JP5738283B2 - マルウェアスキャンに関する誤警報検出 - Google Patents
マルウェアスキャンに関する誤警報検出 Download PDFInfo
- Publication number
- JP5738283B2 JP5738283B2 JP2012514415A JP2012514415A JP5738283B2 JP 5738283 B2 JP5738283 B2 JP 5738283B2 JP 2012514415 A JP2012514415 A JP 2012514415A JP 2012514415 A JP2012514415 A JP 2012514415A JP 5738283 B2 JP5738283 B2 JP 5738283B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- malware
- clean
- cleanliness
- determine whether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title description 19
- 238000000034 method Methods 0.000 claims description 30
- 230000003749 cleanliness Effects 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 230000004807 localization Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000239290 Araneae Species 0.000 description 1
- 241000282412 Homo Species 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Description
本発明は、マルウェアスキャンシステムでの誤警報の検出に関し、限定はしないが特に、自動化されたマルウェアスキャンシステムでの誤警報の検出に関する。
用語「マルウェア(malware)」は、malicious software(悪意のあるソフトウェア)の略であり、所有者の同意なくコンピュータシステムに潜入する、またはコンピュータシステムを破壊するように設計された任意のソフトウェアを表す用語として使用されている。マルウェアは、ウイルス、ワーム、トロイの木馬、ルートキット、アドウェア、スパイウェア、および任意の他の悪意のある望ましくないソフトウェアを含むことができる。デスクトップ型パーソナルコンピュータ(PC)、ラップトップ、携帯情報端末(PDA)、または移動体電話などあらゆるコンピュータデバイスが、マルウェアの危険にさらされる可能性がある。
デバイスがマルウェアに感染したとき、ユーザはしばしば、望ましくない挙動およびシステム性能の低下に気付く。これは、感染が、望ましくない処理装置の活動、メモリ使用、およびネットワークトラフィックを引き起こす可能性があるからである。また、これは、安定性の問題を発生させ、アプリケーションまたはシステム全体に及ぶクラッシュをもたらすこともある。感染したデバイスのユーザは、実際の原因はユーザが気付いていないマルウェア感染であるにもかかわらず、性能低下がソフトウェアの欠陥またはハードウェアの問題によるものであると誤って考えて、不適切な修正措置を取ることがある。
マルウェア作成者は、自分のソフトウェアを検出されにくいように設計するので、マルウェアの検出は困難な課題である。マルウェア作成者はしばしば、システム上でマルウェアの存在を故意に隠す技術を採用し、すなわち、現在実行しているプロセスを列挙するオペレーティングシステムテーブルにマルウェアアプリケーションが現れないことがある。
コンピュータデバイスは、マルウェアを検出し、場合によっては駆除するために、アンチウイルスソフトウェアを利用する。このアンチウイルスソフトウェアは、マルウェアを検出するために、スキャン、整合性チェック、およびヒューリスティック解析を含めた様々な方法を利用する。これらの方法のうち、マルウェアスキャンは、個々のマルウェアプログラムを特徴付けるウイルスの指紋すなわち「シグネチャ」を見つけ出すためにファイルを検査するアンチウイルスソフトウェアを伴う。典型的には、これは、アンチウイルスソフトウェアが、それらのシグネチャを含むデータベースを有することを必要とする。アンチウイルスソフトウェアの提供者が新たなマルウェアの脅威を識別したとき、その脅威が解析されて、そのシグネチャが抽出される。ここで、マルウェアが「知られ」、そのシグネチャを更新情報としてアンチウイルスソフトウェアデータベースに供給することができる。
マルウェアを検出し、シグネチャを生成してクライアント端末に配布するために、マルウェア検出アプリケーション提供者の「バックエンド」操作は、クライアント端末で利用可能なよりもかなり多くの量の計算を行って多数のファイルおよびコードサンプルを処理する。いくつかの場合には、これは、バックエンドでのファイルおよびコードサンプルの手動解析を含むこともある。当然、アプリケーション提供者の目標は、マルウェアバックエンド検出プロセスをできるだけ自動化し、それと同時に誤警報の危険を最小限にすることである。
本発明の目的は、自動化された、または少なくとも部分的に自動化されたマルウェア検出方式のための誤警報検出プロセスを提供することである。この目的は、マルウェアの疑いがある、またはマルウェアを含む疑いがあるサンプルを選別して、クリーンなファイルおよびコードを特徴付ける特性を有する度合いまたはそのような挙動を示す度合いを決定することによって実現される。
本発明の第1の態様によれば、コンピュータシステムでマルウェアを見つけ出すためにファイルをスキャンする方法が提供される。この方法は、スキャンすべきファイルをシステム内で受信することと、少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを判断することとを含む。マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断する。クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことが通知される。
本発明は、マルウェア検出プロセスへの人為的介入の必要性を減らすことができ、それと同時にサービス提供者および/またはユーザに誤警報の可能性を警告する。サービス提供者の場合、本発明は、提供者がより信頼性の高い製品またはサービスを配布することができるようにする。
本発明のコンピュータシステムは、例えばマルウェア検出サービスの提供者によって操作されるサーバまたは1組のサーバでよい。あるいは、コンピュータシステムは、例えばエンドユーザが所有するクライアントコンピュータでよい。
少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断するステップをさらに考慮すると、このステップは、
アプリケーションプログラミングインターフェース呼び出しを行うコードをファイルが含むか否か判断すること、
グラフィックスおよび/またはサウンドデータをファイルが含むか否か判断すること、
人が理解できる複数の言語でのテキストデータをファイルが含むか否か判断すること、
クリアテキストストリングをファイルが含むか否か判断すること、
ファイルがマルウェアとして識別されることなくシステム内に存在していた期間を判断すること
のうちの1つまたは複数を含むことができる。当然、他の基準を定義することもできる。
アプリケーションプログラミングインターフェース呼び出しを行うコードをファイルが含むか否か判断すること、
グラフィックスおよび/またはサウンドデータをファイルが含むか否か判断すること、
人が理解できる複数の言語でのテキストデータをファイルが含むか否か判断すること、
クリアテキストストリングをファイルが含むか否か判断すること、
ファイルがマルウェアとして識別されることなくシステム内に存在していた期間を判断すること
のうちの1つまたは複数を含むことができる。当然、他の基準を定義することもできる。
少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断するステップは、ファイルのクリーン度の尺度を生成し、その尺度を既定のしきい値と比較するステップを含むことができる。
本発明の第2の態様によれば、複数のクライアントコンピュータにマルウェアスキャンサービスを提供する方法であって、
本発明の上記第1の態様の方法をバックエンドサーバまたは1組のサーバで実施するステップと、
誤警報であったことが通知されたファイルに関して、さらなる自動および/または手動チェックを行って、ファイルがマルウェアであるか否か確認するステップと、
マルウェアと確認された各ファイルと、マルウェアを示唆する特性を有するが、実際にはクリーンなファイルを示唆する特性を有する各ファイルとに関して、スキャンシグネチャおよび/またはスキャン規則を生成してクライアントコンピュータに配布するステップと
を含む方法が提供される。
本発明の上記第1の態様の方法をバックエンドサーバまたは1組のサーバで実施するステップと、
誤警報であったことが通知されたファイルに関して、さらなる自動および/または手動チェックを行って、ファイルがマルウェアであるか否か確認するステップと、
マルウェアと確認された各ファイルと、マルウェアを示唆する特性を有するが、実際にはクリーンなファイルを示唆する特性を有する各ファイルとに関して、スキャンシグネチャおよび/またはスキャン規則を生成してクライアントコンピュータに配布するステップと
を含む方法が提供される。
本発明の第3の態様によれば、スキャンすべきファイルを受信するための入力部と、少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを判断するように構成された第1の処理装置とを備えるコンピュータシステムが提供される。このシステムは、第2の処理装置をさらに備え、第2の処理装置は、マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否か判断し、クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことを通知するように構成される。
本発明の第4の態様によれば、
スキャンすべきファイルをシステム内で受信するステップと、
少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを判断するステップと、
マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断するステップと、
クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことを通知するステップと
をコンピュータに実施させるためのコンピュータプログラムが提供される。
スキャンすべきファイルをシステム内で受信するステップと、
少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを判断するステップと、
マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断するステップと、
クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことを通知するステップと
をコンピュータに実施させるためのコンピュータプログラムが提供される。
本発明の第5の態様によれば、上記第3の態様によるプログラムを記憶するコンピュータプログラム記憶媒体が提供される。
マルウェア検出アプリケーションの提供者によって実行される典型的なバックエンド検出プロセスは、毎日、数百さらには数千のソフトウェアファイル(完全なアプリケーションおよびコードサンプルを含む)を受信して解析している。これらのファイルは、例えば、スパイダ、サーチャ、ワールドワイドウェブから得ることができ、または、提供者の検出アプリケーションを実行するクライアント端末からバックエンドに送られることがある。バックエンド操作の目的は、「実際に感染報告がある(in the ”wild”)」新規のマルウェアを迅速に検出し、そのマルウェアに関するシグネチャを生成してクライアント端末に配布し、さらに可能であれば、感染除去メカニズムを生成して配布することである。これらのプロセスをできるだけ自動化することが望ましい。
マルウェア検出プロセスを考察すると、新規ファイルがバックエンドで受信されるとき、そこで動作するサーバはファイルを受け取り、a)そのファイルが既知のマルウェアを含むかどうか、および/またはb)そのファイルが疑わしい挙動、すなわちマルウェアに典型的な挙動を示す、またはそのような性質を有するかどうか判断する。これらのステップのうち最初のステップa)は、ファイルが既知のマルウェアのシグネチャを含むかどうか判断するためにファイルを解析することによって、比較的簡単に自動化することができる。第2のステップb)も、多数の既知のウイルスを解析することによって得られた経験に基づき生成されている規則または「ヒューリスティック手法(heuristics)」を適用することによって自動化することができる。しかし、ステップb)は、いくつかのクリーンなファイルが1つまたは複数のヒューリスティック手法の適用に対して陽性の結果を示すことは避けられないので、誤警報を発生する危険がある。クライアント端末が、クリーンなファイルがマルウェアの疑いがあると忠告される場合、これは、スキャンアプリケーションに対する顧客の苛立ちや不満、およびアプリケーション提供者からのテクニカルサポートを求める要求の増加を含めた、いくつかの望ましくない結果をもたらすことになる。
ここで、疑わしいファイルに対してさらなるスキャンを行って、各ファイルに関する「クリーン度(cleanliness)」スコアを決定することによって、マルウェアを見つけ出すためのファイルの自動スキャンから生じる誤警報を検出するための試みが提案されている。疑わしいファイルに関するクリーン度スコアが、そのファイルがクリーンであり得ることを示す場合、ファイルに対して何らかのさらなる措置が取られて、ファイルが本当に感染しているかどうかを何らかの方法で確認する。例えば、マルウェアがほとんどないサンプルは高性能のグラフィックスまたはサウンドライブラリを使用しており、したがってファイルが多数のグラフィックスおよびサウンドコードを含む場合、マルウェアである可能性は非常に低い。そのようなファイルに関しては、高いクリーン度スコアを決定することができる。
クリーン度スコアは、以下のファイル特性の1つまたは複数を解析することによって決定することができる。
・コード解析:
クリーンなコードは、感染したファイルのものとは大きく異なるコードパターンを有する。例えば、クリーンなアプリケーションは、典型的には、ユーザとの対話なしではファイル書き込み操作を行わない。また、一般に、クリーンなファイルは、悪意のあるファイルよりもコードライン当たりに多くのUI操作を有する。
・API呼び出し頻度:
クリーンなアプリケーションは通常、悪意のあるファイルのものとは異なる関数呼び出しの統計的パターンを含む。例えば、クリーンなアプリケーションでは、UIコードがかなり多い傾向がある。また、悪意のあるアプリケーションは、クリーンなファイルよりも多数の他の操作を含む傾向がある。
・関数呼び出しグラフ:
コード解析に関して上述したように、クリーンなアプリケーションによって呼び出される関数または関数の順序は、悪意のあるアプリケーションによって呼び出されるものとは異なる傾向がある。例えば、クリーンなアプリケーションは、任意のUI呼び出しの前にデバイスから情報を送信することはめったにない。同じことが、ファイル操作またはレジストリ修正に関しても当てはまる。
・ストリングおよびリソース解析:
悪意のあるアプリケーションはほぼ常に「パック(packed)」されており、したがって大量のクリアテキストストリングを有さない。同様に、(存在する場合に)悪意のあるアプリケーションによって使用されるリソースは、難読化されている可能性が高い。
・サンプルクリーン期間:
すなわち、提供者が知る限り、いつ以来ファイルが問題を生じていないか。
・ローカライゼーション/地域化:
例えば多言語をサポートするマルウェアファイルはほとんどない。
・地理的/ユーザプロファイル分布パターン:
マルウェアとクリーンなファイルは、地理的およびユーザプロファイル分布が大きく異なることがある。
・Google(商標)ヒット数およびソフトウェアレビューの数:
通常、すべてのクリーンなアプリケーションに関して、Google(商標)は、ソフトウェアに関してかなり多くのことを「知って」いる。例えば、クリーンな市販のアプリケーションは、複数のソフトウェアレビューを有する可能性が高く、クリーンなフリーウェアアプリケーションは、複数のダウンロードページから入手可能である可能性が高い。
・ダウンロードページの数:
Google(商標)レビュー参照。
・文書化:
悪意のあるアプリケーションが「文書化」を含む可能性は非常に低い。したがって、CHMフォーマット文書化の有無に関する単純なチェックが有用とみなすことができる。
・コード解析:
クリーンなコードは、感染したファイルのものとは大きく異なるコードパターンを有する。例えば、クリーンなアプリケーションは、典型的には、ユーザとの対話なしではファイル書き込み操作を行わない。また、一般に、クリーンなファイルは、悪意のあるファイルよりもコードライン当たりに多くのUI操作を有する。
・API呼び出し頻度:
クリーンなアプリケーションは通常、悪意のあるファイルのものとは異なる関数呼び出しの統計的パターンを含む。例えば、クリーンなアプリケーションでは、UIコードがかなり多い傾向がある。また、悪意のあるアプリケーションは、クリーンなファイルよりも多数の他の操作を含む傾向がある。
・関数呼び出しグラフ:
コード解析に関して上述したように、クリーンなアプリケーションによって呼び出される関数または関数の順序は、悪意のあるアプリケーションによって呼び出されるものとは異なる傾向がある。例えば、クリーンなアプリケーションは、任意のUI呼び出しの前にデバイスから情報を送信することはめったにない。同じことが、ファイル操作またはレジストリ修正に関しても当てはまる。
・ストリングおよびリソース解析:
悪意のあるアプリケーションはほぼ常に「パック(packed)」されており、したがって大量のクリアテキストストリングを有さない。同様に、(存在する場合に)悪意のあるアプリケーションによって使用されるリソースは、難読化されている可能性が高い。
・サンプルクリーン期間:
すなわち、提供者が知る限り、いつ以来ファイルが問題を生じていないか。
・ローカライゼーション/地域化:
例えば多言語をサポートするマルウェアファイルはほとんどない。
・地理的/ユーザプロファイル分布パターン:
マルウェアとクリーンなファイルは、地理的およびユーザプロファイル分布が大きく異なることがある。
・Google(商標)ヒット数およびソフトウェアレビューの数:
通常、すべてのクリーンなアプリケーションに関して、Google(商標)は、ソフトウェアに関してかなり多くのことを「知って」いる。例えば、クリーンな市販のアプリケーションは、複数のソフトウェアレビューを有する可能性が高く、クリーンなフリーウェアアプリケーションは、複数のダウンロードページから入手可能である可能性が高い。
・ダウンロードページの数:
Google(商標)レビュー参照。
・文書化:
悪意のあるアプリケーションが「文書化」を含む可能性は非常に低い。したがって、CHMフォーマット文書化の有無に関する単純なチェックが有用とみなすことができる。
ファイルクリーン度の尺度は、そのファイルを感染しているものとして報告するエンドユーザの数を見ることによって決定することもできる。通常は多数のそのような報告は、ファイルがクリーンであり、広く使用されていることを示すことがある。
スコアは、使用される各ヒューリスティック手法ごとに割り振ることができ、それらの結果は、全体のクリーン度スコアを決定するために、場合によっては何らかの統計的な重み付けを使用して組み合わせることができる。
図1は、ソフトウェアファイルでマルウェアを検出するための手順を示す流れ図である。バックエンドスキャンサーバでのファイルの受信(ステップ100)後、ステップ200で、サーバは、最大の検出率を保証するために典型的には複数のマルウェアスキャンエンジンを使用して「従来の」マルウェアスキャンを行う。完全に自動化されたシステムを仮定して、ステップ300でスキャンの結果、マルウェアの疑いがないファイルは、ステップ400でクリーンと識別される。ステップ300で疑わしいものと識別されたファイルは、次いで、ステップ500で、クリーン度スコアを生成するためにさらなるスキャンをかけられる。ステップ600で、このスコアが、何らかの既定のしきい値と比較される。ファイルに関するスコアがしきい値未満である場合、ステップ700で、ファイルが悪意のあるものと識別される(さらに、ファイルのシグネチャを生成してクライアント端末に配布するなど、適切な措置が取られる)。他方、クリーン度スコアがしきい値よりも上である場合、ステップ800で、ファイルが誤警報として識別される。これは、さらなる自動プロセスおよび/または人為的介入をトリガすることがある。
ここで提案した誤警報検出メカニズムは、マルウェア検出アプリケーション提供者のバックエンド操作で実施されることが考えられているが、当然、追加または代替として、その操作をクライアントフロントエンドで実施することができ、すなわち顧客/加入者に提供されるソフトウェア製品でそのメカニズムを実施することができる。この場合、生じ得る誤警報の検出は、以下の措置の1つまたは複数を引き起こすことがある。1)ファイルがクリーンなものとして合格する(メカニズムが十分に信頼されている場合のみ)。2)ユーザに警告が示される。および3)誤警報の詳細が提供者のバックエンドに渡される。措置3)は、バックエンドがファイルに対してさらなる解析を行って、結果がクライアント端末に返されるまで、クライアント端末でファイルを検疫することを含むことがある。
図2は、上述したマルウェア誤警報検出メカニズムを実施するように構成されたコンピュータ1を概略的に示す。この例では、コンピュータは初期マルウェアスキャンも行うが、必ずしもそれを行う必要はないことを理解されたい。コンピュータは、バックエンドサーバ、またはPC、ラップトップ、PDA、もしくは移動体電話などのクライアント端末でよい。コンピュータは、1つまたは複数の中央処理装置(CPU)および関連のハードウェア2と、ソフトウェア命令、スキャンすべきファイル、および関連のデータを記憶するためのメモリ3とを備える。ソフトウェア命令は、上述した少なくとも2つの主機能、すなわちマルウェアスキャン機能4とクリーン度スキャンおよび取扱い機能5を行う。
本発明の範囲から逸脱することなく、上述した実施形態に様々な変更を加えることができることが当業者には理解されよう。
Claims (8)
- コンピュータシステム上でマルウェアを見つけ出すためにファイルをスキャンする方法であって、
スキャンすべきファイルをシステム内で受信するステップと、
少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを、1つまたは複数のヒューリスティック手法を使用して、判断するステップと、
マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを、1つまたは複数のヒューリスティック手法を使用して、判断するステップと、
クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことを通知するステップと
を含み、
少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断する前記ステップが、ファイルのクリーン度の尺度を生成し、前記尺度を既定のしきい値と比較するステップを含む、方法。 - 前記コンピュータシステムがサーバまたは1組のサーバである、請求項1に記載の方法。
- 前記コンピュータシステムがクライアントコンピュータである、請求項1に記載の方法。
- 少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断する前記ステップが、
アプリケーションプログラミングインターフェース呼び出しを作成するコードをファイルが含むか否か判断するステップと、
グラフィックスおよび/またはサウンドデータをファイルが含むか否か判断するステップと、
人が理解できる複数の言語でのテキストデータをファイルが含むか否か判断するステップと、
クリアテキストストリングをファイルが含むか否か判断するステップと、
ファイルがマルウェアとして識別されることなくシステム内に存在していた期間を判断するステップ
のうちの1つまたは複数を含む、請求項1から3のいずれか一項に記載の方法。 - 複数のクライアントコンピュータにマルウェアスキャンサービスを提供する方法であって、
請求項1から4のいずれか一項に記載の方法を、バックエンドサーバまたは1組のサーバで実施するステップと、
誤警報であったことが通知されたファイルに関して、さらなる自動および/または手動チェックを行って、ファイルがマルウェアであるか否かを確認するステップと、
マルウェアと確認された各ファイルと、マルウェアを示唆する特性を有するが、実際にはクリーンなファイルを示唆する特性を有する各ファイルとに関して、スキャンシグネチャおよび/またはスキャン規則を生成して前記クライアントコンピュータに配布するステップと
を含む方法。 - スキャンすべきファイルを受信するための入力部と、
少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを、1つまたは複数のヒューリスティック手法を使用して、判断するように構成された第1の処理装置と、
マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを、1つまたは複数のヒューリスティック手法を使用して、判断し、クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことを通知するように構成された第2の処理装置と
を備え、
前記第2の処理装置が、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断する際に、ファイルのクリーン度の尺度を生成し、前記尺度を既定のしきい値と比較する、コンピュータシステム。 - スキャンすべきファイルをシステム内で受信するステップと、
少なくとも1つのマルウェアスキャンエンジンを使用して、マルウェアを示唆する特性をファイルが有するか否かを、1つまたは複数のヒューリスティック手法を使用して、判断するステップと、
マルウェアを示唆する特性をファイルが有すると判断された場合、少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを、1つまたは複数のヒューリスティック手法を使用して、判断するステップと、
クリーンなファイルを示唆する特性をファイルが有すると判断された場合、誤警報であったことを通知するステップと
をコンピュータに実行させるコンピュータプログラムであって、
少なくとも1つのクリーン度スキャンエンジンを使用して、クリーンなファイルを示唆する特性をファイルが有するか否かを判断する前記ステップが、ファイルのクリーン度の尺度を生成し、前記尺度を既定のしきい値と比較するステップを含む、コンピュータプログラム。 - 請求項7に記載のプログラムを記憶するコンピュータプログラム記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0909954A GB2470928A (en) | 2009-06-10 | 2009-06-10 | False alarm identification for malware using clean scanning |
| GB0909954.0 | 2009-06-10 | ||
| PCT/EP2010/057474 WO2010142545A1 (en) | 2009-06-10 | 2010-05-28 | False alarm detection for malware scanning |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012529690A JP2012529690A (ja) | 2012-11-22 |
| JP5738283B2 true JP5738283B2 (ja) | 2015-06-24 |
Family
ID=40937157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012514415A Active JP5738283B2 (ja) | 2009-06-10 | 2010-05-28 | マルウェアスキャンに関する誤警報検出 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8914889B2 (ja) |
| EP (1) | EP2441025B1 (ja) |
| JP (1) | JP5738283B2 (ja) |
| BR (1) | BRPI1015433A2 (ja) |
| GB (1) | GB2470928A (ja) |
| RU (1) | RU2573265C2 (ja) |
| WO (1) | WO2010142545A1 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7975303B1 (en) * | 2005-06-27 | 2011-07-05 | Symantec Corporation | Efficient file scanning using input-output hints |
| US20130111018A1 (en) * | 2011-10-28 | 2013-05-02 | International Business Machines Coporation | Passive monitoring of virtual systems using agent-less, offline indexing |
| RU2487405C1 (ru) | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для исправления антивирусных записей |
| US9245120B2 (en) * | 2012-07-13 | 2016-01-26 | Cisco Technologies, Inc. | Method and apparatus for retroactively detecting malicious or otherwise undesirable software as well as clean software through intelligent rescanning |
| US20140040279A1 (en) * | 2012-08-02 | 2014-02-06 | International Business Machines Corporation | Automated data exploration |
| WO2015100538A1 (en) * | 2013-12-30 | 2015-07-09 | Nokia Technologies Oy | Method and apparatus for malware detection |
| GB2532199B (en) * | 2014-11-05 | 2018-10-03 | F Secure Corp | Determining malware status of file |
| US10075454B1 (en) * | 2015-03-31 | 2018-09-11 | Symantec Corporation | Using telemetry data to detect false positives |
| CN106295328B (zh) * | 2015-05-20 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
| US9800588B1 (en) * | 2015-12-16 | 2017-10-24 | Symantec Corporation | Automated analysis pipeline determination in a malware analysis environment |
| RU2625053C1 (ru) | 2016-07-29 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Устранение ложных срабатываний антивирусных записей |
| US10885188B1 (en) | 2016-12-30 | 2021-01-05 | Comodo Security Solutions, Inc. | Reducing false positive rate of statistical malware detection systems |
| US11605093B1 (en) * | 2017-02-22 | 2023-03-14 | Amazon Technologies, Inc. | Security policy enforcement |
| WO2018179628A1 (ja) * | 2017-03-28 | 2018-10-04 | 日本電気株式会社 | シグネチャ生成装置、シグネチャ生成方法、プログラムが格納された非一時的なコンピュータ可読媒体 |
| RU2696236C1 (ru) * | 2018-06-29 | 2019-07-31 | Акционерное общество "Лаборатория Касперского" | Способ формирования запроса информации о файле при антивирусной проверке с целью исключения ложного срабатывания |
| JP7436567B2 (ja) * | 2022-06-16 | 2024-02-21 | 株式会社日立製作所 | ストレージシステム及び不正アクセス検知方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
| GB2371125A (en) * | 2001-01-13 | 2002-07-17 | Secr Defence | Computer protection system |
| US7290282B1 (en) * | 2002-04-08 | 2007-10-30 | Symantec Corporation | Reducing false positive computer virus detections |
| US7519990B1 (en) * | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
| US7832011B2 (en) * | 2002-08-30 | 2010-11-09 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
| GB2400933B (en) * | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
| US7257842B2 (en) * | 2003-07-21 | 2007-08-14 | Mcafee, Inc. | Pre-approval of computer files during a malware detection |
| US20040172551A1 (en) * | 2003-12-09 | 2004-09-02 | Michael Connor | First response computer virus blocking. |
| US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
| US20060191008A1 (en) * | 2004-11-30 | 2006-08-24 | Sensory Networks Inc. | Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering |
| US8713686B2 (en) * | 2006-01-25 | 2014-04-29 | Ca, Inc. | System and method for reducing antivirus false positives |
| JP2007213239A (ja) * | 2006-02-08 | 2007-08-23 | Toshiba Corp | 医用装置及び医用情報管理装置 |
| GB0605117D0 (en) * | 2006-03-14 | 2006-04-26 | Streamshield Networks Ltd | A method and apparatus for providing network security |
| US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
| US8621610B2 (en) | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
| US8037536B2 (en) * | 2007-11-14 | 2011-10-11 | Bank Of America Corporation | Risk scoring system for the prevention of malware |
| KR100864867B1 (ko) * | 2007-12-05 | 2008-10-23 | 한국전자통신연구원 | 휴대용 단말기에서의 악성 파일 탐지 장치 및 방법 |
| US8028338B1 (en) * | 2008-09-30 | 2011-09-27 | Symantec Corporation | Modeling goodware characteristics to reduce false positive malware signatures |
| US8312548B1 (en) * | 2009-04-24 | 2012-11-13 | Network Appliance, Inc. | Volume metadata update system for antivirus attributes |
-
2009
- 2009-06-10 GB GB0909954A patent/GB2470928A/en not_active Withdrawn
-
2010
- 2010-05-28 RU RU2011152811/08A patent/RU2573265C2/ru active
- 2010-05-28 US US13/376,862 patent/US8914889B2/en active Active
- 2010-05-28 BR BRPI1015433A patent/BRPI1015433A2/pt not_active IP Right Cessation
- 2010-05-28 JP JP2012514415A patent/JP5738283B2/ja active Active
- 2010-05-28 WO PCT/EP2010/057474 patent/WO2010142545A1/en active Application Filing
- 2010-05-28 EP EP10723580.6A patent/EP2441025B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2441025B1 (en) | 2016-07-20 |
| BRPI1015433A2 (pt) | 2016-04-19 |
| WO2010142545A1 (en) | 2010-12-16 |
| US8914889B2 (en) | 2014-12-16 |
| JP2012529690A (ja) | 2012-11-22 |
| RU2573265C2 (ru) | 2016-01-20 |
| GB0909954D0 (en) | 2009-07-22 |
| EP2441025A1 (en) | 2012-04-18 |
| RU2011152811A (ru) | 2013-08-10 |
| US20120084865A1 (en) | 2012-04-05 |
| GB2470928A (en) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5738283B2 (ja) | マルウェアスキャンに関する誤警報検出 | |
| US8499354B1 (en) | Preventing malware from abusing application data | |
| US9262638B2 (en) | Hygiene based computer security | |
| US9965630B2 (en) | Method and apparatus for anti-virus scanning of file system | |
| US8196201B2 (en) | Detecting malicious activity | |
| US8392996B2 (en) | Malicious software detection | |
| US9454658B2 (en) | Malware detection using feature analysis | |
| US20100031353A1 (en) | Malware Detection Using Code Analysis and Behavior Monitoring | |
| US20130067577A1 (en) | Malware scanning | |
| JP2017527931A (ja) | マルウェア検出の方法及びそのシステム | |
| US8925085B2 (en) | Dynamic selection and loading of anti-malware signatures | |
| EP2663944B1 (en) | Malware detection | |
| EP2417552B1 (en) | Malware determination | |
| US8479289B1 (en) | Method and system for minimizing the effects of rogue security software | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
| US9483645B2 (en) | System, method, and computer program product for identifying unwanted data based on an assembled execution profile of code | |
| RU2510530C1 (ru) | Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов | |
| US11449610B2 (en) | Threat detection system | |
| US11436326B2 (en) | False alarm detection for malware scanning | |
| AU2007204089A1 (en) | Malicious software detection | |
| CN115982673A (zh) | 安全检测方法、装置、电子设备及计算机可读取存储介质 | |
| AU2007203373A1 (en) | Detecting malicious activity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130409 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140217 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140401 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140627 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140916 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150115 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150216 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20150309 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150324 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150421 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5738283 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |