JP5897132B2 - クラウド技術を用いたマルウェアの動的駆除 - Google Patents

クラウド技術を用いたマルウェアの動的駆除 Download PDF

Info

Publication number
JP5897132B2
JP5897132B2 JP2014529864A JP2014529864A JP5897132B2 JP 5897132 B2 JP5897132 B2 JP 5897132B2 JP 2014529864 A JP2014529864 A JP 2014529864A JP 2014529864 A JP2014529864 A JP 2014529864A JP 5897132 B2 JP5897132 B2 JP 5897132B2
Authority
JP
Japan
Prior art keywords
malware
removal
response
network
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014529864A
Other languages
English (en)
Other versions
JP2014525639A (ja
Inventor
シン、プラブハット、クマル
プラシャント、パラサムドラム、ラマゴパル
ジョーティ、ニティン
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2014525639A publication Critical patent/JP2014525639A/ja
Application granted granted Critical
Publication of JP5897132B2 publication Critical patent/JP5897132B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Description

関連出願の相互参照
本出願は、2011年9月7日に出願された米国特許出願第13/227,407号の優先権を主張する。この米国特許出願は引用することによりその全体が本明細書の一部をなす。
本開示は、包括的にはコンピューターセキュリティの分野に関する。限定ではないが、より詳細には、本開示は、デバイスにおけるマルウェアの検出に時間的に近接してマルウェア及びその影響をデバイスから除去する駆除コードの提供に関する。
マルウェアは、コンピューターシステムを感染させ、様々な影響度を有し得る悪意のあるソフトウェアを示すのに用いられる広義語である。例えば、マルウェアの影響は、不愉快で望ましくないアドウェア及びスパイウェアから、コンピューターシステムを事実上使い物にならなくし得るコンピューターウィルス、ワーム及びトロイの木馬までの範囲に及ぶ可能性がある。インターネット等のネットワークに接続された多大な数のデバイス、及びこれらのネットワークへの高速接続の拡張により、マルウェア脅威はシステム間で過度に急速に拡散する可能性がある。したがって、或るタイプのアンチウィルスアプリケーション(アンチウィルスという用語は多岐にわたるマルウェアについて述べたものである)をこれらのデバイス上で利用してデバイス上のマルウェアを検出し、必要な場合、所望の駆除機能を実行してマルウェアを除去し、マルウェアの影響を修復することが一般的である。
マルウェアの作成者は絶えず新たな独自の形式のマルウェアを取り込んでいるので、アンチウィルスアプリケーションは、最も近時に取り込まれたマルウェア脅威を検出し修復することが可能な技法を含むように定期的に更新しなくてはならない。したがって、アンチウィルスソフトウェアプロバイダーは、当該プロバイダーのアンチウィルスアプリケーションに対する更新として定義ファイルを日常的に配信する。これらの定義ファイルは通常、マルウェアの検出のためにシステムファイルを比較することができる、既知のマルウェアを表すシグネチャファイルと、検出された場合に既知のマルウェアを除去し、そのマルウェアの影響を修復する駆除コードとからなる。しかしながら、これらの更新を用いても、新たな定義ファイルが更新の一部として利用可能になる前に、マルウェア脅威が多数のコンピューターシステムに影響を及ぼす可能性がある。
したがって、アンチウィルスソフトウェアプロバイダーは、マルウェアを検出するクラウド技術を採用してきた。クラウド技術は、遠隔ロケーションからネットワーク接続を介してローカルデバイスへのサービス及びデータの提供を可能にする。例えば、アンチウィルスソフトウェアを用いるマルウェア検出の場合、デバイス上にインストールされる定義ファイルに基づいてマルウェアとして特定することができない疑わしいシステムファイルに関する情報をパッケージ化し、これを、クラウド技術を利用してインターネット接続を介してアンチウィルスソフトウェアプロバイダーに関連付けられたネットワークデバイスに送信し、更なる調査を行うことができる。ネットワークデバイスは、提供された情報を評価し、ファイルがマルウェアであること又はマルウェアでないことを示して応答することができる。したがって、マルウェアのシグネチャを含む更新された定義ファイルがソフトウェア更新の一部として提供されていない場合であっても、クラウド技術を用いてマルウェアを検出することが可能である。しかしながら、クラウド技術を用いたマルウェアの検出に対する応答では、マルウェアに対処する最も一般的な修復手段しか利用可能でない。例えば、特定の駆除コードが存在しない検出されたマルウェアに対処するデフォルトの修復手段は、単に疑わしいファイルを削除することである場合がある。そのような手段は、多くの場合に、脅威に完全に対処することに失敗し、したがって、アンチウィルスソフトウェアのユーザーは、検出されたマルウェアに対処する適正な駆除コードを含む次のソフトウェア更新を待機した状態のままにされる。
アンチウィルスアプリケーションは、ローカルデバイス上にインストールされたアンチウィルスアプリケーションを用いてマルウェアが検出される場合であっても、適切な駆除コードを有しない場合がある。 例えば、アンチウィルスアプリケーションは、ヒューリスティック検出技法を含む場合があり、この技法によれば、ソフトウェアは、システムファイルを既知のマルウェアのシグネチャと比較することによってではなく、システムファイルを評価して、マルウェアに類似する特性を検出することによってマルウェアを検出することができる。このタイプの検出を用いると、アンチウィルスソフトウェアは、特定のマルウェアを表すシグネチャを用いることなくマルウェアを検出することが可能である。この技法は、ファイルを特定の既知のマルウェアとして認識するのではなく、ファイルをマルウェアの一般的な特性と一致するものとして認識することによってマルウェアを検出するので、検出されたマルウェアに対処する定義ファイルの一部として特定の駆除コードが利用可能でない可能性がある。ここでもまた、ユーザーは、検出されたマルウェアに対処する適正な駆除コードを含む次のソフトウェア更新を待機した状態のままにされる場合がある。
このため、従来技術に関連付けられたこれらの問題及び他の問題に対処する必要がある。
第1の実施形態では、マルウェア駆除を提供する方法が、ネットワークに接続された第1のデバイス上で潜在的なマルウェアを検出することと、第1のデバイスから第2のデバイスへネットワークを介して、第2のデバイスが適切な駆除応答を決定することを可能にする情報を含む要求を送信することと、第1のデバイスにおいて、第2のデバイスからネットワークを介して、第1のデバイスが検出された潜在的なマルウェアを除去するのに使用可能な駆除応答を受信することとを含む。
第2の実施形態では、コンピュータープログラム製品が、第1の実施形態の方法を実行するコンピューター命令を含む。
第3の実施形態では、システムがクライアント及びサーバーを含む。クライアントは、ストレージデバイスと、ストレージデバイスに動作可能に結合されたプロセッサであって、該プロセッサは、ストレージデバイス内に記憶されたプログラムコードを実行して潜在的なマルウェアを検出し、該検出された潜在的なマルウェアに関する情報を含む要求をネットワークを介して送信するように構成される、プロセッサと、を備える。サーバーは、ストレージデバイスと、ストレージデバイスに動作可能に結合されたプロセッサであって、該プロセッサは、ストレージデバイス内に記憶されたプログラムコードを実行して、クライアントからの要求をネットワークを介して受信し、駆除応答を決定し、該駆除応答をネットワークを介してクライアントに送信するように構成され、駆除応答は、クライアントが検出された潜在的なマルウェアを除去するのに使用可能である、プロセッサと、を備える。
第4の実施形態では、マルウェア駆除を提供する方法が、第2のデバイスにおいて第1のデバイスからネットワークを介してマルウェア駆除要求を受信することと、マルウェア駆除要求のマルウェア定義部分を特定することと、特定されたマルウェア定義部分に一致するレコードを求めて第2のデバイスのデータストアを検索することと、第2のデバイスからネットワークを介して第1のデバイスへ駆除応答を送信することであって、該駆除応答はレコードから決定されることと、を含む。
1つの実施形態によるネットワークアーキテクチャを示すブロック図である。
1つの実施形態による代表的なハードウェア環境を示すブロック図である。
1つの実施形態による、クラウド技術を用いた動的マルウェア駆除を提供するプロセスを示すフローチャートである。
1つの実施形態による、クラウド技術を用いて動的マルウェア駆除を提供するネットワークアーキテクチャを示すブロック図である。
1つの実施形態による、クラウド技術を用いた動的マルウェア駆除の要求を受信し処理するプロセスを示すフローチャートである。
以下の記載において、説明上、本発明の完全な理解を提供するために、多数の特定の詳細が示される。しかしながら、本発明はこれらの特定の詳細なしで実行することができることが当業者には明らかであろう。他の例では、本発明を曖昧にすることを回避するために、構造及びデバイスはブロック図の形態で示される。下付き文字又は添字のない符号への言及は、その言及された符号に対応する下付き文字又は添字の全ての場合を指すように理解される。さらに、本開示において用いられる言語は、読みやすさ及び説明の目的で主に選択されており、本発明の主題を画定又は制限するように選択されていない場合があり、そのような本発明の主題を決定するには特許請求の範囲に頼る必要がある。明細書内における「1つの実施形態」、「一実施形態」への言及は、実施形態に関連して説明される特定の特徴、構造、又は特性が、本発明の少なくとも1つの実施形態に含まれることを意味し、「1つの実施形態」、「一実施形態」への複数の言及が、必ずしも全て同じ実施形態を指していると解釈されるべきでない。
図1は、1つの実施形態によるネットワークアーキテクチャ100を示している。示されるように、複数のネットワーク102が提供される。本ネットワークアーキテクチャ100との関連で、ネットワーク102はそれぞれ、限定ではないが、ローカルエリアネットワーク(LAN)、無線ネットワーク、インターネット等の広域ネットワーク(WAN)、ピアツーピアネットワーク等を含む任意の形態をとることができる。
ネットワーク102には、ネットワーク102を介して通信することが可能なサーバー104及びクライアント106が結合される。そのようなサーバー104及び/又はクライアント106はそれぞれ、デスクトップコンピューター、ラップトップコンピューター、ハンドヘルドコンピューター、移動電話、携帯情報端末(PDA)、周辺機器(例えばプリンター等)、コンピューターの任意の構成要素、及び/又はネットワーク102を介して通信することが可能な任意の他のタイプのデバイスを含むことができる。オプションで少なくとも1つのゲートウェイ108がネットワーク102間に接続され、それによって、特定のネットワーク102に接続されるサーバー104及びクライアント106のそれぞれが、異なるネットワーク102に接続されたサーバー104及び/又はクライアント106と通信することを可能にすることができる。
図2は、1つの実施形態による、図1のサーバー104及び/又はクライアント106に関連付けることができる代表的なハードウェア環境を示している。そのような図は、マイクロプロセッサ等の中央処理ユニット210と、システムバス212を介して相互接続される複数の他のユニットとを有する、1つの実施形態によるワークステーションの通常のハードウェア構成を示している。
図2に示すワークステーションは、ランダムアクセスメモリ(RAM)214と、読み出し専用メモリ(ROM)216と、ディスクストレージユニット220等の周辺デバイスをバス212に接続するI/Oアダプター218と、キーボード224、マウス226、スピーカー228、マイク232、及び/又はタッチスクリーン(図示せず)等の他のユーザーインターフェースデバイスをバス212に接続するユーザーインターフェースアダプター222と、ワークステーションを、例えば図1のネットワーク102のうちの任意のもの等の通信ネットワークに接続する通信アダプター234と、バス212をディスプレイデバイス238に接続するディスプレイアダプター236とを備える。
ワークステーションは、そのワークステーション上に常駐する任意の所望のオペレーティングシステムを有することができる。一実施形態は、上述した以外のプラットフォーム及びオペレーティングシステム上で実施される場合もある。1つの実施形態は、オブジェクト指向プログラミング方法とともにJAVA(登録商標)、C及び/又はC++言語、又は他のプログラミング言語を用いて書くことができる。オブジェクト指向プログラミング(OOP)は、複雑なアプリケーションを開発するのにますます用いられるようになっている。
本明細書において示される様々な実施形態は、ハードウェア、ソフトウェア、又はそれらの任意の所望の組合せを利用して実施することができる。本明細書に示される様々な機能を実施することが可能な任意のタイプのロジックを利用することができる。
図3を参照すると、例示的な実施形態において、クラウド技術を用いて動的マルウェア駆除を提供するプロセスが示される。明確にするために、マルウェア駆除の動作は、限定ではないが、任意のタイプの悪意のあるソフトウェアの影響を除去し、無効にし、隔離し(すなわち、システムの他のエリアへの有害な影響の拡散を阻止するようにシステムの単一のエリア内に孤立させ)、及び/又は修復しようとする動作を含む任意の動作を指す。示される実施形態では、動的マルウェア駆除を提供することは、デバイス上でマルウェアを検出するプロセスから始まる。デバイスは、例えば図1において上述したデバイスのうちの任意のもの等の、マルウェアによる影響を受ける可能性がある任意のデバイスであり得る。マルウェアはマルウェアを検出することが可能な任意の所望の技法を用いてデバイス上で検出することができる。デバイス上でマルウェアを検出するプロセスは、デバイスのファイルをデバイス上に記憶された既知のマルウェアシグネチャと比較することを含むことができる。代替的に、マルウェアを検出するプロセスは、デバイス上の疑わしいファイルに関する情報をパッケージ化してネットワークデバイスに送信し、そのファイルがマルウェアであるか否かに関して判断することを含むことができる。マルウェアは、ヒューリスティック検出技術、すなわち挙動に基づく検出技術を用いてデバイス上で検出することもできる。ステップ302においてマルウェアが検出されない場合、デバイス上でマルウェアを検出することを試みるプロセスが継続する。例えば、マルウェアの検索は、継続的に、又は以下で説明するようにデバイスにおける或る特定の発現に応答して実行することができる。
一方、ステップ302においてマルウェアが検出される場合、ステップ304において、デバイス上で、検出されたマルウェアに対する適切な駆除手順が利用可能であるか否かが判断される。1つの実施形態では、マルウェアを検出する役割を果たすアンチウィルスアプリケーションは、検出された特定のマルウェアに対し、アンチウィルスアプリケーションの一部として駆除コードが利用可能であるか否かを判断することができる。1つの実施形態では、検出された特定のマルウェアに対する駆除手順が利用可能でないか、期限切れであるか、又は十分な結果をもたらす可能性が低い場合、デバイスにおいて適切な駆除手順が利用可能でないことがある。デバイスにおいて適切な駆除手順が利用可能である場合、306において、ローカルで利用可能な駆除手順を利用して、検出されたマルウェアを除去し、マルウェアの影響を修復する。1つの実施形態では、ローカルで利用可能な駆除手順を用いて、検出されたマルウェアを除去し、マルウェアの影響を修復すること(306)は、デバイス上にインストールされたアンチウィルスアプリケーションの一部であるプログラムコードを実行することを含むことができる。ローカルで利用可能な駆除手順を用いてマルウェアを除去し、マルウェアの影響を修復することは、任意の所望の方法で実行することができる。
デバイスにおいて適切な駆除手段が利用可能でない場合、検出されたマルウェアに関する情報は、308において、デバイスのネットワーク接続を用いて通信ネットワークを介してサーバーに送信することができる。1つの実施形態では、サーバーはインターネット接続によりデバイスにアクセス可能とすることができる。しかしながら、サーバーは図1において上記で検討したような任意の所望のネットワーク接続によってデバイスにアクセス可能とすることができる。1つの実施形態では、サーバーは、デバイス上にインストールされたアンチウィルスアプリケーションのプロバイダーと連携するサーバーとすることができる。受信デバイスはサーバーとして説明されるが、受信デバイスは、デバイスから送信された情報を受信し、それに応じて情報を処理することが可能な任意のネットワークデバイスとすることができることが理解されよう。1つの実施形態では、デバイスからマルウェアの検出に関する情報を受信することが可能な複数のサーバーが存在することができる。適切なサーバーは、検出されるマルウェアのタイプ、デバイスのロケーション等に従って決定することができる。したがって、サーバーは、情報を受信し、デバイスに適切な応答を提供することが可能な任意のネットワークデバイスとすることができる。
1つの実施形態では、サーバーに送信される情報は、検出されたマルウェアとして特定されるファイルのハッシュを含むことができる。1つの実施形態では、サーバーに送信される情報は暗号化することができる。情報は、秘密鍵暗号化(すなわち対称暗号化)又は公開暗号化(すなわち非対称暗号化)を用いて暗号化することができる。一方、サーバーに送信される情報は、サーバーが検出されたマルウェアに関連付けられた適切な駆除応答を特定することを可能にすることができる任意の情報を含むことができる。例えば、1つの実施形態では、サーバーがこの情報を用いて、特定のタイプのマルウェアと対応する駆除応答とを相互参照するデータベース検索を実行することができる。
310において、サーバーは、検出されたマルウェアに関する情報の受信に応答して、適切な駆除応答を用いて応答することができる。以下で更に詳細に説明されるように、様々な実施形態において、サーバーによって提供される応答は、例えばデバイス上にインストールされたアンチウィルスアプリケーションの一部としてデバイス上に既に存在する駆除コードを参照することの命令、デバイスによって実行される駆除ルーチン、デバイス上の既存の駆除コードを参照することの命令とデバイスによって実行される駆除ルーチンとの組合せ、又は異なるネットワークデバイスから駆除応答を取得することの命令を含むことができる。一方、応答は、デバイスが検出されたマルウェアを除去し、マルウェアの影響を修復することを可能にすることができる任意のコンテンツを含むことができる。ステップ312において、デバイスは応答を利用して検出されたマルウェアを除去し、マルウェアの影響を修復することができる。
図4を参照すると、例示的な実施形態において、動的なマルウェア駆除を提供するネットワークアーキテクチャは、アンチウィルスアプリケーション408がインストールされたワークステーション402を備える。ワークステーション402はネットワーク接続403によってネットワーク426に接続される。ワークステーション402は、パーソナルコンピューターとして示されるが、図1において上記で検討したデバイスのうちの任意のもの等の、マルウェアによる影響を受ける可能性がある任意のデバイスとすることができる。1つの実施形態では、ワークステーション402は実際に仮想マシン(すなわち、マシンのソフトウェア実装)とすることができ、この仮想マシン上でアンチウィルスアプリケーション408が実行される。
1つの実施形態では、アンチウィルスアプリケーション408は、ワークステーション402によって、マルウェア脅威からワークステーション402を保護するように利用することができる。アンチウィルスアプリケーション408は、ワークステーション402の通常動作及び意図された動作を妨害するように作成された任意のタイプの悪意のあるソフトウェアに対処するように構成することができる。そのようなマルウェア脅威は、限定ではないが、コンピューターウィルス、ワーム、トロイの木馬、スパイウェア、アドウェア、スキャムソフトウェア(scam software)等を含むことができる。アンチウィルスアプリケーション408は例えば、ワークステーション402上に存在するマルウェアを検出し、この検出されたマルウェアを除去し、無効にし、隔離する等の必要な措置をとることができる。
1つの実施形態では、アンチウィルスアプリケーション408は、スキャントリガー410及び定義ファイル412を含むことができる。当業者であれば、ここでアンチウィルスアプリケーション408のコンテンツの説明が、アンチウィルスアプリケーション408のコンテンツの包括的な目録を提供するのに利用されるのではなく、或る特定の対象に言及して本開示の一実施形態を説明するのに利用されることが理解されよう。
スキャントリガー410は、アンチウィルスアプリケーション408にワークステーション402の特定のファイル、ファイルディレクトリ等の評価を開始させるコンピューターコードを含むことができる。スキャントリガー410は、ワークステーション402における様々なイベントの発現に基づいてアクティベートすることができる。例えば、1つの実施形態では、スキャントリガー410は、ファイルにアクセスを試みるユーザーに応答してファイルの評価を開始することができる。別の実施形態では、スキャントリガー410は、アンチウィルスアプリケーション408の定期的なスケジュールに従ってファイル又はファイルディレクトリの評価を開始することができる。例えば、スキャントリガー410は、定期的にスケジューリングされた間隔に基づいて特定のファイル又はファイルディレクトリの評価をトリガーすることができる。
定義ファイル412は、マルウェアシグネチャ414、駆除手順415、及び駆除コード416を含むことができる。マルウェアシグネチャ414は、既知のマルウェアのコードの代表的なパターン、又はマルウェアを特定するのに用いることができる他のデータを含むことができる。スキャントリガー410の開始時に、マルウェアシグネチャ414を用いて特定のファイルをスキャンして、ファイル内の何らかのコードが既知のマルウェアのマルウェアシグネチャ414のうちのいずれかにマッチするか否かを判断することができる。加えて、定義ファイル412は、検出されたマルウェアの除去及びマルウェアの任意の影響の修復を容易にする駆除コード416を更に含むことができる。1つの実施形態では、駆除コード416は、マルウェアを除去し、及び/又はマルウェアの影響を軽減するのに利用されるルーチンのライブラリを含むことができる。アンチウィルスアプリケーション408は、駆除手順415を利用して、駆除コード416の適切なルーチンを開始することができる。駆除手順415は、特定のマルウェアを、マルウェアに対処するために実行される駆除コード416の適切な駆除ルーチンに関係付けるレコードを含むことができる。例えば、特定のマルウェア脅威が特定されると、アンチウィルスアプリケーション408は駆除手順415を照会して、検出された特定のマルウェア脅威を根絶させる(combat)ことが特に知られた駆除コード416の或る特定のルーチンの実行を開始することができる。異なるマルウェア脅威が検出された場合、駆除手順415は駆除コード416の異なるルーチンの実行を要求することができる。1つの実施形態では、最近特定されたマルウェア脅威のマルウェアシグネチャ414、駆除手順415及び駆除コード416を含むように定義ファイル412を更新するために、ソフトウェア更新を、アンチウィルスアプリケーション408のプロバイダーに利用可能にすることができる。
アンチウィルスアプリケーション408は、特定の検出されたマルウェア脅威の駆除手順415が利用可能でないか、期限切れであるか、又は十分な結果をもたらす可能性が低いと判断する場合がある。例えば、1つの実施形態では、マルウェア検出は、クラウド技術を用いた検出の結果である場合がある。クラウド技術を用いると、マルウェアは、定義ファイル412のマルウェアシグネチャ414の一部としてではなく、サーバー等の遠隔のネットワークロケーションに記憶されているシグネチャを利用して検出することができる。1つの実施形態では、サーバーはサーバー404とすることができる。この検出方法を用いると、ローカルデバイス402は、疑わしいファイルに関する情報を、ネットワーク接続を介して遠隔ロケーションに提供して評価することができる。一方、クラウド技術を用いてマルウェアが検出されると、検出された特定のマルウェアについて定義ファイル412内にマルウェアシグネチャ414が存在しないので、この特定の検出されたマルウェアに関するレコードが、駆除手順415において、検出されたマルウェアを根絶させる駆除コード416を示すのに利用可能でない場合がある。
別の実施形態では、マルウェア検出は、特定のファイルのヒューリスティック解析に基づくことができる。ヒューリスティック解析は、特定のタイプのマルウェアではなく、マルウェアの一般的なパターンを検出するので、ヒューリスティック解析を利用して検出された特定のマルウェアのエントリは、駆除手順415において、検出されたマルウェアを根絶させる適切な駆除コード416を示すのに利用可能でない場合がある。
更に別の実施形態では、検出されたマルウェアは、特定のマルウェアの十分な特性を呈するものとして認識することができ、それによって、このマルウェアは定義ファイル412のマルウェアシグネチャ414を利用して認識することができる。しかしながら、検出されたマルウェアは、マルウェアシグネチャが基づく既知のマルウェアの特性を有するにも関わらず、既知のマルウェアにおいて観察されない独自の特性を有すると判断される場合がある。したがって、マルウェアシグネチャ414が基づく既知のマルウェアに関連付けられた駆除手順415が、検出されたマルウェアに適用されるときに十分な結果をもたらさない場合があると判断される場合がある。それゆえ、本明細書に開示されるクラウド技術技法を用いることによって、検出されたマルウェアに妥当でない駆除を提供する尤度を低減することができる。
また別の実施形態では、定義ファイル412は、駆除手順415が期限切れであることを示す場合がある。例えば、定義ファイル412を含むソフトウェア更新は、特定のマルウェア脅威のマルウェアシグネチャ414が含まれる当該特定のマルウェア脅威が、急速に進化しているので、クラウド技術を用いてより適した駆除が利用可能であるか否かを判断した後に初めて対応する駆除手順415が用いられるべきであると認識する場合がある。したがって、急速に進化するマルウェア脅威に対応する駆除手順415を利用する前に、アンチウィルスアプリケーション408がクラウド技術を用いて、駆除手順415が依然として適切であるか否かを判断することができる。当業者であれば、駆除手順415が利用不可能であるか、期限切れであるか、又は十分な結果を提供する可能性が低いと判断する更なる理由が存在し得ることを理解するであろう。
図4に示す実施形態によれば、アンチウィルスアプリケーション408は、駆除手順415が利用不可能であるか、期限切れであるか、又は十分な結果を提供する可能性が低いと判断すると、クラウド技術を用いてマルウェア駆除を要求することができる。示されるように、ワークステーション402は、ネットワーク426へのネットワーク接続により、アンチウィルスアプリケーション408のプロバイダーと提携するサーバー404に接続される。サーバー404は、ネットワーク接続405によってネットワーク426に接続される。サーバー404は、複数のワークステーション402からのネットワーク要求に応答し、以下に示す機能を実行することが可能な任意のデバイスとすることができる。1つの実施形態では、ネットワーク426はインターネットとすることができる。しかしながら、ネットワーク426は、図1において上記で説明されたネットワークのうちの任意のものとすることができる。示されるように、アンチウィルスアプリケーション408は、ワークステーション402に、ネットワーク426を用いてサーバー404からマルウェア駆除の要求418を発行するように促すことができる。1つの実施形態では、ワークステーション402は、マルウェア駆除のためのドメイン名システム(DNS)クエリ又はハイパーテキスト転送プロトコル(HTTP)要求等の要求を発行することができる。別の実施形態ではワークステーション402は、ファイル転送プロトコル(FTP)を利用してサーバー404にデータをアップロードすることができる。他のタイプの要求も所望に応じて用いることができる。1つの実施形態では、要求418は、マルウェアとして検出されたファイルのハッシュを含むことができる。1つの実施形態では、要求418は暗号化された情報を含むことができる。1つの実施形態では、要求418は、サーバー404が既知のアンチウィルスアプリケーション408から発信される正当な要求として要求418を認証することができるようなキー又は他のデータを含むことができる。別の実施形態では、要求418の受信によって、サーバーが、要求418を認証するためにワークステーション402のユーザーがパスワードを入力することの要求を発行することを促すことができる。マルウェア駆除418の要求は、適切なマルウェア駆除応答を提供することができるようにサーバー104に必要な情報を提供することが可能な任意の形態をとることができる。
サーバー404は、マルウェア駆除418の要求の受信に応答して、要求のコンテンツを評価して検出されたマルウェアを特定し、適切な応答を決定することができる。1つの実施形態では、サーバー404は、特定のマルウェア脅威を適切な応答と関連付けるデータストア428(例えばライブラリ、データベース、又は他のデータ記憶手段)に照会することができる。1つの実施形態では、サーバー404はワークステーション402によって提供された暗号化情報を復号し、復号された情報を用いて検出されたマルウェアを特定し、データストア428内の関連情報に基づいて適正な応答を決定することができる。1つの実施形態では、サーバー404は、要求418の一部として送信された疑わしいファイルのハッシュをデータストア428内のファイルハッシュのデータベースと比較して、適正な応答を決定することができる。サーバー404は、検出されたマルウェアを特定し、任意の所望の方法で適切な応答を決定することができる。
サーバー404が検出されたマルウェアを特定し、適切な応答を決定した後、サーバー404は応答420をワークステーション402に発行することができる。1つの実施形態では、応答はワークステーション402からのDNSクエリ又はHTTP要求への応答とすることができる。別の実施形態では、応答420は、ファイル転送プロトコル(例えばFTP、TFTP、FTPS等)を利用して、データをワークステーション402に転送することができる。1つの実施形態では、応答420は暗号化することができ、アンチウィルスアプリケーション408によって復号されなくてはならない。当業者であれば、応答420は、ネットワーク426を用いてサーバー404からワークステーション402に適切な情報を通信する任意の所望の方法で行うことができることを理解するであろう。
以下に説明されるように、駆除応答420は様々な形態をとることができる。或る特定の実施形態では、駆除応答420は駆除命令及び/又は駆除ルーチンを含むことができる。明確にするために、駆除命令は既存の駆除コード416の特定のルーチンを参照する。他方で、駆除ルーチンは、駆除コード416に含まれるのではなく応答420の一部として提供される実行可能なルーチンである。
1つの実施形態では、応答420は駆除命令を含むことができる。そのような駆除命令は、例えば、定義ファイル412の駆除コード416のルーチンを参照することができる。例えば、検出されたマルウェアに関して駆除手順415レコードが存在しないことに起因して、検出されたマルウェアに関連付けられた駆除手順415が利用不可能であるか、期限切れであるか、又は十分な結果を提供する可能性が低いと判断される場合がある一方で、検出されたマルウェアに対処するのに必要な駆除ルーチンが駆除コード416内に存在すると判断される場合がある。サーバー404は、要求418に応答して、検出されたマルウェアを特定し、必要な駆除コード416が既に定義ファイル412内で利用可能であると判断することができる。例えば、検出されたマルウェアへの適切な応答は、既存のルーチンの新たな組合せとすることができる。1つの実施形態では、ワークステーション402は、サーバー404が適切に応答することを可能にするために、定義ファイル412の現在のバージョンを要求418の一部として示すことができる。代替的に、サーバー404は、要求418を受信した後、応答420を発行する前に、ワークステーション402に定義ファイル412の現在のバージョンを要求することができる。したがって、応答420は、アンチウィルスアプリケーション408が、命令において示される駆除コード416の或る特定のルーチンを実行して、検出されたマルウェアを除去し、マルウェアの影響を修復することを促すことができる。
別の実施形態では、応答420は、アンチウィルスアプリケーション408によって実行される駆除ルーチンを含むことができる。この実施形態によれば、サーバー404は、要求418に応答して、検出されたマルウェアを特定し、必要な駆除ルーチンが駆除コード416において利用可能でないと判断することができる。したがって、応答420によって、必要な駆除ルーチンを、例えば、駆除コード416を参照することなくアンチウィルスアプリケーション408によって開始される実行可能ファイルとして提供することができる。1つの実施形態では、検出されたマルウェアの駆除ルーチンが駆除コード416の最も近時のバージョンにおいて利用可能であるが、要求418が、ワークステーション402の定義ファイル412が最新でなく、したがって適正な駆除ルーチンを含まないことを示す場合、応答420はアンチウィルスアプリケーション408によって開始される適切な駆除ルーチンを含むことができる。代替的に、応答420は、最も近時の定義ファイル412内の駆除ルーチンを参照する駆除命令を提供し、ワークステーション402が、命令によって参照される駆除ルーチンを実行できるように最も近時の定義ファイル412を取得することを促すことができる。
別の実施形態では、応答420は駆除ルーチンと、定義ファイル412の駆除コード416内の駆除ルーチンを参照することの命令とを含むことができる。この実施形態によれば、サーバー404は、要求418に応答して、検出されたマルウェアを特定し、必要な駆除ルーチンのうちのいくつかが駆除コード416において利用可能であるが、検出された特定のマルウェアに完全に対処するには追加の駆除ルーチンが必要であると判断することができる。したがって、応答420は、例えば駆除コード416の駆除ルーチンを参照することの命令に加えて実行可能なファイルとして、駆除ルーチンを提供することができる。
更に別の実施形態では、応答420は、上記で説明した応答のうちの任意のものをサーバー406に委任することができる。さらに言えば、応答420は任意の所望の応答をサーバー406に委任することができる。サーバー406はネットワーク接続407によってネットワーク426に接続される。応答420はワークステーション402がマルウェア駆除の要求422をサーバー406に発行することを促すことができる。1つの実施形態では、要求422はDNS要求とすることができる。所望に応じて他のタイプの要求を用いることができる。1つの実施形態では、応答420は、サーバー406への要求422の一部として提示されることになる、所望の特定のマルウェア駆除応答を特定する情報を提供することができる。このようにして、サーバー404は、マルウェア駆除の提供をサーバー406に委任しながら、診断機能(例えば、検出されたマルウェアを特定し、適切なマルウェア駆除を決定する)を提供することができる。したがって、診断及び提供タスクは、クラウド技術を用いてマルウェア駆除を最も効率的に提供するために、様々なネットワークデバイス間で分離することができる。要求422は所望の特定のマルウェア駆除応答を特定する情報を含むことができるので、サーバー406は単に、要求されたマルウェア駆除応答424を用いて返答することができる。1つの実施形態では、応答420は、要求422の一部としてサーバー406に提示されるキーを提供することができる。このようにして、サーバー406は要求422を正当な要求として認証することができる。他の認証技法も利用することができる。図4は1つのサーバー404及び1つのサーバー406のみを示しているが、複数のサーバー404及び406をネットワーク426に接続することができることに留意するべきである。1つの実施形態では、応答420は、ネットワーク426を介してワークステーション402への最も所望の接続を有すると予期される特定のサーバー406にワークステーション402を差し向けることができる。別の実施形態では、サーバー406のそれぞれを、1つ又は複数の特定の脅威に対するマルウェア駆除を提供するのに利用し、或るタイプのマルウェアの検出の場合に、応答420が特定のサーバー406にワークステーション402を差し向け、異なるタイプのマルウェアの検出の場合に、応答420が異なるサーバー406にワークステーション402を差し向けるようにすることができる。
当業者であれば、図4に示すネットワーク通信(すなわち、418、420、422及び424)、及び説明されたが特に図示されていないネットワーク通信のそれぞれが、限定ではないが、送信制御プロトコル(TCP)、ユーザーデータグラムプロトコル(UDP)及びストリーム制御送信プロトコル(SCTP)を含む複数のトランスポートプロトコルを利用することができることを理解するであろう。また、データ暗号化、メッセージ認証等のセキュアで信頼性の高い通信を確保する様々な措置をとることができることも理解されよう。
図5を参照すると、1つの実施形態では、クラウド技術を用いた動的マルウェア駆除の要求を受信し処理するプロセスは、502において、デバイス402からネットワーク426を介してサーバー404においてマルウェア駆除要求418を受信することから始まる。受信デバイスはサーバーとして説明されているが、受信デバイスは、以下で説明するようにマルウェア駆除要求を受信し、要求を処理することが可能な任意のネットワークデバイスとすることができることが理解されよう。1つの実施形態では、ネットワーク426はインターネットとすることができるが、ネットワーク426は、例えば図1において上記で検討したネットワークのうちの任意のもの等の、デバイス402とサーバー404との間の通信を容易にすることが可能な任意の通信ネットワークとすることができる。1つの実施形態では、要求418は、デバイス上にインストールされたアンチウィルスアプリケーションのプロバイダーと提携するサーバー404によって受信することができる。1つの実施形態では、要求418はDNS要求とすることができる。要求418は、デバイス上で検出される特定のタイプのマルウェアを特定することができる。しかしながら、要求418は、受信デバイス404が検出されたマルウェアに関連付けられた適切な駆除応答を特定することを可能にすることができる任意の情報を含むことができる。
ステップ504において、サーバー404は要求418のマルウェア定義部分を特定する。要求418のマルウェア定義部分は、デバイス402上で検出された特定のタイプのマルウェアを特定し、それによってサーバー404がこの検出されたマルウェアに関連付けられた適切な駆除応答420を特定することを可能にすることができる。1つの実施形態では、要求418のマルウェア定義部分を特定することは、デバイス402からの要求418を復号することを含むことができる。別の実施形態では、要求418のマルウェア定義部分を特定することは、要求をパースすることを含むことができる。例えば、要求418は、デバイス402上にインストールされたアンチウィルスアプリケーションと関連付けられたバージョン情報及びライセンス情報と、デバイス402の地理的ロケーション及び/又はネットワークロケーション等とを含むことができ、これらは要求418のマルウェア定義部分と分離することができる。
サーバー404は、要求418のマルウェア定義部分を突き止めると、506において、特定されたマルウェア定義に一致するレコードを検索することができる。1つの実施形態では、サーバー404は、既知のマルウェア脅威を対応する駆除応答と関連付けるデータストア428においてデータベースルックアップを実行し、要求418において特定された特定のマルウェア定義に一致するレコードを取り出すことができる。別の実施形態では、要求418のマルウェア定義部分が、マルウェアとして検出されたファイルのハッシュを含む場合、そのハッシュを用いて、既知のマルウェア及び対応するマルウェア駆除応答420を表すファイルハッシュのデータストア428を検索することができる。
508において、特定のマルウェア定義に一致するレコードが突き止められない場合、510において、特定のマルウェア定義に対応する新たなマルウェアレコードを作成することができる。1つの実施形態では、マルウェア定義は上記で説明したデータストア428に加えることができる。新たなマルウェアレコードは、マルウェア定義を含んでいた要求418に関する追加情報を組み込むことができる。例えば、マルウェアレコードは、デバイス402のシステム情報、デバイス402のロケーション等のような、サーバー404によって受信された要求418を開始したデバイスに関する情報を提供することができる。1つの実施形態では、新たなマルウェアレコードの作成によって、新たなマルウェア脅威が観察されたことのアラートを提供することができる。例えば、アラートは、アンチウィルスアプリケーションのプロバイダーに関連する1人又は複数人の人物に提供することができる。そのようなアラートは、新たに観察されたマルウェアに対する適切な駆除応答420を決定するプロセスを開始することができる。
508において、要求のマルウェア定義部分に一致するレコードが突き止められた場合、512において、突き止められたレコードに利用可能な駆除応答420が関連付けられているか否かが判断される。1つの実施形態では、突き止められたレコードが存在するデータストア428に関連付けられた駆除フィールドがヌルでない場合、駆除応答420が存在すると判断することができる。512において、駆除応答420が利用可能でないと判断される場合、例えば、要求418のマルウェア定義に一致するマルウェア定義が以前に記録されたが、適切な駆除応答420がまだ決定していない場合、又は510において新たなマルウェアレコードが作成された場合、514において要求をキューイングすることができる。この要求は、このマルウェアを根絶させる適切な駆除応答420が決定されるまで保持することができる。1つの実施形態では、サーバーは、駆除応答420が利用可能になったときに提供されることの表示をデバイスに送信することができる。サーバーは、キューイングされた要求に応答して、マルウェア定義に一致するレコードを監視し続けて、駆除応答420が利用可能であるか否かを判断することができる。1つの実施形態では、要求418に関連付けられたマルウェアについて駆除応答420が利用可能であるとき、マルウェア定義に一致するデータストア428のレコードを、そのレコードの駆除フィールド内に適切な駆除応答420を含めるように更新することができる。
512又は516のいずれかにおいて駆除応答420が利用可能であるとき、518において、要求418に対する駆除応答420がデバイスに送信される。上記で説明したように、応答420は、駆除応答420をデバイスに送達することが可能な任意の所望のネットワークプロトコルを利用することができる。駆除応答は、上記で説明した応答のうちの任意のものの形態をとることができる。さらに言えば、応答420は、ネットワークを介してマルウェア駆除を提供することが可能な任意の形態をとることができる。
上記の開示は、ローカルデバイス上にインストールされたアンチウィルスアプリケーションによって実行される様々な機能を含む或る特定の実施形態を参照したが、アンチウィルスアプリケーションのコア機能は、クラウド技術を利用して完全に仮想的に実施することができることに留意されたい。開示された技法を用いて、アンチウィルスアプリケーションは、マルウェア脅威の検出及び駆除の提供の双方についてクラウド技術を実施することができる。例えば、デバイス上にインストールされたアンチウィルスアプリケーションは、クラウド技術を用いて、デバイスがマルウェア検出及び駆除を要求することを促す限られた機能のみを実行することができる。そのようなシステムは望ましくは、デバイス上のアンチウィルスアプリケーションの機能を無効にしようとする攻撃の有効性を低減し、アンチウィルスアプリケーションによる処理利用量を低減することによってデバイス性能を改善し、アンチウィルスアプリケーションに関連付けられた頻繁なソフトウェア更新の提供に関連付けられたコストを低減するか又は取り除くことができる。
上記の説明は、制限的ではなく説明的であることが意図されることを理解されたい。例えば、上記で説明した実施形態は、互いに組み合せて用いることができる。多くの他の実施形態は、上記の説明を読んだ当業者には明らかとなろう。したがって、本発明の範囲は、添付の特許請求の範囲を、そのような特許請求の範囲が権利を与えられる全ての範囲の等価物とともに参照して画定されるべきである。
上記で説明したように、開示される実施形態は、マルウェア駆除を提供する例示的な方法を含み、本方法は、プロセッサを利用して、ネットワークに接続された第1のデバイス上で潜在的なマルウェアを検出することと;プロセッサを利用して、ネットワークを介して、第1のデバイスから第2のデバイスに要求(例えばドメイン名システムクエリ又は認証情報)を送信することであって、この要求は第2のデバイスが駆除応答を決定することを可能にする情報を含むことと;プロセッサを利用して、ネットワークを介して、第1のデバイスにおいて第2のデバイスからの駆除応答を受信することであって、この駆除応答は、第1のデバイスが検出された潜在的なマルウェアを除去するのに使用可能であることと、を含む。例示的な方法は、プロセッサを利用して、要求を第1のデバイスから第2のデバイスに送信する前に、検出された潜在的なマルウェアに対応する適切な駆除手順が第1のデバイス上に存在しないことを判断する動作を更に含むことができる。別の例では、検出された潜在的なマルウェアに対応する適切な駆除手順が第1のデバイス上に存在しないことを判断する動作は、既存の駆除手順が受け入れ不可能であることを判断することを含むことができる。代替的に、駆除応答は、第1のデバイス上に記憶された駆除ルーチンを実行することの命令を含むことができるか、又は駆除応答は、第1のデバイスによって実行される駆除ルーチンを含むことができる。1つの例では、駆除応答は、第1のデバイスによって実行される駆除ルーチンの第1の組と、第1のデバイス上に記憶された駆除ルーチンの第2の組を実行することの命令とを含む。また、第1のデバイス上で潜在的なマルウェアを検出する動作は、第1のデバイスのファイルのヒューリスティックベースの解析を実行することを含む。1つの例では、駆除応答は、第1のデバイスがネットワークに接続された第3のデバイスに更なる駆除応答の提供を要求することの命令を含む。オプションで、第1のデバイスにおいてネットワークを介して第3のデバイスから更なる駆除応答を受信し、この更なる駆除応答は第1のデバイスが検出されたマルウェアを除去するのに使用可能である。

Claims (25)

  1. プロセッサを利用して、ネットワークに接続された第1のデバイス上で潜在的なマルウェアを検出することと、
    前記プロセッサを利用して、前記検出された潜在的なマルウェアに対応する適切な駆除手順が前記第1のデバイス上に存在しないことを判断することと、
    前記プロセッサを利用して、前記ネットワークを介して、前記第1のデバイスから第2のデバイスに、前記検出された潜在的なマルウェアを前記第1のデバイスが除去するための駆除応答の要求を送信することと
    前記プロセッサを利用して、前記ネットワークを介して、前記第1のデバイスにおいて前記第2のデバイスからの前記駆除応答を受信すること
    を含、方法。
  2. 前記検出された潜在的なマルウェアに対応する適切な駆除手順が前記第1のデバイス上に存在しないことを判断することは、
    既存の駆除手順が受け入れ不可能であることを判断すること
    を含む、請求項1に記載の方法。
  3. プロセッサを利用して、ネットワークに接続された第1のデバイス上で潜在的なマルウェアを検出することと、
    前記プロセッサを利用して、前記ネットワークを介して、前記第1のデバイスから第2のデバイスに、前記検出された潜在的なマルウェアを前記第1のデバイスが除去するための駆除応答の要求を送信することと、
    前記プロセッサを利用して、前記ネットワークを介して、前記第1のデバイスにおいて前記第2のデバイスからの前記駆除応答を受信することと
    を含み、
    前記要求はドメイン名システムクエリである、方法。
  4. 前記駆除応答は、
    前記第1のデバイス上に記憶された駆除ルーチンを実行することの命令と、
    前記第1のデバイスによって実行される駆除ルーチンと、
    前記第1のデバイスによって実行される駆除ルーチンの第1の組及び前記第1のデバイス上に記憶された駆除ルーチンの第2の組を実行することの命令と
    のうちの少なくとも1つを含む、請求項1〜3のいずれか1項に記載の方法。
  5. 前記第2のデバイスからの前記駆除応答は、前記第1のデバイスが前記ネットワークに接続された第3のデバイスに前記駆除応答の要求を送信することの命令を含む、請求項1〜3のいずれか1項に記載の方法。
  6. 前記第1のデバイスにおいて前記ネットワークを介して前記第3のデバイスから前記駆除応答を受信すること
    を更に含む、請求項5に記載の方法。
  7. 前記要求は、前記第1のデバイス上で検出された前記潜在的なマルウェアに関する情報を含む、
    請求項1から6のいずれか一項に記載に記載の方法。
  8. プロセッサを利用して、ネットワークに接続された第1のデバイス上で潜在的なマルウェアを検出することと、
    前記プロセッサを利用して、前記ネットワークを介して、前記第1のデバイスから第2のデバイスに、前記第1のデバイス上で検出された前記潜在的なマルウェアに関する情報を含む、前記第1のデバイス上で検出された前記潜在的なマルウェアを前記第1のデバイスが除去するための駆除応答の要求を送信することと、
    前記プロセッサを利用して、前記ネットワークを介して、前記駆除応答を前記第1のデバイスにおいて前記第2のデバイスから受信することと
    を含み、
    前記第2のデバイスからの前記駆除応答は、前記第1のデバイス上に記憶された駆除ルーチンを実行することの命令、及び、前記第1のデバイスが前記ネットワークに接続された第3のデバイスに前記駆除応答の要求を送信することの命令の少なくとも一方を含む、方法。
  9. 前記第1のデバイス上で検出された前記潜在的なマルウェアに関する前記情報は暗号化される、請求項7又は8に記載に記載の方法。
  10. 前記第1のデバイス上で検出された前記潜在的なマルウェアに関する前記情報は、前記潜在的なマルウェアを表すファイルのハッシュを含む、請求項7又は8に記載の方法。
  11. 前記第1のデバイス上で潜在的なマルウェアを検出することは、前記第1のデバイスのファイルのヒューリスティックベースの解析を実行することを含む、請求項1〜10のいずれか1項に記載の方法。
  12. 前記要求は認証情報を含む、請求項1〜11のいずれか1項に記載の方法。
  13. サーバーであって、
    クライアントで検出された潜在的なマルウェアに関する情報を含む要求をネットワークを介して前記クライアントから受信し、前記クライアントで検出された前記潜在的なマルウェアを除去するための駆除応答を決定し、前記駆除応答を前記ネットワークを介して前記クライアントに送信するように構成され、
    前記要求はドメイン名システムクエリである、サーバー。
  14. サーバーであって、
    クライアントで検出された潜在的なマルウェアに関する情報を含む、前記クライアント上で検出された前記潜在的なマルウェアを前記クライアントが除去するための駆除応答の要求をネットワークを介して前記クライアントから受信し、前記駆除応答を決定し、前記駆除応答を前記ネットワークを介して前記クライアントに送信するように構成され、
    前記サーバーからの前記駆除応答は、前記クライアント上に記憶された駆除ルーチンを実行することの命令、及び、前記クライアントが前記ネットワークに接続された別のサーバーに前記駆除応答の要求を送信することの命令の少なくとも一方を含む、サーバー。
  15. 前記サーバーは、前記検出された潜在的なマルウェアに対応する情報を求めて前記サーバーのデータストアを検索することにより、前記駆除応答を決定する、請求項13又は14に記載のサーバー。
  16. 前記駆除応答は暗号化される、請求項13〜15のいずれか一項に記載のサーバー。
  17. 請求項13〜16のいずれか一項に記載のサーバーと、
    前記クライアントと
    を備えるシステム。
  18. クライアントであって、
    潜在的なマルウェアを検出し、前記検出された潜在的なマルウェアに対応する適切な駆除手順が前記クライアント上に存在しないことを判断し、前記検出された潜在的なマルウェアに関する情報を含む要求をネットワークを介してサーバーに送信し、前記ネットワークを介して、前記検出された潜在的なマルウェアを除去するための駆除応答を前記サーバーから受信するように構成されたクライアント。
  19. クライアントであって、
    潜在的なマルウェアを検出し、前記検出された潜在的なマルウェアに関する情報を含む要求をネットワークを介してサーバーに送信し、前記ネットワークを介して、前記検出された潜在的なマルウェアを除去するための駆除応答を前記サーバーから受信するように構成され、
    前記要求はドメイン名システムクエリである、クライアント。
  20. クライアントであって、
    潜在的なマルウェアを検出し、前記検出された潜在的なマルウェアに関する情報を含む、前記検出された潜在的なマルウェアを除去するための駆除応答の要求をネットワークを介してサーバーに送信し、前記ネットワークを介して前記駆除応答を前記サーバーから受信するように構成され、
    前記サーバーからの前記駆除応答は、前記クライアント上に記憶された駆除ルーチンを実行することの命令、及び、前記クライアントが前記ネットワークに接続された別のサーバーに前記駆除応答の要求を送信することの命令の少なくとも一方を含む、クライアント。
  21. 請求項18〜20のいずれか一項に記載のクライアントと、
    前記サーバーと
    を備えるシステム。
  22. マルウェア駆除を提供する方法であって、
    プロセッサを利用して、第2のデバイスにおいて第1のデバイスからネットワークを介してマルウェア駆除要求を受信することと、
    前記プロセッサを利用して、前記マルウェア駆除要求のマルウェア定義部分を特定することと、
    前記プロセッサを利用して、前記特定されたマルウェア定義部分に対応する情報を求めて前記第2のデバイスのデータストアを検索することと、
    前記プロセッサを利用して、前記第2のデバイスから前記ネットワークを介して前記第1のデバイスへ駆除応答を送信することと
    を含み、前記駆除応答は前記情報から決定され、
    前記要求はドメイン名システムクエリである、マルウェア駆除を提供する方法。
  23. マルウェア駆除を提供する方法であって、
    プロセッサを利用して、第2のデバイスにおいて第1のデバイスからネットワークを介してマルウェア駆除要求を受信することと、
    前記プロセッサを利用して、前記マルウェア駆除要求のマルウェア定義部分を特定することと、
    前記プロセッサを利用して、前記特定されたマルウェア定義部分に対応する情報を求めて前記第2のデバイスのデータストアを検索することと、
    前記プロセッサを利用して、前記第2のデバイスから前記ネットワークを介して前記第1のデバイスへ駆除応答を送信することと
    を含み、前記駆除応答は前記情報から決定され、
    前記駆除応答は、前記第1のデバイス上に記憶された駆除ルーチンを実行することの命令、及び、前記第1のデバイスが前記ネットワークに接続された第3のデバイスに前記マルウェア駆除要求を送信することの命令の少なくとも一方を含む、マルウェア駆除を提供する方法。
  24. 前記マルウェア駆除要求のマルウェア定義部分を特定することは、前記マルウェア駆除要求をパースすることを含む、請求項22又は23に記載の方法。
  25. コンピューターに、請求項1〜12のいずれか1項に記載の方法を実行させるためのプログラム。
JP2014529864A 2011-09-07 2012-09-06 クラウド技術を用いたマルウェアの動的駆除 Active JP5897132B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/227,407 US8677493B2 (en) 2011-09-07 2011-09-07 Dynamic cleaning for malware using cloud technology
US13/227,407 2011-09-07
PCT/US2012/053995 WO2013036664A1 (en) 2011-09-07 2012-09-06 Dynamic cleaning for malware using cloud technology

Publications (2)

Publication Number Publication Date
JP2014525639A JP2014525639A (ja) 2014-09-29
JP5897132B2 true JP5897132B2 (ja) 2016-03-30

Family

ID=47754206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014529864A Active JP5897132B2 (ja) 2011-09-07 2012-09-06 クラウド技術を用いたマルウェアの動的駆除

Country Status (6)

Country Link
US (1) US8677493B2 (ja)
EP (1) EP2754081B1 (ja)
JP (1) JP5897132B2 (ja)
KR (2) KR101607951B1 (ja)
CN (1) CN103843002B (ja)
WO (1) WO2013036664A1 (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9384349B2 (en) * 2012-05-21 2016-07-05 Mcafee, Inc. Negative light-weight rules
US8782793B2 (en) * 2012-05-22 2014-07-15 Kaspersky Lab Zao System and method for detection and treatment of malware on data storage devices
WO2014143000A1 (en) * 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware
WO2014142986A1 (en) 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware client
US9143519B2 (en) 2013-03-15 2015-09-22 Mcafee, Inc. Remote malware remediation
US9736179B2 (en) * 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
RU2571721C2 (ru) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения мошеннических онлайн-транзакций
US9009836B1 (en) 2014-07-17 2015-04-14 Kaspersky Lab Zao Security architecture for virtual machines
JP6282217B2 (ja) * 2014-11-25 2018-02-21 株式会社日立システムズ 不正プログラム対策システムおよび不正プログラム対策方法
CN104573515A (zh) 2014-12-19 2015-04-29 百度在线网络技术(北京)有限公司 一种病毒处理方法、装置和系统
US9332029B1 (en) 2014-12-24 2016-05-03 AO Kaspersky Lab System and method for malware detection in a distributed network of computer nodes
CN105095754A (zh) * 2015-05-11 2015-11-25 北京奇虎科技有限公司 一种处理病毒应用的方法、和装置和移动终端
US10305928B2 (en) * 2015-05-26 2019-05-28 Cisco Technology, Inc. Detection of malware and malicious applications
EP3314509A4 (en) * 2015-06-27 2018-12-05 McAfee, LLC Mitigation of malware
US9667657B2 (en) * 2015-08-04 2017-05-30 AO Kaspersky Lab System and method of utilizing a dedicated computer security service
US9606854B2 (en) 2015-08-13 2017-03-28 At&T Intellectual Property I, L.P. Insider attack resistant system and method for cloud services integrity checking
US9917811B2 (en) 2015-10-09 2018-03-13 International Business Machines Corporation Security threat identification, isolation, and repairing in a network
JP6908874B2 (ja) * 2016-10-27 2021-07-28 コニカミノルタ株式会社 情報処理システム、情報処理装置およびプログラム
US11232205B2 (en) * 2019-04-23 2022-01-25 Microsoft Technology Licensing, Llc File storage service initiation of antivirus software locally installed on a user device
US11232206B2 (en) * 2019-04-23 2022-01-25 Microsoft Technology Licensing, Llc Automated malware remediation and file restoration management
US20220141234A1 (en) * 2020-11-05 2022-05-05 ThreatQuotient, Inc. Ontology Mapping System
US12010517B1 (en) * 2021-05-10 2024-06-11 Zimperium, Inc. Dynamic detection for mobile device security
CN114491543A (zh) * 2022-04-19 2022-05-13 南京伟跃网络科技有限公司 一种针对新出现恶意代码的分析方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US6622150B1 (en) 2000-12-18 2003-09-16 Networks Associates Technology, Inc. System and method for efficiently managing computer virus definitions using a structured virus database
US20020116639A1 (en) 2001-02-21 2002-08-22 International Business Machines Corporation Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses
JP2004178033A (ja) * 2002-11-25 2004-06-24 Hitachi Ltd 分散システムにおけるセキュリティ管理支援方法およびプログラム
JP2004252642A (ja) * 2003-02-19 2004-09-09 Matsushita Electric Ind Co Ltd ウイルス検出方法、ウイルス検出装置、ウイルス検出サーバ及びウイルス検出クライアント
JP4412156B2 (ja) * 2004-11-30 2010-02-10 沖電気工業株式会社 処理装置
US7673341B2 (en) * 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US7836500B2 (en) 2005-12-16 2010-11-16 Eacceleration Corporation Computer virus and malware cleaner
US7523502B1 (en) * 2006-09-21 2009-04-21 Symantec Corporation Distributed anti-malware
US8291496B2 (en) * 2008-05-12 2012-10-16 Enpulz, L.L.C. Server based malware screening
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
JP5440973B2 (ja) * 2009-02-23 2014-03-12 独立行政法人情報通信研究機構 コンピュータ検査システム、コンピュータ検査方法
US9665712B2 (en) 2010-02-22 2017-05-30 F-Secure Oyj Malware removal

Also Published As

Publication number Publication date
CN103843002B (zh) 2017-02-15
KR101607951B1 (ko) 2016-03-31
EP2754081A1 (en) 2014-07-16
EP2754081B1 (en) 2019-05-01
CN103843002A (zh) 2014-06-04
KR20160039306A (ko) 2016-04-08
JP2014525639A (ja) 2014-09-29
KR20140061459A (ko) 2014-05-21
US8677493B2 (en) 2014-03-18
US20130061325A1 (en) 2013-03-07
WO2013036664A1 (en) 2013-03-14
EP2754081A4 (en) 2015-04-29

Similar Documents

Publication Publication Date Title
JP5897132B2 (ja) クラウド技術を用いたマルウェアの動的駆除
US11489855B2 (en) System and method of adding tags for use in detecting computer attacks
JP6522707B2 (ja) マルウェアに対処するための方法及び装置
US9092823B2 (en) Internet fraud prevention
US7650639B2 (en) System and method for protecting a limited resource computer from malware
Parampalli et al. A practical mimicry attack against powerful system-call monitors
US8819835B2 (en) Silent-mode signature testing in anti-malware processing
US20140020103A1 (en) System and Method of Opportunistically Protecting a Computer from Malware
US20060074896A1 (en) System and method for pestware detection and removal
US20150040227A1 (en) System, method, and computer program product for preventing a modification to a domain name system setting
US20060075501A1 (en) System and method for heuristic analysis to identify pestware
US9710646B1 (en) Malware detection using clustering with malware source information
JP2016534479A (ja) マルウェアのランタイム中の自動検出
US8458789B1 (en) System, method and computer program product for identifying unwanted code associated with network communications
US12056237B2 (en) Analysis of historical network traffic to identify network vulnerabilities
Milletary Citadel trojan malware analysis
US20210168157A1 (en) Visualization tool for real-time network risk assessment
JP2014530401A (ja) マルウェアリスクスキャナー
EP2541877A1 (en) Method for changing a server address and related aspects
EP2541861A1 (en) Server security systems and related aspects
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
EP2360612A1 (en) Security system for disabling a software contaminant and related aspects
Kumar et al. A Network Based Approach to Malware Detection in Large IT Infrastructures
Jackson Gozi trojan
CN117278288A (zh) 一种网络攻击防护方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150812

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160301

R150 Certificate of patent or registration of utility model

Ref document number: 5897132

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250