171691B2 (en) 2002-04-10 2007-01-30 International Business Machines Corporation Content sanitation via transcoding
US20030229810A1 (en) 2002-06-05 2003-12-11 Bango Joseph J. Optical antivirus firewall for internet, LAN, and WAN computer applications
US7240279B1 (en) * 2002-06-19 2007-07-03 Microsoft Corporation XML patterns language
US20030236921A1 (en) * 2002-06-19 2003-12-25 Pitney Bowes Incorporated Method and system for creation and use of webs of linked documents
DE10235819B4 (de) * 2002-08-05 2005-12-01 Utz Schneider Verfahren und Anordnung zum Blockieren von an einen Benutzer gesendeten Daten und/oder Informationen und/oder Signalen elektronischer Medien sowie deren Verwendung
GB2391965B (en) * 2002-08-14 2005-11-30 Messagelabs Ltd Method of, and system for, heuristically detecting viruses in executable code
US8335779B2 (en) * 2002-08-16 2012-12-18 Gamroe Applications, Llc Method and apparatus for gathering, categorizing and parameterizing data
US7644361B2 (en) * 2002-12-23 2010-01-05 Canon Kabushiki Kaisha Method of using recommendations to visually create new views of data across heterogeneous sources
US8533840B2 (en) 2003-03-25 2013-09-10 DigitalDoors, Inc. Method and system of quantifying risk
US20050071477A1 (en) * 2003-03-27 2005-03-31 Microsoft Corporation Providing information links via a network
US7269733B1 (en) * 2003-04-10 2007-09-11 Cisco Technology, Inc. Reliable embedded file content addressing
GB2400933B (en) 2003-04-25 2006-11-22 Messagelabs Ltd A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered
US7424671B2 (en) * 2003-05-16 2008-09-09 Justsystems Canada Inc. Methods and systems for enabling collaborative authoring of hierarchical documents
US20040240472A1 (en) 2003-05-28 2004-12-02 Alok Kumar Method and system for maintenance of packet order using caching
EP1652033A1 (en) 2003-07-08 2006-05-03 Seventh Knight Automatic regeneration of computer files description
US20050081057A1 (en) 2003-10-10 2005-04-14 Oded Cohen Method and system for preventing exploiting an email message
US7590807B2 (en) * 2003-11-03 2009-09-15 Netapp, Inc. System and method for record retention date in a write once read many storage system
WO2005047862A2 (en) * 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
US7328456B1 (en) * 2003-11-19 2008-02-05 Symantec Corporation Method and system to detect dangerous file name extensions
US7467409B2 (en) * 2003-12-12 2008-12-16 Microsoft Corporation Aggregating trust services for file transfer clients
US7475427B2 (en) * 2003-12-12 2009-01-06 International Business Machines Corporation Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network
EP1549012A1 (en) * 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network
US20050149720A1 (en) 2004-01-07 2005-07-07 Shimon Gruper Method for speeding up the pass time of an executable through a checkpoint
US7721334B2 (en) * 2004-01-30 2010-05-18 Microsoft Corporation Detection of code-free files
US7512658B2 (en) * 2004-02-26 2009-03-31 International Business Machines Corporation Providing a portion of an electronic mail message based upon a transfer rate, a message size, and a file format
US7607172B2 (en) 2004-03-02 2009-10-20 International Business Machines Corporation Method of protecting a computing system from harmful active content in documents
US7451394B2 (en) * 2004-04-30 2008-11-11 Convergys Cmg Utah System and method for document and data validation
US7444521B2 (en) 2004-07-16 2008-10-28 Red Hat, Inc. System and method for detecting computer virus
GB0418066D0 (en) * 2004-08-13 2004-09-15 Ibm A prioritization system
US20060044605A1 (en) 2004-08-24 2006-03-02 Schneider Charles R Systems, methods and computer program products for labeled forms processing
EP1828902A4 (en) 2004-10-26 2009-07-01 Rudra Technologies Pte Ltd SYSTEM AND METHOD FOR IDENTIFYING AND REMOVING MALWARE ON A COMPUTER SYSTEM
US10043008B2 (en) 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US7636856B2 (en) 2004-12-06 2009-12-22 Microsoft Corporation Proactive computer malware protection through dynamic translation
EP1684151A1 (en) * 2005-01-20 2006-07-26 Grant Rothwell William Computer protection against malware affection
US8037534B2 (en) 2005-02-28 2011-10-11 Smith Joseph B Strategies for ensuring that executable content conforms to predetermined patterns of behavior (“inverse virus checking”)
US7490352B2 (en) * 2005-04-07 2009-02-10 Microsoft Corporation Systems and methods for verifying trust of executable files
EP1877904B1 (en) 2005-05-05 2015-12-30 Cisco IronPort Systems LLC Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources
US20060272006A1 (en) * 2005-05-27 2006-11-30 Shaohong Wei Systems and methods for processing electronic data
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US20070056035A1 (en) 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
US7756834B2 (en) 2005-11-03 2010-07-13 I365 Inc. Malware and spyware attack recovery system and method
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US8468244B2 (en) 2007-01-05 2013-06-18 Digital Doors, Inc. Digital information infrastructure and method for security designated data and with granular data stores
GB2466455A (en) * 2008-12-19 2010-06-23 Qinetiq Ltd Protection of computer systems
US8683584B1 (en) 2009-04-25 2014-03-25 Dasient, Inc. Risk assessment
US20130006701A1 (en) 2011-07-01 2013-01-03 International Business Machines Corporation Assessing and managing risks of service related changes based on dynamic context information
US9674211B2 (en) 2013-01-30 2017-06-06 Skyhigh Networks, Inc. Cloud service usage risk assessment using darknet intelligence

Also Published As

Publication number Publication date
AU2006256525A1 (en) 2006-12-14
JP2008546111A (ja) 2008-12-18
TW200711440A (en) 2007-03-16
US20120278894A1 (en) 2012-11-01
US11799881B2 (en) 2023-10-24
US20190373003A1 (en) 2019-12-05
ES2428040T3 (es) 2013-11-05
GB0511749D0 (en) 2005-07-20
US8869283B2 (en) 2014-10-21
SI1891571T1 (sl) 2013-11-29
US20160337381A1 (en) 2016-11-17
CY1115334T1 (el) 2017-01-04
EP1891571B1 (en) 2013-09-04
US20190173895A1 (en) 2019-06-06
AU2006256525B2 (en) 2012-08-23
DK1891571T3 (da) 2013-10-28
GB2427048A (en) 2006-12-13
US9516045B2 (en) 2016-12-06
US10462163B2 (en) 2019-10-29
US10462164B2 (en) 2019-10-29
US20150033345A1 (en) 2015-01-29
WO2006131744A1 (en) 2006-12-14
PT1891571E (pt) 2013-10-28
CN101194264A (zh) 2008-06-04
PL1891571T3 (pl) 2013-12-31
EP1891571A1 (en) 2008-02-27
TWI387299B (zh) 2013-02-21
MY149919A (en) 2013-10-31
CA2611227C (en) 2015-12-22
CA2611227A1 (en) 2006-12-14
US20190158518A1 (en) 2019-05-23
CN101194264B (zh) 2012-04-04
US20090138972A1 (en) 2009-05-28
US8185954B2 (en) 2012-05-22
US11218495B2 (en) 2022-01-04
US20220124109A1 (en) 2022-04-21
US10419456B2 (en) 2019-09-17

Similar Documents

Publication Publication Date Title
JP5035918B2 (ja) 不適切なコードおよびデータの拡散防止
JP5628455B2 (ja) 不適切なコードおよびデータの拡散防止における改善
AU2012258355B2 (en) Resisting the Spread of Unwanted Code and Data

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110913

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20111208

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20111215

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120313

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120410

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120605

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120628

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5035918

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150713

Year of fee payment: 3

R154 Certificate of patent or utility model (reissue)

Free format text: JAPANESE INTERMEDIATE CODE: R154

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250