JP6254329B2 - アイドルプロセスの発見および制約 - Google Patents

アイドルプロセスの発見および制約 Download PDF

Info

Publication number
JP6254329B2
JP6254329B2 JP2017504635A JP2017504635A JP6254329B2 JP 6254329 B2 JP6254329 B2 JP 6254329B2 JP 2017504635 A JP2017504635 A JP 2017504635A JP 2017504635 A JP2017504635 A JP 2017504635A JP 6254329 B2 JP6254329 B2 JP 6254329B2
Authority
JP
Japan
Prior art keywords
idle
processor
system call
block
further configured
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017504635A
Other languages
English (en)
Other versions
JP2017516246A (ja
Inventor
ジユン チエン、
ジユン チエン、
ジュン ワン、
ジュン ワン、
ジチュン リ、
ジチュン リ、
ジェンユ ウ、
ジェンユ ウ、
ジュンワン リー、
ジュンワン リー、
シャー ニン、
シャー ニン、
グオフェイ ジアン、
グオフェイ ジアン、
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Laboratories America Inc
Original Assignee
NEC Laboratories America Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Laboratories America Inc filed Critical NEC Laboratories America Inc
Publication of JP2017516246A publication Critical patent/JP2017516246A/ja
Application granted granted Critical
Publication of JP6254329B2 publication Critical patent/JP6254329B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Description

関連出願情報
本出願は、2014年5月15日に出願された仮出願第61/993,762号に対する優先権を主張し、その内容は参照によって本明細書に包含される。
企業システムはますます複雑化しており、セキュリティで保護することが極めて難しくなっている。すべてのセキュリティホールを除去することは(または、それらに関して知ることさえ)、不可能になりつつある。しかし、可能性のある攻撃を防ぐために、そのようなセキュリティホールをできるだけ多く封じることは重要である。
一般に、攻撃対象領域を除去または削減するための2つの極端なアプローチが存在する。第1のアプローチでは、厳格なセキュリティルールを使用して特定の攻撃対象領域を除去する。このアプローチの有利な点は、配置と実施とが容易なことである。ただし、ルールが厳しくなりすぎて、システムのユーザが不便を感じる可能性があるという欠点がある。例えば、一部のルールは、ユーザがソフトウェアをインストールするのを防ぐために、ユーザがそうする必要がある可能性がある正当なケースが存在する場合であっても、ホストを完全にロックすることがある。
第2のアプローチは、プログラムの通常動作を特定する機械学習に適用され、基準からの逸脱を検出する。このアプローチは、一般的であるという利点があり、プログラムを未知の攻撃から保護するために使用できる。このアプローチには、一般的に多くの誤警報が発生し、システムが使用不能になる可能性があるという欠点がある。
プロセス制約のための方法は、プロセスに関するシステムコール情報を収集することを含む。システムコール情報に基づいて、プロセスがアイドル状態にあるかどうかが検出され、その後、プロセスがシステムコールを定期的に発行するかどうかを判定するために、自己相関を使用して、プロセスが反復しているかどうかが検出される。プロセスがアイドル状態にあるか、または反復している場合、プロセスによって提示される攻撃対象領域を制限するために、そのプロセスが制約される。
プロセス制約のためのシステムは、プロセスに関するシステムコール情報をメモリに格納することと、プロセスがアイドル状態かどうかを判定することとのために構成されたシステムコールモニタを含む。プロセッサは、システムコール情報に基づいて、プロセスがアイドル状態にあるかどうかを検出することと、プロセスがシステムコールを定期的に発行するかどうかを判定するために、自己相関を使用して、プロセスが反復しているかどうかを検出することとのために構成される。制約モジュールは、プロセスがアイドル状態にあるか、または反復している場合、プロセスによって提示される攻撃対象領域を制限するために、そのプロセスを制約するように構成される。
本原理に従ってプロセス制約のための方法/システムを示しているブロック図/フロー図である。 本原理に従ってアイドルプロセスを検出するための方法/システムを示しているブロック図/フロー図である。 本原理に従って反復プロセスを検出するための方法/システムを示しているブロック図/フロー図である。 本原理に従ってプロセスを制約するための方法/システムを示しているブロック図/フロー図である。 本原理に従うプロセス制約のためのシステムのブロック図である。
本原理の実施形態は、システムコールイベント(system call events)を使用して、完全にアイドル状態にあるか、または有用な出力を生成せずに特定の入力を繰り返しチェックしている、長時間実行中のプロセスを識別する。それらのプロセスは、制約可能であり、もしかすると、完全に除去できる可能性がある。一般的に言って、長時間実行中のプロセスは、通常はループ内で実行されており、所与の瞬間に、次の3つの状態のうちのいずれかになっている。第1の状態では、プロセスは完全にアイドル状態にあり、入力チャネルに対してブロックされている。第2の状態では、プロセスは入力を繰り返しチェックするが、実際の入力が到着しないか、または出力が生成されないか、または出力が反復される。第3の状態では、有用な入力が受信されており、有用な出力が生成される。本実施形態は、最初の2つの状態を識別し、それらの状態を制約するか、または除去し、それによって攻撃対象領域を削減する。本明細書では、最初の2つの状態は、アイドリングプロセスとして定義される。
本実施形態は、監視のオーバーヘッドを少なくするために、システムコールイベントの最小限の監視を使用する。それらの実施形態は、プロセスが不必要である可能性があり、そのため直接停止できるかどうかに関して示唆することもできる。
ここで図1を参照すると、制約システムアーキテクチャに関する方法/システムのブロック図/フロー図が示されている。ブロック102は、システム上で実行されているプロセスに関するシステムコールを追跡し、その他のデータを実行する。ブロック104は、この情報を使用して、制約可能なプロセスを検出する。一般に、プロセスが長時間にわたって限定された動作のみを示している場合、そのプロセスは、完全な機能が発揮されていないため、制約できる可能性がある。実行時の監視によってプログラムの状態マシンを構築できるが、そのようなモデルでは、コールスタックおよびパラメータを含む、すべてのシステムコールに関する有意な情報を記録することが必要になる。そのようなアプローチのオーバーヘッドは、場合によっては極端に大きく、100%〜250%にもなる。
本実施形態を、通常は監視のオーバーヘッドを少ししか許容できない実稼働環境において実用的かつ配置可能にするために、ブロック104は、監視するシステムコールのサブセットを選択し、リソースを大量に消費する可能性のあるコールスタックの監視を拒否する。制約可能なプロセスを検出することは、ブロック105でアイドルプロセスを検出することと、ブロック106で反復プロセスを検出することとを含む。アイドルプロセスは、特定の外部イベントまたは外部入力に対してブロックされているプロセスであり、反復プロセスは、ループしており、特定の条件が満たされるのを待機している(例えば、ファイルが作成されるのを待機している)プロセスである。制約可能なプロセスが識別されると、ブロック108はそれらのプロセスを制約し、露出された攻撃対象領域を削減する。
ここで図2を参照すると、アイドルプロセスを検出するための方法/システムのブロック図/フロー図が示されている。ブロック202は、システムコールの軽量な選択的監視を実行する。軽量な監視では、システムコールのサブセットのみを監視し、読み取りおよび書き込みなどの特定のシステムコールは、取得されなくてもよい。ブロック204は、プロセスによるCPU使用率を、プロセスがシステムコールを発行したかどうかを特定するための代替アプローチとして考慮する。ただし、CPU使用率の粒度は粗く、プロセスが何らかのシステムコールを活発に発行している場合でも、ゼロの使用率を示す場合がある(ただし、そのような場合、システムコールの数は少ない傾向がある)。安全策として、ブロック202がゼロ個のシステムコールイベントを示し、ブロック204がゼロのCPU使用率を示した場合に、ブロック206はシステムコール全体の監視を実行する。
ここで図3を参照すると、反復プロセスを検出するための方法/システムのブロック図/フロー図が示されている。ブロック302は、システムコール全体の監視304を代替手段として使用して、システムコールの軽量な選択的監視を使用する。システムコールイベントは、システムコールの選択的セットのみに基づいて周期的であると判定されるが、システムコール全体のセットを考慮した場合には明らかに非周期的である可能性があるため、システムコール全体の監視が必要になる場合がある。例えば、さまざまなシステムコールを発行しているループ内の一部のプロセスは、ループの一部のインスタンスにおいて、システムコールnano_sleep()が1回ではなく2回呼び出される場合があることを除き、正確に周期的に見えることがある。そのような省略されたシステムコールはほとんど問題にならないため、周期的であると判定されたプロセスは、実際には厳密に周期的でない場合でも、制約可能であってもよい。
ブロック306における周期性の検出は、相対的に含めることができる。高いレベルで、イベントログ(タイムスタンプを含む)が、自己相関ツールによって使用可能な形式に変換される。自己相関の考え方は、ある信号と、所与の遅延でのその信号との間の類似性の尺度を提供することである。正規化自己相関係数の「1」は完全な類似性を意味し、「−1」は位相が180度異なる完全な類似性を意味する。周期的な信号の場合、その自己相関は、1に等しい一連のピークを持つ。シフトされた信号が元の信号に完全に類似している場合、それらのピークは遅延を示す。元の信号が周期的であるかどうかを判定するために、ピークの高さ、および連続するピークの各ペア間の距離を測定できる。
自己相関の実行における問題は、システムコールデータを自己相関形式に変換する際に時間情報が失われないことを保証することにある。これに対処するために、1つのシステムコールイベントが数値(例えば、オープンの場合は1、クローズの場合は2など)に変換される。相関は、2つの数値が正確に一致する場合にのみ強くなる必要がある。例えば、1と2の比較と、1と100の比較との間には違いがなく、どちらの場合も相関がない。ただし、一定のアイドル時間の間、システムコールが存在しない場合、この情報は失われる。この問題は、アイドル時間の期間を、特別な信号に変換することによって解決できる。例えば、−1がミリ秒などの何らかのアイドル時間単位を表し、−2がその量の2倍を表す。
ただし、収集されたタイムスタンプには、ある程度の自然なノイズが含まれている場合がある。例えば、2つのシステムコールが連続して発生した場合、それらのタイムスタンプは、ミリ秒の精度で測定されると、正確に同じになる可能性がある。また別のときに、それらのタイムスタンプは、オペレーティングシステムのスケジューリング方式(scheduling dynamics)によると、1ミリ秒異なる場合がある。そのため、このアプローチに従って変換されたデータは、非常にノイズが多い可能性がある。
解決策として、すべての時間間隔がイベントのベクトルを含むように、イベントを同じサイズの時間間隔に挿入してもよい。これによって、完全に周期的なシステムコールのシーケンスにおいて、ある間隔内のイベント数が別の間隔内よりもわずかに多いという境界問題が発生する。これは、一部のシステムコールのタイムスタンプが、間隔の境界に極めて近い場合があり、偶然にそれらのタイムスタンプが2つの連続する間隔のどちらかに含まれる可能性があるからである。したがって、このアプローチも、ノイズを発生させる可能性がある。
しかし、各システムコールからタイムスタンプを取り去ることにより、システムコール間で残される情報は、順序のみになる。時間的要因は、フィルタリング後のステップとして時間チェックを行うことによって補償される。すべてのピークが(シフトされたシーケンスが元のシーケンスと一致する場合に関して)、元のシーケンスをI個のデータポイントだけシフトすることによって、真のピークであるかどうかについて検証される。対応する各システムコールのペアのタイムスタンプ間の平均差が比較される。このペアの1つは元のシーケンスから取得され、もう1つはシフトされたシーケンスから取得される。ピークが真のピークである場合、平均差はゼロに近くなるはずである。そうでない場合、平均差は非常に大きくなる。ブロック306は、平均差としきい値とを比較して、ピークが真のピークであるかどうかを判定する。
ブロック306は、長期間(例えば、1または2カ月)にわたって収集されたシステムコールイベントログに対して自己相関を適用することによって、周期性を検出する。自己相関の出力は、システムコールイベントが実際に周期的であるかどうかを正確に判定するため、および周期的である場合はそれらの周期を決定するために使用される。
ここで図4を参照すると、プロセスを制約するための方法/システムのブロック図/フロー図が示されている。ブロック402では、プロセスの基準動作/通常動作は、ブロック306によって決定された周期性に基づく期間Tにわたって学習される。この学習は、例えば1つまたは複数のプログラム状態マシン、システムコールの順序、およびコールスタックを伴うシステムコールを含む任意の適切なプロセスによって実行できる。ブロック404は、トレーニングの完了後にプロセスを制約する。ブロック404は、プログラムの通常動作からの逸脱を引き起こすシステムコールを簡単に識別することができる。その後、ブロック406は、そのような逸脱が発生した場合に、警報を生成する。この警報は、トレーニング中に現れなかった機能を発揮するために、何らかの形でプロセスが起動されたことを示すか、またはプロセスが攻撃を受けた結果として、予期しない処理を実行していることを示してもよい。
ブロック404は、トレースユーティリティを使用してプロセスの動作を制約してもよい。これによって、ブロック404は、対象となるプロセスを観察し、そのプロセスの実行状態を調べるためにプロセスの実行をいつでも停止すること、およびプロセスの実行を再開することができる。プロセスの動作が期待される動作から逸脱している場合、そのプロセスの実行が停止され、ユーザまたは管理者の裁量で対策が講じられる。そのような対策は、実行を再開すること、さらに調査を要求すること、またはプロセスを終了することを含んでもよい。
本明細書に記載された実施形態は、すべてハードウェアであっても、すべてソフトウェアであっても、またはハードウェアとソフトウェアの両方の要素を含んでもよいことを理解されたい。望ましい実施形態において、本発明は、ハードウェア、およびファームウェア、常駐ソフトウェア、マイクロコードなどを含むがこれらに限定されないソフトウェアにおいて実装される。
実施形態は、コンピュータまたは任意の命令実行システムによって、またはこれらに接続して使用するためのプログラムコードを提供するコンピュータ使用可能媒体またはコンピュータ可読媒体からアクセスできるコンピュータプログラム製品を含んでもよい。コンピュータ使用可能媒体またはコンピュータ可読媒体は、命令実行システム、命令実行装置、または命令実行デバイスによって、またはこれらに接続して使用するためのプログラムを格納、伝達、伝搬、または転送する任意の装置を含んでもよい。この媒体は、磁気システム、光システム、電子システム、電磁気システム、赤外線システム、または半導体システム(または装置またはデバイス)、あるいは伝搬媒体とすることができる。この媒体は、半導体メモリまたは固体メモリ、磁気テープ、取り外し式コンピュータディスケット、ランダムアクセスメモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read−only memory)、剛体磁気ディスク、および光ディスクなどのコンピュータ可読記憶媒体を含んでもよい。
プログラムコードの格納かつ/または実行を行うのに適したデータ処理システムは、システムバスを介して直接的または間接的にメモリ素子に結合された少なくとも1つのプロセッサを含んでもよい。これらのメモリ素子は、プログラムコードの実際の実行時に使用されるローカルメモリ、バルクストレージ、および、実行時にバルクストレージからコードが取得される回数を減らすために少なくとも一部のプログラムコードの一時記憶を提供するキャッシュメモリを含むことができる。入力/出力デバイスまたはI/Oデバイス(キーボード、ディスプレイ、ポインティングデバイスなどを含むが、これらに限定されない)は、直接的に、または介在するI/Oコントローラを通じて、システムに結合されてもよい。
ネットワークアダプタもシステムに結合され、介在するプライベートネットワークまたはパブリックネットワークを通じて、データ処理システムを、他のデータ処理システムまたはリモートプリンタまたはストレージデバイスに結合できるようにしてもよい。モデム、ケーブルモデム、およびイーサネットカードは、現在使用可能な種類のネットワークアダプタのうちの、ごく少数の種類にすぎない。
ここで図5を参照すると、制約システムアーキテクチャに関するシステム500のブロック図が示されている。システム500は、プロセッサ502およびメモリ504を含む。本実施形態を、例えば特定用途向け集積チップまたは機能部品用のフィールドプログラマブルゲートアレイを使用してハードウェアのみとして実装してもよく、または汎用ハードウェアプロセッサ上で実行されるソフトウェアとして実装してもよいということを強調する必要がある。図に示された機能部品は、個別に実装してもよく、あるいは共有された構造に結合されてもよい。システムコールモニタ506は、対象となるプロセスによって発行されたシステムコールを確認し、システムコール情報をメモリ504に格納する。モニタ506は、システムコールのすべてまたはサブセットのみを追跡してもよい。この情報は、プロセスがアイドル状態にあるかどうかを判定するために使用されてもよい。
周期性モジュール508は、プロセッサ502を使用して、記録されたシステムコールを分析し、非アイドルプロセスがその動作を周期的に繰り返しているかどうかを判定する。学習モジュール510は、アイドルプロセスおよび反復プロセスの通常動作に関する情報を特定する。その後、制約モジュール512は、学習モジュール510によって特定された情報を使用して、例えばプロセスの通常動作から逸脱しているシステムコールをブロックし、アラートを生成することによってプロセスを制約する。
以上の記述は、すべての点において、制限ではなく説明および例示であると理解されるべきであり、本明細書で開示された本発明の範囲は、発明を実施するための形態から決定されるのではなく、特許法によって許可された全範囲に従って解釈された特許請求の範囲から決定されるべきである。追加情報が、本出願の付録Aで提供されている。本明細書に示され、記載された実施形態は、単に本発明の原理の説明であり、当業者が本発明の範囲と精神を逸脱することなくさまざまな変更を行うことができることを理解されたい。当業者は、本発明の範囲と精神を逸脱することなく、さまざまなその他の機能の組み合わせを実装できる。

Claims (7)

  1. プロセスに関するシステムコール情報をメモリに格納することと、前記プロセスがアイドル状態にあるかどうかを判定することとのために構成されたシステムコールモニタと、
    前記システムコール情報に基づいて、前記プロセスがアイドル状態にあるかどうかを検出することと、前記プロセスがシステムコールを定期的に発行するかどうかを判定するために、自己相関を使用して、前記プロセスが反復しているかどうかを検出することとのために構成されたプロセッサと、
    前記プロセスがアイドル状態にあるか、または反復している場合に、前記プロセスによって提示される攻撃対象領域を制限するために、前記プロセスを制約するように構成された制約モジュールと
    を備えるプロセス制約のためのシステム。
  2. 前記システムコールモニタが、コールスタックを含んでいないシステムコール情報の限定されたサブセットを収集するように構成された、請求項に記載のシステム。
  3. 前記プロセッサが、前記プロセスがアイドル状態にあるかどうかを検出するために、プロセッサの活動を監視するようにさらに構成された、請求項に記載のシステム。
  4. 前記プロセッサが、前記プロセスが反復しているかどうかを検出するために、前記システムコール情報からタイムスタンプ情報を削除するようにさらに構成された、請求項に記載のシステム。
  5. 前記プロセッサが、前記プロセスが反復しているかどうかを検出するために、相関するシーケンスに一致するように元のシーケンスをシフトし、対応するペアのタイムスタンプ間の平均差を比較することによって時間チェックを実行するようにさらに構成された、請求項に記載のシステム。
  6. 前記プロセッサが、前記プロセスが反復しているかどうかを検出するために、前記平均差としきい値を比較して、前記相関するシーケンスが真であるかどうかを判定するようにさらに構成された、請求項に記載のシステム。
  7. 前記制約モジュールが、前記プロセスの通常動作を学習し、前記通常動作から逸脱するシステムコールを識別するようにさらに構成された、請求項に記載のシステム。
JP2017504635A 2014-05-15 2015-05-15 アイドルプロセスの発見および制約 Active JP6254329B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201461993762P 2014-05-15 2014-05-15
US61/993,762 2014-05-15
US14/712,421 US9602528B2 (en) 2014-05-15 2015-05-14 Discovering and constraining idle processes
US14/712,421 2015-05-14
PCT/US2015/030950 WO2015175865A1 (en) 2014-05-15 2015-05-15 Discovering and constraining idle processes

Publications (2)

Publication Number Publication Date
JP2017516246A JP2017516246A (ja) 2017-06-15
JP6254329B2 true JP6254329B2 (ja) 2017-12-27

Family

ID=54480731

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017504635A Active JP6254329B2 (ja) 2014-05-15 2015-05-15 アイドルプロセスの発見および制約

Country Status (4)

Country Link
US (1) US9602528B2 (ja)
EP (1) EP3143546B1 (ja)
JP (1) JP6254329B2 (ja)
WO (1) WO2015175865A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6919475B2 (ja) * 2017-09-29 2021-08-18 富士通株式会社 検知プログラム、装置、及び方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5416726A (en) * 1992-10-06 1995-05-16 Microsoft Corporation Method and system for placing a computer in a reduced power state
JP3110185B2 (ja) * 1993-01-18 2000-11-20 株式会社東芝 計算機システム
US6775780B1 (en) * 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
US7725545B2 (en) * 2004-02-20 2010-05-25 Sybase 365, Inc. Dual use counters for routing loops and spam detection
JP4732874B2 (ja) * 2005-11-28 2011-07-27 株式会社エヌ・ティ・ティ・ドコモ ソフトウェア動作モデル化装置、ソフトウェア動作監視装置、ソフトウェア動作モデル化方法及びソフトウェア動作監視方法
US7712137B2 (en) * 2006-02-27 2010-05-04 Microsoft Corporation Configuring and organizing server security information
US8719190B2 (en) * 2007-07-13 2014-05-06 International Business Machines Corporation Detecting anomalous process behavior
JP2009238153A (ja) * 2008-03-28 2009-10-15 Nec Corp マルウェア対処システム、方法及びプログラム
GB0816556D0 (en) * 2008-09-10 2008-10-15 Univ Napier Improvements in or relating to digital forensics
IL197477A0 (en) * 2009-03-08 2009-12-24 Univ Ben Gurion System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences
JP2010267128A (ja) * 2009-05-15 2010-11-25 Ntt Docomo Inc 解析システム、解析装置、検知方法、解析方法及びプログラム
GB2490431B (en) * 2012-05-15 2014-03-26 F Secure Corp Foiling a document exploit attack

Also Published As

Publication number Publication date
US20150334128A1 (en) 2015-11-19
EP3143546A1 (en) 2017-03-22
JP2017516246A (ja) 2017-06-15
EP3143546B1 (en) 2021-07-07
US9602528B2 (en) 2017-03-21
WO2015175865A1 (en) 2015-11-19
EP3143546A4 (en) 2017-11-15

Similar Documents

Publication Publication Date Title
US11709939B2 (en) Anomaly detection in real-time multi-threaded processes on embedded systems and devices using hardware performance counters and/or stack traces
EP3205072B1 (en) Differential dependency tracking for attack forensics
CN105787248B (zh) 基于时间序列数据的分析的异常感测和预测系统及方法
CN106104496B (zh) 用于任意时序的不受监督的异常检测
US10558545B2 (en) Multiple modeling paradigm for predictive analytics
US7181651B2 (en) Detecting and correcting a failure sequence in a computer system before a failure occurs
US20170155674A1 (en) Automatic baselining of anomalous event activity in time series data
WO2016095626A1 (zh) 监控进程的方法和装置
JP6557774B2 (ja) プロセストレースを用いたグラフベースの侵入検知
US10547634B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
US20130246001A1 (en) Device monitoring system and method
US20190164067A1 (en) Method and device for monitoring a process of generating metric data for predicting anomalies
US6950773B1 (en) Detecting thermal anomalies in computer systems based on correlations between instrumentation signals
Du et al. ATOM: efficient tracking, monitoring, and orchestration of cloud resources
CA2920109A1 (en) Rootkit detection in a computer network
Pundir et al. RanStop: A hardware-assisted runtime crypto-ransomware detection technique
US11487875B1 (en) Anomaly detection based on side-channel emanations
JP6254329B2 (ja) アイドルプロセスの発見および制約
Liu et al. Methodology of assessing information leakage through software-accessible telemetries
He et al. CloudShield: Real-time Anomaly Detection in the Cloud
CN112035839A (zh) 一种竞态条件漏洞利用的检测方法及装置
Zhao et al. Applying chaos theory for runtime hardware Trojan detection
Taerat et al. Blue gene/l log analysis and time to interrupt estimation
KR101988747B1 (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치
O'Shea et al. A Wavelet-inspired Anomaly Detection Framework for Cloud Platforms.

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170920

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171010

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171031

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171129

R150 Certificate of patent or registration of utility model

Ref document number: 6254329

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350