JP6126672B2 - 悪性コード検出方法及びシステム - Google Patents
悪性コード検出方法及びシステム Download PDFInfo
- Publication number
- JP6126672B2 JP6126672B2 JP2015234042A JP2015234042A JP6126672B2 JP 6126672 B2 JP6126672 B2 JP 6126672B2 JP 2015234042 A JP2015234042 A JP 2015234042A JP 2015234042 A JP2015234042 A JP 2015234042A JP 6126672 B2 JP6126672 B2 JP 6126672B2
- Authority
- JP
- Japan
- Prior art keywords
- detection
- result
- black
- white
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Description
従来の技術における上記欠陥又は不備に鑑みて、悪性コードの検出精度を効果的に向上させることができる解決策を提供することが期待される。
図1は、本願の実施例を適用可能なシステムアーキテクチャ100を模式的に示す図である。
端末装置101、102は、様々な電子機器であってもよく、パソコン、スマートフォン、スマートテレビ、タブレットPC、パーソナル・デジタル・アシスタント(PDA)、及び電子書リーダー等を含むがこれに限定されるものではない。
従来の技術の上記欠陥に鑑みて、本願の実施例は、ファイル信用値による悪性コード検出の解決策を提供する。具体的には、各悪性コード鑑別器に対して検出サンプルの検出結果に信頼度及び信用値を割り当てる。信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、信用値は信頼度と対応する定量化した信頼の程度である。次に、1つ又は複数の検出結果の、信頼度及び信用値に基づいて検出サンプルの最終的な鑑別結果を決定する。
サーバは、クライアントから検出サンプルを受信することができる。クライアントは、悪性コードの検出又はウィルスの検出削除が必要である時、サーバに要求することができ、それとともに、検出する必要があるサンプルをサーバにアップロードしてもよい。
サーバは、検出サンプルを受信した後、当該検出サンプルを複数の悪性コード鑑別器に割り当て、各悪性コード鑑別器で悪性コード検出をそれぞれ行うことができる。
[<malware_type>://][<platform>]/<family_name>[.<group_name>] ¥[.<infective_length>][.<variant>[<devolution]][<modifiers>]であり、
ただし、<malware_type>は、悪性コードのタイプ(一般的には、virus(ウィルス)、backdoor(バックドア)、Trojan(トロイの木馬)、Adware(アドウェア)等である)を明らかに指摘する。<platform>フィールドは、悪性コードの実行に必要なオペレーティングシステム環境を定義し、例えば「W32」又は「Win32」は、32ビットWindows(登録商標)オペレーティングシステムを指し、「Linux」はLinux(登録商標)システムを指し、「OSX」はMac OSXを指す。<family_name>及び<group_name>フィールドは、通常、悪性コードのファミリ情報を示す。<infective_length>フィールドは、ファイル感染型ウィルスの感染長さを定義する。<variant>(通常に1つのアルファベットである)フィールドは、同じ悪性コードファミリを有する変種を区別することに用いられる。残りのフィールドは、具体的な環境により定義される。
Net−Worm://Win32.Welchiaは、Windowsプラットテーブルのネットワークワームであり、
Backdoor://Win32.ciadoor.121は、ciadoorファミリに属するWindowsプラットテーブルのバックドア型のトロイの木馬であり、
Virus://Win32.Parite.Bは、Pariteファミリに属するwindowsメモリ常駐型ファイル感染ウィルスである。
本文において、信頼度は、検出結果が悪意及び/又は安全性を有するかどうか、言い換えれば、検出される悪性コードカテゴリーが脅威性を有するかどうか、又は安全性を有するかどうかを示す。信用値は、信頼度と対応する定量化した信頼の程度である。
PScan:Win32/Ramnit.A virus
DScan:0.2
図3に示されるルールテーブルを例とすれば、この場合、GScan鑑別器エンジンの検出結果がルール405にマッチングし、PScan鑑別器エンジンの検出結果とマッチングするルールを発見せず、DScan鑑別器エンジンの検出結果とマッチングルールをも発見しないことを決定することができる。
上記例において、図3のルールテーブルに基づけば、ルール405の信頼度が疑似黒であり、値が50であり、従って、GScan鑑別器エンジンの検出結果は、信頼度が疑似黒であり、値が50である。残りの鑑別器エンジンの検出結果は、ルールにマッチングせず、従って、これらの検出結果は捨てられる。
いくつかの実施例では、信頼度及び信用値の判定ポリシに基づき、検出結果の信頼度及び信用値を処理して、検出サンプルの最終的な鑑別結果を取得する。
図5に示すように、ステップ501では、信頼度及び信用値が決定された検出結果をまとめてファイル信頼値テーブルにする。続いて、ステップ502では、これらの検出結果の信頼度がすべて黒であるかどうかを判断する。そうである場合、ステップ520に移行して、最終的な鑑別結果が黒状態であると判定し、そうでなければ、ステップ503に移行する。
PScan:Win32/Ramnit.A virus
DScan:0.2
図3に示されるルールテーブルを例とすれば、GScan鑑別器エンジンの検出結果は、ルール405にマッチングし、信頼度が疑似黒であり、値が50である。他の鑑別器エンジンの検出結果は、いずれかのルールにマッチングしていないので、それらは、捨てられる。
PScan:Win32/Wapomi.AX virus
DScan:0.3
図3に示されるルールテーブルを例とすれば、GScan鑑別器エンジンの検出結果は、ルール404にマッチングし、信頼度が黒であり、スコアが100である。他の鑑別器エンジンの検出結果は、いずれかのルールにマッチングしていないので、それらは、捨てられる。
ただし、図面には特定の順序で本発明の方法の操作を説明したが、当該特定の順序でこれらの操作を実行しなければならないこと、又は所望の結果を達成するためにすべての提示された操作を実行しなければならないことを要求又は暗示しない。逆に、フローチャートに示されているステップについては、実行順序を変更してもよい。例えば、図5の各種判定ロジックは、任意の順序で実行され、又は並行に行われることができる。追加的又は代替的に、いくつかのステップを省略したり、複数のステップを1つのステップに結合して実行したり、及び/又は1つのステップを複数のステップに分けて実行したりしてもよい。
複数の検出結果がいずれも灰である場合に、検出テキストの最終的な鑑別結果が灰状態であると判定すること、
複数の検出結果がいずれも黒である場合に、検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
複数の検出結果がいずれも白である場合に、検出ファイルの最終的な鑑別結果が白状態であると判定すること、
複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、検出ファイルの最終的な鑑別結果が最高優先度を有する検出結果と合致すると判定すること、
複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
複数の検出結果に黒と疑似白との衝突がある場合に、検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
複数の検出結果に白と疑似黒との衝突がある場合に、検出ファイルの最終的な鑑別結果が白状態であると判定すること、
複数の検出結果がいずれも疑似黒である場合に、複数の検出結果の累計信用値が第1の所定閾値以上であれば、検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
複数の検出結果がいずれも疑似白である場合に、複数の検出結果の累計信用値が第2の所定閾値以上であれば、検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び
複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、検出ファイルの最終的な鑑別結果が信用値の高い検索結果と合致すると判定し、そうでなければ、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、の少なくとも1つを含んでもよい。
図7に示すように、コンピュータシステム700は、読み出し専用メモリ(ROM)702に記憶されたプログラム又は記憶部708からランダムアクセスメモリ(RAM)703にロードされたプログラムに基づいて各種の適度な動作及び処理を実行することができる中央処理ユニット(CPU)701を含む。RAM 703は、システム700の操作に必要な各種のプログラム及びデータを更に記憶している。CPU 701、ROM 702及びRAM 703は、バス704を介して互いに接続されている。入力/出力(I/O)インターフェース705もまた、バス704に接続されている。
Claims (10)
- 悪性コード検出方法であって、
検出サンプルを受信するステップと、
多種の悪性コード鑑別器を利用して前記検出サンプルをそれぞれ検出して複数の検出結果を取得するステップと、
検出結果の信頼度及び信用値を決定するステップと、
前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するステップと、を含んでおり、
前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するステップは、
信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得するステップを含み、
前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含み、
前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
前記信頼度及び信用値の判定ポリシは、
前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度の検出結果と合致すると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
の少なくとも1つを含むことを特徴とする悪性コード検出方法。 - 前記検出結果の信頼度及び信用値を決定するステップは、
ファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定するステップを含んでおり、
前記ファイル信用評価ポリシにおいては、既知の様々な悪性コードの情報に基づいて、各種の悪性コード検出結果の信頼度を予め設定し、さらに悪性コード鑑別器の誤報率に基づいて、各種の悪性コード検出結果の信用値を予め設定することを特徴とする請求項1に記載の方法。 - 前記ファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定するステップは、
前記検出結果にマッチした悪性コード検出結果を決定するステップと、
前記マッチした悪性コード検出結果の信頼度及び信用値を、前記検出結果に付与するステップと、を含むことを特徴とする請求項2に記載の方法。 - 前記信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理するステップは、
前記検出結果の信頼度の間に衝突がある場合に、前記検出結果の衝突優先度及び/又は信用値に基づいて最終的な鑑別結果を決定するステップを含むことを特徴とする請求項3に記載の方法。 - 悪性コード検出システムであって、
検出サンプルを受信するためのクラウド検出サーバと、
前記クラウド検出サーバから検出サンプルを受信し、前記検出サンプルをそれぞれ検出して複数の検出結果を取得するための複数の異なるタイプの悪性コード鑑別器と、
検出結果の信頼度及び信用値を決定し、前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するためのファイル信用判定部と、
を含んでおり、
前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
前記ファイル信用判定部は、
信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得するための判定ユニットを含み、
前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含んでおり、
前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
前記信頼度及び信用値の判定ポリシは、
前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度を有する検出結果に合致すると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の違いが第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
の少なくとも1つを含むことを特徴とする悪性コード検出システム。 - 前記ファイル信用判定部は、
ファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定するための決定ユニットを含んでおり、
前記ファイル信用評価ポリシにおいては、既知の様々な悪性コードの情報に基づいて、各種の悪性コード検出結果の信頼度を予め設定するとともに、悪性コード鑑別器の誤報率に基づいて、各種の悪性コード検出結果の信用値を予め設定することを特徴とする請求項5に記載のシステム。 - 前記決定ユニットは、
前記検出結果にマッチした悪性コード検出結果を決定するように、また、
前記マッチした悪性コード検出結果の信頼度及び信用値を前記検出結果に付与するように、更に構成されることを特徴とする請求項6に記載のシステム。 - 前記決定ユニットは、検出結果に衝突優先度を割り当てるように更に構成されており、また、
前記判定ユニットは、前記検出結果の信頼度の間に衝突がある場合に、前記検出結果の衝突優先度及び/又は信用値に基づいて最終的な鑑別結果を決定するように更に構成されることを特徴とする請求項7に記載のシステム。 - 悪性コード検出システムであって、
プロセッサと、
記憶部と、
を備え、
前記記憶部は、コンピュータ可読命令を記憶し、前記コンピュータ可読命令が前記プロセッサより実行される場合に、前記プロセッサは、
検出サンプルを受信し、
多種の悪性コード鑑別器を利用して前記検出サンプルをそれぞれ検出して複数の検出結果を取得し、
検出結果の信頼度及び信用値を決定し、
前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するように動作可能であり、
前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定することは、
信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得することを含み、
前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含み、
前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
前記信頼度及び信用値の判定ポリシは、
前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度の検出結果と合致すると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
の少なくとも1つを含むことを特徴とする悪性コード検出システム。 - 不揮発性のコンピュータ記憶媒体であって、
コンピュータ可読命令を記憶しており、前記コンピュータ可読命令がプロセッサより実行される場合に、前記プロセッサは、
検出サンプルを受信し、
多種の悪性コード鑑別器を利用して前記検出サンプルをそれぞれ検出して複数の検出結果を取得し、
検出結果の信頼度及び信用値を決定し、
前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するように動作可能であり、
ここで、前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定することは、
信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得することを含み、
前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含み、
前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
前記信頼度及び信用値の判定ポリシは、
前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度の検出結果と合致すると判定すること、
前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
の少なくとも1つを含むことを特徴とする不揮発性のコンピュータ記憶媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510280539.1 | 2015-05-27 | ||
CN201510280539.1A CN106295333B (zh) | 2015-05-27 | 2015-05-27 | 用于检测恶意代码的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016224900A JP2016224900A (ja) | 2016-12-28 |
JP6126672B2 true JP6126672B2 (ja) | 2017-05-10 |
Family
ID=57397247
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015234042A Active JP6126672B2 (ja) | 2015-05-27 | 2015-11-30 | 悪性コード検出方法及びシステム |
Country Status (4)
Country | Link |
---|---|
US (1) | US10511617B2 (ja) |
JP (1) | JP6126672B2 (ja) |
KR (1) | KR101724307B1 (ja) |
CN (2) | CN106295333B (ja) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106657160B (zh) * | 2017-02-28 | 2019-05-21 | 南开大学 | 面向大流量基于可信度的网络恶意行为检测方法 |
CN116821908A (zh) | 2017-04-03 | 2023-09-29 | 株式会社野村综合研究所 | 检测系统、检测方法、以及计算机程序 |
CN107786542A (zh) * | 2017-09-26 | 2018-03-09 | 杭州安恒信息技术有限公司 | 基于大数据智能分析恶意ip的评分方法及装置 |
US10594720B2 (en) * | 2017-11-03 | 2020-03-17 | International Business Machines Corporation | Exercising security control point (SCP) capabilities on live systems based on internal validation processing |
KR102030132B1 (ko) | 2017-12-15 | 2019-10-08 | 서강대학교산학협력단 | 악성 코드 검출 방법 및 시스템 |
CN109190657B (zh) * | 2018-07-18 | 2021-11-02 | 国家计算机网络与信息安全管理中心 | 基于数据切片及图像哈希组合的样本同源分析方法 |
RU2757330C1 (ru) * | 2020-06-19 | 2021-10-13 | Акционерное общество "Лаборатория Касперского" | Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя |
US11269991B2 (en) | 2020-06-22 | 2022-03-08 | Bank Of America Corporation | System for identifying suspicious code in an isolated computing environment based on code characteristics |
US11880461B2 (en) | 2020-06-22 | 2024-01-23 | Bank Of America Corporation | Application interface based system for isolated access and analysis of suspicious code in a computing environment |
US11797669B2 (en) | 2020-06-22 | 2023-10-24 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a computing environment |
US11636203B2 (en) | 2020-06-22 | 2023-04-25 | Bank Of America Corporation | System for isolated access and analysis of suspicious code in a disposable computing environment |
US11574056B2 (en) | 2020-06-26 | 2023-02-07 | Bank Of America Corporation | System for identifying suspicious code embedded in a file in an isolated computing environment |
CN111881447B (zh) * | 2020-06-28 | 2022-12-06 | 中国人民解放军战略支援部队信息工程大学 | 恶意代码片段智能取证方法及系统 |
CN112597496B (zh) * | 2020-12-23 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种文件信誉鉴定方法、装置及系统 |
KR102552330B1 (ko) | 2021-01-27 | 2023-07-07 | 한국전력공사 | 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템 및 방법 |
US11941121B2 (en) * | 2021-12-28 | 2024-03-26 | Uab 360 It | Systems and methods for detecting malware using static and dynamic malware models |
Family Cites Families (81)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
US20040034794A1 (en) * | 2000-05-28 | 2004-02-19 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
US7168093B2 (en) * | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
US7065789B1 (en) * | 2001-05-22 | 2006-06-20 | Computer Associates Think, Inc. | System and method for increasing heuristics suspicion levels in analyzed computer code |
US7240213B1 (en) * | 2002-03-15 | 2007-07-03 | Waters Edge Consulting, Llc. | System trustworthiness tool and methodology |
US7290282B1 (en) * | 2002-04-08 | 2007-10-30 | Symantec Corporation | Reducing false positive computer virus detections |
US7159149B2 (en) * | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US7284273B1 (en) * | 2003-05-29 | 2007-10-16 | Symantec Corporation | Fuzzy scanning system and method |
US7231667B2 (en) * | 2003-05-29 | 2007-06-12 | Computer Associates Think, Inc. | System and method for computer virus detection utilizing heuristic analysis |
US7849142B2 (en) * | 2004-05-29 | 2010-12-07 | Ironport Systems, Inc. | Managing connections, messages, and directory harvest attacks at a server |
WO2006071985A2 (en) * | 2004-12-29 | 2006-07-06 | Alert Logic, Inc. | Threat scoring system and method for intrusion detection security networks |
US20060155553A1 (en) * | 2004-12-30 | 2006-07-13 | Brohman Carole G | Risk management methods and systems |
US9384345B2 (en) * | 2005-05-03 | 2016-07-05 | Mcafee, Inc. | Providing alternative web content based on website reputation assessment |
US8984636B2 (en) * | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
WO2007050244A2 (en) * | 2005-10-27 | 2007-05-03 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
US8490194B2 (en) * | 2006-01-31 | 2013-07-16 | Robert Moskovitch | Method and system for detecting malicious behavioral patterns in a computer, using machine learning |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
US7953969B2 (en) * | 2007-04-16 | 2011-05-31 | Microsoft Corporation | Reduction of false positive reputations through collection of overrides from customer deployments |
US8621610B2 (en) * | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
US8103727B2 (en) * | 2007-08-30 | 2012-01-24 | Fortinet, Inc. | Use of global intelligence to make local information classification decisions |
EP2053530A1 (en) * | 2007-10-05 | 2009-04-29 | Research In Motion Limited | Method and system for multifaceted scanning |
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
US8312537B1 (en) * | 2008-03-28 | 2012-11-13 | Symantec Corporation | Reputation based identification of false positive malware detections |
JP5123759B2 (ja) * | 2008-06-30 | 2013-01-23 | キヤノン株式会社 | パターン検出器の学習装置、学習方法及びプログラム |
US8763071B2 (en) | 2008-07-24 | 2014-06-24 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
US8549632B2 (en) * | 2008-09-05 | 2013-10-01 | Nec Europe Ltd. | Method for supporting attack detection in a distributed system |
US8321516B2 (en) * | 2008-09-30 | 2012-11-27 | Aol Inc. | Systems and methods for creating and updating reputation records |
US8402541B2 (en) * | 2009-03-12 | 2013-03-19 | Microsoft Corporation | Proactive exploit detection |
US8566932B1 (en) * | 2009-07-31 | 2013-10-22 | Symantec Corporation | Enforcing good network hygiene using reputation-based automatic remediation |
US8443449B1 (en) * | 2009-11-09 | 2013-05-14 | Trend Micro, Inc. | Silent detection of malware and feedback over a network |
US8719939B2 (en) * | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
US9009820B1 (en) * | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
US8528090B2 (en) * | 2010-07-02 | 2013-09-03 | Symantec Corporation | Systems and methods for creating customized confidence bands for use in malware detection |
US8413235B1 (en) * | 2010-09-10 | 2013-04-02 | Symantec Corporation | Malware detection using file heritage data |
US8869277B2 (en) * | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
JP5613000B2 (ja) * | 2010-10-08 | 2014-10-22 | Kddi株式会社 | アプリケーション特性解析装置およびプログラム |
RU2444056C1 (ru) | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
US9454658B2 (en) * | 2010-12-14 | 2016-09-27 | F-Secure Corporation | Malware detection using feature analysis |
US8635697B2 (en) * | 2011-03-29 | 2014-01-21 | Alcatel Lucent | Method and system for operating system identification in a network based security monitoring solution |
US8650287B2 (en) * | 2011-04-27 | 2014-02-11 | Mcafee, Inc. | Local reputation to adjust sensitivity of behavioral detection system |
US9065826B2 (en) * | 2011-08-08 | 2015-06-23 | Microsoft Technology Licensing, Llc | Identifying application reputation based on resource accesses |
CN102955912B (zh) * | 2011-08-23 | 2013-11-20 | 腾讯科技(深圳)有限公司 | 一种程序恶意属性判别方法和服务器 |
US9003532B2 (en) * | 2011-09-15 | 2015-04-07 | Raytheon Company | Providing a network-accessible malware analysis |
US8214904B1 (en) * | 2011-12-21 | 2012-07-03 | Kaspersky Lab Zao | System and method for detecting computer security threats based on verdicts of computer users |
CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
CN103034805B (zh) * | 2011-09-30 | 2015-12-16 | 腾讯科技(深圳)有限公司 | 多引擎病毒查杀方法和装置 |
US9058486B2 (en) * | 2011-10-18 | 2015-06-16 | Mcafee, Inc. | User behavioral risk assessment |
US8914406B1 (en) * | 2012-02-01 | 2014-12-16 | Vorstack, Inc. | Scalable network security with fast response protocol |
US9710644B2 (en) * | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
RU2486588C1 (ru) * | 2012-03-14 | 2013-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы |
US8990948B2 (en) * | 2012-05-01 | 2015-03-24 | Taasera, Inc. | Systems and methods for orchestrating runtime operational integrity |
US9497212B2 (en) * | 2012-05-21 | 2016-11-15 | Fortinet, Inc. | Detecting malicious resources in a network based upon active client reputation monitoring |
CN102915422B (zh) * | 2012-06-21 | 2016-08-03 | 北京金山安全软件有限公司 | 计算机安全防护方法、装置和系统 |
CN103517304B (zh) * | 2012-06-28 | 2018-12-28 | 腾讯科技(深圳)有限公司 | 一种获取移动终端安全状态的方法及装置 |
US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
CN103679021B (zh) * | 2012-09-17 | 2017-12-26 | 腾讯科技(深圳)有限公司 | 病毒扫描方法及病毒扫描装置 |
US9386030B2 (en) * | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
CN103902889A (zh) * | 2012-12-26 | 2014-07-02 | 腾讯科技(深圳)有限公司 | 一种恶意消息云检测方法和服务器 |
US9147073B2 (en) * | 2013-02-01 | 2015-09-29 | Kaspersky Lab, Zao | System and method for automatic generation of heuristic algorithms for malicious object identification |
US9614865B2 (en) * | 2013-03-15 | 2017-04-04 | Mcafee, Inc. | Server-assisted anti-malware client |
KR20140122964A (ko) * | 2013-04-11 | 2014-10-21 | 주식회사 안랩 | 클라우드 기반 악성코드 진단 장치, 시스템 및 방법 |
US20140337974A1 (en) * | 2013-04-15 | 2014-11-13 | Anupam Joshi | System and method for semantic integration of heterogeneous data sources for context aware intrusion detection |
RU2541123C1 (ru) * | 2013-06-06 | 2015-02-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения рейтинга электронных сообщений для борьбы со спамом |
KR101461051B1 (ko) * | 2013-06-11 | 2014-11-13 | (주) 에스에스알 | 웹 기능 분석을 통한 악성 코드 탐지방법 및 그 기록매체 |
KR101480903B1 (ko) * | 2013-09-03 | 2015-01-13 | 한국전자통신연구원 | 모바일 악성코드 다중 점검 방법 |
US9065849B1 (en) * | 2013-09-18 | 2015-06-23 | Symantec Corporation | Systems and methods for determining trustworthiness of software programs |
WO2015060857A1 (en) * | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
US9386034B2 (en) * | 2013-12-17 | 2016-07-05 | Hoplite Industries, Inc. | Behavioral model based malware protection system and method |
JP6188956B2 (ja) * | 2013-12-30 | 2017-08-30 | ノキア テクノロジーズ オーユー | マルウェア検出検査方法及び装置 |
US8832832B1 (en) * | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
WO2015126410A1 (en) * | 2014-02-21 | 2015-08-27 | Hewlett-Packard Development Company, L.P. | Scoring for threat observables |
CN104134019A (zh) * | 2014-07-25 | 2014-11-05 | 北京奇虎科技有限公司 | 检测脚本病毒的方法和装置 |
US9848005B2 (en) * | 2014-07-29 | 2017-12-19 | Aruba Networks, Inc. | Client reputation driven role-based access control |
CN104281809A (zh) * | 2014-09-30 | 2015-01-14 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及系统 |
CN104318159A (zh) * | 2014-10-24 | 2015-01-28 | 北京奇虎科技有限公司 | 服务器杀毒的方法、装置及系统 |
CN104462968B (zh) * | 2014-12-16 | 2017-11-10 | 北京奇虎科技有限公司 | 恶意应用程序的扫描方法、装置和系统 |
US10083295B2 (en) * | 2014-12-23 | 2018-09-25 | Mcafee, Llc | System and method to combine multiple reputations |
CN104580203A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 网站恶意程序检测方法及装置 |
KR101574652B1 (ko) * | 2015-01-14 | 2015-12-11 | 한국인터넷진흥원 | 모바일 침해사고 분석시스템 및 방법 |
-
2015
- 2015-05-27 CN CN201510280539.1A patent/CN106295333B/zh active Active
- 2015-05-27 CN CN201810744362.XA patent/CN108804925B/zh active Active
- 2015-11-26 KR KR1020150166486A patent/KR101724307B1/ko active IP Right Grant
- 2015-11-30 JP JP2015234042A patent/JP6126672B2/ja active Active
- 2015-12-31 US US14/985,927 patent/US10511617B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN108804925A (zh) | 2018-11-13 |
CN106295333B (zh) | 2018-08-17 |
KR20160140316A (ko) | 2016-12-07 |
CN108804925B (zh) | 2022-02-01 |
CN106295333A (zh) | 2017-01-04 |
US10511617B2 (en) | 2019-12-17 |
JP2016224900A (ja) | 2016-12-28 |
KR101724307B1 (ko) | 2017-04-07 |
US20160352763A1 (en) | 2016-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6126672B2 (ja) | 悪性コード検出方法及びシステム | |
US10972493B2 (en) | Automatically grouping malware based on artifacts | |
US11258805B2 (en) | Computer-security event clustering and violation detection | |
US11188650B2 (en) | Detection of malware using feature hashing | |
US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
US11392689B2 (en) | Computer-security violation detection using coordinate vectors | |
US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
US10200390B2 (en) | Automatically determining whether malware samples are similar | |
US20210117544A1 (en) | Analysis of Malware | |
US8037536B2 (en) | Risk scoring system for the prevention of malware | |
US8499167B2 (en) | System and method for efficient and accurate comparison of software items | |
JP5990284B2 (ja) | キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法 | |
US10484419B1 (en) | Classifying software modules based on fingerprinting code fragments | |
US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
EP3423980A1 (en) | Automatically grouping malware based on artifacts | |
US20230216868A1 (en) | Analysis of endpoint detect and response data | |
US11916937B2 (en) | System and method for information gain for malware detection | |
US20180039778A1 (en) | Method and device for scanning virus | |
CN114697066A (zh) | 网络威胁检测方法和装置 | |
CN115495740A (zh) | 一种病毒检测方法和装置 | |
CN109145220B (zh) | 数据处理方法、装置及电子设备 | |
CN111240696A (zh) | 移动恶意程序相似模块提取方法 | |
de Souza et al. | Inference of Endianness and Wordsize From Memory Dumps | |
KR20240016085A (ko) | Ai 기반 악성코드 탐지, 분석 및 검증 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161115 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170215 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170314 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170407 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6126672 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |