JP5599884B2 - 評価システムでのクライアント装置の信頼度メトリクスの使用 - Google Patents

評価システムでのクライアント装置の信頼度メトリクスの使用 Download PDF

Info

Publication number
JP5599884B2
JP5599884B2 JP2012524786A JP2012524786A JP5599884B2 JP 5599884 B2 JP5599884 B2 JP 5599884B2 JP 2012524786 A JP2012524786 A JP 2012524786A JP 2012524786 A JP2012524786 A JP 2012524786A JP 5599884 B2 JP5599884 B2 JP 5599884B2
Authority
JP
Japan
Prior art keywords
client
report
evaluation
identifying
clients
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012524786A
Other languages
English (en)
Other versions
JP2013502009A5 (ja
JP2013502009A (ja
Inventor
ズルフィカール・ラムザン
ウォルター・ボゴラード
アミート・ザヴェリ
バディム・アントノーフ
キャリー・エス・ナッチェンバーグ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Gen Digital Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2013502009A publication Critical patent/JP2013502009A/ja
Publication of JP2013502009A5 publication Critical patent/JP2013502009A5/ja
Application granted granted Critical
Publication of JP5599884B2 publication Critical patent/JP5599884B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、一般的にはコンピュータセキュリティに関し、特に、悪意のあるオブジェクトを検出するための評価システムを操作しようとする試みを検出することに関する。
悪意のある多種多様なソフトウェア(マルウェア)が、現代のコンピュータを攻撃する可能性がある。マルウェアの脅威としては、コンピュータウィルス、ワーム、トロイの木馬プログラム、スパイウェア、アドウェア、クライムウェア、およびフィッシングウェブサイトが挙げられる。悪意のあるエンティティは、悪意のあるエンティティそれ自体に有利なように使用できるように、慎重な扱いを要するデータまたは機密データを記憶したサーバを攻撃することがある。同様に、家庭のコンピュータを含め、他のコンピュータは、ユーザが電子メールを介して他のコンピュータと通信する場合、ユーザが新しいプログラムまたはプログラム更新をダウンロードする場合、および他の多くの状況において、送信され得る悪意のあるソフトウェアから常に保護されていなければならない。コンピュータへの攻撃に関して、悪意のあるエンティティが利用できる異なる選択肢および方法は、非常に多い。
署名文字列走査等の、マルウェアを検出する従来の技法は、あまり効率的ではなくなりつつある。現代のマルウェアが標的とし、送信される先は、多くの場合、比較的少数のコンピュータのみである。例えば、トロイの木馬プログラムは、特定の企業の特定の部署のコンピュータを標的とするように設計し得る。セキュリティ解析者がそのようなマルウェアに直面することは決してあり得ないため、セキュリティソフトウェアに、そのようなマルウェアを検出する署名が構成されることは決してあり得ない。そして、大量に配布されるマルウェアは、マルウェアのいずれのインスタンスをも一意にするポリモフィズムを含み得る。その結果、マルウェアのすべてのインスタンスを確実に検出する署名文字列を確立することが難しい。
マルウェアを検出するより新しい技法は、評価システムの使用を含む。評価システムは、オブジェクトがマルウェアである確率を査定するために、コンピュータが直面したファイルまたは他のオブジェクトの評価を決定することができる。オブジェクトに対する評価を確立する一方法は、オブジェクトが見つかった、ネットワーク接続されたコンピュータからリポートを収集し、リポート内の情報に基づいて評価することである。
しかし、そのような評価システムは、本質的に未知の相手からのリポートに頼るため、悪意のある行動をする者による転覆を受けやすい。例えば、マルウェアを配信するエンティティは、マルウェアが正当なものであることを示す偽のリポートをサブミットすることにより、評価システムを「不正操作(game)」しようとし得る。したがって、動作を転覆させるそのような試みに耐えることができる評価システムが必要である。
上記および他の必要性は、評価システム内でオブジェクトの評価を決定する方法、コンピュータ可読媒体、およびコンピュータシステムにより満たされる。方法の実施形態は、クライアントから、クライアントにおいて検出されたオブジェクトを識別するリポートを受信することを含む。この方法は、リポートからクライアントについての情報を特定することをさらに含む。さらに、この方法は、クライアントについての特定された情報に応答して、クライアントの信頼度メトリクスを生成することを含み、信頼度メトリクスは、クライアントから受信するリポートの信憑性に対する信頼量を示す。この方法は、クライアントからのリポートおよびクライアントの信頼度メトリクスに少なくとも部分的に基づいて、オブジェクトの評価スコアを計算すること、およびオブジェクトの評価スコアを記憶することも含む。
コンピュータ可読媒体の実施形態は、評価システム内でオブジェクトの評価を決定するコンピュータプログラム命令を記憶し、命令は、評価システム内のクライアントから、クライアントにおいて検出されたオブジェクトを識別するリポートを受信する命令と、リポートから、クライアントについての情報を特定する命令とを含む。命令は、クライアントについての特定された情報に応答して、クライアントの信頼度メトリクスを生成する命令をさらに含み、信頼度メトリクスは、クライアントから受信するリポートの信憑性に対する信頼量を示す。命令は、クライアントからのリポートおよびクライアントの信頼度メトリクスに少なくとも部分的に基づいて、オブジェクトの評価スコアを計算する命令と、オブジェクトの評価スコアを記憶する命令とをさらに含む。
コンピュータシステムの実施形態は、評価システム内のクライアントから、クライアントにおいて検出されたオブジェクトを識別するリポートを受信する命令と、リポートから、クライアントについての情報を特定する命令とを含む実行可能なコンピュータプログラム命令を記憶したコンピュータ可読記憶媒体を備える。命令は、クライアントについての特定された情報に応答して、クライアントの信頼度メトリクスを生成する命令をさらに含み、信頼度メトリクスは、クライアントから受信するリポートの信憑性に対する信頼量を示す。命令は、クライアントからのリポートおよびクライアントの信頼度メトリクスに少なくとも部分的に基づいて、オブジェクトの評価スコアを計算する命令と、オブジェクトの評価スコアを記憶する命令とをさらに含む。コンピュータシステムは、コンピュータプログラム命令を実行するプロセッサをさらに備える。
本開示および以下の詳細な説明において説明される特徴および利点は、すべてを包含するものではなく、特に、多くのさらなる特徴および利点が、図面、明細書、および本明細書の特許請求の範囲に鑑みて当業者に明らかになろう。さらに、本明細書において使用される用語が、可読性および教授の目的で主に選択されており、本発明の趣旨を記述または範囲限定するように選択されておらず、そのような本発明の趣旨の決定には、特許請求の範囲を使用する必要があることに留意されたい。
本発明の一実施形態による計算環境の高位ブロック図である。 一実施形態によるセキュリティサーバおよび/またはクライアントとして動作するコンピュータの高位ブロック図である。 一実施形態による評価モジュール内のモジュールを示す高位ブロック図である。 一実施形態によりクライアントから受信するリポートからの情報を使用して、オブジェクトについての評価スコアを決定する評価モジュールの動作を示すフローチャートである。
図は、単なる例示として本発明の様々な実施形態を示す。以下の考察から、本明細書において例示される構造および方法の代替の実施形態を、本明細書において説明される本発明の原理から逸脱せずに利用し得ることを当業者なら容易に認識するであろう。
図1は、一実施形態による計算環境100の高位ブロック図である。図1は、ネットワーク114に接続されたセキュリティサーバ102を示す。ネットワーク114は、複数のクライアント112にも接続される。図1および他の図は、同様の参照番号を使用して、同様の要素を識別する。「112A」等の参照番号後の文字は、その特定の参照番号を有する要素を特に参照するテキストを示す。「112」のように後続文字がないテキスト内の参照番号は、その参照番号を有する図中の要素のうちの任意またはすべての要素を指す(例えば、テキスト内の「112」は、図中の参照番号「112A」、「112B」、および/または「112C」を指す)。説明を簡単かつ明瞭にするために、図1には3つのクライアント112のみが示される。計算環境100の実施形態は、数千または数百万のクライアント112ならびに複数のサーバ102を有し得る。いくつかの実施形態では、クライアント112は、特定の時間期間中のみ、ネットワーク114に接続されるか、またはまったく接続されない。
クライアント112は、悪意のあるソフトウェアをホストし得る電子装置である。一実施形態では、クライアント112は、例えば、Microsoft Windows対応のオペレーティングシステム(OS)、Apple OS X、および/またはLinuxディストリビューションを実行する従来のコンピュータシステムである。別の実施形態では、クライアント112は、個人情報端末(PDA)、携帯電話、ビデオゲームシステム等のコンピュータ機能を有する別の装置である。クライアント112は通常、悪意のあるソフトウェアをホストし得る多くのコンピュータファイルおよび/またはソフトウェアアプリケーション(まとめて「オブジェクト」と呼ぶ)を記憶する。
悪意のあるソフトウェアは、「マルウェア」と呼ばれることもあり、一般に、クライアント112で不正に実行されるか、またはいくつかの不正機能を有するソフトウェアとして定義される。マルウェアは、正当なファイルに添付された寄生ウィルス、コンピュータのセキュリティ内の脆弱性を利用して、コンピュータを感染させ、他のコンピュータに拡散するワーム、正当であるように見えるが、実際には隠された悪意のあるコードを含むトロイの木馬プログラム、ならびに打鍵および/またはコンピュータでの他の動作を監視して、慎重な扱いを要する情報を捕捉させるか、または広告を表示させるスパイウェア等の多くの形態を取り得る。
クライアント112は、マルウェアの存在を検出するセキュリティモジュール110を実行する。セキュリティモジュール110は、例えば、コンピュータのOS内に組み込まれてもよく、または別個の包括的なセキュリティパッケージの一部であってもよい。一実施形態では、セキュリティモジュール110は、セキュリティサーバ102を運営するエンティティにより提供される。セキュリティモジュール110は、ネットワーク114を介してセキュリティサーバ102と通信して、悪意のあるソフトウェアの検出に利用される情報をダウンロードすることができる。セキュリティモジュール110は、ネットワーク114を介してセキュリティサーバ102と通信して、クライアント112で検出されたオブジェクトについての情報をサブミットすることもできる。
一実施形態では、セキュリティモジュール110は、クライアントで検出されたオブジェクトの識別子をセキュリティサーバ102にサブミットし、それと引き換えに、オブジェクトの評価スコアを受信する。評価スコアは、オブジェクトの信頼性の査定を表す。高い評価スコアを有するオブジェクトは、良好な評価を有し、マルウェアを含む可能性は低い。逆に、低い評価スコアを有するオブジェクトは、不良な評価を有し、マルウェアを含む可能性がある。セキュリティモジュール110は、ユーザ挙動等の他の要因と共に評価スコアを使用して、クライアント112でのオブジェクトがマルウェアであるか否かを評価する。セキュリティモジュール110は、評価の結果をセキュリティサーバ102に報告し得る。
セキュリティサーバ102は、セキュリティソフトウェアベンダーまたは他のエンティティにより提供される。セキュリティサーバ102は、ネットワーク114を介してクライアント112と通信するように構成された1つまたは複数の標準のコンピュータシステムを含み得る。セキュリティサーバ102は、ネットワーク114を介してクライアント112からオブジェクトの識別子および他の情報を含むリポートを受信する。セキュリティサーバ102は、それに応答して、ネットワーク114を介してクライアント112にオブジェクトの評価スコアを送信する。
一実施形態では、セキュリティサーバ102は、データ記憶装置104および評価モジュール106を備える。評価モジュール106は、クライアント112がオブジェクトに直面する頻度等の要因に基づいて、オブジェクトの評価スコアを決定する。これらの評価スコアは、評価モジュール106によりデータ記憶装置104に記憶される。評価モジュール106は、ネットワーク114を介するクライアント112からの問い合わせまたはサブミットに応答して、データ記憶装置104にアクセスする。
評価モジュール106の実施形態は、クライアント112の信頼度メトリクスも決定する。クライアント112の信頼度メトリクスは、そのクライアントから受信する情報の信憑性に対する信頼量を表し、高い信頼度メトリクスは、情報が真実である可能性が高いことを示す。例えば、特定のクライアント112からやって来る大量のリポートは、そのクライアントが、偽のリポートをサブミットすることでオブジェクトの評価に影響を及ぼそうとしている悪意のあるエンティティにより制御されていることを示し得る。評価モジュール106は、オブジェクトの評価に影響を及ぼそうとするそのような試みを検出し、対応するクライアント112の信頼度メトリクスを下げる。評価モジュール106は、オブジェクトの評価を決定する際、低い信頼度メトリクスを有するクライアント112からのリポートの重みを割り引き、高い信頼度メトリクスを有するクライアントからのリポートの重みを押し上げることができる。したがって、評価モジュール106は、悪意のあるエンティティからのセキュリティサーバ102を操作または他の様式で「不正操作」する試みに対する耐性を有する。
ネットワーク114は、セキュリティサーバ102とクライアント112との通信を可能にする。一実施形態では、ネットワーク114は、標準の通信技術および/またはプロトコルを使用し、インターネットを含む。したがって、ネットワーク114は、Ethernet、802.11、WiMAX(worldwide interoperability for microwave access)、3G、デジタル加入者回線(DSL)、非対称転送モード(ATM)、InfiniBand、PCI Express Advanced Switching等の技術を使用するリンクを含み得る。同様に、ネットワーク114で使用されるネットワーキングプロトコルは、マルチプロトコルラベルスイッチング(MPLS)、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザデータグラムプロトコル(UDP)、ハイパーテキスト転送プロトコル(HTTP)、簡易メール転送プロトコル(SMTP)、ファイル転送プロトコル(FTP)等を含み得る。ネットワーク114を介して交換されるデータは、ハイパーテキストマークアップ言語(HTML)、拡張可能マークアップ言語(XML)等を含む技術および/または形式を使用して提示することができる。さらに、リンクのうちのすべてまたはいくつかは、セキュアソケットレイヤ(SSL)、トランスポートレイヤセキュリティ(TLS)、仮想私設ネットワーク(VPN)、インターネットプロトコルセキュリティ(IPsec)等の従来の暗号化技術を使用して暗号化することができる。別の実施形態では、エンティティは、上述したものに対する代替または追加として、カスタムおよび/または専用のデータ通信技術を使用し得る。
図2は、一実施形態によるセキュリティサーバ102および/またはクライアント112として動作するコンピュータ200の高位ブロック図である。示されるのは、チップセット204に結合された少なくとも1つのプロセッサ202である。チップセット204には、メモリ206、記憶装置208、キーボード210、グラフィックスアダプタ212、ポインティングデバイス214、およびネットワークアダプタ216も結合される。ディスプレイ218が、グラフィックスアダプタ212に結合される。一実施形態では、チップセット204の機能は、メモリコントローラハブ220およびI/Oコントローラハブ222により提供される。別の実施形態では、メモリ206は、チップセット204ではなくプロセッサ202に直接結合される。
記憶装置208は、ハードドライブ、コンパクトディスク読み取り専用メモリ(CD−ROM)、DVD、または固体状態メモリ装置等の任意のコンピュータ可読記憶媒体である。メモリ206は、プロセッサ202により使用される命令およびデータを保持する。ポインティングデバイス214は、マウス、トラックボール、または他の種類のポインティングデバイスであり得、キーボード210と組み合わせて使用されて、データをコンピュータシステム200に入力する。グラフィックスアダプタ212は、画像および他の情報をディスプレイ218に表示する。ネットワークアダプタ216は、コンピュータシステム200をローカルエリアネットワークまたは広域ネットワークに結合する。
当分野において既知のように、コンピュータ200は、図2に示される構成要素と異なる構成要素および/または他の構成要素を有し得る。さらに、コンピュータ200は、図示される特定の構成要素を有さなくてもよい。一実施形態では、セキュリティサーバ102として動作するコンピュータ200は、キーボード210、ポインティングデバイス214、グラフィックスアダプタ212、および/またはディスプレイ218を有さない。さらに、記憶装置208は、コンピュータ200にとってローカルであってもよく、かつ/またはリモートであってもよい(記憶領域ネットワーク(SAN)内に具現されるように)。
当分野において既知のように、コンピュータ200は、本明細書において説明される機能を提供するコンピュータプログラムモジュールを実行するように構成される。本明細書において使用される用語「モジュール」は、指定された機能を提供するために利用されるコンピュータプログラム論理を指す。したがって、モジュールは、ハードウェア、ファームウェア、および/またはソフトウェアで実施し得る。一実施形態では、プログラムモジュールは、記憶装置208に記憶され、メモリ206にロードされ、プロセッサ202により実行される。
本明細書において説明されるエンティティの実施形態は、本明細書において説明されるモジュールとは他のモジュールおよび/または異なるモジュールを含み得る。さらに、モジュールによる機能は、他の実施形態では、他または異なるモジュールにより実行し得る。さらに、この説明は、明確にするため、かつ便宜上、用語「モジュール」を省くことがある。
図3は、一実施形態による評価モジュール106の詳細図を示す高位ブロック図である。いくつかの実施形態では、評価モジュール106は、スタンドアロンアプリケーションとして、または別の製品の一部として、セキュリティサーバ102内に組み込まれる。図3に示されるように、評価モジュール106は複数のモジュールを含む。評価モジュール106の他の実施形態が、本明細書において説明されるモジュールとは他のモジュールおよび/または異なるモジュールを含み得ること、および機能を様々な方法で複数のモジュールに分散し得ることを当業者なら理解するであろう。
通信モジュール302は、ネットワーク114を介してクライアント112のセキュリティモジュール110と情報を交換する。通信モジュール302は、セキュリティモジュール110がクライアント112において検出した、ファイル等のオブジェクトに関する情報を受信する。例えば、通信モジュール302は、クライアント112において検出されたオブジェクトの識別子を含むリポートを、オブジェクトの評価スコアに対する要求と共に、セキュリティモジュール110から受信し得る。オブジェクトの識別子は、例えば、オブジェクトのハッシュであり得る。通信モジュール302は、評価モジュール106の他のモジュールと対話して、識別されたオブジェクトの評価スコアを決定し、スコアを要求側のセキュリティモジュール110に提供する。
一実施形態では、リポートは、通信モジュール302が、リポートをサブミットしたクライアント112を識別するために使用し得る情報も含む。一実施形態では、リポートはクライアント112の一意の識別子を含む。一意の識別子は、リポートに付随し、かつ/またはリポートの署名もしくは認証に使用される暗号鍵またはトークンであり得る。通信モジュール302は、リポートの送信元のIPアドレス等のクライアント112の識別に使用し得る他の情報を検出してもよい。実施形態に応じて、通信モジュール302は、地理的場所、システム内の年齢(例えば、クライアントの最初のリポートからの経過時間)、サブミットした他のリポート等のクライアント112についての追加情報に一意の識別子を相関付けるデータ記憶装置104内の情報にアクセスし得る。
信頼度モジュール304が、クライアント112の信頼度メトリクスを決定する。上述したように、信頼度メトリクスは、クライアント112から受信するリポートの信憑性に対する信頼量を表す。一実施形態では、信頼度メトリクスは、0〜1(0および1を含む)の連続した値であり、データ記憶装置104に記憶される。実施形態に応じて、信頼度メトリクスに、クライアント112以外のエンティティを関連付け得る。例えば、信頼度メトリクスに、クライアント112の特定のユーザまたはセキュリティモジュール110の特定のインスタンスを関連付け得る。明確にするために、この説明は、クライアント112が関連付けられるものとして信頼度メトリクスを参照するが、この意味で使用される「クライアント」が、信頼度メトリクスに関連付け得る他のエンティティも指すことが理解される。
信頼度モジュール304は、クライアント112から受信する情報および/または他のソースから受信するクライアントについての情報を使用して、クライアントの信頼度メトリクスを計算する。信頼度モジュール304は、クライアントの一意の識別子を使用して、クライアントからの情報を関連付け、相関付ける。実施形態に応じて、信頼度モジュール304は、様々な異なる要因を使用して、クライアントの信頼度メトリクスを決定し得る。
信頼度モジュール304の実施形態は、クライアントの信頼度メトリクスを計算する際の要因として、クライアントのシステム年齢を使用する。クライアントのシステム年齢は、クライアント112がアクティブ化されている状態での経過時間である。例えば、クライアント112のシステム年齢は、最初のリポートをクライアントから受信してから、セキュリティモジュール110がクライアントにインストールされてから、またはセキュリティモジュールがセキュリティサーバ102に登録されてから経過した時間であり得る。
一般に、「年齢の高い」クライアント112ほど、高い信頼度メトリクスを受け取る。ごく最近になってリポートのサブミットを開始したクライアント112は、信頼性が低いか、または信用できない可能性がある。例えば、悪意のあるエンティティが、大量の正当な(かつ新しい)クライアント識別子を偽造し、次に、大量にリポートをサブミットして、マルウェアの評価スコアを押し上げようとし得る。信頼度モジュール304は、これらのリポートを「年齢が低い」クライアント112からやって来たものとして認識し、この要因を使用して、これらのクライアントの信頼度メトリクスを下げ得る。「年齢が低い」クライアントと「年齢が高い」クライアントとの区別は、所定の値を使用して確立し得る。例えば、6ヶ月未満の年齢を有するクライアント112を「年齢が低い」と見なし、他のクライアントを「年齢が高い」と見なし得る。
信頼度モジュール304は、経過時間以外の特徴に基づいてクライアントの年齢を計算してもよい。一実施形態では、クライアントの年齢は、クライアントがサブミットした「普及している」オブジェクトリポートの数に基づいて測定される。例えば、特定のソフトウェアアプリケーションがクライアント112間で普及または偏在する。例えば、クライアントのうちの非常に大きな割合が、限られた数のウェブ閲覧アプリケーションのうちの少なくとも1つをインストールしている可能性が高い。セキュリティモジュール110は、そのような普及しているアプリケーションを、検出された他のオブジェクトと共にセキュリティサーバ102に報告する。信頼度モジュール304は、普及しているオブジェクトのリポートを多くサブミットしたクライアント112を、そのようなオブジェクトのリポートのサブミットが少ないクライアントよりも「年齢が高い」として取り扱うことができる。そのような取扱は、普及していないオブジェクトのみのリポートをサブミットし、それにより、マルウェアの評価スコアを押し上げようとしている可能性があるクライアント112の信頼度メトリクスを下げる傾向がある。
同様に、信頼度モジュール304は、「希な」オブジェクトに対してサブミットされたリポートに対する、普及しているオブジェクトに対してサブミットされたリポートの比率に基づいてクライアントの年齢を計算することができ、「希な」オブジェクトとは、非常に少ないクライアントにより報告されるオブジェクトである。クライアント112が、普及しているオブジェクトよりも希なオブジェクトに対するリポートを多くサブミットする傾向がある場合、クライアントは、マルウェアの評価スコアを押し上げようとしている可能性がある。したがって、そのようなクライアント112は、「年齢が低い」として取り扱われ、低減された信頼度メトリクスを有することになる。システムでのクライアントの年齢を要因に入れることにより、クライアントが高い信頼度メトリクスを有するには、「年齢が高く」なければならないため、評価システムの「不正操作」を高価なものにする。
信頼度モジュール304の実施形態は、クライアントの信頼度メトリクスを計算する際の要因として、クライアント112の地理的場所を使用する。大半のクライアントは、一度に世界の複数の地域に存在しないため、近い時間内で受信された異なる地理的場所からの同じクライアントによりサブミットされた同じオブジェクトについてのリポートは、疑いのある挙動を示すものである。そのようなリポートは、例えば、クライアントの識別子が複数の悪意のある者によりなりすまされたことを示し得る。したがって、信頼度モジュール304は、そのようなリポートの受信に基づいてクライアントの信頼度メトリクスを低減し得る。さらに、異なる地理的場所は、可変の信頼度メトリクスを有し得る。したがって、疑いのある特定の地理的場所からリポートをサブミットするクライアント112は、疑いの少ない地理的場所から同等のリポートをサブミットする別のクライアントよりも低い信頼度メトリクスを有し得る。
信頼度モジュール304は、クライアントの信頼度メトリクスを計算する際の要因として、クライアント112によるリポートのサブミット頻度を使用してもよい。クライアントのリポートサブミットパターンを追跡することにより、信頼度モジュール304は、特定のクライアントによる異常なサブミットの量を検出し得る。何が予期されるサブミットパターンからの「異常な」逸脱を構成するかの閾値は、クライアントの以前のサブミットパターンに基づいてクライアント毎に異なり得る。例えば、少数のみのリポートをサブミットした履歴を有し、突然、大量のリポートをサブミットするクライアント112は、感染している可能性がある。その結果、信頼度モジュール304は、そのクライアントの信頼度メトリクスを低減し得る。
信頼度モジュール304は、信頼度メトリクスの決定にクライアント識別子を使用することもできる。信頼度モジュール304は、特定のクライアントの識別子を無効、偽造、ハッキング、または他の様式で感染しているものとして識別することができる。この識別は、例えば、受信したリポート内の識別子に、データ記憶装置104内で保持される識別子リストを相関付けることにより実行することができる。信頼度モジュール304は、感染している識別子を認識し、その情報を、影響を受けるクライアントの信頼度メトリクスを計算する際の要因として利用し得る。したがって、無効または感染している識別子を有するクライアントに、より低い信頼度メトリクスを付与し得る。
さらに、信頼度モジュール304は、リポートの送信元であるクライアントのIPアドレスを使用して、信頼度メトリクスに影響を及ぼし得る。特定のIPアドレスは、悪意のあるエンティティに属するものとして識別でき、または他の様式で低信頼度を関連付け得る。したがって、信頼度モジュール304は、特定のIPアドレスからリポートを送信するクライアントの信頼度メトリクスを下げることができる。
信頼度モジュール304により受信される他の情報が、クライアントの信頼度メトリクスに影響を及ぼしてもよい。クライアントが異常なリポートまたは偽のリポートをサブミットした場合、信頼度モジュール304は、クライアントが感染していることを疑う理由を有し、そのクライアントの信頼度メトリクスを低減し得る。クライアント112に、信頼度モジュール304がアクセスできる(クライアントのユーザがクレジットカードを使用してセキュリティサーバ102からセキュリティモジュール110を購入した場合等)クレジットカード口座が関連付けられる実施形態では、信頼度モジュール304は、支払い拒否要求等の観察されたクレジット行動を使用して、信頼度メトリクスに影響を及ぼし得る。他の実施形態では、地理的場所等の上述した1つまたは複数の要因に基づいてリポートを集計することにより、標準から外れた報告パターンに基づいて疑いのあるリポートをサブミットするクライアントを識別し、そのクライアントの信頼度メトリクスに影響を及ぼすこともできる。
信頼度モジュール304が受信するさらなる要因およびヒューリスティックを使用して、クライアントの信頼度メトリクスに影響を及ぼし得る。例えば、1つのクライアント(同じクライアント識別子)により2つ以上のIPアドレスから複数のサブミットを同時に受信することは、そのクライアントが感染していることを示し得る。1人のクライアントから異常に高い率でサブミットを受信すること、複数のクライアントから少数のファイルについてのリポートを繰り返し受信すること、および不釣り合いに多数もしくは少数のファイル(または所与の特徴を有する不釣り合いな数のファイル−例えば、クライアントがそれまでに誰もサブミットしたことのないファイルをサブミットしているように見える)をサブミットするクライアントを識別することは、それらのクライアントの信頼度メトリクスにさらに影響を及ぼし得る。さらに、スパムを送信することが分かっているクライアントの識別は、一実施形態において、クライアントの信頼度メトリクスに影響を及ぼすために、信頼度モジュール304が使用し得る別の要因である。
信頼度モジュール304の実施形態は、上述した要因のうちの1つまたは複数を使用して、クライアント112の信頼度メトリクスを決定する。信頼度モジュール304が複数の要因を使用する実施形態では、信頼度モジュールは、要因毎に異なる重みを認め得る。例えば、クライアント112の年齢は、信頼度メトリクスに対して大きな影響を有し得るが、クライアントの地理的場所はごくわずかな影響を有し得る。さらに、いくつかの実施形態は、複数の信頼度メトリクスを使用し、各信頼度メトリクスが単一の要因(例えば、年齢)に対応する。
一実施形態では、信頼度モジュール304は、計算された信頼度メトリクスを使用して、クライアントをホワイトリストまたはブラックリストに割り当てる。一般に、ホワイトリストは、高い信頼度メトリクスを有し、したがって、信頼度できると推定されるクライアント112を掲載する。逆に、ブラックリストは、低い信頼度メトリクスを有し、したがって、信頼できないと推定されるクライアント112を掲載する。いくつかの実施形態では、信頼度モジュール304は、閾値を使用して、クライアント112をリストに割り当てる。クライアントの信頼度メトリクスが特定の閾値未満である場合、そのクライアントはブラックリストに掲載される。同様に、クライアントの信頼度メトリクスが特定の閾値よりも大きい場合、そのクライアントはホワイトリストに掲載される。いくつかの実施形態では、閾値は両リストで同じであり、他の実施形態では、各リストが別個の閾値を有する。
同様に、信頼度モジュール304のいくつかの実施形態は、所定の基準に基づいてクライアントの信頼度メトリクスを0または1に量子化する。例えば、6ヶ月未満の年齢を有する「年齢の低い」クライアント112または2つの異なる地域から複数のリポートを同時にサブミットするクライアントは、その他の要因に関係なく、0の信頼度メトリクスを受け取り得る。
オブジェクト評価モジュール306は、オブジェクトの評価スコアを計算し、評価スコアをデータ記憶装置104に記憶する。上述したように、オブジェクトの評価スコアは、オブジェクトの信頼性の査定を表す。一実施形態では、評価スコアは0〜1(0および1を含む)の数である。低い評価スコアは、オブジェクトがマルウェアである可能性が高いことを示し、高い評価スコアは、オブジェクトが正当なものである可能性が高いことを示す。
一実施形態では、オブジェクト評価モジュール306は、クライアントでのオブジェクトの報告された普及率に少なくとも部分的に基づいて、オブジェクトの評価スコアを計算する。人気のある言語処理アプリケーション等のクライアントに広く配布されているオブジェクトは、正当である可能性が高く、クライアントが希に直面するオブジェクトはマルウェアである可能性がある。したがって、高い普及率を有するオブジェクトは、一実施形態では、高い評価スコアを受ける。
いくつかの実施形態では、オブジェクトの評価スコアは、オブジェクトが主に見つかったクライアント112の衛生スコアにも基づく。衛生スコアは、クライアント112の信頼性の査定を表す。衛生の文脈の中での「信頼性」は、クライアントがマルウェアに感染する傾向を指し、マルウェアにより頻繁に感染するクライアント112は、信頼性が低い。例えば、高い衛生スコアを有するクライアント112で頻繁に見つかるオブジェクトは、良好な評価を示す高い評価スコアを受ける可能性が高い。逆に、低い衛生スコアを有するクライアント112で主に見つかるオブジェクトは、不良な評価を示す低い評価スコアを受ける可能性が高い。評価スコアは、オブジェクトが見つけられたウェブサイトの評価スコア、オブジェクトの開発者および/または配信元の評価スコア、ならびにオブジェクトがデジタル署名されているか否か等の他の特徴等の他の要因に基づいてもよい。
さらに、オブジェクト評価モジュール306は、オブジェクトに関連付けられたリポートをサブミットしたクライアントの信頼度メトリクスに基づいて、オブジェクトの評価スコアに影響を及ぼす。一実施形態では、オブジェクト評価モジュール306は、オブジェクトの評価スコアを計算する際、閾値未満の信頼度メトリクスを有するクライアント112からのリポートを除外する。例えば、上述したブラックリストに載っているクライアント112からのリポートを除外することができる。同様に、オブジェクト評価モジュール306の実施形態は、オブジェクトの評価スコアを計算する際、閾値を上回る信頼度メトリクスを有するクライアントのみからのリポートを使用する。例えば、上述したホワイトリストに載っているクライアント112からのリポートのみを使用することができる。
別の実施形態では、オブジェクト評価モジュール306は、所与の時間期間にわたる低および/または高信頼度メトリクスのクライアントの、オブジェクトを報告する他のクライアントに対する比率を使用して、オブジェクトの評価スコアに影響を及ぼし得る。この実施形態では、オブジェクト評価モジュール306は、低信頼度メトリクスを有するクライアント112から主に報告されるオブジェクトが、まず間違いなく低い評価スコアを有するべきであるという哲学に従って動作する。同時に、オブジェクト評価モジュール306は、評価の「不正操作」をリアルタイムで検出できるのに十分な柔軟性を有した状態を保つ。この実施形態では、オブジェクト評価モジュール306は、評価モジュール106の他のモジュールと協働して、クライアント112の信頼度メトリクスをオブジェクト単位で追跡する。
所与のオブジェクトに対して、オブジェクト評価モジュール306は、そのオブジェクトを報告した低信頼度メトリクスを有するクライアントの数およびそのオブジェクトを報告した高信頼度メトリクスを有するクライアントの数を特定することができ、「高」信頼度レベルおよび「低」信頼度レベルは、閾値を使用して決定される。高信頼度メトリクスクライアントの、他の信頼度メトリクスのクライアント(すなわち、非高信頼度メトリクスのクライアント)に対する十分な比率が、所与の時間期間にわたってそのオブジェクトを報告した場合、オブジェクト評価モジュール306は、そのオブジェクトの評価スコアを増大させる。逆に、低信頼度メトリクスのクライアントの、他の信頼度メトリクスのクライアントに対する十分な比率が、同じ時間期間または異なる時間期間にわたってそのオブジェクトを報告した場合、オブジェクト評価モジュール306は、そのオブジェクトの評価スコアを低減させる。したがって、評価の「不正操作」のリアルタイムでの検出が可能であり、オブジェクト評価モジュール306は、悪意のあるエンティティによる評価「不正操作」というマルウェアの攻撃に素早く対応することができる。
一実施形態では、オブジェクト評価モジュール306は、信頼度メトリクスを使用して、リポートに重みを付ける。したがって、オブジェクトの評価スコアを計算する際、1.0の信頼度レベルを有するリポートに対して、0.5の信頼度レベルを有するリポートの2倍の重みを付けることができる。別の言い方をすれば、0.50の信頼度メトリクスを有するクライアントからの200のレポートは、1.0の信頼度メトリクスを有するクライアントからの100のリポートと同じ影響を評価スコアに対して有する。
オブジェクト評価モジュール306の一実施形態は、機械学習を使用して、オブジェクトの評価スコアを計算する。統計学的機械学習アルゴリズムが、信頼度メトリクス、リポートの普及率、およびクライアント112についての他の情報を、評価スコアを決定するための分類子を構築するための特徴として使用することができる。分類子は、実際の処置が分かっている(すなわち、オブジェクトが正当であるか、それともマルウェアであるかが分かっている)オブジェクトセットについての特徴を使用してトレーニングし得る。
調整モジュール308が、値が経時変化する際、クライアント112の信頼度メトリクスおよびオブジェクトの評価スコアを変更する。信頼度メトリクスは評価スコアに影響し得るため、いくつかの実施形態では、評価スコアが信頼度メトリクスに影響し得る。調整モジュール308は、時間の経過に伴い、セキュリティサーバ102が追加のリポートを受信した場合、信頼度メトリクスおよび評価スコアを変更する。調整モジュール308は、実施形態に応じて、メトリスクおよびスコアを常時、定期的に、かつ/または他の時間に変更し得る。
例えば、年齢の低いクライアントからのリポートが無視される(例えば、6ヶ月未満の年齢のクライアントは、信頼度メトリクス0を受ける)実施形態では、年齢の低いクライアントで主に見つかったオブジェクトは、普及しているように見えないため、低い評価スコアを受け得る。クライアントがもはや「年齢が低く」なくなると、クライアントからのリポートはもはや無視されず、より普及するようになる。その結果として、調整モジュール308は、オブジェクトの評価スコアを増大させる。同様に、高い信頼度メトリクスを有するクライアント112が、感染し、続けてマルウェアであることが分かるオブジェクトについて多数のリポートをサブミットする場合がある。そのような場合、調整モジュール308は、クライアント112の信頼度メトリクスを下方調整し得る。
トレーニングモジュール310は、機械学習に基づく評価スコアの計算を支援するために使用される1つまたは複数の評価分類子を生成し得る。一実施形態では、トレーニングモジュールは、クライアント112およびオブジェクトに関連付けられた特徴のデータセットに基づいて、評価分類子を生成する。これらの特徴は、クライアント112の信頼度メトリクス、クライアントの衛生スコア、オブジェクトの評価、オブジェクトの普及率等を含み得る。評価分類子は、評価スコアの決定に使用される特徴に関連付けられる重みまたは係数等の値を指定する統計学的モデルである。評価分類子としての使用に適した種類の統計学的モデルとしては、ニューラルネットワーク、ベイズモデル、回帰に基づくモデル、およびサポートベクタマシン(SVM)が挙げられるが、これらに限定されない。評価分類子は、マルウェアの既知の事例および正当なソフトウェアのオブジェクトを識別し、それらのオブジェクトの履歴的なクライアントリポートをグラウンドトルースとして使用することにより、トレーニングすることができる。実施形態によれば、トレーニングモジュール310は、定期的に、または他の時間に評価分類子を生成し得る。トレーニングモジュール310は、オブジェクト評価モジュール306による使用のために、生成された評価分類子を記憶する。
図4は、一実施形態によりクライアント112から受信されるリポートからの情報を使用して、オブジェクトについての評価スコアを決定する際の評価モジュール106の動作を示すフローチャートである。これらのステップが単なる例示であることを理解されたい。評価モジュール106の異なる実施形態は、ステップを異なる順序で実行してもよく、特定のステップを省いてもよく、かつ/または図4に示されない追加のステップを実行してもよい。
図4に示されるように、評価モジュール106は、オブジェクトについてクライアント112によりサブミットされるリポートを受信する:402。リポートは、クライアントにおいて検出されたオブジェクトを識別し、オブジェクトの評価スコアに対する要求が付随し得る。評価モジュール106は、リポートをサブミットしたクライアント112についての情報を特定する:404。上述したように、情報は、クライアントの識別子、オブジェクトのハッシュまたは他の識別子、およびクライアントについての他の情報を含み得る。評価モジュール106は、リポート内の情報を使用して、クライアントの年齢、地理的場所、IPアドレス等のクライアントについての他の情報を特定する。評価モジュール106は、特定された情報を使用して、クライアント112の信頼度メトリクスを生成する:406。評価モジュール106は、例えば、クライアントにおけるオブジェクトの普及率に基づいて、オブジェクトの評価スコアを生成する:408。生成された評価スコアは、クライアントの信頼度メトリクスの影響を受ける。評価モジュール106は、オブジェクト評価スコアをクライアント112に提供する:410。クライアント112は、評価スコアを使用して、クライアントにおいてマルウェアを検出することができる。
上述した技法は、メッセージングアプリケーションのスパムフィルタおよびオブジェクトの評価スコアおよびクライアントの信頼度メトリクスを利用する、マルウェアを検出するように設計された他のメカニズム等の他の様々な種類の検出システムに適用可能であり得る。
本発明の実施形態の上記説明は、例示のために提示されており、網羅的であること、すなわち、本発明を開示される厳密な形態に限定することを意図しない。多くの変更および変形が上記開示に鑑みて可能なことを当業者は理解できる。
最後に、本明細書において使用される用語は、可読性および教授の目的で主に選択されており、本発明の趣旨を記述または範囲限定するように選択されていない。したがって、本発明の範囲はこの詳細な説明により限定されず、むしろ、本明細書に基づいて本願において発行される任意の請求項により限定される。したがって、本発明の実施形態の開示は、本発明の範囲の限定ではなく例示を意図され、本発明の範囲は以下の特許請求の範囲に記載される。

Claims (15)

  1. プロセッサを備えるコンピュータを使用して、評価システム内でオブジェクトの評価を決定する方法であって、
    前記プロセッサが、前記評価システム内のクライアントから、前記クライアントにおいて検出されたオブジェクトを識別するリポートを受信するステップと、
    前記プロセッサが、前記クライアントから受信された前記リポートに基づいて、前記評価システム内の前記クライアントでの前記オブジェクトの普及率を特定するステップと、
    前記プロセッサが、前記クライアントから受信された前記リポートから前記クライアントについての情報を特定するステップと、
    前記プロセッサが、前記クライアントについての前記特定された情報に応答して、前記クライアントの信頼度メトリクスを生成するステップであって、前記信頼度メトリクスは、前記クライアントから受信された前記リポートの信憑性に対する信頼量を示し、前記クライアントのより高い信頼度メトリクスは、前記クライアントから受信されたリポート内の情報が真実である可能性がより高いことを示す、ステップと、
    前記プロセッサが、前記クライアントから受信された前記リポート、前記オブジェクトの前記普及率、および前記クライアントの前記信頼度メトリクスに少なくとも部分的に応答して、前記オブジェクトの評価スコアを計算するステップであって、前記普及率がより高いほど、前記オブジェクトは、前記オブジェクトが悪意のあるソフトウェアを含む可能性が低いことを示す、より高い評価スコアを受ける、ステップと、
    前記プロセッサが、前記オブジェクトの前記評価スコアを記憶するステップと
    を含む、方法。
  2. クライアントからのリポートは、前記オブジェクトの前記評価スコアに対する要求を含み、前記方法は、
    前記プロセッサが、前記オブジェクトの前記評価スコアを前記クライアントに提供するステップ
    をさらに含む、請求項1に記載の方法。
  3. 前記クライアントについての前記特定された情報は、前記評価システムでのクライアントの年齢を含み、前記クライアントの信頼度メトリクスは、前記クライアントの前記年齢に少なくとも部分的に基づき、年齢の高いクライアントほど、高い信頼度メトリクスを受ける、請求項1に記載の方法。
  4. 前記クライアントについての前記特定された情報は、前記評価システムでのクライアントの地理的場所を含み、前記クライアントの信頼度メトリクスは、前記クライアントの前記地理的場所に少なくとも部分的に基づく、請求項1に記載の方法。
  5. 前記クライアントについての前記特定された情報は、クライアントによるリポートサブミット頻度を含み、前記クライアントの信頼度メトリクスは、前記クライアントによる前記リポートサブミット頻度に少なくとも部分的に基づく、請求項1に記載の方法。
  6. 前記クライアントについての前記特定された情報は、前記クライアントが、高い普及率を有するオブジェクトについてサブミットしたリポートの数の特定を含み、高い普及率を有するオブジェクトのサブミット回数が多いクライアントは、高い普及率を有するオブジェクトのサブミット回数が少ないクライアントよりも年齢が高いものとして取り扱われる、請求項3に記載の方法。
  7. 前記オブジェクトの前記評価スコアを計算するステップは、
    前記プロセッサが、信頼度メトリクス閾値を使用して、低信頼度メトリクスを有するクライアントを識別するステップと、
    前記プロセッサが、前記オブジェクトを識別するリポートをサブミットしたすべてのクライアントに対する、前記オブジェクトを識別するリポートをサブミットした低信頼度メトリクスを有するクライアントの比率を特定するステップと、
    前記プロセッサが、前記特定された比率に少なくとも部分的に応答して、前記オブジェクトの前記評価スコアを計算するステップと
    を含む、請求項1に記載の方法。
  8. 前記オブジェクトの前記評価スコアを計算するステップは、
    前記プロセッサが、信頼度メトリクス閾値を使用して、高信頼度メトリクスを有するクライアントを識別するステップと、
    前記プロセッサが、前記オブジェクトを識別するリポートをサブミットしたすべてのクライアントに対する、前記オブジェクトを識別するリポートをサブミットした高信頼度メトリクスを有するクライアントの比率を特定するステップと、
    前記プロセッサが、前記特定された比率に少なくとも部分的に応答して、前記オブジェクトの前記評価スコアを計算するステップと
    を含む、請求項1に記載の方法。
  9. 前記オブジェクトの前記評価スコアを計算するステップは、
    前記プロセッサが、統計学的機械学習アルゴリズムを使用して、前記オブジェクトの前記評価スコアを計算するステップを含む、請求項1に記載の方法。
  10. 評価システム内でオブジェクトの評価を決定するコンピュータシステムであって、
    前記評価システム内のクライアントから、前記クライアントにおいて検出されたオブジェクトを識別するリポートを受信する手段と、
    前記クライアントから受信された前記リポートに基づいて、前記評価システム内の前記クライアントでの前記オブジェクトの普及率を特定する手段と、
    前記クライアントから受信された前記リポートから前記クライアントについての情報を特定する手段と、
    前記クライアントについての前記特定された情報に応答して、前記クライアントの信頼度メトリクスを生成する手段であって、前記信頼度メトリクスは、前記クライアントから受信された前記リポートの信憑性に対する信頼量を示し、前記クライアントのより高い信頼度メトリクスは、前記クライアントから受信されたリポート内の情報が真実である可能性がより高いことを示す、手段と、
    前記クライアントから受信された前記リポート、前記オブジェクトの前記普及率、および前記クライアントの前記信頼度メトリクスに少なくとも部分的に応答して、前記オブジェクトの評価スコアを計算する手段であって、前記普及率がより高いほど、前記オブジェクトは、前記オブジェクトが悪意のあるソフトウェアを含む可能性が低いことを示す、より高い評価スコアを受ける、手段と
    を備える、コンピュータシステム。
  11. クライアントからのリポートは、前記オブジェクトの前記評価スコアに対する要求を含み、前記コンピュータシステムは、
    前記オブジェクトの前記評価スコアを前記クライアントに提供する手段
    をさらに備える、請求項10に記載のコンピュータシステム。
  12. 前記クライアントについての前記特定された情報は、前記クライアントが、高い普及率を有するオブジェクトについてサブミットしたリポートの数の特定を含み、高い普及率を有するオブジェクトのサブミット回数が多いクライアントは、高い信頼度メトリクスを受ける、請求項10に記載のコンピュータシステム。
  13. 前記オブジェクトの前記評価スコアを計算する手段は、
    信頼度メトリクス閾値を使用して、低信頼度メトリクスを有するクライアントを識別する手段と、
    前記オブジェクトを識別するリポートをサブミットしたすべてのクライアントに対する、前記オブジェクトを識別するリポートをサブミットした低信頼度メトリクスを有するクライアントの比率を特定する手段と、
    前記特定された比率に少なくとも部分的に応答して、前記オブジェクトの前記評価スコアを計算する手段と
    を備える、請求項10に記載のコンピュータシステム。
  14. 前記オブジェクトの前記評価スコアを計算する手段は、
    信頼度メトリクス閾値を使用して、高信頼度メトリクスを有するクライアントを識別する手段と、
    前記オブジェクトを識別するリポートをサブミットしたすべてのクライアントに対する、前記オブジェクトを識別するリポートをサブミットした高信頼度メトリクスを有するクライアントの比率を特定する手段と、
    前記特定された比率に少なくとも部分的に応答して、前記オブジェクトの前記評価スコアを計算する手段と
    を備える、請求項10に記載のコンピュータシステム。
  15. 評価システム内でオブジェクトの評価を決定するためのコンピュータプログラムであって、前記コンピュータプログラムは、
    前記評価システム内のクライアントから、前記クライアントにおいて検出されたオブジェクトを識別するリポートを受信するステップと、
    前記クライアントから受信された前記リポートに基づいて、前記評価システム内の前記クライアントでの前記オブジェクトの普及率を特定するステップと、
    前記クライアントから受信された前記リポートから前記クライアントについての情報を特定するステップと、
    前記クライアントについての前記特定された情報に応答して、前記クライアントの信頼度メトリクスを生成するステップであって、前記信頼度メトリクスは、前記クライアントから受信された前記リポートの信憑性に対する信頼量を示し、前記クライアントのより高い信頼度メトリクスは、前記クライアントから受信されたリポート内の情報が真実である可能性がより高いことを示す、ステップと、
    前記クライアントから受信された前記リポート、前記オブジェクトの前記普及率、および前記クライアントの前記信頼度メトリクスに少なくとも部分的に応答して、前記オブジェクトの評価スコアを計算するステップであって、前記普及率がより高いほど、前記オブジェクトは、前記オブジェクトが悪意のあるソフトウェアを含む可能性が低いことを示す、より高い評価スコアを受ける、ステップと、
    前記オブジェクトの前記評価スコアを記憶するステップと
    をコンピュータに実施させるように構成されている、コンピュータプログラム。
JP2012524786A 2009-08-13 2010-08-10 評価システムでのクライアント装置の信頼度メトリクスの使用 Active JP5599884B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/540,907 2009-08-13
US12/540,907 US9081958B2 (en) 2009-08-13 2009-08-13 Using confidence about user intent in a reputation system
PCT/US2010/045022 WO2011019720A1 (en) 2009-08-13 2010-08-10 Using confidence metrics of client devices in a reputation system

Publications (3)

Publication Number Publication Date
JP2013502009A JP2013502009A (ja) 2013-01-17
JP2013502009A5 JP2013502009A5 (ja) 2013-08-15
JP5599884B2 true JP5599884B2 (ja) 2014-10-01

Family

ID=42829476

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012524786A Active JP5599884B2 (ja) 2009-08-13 2010-08-10 評価システムでのクライアント装置の信頼度メトリクスの使用

Country Status (6)

Country Link
US (2) US9081958B2 (ja)
EP (1) EP2465071A1 (ja)
JP (1) JP5599884B2 (ja)
CN (1) CN102656587B (ja)
CA (1) CA2763201C (ja)
WO (1) WO2011019720A1 (ja)

Families Citing this family (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8312536B2 (en) 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US8250657B1 (en) 2006-12-29 2012-08-21 Symantec Corporation Web site hygiene-based computer security
US8499063B1 (en) 2008-03-31 2013-07-30 Symantec Corporation Uninstall and system performance based software application reputation
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US8413251B1 (en) 2008-09-30 2013-04-02 Symantec Corporation Using disposable data misuse to determine reputation
EP2396742A2 (en) * 2009-02-10 2011-12-21 Uniloc Usa, Inc. Web content access using a client device identifier
US8904520B1 (en) 2009-03-19 2014-12-02 Symantec Corporation Communication-based reputation system
US8381289B1 (en) 2009-03-31 2013-02-19 Symantec Corporation Communication-based host reputation system
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US8800030B2 (en) * 2009-09-15 2014-08-05 Symantec Corporation Individualized time-to-live for reputation scores of computer files
US9082128B2 (en) * 2009-10-19 2015-07-14 Uniloc Luxembourg S.A. System and method for tracking and scoring user activities
US8341745B1 (en) 2010-02-22 2012-12-25 Symantec Corporation Inferring file and website reputations by belief propagation leveraging machine reputation
US8510836B1 (en) * 2010-07-06 2013-08-13 Symantec Corporation Lineage-based reputation system
US8935785B2 (en) * 2010-09-24 2015-01-13 Verisign, Inc IP prioritization and scoring system for DDoS detection and mitigation
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US8838992B1 (en) * 2011-04-28 2014-09-16 Trend Micro Incorporated Identification of normal scripts in computer systems
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US9106680B2 (en) * 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
AU2012100459B4 (en) 2011-08-15 2012-11-22 Uniloc Usa, Inc. Personal control of personal information
US9223978B2 (en) 2011-10-28 2015-12-29 Confer Technologies, Inc. Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
US8881273B2 (en) * 2011-12-02 2014-11-04 Uniloc Luxembourg, S.A. Device reputation management
AU2012100470B4 (en) * 2012-02-15 2012-11-29 Uniloc Usa, Inc. Anonymous whistle blower system with reputation reporting of anonymous whistle blowers
AU2012100464B4 (en) 2012-02-20 2012-11-29 Uniloc Usa, Inc. Computer-based comparison of human individuals
US9311650B2 (en) * 2012-02-22 2016-04-12 Alibaba Group Holding Limited Determining search result rankings based on trust level values associated with sellers
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9152784B2 (en) 2012-04-18 2015-10-06 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications
US9124472B1 (en) 2012-07-25 2015-09-01 Symantec Corporation Providing file information to a client responsive to a file download stability prediction
WO2014210050A1 (en) 2013-06-24 2014-12-31 Cylance Inc. Automated system for generative multimodel multiclass classification and similarity analysis using machine learning
US9065849B1 (en) * 2013-09-18 2015-06-23 Symantec Corporation Systems and methods for determining trustworthiness of software programs
CN105659554A (zh) * 2013-09-29 2016-06-08 迈克菲公司 基于普遍度的信誉
US9319423B2 (en) 2013-11-04 2016-04-19 At&T Intellectual Property I, L.P. Malware and anomaly detection via activity recognition based on sensor data
US8930916B1 (en) 2014-01-31 2015-01-06 Cylance Inc. Generation of API call graphs from static disassembly
US9262296B1 (en) 2014-01-31 2016-02-16 Cylance Inc. Static feature extraction from structured files
US20150304343A1 (en) * 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
AU2015213797B2 (en) 2014-02-07 2019-09-26 Cylance Inc. Application execution control utilizing ensemble machine learning for discernment
US9866581B2 (en) 2014-06-30 2018-01-09 Intuit Inc. Method and system for secure delivery of information to computing environments
US10121007B2 (en) 2014-02-21 2018-11-06 Intuit Inc. Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US9323924B1 (en) * 2014-05-09 2016-04-26 Symantec Corporation Systems and methods for establishing reputations of files
US9794341B2 (en) * 2014-06-30 2017-10-17 Sandisk Technologies Llc Data storage verification in distributed storage system
US9118714B1 (en) * 2014-07-23 2015-08-25 Lookingglass Cyber Solutions, Inc. Apparatuses, methods and systems for a cyber threat visualization and editing user interface
US9313218B1 (en) * 2014-07-23 2016-04-12 Symantec Corporation Systems and methods for providing information identifying the trustworthiness of applications on application distribution platforms
CN105376265B (zh) * 2014-07-24 2019-04-02 阿里巴巴集团控股有限公司 一种网络耗尽性资源的使用方法及装置
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
US9798883B1 (en) 2014-10-06 2017-10-24 Exabeam, Inc. System, method, and computer program product for detecting and assessing security risks in a network
US10083295B2 (en) * 2014-12-23 2018-09-25 Mcafee, Llc System and method to combine multiple reputations
US9465940B1 (en) 2015-03-30 2016-10-11 Cylance Inc. Wavelet decomposition of software entropy to identify malware
EP3308311B1 (en) * 2015-06-15 2020-02-19 Nokia Technologies Oy Control of unwanted network traffic
US9992211B1 (en) * 2015-08-27 2018-06-05 Symantec Corporation Systems and methods for improving the classification accuracy of trustworthiness classifiers
US10496815B1 (en) 2015-12-18 2019-12-03 Exabeam, Inc. System, method, and computer program for classifying monitored assets based on user labels and for detecting potential misuse of monitored assets based on the classifications
US10423787B2 (en) 2016-02-23 2019-09-24 Carbon Black, Inc. Cybersecurity systems and techniques
US11140167B1 (en) 2016-03-01 2021-10-05 Exabeam, Inc. System, method, and computer program for automatically classifying user accounts in a computer network using keys from an identity management system
US10178108B1 (en) * 2016-05-31 2019-01-08 Exabeam, Inc. System, method, and computer program for automatically classifying user accounts in a computer network based on account behavior
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10169581B2 (en) 2016-08-29 2019-01-01 Trend Micro Incorporated Detecting malicious code in sections of computer files
US10333965B2 (en) 2016-09-12 2019-06-25 Qualcomm Incorporated Methods and systems for on-device real-time adaptive security based on external threat intelligence inputs
US20180077188A1 (en) * 2016-09-12 2018-03-15 Qualcomm Incorporated Methods And Systems For On-Device Real-Time Adaptive Security Based On External Threat Intelligence Inputs
US10069823B1 (en) * 2016-12-27 2018-09-04 Symantec Corporation Indirect access control
US10887325B1 (en) 2017-02-13 2021-01-05 Exabeam, Inc. Behavior analytics system for determining the cybersecurity risk associated with first-time, user-to-entity access alerts
US10645109B1 (en) 2017-03-31 2020-05-05 Exabeam, Inc. System, method, and computer program for detection of anomalous user network activity based on multiple data sources
US10841338B1 (en) 2017-04-05 2020-11-17 Exabeam, Inc. Dynamic rule risk score determination in a cybersecurity monitoring system
US9825994B1 (en) 2017-04-19 2017-11-21 Malwarebytes Inc. Detection and removal of unwanted applications
CN107465686A (zh) * 2017-08-23 2017-12-12 杭州安恒信息技术有限公司 基于网络异质大数据的ip信誉度计算方法及装置
CN107370754B (zh) * 2017-08-23 2020-04-07 杭州安恒信息技术股份有限公司 一种基于云防护的ip信誉度评分模型的网站防护方法
US10586038B2 (en) 2017-09-08 2020-03-10 Qualcomm Incorporated Secure stack overflow protection via a hardware write-once register
US11102239B1 (en) * 2017-11-13 2021-08-24 Twitter, Inc. Client device identification on a network
CN107819631B (zh) * 2017-11-23 2021-03-02 东软集团股份有限公司 一种设备异常检测方法、装置及设备
US10250623B1 (en) * 2017-12-11 2019-04-02 Malwarebytes, Inc. Generating analytical data from detection events of malicious objects
US11423143B1 (en) 2017-12-21 2022-08-23 Exabeam, Inc. Anomaly detection based on processes executed within a network
US11431741B1 (en) 2018-05-16 2022-08-30 Exabeam, Inc. Detecting unmanaged and unauthorized assets in an information technology network with a recurrent neural network that identifies anomalously-named assets
US10965708B2 (en) * 2018-06-06 2021-03-30 Whitehat Security, Inc. Systems and methods for machine learning based application security testing
US11178168B1 (en) 2018-12-20 2021-11-16 Exabeam, Inc. Self-learning cybersecurity threat detection system, method, and computer program for multi-domain data
US10873456B1 (en) * 2019-05-07 2020-12-22 LedgerDomain, LLC Neural network classifiers for block chain data structures
US11625366B1 (en) 2019-06-04 2023-04-11 Exabeam, Inc. System, method, and computer program for automatic parser creation
TWI721446B (zh) * 2019-06-05 2021-03-11 中國信託商業銀行股份有限公司 基於歸戶大數據的個人信用評分方法
US11769577B1 (en) 2020-01-15 2023-09-26 Ledgerdomain Inc. Decentralized identity authentication framework for distributed data
US11081219B1 (en) 2020-01-15 2021-08-03 Ledgerdomain Inc. Secure messaging in a machine learning blockchain network
US12105842B1 (en) 2020-01-15 2024-10-01 Ledgerdomain Inc. Verifiable credentialling and message content provenance authentication
US11956253B1 (en) 2020-06-15 2024-04-09 Exabeam, Inc. Ranking cybersecurity alerts from multiple sources using machine learning
US12063226B1 (en) 2020-09-29 2024-08-13 Exabeam, Inc. Graph-based multi-staged attack detection in the context of an attack framework
CN113282922B (zh) * 2021-06-29 2024-08-20 北京安天网络安全技术有限公司 对移动存储设备进行防护控制的方法、装置、设备及介质
US11741215B1 (en) 2022-11-07 2023-08-29 Ledgerdomain Inc. Recipient credentialing leveraging private keys on keystores read by provisioned devices
US11848754B1 (en) 2022-11-07 2023-12-19 Ledgerdomain Inc. Access delegation leveraging private keys on keystores read by provisioned devices
US11736290B1 (en) 2022-11-07 2023-08-22 Ledgerdomain Inc. Management of recipient credentials leveraging private keys on keystores read by provisioned devices
US11741216B1 (en) 2022-11-07 2023-08-29 Ledgerdomain Inc. Credential revocation leveraging private keys on keystores read by provisioned devices

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5712914A (en) 1995-09-29 1998-01-27 Intel Corporation Digital certificates containing multimedia data extensions
US6845453B2 (en) 1998-02-13 2005-01-18 Tecsec, Inc. Multiple factor-based user identification and authentication
EP1269384A2 (en) 2000-04-05 2003-01-02 ODS Properties, Inc. Interactive wagering systems and methods for restricting wagering access
EP2375690B1 (en) 2002-03-01 2019-08-07 Extreme Networks, Inc. Locating devices in a data network
US7269732B2 (en) 2003-06-05 2007-09-11 Sap Aktiengesellschaft Securing access to an application service based on a proximity token
US7055392B2 (en) 2003-07-04 2006-06-06 Robert Bosch Gmbh Micromechanical pressure sensor
US7373385B2 (en) * 2003-11-03 2008-05-13 Cloudmark, Inc. Method and apparatus to block spam based on spam reports from a community of users
WO2005086438A1 (en) 2004-03-02 2005-09-15 Cloudmark, Inc. A method and apparatus to use a statistical model to classify electronic communications
US7562304B2 (en) * 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US7437755B2 (en) 2005-10-26 2008-10-14 Cisco Technology, Inc. Unified network and physical premises access control server
KR100721522B1 (ko) 2005-11-28 2007-05-23 한국전자통신연구원 위치토큰을 이용한 위치기반 서비스 제공 방법
JP2007164465A (ja) 2005-12-14 2007-06-28 Hitachi Ltd クライアントセキュリティ管理システム
US7860752B2 (en) 2006-08-30 2010-12-28 Ebay Inc. System and method for measuring reputation using take volume
US8312536B2 (en) * 2006-12-29 2012-11-13 Symantec Corporation Hygiene-based computer security
US8849921B2 (en) 2007-06-28 2014-09-30 Symantec Corporation Method and apparatus for creating predictive filters for messages
CN101399683B (zh) 2007-09-25 2011-05-11 中国科学院声学研究所 一种信誉系统中的信誉计算方法
US8220034B2 (en) 2007-12-17 2012-07-10 International Business Machines Corporation User authentication based on authentication credentials and location information
US8001582B2 (en) * 2008-01-18 2011-08-16 Microsoft Corporation Cross-network reputation for online services
US8799630B2 (en) 2008-06-26 2014-08-05 Microsoft Corporation Advanced security negotiation protocol
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
CN101459718B (zh) 2009-01-06 2012-05-23 华中科技大学 一种基于移动通信网的垃圾语音过滤方法及其系统
US20100235915A1 (en) * 2009-03-12 2010-09-16 Nasir Memon Using host symptoms, host roles, and/or host reputation for detection of host infection
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
US8566932B1 (en) * 2009-07-31 2013-10-22 Symantec Corporation Enforcing good network hygiene using reputation-based automatic remediation
JP5540836B2 (ja) 2010-03-31 2014-07-02 ソニー株式会社 基地局、通信システム、および通信方法

Also Published As

Publication number Publication date
CA2763201A1 (en) 2011-02-17
CA2763201C (en) 2016-08-09
CN102656587B (zh) 2016-06-08
CN102656587A (zh) 2012-09-05
US20110040825A1 (en) 2011-02-17
WO2011019720A1 (en) 2011-02-17
JP2013502009A (ja) 2013-01-17
US20150269379A1 (en) 2015-09-24
US9081958B2 (en) 2015-07-14
EP2465071A1 (en) 2012-06-20

Similar Documents

Publication Publication Date Title
JP5599884B2 (ja) 評価システムでのクライアント装置の信頼度メトリクスの使用
US8997190B2 (en) Using metadata in security tokens to prevent coordinated gaming in a reputation system
JP5610451B2 (ja) コンピュータファイルの評判スコアの個別有効期間
US9246931B1 (en) Communication-based reputation system
US8756691B2 (en) IP-based blocking of malware
US8381289B1 (en) Communication-based host reputation system
US8205255B2 (en) Anti-content spoofing (ACS)
US8312537B1 (en) Reputation based identification of false positive malware detections
US8510836B1 (en) Lineage-based reputation system
JP5510937B2 (ja) エンティティのレピュテーションスコアの簡易化された伝達
JP6068506B2 (ja) オンライン不正行為の検出の動的採点集計のシステムおよび方法
US8250657B1 (en) Web site hygiene-based computer security
US8341745B1 (en) Inferring file and website reputations by belief propagation leveraging machine reputation
US8726391B1 (en) Scheduling malware signature updates in relation to threat awareness and environmental safety
US8499350B1 (en) Detecting malware through package behavior
CA2918753A1 (en) Determining an indicator of aggregate, online security fitness
US8201255B1 (en) Hygiene-based discovery of exploited portals
WO2023174389A1 (zh) 一种安全状态评估方法及装置、电子设备和可读存储介质
US9275231B1 (en) Method and apparatus for securing a computer using an optimal configuration for security software based on user behavior
Sullivan The definitive guide to controlling malware, spyware, phishing, and spam

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130626

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130626

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140319

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140715

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140813

R150 Certificate of patent or registration of utility model

Ref document number: 5599884

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250