JP5632097B2 - シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出 - Google Patents

シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出 Download PDF

Info

Publication number
JP5632097B2
JP5632097B2 JP2013543413A JP2013543413A JP5632097B2 JP 5632097 B2 JP5632097 B2 JP 5632097B2 JP 2013543413 A JP2013543413 A JP 2013543413A JP 2013543413 A JP2013543413 A JP 2013543413A JP 5632097 B2 JP5632097 B2 JP 5632097B2
Authority
JP
Japan
Prior art keywords
activity
processing system
predicted
security engine
snapshot
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013543413A
Other languages
English (en)
Other versions
JP2013545210A (ja
Inventor
プーアナチャンドラン、ラジェシュ
アイシ、セリム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2013545210A publication Critical patent/JP2013545210A/ja
Application granted granted Critical
Publication of JP5632097B2 publication Critical patent/JP5632097B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、全体的に、データ処理システムでのマルウェア検出に関する。
[著作権表示/許諾]
本明細書は、著作権保護の対象となる題材を含む。著作権所有者は、米国特許商標庁の特許包袋もしくは記録の通りに特許文書の開示内容が何人により再現されようと異議を申し立てないが、その他のあらゆる著作権およびその他の権利を留保する。
移動体デバイスが社会で普及している今日、移動コンピューティング環境で動作するアプリケーションは、数も増大し、機能性も向上している。移動体デバイスは、現在、ファイナンス・バンキングに関するトランザクション、健康・ウェルネスの管理、支払い処理、ソーシャルネットワーキング等の高度にセンシティブなトランザクションの処理に使用されている。これらの高度にセンシティブなトランザクションによって、移動体デバイスは、ハッカーおよびマルウェアにとって恰好のターゲットとなっている。フォームファクターが小さく、移動体デバイスで利用可能なコンピューティング資源、ストレージ、およびバッテリ寿命が制限されるので、従来のウィルス防止技術は、移動体デバイス上では、有用性が限られている。
本発明の一実施形態に係る、シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出を可能にするシステムのブロック図である。 本発明の一実施形態に係る図1のシステムの詳細なブロック図である。 本発明の一実施形態に係る、シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出を実行する方法のフローチャートである。 本発明の一実施形態に係る、システムの動作時にユーザが呼び出した新しいアプリケーションを監視する方法のフローチャートである。
本発明の実施形態は、シグネチャとは無関係に、システム挙動に基づいて、マルウェア検出を実行する方法、システム、およびコンピュータプログラムプロダクトを提供する。一実施形態では、この方法は、一つ以上の資源を有する処理システムの現在の動作モードでアクティブになることが予測される少なくとも一つのプロセスを特定する段階と、現在の動作モードとアクティブになることが予測される少なくとも一つのプロセスとに基づいて、処理システムの一つ以上の資源の予測されるアクティビティレベルを算出する段階と、複数の資源の実際のアクティビティレベルを判定する段階と、予測アクティビティレベルと実際のアクティビティレベルとの間に偏差がある場合、予測されないアクティビティのソースを偏差の潜在的原因として特定する段階と、ポリシーガイドラインを使用して、予測されないアクティビティが合法であるかを判定する段階と、予測されないアクティビティが合法でない場合、予測されないアクティビティのソースをマルウェアに分類する段階とを備える。
この方法は、処理システムのスナップショットを遠隔のサーバに送信する段階をさらに備えてよく、遠隔のサーバは、ウィルスシグネチャを調べるべく、スナップショットを検証し、および/または、スナップショットを分析する。この方法は、予測されないアクティビティのソースを終了させる段階をさらに備えてよい。一実施形態では、この方法は、処理システムの現在の動作モードから新しい動作モードへの変更を識別する段階と、少なくとも一つのプロセスがアクティブになると予測される瞬間(秒)を特定する段階と、新しい動作モードと少なくとも一つのプロセスがアクティブになると予測される瞬間(秒)とに基づいて、予測アクティビティレベル調整する段階とを備える。一実施形態では、ポリシーガイドラインを使用して、予測されないアクティビティが合法であるかを判定する段階は、ソースに署名が施されているかを判定する段階を有する。ポリシーガイドラインを使用して、予測されないアクティビティが合法であるかを判定する段階は、予測されないアクティビティのユーザに警告を発して、予測されないアクティビティについてのユーザからのフィードバックを得る段階をさらに有してよい。
本明細書において、本発明の「一実施形態」または「ある実施形態」と言及する場合、当該実施形態に関連して記載される特定の特性、構造、または特徴が、本発明の少なくとも一つの実施形態に含まれるということが意図される。したがって、本明細書の全体を通して各所に記載される「一実施形態では」、「一実施形態によると」等の表現は、必ずしも全てが同一の実施形態を示すのではない。
説明の便宜を図るべく、特定の構成および詳細を述べることで、本発明の完全な理解を促す。しかし、本明細書に提示される特定の詳細がなくても、本発明の実施形態は実施可能であることが当業者には明らかとなるであろう。さらに、本発明が曖昧とならないように、周知の特性を省略または簡略化する場合がある。この記載を通して、多様な例を提示する。これらは、本発明の特定の実施形態を単に記載するものである。本発明の範囲は、提示される例に限定されない。
従来のデスクトップシステムでは、コンピュータが実行ファイルをダウンロードまたは実行開始した後、多くのユーザは、周知のウィルスを検出して除去することができるウィルス対策ソフトウェアをインストールする。ウィルス対策ソフトウェアアプリケーションがウィルスを検出するのに使用する一般的な方法が二つある。一番目の最も一般的なウィルス検出方法は、ウィルスシグネチャ定義のリストの使用である。この方法では、コンピュータのメモリ(RAMおよびブートセクター)並びに固定または取り外し可能ドライブ(ハードドライブおよびフロッピー(登録商標)ドライブ)に格納されたファイルの内容を調べて、これらのファイルを周知のウィルス「シグネチャ」のデータベースと比較する。この検出方法の欠点の一つは、ユーザは、最後にウィルス定義を更新した時点より以前から存在するウィルスからしか保護されないことである。別の欠点は、何百万ものエントリを保存することとなりうるウィルスシグネチャデータベースを格納するのにかなりの資源が必要となり、移動体デバイス上で確保できる記憶容量を超えてしまうことである。
ウィルス検出の二番目の方法は、ウィルスソフトウェアが示す共通の挙動に基づいてウィルスを発見する発見的アルゴリズム(heuristic altorithm)の使用である。この方法では、シグネチャがまだ定義されていない新種のウィルスを検出することができるが、ウィルスソフトウェアが示す共通の挙動を前もって特定する必要がある。この方法にも、共通の挙動を特定および追跡するべく膨大なコンピューティング資源が必要であり、このような膨大なコンピューティング資源は移動体デバイス上では確保できないという欠点がある。
図1は、本発明の一実施形態に係る、シグネチャとは無関係に、システム挙動に基づいてマルウェアを検出するシステムのブロック図である。移動体コンピュータシステムおよび/または携帯電話に対応するプラットフォーム100は、チップセット120に接続されたプロセッサ110を備える。プロセッサ110は、プラットフォーム100の処理機能であり、シングルコアまたはマルチコアのプロセッサであってよく、2つ以上のプロセッサをプラットフォーム100に設けてよい。プロセッサ110は、一つ以上のシステムバス、通信経路、または通信媒体(不図示)を介してプラットフォーム100のその他のコンポーネントに接続されてよい。プロセッサ110は、相互接続151を介してネットワーク150でエンタプライズサーバ170と通信するホストアプリケーション112等のホストアプリケーションを実行する。ホストアプリケーション112は、ホストオペレーティングシステム105の制御下で動作する。
チップセット120は、プロセッサ110から独立して動作し、プラットフォーム100のセキュリティを管理する組み込みマイクロプロセッサとして実装してよいセキュリティエンジン130を有する。セキュリティエンジン130は、暗号化機能およびその他のユーザ認証機能を提供する。一実施形態では、プロセッサ110は、ホストオペレーティングシステム105の命令により動作するが、セキュリティエンジン130は、ホストオペレーティングシステム105によってアクセスできないセキュアで隔離された環境を提供する。このセキュアな環境を、本明細書では、セキュアパーティションと呼ぶ。セキュアな環境には、セキュアストレージ132も存在する。
一実施形態では、ホストアプリケーション112は、セキュリティエンジン130内で動作する挙動分析モジュール140を使用して、シグネチャとは無関係の、システム挙動に基づいたマルウェア検出を実行する。ホストアプリケーション112は、シグネチャとは無関係のシステム挙動に基づいたマルウェア検出を含むセキュリティエンジン130のサービスを、セキュリティエンジンインターフェース(SEI)114を介して要求する。挙動分析モジュール140は、セキュリティエンジン130によって実行されるファームウェアとして実装してよい。
セキュリティエンジン130とエンタプライズサーバ170との通信は、帯域外通信チャネル152を介して実行される。一実施形態では、帯域外通信チャネル152は、ホストシステムのセキュリティエンジン130とエンタプライズサーバ170との間のセキュアな通信チャネルである。帯域外通信チャネル152によって、セキュリティエンジン130は、プラットフォーム100のホストオペレーティングシステム105から独立して、外部のサーバと通信可能である。
図2は、図1のシステムのコンポーネントをより詳細に表した図である。図2に示す実施形態では、挙動分析モジュールユーザインターフェース212は、モバイルオペレーティングシステム(OS)205によって構築される環境で動作するホストアプリケーションである。挙動分析モジュールユーザインターフェース212は、挙動分析モジュール240を呼び出して、シグネチャとは無関係のシステム挙動に基づいたマルウェア検出を提供する。挙動分析モジュールユーザインターフェース212と挙動分析モジュール240とのやり取りは、実施例ごとに特定であり、直接、またはモバイルOS205を介して、実行してよい。一実施形態では、挙動分析モジュールユーザインターフェース212は、挙動分析モジュール240の動的設定をオーバーライドすることもできる。
モバイルOS205は、アイドル期間にプラットフォーム200のサブシステムを一時停止させ、プロセッサ210が低電力状態で動作する時間長を増加させる電力管理器207を有する。電力管理器207は、可能な最小電力状態にプロセッサ210を維持し、移動体デバイス200の節電量を増大させる。
挙動分析モジュール240はセキュリティエンジン230内で動作するので、挙動分析モジュール240は、セキュリティエンジンインターフェース(SEI)214を介してアクセスされる。挙動分析モジュール240は、プロセッサモニタ241、バッテリモニタ242、覚醒イベントモニタ243、および通信/ログエージェント244を含むいくつかのサブモジュールを含む。
プロセッサモニタ241は、プロセッサ利用情報を挙動分析モジュール240に提供する。プロセッサモニタ241は、カーネル制御器/メニュー(不図示)とやり取りすることにより、プロセッサ利用を監視する。プロセッサモニタ241は、特権および/または周波数を制限した状態でプロセスが実行されるようにすることもできる。
バッテリモニタ242は、バッテリ利用情報を挙動分析モジュール240に提供する。バッテリの利用を監視して、プロセッサ以外の資源の過度の利用を検出する。たとえば、バッテリモニタ242は、グラフィックスエンジン資源またはオーディオサブシステムの過度の利用を検出してよい。バッテリモニタ242は、バッテリ250のドライバ(不図示)とやり取りすることにより、バッテリ利用を監視する。
覚醒イベントモニタ243は、システム制御ユニット(SCU)208と協働して覚醒イベントを監視する。覚醒イベントモニタ243は、所定の動作モードにおいて予測されない覚醒イベントをフィルターするようSCU208のレジスタを設定する。システム制御ユニット(SCU)208は、きめ細やかなプラットフォーム電力管理支援を実行する。プラットフォーム200の覚醒イベントは、SCU208を介して覚醒イベントモニタ243にルーティングされる。
挙動分析モジュール240は、呼び出されると、セキュアストレージ232からポリシー設定をロードする。挙動分析モジュール240は、モバイルOS205の電力管理器207から、プラットフォームの現在の動作モードを取得する。プラットフォームの動作モードの例としては、ブラウジング、映像/音声の再生、カメラ、電話等がある。現在の動作モードに基づいて、挙動分析モジュール240は、アクティブになることが予測される少なくとも一つのプロセスを特定する。たとえば、音声再生モードでは、オーディオサブシステムのプロセスがアクティブになることが予測され、プロセッサは、バッファの設定・消去のためだけに起動されることが予測される。
挙動分析モジュール240は、プラットフォーム200の資源のアクティビティレベルを監視し、実際のアクティビティレベルを予測アクティビティレベルと比較する。予測アクティビティレベルは、システムの動作モードと、その動作モードでアクティブになることが予測されるプロセスとに基づいて決定される。たとえば、プロセッサモニタ241は、カーネルプロセッサメニュー/制御器(不図示)とやり取りして、現在の動作モードでのプロセッサ210およびバッテリ250の予測アクティビティレベルを決定する。次に、プロセッサ210およびバッテリ250の実際のアクティビティレベルと、システム制御ユニット(SCU)208が扱う覚醒イベントの数および種類とを監視する。実際のアクティビティレベルと予測アクティビティレベルとに偏差が発見された場合、予測されないアクティビティのソースを偏差の潜在的原因として特定する。
挙動分析モジュール240は、カーネルスケジューラ(不図示)と協働してシステムで現在アクティブとなっているプロセスを特定することにより、予測されないアクティビティのソースを特定する。現在アクティブとなっているこれらのプロセスを、プラットフォームの現在の動作モードで起動されていると現在予測されているアプリケーションにマッピングする。アクティブとなっているプロセスを現在の動作モードで予測されるアプリケーションにマッピングできない場合、アクティブとなっているそのプロセスおよびそれに対応付けられたアプリケーションを予測されないアクティビティのソースとして特定する。
予測されないアクティビティのソースを特定すると、挙動分析モジュール240は、ポリシーガイドラインを使用して、予測されないアクティビティが合法であるかを判定する。たとえば、ポリシーガイドラインは、アプリケーションが合法であると認められるには署名されていなければならない旨を規定してよい。ポリシーガイドラインは、予測されないアクティビティについてユーザに警告を発し、ユーザのフィードバックを取得して、アプリケーションが合法であるかを判定する旨を規定してよい。
予測されないアクティビティが合法でないと判定されたら、予測されないアクティビティのソースをマルウェアとして分類してよい。ポリシーガイドラインを使用して、マルウェアの対処策を決定してよく、たとえば、予測されないアクティビティのソースを終了してよく、および/または、さらに分析するべくシステムのスナップショットを取ってよい。たとえば、システムのスナップショットを遠隔のサーバに送信して分析させてよい。遠隔のサーバは、スナップショットの検証および/またはスナップショットをウィルスシグネチャに関して分析してよい。
挙動分析モジュール240は、プラットフォーム200の動作モードが変更された場合、モバイルOS205の電力管理器207から通知を受けてよい。たとえば、プラットフォーム200が当初は音声再生モードであった場合にユーザがブラウザを起動させると、システムは、「ブラウザ+音声再生」動作モードに変化する。モバイルOS205の電力管理器207から通知を受けると、挙動分析モジュール240は、自身の設定および予測アクティビティレベルを調整して、虚偽の警告のトリガを回避する。
通信/ログエージェント244は、システム状態のスナップショットを定期的にログして、当該情報を図1のエンタプライズサーバ170等の遠隔のサーバに送信して、検証および/または分析させてよい。ログした情報を送信する際、通信/ログエージェント244は、エンタプライズサーバ170とのセキュアな通信チャネルを構築する。スナップショットに取る情報は、実施例ごとに特定であり、検出された異常アクティビティの統計、実行されている非署名アプリケーションの識別情報および/またはコード、ユーザのデバイス使用パターン、特権設定のオーバーライド試行のログ、及び珍しい挙動パターンのログを含んでよい。
プラットフォーム200は、メモリ204およびセキュアストレージ232等のメモリ装置をさらに備える。これらのメモリ装置は、ランダムアクセスメモリ(RAM)および読み出し専用メモリ(ROM)を含んでよい。本発明においては、通常、消去可能プログラム可能ROM(EPROM)、電気的消去可能プログラム可能ROM(EEPROM)、フラッシュROM、フラッシュメモリ等の不揮発性メモリ装置を指して、「ROM」という用語を使用する。セキュアストレージ232は、統合デバイスエレクトロニクス(IDE)ハードドライブ等の大容量記憶装置、および/または、たとえば、フロッピー(登録商標)ディスク、光学式記憶装置、テープ、フラッシュメモリ、メモリスティック、デジタルビデオディスク、生物学的記憶装置等のその他の装置または媒体を含んでよい。一実施形態では、セキュアストレージ232は、モバイルOS205から隔離されたチップセット220内に組み込まれたeMMC NANDフラッシュメモリである。
プロセッサ210は、ディスプレイコントローラ202、小型コンピュータ用周辺機器インターフェース(SCSI)コントローラ、通信コントローラ206等のネットワークコントローラ、ユニバーサルシリアルバス(USB)コントローラ、キーボードおよびマウス等の入力装置等のさらなるコンポーネントに通信可能に結合されてもよい。プラットフォーム200は、多様なシステムコンポーネントを通信可能に結合するべく、メモリコントローラハブ、入出力(I/O)コントローラハブ、PCIルートブリッジ等の一つ以上のブリッジまたはハブをさらに備えてよい。本明細書で使用される「バス」という用語は、共有の通信経路およびポイントツーポイント経路を指すべく使用される場合がある。
たとえば、通信コントローラ206等のいくつかのコンポーネントは、バスと通信するためのインターフェース(たとえば、PCIコネクタ)を有するアダプタカードとして実装してよい。一実施形態では、プログラム可能またはプログラム不可能な論理デバイスまたはアレイ、特定用途向け集積回路(ASICs)、組み込みコンピュータ、スマートカード等を使用して、一つ以上の装置を組み込みコントローラとして実装してよい。
本明細書で使用される「処理システム」および「データ処理システム」という用語は、単一の機械、または、通信可能に結合されて協働する複数の機械または装置から構成されるシステムを広範に包含することが意図される。処理システムの例としては、分散コンピューティングシステム、スーパーコンピュータ、高性能コンピューティングシステム、コンピューティングクラスタ、メインフレームコンピュータ、ミニコンピュータ、クライアント−サーバシステム、パーソナルコンピュータ、ワークステーション、サーバ、携帯型コンピュータ、ラップトップコンピュータ、タブレット、電話、携帯情報端末(PDA)、ハンドヘルドデバイス、音声および/または映像端末等の娯楽端末、情報を処理または送信するためのその他の装置等があるが、これらに限定されない。
キーボード、マウス、タッチスクリーン、音声作動式装置、ジェスチャ作動式装置等の従来の入力装置からの入力、および/または、別の装置から受信したコマンド、生体認証機能からのフィードバック、もしくはその他の入力ソース/信号によって、少なくとも部分的にプラットフォーム200を制御してよい。プラットフォーム200は、たとえば、通信コントローラ206、モデム、またはその他の通信ポートもしくは通信結合部を介して、図1のエンタプライズサーバ170等の一つ以上の遠隔データ処理システムへの一つ以上の接続を活用してよい。
ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、イントラネット、インターネット等の物理的および/または論理的なネットワークを介して、プラットフォーム200をその他の処理システム(不図示)に相互接続してよい。ネットワークを介した通信は、無線周波数(RF)、衛星、マイクロ波、電気電子技術者協会(IEEE)802.11、ブルートゥース(登録商標)、光、赤外線、ケーブル、レーザ等を含む多様な有線および/または無線の短距離または長距離キャリアおよびプロトコルを利用してよい。
図3は、本発明の一実施形態に係る、シグネチャとは無関係のシステム挙動に基づいたマルウェア検出を実行する方法のフローチャートである。図3に示す本方法の段階は、図1および図2に示すシステムのコンポーネントによって実行されるものとして記載する。本方法は、302の「プラットフォームで挙動分析モジュールが起動されたか」の判定点から始まる。プラットフォーム200で挙動分析モジュール240が起動されていない場合、処理は終了する。挙動分析モジュール240が起動されると、制御は、段階304の「セキュアストレージからポリシー設定をロードする」に進む。プロセッサ210およびバッテリ250等の各資源の予測アクティビティレベルについてのポリシー設定が、動作モードごとに確立され、セキュアストレージ232のポリシーデータベースに保存される。これらのポリシー設定は、メモリにロードされ、挙動分析モジュール240は、段階306の「プラットフォームの現在の動作モードを電力管理器から取得する」に進む。挙動分析モジュール240は、モバイルOS205の電力管理器207から現在の動作モードを取得する。継続的に、モバイルOS205の電力管理器207は、段階308の「プラットフォームの動作モードが変更されたら、電力管理器は挙動分析モジュールに通知する」に示すように、プラットフォームの動作モードに変更があった場合に、挙動分析モジュール240に通知する。
段階306の「プラットフォームの現在の動作モードを電力管理器から取得する」から、制御は、段階310の「動作モードに基づいて、対応するモードでアクティブになることが予測されるプロセスを判定する」に進み、挙動分析モジュール240は、プラットフォーム200の現在の動作モードに基づいて、アクティブになることが予測される少なくとも一つのプロセスを特定する。制御は、段階312の「現在の動作モードの予測アクティビティレベルを算出する(プロセッサ周波数およびバッテリ消費を概算する)」に進み、挙動分析モジュール240は、現在の動作モードの場合のプラットフォーム200の資源の予測アクティビティレベルを算出する。たとえば、概算的なプロセッサ周波数およびバッテリ消費レベルを算出してよい。次に、制御は、段階314の「予測アクティビティレベルに対する実際のアクティビティレベルの偏差を監視する」に進む。段階314で、挙動分析モジュール240は、実際のアクティビティレベルが予測アクティビティレベルに対して偏差を有するか監視する。たとえば、プロセッサモニタ241は、予測アクティビティレベルに対するプロセッサ周波数、特権期間(privilege duration)、および使用期間(usage duration)の偏差を監視する。バッテリモニタ242は、予測バッテリ消費量に対するバッテリ使用の偏差を監視する。覚醒イベントモニタ243は、現在の動作モードの場合の覚醒イベントの予測数を、システム制御ユニット(SCU)208を使用して監視する。
制御は、段階314の「予測アクティビティレベルに対する実際のアクティビティレベルの偏差を監視する」から316の「偏差が検出されたか」の判定点に進む。偏差が検出されなかった場合、制御は、段階322の「システムのスナップショットを取って、スナップショットをログする」に進み、通信/ログエージェント244は、システムのスナップショットを取ってログに書き込む。スナップショットに収集されるデータ量およびスナップショットを取る周期は、実施例ごとに特定であり、相手先商標製品製造業者/相手先商標機器製造業者(OEM/ODM)によって決定してよい。一実施形態では、システムのスナップショットを遠隔のサーバが分析して、ウィルスシグネチャマッチングを遠隔のサーバで実行し、クライアント処理システムで要求されるシグネチャ処理用資源を少なくしてよい。
316の「偏差が検出されたか」の判定点で偏差が検出されると、制御は、段階318の「予測されないアクティビティレベルのソースを特定する」に進む。段階318では、予測されないプロセッサ周波数のソース等の予測されないアクティビティレベルのソースを偏差の潜在的ソースとして特定する。次に、制御は、段階320の「ポリシーガイドラインを使用して予測されないアクティビティが合法であるかを判定する」に進む。上記したように、予測されないアクティビティのソースを特定すると、挙動分析モジュール240は、ポリシーガイドラインを使用して予測されないアクティビティが合法であるかを判定する。たとえば、ポリシーガイドラインは、アプリケーションは、合法であると認められるには、署名されていなければならない旨を規定してよい。ポリシーガイドラインは、アプリケーションが合法であるかを判定するには、予測されないアクティビティについてユーザに警告を発して、ユーザからのフィードバックを取得する旨を規定してよい。制御は、322の「アクティビティは合法であるか」の判定点に進む。予測されないアクティビティが合法であると判定されれば、制御は、段階326の「ポリシー設定にしたがって行動をとる」に進む。たとえば、さらなる監視ルーチンを呼び出して、予測されないアクティビティのソースであるアプリケーションを監視してよい。
322の「アクティビティは合法であるか」の判定点で、予測されないアクティビティが合法でないと判定されると、制御は、段階324の「予測されないアクティビティのソースをマルウェアとして分類する」に進み、予測されないアクティビティのソースをマルウェアとして分類する。次に、制御は、段階326の「ポリシー設定にしたがって行動をとる」に進み、マルウェアに対処するべく、予測されないアクティビティレベルのソースを終了させる、および/または、システムのスナップショットを遠隔のサーバに通知する等の適切な行動をとる。次に、制御は、段階328の「システムのスナップショットを取り、スナップショットをログする」に進み、通信/ログエージェント244は、システムのスナップショットを取ってログに書き込む。
図4は、システムが動作している間にユーザが呼び出した新しいアプリケーションを監視するための本発明の一実施形態に係る方法のフローチャートである。402の「ユーザが新しいアプリケーション/サービスを起動させたか」の判定点で、挙動分析モジュール240は、プラットフォーム200のユーザが新しいアプリケーションまたはサービスを起動させたかを判定する。新しいアプリケーションまたはサービスが起動されていない場合、処理は終了する。新しいアプリケーションまたはサービスが起動されている場合、制御は、404の「アプリケーション/サービスは署名されているか」の判定点に進む。アプリケーションまたはサービスが署名されていれば、制御は、段階408の「アプリケーション/サービスの起動を許可/拒否し、それにしたがって動作モードを更新する」に進む。挙動分析モジュール240は、アプリケーションまたはサービスの起動を許可または拒否し、そのいずれであるかにしたがって動作モードを更新する。
404の「アプリケーション/サービスは署名されているか」の判定点で、アプリケーションまたはサービスが署名されていなければ、制御は、段階406の「ユーザに警告して、ユーザからのフィードバックに基づいて調整する」に進む。挙動分析モジュールユーザインターフェース212を介してユーザに警告を発し、挙動分析モジュール240は、ユーザからのフィードバックにしたがって自身の挙動を調整する。たとえば、ユーザは、全てのアプリケーションおよびサービスが署名されていなければならないという要件をオーバーライドして未署名であってもアプリケーションの起動を許可する命令を発行してよい。または、挙動分析モジュール240は、未署名のアプリケーションは許可できない旨をユーザに通知してよい。制御は、段階406の「ユーザに警告して、ユーザからのフィードバックに基づいて調整する」から、段階408の「アプリケーション/サービスの起動を許可/拒否し、それにしたがって動作モードを更新する」に進む。挙動分析モジュール240は、アプリケーションまたはサービスの起動を許可または拒否し、それにしたがって動作モードを更新する。
図4を参照して記載した処理は、新しいアプリケーションが起動されたとき、または予測アクティビティレベルに対する実際のアクティビティレベルの偏差が生じたかの判定を行ったごとに、実行してよい。図4を参照して記載した処理は、予測されないアクティビティが合法であるかを判定するべく使用してよい。
本明細書においてシグネチャとは無関係のシステム挙動に基づいたマルウェア検出について記載した技術には、従来のマルウェア検出法と比較していくつかの利点がある。マルウェア検出の実行には、何百万ものマルウェアシグネチャを検出するべくソフトウェアプログラムを調べることが伴わないので、かなりのストレージおよびコンピューティング資源が節約される。本明細書に記載される挙動分析モジュールは、処理システムの動作モード並びにプロセッサおよびバッテリ等の資源のアクティビティレベルを活用して、積極的にマルウェアを特定する。挙動分析モジュールは、動作モードが変化したとき、動的に調整するので、虚偽の警告が回避される。挙動分析モジュールは、挙動を分析する際、アプリケーションまたはサービスが署名されているかも考慮する。
本明細書に記載の挙動分析モジュールは、設定可能(configurable)でポリシーベース(policy−based)である。挙動分析モジュールは、システムのスナップショットを取り、スナップショットを遠隔のエンタプライズサーバに提供し、検証させることができる。
さらに、本明細書に記載の挙動分析モジュールは、処理システムのオペレーティングシステムから隔離されたセキュアな環境で動作する。これにより、挙動分析データは、ユーザ、オペレーティングシステム、ホストアプリケーション、およびマルウェアを含む信頼できない存在にアクセスされないようになる。さらに、ポリシー設定およびトランザクションログは、タンパープルーフのセキュアなストレージに記憶される。遠隔のエンタプライズサーバからポリシーおよび警告をセキュアに送信することができるので、挙動分析モジュールは、変化し続けるマルウェア環境に適合することが可能である。
本明細書に記載のメカニズムの実施形態は、ハードウェア、ソフトウェア、ファームウェア、または、これらの実装法の組み合わせで実装してよい。本発明の実施形態は、少なくとも一つのプロセッサ、データストレージシステム(揮発性および不揮発性のメモリ、および/またはストレージ要素を含む)、少なくとも一つの入力装置、および少なくとも一つの出力装置を備えるプログラマブルシステムで実行されるコンピュータプログラムとして実装してよい。
入力データにプログラムコードを適用して、本明細書に記載の機能を実行し、出力情報を生成してよい。本発明の実施形態は、本発明の動作を実行するための命令、または、本明細書に記載の構造、回路、装置、プロセッサ、および/またはシステム特性を定義するHDL等の設計データを含む機械アクセス可能媒体も含む。このような実施形態もプログラムプロダクトと呼んでよい。
このような機械アクセス可能記憶媒体は、ハードディスク等の記憶媒体、フロッピー(登録商標)ディスク、光ディスク、読み出し専用コンパクトディスクメモリ(CD−ROMs)、書き換え可能コンパクトディスク(CD−RWs)、もしくは磁気光ディスク等のその他の種類のディスク、読み出し専用メモリ(ROMs)、動的ランダムアクセスメモリ(DRAMs)もしくは静的ランダムアクセスメモリ(SRAMs)等のランダムアクセスメモリ(RAMs)、消去可能プログラム可能読み出し専用メモリ(EPROMs)、プログラム可能フラッシュメモリ(FLASH)、もしくは電気的消去可能プログラム可能読み出し専用メモリ(EEPROMs)等の半導体装置、磁気もしくは光カード、または、電子的命令を記憶するのに適したその他の任意の種類の媒体を含む、機械または装置により製造または形成された粒子の有形の配置(tangible arrangements)であってよいが、これに限定されない。
出力情報は、周知の方法で、一つ以上の出力装置に適用してよい。本願の目的においては、処理システムは、たとえば、デジタルシグナルプロセッサ(DSP)、マイクロコントローラ、特定用途向け集積回路(ASIC)、またはマイクロプロセッサ等のプロセッサを有する任意のシステムを含む。
プログラムは、処理システムとやり取りするべく、高水準手続き型言語またはオブジェクト指向プログラミング言語で実装してよい。プログラムは、所望であれば、アセンブリ言語または機械言語で実装してもよい。実際、本明細書に記載のメカニズムの範囲は、特定のプログラミング言語に限定されない。いずれにせよ、言語は、コンパイルまたはインタープリットされた言語であってよい。
本明細書には、シグネチャとは無関係のシステム挙動に基づいたマルウェア検出を実行する方法およびシステムの実施形態を提示した。本発明の特定の実施形態を示し記載したが、添付の特許請求の範囲から逸脱することなく、多くの変更、多様化、および改変を行うことができることが当業者には明らかとなろう。したがって、本発明から逸脱することなく、そのより広い観点において変更および改変を行うことができることは当業者であれば認識するであろう。添付の特許請求の範囲は、本発明の真の範囲および趣旨のうちにあるこのようなあらゆる変更、多様化、および改変を、その範囲に包含するものとする。

Claims (21)

  1. メインプロセッサおよびバッテリを含む一つ以上の資源を備える処理システムの前記メインプロセッサとは独立して動作するセキュリティエンジンが、前記処理システムの現在の動作モードで、前記処理システムのホストオペレーティングシステムの命令によりアクティブになることが予測される少なくとも一つのプロセスを特定する段階と、
    前記セキュリティエンジンが、前記現在の動作モードとアクティブになることが予測される前記少なくとも一つのプロセスとに基づいて、前記メインプロセッサの予測プロセッサ周波数および前記バッテリのバッテリ消費の予測レベルを含む前記処理システムの前記一つ以上の資源の予測アクティビティレベルを算出する段階と、
    前記セキュリティエンジンが、前記メインプロセッサのプロセッサ周波数および前記処理システムのバッテリのバッテリ消費のレベルを含む前記一つ以上の資源の実際のアクティビティレベルを判定する段階と、
    前記予測アクティビティレベルと前記実際のアクティビティレベルとの間に偏差が検出された場合に、前記セキュリティエンジンが、前記偏差の潜在的原因である予測されないアクティビティのソースとして、予測されないアクティブなプロセスおよび前記予測されないアクティブなプロセスに対応付けられたアプリケーションを特定する段階と、
    前記セキュリティエンジンが、ポリシーガイドラインを使用して、前記予測されないアクティビティが合法であるかを判定する段階と、
    前記予測されないアクティビティが合法でない場合、前記セキュリティエンジンが、前記予測されないアクティビティの前記ソースをマルウェアとして分類する段階と
    を備えるコンピュータ実装される方法。
  2. 前記セキュリティエンジンが、帯域外通信チャネルを介して前記処理システムのスナップショットを遠隔のサーバに送信する段階をさらに備え、
    前記遠隔のサーバは、前記スナップショットの検証を行う
    請求項1に記載の方法。
  3. 前記セキュリティエンジンが、帯域外通信チャネルを介して前記処理システムのスナップショットを遠隔のサーバに送信する段階をさらに備え、
    前記遠隔のサーバは、前記スナップショットをウィルスシグネチャに関して分析する
    請求項1または2に記載の方法。
  4. 前記ホストオペレーティングシステムが、前記予測されないアクティビティの前記ソースを終了させる段階をさらに備える請求項1から3のいずれか1項に記載の方法。
  5. 前記セキュリティエンジンが、前記処理システムの前記現在の動作モードから新しい動作モードへの変化を識別する段階と、
    前記セキュリティエンジンが、少なくとも一つのプロセスがアクティブになると予測される瞬間を特定する段階と、
    前記セキュリティエンジンが、前記新しい動作モードと、少なくとも一つのプロセスがアクティブになると予測される前記瞬間とに基づいて、前記予測アクティビティレベルを調整する段階と
    をさらに備える請求項1から4のいずれか1項に記載の方法。
  6. 前記ポリシーガイドラインを使用して、前記予測されないアクティビティが合法であるかを判定する段階は、前記ソースが署名されているかを判定する段階を有する請求項1から5のいずれか1項に記載の方法。
  7. 前記ポリシーガイドラインを使用して、前記予測されないアクティビティが合法であるかを判定する段階は、
    前記予測されないアクティビティをユーザに警告する段階と、
    前記予測されないアクティビティについて前記ユーザからフィードバックを取得する段階と
    を有する請求項1から6のいずれか1項に記載の方法。
  8. ホストオペレーティングシステムを実行するメインプロセッサと、
    前記メインプロセッサから独立して動作するセキュリティエンジンと、
    前記セキュリティエンジンに結合されたメモリと
    を備える処理システムであって
    前記メモリは、実行されると前記セキュリティエンジンに、
    前記メインプロセッサおよびバッテリを含む一つ以上の資源を備える前記処理システムの現在の動作モードで、前記ホストオペレーティングシステムの命令によりアクティブになると予測される少なくとも一つのプロセスを特定する手順と、
    前記現在の動作モードと、アクティブになると予測される前記少なくとも一つのプロセスとに基づいて、前記メインプロセッサの予測プロセッサ周波数および前記バッテリのバッテリ消費の予測レベルを含む前記処理システムの前記一つ以上の資源の予測アクティビティレベルを算出する手順と、
    前記メインプロセッサのプロセッサ周波数および前記処理システムのバッテリのバッテリ消費のレベルを含む前記一つ以上の資源の実際のアクティビティレベルを判定する手順と、
    前記予測アクティビティレベルと前記実際のアクティビティレベルとの間に偏差が検出された場合に、前記偏差の潜在的原因である予測されないアクティビティのソースとして、予測されないアクティブなプロセスおよび前記予測されないアクティブなプロセスに対応付けられたアプリケーションを特定する手順と、
    ポリシーガイドラインを使用して、前記予測されないアクティビティが合法であるかを判定する手順と、
    前記予測されないアクティビティが合法でない場合、前記予測されないアクティビティの前記ソースをマルウェアとして分類する手順と
    を実行させる命令を有する
    システム。
  9. 前記命令は、実行されると、前記セキュリティエンジンに、前記処理システムのスナップショットを帯域外通信チャネルを介して遠隔のサーバに送信する手順をさらに実行させ、
    前記遠隔のサーバは、前記スナップショットの検証を行う
    請求項8に記載のシステム。
  10. 前記命令は、実行されると、前記セキュリティエンジンに、前記処理システムのスナップショットを帯域外通信チャネルを介して遠隔のサーバに送信する手順をさらに実行させ、
    前記遠隔のサーバは、前記スナップショットをウィルスシグネチャに関して分析する
    請求項8または9に記載のシステム。
  11. 前記命令は、実行されると、前記ホストオペレーティングシステムに、前記予測されないアクティビティの前記ソースを終了させる手順をさらに実行させる請求項8から10のいずれか1項に記載のシステム。
  12. 前記命令は、実行されると、前記セキュリティエンジンに、
    前記処理システムの前記現在の動作モードから新しい動作モードへの変化を識別する手順と、
    少なくとも一つのプロセスがアクティブになると予測される瞬間を特定する手順と、
    前記新しい動作モードと、少なくとも一つのプロセスがアクティブになると予測される前記瞬間とに基づいて、前記予測アクティビティレベルを調整する手順と
    をさらに実行させる請求項8から11のいずれか1項に記載のシステム。
  13. 前記ポリシーガイドラインを使用して前記予測されないアクティビティが合法であるかを判定する手順は、前記ソースが署名されているかを判定する手順を有する請求項8から12のいずれか1項に記載のシステム。
  14. 前記ポリシーガイドラインを使用して前記予測されないアクティビティが合法であるかを判定する手順は、
    前記予測されないアクティビティをユーザに警告する手順と、
    前記予測されないアクティビティについて前記ユーザからフィードバックを取得する手順と
    を有する請求項8から13のいずれか1項に記載のシステム。
  15. 処理システムで実行されると、前記処理システムのメインプロセッサから独立して動作するセキュリティエンジンに、
    前記メインプロセッサおよびバッテリを含む一つ以上の資源を備える前記処理システムの現在の動作モードで、前記処理システムのホストオペレーティングシステムの命令によりアクティブになると予測される少なくとも一つのプロセスを特定する手順と、
    前記現在の動作モードとアクティブになると予測される前記少なくとも一つのプロセスとに基づいて、前記メインプロセッサの予測プロセッサ周波数および前記バッテリのバッテリ消費の予測レベルを含む前記処理システムの前記一つ以上の資源の予測アクティビティレベルを算出する手順と、
    前記メインプロセッサのプロセッサ周波数および前記処理システムのバッテリのバッテリ消費のレベルを含む前記一つ以上の資源の実際のアクティビティレベルを判定する手順と、
    前記予測アクティビティレベルと前記実際のアクティビティレベルとの間に偏差が検出された場合、前記偏差の潜在的原因である予測されないアクティビティのソースとして、予測されないアクティブなプロセスおよび前記予測されないアクティブなプロセスに対応付けられたアプリケーションを特定する手順と、
    ポリシーガイドラインを使用して、前記予測されないアクティビティが合法であるかを判定する手順と、
    前記予測されないアクティビティが合法でない場合、前記予測されないアクティビティの前記ソースをマルウェアとして分類する手順と
    を実行させる命令を備えるコンピュータプログラム。
  16. 前記命令は、実行されると、前記処理システムの前記セキュリティエンジンに、前記処理システムのスナップショットを帯域外通信チャネルを介して遠隔のサーバに送信する手順をさらに実行させ、
    前記遠隔のサーバは、前記スナップショットの検証を行う
    請求項15に記載のコンピュータプログラム。
  17. 前記命令は、実行されると、前記処理システムの前記セキュリティエンジンに、前記処理システムのスナップショットを帯域外通信チャネルを介して遠隔のサーバに送信する手順をさらに実行させ、
    前記遠隔のサーバは、前記スナップショットをウィルスシグネチャに関して分析する
    請求項15または16に記載のコンピュータプログラム。
  18. 前記命令は、実行されると、前記処理システムに、前記予測されないアクティビティの前記ソースを終了させる手順をさらに実行させる請求項15から17のいずれか1項に記載のコンピュータプログラム。
  19. 前記命令は、実行されると、前記処理システムの前記セキュリティエンジンに、
    前記処理システムの前記現在の動作モードから新しい動作モードへの変更を識別する手順と、
    少なくとも一つのプロセスがアクティブになると予測される瞬間を特定する手順と、
    前記新しい動作モードと、少なくとも一つのプロセスがアクティブになると予測される前記瞬間とに基づいて、前記予測アクティビティレベルを調整する手順と
    をさらに実行させる請求項15から18のいずれか1項に記載のコンピュータプログラム。
  20. 前記ポリシーガイドラインを使用して前記予測されないアクティビティが合法であるかを判定する手順は、前記ソースが署名されているかを判定する手順を有する請求項15から19のいずれか1項に記載のコンピュータプログラム。
  21. 前記ポリシーガイドラインを使用して前記予測されないアクティビティが合法であるかを判定する手順は、
    前記予測されないアクティビティをユーザに警告する手順と、
    前記予測されないアクティビティについて前記ユーザからフィードバックを取得する手順と
    を有する請求項15から20のいずれか1項に記載のコンピュータプログラム。
JP2013543413A 2010-12-23 2011-12-13 シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出 Expired - Fee Related JP5632097B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/978,043 US20120167218A1 (en) 2010-12-23 2010-12-23 Signature-independent, system behavior-based malware detection
US12/978,043 2010-12-23
PCT/US2011/064729 WO2012087685A1 (en) 2010-12-23 2011-12-13 Signature-independent, system behavior-based malware detection

Publications (2)

Publication Number Publication Date
JP2013545210A JP2013545210A (ja) 2013-12-19
JP5632097B2 true JP5632097B2 (ja) 2014-11-26

Family

ID=46314364

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013543413A Expired - Fee Related JP5632097B2 (ja) 2010-12-23 2011-12-13 シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出

Country Status (6)

Country Link
US (1) US20120167218A1 (ja)
EP (1) EP2656269A4 (ja)
JP (1) JP5632097B2 (ja)
CN (2) CN103262087B (ja)
TW (1) TWI564713B (ja)
WO (1) WO2012087685A1 (ja)

Families Citing this family (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
CN103198256B (zh) * 2012-01-10 2016-05-25 凹凸电子(武汉)有限公司 用于检测应用程序状态的检测系统及方法
US9439077B2 (en) * 2012-04-10 2016-09-06 Qualcomm Incorporated Method for malicious activity detection in a mobile station
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US9298494B2 (en) * 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9690635B2 (en) 2012-05-14 2017-06-27 Qualcomm Incorporated Communicating behavior information in a mobile computing device
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
RU2530210C2 (ru) 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
US9686023B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors
US9684870B2 (en) * 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
WO2014126779A1 (en) * 2013-02-15 2014-08-21 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
EP2800024B1 (en) * 2013-05-03 2019-02-27 Telefonaktiebolaget LM Ericsson (publ) System and methods for identifying applications in mobile networks
US20150020178A1 (en) * 2013-07-12 2015-01-15 International Business Machines Corporation Using Personalized URL for Advanced Login Security
US9961133B2 (en) 2013-11-04 2018-05-01 The Johns Hopkins University Method and apparatus for remote application monitoring
US10567398B2 (en) 2013-11-04 2020-02-18 The Johns Hopkins University Method and apparatus for remote malware monitoring
KR102174984B1 (ko) 2014-01-29 2020-11-06 삼성전자주식회사 디스플레이 장치 및 그 제어 방법
US9769189B2 (en) 2014-02-21 2017-09-19 Verisign, Inc. Systems and methods for behavior-based automated malware analysis and classification
WO2015128612A1 (en) 2014-02-28 2015-09-03 British Telecommunications Public Limited Company Malicious encrypted traffic inhibitor
US10176428B2 (en) * 2014-03-13 2019-01-08 Qualcomm Incorporated Behavioral analysis for securing peripheral devices
US10817605B2 (en) 2014-03-23 2020-10-27 B.G. Negev Technologies And Applications Ltd., At Ben-Gurion University System and method for detecting activities within a computerized device based on monitoring of its power consumption
US9369474B2 (en) * 2014-03-27 2016-06-14 Adobe Systems Incorporated Analytics data validation
US20150310213A1 (en) * 2014-04-29 2015-10-29 Microsoft Corporation Adjustment of protection based on prediction and warning of malware-prone activity
WO2016093836A1 (en) 2014-12-11 2016-06-16 Hewlett Packard Enterprise Development Lp Interactive detection of system anomalies
WO2016107753A1 (en) 2014-12-30 2016-07-07 British Telecommunications Public Limited Company Malware detection in migrated virtual machines
WO2016107754A1 (en) * 2014-12-30 2016-07-07 British Telecommunications Public Limited Company Malware detection
US10102073B2 (en) * 2015-05-20 2018-10-16 Dell Products, L.P. Systems and methods for providing automatic system stop and boot-to-service OS for forensics analysis
CN105022959B (zh) * 2015-07-22 2018-05-18 上海斐讯数据通信技术有限公司 一种移动终端恶意代码分析设备及分析方法
US10803074B2 (en) 2015-08-10 2020-10-13 Hewlett Packard Entperprise Development LP Evaluating system behaviour
CN105389507B (zh) * 2015-11-13 2018-12-25 小米科技有限责任公司 监控系统分区文件的方法及装置
EP3394784B1 (en) 2015-12-24 2020-10-07 British Telecommunications public limited company Malicious software identification
WO2017109135A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Malicious network traffic identification
WO2017108576A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Malicious software identification
WO2017109128A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Detecting malicious software
WO2017109129A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Software security
RU2617924C1 (ru) * 2016-02-18 2017-04-28 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного приложения на устройстве пользователя
WO2017167544A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Detecting computer security threats
WO2017167545A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Network traffic threat identification
US10885196B2 (en) 2016-04-29 2021-01-05 Hewlett Packard Enterprise Development Lp Executing protected code
US10367704B2 (en) 2016-07-12 2019-07-30 At&T Intellectual Property I, L.P. Enterprise server behavior profiling
WO2018033350A1 (en) 2016-08-16 2018-02-22 British Telecommunications Public Limited Company Reconfigured virtual machine to mitigate attack
US11423144B2 (en) 2016-08-16 2022-08-23 British Telecommunications Public Limited Company Mitigating security attacks in virtualized computing environments
US10496820B2 (en) 2016-08-23 2019-12-03 Microsoft Technology Licensing, Llc Application behavior information
US10771483B2 (en) 2016-12-30 2020-09-08 British Telecommunications Public Limited Company Identifying an attacked computing device
US10419269B2 (en) 2017-02-21 2019-09-17 Entit Software Llc Anomaly detection
EP3602999B1 (en) 2017-03-28 2021-05-19 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
WO2018193429A1 (en) * 2017-04-20 2018-10-25 Morphisec Information Security Ltd. System and method for runtime detection, analysis and signature determination of obfuscated malicious code
US10853490B2 (en) 2017-10-26 2020-12-01 Futurewei Technologies, Inc. Method and apparatus for managing hardware resource access in an electronic device
US11328055B2 (en) * 2018-01-31 2022-05-10 Hewlett-Packard Development Company, L.P. Process verification
EP3623980B1 (en) 2018-09-12 2021-04-28 British Telecommunications public limited company Ransomware encryption algorithm determination
EP3623982B1 (en) 2018-09-12 2021-05-19 British Telecommunications public limited company Ransomware remediation

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04142635A (ja) * 1990-10-03 1992-05-15 Nippondenso Co Ltd プロセッサの異常動作検出装置
JP3293760B2 (ja) * 1997-05-27 2002-06-17 株式会社エヌイーシー情報システムズ 改ざん検知機能付きコンピュータシステム
JPH11161517A (ja) * 1997-11-27 1999-06-18 Meidensha Corp 遠方監視システム
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US20040250086A1 (en) * 2003-05-23 2004-12-09 Harris Corporation Method and system for protecting against software misuse and malicious code
JP3971353B2 (ja) * 2003-07-03 2007-09-05 富士通株式会社 ウィルス隔離システム
US7593936B2 (en) * 2003-08-11 2009-09-22 Triumfant, Inc. Systems and methods for automated computer support
US8793787B2 (en) * 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US7627898B2 (en) * 2004-07-23 2009-12-01 Microsoft Corporation Method and system for detecting infection of an operating system
WO2006028558A1 (en) * 2004-09-03 2006-03-16 Virgina Tech Intellectual Properties, Inc. Detecting software attacks by monitoring electric power consumption patterns
US7818781B2 (en) * 2004-10-01 2010-10-19 Microsoft Corporation Behavior blocking access control
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files
US7437767B2 (en) * 2004-11-04 2008-10-14 International Business Machines Corporation Method for enabling a trusted dialog for collection of sensitive data
US7490352B2 (en) * 2005-04-07 2009-02-10 Microsoft Corporation Systems and methods for verifying trust of executable files
US8832827B2 (en) * 2005-07-14 2014-09-09 Gryphonet Ltd. System and method for detection and recovery of malfunction in mobile devices
US7930752B2 (en) * 2005-11-18 2011-04-19 Nexthink S.A. Method for the detection and visualization of anomalous behaviors in a computer network
JP4733509B2 (ja) * 2005-11-28 2011-07-27 株式会社野村総合研究所 情報処理装置、情報処理方法およびプログラム
US8286238B2 (en) * 2006-09-29 2012-10-09 Intel Corporation Method and apparatus for run-time in-memory patching of code from a service processor
US7945955B2 (en) * 2006-12-18 2011-05-17 Quick Heal Technologies Private Limited Virus detection in mobile devices having insufficient resources to execute virus detection software
US8171545B1 (en) * 2007-02-14 2012-05-01 Symantec Corporation Process profiling for behavioral anomaly detection
US8245295B2 (en) * 2007-07-10 2012-08-14 Samsung Electronics Co., Ltd. Apparatus and method for detection of malicious program using program behavior
EP2248366A4 (en) * 2008-01-29 2014-04-09 Qualcomm Inc SECURE APPLICATION SIGNATURE
JP5259205B2 (ja) * 2008-01-30 2013-08-07 京セラ株式会社 携帯電子機器
US20090228704A1 (en) * 2008-03-04 2009-09-10 Apple Inc. Providing developer access in secure operating environments
GB2461870B (en) * 2008-07-14 2012-02-29 F Secure Oyj Malware detection
US20120137364A1 (en) * 2008-10-07 2012-05-31 Mocana Corporation Remote attestation of a mobile device
US8087067B2 (en) * 2008-10-21 2011-12-27 Lookout, Inc. Secure mobile platform system
US8108933B2 (en) * 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8484727B2 (en) * 2008-11-26 2013-07-09 Kaspersky Lab Zao System and method for computer malware detection
US8499349B1 (en) * 2009-04-22 2013-07-30 Trend Micro, Inc. Detection and restoration of files patched by malware
US8332945B2 (en) * 2009-06-05 2012-12-11 The Regents Of The University Of Michigan System and method for detecting energy consumption anomalies and mobile malware variants
US8001606B1 (en) * 2009-06-30 2011-08-16 Symantec Corporation Malware detection using a white list
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection

Also Published As

Publication number Publication date
TWI564713B (zh) 2017-01-01
TW201239618A (en) 2012-10-01
JP2013545210A (ja) 2013-12-19
US20120167218A1 (en) 2012-06-28
WO2012087685A1 (en) 2012-06-28
EP2656269A4 (en) 2014-11-26
EP2656269A1 (en) 2013-10-30
CN103262087B (zh) 2016-05-18
CN105930725A (zh) 2016-09-07
CN103262087A (zh) 2013-08-21

Similar Documents

Publication Publication Date Title
JP5632097B2 (ja) シグネチャとは無関係の、システム挙動に基づいた、マルウェア検出
US10003547B2 (en) Monitoring computer process resource usage
EP3014447B1 (en) Techniques for detecting a security vulnerability
US8584242B2 (en) Remote-assisted malware detection
US20180063179A1 (en) System and Method Of Performing Online Memory Data Collection For Memory Forensics In A Computing Device
US9197662B2 (en) Systems and methods for optimizing scans of pre-installed applications
US8631492B2 (en) Dynamic management of resource utilization by an antivirus application
KR101086203B1 (ko) 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법
EP3014515B1 (en) Systems and methods for directing application updates
US9460283B2 (en) Adaptive integrity validation for portable information handling systems
US11055444B2 (en) Systems and methods for controlling access to a peripheral device
JP2018532187A (ja) コンピューティングデバイスにおけるプロセスに対するソフトウェア攻撃の検出
EP3289512B1 (en) Process categorization for computer security
US11263309B2 (en) Block device signature-based integrity protection for containerized applications
KR101626439B1 (ko) 서명-독립적 시스템 거동 기반 멀웨어 검출
WO2016193831A1 (en) Process categorization for computer security
US11983263B2 (en) Virtual machines to install untrusted executable codes

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130607

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140414

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140422

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20140722

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20140729

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140811

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140909

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141008

R150 Certificate of patent or registration of utility model

Ref document number: 5632097

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees