JP5702470B2 - リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム - Google Patents

リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム Download PDF

Info

Publication number
JP5702470B2
JP5702470B2 JP2013534998A JP2013534998A JP5702470B2 JP 5702470 B2 JP5702470 B2 JP 5702470B2 JP 2013534998 A JP2013534998 A JP 2013534998A JP 2013534998 A JP2013534998 A JP 2013534998A JP 5702470 B2 JP5702470 B2 JP 5702470B2
Authority
JP
Japan
Prior art keywords
evaluation
link
client
original
original link
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013534998A
Other languages
English (en)
Other versions
JP2013541781A (ja
Inventor
ザ サード、ラッセル バートランド カーター
ザ サード、ラッセル バートランド カーター
クマル ラル、プラヴァト
クマル ラル、プラヴァト
オイトメント、ジェフ
マハ、ダヴォウド
ハサン、ジャヴェド
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2013541781A publication Critical patent/JP2013541781A/ja
Application granted granted Critical
Publication of JP5702470B2 publication Critical patent/JP5702470B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Description

本発明は、概してコンピュータセキュリティおよびマルウェア対策に関し、具体的にはリンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステムに関する。
サイトクローラーおよびウェブ格付けセキュリティアプリケーションは、インターネットを介してアクセス可能なウェブサイトの格付けを決定するために利用される場合がある。サイトクローラーは、ウェブサイトを見ることによって情報(例えば、ウェブサイトのコンテンツ)を収集するために用いられるとしてよい。この情報は、例えば、見た各サイトの評価を決定する場合にウェブ格付けセキュリティアプリケーションによって利用されるとしてよい。そして、この評価は、特定のサイトが安全なサイトであるか、または、悪意ある行為に関連しているかを判断するために用いられるとしてよい。
しかし、これらのアプリケーションが解決できないオンラインセキュリティリスクが幾つか存在する。例えば、サイトクローラーは、パスワードを入力することによってのみアクセス可能なコンテンツおよびリンク、例えば、ユーザプロフィールおよびソーシャルネットワーク内でのオンライン交流等を検出することができない。また、サイトクローラーは従来、サイトを巡回することによってコンテンツを発見するが、当該サイトのユーザがどのリンクをクリックするか、そして、これらのリンクのコンテンツについては、把握していない。また、ハッカーの多くも、多数のリダイレクトおよび短縮URL(ユニフォーム・リソース・ロケータ)で、リンクに対応付けられるペイロードまたはデスティネーションを隠すことによって、ウェブ格付けセキュリティアプリケーションを回避することを習得している。
本開示によると、未知の悪意ある行為から保護する技術に関連する問題点および欠点が、大幅に軽減されるか、または、無くなる。特定の実施形態によると、リンクの評価を決定する方法は、複数のリンクに対応付けられている評価情報を含むデータベースに対して評価サーバからクエリを行い、リダイレクトされたリンクの評価を読み出す段階を備える。評価情報は、リンクが悪意ある行為に対応付けられているか否かを示すとしてよい。リダイレクトされたリンクの評価は元々のリンクに対応付けられて、元々のリンクの評価となる。
本開示の一実施形態によると、リンクの評価を決定するシステムは、複数のリンクに対応付けられている評価情報を有するデータベースと、プロセッサと、コンピュータ可読メモリと、コンピュータ可読メモリに符号化されている処理命令とを備える。評価情報は、リンクが悪意ある行為に対応付けられているか否かを示すとしてよい。処理命令は、プロセッサによって実行されると、データベースに対してクエリを実行してリダイレクトされたリンクの評価を読み出す処理と、リダイレクトされたリンクの評価を元々のリンクと対応付けて、元々のリンクの評価を作成する処理とを実行させるとしてよい。
本開示の別の実施形態によると、非一時的なコンピュータ可読媒体は、リンクの評価を決定する命令を格納している。当該命令は、プロセッサによって実行されると、元々のリンクおよび当該元々のリンクに対応付けられているリダイレクトされたリンクをクライアントに登録させ、元々のリンクおよびリダイレクトされたリンクを評価サーバに送信させる命令である。評価サーバは、複数のリンクについての評価情報を持つデータベースに対してクエリを行うことによって、リダイレクトされたリンクの評価に基づいて元々のリンクの評価を決定する。評価情報は、元々のリンクが悪意ある行為に対応付けられているか否かを示すとしてよい。当該命令はさらに、元々のリンクが悪意ある行為に対応付けられているか否かを示す元々のリンクの評価を含む通知を評価サーバからクライアントにおいて受信させる命令であってよい。
本開示の別の実施形態によると、リンクの評価を決定する方法は、複数のリンクに対応付けられている評価情報を含むデータベースに対して評価サーバからクエリを行って、複数のリダイレクトされたリンクのそれぞれの評価を読み出す段階を備える。評価情報は、リンクが悪意ある行為に対応付けられているか否かを示すとしてよい。元々のリンクの評価は、複数のリンクのうち最低評価スコアを持つリダイレクトされたリンクの評価、複数のリダイレクトされたリンクの評価の平均評価スコア、および、元々のリンクの最終デスティネーションを表すリダイレクトされたリンクの評価のうち少なくとも1つに基づいて、決定される。
本発明、ならびに、本発明の特徴および利点をさらに理解していただくべく、以下で添付図面を参照しつつ説明する。添付図面は以下の通りである。
本開示の教示内容に応じて、リンクの評価を決定することによって、未知の悪意ある行為から保護するセキュリティアプリケーションを含むネットワークを示すブロック図である。 本開示の教示内容に応じて、リンクの評価を決定することによって、未知の悪意ある行為から保護するセキュリティアプリケーションを含むシステムを示すブロック図である。 本開示の教示内容に応じて、複数のリンクについての評価情報を含む評価データベースを示す図である。 本開示の教示内容に応じて、セキュリティアプリケーションがクライアントにインストールされている場合、未知の悪意ある行為から保護する方法を説明するためのフローチャートである。 本開示の教示内容に応じて、セキュリティアプリケーションがクライアントにインストールされていない場合、未知の悪意ある行為から保護する方法を説明するためのフローチャートである。 本開示の教示内容に応じて、リンクの評価を決定する方法を説明するためのフローチャートである。
本開示の実施形態およびその利点は、図1から図6を参照することで良く理解されるであろう。図1から図6では、同様および対応する構成要素は同様の番号を用いている。
図1は、本開示の教示内容に応じて、リンクの評価を決定することによって、未知の悪意ある行為から保護するセキュリティアプリケーションを含むネットワークを示すブロック図である。悪意ある行為は、システム内で望ましくない行為を発生させるデジタルコンテンツの形式を取るとしてもよい。悪意ある行為の種類には、これらに限定されないが、ウイルス、トロイの木馬、ワーム、スパイウェア、未承諾電子メッセージ、フィッシング詐欺攻撃、または、これらの任意の組み合わせが含まれるとしてよい。
システム100は、ネットワーク108に通信可能に結合されているクライアント102、パートナーサーバ104、および、評価サーバ106を備えるとしてよい。クライアント102は、プログラム命令を解釈および/または実行し、および/または、データを処理する任意の電子デバイスであってよい。例えば、これらに限定されないが、コンピュータ、携帯情報端末または電話機であってよい。パートナーサーバ104は、共通アドレスを利用してアクセスされ得るデータ群を含むサイトをホストする任意のサーバであってよい。例えば、データは、ハイパーテキスト・トランスファー・プロトコル(HTTP)、HTTPセキュア(HTTPS)、ファイル・トランスファー・プロトコル(FTP)、テルネット・プロトコル、セキュア・シェル・プロトコル(SSH)、シンプル・メール・トランスファー・プロトコル(SMTP)、または、インターネットを介してデータにアクセスするために利用可能な任意のその他のプロトコルのうち1以上を利用して、アクセスされるとしてよい。評価サーバ106は、プログラム命令を解釈および/または実行し、および/または、データを処理するとしてよい。図示されている実施形態では、評価データベース110およびパートナーデータベース112は、評価サーバ106に通信可能に結合されているとしてよい。評価データベース110およびパートナーデータベース112は、1以上のユーザによってアクセス可能な、整理されたデータ群を格納するとしてよい。図示された実施形態は評価データベース110およびパートナーデータベース112が直接評価サーバに結合されている様子を図示しているが、評価データベース110およびパートナーデータベース112は、例えば、ネットワーク108を介して、評価サーバ106にリモートに結合されているとしてよい。
図1には具体的なネットワークが図示されているが、「ネットワーク」という用語は、電気通信信号、データおよび/またはメッセージを送信可能な任意のネットワークを総称的に定義するものと解釈されたい。ネットワーク108は、データの配信および転送をサポートする任意の適切な通信設備群が任意の適切な方式で配列されていることを表す。例えば、ネットワーク108は、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、バックホールネットワーク、インターネット等のグローバルコンピュータネットワークに対応付けられている一のコンポーネントまたはコンポーネント群、または、無線通信および/または有線通信を実行するのに適した任意のその他の通信設備であってよい。特定の実施形態によると、ネットワーク108はインターネットプロトコル(IP)ネットワークであってよい。
図示した実施形態では、クライアント102cおよび評価サーバ106は、リンクに対応付けられている評価に基づいて、未知の悪意ある行為から保護するセキュリティアプリケーション114を含むとしてよい。また、パートナーサーバ104は、パートナーサーバ104がホストするサイト上に位置するアウトバウンドリンク(たとえば、パートナーサイト外へと誘導するリンク)を、評価サーバ106に対して示す評価サーバスクリプト116を含むとしてよい。
動作について説明すると、システム100は、リンクの評価および保護ポリシーに基づいて、リンクが悪意ある行為に対応付けられるか否かを判断するとしてよい。1以上のリンクに対応付けられる評価情報は、評価サーバ106に対応付けられるデータベース110に格納されているとしてよい。評価情報は、リンクが安全または危険と格付けされたか否か、または、リンクが未知であるか否かを示す指標と、リンクの評価スコアと、コンテンツに基づいたリンクの分類とを含むとしてよい。他の実施形態では、リンクに対応付けられている任意のその他の適切な種類の情報、例えば、リンクのトラフィックパターンおよびサイト挙動が評価情報に含まれるとしてよい。保護ポリシーは、クライアント102および/または評価サーバ106に格納されているとしてよい。保護ポリシーは、クライアント102がリンクに誘導されないようにブロックされるタイミングを判断するためのルールを含むとしてよい。例えば、このルールは、リンクについての評価情報に基づいて決まるとしてよい。一実施形態によると、あるルールは、リンクが最小しきい値よりも低い評価スコアを持つ場合、および、分類がコンテンツは悪意ある行為である旨を示す場合、当該リンクをブロックすべきである旨を示すとしてよい。他の実施形態によると、これらのルールは、評価データベース110にある評価情報を任意に組み合わせることに基づいて決まるとしてよい。
ユーザがクライアント102のうち1つにおいてリンクをクリックし、ネットワーク108を介して、サイト上のデータにアクセスするとしてよい。当該リンクは、デスクトップアプリケーション(例えば、ブラウザアプリケーション、電子メールアプリケーション、ワードプロセッシングアプリケーション等)、サーバアプリケーションおよびウェブサービス等の任意のアプリケーションを利用してアクセスされ、ネットワーク108を介してコンテンツにアクセスするとしてよい。一実施形態によると、リンクは、特定されたリソースが利用可能な場所を示すURL(ユニフォーム・リソース・ロケータ)、および、当該リソースを読み出すためのメカニズムを含むとしてよい。別の実施形態によると、リンクは、要求された情報を特定すると共にその位置を示すIPアドレスを含むとしてよい。
一部の実施形態によると、リンクはデータにアクセスするための最終デスティネーションを表わしておらず、リンクは1回以上リダイレクトされるとしてもよい。ユーザがクライアント102cにおいてリンクをクリックすると、クライアント102c上のセキュリティアプリケーション114によってリダイレクトが記録されるとしてよい。リンクについての情報および対応付けられているリダイレクトは、クライアント102cから評価サーバ106へとネットワーク108を介して送信されるとしてよい。ユーザがクライアント102aおよび102bのいずれかにおいてリンクをクリックして、リンクがパートナーサーバ104がホストするパートナーサイト上にある場合、評価サーバスクリプト116は、リンクを評価サーバ106に対して指し示して、評価サーバ106上のセキュリティアプリケーション114は、リンクに対応付けられているリダイレクトを記録する。リンクについて記録されている情報は、これに限定されないが、識別情報、例えば、URLまたはIPアドレス等を含むとしてよい。
評価サーバ106は、リンクのURLまたはIPアドレス、および、任意の対応付けられているリダイレクトを利用して、リンクに対応付けられている評価情報、および、任意の対応付けられているリダイレクトを評価データベース110から読み出して、リンクの評価を決定するとしてよい。一実施形態によると、リンクの評価は、最低評価スコアを持つリダイレクトに基づいて決まるとしてよい。別の実施形態によると、リンクの評価は、リンクの評価スコアの平均値および対応付けられているリダイレクトに基づいて決まるとしてよい。別の実施形態によると、リンクの評価は、最終デスティネーション(例えば、最終リダイレクト)の評価情報に基づいて決まるとしてよい。評価サーバ106は、リンクに対応付けられている評価と、保護ポリシーとを比較することによって、リンクのポリシー共通点を算出するとしてよい。ポリシー共通点がリンクは悪意ある行為に対応付けられている旨を示す場合、クライアント102は、クライアント102のユーザに対して、リンクが悪意ある行為に対応付けられている旨を示す情報を表示する安全なページにリダイレクトされる。リンクの評価情報がリンクは悪意ある行為に対応付けられていない旨を示す場合、クライアント102は、リンクに対応付けられているサイトへと誘導されて、要求されたデータをユーザに表示する。
一実施形態によると、データベース110は、リンクの評価情報、および/または、対応付けられているリダイレクトを含まないとしてよい。この場合、リンクの評価情報、および/または、対応付けられているリダイレクトは、評価サーバ106によって決定され、データベース110に格納されるとしてよい。別の実施形態によると、リンクに対応付けられている評価情報は、対応付けられているリダイレクトのうち1以上に対応付けられている評価情報に一致しない場合がある。この場合、データベース110に格納されているリンクの評価情報を更新して、リダイレクトのうち1以上に対応付けられている評価情報に一致させるとしてよい。一実施形態によると、リンクの評価情報は、最低評価スコアを持つリダイレクトに基づいて更新されるとしてよい。別の実施形態によると、リンクの評価は、リンクの評価スコアの平均値、および、対応付けられているリダイレクトに基づいて更新されるとしてよい。他の実施形態によると、リンクの評価は、最終デスティネーション(例えば、最終リダイレクト)の評価情報に基づいて更新されるとしてよい。
図2は、本開示の教示内容に応じて、リンクの評価を決定することによって、未知の悪意ある行為から保護するセキュリティアプリケーションを含むシステムを示すブロック図である。具体的には、システム200は、クライアント102c、評価サーバ106、評価データベース110およびパートナーデータベース112を備えるとしてよい。
クライアント102cは、メモリ204に機能的に結合されているプロセッサ202を含むとしてよい。特定の実施形態によると、プロセッサ202は、例えば、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ(DSP)、特定用途向け集積回路(ASIC)、または、プログラム命令を解釈および/または実行して、および/または、データを処理する任意のその他のデジタル回路またはアナログ回路であってよい。一部の実施形態によると、プロセッサ202は、メモリ204に格納されているプログラム命令を解釈および/または実行して、および/または、データを処理するとしてよい。メモリ204は、1以上のメモリモジュールを格納する任意のシステム、デバイス、または、装置を含むとしてよい。各メモリモジュールは、プログラム命令および/またはデータを所定の期間にわたって保持する任意のシステム、デバイスまたは装置(例えば、コンピュータ可読媒体)を含むとしてよい。本開示では、コンピュータ可読媒体は、データおよび/または命令を所定の期間にわたって保持する任意の手段、または、任意の手段の集合を含むとしてよい。コンピュータ可読媒体は、これらに限定されないが、ダイレクトアクセスストレージデバイス(例えば、ハードディスクドライブまたはフロッピー(登録商標)ディスク)、シーケンシャルアクセスストレージデバイス(たとえば、テープディスクドライブ)、コンパクトディスク、CD−ROM、DVD、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、電気的消去可能プログラム可能リードオンリーメモリ(EEPROM)、および/または、フラッシュメモリ等の格納媒体、ならびに、ワイヤ、光ファイバ、および、その他の電磁搬送波および/または光搬送波、および/または、これらの任意の組み合わせ等の通信媒体を含むとしてよい。
クライアント102cはさらに、メモリ204に格納されている間にプロセッサ202によって実行される、セキュリティアプリケーション114およびアプリケーション208を含むとしてよい。セキュリティアプリケーション114は、クライアント102cでユーザがリンクをクリックすると、アプリケーション208からアクセス可能な当該リンクに対応付けられている情報を記録して、評価サーバ106と通信して、クライアント102cが悪意ある行為に対応付けられているリンクにアクセスしないようにするアプリケーションであってよい。アプリケーション208は、プロセス、実行可能ファイル、共有ライブラリ、ドライバ、デバイスドライバ、ランタイムエンジン、オペレーティングシステム、オブジェクトコード、または、クライアント102cによって実行される任意のその他のバイナリ命令であってよい。特定の実施形態によると、アプリケーション208は、これに限定されないが、ブラウザアプリケーション、電子メールアプリケーション、ワードプロセッシングアプリケーション、スプレッドシートアプリケーション、プレゼンテーションアプリケーション、ポータブルドキュメントフォーマット(PDF)をサポートするアプリケーション、または、任意のその他の適切なデスクトップアプリケーションを含むとしてよい。
図示した実施形態によると、保護ポリシーデータベース210は、プロセッサ202によってクライアント102c上で実行されるモジュールであってよい。保護ポリシーデータベース210は、メモリ204およびセキュリティアプリケーション114に機能的に結合されているとしてよい。別の実施形態によると、保護ポリシーデータベース210は、セキュリティアプリケーション114のサブモジュールであってよい。別の実施形態によると、セキュリティアプリケーション114または保護ポリシーデータベース210のうち一方または両方は、クライアント102cから離れており、ネットワーク108等のネットワークを介してアクセス可能なクラウドコンピューティングサーバ内のデバイス上に設けられているとしてよい。別の実施形態によると、セキュリティアプリケーション114または保護ポリシーデータベース210のうち一方または両方は、評価サーバ106上に設けられるとしてよく、評価サーバ106によって実行されるとしてよい。
保護ポリシーデータベース210は、クライアント102cがリンクに誘導されないようにすべきタイミングを決定するためのルールに関するセキュリティアプリケーション114に情報を適切に提供するのに適切な方法で実現されるとしてよい。一実施形態によると、保護ポリシーデータベース210は、データベースであってよい。別の実施形態によると、保護ポリシーデータベース210は、データストレージを持つ機能ライブラリであってよい。別の実施形態によると、保護ポリシーデータベース210は、ルックアップテーブルであってよい。より詳細に後述するが、セキュリティアプリケーション114は、アプリケーションの動作を監視するとしてよい。例えば、ユーザがアプリケーション208内のリンクをクリックしてサイト上のデータにアクセスする場合、当該リンクに対応付けられている評価情報と、保護ポリシーデータベース210に含まれている保護ポリシーのルールとを比較して、評価および保護ポリシーが、当該リンクが悪意ある行為に対応付けられている旨を示す場合には、クライアント102cが当該リンクに誘導されないようにする。
評価サーバ106は、プログラム命令を解釈および/または実行して、および/または、データを処理するとしてよい。評価サーバ106は、プロセッサ214、メモリ216、および、リンク保護サーバ218を有するとしてよい。特定の実施形態によると、プロセッサ214は、例えば、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ(DSP)、特定用途向け集積回路(ASIC)、または、プログラム命令を解釈および/または実行して、および/または、データを処理する任意のその他のデジタル回路またはアナログ回路であってよい。一部の実施形態によると、プロセッサ214は、メモリ216に格納されているプログラム命令を解釈および/または実行するとしてよく、および/または、データを処理するとしてよい。メモリ216は、1以上のメモリモジュールを格納する任意のシステム、デバイスまたは装置を含むとしてよい。各メモリモジュールは、プログラム命令および/またはデータを所定の期間にわたって保持する任意のシステム、デバイスまたは装置(例えば、コンピュータ可読媒体)を含むとしてよい。評価サーバ106は、評価サーバ106がネットワーク108等のネットワークを介してクライアント102cに通信可能に結合されるように、任意の適切なネットワーク位置に設けられるとしてよい。
リンク保護サーバ218は、プロセッサ214によって実行されるとしてよく、メモリ216に格納されるとしてよい。リンク保護サーバ218は、クライアント102に含まれるセキュリティアプリケーション114に通信可能に結合されるとしてよい。一実施形態によると、リンク保護サーバ218およびセキュリティアプリケーション114は、インターネット・プロトコル・スイートを利用して通信を行うとしてよい。リンク保護サーバ218は、ネットワーク108等のネットワークを介してセキュリティアプリケーション114に通信可能に結合されているとしてよい。リンク保護サーバ218は、リンクに対応付けられている評価情報について評価データベース110に対してクエリを行い、パートナーポリシー情報についてパートナーデータベース112に対してクエリを行い、リンクの評価を決定して、リンクの評価をクライアント102c上のセキュリティアプリケーション114に通信するとしてよい。
別の実施形態によると、セキュリティアプリケーション114は、評価サーバ106に含まれており、リンク保護サーバ218はセキュリティアプリケーション114に機能的に結合されるとしてよい。本実施形態によると、図1に示すクライアント102aおよび102b等のクライアントは、セキュリティアプリケーション114がクライアントにインストールされていない場合であっても、未知の悪意ある行為から保護されるとしてよい。例えば、クライアント102aまたは102bのうち一方でユーザがパートナーサーバ104がホストするパートナーサイト内のリンクをクリックすると、パートナーサーバ104上の評価サーバスクリプト116は、リンクを評価サーバ106に対して指し示す。セキュリティアプリケーション114は評価サーバ106上に含まれるので、セキュリティアプリケーション114は、リンクおよび対応付けられているリダイレクトを記録して、リンク保護サーバ218と協働して、リンクが悪意ある行為に対応付けられているか否かを判断するとしてよい。
評価データベース110および/またはパートナーデータベース112は、評価サーバ106に設けられているとしてよく、または、別のデバイスに配置されているとしてよい。評価データベース110および/またはパートナーデータベース112は、リンクに関する情報を格納し、そして、当該情報にアクセスする上で適切な方法で実現されるとしてよい。一実施形態によると、評価データベース110および/またはパートナーデータベース112は、データベースであってよい。別の実施形態によると、評価データベース110および/またはパートナーデータベース112は、データストレージを持つ機能ライブラリであるとしてよい。他の実施形態によると、評価データベース110および/またはパートナーデータベース112は、ルックアップテーブルであってよい。評価データベース110および/またはパートナーデータベース112は、別々であるとしてもよいし、または、より少数のデータベースに統合されるとしてもよい。評価データベース110および/またはパートナーデータベース112は、互いに通信可能に結合されるとしてよく、または、ネットワーク108等のネットワークを介して評価サーバ106に通信可能に結合されるとしてもよい。評価データベース110および/またはパートナーデータベース112は、評価サーバ106からデータベースクエリを利用してアクセス可能であるとしてよい。
動作について説明すると、ユーザはクライアント102cで、アプリケーション208に含まれるリンク212aをクリックして、ネットワーク108を介してサイトのデータにアクセスするとしてよい。セキュリティアプリケーション114は、リンク212aが1以上のリダイレクトを含むか否かを判断するとしてよい。例えば、リンク212aは、リンク212bおよびリンク212c(例えば、中間デスティネーション)にリダイレクトされ、最終的にリンク212n(例えば、最終デスティネーション)にリダイレクトされるとしてよい。この場合、セキュリティアプリケーション114は、リンク212a、212b、212c、および、212nのそれぞれに対応付けられている情報を記録するとしてよい。リンク212のそれぞれについて記録された情報は、対応付けられているドメイン名またはURLおよび/またはIPアドレスを含むとしてよい。セキュリティアプリケーション114はさらに、保護ポリシーデータベース210にアクセスして、クライアント102cがリンクに誘導されないように制御すべきタイミングに関するルールを含む保護ポリシーを読み出すとしてよい。セキュリティアプリケーション114はこの後、リンク212a、212b、212cおよび212nのそれぞれに対応付けられている情報、および、保護ポリシーを、評価サーバ106上のリンク保護サーバ218に送信するとしてよい。別の実施形態によると、セキュリティアプリケーション114は、リンク212a、212b、212cおよび212nのそれぞれに対応付けられている情報のみをリンク保護サーバ218に送信するとしてよい。
リンク保護サーバ218は、リンク212a、212b、212cおよび212nのそれぞれに対応付けられている情報を利用して、評価データベース110に対してクエリを行って、リンク212a、212b、212cおよび212nのそれぞれに対応付けられている評価を読み出して、リンク212aの評価を決定するとしてよい。リンク212aに対応付けられている評価がリンク212b、212cおよび212nに対応付けられている評価に一致している場合、リンク保護サーバ218は、リンク212aに対応付けられている評価を読み出す。リンク212aに対応付けられている評価がリンク212b、212cおよび212nに対応付けられている評価に一致しない場合、リンク保護サーバ218は、リンク212b、212cおよび212nに対応付けられている評価のうち1以上に基づいて、リンク212に対応付けられている評価を決定するとしてよい。一実施形態によると、リンク212aに対応付けられている評価は、リンク212b、212cおよび212nのうち評価スコアが最も低い1つのリンクに基づいて決まるとしてよい。別の実施形態によると、リンク212aに対応付けられている評価は、リンク212b、212cおよび212nに対応付けられている評価スコアの平均に基づいて決まるとしてよい。別の実施形態によると、リンク212aに対応付けられている評価は、リンク212aの最終デスティネーションであるリンク212nに対応付けられている評価情報に基づいて決まるとしてよい。これらの実施形態のいずれにおいても、リンク保護サーバ218は、リンク212aに対応付けられている評価情報を、リンク212b、212cおよび212nのうち1以上に基づいた適切な評価情報で更新するとしてよい。
リンク保護サーバ218がリンク212aの評価を決定すると、リンク保護サーバ218は、評価および保護ポリシーに基づいて、リンク212aのポリシー共通点を算出するとしてよい。一部の実施形態によると、リンク保護サーバ218は、クライアント102から保護ポリシーを受信しないとしてよく、評価に基づいてリンク212aのポリシー共通点を決定するとしてもよい。評価サーバ106はこの後、リンク212aのポリシー共通点をクライアント102cに送信するとしてよい。クライアント102cが保護ポリシーを評価サーバ106に送信しない場合、クライアントは、評価サーバ106から受信したリンク212aに対応付けられている評価および保護ポリシーデータベース210からの保護ポリシーを用いて、リンク212aに対応付けられているポリシー共通点を算出するとしてよい。ポリシー共通点がリンク212aは悪意ある行為に対応付けられている旨を示す場合、クライアント102cは、ユーザに対してリンク212aは悪意ある行為に対応付けられている旨を示す安全なページに誘導されるとしてよい。ポリシー共通点がリンク212aは悪意ある行為に対応付けられていない旨を示す場合、クライアント102は、リンク212nに誘導されて要求されたデータをユーザに表示する。
図3は、本開示の教示内容に応じて、複数のリンクについての評価情報を含む評価データベースを示す図である。評価データベース110は、リンクおよび該リンクが含むコンテンツの種類と、評価とを対応付ける情報を含むとしてよい。評価データベース110は、さまざまなリンクを表すエントリ308−326のコンテンツのカテゴリまたは分類を含むとしてよい。例えば、評価データベース110の各エントリは、ドメイン名フィールド302、格付けフィールド303、評価スコアフィールド304、および/または、1以上のコンテンツ種類フィールド306を有するとしてよい。尚、評価データベース110で利用されるドメイン名、URL、アドレス、分類およびカテゴリは、説明のために記載されているに過ぎない。
ドメイン名フィールド302は、「my_bank.com」308、「255.255.103.*」320等、全てのサブドメインに一致するワイルドカードを持つ、または、持たないIPアドレス、「my_store.com/checkout.html」310等の特定のURLアドレスを持つドメイン、「us.social_network.com」316等の特定のサブドメインを持つドメイン、または、これらの組み合わせ、例えば、「231.210.93.201/aaa.html」322等のドメイン名を含むとしてよい。格付けフィールドは、ドメイン名フィールド302で指定されるドメインが安全か危険かを示す指標を含むとしてよい。例えば、「my_bank.com」308は、「良」という格付けを持つ。これは、このドメインは見ても安全である旨を意味するとしてよい。一方、「bogus_search.com」318は「不良」という格付けを持つ。これは、当該ドメインが安全でなく、悪意ある行為に対応付けられている旨を意味するとしてよい。また、「new_domain.com」312は、「未知」という格付けを持つとしてよい。これは、当該ドメインの格付けが完了していない旨を意味する。
評価スコアフィールド304は、ドメイン名フィールド302で示したドメインの評価スコアを含むとしてよい。評価スコアは、望ましくない挙動または悪意ある挙動が見られないか否かに関する、ドメインの健全性の定量的な格付けを示すとしてよい。評価スコアは、望ましくない挙動または悪意ある挙動が無いか否かに関して、ドメインの健全性を判断する任意の条件を満たす手段によって算出されて維持されるとしてよい。多くの要因に基づいて、評価スコアを決定するとしてよい。例えば、ドメインがスパムメッセージのソースであるか否か、ドメインがスパムメッセージに含まれているリンクのデスティネーションであるか否か、ドメインがマルウェアを含む電子メッセージに含まれているリンクのデスティネーションであるか否か、ドメインがマルウェアをホストする他のドメインまたはサーバにリンクされているか否か、ドメインとの間でやり取りされる電子メッセージまたはトラフィックの頻度および量、ドメインとの間でやり取りされる電子メッセージまたはトラフィックのデスティネーションまたはソース、ドメインと同じサーバまたはネットワーク上でホストされている他のドメインの評価、ドメインのコンテンツにマルウェアが含まれていないか否か、ドメインのホストであるサイトが公知の従来の挙動とは異なるか否か、または、ドメインがブラックリスト(悪意あるサイトを列挙)またはホワイトリスト(安全なサイトを列挙)に挙げられているか否かに基づいて決定するとしてよい。評価スコアフィールド304のエントリは、新しい情報を用いて評価データベース110をポピュレートすると、変化する場合がある。一実施形態によると、評価スコアフィールド304の値は、0から100の範囲内であるとしてよく、0は信用度が最も低いことを意味し、100は、ドメインの信用度が最も高いことを示す。一実施形態によると、評価がまだされていない新しいエントリ、例えば、「new_domain.com」312というエントリが評価データベース113に入れられると、評価スコアとして0が割り当てられるとしてよい。
分類フィールド306は、ドメインのコンテンツを特定する指標を含む1以上のフィールドを含むとしてよい。分類フィールド306は、ドメインのコンテンツを概略的または具体的に示すとしてよい。例えば、評価データベース110において、「malware_infested.com」314は、「マルウェア−フィッシング詐欺攻撃」および「マルウェア−ルートキット」と分類されている。これは、当該サイトがフィッシング詐欺攻撃のコンテンツおよびルートキットのコンテンツを含むものとして知られていることを意味する。分類フィールド306はさらに、ドメインの中立的なコンテンツの種類を指定するとしてよい。例えば、「my_bank.com」308は、「金融」に分類され、「us.social_network.com」316は「ソーシャルネットワーク」と分類される。分類フィールド306のさまざまな値は、マルウェアについての任意の利用可能なカテゴリまたは種類を意味するべく設けられるとしてよい。
ユーザがクライアント102で、図2に示すリンク212a等のリンクをクリックすると、リンク保護サーバ218は、例えば、リンク212aのURL(「www.example1.com」)を用いて、リンク212aに関して評価データベース110に対してクエリを行うとしてよい。図3に示すように、リンク212aは、評価データベース110のエントリ324に対応付けられているとしてよい。図2に示すように、リンク212aは、最終デスティネーションにリンク212nで到達するまで、リンク212bおよび212cでリダイレクトされている。リンク保護サーバ218はさらに、リンク212b、212cおよび212nについて、各リンクに対応付けられているURLを用いて、評価データベース110に対してクエリを行うとしてよい。リンク212nは、図3に示されている評価データベース110内のエントリ326に対応付けられているとしてよい。図3では、リンク212nがトロイの木馬ウイルスに対応付けられている旨が示されている。リンク保護サーバ218は、リンク212nの評価と、リンク212aの評価とを対応付けて、リンク212aの最後のデスティネーション212nのコンテンツがトロイの木馬ウイルスであるので、リンク212aが悪意ある行為に対応付けられている旨を示すとしてよい。リンク評価サーバ218はこの後、エントリ324(例えば、リンク212a)に対応付けられている評価を更新して、格付けフィールド303、評価スコアフィールド304、および、分類フィールド306の値を、エントリ326(例えば、リンク212n)の値で置き換えるとしてよい。
図4は、本開示の教示内容に応じて、セキュリティアプリケーションがクライアントにインストールされている場合、未知の悪意ある行為から保護する方法を説明するためのフローチャートである。一般的に、ユーザは図1のクライアント102cで、リンクをクリックしてネットワーク108を介してサイトのデータにアクセスするとしてよい。クライアント102c上のセキュリティアプリケーション114は、リンクに対応付けられているリダイレクトがあるか否かを判断するとしてよい。セキュリティアプリケーション114は、リンクおよび対応付けられているリダイレクトに対応付けられている情報を記録して、この情報を評価サーバ106に送信するとしてよい。評価サーバ106は、リンクおよびリダイレクトに対応付けられている情報を用いて、リンクが悪意ある行為に対応付けられているか否かを示す、リンクのポリシー共通点を決定するとしてよい。評価サーバ106はこの後、ポリシー共通点をクライアント102cに送信して、クライアント102cはリンクに誘導されても安全か否か、または、リンクが悪意ある行為に対応付けられておりサイトへのアクセスをブロックすべきか否かを判断するとしてよい。
方法400は、ユーザが図1のクライアント102cでリンクをクリックしてネットワーク108を介して利用可能なサイトのデータにアクセスすると、ステップ402で開始される。ステップ404において、クライアント102cは、当該リンクがパートナーサイト上にあるか否かを判断する。一実施形態によると、パートナーサイトは、スクリプト(例えば、図1のパートナーサーバ104上のサーバ評価スクリプト116)またはパートナーサイト上のアウトバウンドリンクを評価サーバ106に対応付けられているアドレスに指し示す他の命令を含む任意のサイトであってよい。リンクがパートナーサイト上にあれば、クライアント102cは、ステップ406において、セキュリティアプリケーション114がクライアント102c上にはインストールされている旨を示す識別情報を評価サーバ106に送信する。クライアント102cはこの後、ステップ408において、保護ポリシー、リンクおよびパートナー名を格納する。クライアント102cは、ステップ410において、評価サーバ106に誘導され、評価サーバ106は、ステップ412において、パートナーデータベース112に対してクエリを行って、パートナーサイトのパートナーポリシーを読み出す。一実施形態によると、パートナーポリシーは、リンク、および、パートナーサイト上ではアクセスが禁止されている対応付けられているコンテンツを含むとしてよい。評価サーバ106はこの後、ステップ414において、パートナーサイトのパートナーポリシーが、リンクが未承認リンクである旨を示すか否かを判断するとしてよい。パートナーポリシーがリンクは未承認リンクである旨を示す場合、クライアント102cは、ステップ416において、ユーザがクリックしたリンクが未承認コンテンツを含むのでパートナーサイトからアクセスできない旨を示すページに誘導される。ステップ414において、パートナーポリシーがリンクは承認リンクである旨を示す場合、当該方法はステップ420に進む。
ステップ404において、リンクがパートナーサイト上に含まれていない場合、クライアント102は、ステップ418において、当該リンクを処理する。リンクの処理は、ドメイン名、リンクのURLまたはアドレス等の情報を収集すること、および、サイトをクライアント102cにおいてユーザに表示することなく、最後のデスティネーションまでリンクを追跡することを含むとしてよい。ステップ420において、クライアント102cは、リンクがリダイレクトされて最後のデスティネーションに到達したか否かを判断する。クライアント102cは、リンクがリダイレクトされたことを検出すると、ステップ422において、リンクと最後のデスティネーションとの間の各リダイレクトを記録する。クライアント102cは、各リダイレクトに対応付けられているドメイン名またはURLおよび/またはアドレス、例えば、IPアドレスを記録するとしてよい。クライアント102がリダイレクトを検出しない場合、当該方法はステップ424に移動する。
ステップ424において、クライアント102cは、リンクおよびリダイレクトに対応付けられている情報を評価サーバ106に送信する。一実施形態において、リンクおよびリダイレクトに対応付けられている情報は、ドメイン名、URLまたはアドレス等の識別情報であってよい。別の実施形態において、この情報は、リンクおよび対応付けられているリダイレクトの識別情報、および、クライアント102cの保護ポリシー(例えば、図2の保護ポリシーデータベース210から取得される保護ポリシー)を含むとしてよい。保護ポリシーは、リンクが悪意ある行為に対応付けられているので、クライアント102cがリンクに誘導されないようにブロックされるべきタイミングを示すルールを含むとしてよい。ステップ426において、評価サーバ106は、クライアント102cから受信した、リンクおよび対応付けられているリダイレクトに対応付けられている情報に基づいて、リンクのポリシー共通点を決定するとしてよい。リンクのポリシー共通点を決定する処理の詳細な内容は、図6を参照しつつ後述する。評価サーバ106がリンクのポリシー共通点を決定すると、評価サーバ106は、ステップ428において、リンクのポリシー共通点を含む通知をクライアント102cに送信する。
ステップ430において、クライアント102は、ポリシー共通点を含む通知が、リンクが悪意ある行為に対応付けられている旨を示すか否かを判断する。リンクが悪意ある行為に対応付けられていない場合、クライアント102cは、ステップ432において、サイトのデータをユーザに表示するべくリンクの最後のネットワークデスティネーションに誘導される。リンクが悪意ある行為に対応付けられている場合、クライアント102cは、ステップ434において、リンクが悪意ある行為に対応付けられている旨を示す安全なページに誘導される。
方法400は、図1から図3のシステム、または、方法400を実行する任意のその他のシステムを用いて実行されるとしてよい。このため、方法400の好ましい初期化ポイントおよび方法400を構成するステップの順序は、選択された実施例に応じて決まるとしてよい。一部の実施形態によると、一部のステップは、任意で省略したり、繰り返したり、組み合わせたりするとしてもよい。一部の実施形態によると、方法400の複数の部分を組み合わせるとしてよい。特定の実施形態によると、方法400は、コンピュータ可読媒体で具現化されるソフトウェアで部分的に、または、全て実施されるとしてよい。
図5は、本開示の教示内容に応じて、セキュリティアプリケーションがクライアントにインストールされていない場合、未知の悪意ある行為から保護する方法を説明するためのフローチャートである。通常、ユーザは、例えば、図1のクライアント102aで、ネットワーク108を介して別のサイトのデータにアクセスするべく、パートナーサイト上でリンクをクリックするとしてよい。図1に示すように、セキュリティアプリケーション114は、クライアント102aにはインストールされていない。パートナーサーバ104上の評価サーバスクリプト116は、クライアント102aが評価サーバ106にセキュリティアプリケーション114がクライアント102aにインストールされている旨の通知を送信していないので、評価サーバ106に誘導されるとしてよい。評価サーバ106上のセキュリティアプリケーションは、リンクおよびリダイレクトに対応付けられている情報を記録するとしてよい。評価サーバ106は、リンクおよびリダイレクトに対応付けられている情報に基づいて、リンクが悪意ある行為に対応付けられているか否かを示すポリシー共通点をリンクについて決定するとしてよい。評価サーバ106は、ポリシー共通点に基づいて、リンクに誘導するのが安全か否か、または、リンクが悪意ある行為に対応付けられており、サイトへのアクセスをブロックすべきか否かを判断するとしてよい。
方法500は、ユーザが図1のクライアント102aにおいて、ネットワーク108を介して利用可能な別のサイトのデータにアクセスするべくパートナーサイトのリンクをクリックすると、ステップ502において開始される。セキュリティアプリケーション114がクライアント102aにはインストールされていないので、クライアント102aは、ステップ504において、評価サーバ106に誘導される。この誘導を実行するべく、スクリプト(例えば、図1のパートナーサーバ104上のサーバ評価スクリプト116)または他の命令をパートナーサイトに含めて、パートナーサイト上の全てのアウトバウンドリンクが評価サーバ106に対応付けられているアドレスを指し示すようにするとしてよい。評価サーバ106への誘導は、ユーザには分からないが、評価サーバ106は、リンクが悪意ある行為に対応付けられているか否かを判断するべく、リンクに対応付けられている適切な情報を収集できるとしてよい。
ステップ506において、評価サーバ106は、パートナーデータベースにクエリを行って、パートナーサイトに対応付けられているパートナーポリシーを読み出すとしてよい。一実施形態によると、パートナーは、パートナーサイトに対応付けられているドメイン名および/またはアドレスによって特定されるとしてよい。評価サーバ106はこの後、ステップ508において、パートナーサイトのパートナーポリシーがリンクは未承認リンクである旨を示すか否かを判断するとしてよい。パートナーポリシーがリンクは未承認リンクである旨を示す場合、クライアント102aは、ステップ510において、ユーザがクリックしたリンクは未承認コンテンツを含むのでパートナーサイトからアクセスできない旨を示すページにリダイレクトされる。ステップ508においてパートナーポリシーがリンクは承認リンクである旨を示す場合、評価サーバ106は、ステップ512においてリンクを処理する。リンクの処理は、リンクのドメイン名、URLまたはアドレス等の情報を収集することと、サイトをユーザに対してクライアント102aで表示することなく最後のデスティネーションまでリンクを追跡することとを含むとしてよい。
ステップ514において、評価サーバ106は、リンクがリダイレクトされて最後のデスティネーションに到達するか否かを判断する。評価サーバ106がリンクはリダイレクトされた旨を検出すると、評価サーバ106は、ステップ516において、リンクと最後のデスティネーションとの間の各リダイレクトを記録する。評価サーバ106は、各リダイレクトに対応付けられているドメイン名またはURLおよび/またはアドレス、例えば、IPアドレスを記録するとしてよい。評価サーバ106がリダイレクトを検出しない場合、当該方法はステップ518に移動する。
ステップ518において、評価サーバ106は、リンクおよび対応付けられているリダイレクトに対応付けられている情報に基づいて、リンクのポリシー共通点を決定するとしてよい。一実施形態によると、リンクおよびリダイレクトに対応付けられている情報は、ドメイン名、URLまたはアドレス等の識別情報であってよい。別の実施形態によると、情報は、リンクおよび対応付けられているリダイレクトの識別情報および保護ポリシーを含むとしてよい。保護ポリシーは、リンクが悪意ある行為に対応付けられているのでクライアント102aがリンクに誘導されないようにすべきタイミングを示すルールを含むとしてよい。リンクのポリシー共通点を決定する処理の詳細な内容は、図6を参照しつつ後述する。
ステップ520において、評価サーバ106は、リンクが悪意ある行為に対応付けられている旨をポリシー共通点が示すか否かを判断する。リンクが悪意ある行為に対応付けられていない場合、評価サーバ106は、ステップ522において、サイトのデータをユーザに対してクライアント102aで表示するべくリンクの最後のネットワークデスティネーションに誘導される。リンクが悪意ある行為に対応付けられている場合、評価サーバ106は、ステップ524において、リンクが悪意ある行為に対応付けられている旨を示す安全なページに誘導する。
方法500は、図1から図3に図示したシステム、または、方法500を実行可能な任意のその他のシステムを用いて実現されるとしてよい。このため、方法500の好ましい初期化ポイントおよび方法500を構成するステップの順序は、選択された実行例に応じて決まるとしてよい。一部の実施形態によると、一部のステップは、任意で省略されたり、繰り返されたり、または、組み合わせられたりするとしてよい。一部の実施形態によると、方法500の複数の部分を組み合わせるとしてもよい。特定の実施形態によると、方法500は、一部分または全体を、コンピュータ可読媒体で具現化されるソフトウェアで実現されるとしてもよい。
図6は、本開示の教示内容に応じて、リンクの評価を決定する方法を説明するためのフローチャートである。一般的に、図1の評価サーバ106は、リンクに関する情報を、クライアントから直接的に(図4のステップ424を参照のこと)、または、パートナーサーバ104を介してクライアントから間接的に(図5のステップ516を参照のこと)受信する。評価サーバ106は、リンクおよび対応付けられているリダイレクトに関する識別情報を取り出して、リンクおよび対応付けられているリダイレクトについて評価情報を評価データベース110から読み出す。評価サーバ106は、対応付けられているリダイレクトの評価のうち1以上に基づいてリンクの評価を決定した後、決定した評価に基づいてリンクのポリシー共通点を算出する。リンクの評価情報とリダイレクトのうちいずれか1つの評価情報とが一致しない場合、評価サーバ106は、評価データベース110のリンクの評価情報を更新する。
方法600は、方法400のステップ426および方法500のステップ518で行われるが、ポリシー共通点を決定するために用いられるとしてよい。ステップ602において、評価サーバ106は、リンクおよびリダイレクトに対応付けられている情報を取り出す。一実施形態によると、リンクおよびリダイレクトに対応付けられている情報は、ドメイン名、URLまたはアドレス等の識別情報であってよい。別の実施形態によると、情報は、リンクおよび対応付けられているリダイレクトの識別情報およびパートナーサイトの保護ポリシーを含むとしてよい。ステップ604において、評価サーバ106は、リンクおよび対応付けられているリダイレクトがホワイトリストにあってサイトのコンテンツが悪意ある行為に対応付けられていないことを示しているか否かを判断する。リンクおよび対応付けられているリダイレクトがホワイトリストにあれば、評価サーバ106は、リンクの評価を決定することなく、リンクへの誘導をクライアント102に許可する。セキュリティアプリケーションが図1のクライアント102c等のクライアントにインストールされている場合、評価サーバ106は、リンクがホワイトリストにある旨を示す通知をクライアント102に送信するとしてよい。セキュリティアプリケーションが図1のクライアント102aおよび102b等のクライアントにインストールされていない場合、評価サーバ106は、リンクに誘導されて、サイトからのデータがクライアント102aおよび102b上に表示されるようにするとしてよい。
リンクおよび対応付けられているリダイレクトのうち1以上がホワイトリストにない場合、評価サーバ106は、ステップ608において、評価データベース110に対してクエリを行って、リンクおよび対応付けられているリダイレクトの評価を読み出すとしてよい。評価サーバ106はこの後、対応付けられているリダイレクトの評価のうち1以上に基づいて、ステップ610においてリンクの評価を決定するとしてよい。一実施形態によると、リンクの評価は、評価スコアが最も低いリダイレクトに基づいて決まるとしてよい。別の実施形態によると、リンクの評価は、リンクおよび対応付けられているリダイレクトの評価スコアの平均に基づいて決まるとしてよい。他の実施形態によると、リンクの評価は、最後のデスティネーション(例えば、最後のリダイレクト)についての評価情報に基づいて決まるとしてよい。
ステップ612において、評価サーバ106は、決定した評価および保護ポリシーに基づいて、リンクのポリシー共通点を算出するとしてよい。保護ポリシーは、クライアント102がリンクに誘導されないようにブロックされるタイミングを決定するためのルールを含むとしてよい。セキュリティアプリケーションがクライアント、例えば、図1のクライアント102cにインストールされている場合、評価サーバ106は、クライアント102cから保護ポリシーを受信するとしてよい。保護アプリケーションが、クライアント、例えば、図1のクライアント102aおよび102b等にインストールされていない場合、評価サーバ106は、評価サーバ106と一体的または別箇に形成されている保護ポリシーデータベースから保護ポリシーを読み出すとしてよい。
評価サーバ106は、リンクのポリシー共通点を算出すると、図1のセキュリティアプリケーション114等のセキュリティアプリケーションがクライアント102上にインストールされているか否かを判断するとしてよい。セキュリティアプリケーション114がクライアント、例えば、図1のクライアント102c等にインストールされている場合、評価サーバ106は、ステップ616において、リンクのポリシー共通点を含む通知をクライアント102cに送信する。ステップ616は、図4の方法400のステップ428と同様のステップであるとしてよい。セキュリティアプリケーション114がクライアント、例えば、クライアント102aまたは102b等にインストールされていない場合、評価サーバ106は、ステップ618において、ポリシー共通点はリンクが悪意ある行為に対応付けられている旨を示すか否かを判断する。ステップ618は、図5の方法500のステップ520と同様のステップであるとしてよい。
ステップ620において、評価サーバ106は、リンクに対応付けられている評価情報とリダイレクトに対応付けられている情報とが不一致か否かを判断するとしてよい。一実施形態によると、不一致が発生するのは、評価データベース110に格納されている、リンクに対応付けられている評価情報が評価データベース110に格納されている、リダイレクトのうち1以上に対応付けられている評価情報と同じでない場合であるとしてよい。一実施形態によると、不一致が発生するのは、リンクおよびリダイレクトの評価スコアが同じでない場合であるとしてよい。別の実施形態によると、不一致が発生するのは、リンクおよびリダイレクトのコンテンツが同じでない場合であるとしてよい。不一致が見られる場合、評価サーバ106は、ステップ622において、評価データベース110のリンクに対応付けられている評価情報を更新するとしてよい。一実施形態によると、リンクの評価は、評価スコアが最も低いリダイレクトに基づいて決まるとしてよい。別の実施形態によると、リンクの評価は、リンクおよび対応付けられているリダイレクトの評価スコアの平均に基づいて決まるとしてよい。他の実施形態によると、リンクの評価は、最後のデスティネーション(例えば、最後のリダイレクト)の評価情報に基づいて決まるとしてよい。リンクおよびリダイレクトの評価が一致する場合、方法600は終了するとしてよい。
方法600は、図1から図3のシステム、または、方法600を実行する任意のその他のシステムを用いて実行されるとしてよい。このため、方法600の好ましい初期化ポイントおよび方法600を構成するステップの順序は、選択された実施例に応じて決まるとしてよい。一部の実施形態によると、一部のステップは、任意で省略したり、繰り返したり、組み合わせたりするとしてもよい。一部の実施形態によると、方法600の複数の部分を組み合わせるとしてよい。特定の実施形態によると、方法600は、コンピュータ可読媒体で具現化されるソフトウェアで部分的に、または、全て実施されるとしてよい。
本開示を詳細に説明してきたが、請求項に定義されている本開示の意図および範囲から逸脱することなく、さまざまな変更、置換および変形が可能であるものと理解されたい。

Claims (29)

  1. リンクの評価を決定する方法であって、
    評価サーバ、複数のリンクが悪意ある行為に対応付けられているか否かを示す評価情報が記録されたデータベースに対してクエリを行って、元々のリンクからリダイレクトされたリダイレクトリンクの前記評価を読み出す段階と、
    前記評価サーバが、前記リダイレクトンクの前記評価に基づいて前記元々のリンクの前記評価を決定する段階と
    前記評価サーバが前記データベースに対してクエリを行って前記元々のリンクの前記評価を読み出す段階と、
    前記元々のリンクの前記評価が前記リダイレクトリンクの前記評価に一致するか否かを前記評価サーバが判断する段階と、
    前記元々のリンクの前記評価と前記リダイレクトリンクの前記評価とが一致しない場合、前記評価サーバが、前記リダイレクトリンクの前記評価に基づいて、前記元々のリンクの前記評価を更新する段階と
    を備え方法。
  2. 前記元々のリンクおよび前記リダイレクトンクで表されるそれぞれのデスティネーションの位置情報を、クライアントから前記評価サーバ受信する段階をさらに備える請求項1に記載の方法。
  3. 前記クライアントから、記元々のリンクに対応付けられているデスティネーション前記クライアントが誘導されないようにすべきか否かを示すルールを含む保護ポリシーを前記評価サーバが受信する段階と、
    前記元々のリンクの前記評価および前記保護ポリシーに基づいて、前記元々のリンクが前記悪意ある行為に対応付けられているか否かを示すポリシー共通点を前記評価サーバが算出する段階と、
    前記クライアントに、記元々のリンクについての前記ポリシー共通点を含む通知を前記評価サーバが送信する段階と
    をさらに備える請求項2に記載の方法。
  4. 前記元々のリンクの前記評価を含む通知を、前記評価サーバからクライアント受信する段階と、
    前記評価サーバが、前記元々のリンクの前記評価、および、記元々のリンクに対応付けられているデスティネーション前記クライアントが誘導されないようにすべきか否かを示すルールを含む保護ポリシーに基づいて、前記元々のリンクが前記悪意ある行為に対応付けられているか否かを示すポリシー共通点を算出する段階と、
    前記ポリシー共通点が前記元々のリンクは前記悪意ある行為に対応付けられている旨を示す場合、前記評価サーバまたは前記クライアントが、前記元々のリンクへのアクセスをブロックする段階と
    をさらに備える請求項1に記載の方法。
  5. 前記評価サーバが前記データベースを、前記決定する段階で作成された前記元々のリンクの前記評価で更新する段階をさらに備える請求項1から4のいずれか一項に記載の方法。
  6. 前記元々のリンクの前記評価が前記元々のリンクは前記悪意ある行為に対応付けられている旨を示す場合、前記評価サーバまたはクライアントが、前記クライアントにおいて、前記元々のリンクへのアクセスをブロックする段階をさらに備える請求項1からのいずれか一項に記載の方法。
  7. 前記通知が前記元々のリンクは前記悪意ある行為に対応付けられていない旨を示す場合、前記評価サーバまたは前記クライアントが、前記クライアントにおいて、前記元々のリンクに対応付けられている最後のデスティネーションへと誘導する段階をさらに備える請求項3または4に記載の方法。
  8. 前記リダイレクトンクは、前記元々のリンクに対応付けられている最後のデスティネーションを表す請求項1からのいずれか一項に記載の方法。
  9. 前記リダイレクトンクは、前記元々のリンクに対応付けられている中間デスティネーションを表す請求項1からのいずれか一項に記載の方法。
  10. 前記複数のリンクに対応付けられている前記評価情報は、格付け、評価スコアおよびコンテンツの種類のうち少なくとも1つを含む請求項1からのいずれか一項に記載の方法。
  11. リンクの評価を決定するシステムであって、
    複数のリンクが悪意ある行為に対応付けられているか否かを示す評価情報が記録されたデータベースと、
    プロセッサと、
    コンピュータ可読メモリと、
    前記コンピュータ可読メモリに符号化されている処理命令と
    を備え、
    前記処理命令は、前記プロセッサによって実行されると、
    前記データベースに対してクエリを行って、元々のリンクからリダイレクトされたリダイレクトリンクの前記評価を読み出す順と、
    前記リダイレクトンクの前記評価に基づいて前記元々のリンクの前記評価を決定する手順と
    前記データベースに対してクエリを行って、前記元々のリンクの前記評価を読み出す手順と、
    前記元々のリンクの前記評価が前記リダイレクトリンクの前記評価に一致するか否かを判断する手順と、
    前記元々のリンクの前記評価と前記リダイレクトリンクの前記評価とが一致しない場合、前記リダイレクトリンクの前記評価に基づいて、前記元々のリンクの前記評価を更新する手順と
    を実行させるシステム。
  12. 前記処理命令はさらに、クライアントから評価サーバが前記元々のリンクおよび前記リダイレクトンクで表されるそれぞれのデスティネーションの位置情報を受信する手順を実行させる請求項1に記載のシステム。
  13. 前記処理命令はさらに、
    クライアントから、記元々のリンクに対応付けられているデスティネーション前記クライアントが誘導されないようにすべきか否かを示すルールを含む保護ポリシーを受信する手順と、
    前記元々のリンクの前記評価および前記保護ポリシーに基づいて、前記元々のリンクが前記悪意ある行為に対応付けられているか否かを示すポリシー共通点を算出する手順と、
    前記クライアントに、記元々のリンクについての前記ポリシー共通点を含む通知を送信する手順と
    を実行させる請求項1または1に記載のシステム。
  14. 前記処理命令はさらに、前記決定する段階で決定された前記元々のリンクの前記評価で前記データベースを更新する手順を実行させる請求項1から1のいずれか一項に記載のシステム。
  15. 前記リダイレクトンクは、前記元々のリンクに対応付けられている最後のデスティネーションを表す請求項1から1のいずれか一項に記載のシステム。
  16. 前記リダイレクトンクは、前記元々のリンクに対応付けられている中間デスティネーションを表す請求項1から1のいずれか一項に記載のシステム。
  17. 前記複数のリンクに対応付けられている前記評価情報は、格付け、評価スコアおよびコンテンツの種類のうち少なくとも1つを含む請求項1から16のいずれか一項に記載のシステム。
  18. 評価サーバにリンクの評価を決定させるためのクライアントプログラムであって、
    元々のリンクおよび前記元々のリンクからリダイレクトされたリダイレクトリンクで表されるそれぞれのデスティネーションの位置情報をクライアントに記録する手順と、
    複数のリンクが悪意ある行為に対応付けられているか否かを示す評価情報が記録されたデータベースに対してクエリを行うことによって前記リダイレクトンクの前記評価に基づいて前記元々のリンクの前記評価を決定するとともに前記データベースに対してクエリを行って、前記元々のリンクの前記評価を読み出し、前記元々のリンクの前記評価が前記リダイレクトリンクの前記評価に一致するか否かを判断し、前記元々のリンクの前記評価と前記リダイレクトリンクの前記評価とが一致しない場合、前記リダイレクトリンクの前記評価に基づいて、前記元々のリンクの前記評価を更新する前記評価サーバに対して、前記元々のリンクおよび前記リダイレクトンクで表されるそれぞれのデスティネーションの位置情報を送信する手順と、
    記元々のリンクの前記評価を含む通知を、前記評価サーバから前記クライアントによって受信する手順と
    をコンピュータに実行させるクライアントプログラム。
  19. 前記クライアントに対応付けられている保護ポリシーデータベースから、前記元々のリンクに対応付けられているデスティネーションに前記クライアントが誘導されないようにすべきか否かを示すルールを含む保護ポリシーを読み出す手順と、
    記元々のリンクの前記評価および前記保護ポリシーに基づいて、前記元々のリンクが前記悪意ある行為に対応付けられているか否かを示すポリシー共通点を前記評価サーバが算出するように前記保護ポリシーを前記評価サーバに送信する手順と
    をさらに前記コンピュータに実行させ請求項18に記載のクライアントプログラム。
  20. 前記通知は、前記ポリシー共通点を含む請求項19に記載のクライアントプログラム。
  21. 前記ポリシー共通点が前記元々のリンクは前記悪意ある行為に対応付けられている旨を示す場合、前記元々のリンクへのアクセスをブロックする手順をさらに前記コンピュータに実行させる請求項2に記載のクライアントプログラム。
  22. 前記リダイレクトンクは、前記元々のリンクに対応付けられている最後のデスティネーションを表す請求項18から2のいずれか一項に記載のクライアントプログラム。
  23. 前記リダイレクトンクは、前記元々のリンクに対応付けられている中間デスティネーションを表す請求項18から2のいずれか一項に記載のクライアントプログラム。
  24. リンクの評価を決定する方法であって、
    評価サーバ、複数のリンクが悪意ある行為に対応付けられているか否かを示す評価情報が記録されたデータベースに対してクエリを行って、元々のリンクからリダイレクトされた複数のリダイレクトリンクのそれぞれの前記評価を読み出す段階と、
    前記評価サーバが前記元々のリンクの前記評価を決定する段階と
    前記評価サーバが前記データベースに対してクエリを行って前記元々のリンクの前記評価を読み出す段階と、
    前記元々のリンクの前記評価が前記複数のリダイレクトリンクのうち1または複数のリダイレクトリンクの前記評価に一致するか否かを前記評価サーバが判断する段階と、
    前記元々のリンクの前記評価と前記複数のリダイレクトリンクのうち前記1または複数のリダイレクトリンクの前記評価とが一致しない場合、前記評価サーバが、前記複数のリダイレクトリンクの前記評価に基づいて、前記元々のリンクの前記評価を更新する段階と
    を備え
    前記決定する段階は、前記複数のリダイレクトンクの前記評価のうち、最も低い評価スコアを含む前記評価、
    前記複数のリダイレクトンクの前記評価に含まれる評価スコアの平均および、
    前記元々のリンクの最後のデスティネーションを表す前記リダイレクトンクの前記評価
    何れか1つに基づいて行われる方法。
  25. 前記元々のリンクおよび前記複数のリダイレクトンクで表されるそれぞれのデスティネーションの位置情報をクライアントから前記評価サーバが受信する段階をさらに備える請求項2に記載の方法。
  26. 前記クライアントから、前記元々のリンクに対応付けられているデスティネーション前記クライアントが誘導されないようにすべきか否かを示すルールを含む保護ポリシーを前記評価サーバが受信する段階と、
    前記元々のリンクの前記評価および前記保護ポリシーに基づいて、前記元々のリンクが前記悪意ある行為に対応付けられているか否かを示すポリシー共通点を前記評価サーバが算出する段階と、
    記元々のリンクについての前記ポリシー共通点を含む通知を、前記評価サーバが前記クライアントへ送信する段階と
    をさらに備える請求項2に記載の方法。
  27. 前記評価サーバが、前記決定する段階で作成された前記元々のリンクの前記評価で前記データベースを更新する段階をさらに備える請求項2から26のいずれか一項に記載の方法。
  28. 前記元々のリンクの前記評価が前記元々のリンクは前記悪意ある行為に対応付けられている旨を示す場合、前記評価サーバまたはクライアントが、前記クライアントにおいて前記元々のリンクへのアクセスをブロックする段階をさらに備える請求項2から27のいずれか一項に記載の方法。
  29. 評価サーバでリンクの評価を決定する評価サーバプログラムであって、
    複数のリンクが悪意ある行為に対応付けられているか否かを示す評価情報が記録されたデータベースに対してクエリを行って、元々のリンクからリダイレクトされたリダイレクトリンクの前記評価を読み出す手順と、
    前記リダイレクトリンクの前記評価に基づいて前記元々のリンクの前記評価を決定する手順と
    前記データベースに対してクエリを行って、前記元々のリンクの前記評価を読み出す手順と、
    前記元々のリンクの前記評価が前記リダイレクトリンクの前記評価に一致するか否かを判断する手順と、
    前記元々のリンクの前記評価と前記リダイレクトリンクの前記評価とが一致しない場合、前記リダイレクトリンクの前記評価に基づいて、前記元々のリンクの前記評価を更新する手順と
    をコンピュータに実行させる評価サーバプログラム。
JP2013534998A 2010-10-20 2011-10-18 リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム Active JP5702470B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/908,477 2010-10-20
US12/908,477 US9317680B2 (en) 2010-10-20 2010-10-20 Method and system for protecting against unknown malicious activities by determining a reputation of a link
PCT/US2011/056663 WO2012054449A2 (en) 2010-10-20 2011-10-18 Method and system for protecting against unknown malicious activities by determining a reputation of a link

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015030616A Division JP5973017B2 (ja) 2010-10-20 2015-02-19 リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム

Publications (2)

Publication Number Publication Date
JP2013541781A JP2013541781A (ja) 2013-11-14
JP5702470B2 true JP5702470B2 (ja) 2015-04-15

Family

ID=45974128

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013534998A Active JP5702470B2 (ja) 2010-10-20 2011-10-18 リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム
JP2015030616A Active JP5973017B2 (ja) 2010-10-20 2015-02-19 リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2015030616A Active JP5973017B2 (ja) 2010-10-20 2015-02-19 リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム

Country Status (6)

Country Link
US (1) US9317680B2 (ja)
EP (1) EP2630611B1 (ja)
JP (2) JP5702470B2 (ja)
KR (1) KR101512253B1 (ja)
CN (1) CN103221959B (ja)
WO (1) WO2012054449A2 (ja)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9317680B2 (en) 2010-10-20 2016-04-19 Mcafee, Inc. Method and system for protecting against unknown malicious activities by determining a reputation of a link
US8819819B1 (en) * 2011-04-11 2014-08-26 Symantec Corporation Method and system for automatically obtaining webpage content in the presence of javascript
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US8839401B2 (en) 2012-06-07 2014-09-16 Proofpoint, Inc. Malicious message detection and processing
JP5752642B2 (ja) * 2012-06-13 2015-07-22 日本電信電話株式会社 監視装置および監視方法
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9430640B2 (en) * 2012-09-28 2016-08-30 Intel Corporation Cloud-assisted method and service for application security verification
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
GB2505529B (en) * 2012-11-08 2014-07-30 F Secure Corp Protecting a user from a compromised web resource
US9467410B2 (en) * 2012-12-20 2016-10-11 Mcafee, Inc. Just-in-time, email embedded URL reputation determination
CN103902888B (zh) * 2012-12-24 2017-12-01 腾讯科技(深圳)有限公司 网站信任度自动评级的方法、服务端及系统
US9479471B2 (en) 2012-12-28 2016-10-25 Equifax Inc. Networked transmission of reciprocal identity related data messages
US9489497B2 (en) 2012-12-28 2016-11-08 Equifax, Inc. Systems and methods for network risk reduction
GB2509766A (en) * 2013-01-14 2014-07-16 Wonga Technology Ltd Website analysis
US9477710B2 (en) * 2013-01-23 2016-10-25 Microsoft Technology Licensing, Llc Isolating resources and performance in a database management system
US20140259140A1 (en) * 2013-03-11 2014-09-11 Sakthikumar Subramanian Using learned flow reputation as a heuristic to control deep packet inspection under load
US20150007330A1 (en) * 2013-06-26 2015-01-01 Sap Ag Scoring security risks of web browser extensions
US9286402B2 (en) * 2013-07-03 2016-03-15 Majestic-12 Ltd System for detecting link spam, a method, and an associated computer readable medium
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9330258B1 (en) * 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
KR101540672B1 (ko) * 2014-01-13 2015-07-31 주식회사 엔피코어 이동 단말기의 해킹 방지 시스템 및 그 방법
US9596264B2 (en) 2014-02-18 2017-03-14 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
CN103873466B (zh) * 2014-03-04 2018-01-19 深信服网络科技(深圳)有限公司 Https网站过滤及阻断告警的方法和装置
US10320746B2 (en) * 2014-05-12 2019-06-11 Michael C. Wood Computer security system and method based on user-intended final destination
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9319382B2 (en) 2014-07-14 2016-04-19 Cautela Labs, Inc. System, apparatus, and method for protecting a network using internet protocol reputation information
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
CN104503983A (zh) * 2014-11-27 2015-04-08 百度在线网络技术(北京)有限公司 为搜索引擎提供网站认证数据的方法及装置
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9602525B2 (en) * 2015-02-27 2017-03-21 Cisco Technology, Inc. Classification of malware generated domain names
USD814494S1 (en) 2015-03-02 2018-04-03 Norse Networks, Inc. Computer display panel with an icon image of a live electronic threat intelligence visualization interface
US10382476B1 (en) * 2015-03-27 2019-08-13 EMC IP Holding Company LLC Network security system incorporating assessment of alternative mobile application market sites
USD810775S1 (en) 2015-04-21 2018-02-20 Norse Networks, Inc. Computer display panel with a graphical live electronic threat intelligence visualization interface
US10410155B2 (en) 2015-05-01 2019-09-10 Microsoft Technology Licensing, Llc Automatic demand-driven resource scaling for relational database-as-a-service
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US9923914B2 (en) * 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
WO2017140710A1 (en) * 2016-02-16 2017-08-24 Nokia Solutions And Networks Oy Detection of malware in communications
US10242318B2 (en) * 2016-05-25 2019-03-26 Symantec Corporation System and method for hierarchical and chained internet security analysis
CN106022150A (zh) * 2016-05-30 2016-10-12 宇龙计算机通信科技(深圳)有限公司 一种冻结应用方法以及装置
US20180084002A1 (en) * 2016-09-20 2018-03-22 Re-Sec Technologies Ltd. Malicious hyperlink protection
CN108023868B (zh) * 2016-10-31 2021-02-02 腾讯科技(深圳)有限公司 恶意资源地址检测方法和装置
WO2018085732A1 (en) * 2016-11-03 2018-05-11 RiskIQ, Inc. Techniques for detecting malicious behavior using an accomplice model
GB2555801A (en) * 2016-11-09 2018-05-16 F Secure Corp Identifying fraudulent and malicious websites, domain and subdomain names
US11652845B2 (en) * 2017-03-09 2023-05-16 Nippon Telegraph And Telephone Corporation Attack countermeasure determination apparatus, attack countermeasure determination method, and attack countermeasure determination program
US11645943B2 (en) * 2018-04-11 2023-05-09 Barracuda Networks, Inc. Method and apparatus for training email recipients against phishing attacks using real threats in realtime
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
GB201911459D0 (en) 2019-08-09 2019-09-25 Majestic 12 Ltd Systems and methods for analysing information content
US11233820B2 (en) 2019-09-10 2022-01-25 Paypal, Inc. Systems and methods for detecting phishing websites
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis
US11595420B2 (en) * 2020-08-12 2023-02-28 Gen Digital Inc. Systems and methods for protecting against misleading clicks on websites
US20220201034A1 (en) * 2020-12-17 2022-06-23 International Business Machines Corporation Context-based simulation of content
US11777908B1 (en) 2021-06-24 2023-10-03 Gen Digital Inc. Protecting against a tracking parameter in a web link

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8291065B2 (en) 2004-12-02 2012-10-16 Microsoft Corporation Phishing detection, prevention, and notification
US7562304B2 (en) 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US7822620B2 (en) 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
JP4950606B2 (ja) 2005-09-30 2012-06-13 トレンドマイクロ株式会社 通信システム、セキュリティ管理装置およびアクセス制御方法
US7774459B2 (en) 2006-03-01 2010-08-10 Microsoft Corporation Honey monkey network exploration
US20080082662A1 (en) 2006-05-19 2008-04-03 Richard Dandliker Method and apparatus for controlling access to network resources based on reputation
JP4542544B2 (ja) 2006-12-28 2010-09-15 キヤノンItソリューションズ株式会社 通信データ監視装置および通信データ監視方法およびプログラム
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US20090300012A1 (en) 2008-05-28 2009-12-03 Barracuda Inc. Multilevel intent analysis method for email filtration
JP2010066980A (ja) * 2008-09-10 2010-03-25 Kddi Corp スパムブログ検知装置、スパムブログ検知方法及びプログラム
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US8438386B2 (en) * 2009-04-21 2013-05-07 Webroot Inc. System and method for developing a risk profile for an internet service
US8862699B2 (en) * 2009-12-14 2014-10-14 Microsoft Corporation Reputation based redirection service
US8869271B2 (en) * 2010-02-02 2014-10-21 Mcafee, Inc. System and method for risk rating and detecting redirection activities
US9317680B2 (en) 2010-10-20 2016-04-19 Mcafee, Inc. Method and system for protecting against unknown malicious activities by determining a reputation of a link

Also Published As

Publication number Publication date
EP2630611A4 (en) 2014-07-30
CN103221959A (zh) 2013-07-24
US20120102545A1 (en) 2012-04-26
EP2630611B1 (en) 2019-06-05
JP2015146188A (ja) 2015-08-13
JP2013541781A (ja) 2013-11-14
WO2012054449A2 (en) 2012-04-26
KR101512253B1 (ko) 2015-04-14
US9317680B2 (en) 2016-04-19
KR20140051102A (ko) 2014-04-30
WO2012054449A3 (en) 2012-07-19
CN103221959B (zh) 2016-08-10
EP2630611A2 (en) 2013-08-28
JP5973017B2 (ja) 2016-08-17

Similar Documents

Publication Publication Date Title
JP5973017B2 (ja) リンクの評価を決定することによって未知の悪意ある行為から保護する方法およびシステム
US8996669B2 (en) Internet improvement platform with learning module
JP6871357B2 (ja) オンライン詐欺を検出するためのシステムおよび方法
US9325727B1 (en) Email verification of link destination
CN101341717B (zh) 评估和访问网络地址的方法
US8347396B2 (en) Protect sensitive content for human-only consumption
US8375120B2 (en) Domain name system security network
US9038181B2 (en) Prioritizing malicious website detection
US8978140B2 (en) System and method of analyzing web content
US9654495B2 (en) System and method of analyzing web addresses
US20180027013A1 (en) Methods for preventing cyber intrusions and phishing activity
Amrutkar et al. Detecting mobile malicious webpages in real time
US20150074390A1 (en) Method and device for classifying risk level in user agent by combining multiple evaluations
JP2015167039A (ja) インターネット資源に関するリスクプロファイルを開発するシステムおよび方法
US20060230039A1 (en) Online identity tracking
EP2805286A1 (en) Online fraud detection dynamic scoring aggregation systems and methods
WO2010105184A2 (en) A method and apparatus for phishing and leeching vulnerability detection
US20200125729A1 (en) Online assets continuous monitoring and protection
US20210006592A1 (en) Phishing Detection based on Interaction with End User
JP4564916B2 (ja) フィッシング詐欺対策方法、端末、サーバ及びプログラム
Boyapati et al. Anti-phishing approaches in the era of the internet of things
JP2022007278A (ja) シグネチャ生成装置、検出装置、シグネチャ生成プログラム及び検出プログラム
WO2006081328A2 (en) Online identity tracking

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140603

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140828

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150219

R150 Certificate of patent or registration of utility model

Ref document number: 5702470

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250