JP6126672B2 - 悪性コード検出方法及びシステム - Google Patents

悪性コード検出方法及びシステム Download PDF

Info

Publication number
JP6126672B2
JP6126672B2 JP2015234042A JP2015234042A JP6126672B2 JP 6126672 B2 JP6126672 B2 JP 6126672B2 JP 2015234042 A JP2015234042 A JP 2015234042A JP 2015234042 A JP2015234042 A JP 2015234042A JP 6126672 B2 JP6126672 B2 JP 6126672B2
Authority
JP
Japan
Prior art keywords
detection
result
black
white
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015234042A
Other languages
English (en)
Other versions
JP2016224900A (ja
Inventor
▲鄒▼▲栄▼新
▲梅▼▲銀▼明
▲姚▼俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IYUNTIAN CO., LTD.
Original Assignee
IYUNTIAN CO., LTD.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IYUNTIAN CO., LTD. filed Critical IYUNTIAN CO., LTD.
Publication of JP2016224900A publication Critical patent/JP2016224900A/ja
Application granted granted Critical
Publication of JP6126672B2 publication Critical patent/JP6126672B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Description

本開示は、一般的にコンピュータ技術分野に関し、具体的には、ネットワーク情報セキュリティ分野に関し、特に、悪性コード検出方法及びシステムに関する。
インターネットの急速な発展に伴い、悪性コードによる不正利益チェーンが既に形成されている。悪性コードは、情報のセキュリティへの脅威等の悪意を目的とするプログラムであり、通常、被害コンピュータに隠れて破壊し又は情報を窃取する。新規に増加する悪性コードサンプルは、一日数万となっているので、従来のクライアントでの検出方式は、徐々にクラウド検出削除の検出方式に変化している。
クラウド検出削除は、クラウドコンピューティング技術のウィルス対策での応用である。クラウドコンピューティングは、設定可能なコンピューティングリソースの共有プールに対する便利なオンデマンドのネットワーク・アクセスを可能にするサービス配信モデルである。簡単に言えば、クラウドコンピューティングは、クラウドコンピューティングサービスプロバイダがクラウドコンピューティングのストレージとコンピューティングセンターを構築し、ユーザがネットワークによって「クラウド」にアクセスし、「クラウド」をデータ記憶及びアプリケーションサービスのセンターとするものである。クラウド検出削除は、アンチウイルスベンダーがクラウドオンラインサーバクラスターを作成し、大量の検出特徴及び検出ルールを記憶して、且つ各種鑑別器を用いてマッチングして検出することである。ソフトウェアクライアントは、検出しようとするオブジェクトの情報をネットワーキングによってクラウドサーバにアップロードし、サーバの検出結果を待つ。
しかし、各種鑑別器は、その検出方法がいずれも自分の利点及び欠陥を有し、検出結果が誤報される可能性もあり、それによりクラウドでの最終的な鑑別結果に影響を与える。
従来の技術における上記欠陥又は不備に鑑みて、悪性コードの検出精度を効果的に向上させることができる解決策を提供することが期待される。
本願の一態様は、悪性コード検出方法を提供し、当該方法は、検出サンプルを受信するステップと、多種の悪性コード鑑別器を利用して検出サンプルをそれぞれ検出して複数の検出結果を取得するステップと、検出結果の信頼度及び信用値を決定するステップと、検出結果の信頼度及び信用値に基づいて検出サンプルの最終的な鑑別結果を決定するステップとを含み、ここで、信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、信用値は、信頼度と対応する定量化した信頼の程度である。
本願の別の態様は、悪性コード検出システムを更に提供し、当該システムは、検出サンプルを受信するためのクラウド検出サーバと、クラウド検出サーバから検出サンプルを受信し且つ検出サンプルをそれぞれ検出して複数の検出結果を取得するための複数の異なるタイプの悪性コード鑑別器と、検出結果の信頼度及び信用値を決定し、且つ検出結果の信頼度及び信用値に基づいて検出サンプルの最終的な鑑別結果を決定するためのファイル信用判定部とを含み、ここで、信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、信用値は、信頼度と対応する定量化した信頼の程度である。
本願の実施例に係る悪性コード検出の解決策は、複数の悪性コード鑑別器の検出結果に信頼度及び信用値を割り当てることによって、各種の悪性コード鑑別器の特性を十分に利用して、悪性コード検出の精度を向上させることができる。いくつかの実施例において、検出結果の信用値は、悪性コード鑑別器の誤報率を示し、信用値に基づいて検出結果を判定し、サンプル鑑別結果の誤報率を低下させることができる。また、他の実施例において、信頼度及び信用値判定ポリシに応じて、検出結果の信頼度及び信用値の細粒度に基づいて鑑別結果を調整することができる。
以下の図面を参照しながら非限定的な実施例を詳細に説明することにより、本願の他の特徴、目的及び利点はより明らかになる。
図1は、本願の実施例を適用可能なシステムアーキテクチャを模式的に示す図である。 図2は、本願の一実施例に係る悪性コード検出方法を模式的に示すフローチャートである。 図3は、本願に係るファイル信用評価ポリシを模式的に示すルールテーブルである。 図4は、本願の実施例に係るルールテーブルを利用して検出結果の信頼度及び信用値を決定する方法を模式的に示すフローチャートである。 図5は、本願に係る信頼度及び信用値の判定ポリシの判定ロジックを模式的に示すフローチャートである。 図6は、本願の実施例に係る悪性コード検出システムを模式的に示す構造模式図である。 図7は、本願の実施例におけるサーバを実現することに適するコンピュータシステムを示す構造模式図である。
以下、図面と実施例を参照しながら本願を更に詳細に説明する。ここで説明されている具体的な実施例は、係る発明を解釈するためのものに過ぎず、本発明の範囲を制限するものではないと理解することができる。さらに、説明の便宜上、図面には、本発明と関連する部分のみを示す。
衝突しない限り、本願の実施例及び実施例の特徴は相互に組合せることができる。以下、図面を参照しながら、実施例に基づいて本願を詳細に説明する。
図1は、本願の実施例を適用可能なシステムアーキテクチャ100を模式的に示す図である。
図1に示すように、システムアーキテクチャ100は、端末装置101、102、ネットワーク103、及びサーバ104、105、106、107を含んでもよい。ネットワーク103は、端末装置101、102とサーバ104、105、106、107との間に通信リンクを提供するための媒体である。ネットワーク103は、例えば、有線、無線通信リンク、又は光ファイバケーブル等の様々な接続タイプを含んでもよい。
ユーザ110は、例えばWebブラウジング、データダウンロード等の様々なサービスをアクセスするために、端末装置101、102を用いてネットワーク103を介してサーバ104、105、106、107とインタラクションすることができる。端末装置101、102には、様々なクライアントアプリケーション、例えばユニテーブルリソースロケータURLクラウドサービスにアクセスできるアプリケーションをインストールすることができ、これらの様々なクライアントアプリケーションは、ブラウザ、セキュリティアプリケーション等を含むが、これらに限定されない。テーブル
端末装置101、102は、様々な電子機器であってもよく、パソコン、スマートフォン、スマートテレビ、タブレットPC、パーソナル・デジタル・アシスタント(PDA)、及び電子書リーダー等を含むがこれに限定されるものではない。
サーバ104、105、106、107は、様々なサービスを提供するサーバであってもよい。サーバは、ユーザのサービス要求に応じてサービスを提供することができる。なお、1つのサーバは、1種又は多種のサービスを提供することができ、同一のサービスは、複数のサーバで提供することもできる。本願の実施例によれば、係るサーバは、クラウドに位置してもよく、これらのサーバは、クラウド検出サーバ、種々の悪性コード鑑別サーバ、及びファイル信用判定サーバ等を含むが、これに限定されるものではない。
また、図1における端末装置、ネットワーク、及びサーバの数は、例示的なものに過ぎない。実際の必要に応じて、任意の数の端末装置、ネットワーク、及びサーバを有しうる。
従来の各種鑑別器は、その検出方法がいずれも自分の利点及び欠陥を有し、検出結果が誤報される可能性もあり、それにより、クラウドでの最終的な鑑別結果に影響を与える。
従来の技術の上記欠陥に鑑みて、本願の実施例は、ファイル信用値による悪性コード検出の解決策を提供する。具体的には、各悪性コード鑑別器に対して検出サンプルの検出結果に信頼度及び信用値を割り当てる。信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、信用値は信頼度と対応する定量化した信頼の程度である。次に、1つ又は複数の検出結果の、信頼度及び信用値に基づいて検出サンプルの最終的な鑑別結果を決定する。
図2は、本願の一実施例に係る悪性コード検出方法を模式的に示すフローチャートである。図2に示すような方法は、サーバ側のシステムで実行され、当該システムはクラウドに位置してもよい。
図2に示すように、ステップ210において、検出サンプルを受信する。
サーバは、クライアントから検出サンプルを受信することができる。クライアントは、悪性コードの検出又はウィルスの検出削除が必要である時、サーバに要求することができ、それとともに、検出する必要があるサンプルをサーバにアップロードしてもよい。
続いて、ステップ220において、多種の悪性コード鑑別器を利用して検出サンプルをそれぞれ検出して複数の検出結果を取得する。
サーバは、検出サンプルを受信した後、当該検出サンプルを複数の悪性コード鑑別器に割り当て、各悪性コード鑑別器で悪性コード検出をそれぞれ行うことができる。
いくつかの実施例では、サーバは、検出サンプルを前処理した後に悪性コード鑑別器に割り当てることもできる。前処理は、例えば、異なるタイプの検出サンプルに対して、異なる処理を予め行うことを含んでもよい。例えば、圧縮ファイルに対して、まず解凍してもよい。
いくかの実施例では、サーバは、一部又は全部の悪性コード鑑別器に検出サンプルを選択的に割り当てることができる。例えば、サーバは、検出サンプルの特性に基づいて、明らかに当該種類の検出サンプルに適しない悪性コード鑑別器を除外し、それにより検出結果の精度を向上させる。
一般的には、鑑別方法に基づく特徴により、悪性コード鑑別器は、静特性に基づく鑑別器、動特性に基づく鑑別器、及び、静特性と動特性とに基づく鑑別器に分けることができる。静特性は、ファイル名称、プログラム形態、API(アプリケーションプログラミングインターフェース)数量特性、ファイルのバージョン情報、ファイルサイズ情報、PE(移植可能・実行可能)の構造特性、及びファイル保護情報等を含んでもよい。動特性は、自己始動動作、プロセス隠し動作、及び通信隠し動作等を含んでもよい。本願は、悪性コード鑑別器のタイプを制限せず、従来の技術の既知の、又は将来開発される様々なタイプの悪性コード鑑別器を使用することができる。
悪性コード鑑別器の検出結果は、例えば、検出された悪性コードのカテゴリーを含んでもよい。コンピュータアンチウイルス研究機構(CARO)は、悪性コードの分類命名法を提出し、その命名ルールは、
[<malware_type>://][<platform>]/<family_name>[.<group_name>] ¥[.<infective_length>][.<variant>[<devolution]][<modifiers>]であり、
ただし、<malware_type>は、悪性コードのタイプ(一般的には、virus(ウィルス)、backdoor(バックドア)、Trojan(トロイの木馬)、Adware(アドウェア)等である)を明らかに指摘する。<platform>フィールドは、悪性コードの実行に必要なオペレーティングシステム環境を定義し、例えば「W32」又は「Win32」は、32ビットWindows(登録商標)オペレーティングシステムを指し、「Linux」はLinux(登録商標)システムを指し、「OSX」はMac OSXを指す。<family_name>及び<group_name>フィールドは、通常、悪性コードのファミリ情報を示す。<infective_length>フィールドは、ファイル感染型ウィルスの感染長さを定義する。<variant>(通常に1つのアルファベットである)フィールドは、同じ悪性コードファミリを有する変種を区別することに用いられる。残りのフィールドは、具体的な環境により定義される。
以下は、いくつの一般的な悪性コードの名称の例であり、
Net−Worm://Win32.Welchiaは、Windowsプラットテーブルのネットワークワームであり、
Backdoor://Win32.ciadoor.121は、ciadoorファミリに属するWindowsプラットテーブルのバックドア型のトロイの木馬であり、
Virus://Win32.Parite.Bは、Pariteファミリに属するwindowsメモリ常駐型ファイル感染ウィルスである。
上記命名ルールは、強制的に実行するものではないため、異なるアンチマルウェアサービスのプロバイダは、悪性コードのカテゴリーに対して異なる命名方法を有する可能性がある。言い換えれば、異なる悪性コード鑑別器が、同じ検出サンプルから検出された悪性コードに対して異なる命名方法を有する可能性がある。
次に、ステップ230において、検出結果の信頼度及び信用値を決定する。
本文において、信頼度は、検出結果が悪意及び/又は安全性を有するかどうか、言い換えれば、検出される悪性コードカテゴリーが脅威性を有するかどうか、又は安全性を有するかどうかを示す。信用値は、信頼度と対応する定量化した信頼の程度である。
いくつかの実施例では、信頼度は黒、白、灰、疑似黒及び疑似白のいずれかを含んでもよく、ただし黒は、検出結果が悪意を有することを示し、白は、検出結果が安全性を有することを示し、灰は、不確定であることを示し、疑似黒は、検出結果が悪意を有する可能性があることを示し、及び疑似白は、検出結果が安全性を有する可能性があることを示す。
信用値は、様々な数値特徴、例えば正の整数で示されることができる。検出結果の信頼度に対して、相応の信用値を有してもよい。例えば、ある検出結果の信頼度が黒であれば、それと対応する信用値が100である。これは当該検出の結果が悪意を有する確率が非常に高いことを示す。また、例えば、ある検出結果の信頼度が灰であれば、それと対応する信用値が1である。これは当該検出の結果が悪意を有するかどうかが不確定であり、且つこの不確定の確率が非常に低いことを示す。
いくつかの実施例では、検出結果の信頼度及び信用値の決定は、ファイル信用評価ポリシに基づいて行われる。ファイル信用評価ポリシでは、既知の様々な悪性コードの情報に基づき各種の悪性コード検出結果の信頼度を予め設定し、さらに悪性コード鑑別器の誤報率に基づき各種の悪性コード検出結果の信用値を予め設定することができる。例えば、現在、多種の悪性コード及びこれらの悪性コードの属するファミリが既知であり、従ってこれらの既知情報に基づいて各種の悪性コード検出結果の信頼度を予め設定することができる。なお、悪性コード鑑別器の履歴判定結果に基づいて、鑑別器の誤報率を統計することができ、それにより、誤報率に基づき各種の悪性コード検出結果の信用値を予め設定することができる。代替的又は追加的に、ウイルスアナリストは、蓄積した経験に基づいて、信頼度及び/又は信用値をマニュアル調整することもできる。
図3は、本願に係るファイル信用評価ポリシを模式的に示すルールテーブルである。図2のステップ230では、当該ルールテーブルに基づいて検出結果の信頼度及び信用値を決定できる。
図3に示すように、第一列は、異なるルールを識別するためのルールIDであり、第二列は、鑑別器エンジンが実行するタスクタイプであり、当該タスクタイプは、ファイル処理の緊急性及び重要性に応じて区別することができ、第三列は、各種の悪性コード鑑別器である鑑別器エンジンであり、第四列は、異なるルールが衝突する時の優先度(後に説明する)を識別するための衝突優先度であり、第五列は、鑑別器エンジンが検出した各種検出結果である鑑別ルールであり、検出された悪性コードのタイプを識別することができ、第六列は、各ルール又は悪性コード検出結果に対応する信頼度であり、第七列は、各ルールの相応な信頼度と対応する定量化した信頼の程度である信用値である。なお、ルールテーブルは、他の内容を含んでもよい。本出願の実施例を不明瞭にしないように、図3には、それらの付加的な内容を示していない。
図4は、本願の実施例に係るルールテーブルを利用して検出結果の信頼度及び信用値を決定する方法を模式的に示すフローチャートであり、即ち、図2のステップ230の一実現方式を模式的に示す図である。
図4に示すように、ステップ410では、検出結果にマッチングする悪性コード検出結果を決定する。当該ステップでは、ルールテーブルを検索することによって、検出結果にマッチングするルールを決定することができる。
例えば、サンプル72AAC543B9CBBF597852E254325772BFが多種の悪性コード鑑別器によって検出削除された後の検出結果は、以下のとおりである。
GScan:Adware.Win32.MultiPlug.susp
PScan:Win32/Ramnit.A virus
DScan:0.2
図3に示されるルールテーブルを例とすれば、この場合、GScan鑑別器エンジンの検出結果がルール405にマッチングし、PScan鑑別器エンジンの検出結果とマッチングするルールを発見せず、DScan鑑別器エンジンの検出結果とマッチングルールをも発見しないことを決定することができる。
続いて、ステップ420において、マッチングされた悪性コード検出結果の信頼度及び信用値を対応する検出結果に付与する。
上記例において、図3のルールテーブルに基づけば、ルール405の信頼度が疑似黒であり、値が50であり、従って、GScan鑑別器エンジンの検出結果は、信頼度が疑似黒であり、値が50である。残りの鑑別器エンジンの検出結果は、ルールにマッチングせず、従って、これらの検出結果は捨てられる。
図2に戻る。検出結果の信頼度及び信用値を決定した後、続くステップ240において、検出結果の信頼度及び信用値に基づき、検出サンプルの最終的な鑑別結果を決定する。
いくつかの実施例では、信頼度及び信用値の判定ポリシに基づき、検出結果の信頼度及び信用値を処理して、検出サンプルの最終的な鑑別結果を取得する。
複数の検出結果の信頼度が合致する時、最終的な鑑別結果を比較的容易に決定することができる。複数の検出結果の信頼度が合致せず、衝突がある時、信頼度及び信用値の判定ポリシは、検出結果の衝突優先度及び/又は信用値を考慮することもできる。従って、上記ステップ230では、ファイル信用に基づいてポリシを割り当てるとともに、検出結果に衝突優先度を割り当てる(例えば、図3のテーブルの第4列の衝突優先度に基づいて割り当てる)。最終的な鑑別結果を決定するために、多種の信頼度及び信用値の判定ポリシを設計することができる。
図5は、本願に係る信頼度及び信用値の判定ポリシの判定ロジックを模式的に示すフローチャートである。
図5に示すように、ステップ501では、信頼度及び信用値が決定された検出結果をまとめてファイル信頼値テーブルにする。続いて、ステップ502では、これらの検出結果の信頼度がすべて黒であるかどうかを判断する。そうである場合、ステップ520に移行して、最終的な鑑別結果が黒状態であると判定し、そうでなければ、ステップ503に移行する。
ステップ503では、これらの検出結果の信頼度がすべて灰であるかどうかを判断する。そうである場合、ステップ530に移行して、最終的な鑑別結果が灰状態であると判定し、そうでなければ、ステップ504に移行する。
ステップ504では、これらの検出結果の信頼度がすべて白であるかどうかを判断する。そうである場合、ステップ540に移行し、最終的な鑑別結果が白状態であると判定し、そうでなければ、ステップ505に移行する。
ステップ505では、これらの検出結果の信頼度がすべて疑似黒であるかどうかを判断する。そうである場合、ステップ506において、検出結果の信用値を加算する。続いて、ステップ507において、加算された信用値が第1の所定閾値以上であるかどうかを判断し、そうである場合、ステップ520に移行して、最終的な鑑別結果が黒状態であると判定し、そうでなければ、ステップ530に移行し、最終的な鑑別結果が灰状態であると判定する。第1の所定閾値は、例えば、100であってもよい。ステップ505において否定判断されると、ステップ508に移行する。
ステップ508では、これらの検出結果の信頼度がすべて疑似白であるかどうかを判断する。そうである場合、ステップ509において、検出結果の信用値を加算する。続いて、ステップ510において、加算された信用値が第2の所定閾値以上であるかどうかを判断し、そうである場合、ステップ540に移行し、最終的な鑑別結果が白状態であると判定し、そうでなければ、ステップ530に移行し、最終的な鑑別結果が灰状態であると判定する。第2の所定閾値は、例えば、100であってもよい。ステップ508において否定判断されると、ステップ511に移行する。
ステップ511では、これらの検出結果の信頼度に黒と白の衝突があるかどうかを判断する。そうである場合、ステップ512において、検出結果の衝突優先度を比較する。信頼度が黒である検出結果の衝突優先度が最も高いことに応じて、ステップ520に移行し、最終的な鑑別結果が黒状態であると判定する。信頼度が白である検出結果の衝突優先度が最も高いことに応じて、ステップ540に移行し、最終的な鑑別結果が白状態であると判定する。言い換えれば、最終的な鑑別結果は、最も高い衝突優先度を有する検出結果と合致する。信頼度がそれぞれ黒及び白である検出結果の衝突優先度が同じであることに応じて、ステップ530に移行し、最終的な鑑別結果が灰状態であると判定する。ステップ511において否定判断されると、ステップ513に移行する。
ステップ513では、これらの検出結果の信頼度に黒と疑似白の衝突があるかどうかを判断する。そうである場合、ステップ520に移行し、最終的な鑑別結果が黒状態であると直接的に判定し、そうでなければ、ステップ514に移行する。
ステップ514では、これらの検出結果の信頼度に白と疑似黒の衝突があるかどうかを判断する。そうである場合、ステップ540に移行し、最終的な鑑別結果が白状態であると直接的に判定し、そうでなければ、ステップ515に移行する。
ステップ515では、これらの検出結果の信頼度に疑似黒と疑似白の衝突があるかどうかを判断し、そうである場合、ステップ516において、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差を決定する。例えば、疑似黒の信用値から疑似白の信用値を引くことができる。逆にしてもよい。疑似黒の信用値と疑似白の信用値の差値が第1の閾値以上である、即ち、疑似黒の信用値が疑似白の信用値より十分に高いことに応じて、ステップ520に移行し、最終的な鑑別結果が黒状態であると判定する。疑似黒の信用値と疑似白の信用値の差値が第2の閾値以下である、即ち、疑似黒の信用値が疑似白の信用値より十分に低いことに応じて、ステップ540に移行し、最終的な鑑別結果が白状態であると判定する。疑似黒の信用値と疑似白の信用値の差値が第1の閾値と第2の閾値との間にある、即ち、疑似黒の信用値と疑似白の信用値との差があまり大きくないことに応じて、ステップ530に移行し、最終的な鑑別結果が灰状態であると判定する。いくつかの実施例では、第1の閾値と第2の閾値の絶対値は同じであってもよく、例えば、第1の閾値が100であり、第2の閾値が−100であってもよい。従って、上記判断ロジックは、複数の検出結果に疑似黒と疑似白との衝突があると、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上である場合、最終的な鑑別結果は信用値が高い検索結果と合致すると判定し、そうでなければ最終的な鑑別結果が灰状態であると判定するように、表してもよい。ここで、第3の所定閾値は、第1の閾値及び第2の閾値の絶対値、例えば100である。
ステップ515で否定判断されると、ステップ517に移行し、他の可能な衝突を判断する。これらの衝突は十分に激しくなく、簡単な判定ロジックを利用して判断することができる。例えば、黒と疑似黒との衝突がある時、最終的な結果が黒状態であると判定し、白と疑似白との衝突がある時、最終的な結果が白状態であると判定し、疑似黒と灰との衝突又は疑似白と灰との衝突がある時、最終的な結果が灰状態であると判定する。説明の便宜上、図5にこれらの衝突の判断を示していない。また、結ぶ線を明瞭にするために、図5に黒状態520、灰状態530及び白状態540のような重複の最終的な結果ブロック図を示し、このような図示方法は、図5の判定ロジックに影響を与えない。
ただし、図5に示される判定ロジックは、例示的なものである。当業者は他の判定ロジックを設定してもよい。例えば、図5の黒と白の衝突は、衝突優先度に基づいて判定されるが、疑似黒と疑似白との衝突のように信用値に基づいて判定されてもよい。また、例えば、図5の疑似黒と疑似白との衝突は、信用値に基づいて判定されるが、衝突優先度に基づいて判定されてもよい。さらに、例えば、黒と白との衝突及び疑似黒と疑似白との衝突は、衝突優先度と信用値とを同時に考慮して判定されてもよい。例えば、まず、衝突優先度に基づいて判定し、衝突優先度が同じである場合、さらに信用値に基づいて判定してもよい。
前記例示を振り返ると、即ち、サンプル72AAC543B9CBBF597852E254325772Bに対して、多種の悪性コード鑑別器により検出除去された後の検出結果は、以下のとおりである。
GScan:Adware.Win32.MultiPlug.susp
PScan:Win32/Ramnit.A virus
DScan:0.2
図3に示されるルールテーブルを例とすれば、GScan鑑別器エンジンの検出結果は、ルール405にマッチングし、信頼度が疑似黒であり、値が50である。他の鑑別器エンジンの検出結果は、いずれかのルールにマッチングしていないので、それらは、捨てられる。
図5に示される判定ロジックに応じて、この時に検出結果は、信頼度が疑似黒であり、値が50であるので、第1の所定閾値(例えば100)より低く、従って、最終的な鑑別結果が灰状態であると判定する。
また、例えば、仮にサンプルEF1766F750C01D741F8D980DC345DD2Fに対して、多種の悪性コード鑑別器により検出除去された後の検出結果が、それぞれ以下のとおりであるとする。
GScan:Adware.Win32.Downloader.Gex
PScan:Win32/Wapomi.AX virus
DScan:0.3
図3に示されるルールテーブルを例とすれば、GScan鑑別器エンジンの検出結果は、ルール404にマッチングし、信頼度が黒であり、スコアが100である。他の鑑別器エンジンの検出結果は、いずれかのルールにマッチングしていないので、それらは、捨てられる。
図5に示される判定ロジックに応じて、この時検出結果の信頼度がすべて黒であるので、最終的な鑑別結果が黒状態であると判定する。
ただし、図面には特定の順序で本発明の方法の操作を説明したが、当該特定の順序でこれらの操作を実行しなければならないこと、又は所望の結果を達成するためにすべての提示された操作を実行しなければならないことを要求又は暗示しない。逆に、フローチャートに示されているステップについては、実行順序を変更してもよい。例えば、図5の各種判定ロジックは、任意の順序で実行され、又は並行に行われることができる。追加的又は代替的に、いくつかのステップを省略したり、複数のステップを1つのステップに結合して実行したり、及び/又は1つのステップを複数のステップに分けて実行したりしてもよい。
図6は、本願の実施例に係る悪性コード検出システムを模式的に示す構造図である。図6に示されるシステムは、サーバ側に位置し、特にクラウドに位置する。当該システムは一般的に複数の機能の異なるサーバが相互に接続されてなるサーバクラスターを指し、これらのサーバは、外から見て一体であり、互いに協力し合って悪性コード検出の機能を達成する。
図6に示すように、悪性URLを検出するためのシステム600は、クラウド検出サーバ610、1つ又は複数の異なるタイプの悪性コード鑑別器620−1,620−2、…、620−N、及びファイル信用判定部630を含んでもよい。
クラウド検出サーバ610は、クライアントからアップロードされた検出サンプルを受信する。クラウド検出サーバ610は、さらに検出サンプルを各悪性コード鑑別器620−1, 620−2、…、620−Nに割り当てる。
各悪性コード鑑別器620−1、620−2、…、620−Nは、自身の鑑別方法に基づいて、クラウド検出サーバ610が割り当てた検出サンプルを検出する。これらの悪性コード鑑別器は、クラウド検出サーバと同じ又は異なるクラウドサーバに位置してもよい。
ファイル信用判定部630は、悪性コード鑑別器620−1、620−2、…、620−Nの検出結果を集めて分析処理して、検出サンプルの最終的な鑑別結果を決定する。いくつかの実施例では、検出結果を分析処理することは、検出結果の信頼度及び信用値を決定すること、及び検出結果の信頼度及び信用値に基づいて検出サンプルの最終的な鑑別結果を決定することを含む。
上記分析処理を実行するために、ファイル信用判定部630は、決定ユニット631及び判定ユニット632を含んでもよい。決定ユニット631は、ブロック640からのファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定する。判定ユニット632は、ブロック640からの信頼度及び信用値の判定ポリシに基づいて検出結果の信頼度及び信用値を処理して検出サンプルの最終的な鑑別結果を取得する。
決定ユニット631は、検出結果の信頼度及び信用値を決定する場合、まず、検出結果にマッチングする悪性コードの検出結果を見つけて、次に、マッチングされる悪性コード検出結果の信頼度及び信用値を当該検出結果に付与することができる。
いくつかの実施例では、信頼度及び信用値の判定ポリシは、検出結果の衝突優先度をさらに考慮する。これらの実施例では、決定ユニット631は、さらに、検出結果に衝突優先度を割り当てるように配置される。具体的には、ファイル信用の評価ポリシに基づいて、検出結果の衝突優先度を決定する。判定ユニット632は更に、検出結果の信頼度の間に衝突がある場合、検出結果の衝突優先度及び/又は信用値に基づいて最終的な鑑別結果を決定するように配置される。
いくつかの実施例では、信頼度及び信用値の判定ポリシの例示的な判断ロジックは、
複数の検出結果がいずれも灰である場合に、検出テキストの最終的な鑑別結果が灰状態であると判定すること、
複数の検出結果がいずれも黒である場合に、検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
複数の検出結果がいずれも白である場合に、検出ファイルの最終的な鑑別結果が白状態であると判定すること、
複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、検出ファイルの最終的な鑑別結果が最高優先度を有する検出結果と合致すると判定すること、
複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
複数の検出結果に黒と疑似白との衝突がある場合に、検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
複数の検出結果に白と疑似黒との衝突がある場合に、検出ファイルの最終的な鑑別結果が白状態であると判定すること、
複数の検出結果がいずれも疑似黒である場合に、複数の検出結果の累計信用値が第1の所定閾値以上であれば、検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
複数の検出結果がいずれも疑似白である場合に、複数の検出結果の累計信用値が第2の所定閾値以上であれば、検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び
複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、検出ファイルの最終的な鑑別結果が信用値の高い検索結果と合致すると判定し、そうでなければ、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、の少なくとも1つを含んでもよい。
ただし、システム600に記載された各サブシステム又はユニットは、図2〜図5を参照しながら説明された方法の各ステップに対応する。それにより、前記の方法に対して説明された操作と特徴は、同様にシステム600及びそれに含まれるユニットに適用され、その詳細な説明を省略する。
以下、図7は、本願の実施例におけるサーバを実現することに適するコンピュータシステム700を示す構造模式図である。
図7に示すように、コンピュータシステム700は、読み出し専用メモリ(ROM)702に記憶されたプログラム又は記憶部708からランダムアクセスメモリ(RAM)703にロードされたプログラムに基づいて各種の適度な動作及び処理を実行することができる中央処理ユニット(CPU)701を含む。RAM 703は、システム700の操作に必要な各種のプログラム及びデータを更に記憶している。CPU 701、ROM 702及びRAM 703は、バス704を介して互いに接続されている。入力/出力(I/O)インターフェース705もまた、バス704に接続されている。
キーボード及びマウス等を含む入力部706、例えば陰極線管(CRT)、液晶ディスプレイ(LCD)等、及びスピーカ等を含む出力部707、ハードディスク等を含む記憶部708、並びに、LANカード及びモデム等を含むネットワークインターフェースカードの通信部709は、それぞれI/Oインターフェース705に接続されている。通信部709は、例えばインターネットのようなネットワークを介して通信処理を実行する。ドライバ710は、必要に応じてI/Oインターフェース705に接続される。例えば、磁気ディスク、光ディスク、光磁気ディスク、半導体メモリ等のようなリムーバブルメディア711は、必要に応じてドライバ710に取り付けられ、こうすると、ドライバ710から読み出されたコンピュータプログラムは、必要に応じて記憶部708にインストールされる。
特に本開示の実施例によれば、前記の図2〜図7を参照して説明された過程は、コンピュータソフトウェアプログラムとして実現することができる。例えば、本開示の実施例は、コンピュータプログラム製品を含み、当該コンピュータプログラム製品は、機械可読媒体に有形に具現化されるコンピュータプログラムを含み、前記コンピュータプログラムは、図2〜図5の方法を実行するためのプログラムコードを含む。このような実施例において、当該コンピュータプログラムは、通信部709を介してネットワークからダウンロードしてインストールされ、及び/又はリムーバブルメディア711からインストールされ得る。
図面におけるフローチャート及びブロック図は、本発明の各実施例に係るシステム、方法、及びコンピュータプログラム製品によって実現可能な体系構造、機能及び操作を示す。ここで、フローチャート又はブロック図における各枠は、1つのモジュール、プログラムセグメント、又はコードの一部を代表することができ、前記モジュール、プログラムセグメント、又はコードの一部は、規定された論理機能を達成するための1つ又は複数の実行可能な命令を含む。なお、いくつかの代替実施態様として、枠にマークされた機能は、図面にマークされた順序と異なる順序で実行されてもよい。例えば、接続して示される2つの枠は、実際的に、係る機能に応じて、ほぼ並行的に実行されてもよく、反対の順序で実行されてもよい。なお、ブロック図及び/又はフローチャートにおける各枠、並びに、ブロック図及び/又はフローチャートにおける枠の組合せは、規定された機能又は操作を実行する、ハードウェアに基づく専用システムで実現されてもよく、又は、専用ハードウェアとコンピュータの命令との組合せで実行されてもよい。
本願の実施例に記述されたユニット又はモジュールは、ソフトウェアで実現されてもよいし、ハードウェアで実現されてもよい。記述されたユニット又はモジュールは、プロセッサに設定されてもよい。これらのユニット又はモジュールの名称はある場合に当該ユニット又はモジュールの自体を限定するものではない。
一方、本願は、コンピュータ可読記憶媒体をさらに提供し、当該コンピュータ可読記憶媒体は、上記実施例の前記装置に含まれるコンピュータ可読記憶媒体であってもよく、独立に存在して、装置に組み立てされていないコンピュータ可読記憶媒体であってもよい。コンピュータ可読記憶媒体は、1つ又は1つ以上のプログラムを記憶し、前記プログラムは、1つ又は1つ以上のプロセッサで本願に記述された公式の入力方法を実行することに用いられる。
以上の記述は、本願の最適実施例及び使用された技術的原理の説明に過ぎない。当業者が理解すべきであることは、本願に係る発明の範囲は、上記した技術的特徴の特定な組合せからなる技術案に限定されるものではなく、本発明の趣旨を逸脱しない範囲で、上記の技術的特徴又は同等の特徴の任意の組合せからなる他の技術的解決手段も含むべきであるということである。例えば、上記の特徴と本願に開示された(これに限定されない)類似の機能を持つ技術的特徴を、互いに置き換えてなる技術案が挙げられる。

Claims (10)

  1. 悪性コード検出方法であって、
    検出サンプルを受信するステップと、
    多種の悪性コード鑑別器を利用して前記検出サンプルをそれぞれ検出して複数の検出結果を取得するステップと、
    検出結果の信頼度及び信用値を決定するステップと、
    前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するステップと、を含んでおり、
    前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
    前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するステップは、
    信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得するステップを含み、
    前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含み、
    前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
    前記信頼度及び信用値の判定ポリシは、
    前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度の検出結果と合致すると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
    前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
    の少なくとも1つを含むことを特徴とする悪性コード検出方法。
  2. 前記検出結果の信頼度及び信用値を決定するステップは、
    ファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定するステップを含んでおり、
    前記ファイル信用評価ポリシにおいては、既知の様々な悪性コードの情報に基づいて、各種の悪性コード検出結果の信頼度を予め設定し、さらに悪性コード鑑別器の誤報率に基づいて、各種の悪性コード検出結果の信用値を予め設定することを特徴とする請求項1に記載の方法。
  3. 前記ファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定するステップは、
    前記検出結果にマッチした悪性コード検出結果を決定するステップと、
    前記マッチした悪性コード検出結果の信頼度及び信用値を、前記検出結果に付与するステップと、を含むことを特徴とする請求項2に記載の方法。
  4. 前記信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理するステップは、
    前記検出結果の信頼度の間に衝突がある場合に、前記検出結果の衝突優先度及び/又は信用値に基づいて最終的な鑑別結果を決定するステップを含むことを特徴とする請求項に記載の方法。
  5. 悪性コード検出システムであって、
    検出サンプルを受信するためのクラウド検出サーバと、
    前記クラウド検出サーバから検出サンプルを受信し、前記検出サンプルをそれぞれ検出して複数の検出結果を取得するための複数の異なるタイプの悪性コード鑑別器と、
    検出結果の信頼度及び信用値を決定し、前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するためのファイル信用判定部と、
    を含んでおり、
    前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
    前記ファイル信用判定部は、
    信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得するための判定ユニットを含み、
    前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含んでおり、
    前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
    前記信頼度及び信用値の判定ポリシは、
    前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度を有する検出結果に合致すると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
    前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の違いが第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
    の少なくとも1つを含むことを特徴とする悪性コード検出システム。
  6. 前記ファイル信用判定部は、
    ファイル信用評価ポリシに基づいて、検出結果の信頼度及び信用値を決定するための決定ユニットを含んでおり、
    前記ファイル信用評価ポリシにおいては、既知の様々な悪性コードの情報に基づいて、各種の悪性コード検出結果の信頼度を予め設定するとともに、悪性コード鑑別器の誤報率に基づいて、各種の悪性コード検出結果の信用値を予め設定することを特徴とする請求項に記載のシステム。
  7. 前記決定ユニットは、
    前記検出結果にマッチした悪性コード検出結果を決定するように、また、
    前記マッチした悪性コード検出結果の信頼度及び信用値を前記検出結果に付与するように、更に構成されることを特徴とする請求項に記載のシステム。
  8. 前記決定ユニットは、検出結果に衝突優先度を割り当てるように更に構成されており、また、
    前記判定ユニットは、前記検出結果の信頼度の間に衝突がある場合に、前記検出結果の衝突優先度及び/又は信用値に基づいて最終的な鑑別結果を決定するように更に構成されることを特徴とする請求項に記載のシステム。
  9. 悪性コード検出システムであって、
    プロセッサと、
    記憶部と、
    を備え、
    前記記憶部は、コンピュータ可読命令を記憶し、前記コンピュータ可読命令が前記プロセッサより実行される場合に、前記プロセッサは、
    検出サンプルを受信し、
    多種の悪性コード鑑別器を利用して前記検出サンプルをそれぞれ検出して複数の検出結果を取得し、
    検出結果の信頼度及び信用値を決定し、
    前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するように動作可能であり、
    前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
    前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定することは、
    信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得することを含み、
    前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含み、
    前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
    前記信頼度及び信用値の判定ポリシは、
    前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度の検出結果と合致すると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
    前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
    の少なくとも1つを含むことを特徴とする悪性コード検出システム。
  10. 不揮発性のコンピュータ記憶媒体であって、
    コンピュータ可読命令を記憶しており、前記コンピュータ可読命令がプロセッサより実行される場合に、前記プロセッサは、
    検出サンプルを受信し、
    多種の悪性コード鑑別器を利用して前記検出サンプルをそれぞれ検出して複数の検出結果を取得し、
    検出結果の信頼度及び信用値を決定し、
    前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定するように動作可能であり、
    ここで、前記信頼度は、検出結果が悪意及び/又は安全性を有するかどうかを示し、前記信用値は、信頼度と対応する定量化した信頼の程度を示し、
    前記検出結果の信頼度及び信用値に基づいて前記検出サンプルの最終的な鑑別結果を決定することは、
    信頼度及び信用値の判定ポリシに基づき前記検出結果の信頼度及び信用値を処理して、前記検出サンプルの最終的な鑑別結果を取得することを含み、
    前記信頼度は、黒、白、灰、疑似黒及び疑似白のいずれかを含み、
    前記黒は、検出結果が悪意を有することを示し、前記白は、検出結果が安全性を有することを示し、前記灰は、不確定であることを示し、前記疑似黒は、検出結果が悪意を有する可能性があることを示し、前記疑似白は、検出結果が安全性を有する可能性があることを示し、
    前記信頼度及び信用値の判定ポリシは、
    前記複数の検出結果がいずれも灰である場合に、検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも黒である場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果がいずれも白である場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じではない場合に、前記検出ファイルの最終的な鑑別結果が最高優先度の検出結果と合致すると判定すること、
    前記複数の検出結果に黒と白との衝突があり且つ衝突優先度が同じである場合に、前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果に黒と疑似白との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が黒状態であると判定すること、
    前記複数の検出結果に白と疑似黒との衝突がある場合に、前記検出ファイルの最終的な鑑別結果が白状態であると判定すること、
    前記複数の検出結果がいずれも疑似黒である場合に、前記複数の検出結果の累計信用値が第1の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が黒状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、
    前記複数の検出結果がいずれも疑似白である場合に、前記複数の検出結果の累計信用値が第2の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が白状態であると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること、及び、
    前記複数の検出結果に疑似黒と疑似白との衝突がある場合に、疑似黒の検索結果の信用値と疑似白の検索結果の信用値との間の差が第3の所定閾値以上であれば、前記検出ファイルの最終的な鑑別結果が信用値の高い検索結果に合致すると判定し、そうでなければ前記検出ファイルの最終的な鑑別結果が灰状態であると判定すること
    の少なくとも1つを含むことを特徴とする不揮発性のコンピュータ記憶媒体。
JP2015234042A 2015-05-27 2015-11-30 悪性コード検出方法及びシステム Active JP6126672B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201510280539.1 2015-05-27
CN201510280539.1A CN106295333B (zh) 2015-05-27 2015-05-27 用于检测恶意代码的方法和系统

Publications (2)

Publication Number Publication Date
JP2016224900A JP2016224900A (ja) 2016-12-28
JP6126672B2 true JP6126672B2 (ja) 2017-05-10

Family

ID=57397247

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015234042A Active JP6126672B2 (ja) 2015-05-27 2015-11-30 悪性コード検出方法及びシステム

Country Status (4)

Country Link
US (1) US10511617B2 (ja)
JP (1) JP6126672B2 (ja)
KR (1) KR101724307B1 (ja)
CN (2) CN106295333B (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657160B (zh) * 2017-02-28 2019-05-21 南开大学 面向大流量基于可信度的网络恶意行为检测方法
CN116821908A (zh) 2017-04-03 2023-09-29 株式会社野村综合研究所 检测系统、检测方法、以及计算机程序
CN107786542A (zh) * 2017-09-26 2018-03-09 杭州安恒信息技术有限公司 基于大数据智能分析恶意ip的评分方法及装置
US10594720B2 (en) * 2017-11-03 2020-03-17 International Business Machines Corporation Exercising security control point (SCP) capabilities on live systems based on internal validation processing
KR102030132B1 (ko) 2017-12-15 2019-10-08 서강대학교산학협력단 악성 코드 검출 방법 및 시스템
CN109190657B (zh) * 2018-07-18 2021-11-02 国家计算机网络与信息安全管理中心 基于数据切片及图像哈希组合的样本同源分析方法
RU2757330C1 (ru) * 2020-06-19 2021-10-13 Акционерное общество "Лаборатория Касперского" Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя
US11269991B2 (en) 2020-06-22 2022-03-08 Bank Of America Corporation System for identifying suspicious code in an isolated computing environment based on code characteristics
US11880461B2 (en) 2020-06-22 2024-01-23 Bank Of America Corporation Application interface based system for isolated access and analysis of suspicious code in a computing environment
US11797669B2 (en) 2020-06-22 2023-10-24 Bank Of America Corporation System for isolated access and analysis of suspicious code in a computing environment
US11636203B2 (en) 2020-06-22 2023-04-25 Bank Of America Corporation System for isolated access and analysis of suspicious code in a disposable computing environment
US11574056B2 (en) 2020-06-26 2023-02-07 Bank Of America Corporation System for identifying suspicious code embedded in a file in an isolated computing environment
CN111881447B (zh) * 2020-06-28 2022-12-06 中国人民解放军战略支援部队信息工程大学 恶意代码片段智能取证方法及系统
CN112597496B (zh) * 2020-12-23 2023-11-10 北京天融信网络安全技术有限公司 一种文件信誉鉴定方法、装置及系统
KR102552330B1 (ko) 2021-01-27 2023-07-07 한국전력공사 검색엔진을 이용한 악성 인터넷 주소 탐지 시스템 및 방법
US11941121B2 (en) * 2021-12-28 2024-03-26 Uab 360 It Systems and methods for detecting malware using static and dynamic malware models

Family Cites Families (81)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US7065789B1 (en) * 2001-05-22 2006-06-20 Computer Associates Think, Inc. System and method for increasing heuristics suspicion levels in analyzed computer code
US7240213B1 (en) * 2002-03-15 2007-07-03 Waters Edge Consulting, Llc. System trustworthiness tool and methodology
US7290282B1 (en) * 2002-04-08 2007-10-30 Symantec Corporation Reducing false positive computer virus detections
US7159149B2 (en) * 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7284273B1 (en) * 2003-05-29 2007-10-16 Symantec Corporation Fuzzy scanning system and method
US7231667B2 (en) * 2003-05-29 2007-06-12 Computer Associates Think, Inc. System and method for computer virus detection utilizing heuristic analysis
US7849142B2 (en) * 2004-05-29 2010-12-07 Ironport Systems, Inc. Managing connections, messages, and directory harvest attacks at a server
WO2006071985A2 (en) * 2004-12-29 2006-07-06 Alert Logic, Inc. Threat scoring system and method for intrusion detection security networks
US20060155553A1 (en) * 2004-12-30 2006-07-13 Brohman Carole G Risk management methods and systems
US9384345B2 (en) * 2005-05-03 2016-07-05 Mcafee, Inc. Providing alternative web content based on website reputation assessment
US8984636B2 (en) * 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
WO2007050244A2 (en) * 2005-10-27 2007-05-03 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US8490194B2 (en) * 2006-01-31 2013-07-16 Robert Moskovitch Method and system for detecting malicious behavioral patterns in a computer, using machine learning
US8112801B2 (en) * 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
US7953969B2 (en) * 2007-04-16 2011-05-31 Microsoft Corporation Reduction of false positive reputations through collection of overrides from customer deployments
US8621610B2 (en) * 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8103727B2 (en) * 2007-08-30 2012-01-24 Fortinet, Inc. Use of global intelligence to make local information classification decisions
EP2053530A1 (en) * 2007-10-05 2009-04-29 Research In Motion Limited Method and system for multifaceted scanning
US7797748B2 (en) * 2007-12-12 2010-09-14 Vmware, Inc. On-access anti-virus mechanism for virtual machine architecture
US8312537B1 (en) * 2008-03-28 2012-11-13 Symantec Corporation Reputation based identification of false positive malware detections
JP5123759B2 (ja) * 2008-06-30 2013-01-23 キヤノン株式会社 パターン検出器の学習装置、学習方法及びプログラム
US8763071B2 (en) 2008-07-24 2014-06-24 Zscaler, Inc. Systems and methods for mobile application security classification and enforcement
US8549632B2 (en) * 2008-09-05 2013-10-01 Nec Europe Ltd. Method for supporting attack detection in a distributed system
US8321516B2 (en) * 2008-09-30 2012-11-27 Aol Inc. Systems and methods for creating and updating reputation records
US8402541B2 (en) * 2009-03-12 2013-03-19 Microsoft Corporation Proactive exploit detection
US8566932B1 (en) * 2009-07-31 2013-10-22 Symantec Corporation Enforcing good network hygiene using reputation-based automatic remediation
US8443449B1 (en) * 2009-11-09 2013-05-14 Trend Micro, Inc. Silent detection of malware and feedback over a network
US8719939B2 (en) * 2009-12-31 2014-05-06 Mcafee, Inc. Malware detection via reputation system
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US9009820B1 (en) * 2010-03-08 2015-04-14 Raytheon Company System and method for malware detection using multiple techniques
US8528090B2 (en) * 2010-07-02 2013-09-03 Symantec Corporation Systems and methods for creating customized confidence bands for use in malware detection
US8413235B1 (en) * 2010-09-10 2013-04-02 Symantec Corporation Malware detection using file heritage data
US8869277B2 (en) * 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
JP5613000B2 (ja) * 2010-10-08 2014-10-22 Kddi株式会社 アプリケーション特性解析装置およびプログラム
RU2444056C1 (ru) 2010-11-01 2012-02-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ ускорения решения проблем за счет накопления статистической информации
US9454658B2 (en) * 2010-12-14 2016-09-27 F-Secure Corporation Malware detection using feature analysis
US8635697B2 (en) * 2011-03-29 2014-01-21 Alcatel Lucent Method and system for operating system identification in a network based security monitoring solution
US8650287B2 (en) * 2011-04-27 2014-02-11 Mcafee, Inc. Local reputation to adjust sensitivity of behavioral detection system
US9065826B2 (en) * 2011-08-08 2015-06-23 Microsoft Technology Licensing, Llc Identifying application reputation based on resource accesses
CN102955912B (zh) * 2011-08-23 2013-11-20 腾讯科技(深圳)有限公司 一种程序恶意属性判别方法和服务器
US9003532B2 (en) * 2011-09-15 2015-04-07 Raytheon Company Providing a network-accessible malware analysis
US8214904B1 (en) * 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
CN102346828A (zh) * 2011-09-20 2012-02-08 海南意源高科技有限公司 一种基于云安全的恶意程序判断方法
CN103034805B (zh) * 2011-09-30 2015-12-16 腾讯科技(深圳)有限公司 多引擎病毒查杀方法和装置
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US8914406B1 (en) * 2012-02-01 2014-12-16 Vorstack, Inc. Scalable network security with fast response protocol
US9710644B2 (en) * 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
RU2486588C1 (ru) * 2012-03-14 2013-06-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы
US8990948B2 (en) * 2012-05-01 2015-03-24 Taasera, Inc. Systems and methods for orchestrating runtime operational integrity
US9497212B2 (en) * 2012-05-21 2016-11-15 Fortinet, Inc. Detecting malicious resources in a network based upon active client reputation monitoring
CN102915422B (zh) * 2012-06-21 2016-08-03 北京金山安全软件有限公司 计算机安全防护方法、装置和系统
CN103517304B (zh) * 2012-06-28 2018-12-28 腾讯科技(深圳)有限公司 一种获取移动终端安全状态的方法及装置
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
CN103679021B (zh) * 2012-09-17 2017-12-26 腾讯科技(深圳)有限公司 病毒扫描方法及病毒扫描装置
US9386030B2 (en) * 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN103902889A (zh) * 2012-12-26 2014-07-02 腾讯科技(深圳)有限公司 一种恶意消息云检测方法和服务器
US9147073B2 (en) * 2013-02-01 2015-09-29 Kaspersky Lab, Zao System and method for automatic generation of heuristic algorithms for malicious object identification
US9614865B2 (en) * 2013-03-15 2017-04-04 Mcafee, Inc. Server-assisted anti-malware client
KR20140122964A (ko) * 2013-04-11 2014-10-21 주식회사 안랩 클라우드 기반 악성코드 진단 장치, 시스템 및 방법
US20140337974A1 (en) * 2013-04-15 2014-11-13 Anupam Joshi System and method for semantic integration of heterogeneous data sources for context aware intrusion detection
RU2541123C1 (ru) * 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения рейтинга электронных сообщений для борьбы со спамом
KR101461051B1 (ko) * 2013-06-11 2014-11-13 (주) 에스에스알 웹 기능 분석을 통한 악성 코드 탐지방법 및 그 기록매체
KR101480903B1 (ko) * 2013-09-03 2015-01-13 한국전자통신연구원 모바일 악성코드 다중 점검 방법
US9065849B1 (en) * 2013-09-18 2015-06-23 Symantec Corporation Systems and methods for determining trustworthiness of software programs
WO2015060857A1 (en) * 2013-10-24 2015-04-30 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US9386034B2 (en) * 2013-12-17 2016-07-05 Hoplite Industries, Inc. Behavioral model based malware protection system and method
JP6188956B2 (ja) * 2013-12-30 2017-08-30 ノキア テクノロジーズ オーユー マルウェア検出検査方法及び装置
US8832832B1 (en) * 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
WO2015126410A1 (en) * 2014-02-21 2015-08-27 Hewlett-Packard Development Company, L.P. Scoring for threat observables
CN104134019A (zh) * 2014-07-25 2014-11-05 北京奇虎科技有限公司 检测脚本病毒的方法和装置
US9848005B2 (en) * 2014-07-29 2017-12-19 Aruba Networks, Inc. Client reputation driven role-based access control
CN104281809A (zh) * 2014-09-30 2015-01-14 北京奇虎科技有限公司 病毒查杀的方法、装置及系统
CN104318159A (zh) * 2014-10-24 2015-01-28 北京奇虎科技有限公司 服务器杀毒的方法、装置及系统
CN104462968B (zh) * 2014-12-16 2017-11-10 北京奇虎科技有限公司 恶意应用程序的扫描方法、装置和系统
US10083295B2 (en) * 2014-12-23 2018-09-25 Mcafee, Llc System and method to combine multiple reputations
CN104580203A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 网站恶意程序检测方法及装置
KR101574652B1 (ko) * 2015-01-14 2015-12-11 한국인터넷진흥원 모바일 침해사고 분석시스템 및 방법

Also Published As

Publication number Publication date
CN108804925A (zh) 2018-11-13
CN106295333B (zh) 2018-08-17
KR20160140316A (ko) 2016-12-07
CN108804925B (zh) 2022-02-01
CN106295333A (zh) 2017-01-04
US10511617B2 (en) 2019-12-17
JP2016224900A (ja) 2016-12-28
KR101724307B1 (ko) 2017-04-07
US20160352763A1 (en) 2016-12-01

Similar Documents

Publication Publication Date Title
JP6126672B2 (ja) 悪性コード検出方法及びシステム
US10972493B2 (en) Automatically grouping malware based on artifacts
US11258805B2 (en) Computer-security event clustering and violation detection
US11188650B2 (en) Detection of malware using feature hashing
US10176321B2 (en) Leveraging behavior-based rules for malware family classification
US11392689B2 (en) Computer-security violation detection using coordinate vectors
US10121000B1 (en) System and method to detect premium attacks on electronic networks and electronic devices
US10200390B2 (en) Automatically determining whether malware samples are similar
US20210117544A1 (en) Analysis of Malware
US8037536B2 (en) Risk scoring system for the prevention of malware
US8499167B2 (en) System and method for efficient and accurate comparison of software items
JP5990284B2 (ja) キャラクター・ヒストグラムを用いるスパム検出のシステムおよび方法
US10484419B1 (en) Classifying software modules based on fingerprinting code fragments
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
EP3423980A1 (en) Automatically grouping malware based on artifacts
US20230216868A1 (en) Analysis of endpoint detect and response data
US11916937B2 (en) System and method for information gain for malware detection
US20180039778A1 (en) Method and device for scanning virus
CN114697066A (zh) 网络威胁检测方法和装置
CN115495740A (zh) 一种病毒检测方法和装置
CN109145220B (zh) 数据处理方法、装置及电子设备
CN111240696A (zh) 移动恶意程序相似模块提取方法
de Souza et al. Inference of Endianness and Wordsize From Memory Dumps
KR20240016085A (ko) Ai 기반 악성코드 탐지, 분석 및 검증 방법

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161115

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170314

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170407

R150 Certificate of patent or registration of utility model

Ref document number: 6126672

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250