JP6317434B2 - 評判インジケータを使用してマルウェアスキャニングを容易にするためのシステムおよび方法 - Google Patents
評判インジケータを使用してマルウェアスキャニングを容易にするためのシステムおよび方法 Download PDFInfo
- Publication number
- JP6317434B2 JP6317434B2 JP2016517435A JP2016517435A JP6317434B2 JP 6317434 B2 JP6317434 B2 JP 6317434B2 JP 2016517435 A JP2016517435 A JP 2016517435A JP 2016517435 A JP2016517435 A JP 2016517435A JP 6317434 B2 JP6317434 B2 JP 6317434B2
- Authority
- JP
- Japan
- Prior art keywords
- module
- client system
- target process
- reputation
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 333
- 230000008569 process Effects 0.000 claims description 305
- 238000012544 monitoring process Methods 0.000 claims description 36
- 230000009471 action Effects 0.000 claims description 35
- 230000004044 response Effects 0.000 claims description 33
- 230000006399 behavior Effects 0.000 claims description 21
- 230000000694 effects Effects 0.000 claims description 14
- 230000006870 function Effects 0.000 description 32
- 238000011156 evaluation Methods 0.000 description 11
- 230000007935 neutral effect Effects 0.000 description 10
- 238000001514 detection method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000004913 activation Effects 0.000 description 6
- 238000002347 injection Methods 0.000 description 6
- 239000007924 injection Substances 0.000 description 6
- 238000005457 optimization Methods 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000002955 isolation Methods 0.000 description 5
- 230000003213 activating effect Effects 0.000 description 4
- 230000003542 behavioural effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
- User Interface Of Digital Computer (AREA)
Description
[0035]図1は、本発明の一部の実施形態による、例示的なアンチマルウェアシステム5を示す。システム5は、通信ネットワーク20によって接続される、クライアントシステム10a〜cの集合、および、中央評判サーバ14を備える。中央評判サーバは、中央評判データベース16に、および、評判更新システム18にさらに接続され得る。一部の実施形態ではシステム5は、ネットワーク20に接続される、隔離環境12a〜b(実例として、企業イントラネット)の集合をさらに備え得る。ネットワーク20は、インターネットなどのワイドエリアネットワークであり得るものであり、一方でネットワーク20の部分は、さらにはローカルエリアネットワーク(LAN)を含み得る。
a1:アンチウィルス技術T1をアクティブにする
a2:ディスクファイルを読み出すための試行を監視しない
a3:ディスクファイルに書き込むための試行を監視しない
a4:実行可能ファイルのみをスキャンする
b1:ヒューリスティック集合H1を不能にする
b2:ヒューリスティック集合H2を不能にする
b3:挙動のスキャン技術T2をアクティブにする
一部の実施形態では判断ユニット72は、集合{a2,a4}、{a4}、{a2,a4}、および、{a2,a3,a4}の共通集合をとって{a4}を生出し、集合{a1}および{N/A}の和集合をとって{a1}を生出し得る。判断ユニット72はさらに、2つの結果として生じる集合{a1}および{a4}の和集合をとって、{a1,a4}を、セキュリティ機能F1に対応する、プロセスBのプロセススキャンパラメータ値83aの集合として生出し得る。
Claims (29)
- メモリと、
該メモリに接続され、アンチマルウェアエンジンを実行するように構成された少なくとも1つのハードウェアプロセッサと
を含むクライアントシステムであって、前記アンチマルウェアエンジンは、対象プロセスの悪意あるアクティビティを監視するように構成され、前記対象プロセスは、前記クライアントシステム上で実行され、前記対象プロセスは、メイン実行可能モジュールのインスタンスと、共有ライブラリのインスタンスとを含み、前記少なくとも1つのハードウェアプロセッサは、
サーバから、前記メイン実行可能モジュールの第1のモジュール評判インジケータ、および、前記共有ライブラリの第2のモジュール評判インジケータを受信することであって、前記第1のモジュール評判インジケータは、前記メイン実行可能モジュールの別のインスタンスの挙動に従って求められ、前記サーバは、アンチマルウェアトランザクションを、前記クライアントシステムを含む複数のクライアントシステムと共に実行するように構成され、前記第1のモジュール評判インジケータは、監視規則の第1の集合のインジケータを含み、前記第2のモジュール評判インジケータは、監視規則の第2の集合のインジケータを含む、受信することと、
前記の第1および第2のモジュール評判インジケータを受信することに応じて、前記対象プロセスが悪意あるものでありそうかを、前記の第1および第2のモジュール評判インジケータに従って判定することと、
前記対象プロセスが悪意あるものでありそうかを判定することに応じて、前記対象プロセスが悪意あるものでありそうでないときに、
監視規則の前記の第1および第2の集合を、監視規則の組み合わされた集合へと組み合わせ、
前記アンチマルウェアエンジンを、監視規則の前記組み合わされた集合に従って前記対象プロセスを監視するように構成する
ことと
を行うようにさらに構成された、クライアントシステム。 - 請求項1に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、監視規則の前記組み合わされた集合を、監視規則の前記の第1および第2の集合の和集合に従って求めるように構成された、クライアントシステム。
- 請求項1に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、監視規則の前記組み合わされた集合を、監視規則の前記の第1および第2の集合の共通集合に従って求めるように構成された、クライアントシステム。
- 請求項1に記載のクライアントシステムであって、監視規則の前記第1の集合のうちの選択された規則は、前記対象プロセスが悪意あるものであるかを判定するために用いられる、選択されたヒューリスティックを含む、クライアントシステム。
- 請求項1に記載のクライアントシステムであって、監視規則の前記第1の集合のうちの選択された規則は、前記アンチマルウェアエンジンに、前記対象プロセスが選択されたアクションを実行するかを判定するように命令する、クライアントシステム。
- 請求項1に記載のクライアントシステムであって、前記メイン実行可能モジュールの前記別のインスタンスは、前記複数のクライアントシステムのうちの第2のクライアントシステム上で実行される、クライアントシステム。
- 請求項1に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記アンチマルウェアエンジンを構成することに応じて、
前記対象プロセスが実行するアクションを検出することであって、前記アクションは、別の実行可能モジュールを前記対象プロセス内にロードすることを含み、前記別の実行可能モジュールは、前記メイン実行可能モジュールおよび前記共有ライブラリとは別個である、検出することと、
前記アクションを検出することに応じて、前記対象プロセスを再度調べて、前記対象プロセスが悪意あるものでありそうかを、前記別の実行可能モジュールの第3のモジュール評判インジケータであって、前記サーバから受信した前記第3のモジュール評判インジケータに従って判定することと、
前記アンチマルウェアエンジンを、前記第3のモジュール評判インジケータが示す監視規則の第3の集合に従って再構成することと
を行うようにさらに構成された、クライアントシステム。 - 請求項1に記載のクライアントシステムであって、前記対象プロセスが悪意あるものでありそうかを判定することは、
前記対象プロセスによりロードされるすべての実行可能モジュールを識別することと、
前記すべての実行可能モジュールの各モジュールが悪意あるものでありそうかを、前記各モジュールのインスタンスに対して求められるモジュール評判インジケータに従って判定することと、
前記すべての実行可能モジュールの各モジュールが悪意あるものでありそうでないときに、前記対象プロセスは悪意あるものでありそうにないと判定することと
を含む、クライアントシステム。 - 請求項8に記載のクライアントシステムであって、前記対象プロセスが悪意あるものでありそうかを判定することは、各モジュールが悪意あるものでありそうかを判定することに応じて、前記すべての実行可能モジュールのうちの少なくとも1つのモジュールが悪意あるものでありそうなときに、前記対象プロセスは悪意あるものでありそうと判定することをさらに含む、クライアントシステム。
- 請求項1に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記アンチマルウェアエンジンを構成することに応じて、
前記対象プロセスがマルウェアを示すアクションを実行するかを判定することと、
前記対象プロセスが前記マルウェアを示すアクションを実行するときに、
前記マルウェアを示すアクションを実行する、前記対象プロセスの疑わしいモジュールを識別することと、
前記疑わしいモジュールのモジュール評判インジケータを、前記疑わしいモジュールは悪意のあるものでありそうと示すように更新することと、
前記疑わしいモジュールの前記モジュール評判インジケータを更新することに応じて、前記アンチマルウェアエンジンを、厳格なセキュリティプロトコルに従って前記対象プロセスを監視するように再構成することであって、前記厳格なセキュリティプロトコルは、監視規則の前記組み合わされた集合より計算量が大きい、再構成することと
を行うように構成された、クライアントシステム。 - 請求項10に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記疑わしいモジュールの前記モジュール評判インジケータを更新することに応じて、前記疑わしいモジュールの更新された前記モジュール評判インジケータを前記サーバに送信するようにさらに構成された、クライアントシステム。
- 請求項10に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記疑わしいモジュールの前記モジュール評判インジケータを更新することに応じて、
前記クライアントシステム上で実行される、前記疑わしいモジュールのインスタンスを含む第2のプロセスを識別することと、
前記第2のプロセスを識別することに応じて、前記アンチマルウェアエンジンを、前記厳格なセキュリティプロトコルに従って前記第2のプロセスを監視するように構成することと
を行うようにさらに構成された、クライアントシステム。 - 請求項1に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記アンチマルウェアエンジンを構成することに応じて、
前記対象プロセスがマルウェアを示すアクションを実行するかを判定することと、
前記対象プロセスが前記マルウェアを示すアクションを実行するときに、前記アンチマルウェアエンジンを、厳格なセキュリティプロトコルを用いて、前記クライアントシステム上で実行される第2のプロセスを、該第2のプロセスが悪意あるものでありそうかどうかに関わらず監視するように構成することと
を行うようにさらに構成された、クライアントシステム。 - メモリと、
該メモリに接続された少なくとも1つのハードウェアプロセッサと
を含むサーバであって、前記少なくとも1つのハードウェアプロセッサは、
メイン実行可能モジュールの第1のモジュール評判インジケータ、および、共有ライブラリの第2のモジュール評判インジケータを求めることであって、前記第1のモジュール評判インジケータは、前記メイン実行可能モジュールのインスタンスの挙動に従って求められ、前記第1のモジュール評判インジケータは、監視規則の第1の集合のインジケータを含み、前記第2のモジュール評判インジケータは、監視規則の第2の集合のインジケータを含む、求めることと、
前記の第1および第2のモジュール評判インジケータを求めることに応じて、前記の第1および第2のモジュール評判インジケータを、アンチマルウェアトランザクションを前記サーバと共に実行するように構成された複数のクライアントシステムのうちのクライアントシステムに送信すること
を行うように構成され、前記クライアントシステムは、対象プロセスの悪意あるアクティビティを監視するように構成されたアンチマルウェアエンジンを実行するように構成され、前記対象プロセスは、前記メイン実行可能モジュールの別のインスタンスと、前記共有ライブラリのインスタンスとを含み、前記クライアントシステムは、
前記対象プロセスが悪意あるものでありそうかを、前記の第1および第2のモジュール評判インジケータに従って判定することと、
前記対象プロセスが悪意あるものでありそうかを判定することに応じて、前記対象プロセスが悪意あるものでありそうでないときに、
監視規則の前記の第1および第2の集合を、監視規則の組み合わされた集合へと組み合わせ、
前記アンチマルウェアエンジンを、監視規則の前記組み合わされた集合に従って前記対象プロセスを監視するように構成する
ことと
を行うようにさらに構成された、サーバ。 - 請求項14に記載のサーバであって、前記クライアントシステムは、監視規則の前記組み合わされた集合を、監視規則の前記の第1および第2の集合の和集合に従って求めるように構成された、サーバ。
- 請求項14に記載のサーバあって、前記クライアントシステムは、監視規則の前記組み合わされた集合を、監視規則の前記の第1および第2の集合の共通集合に従って求めるように構成された、サーバ。
- 請求項14に記載のサーバであって、監視規則の前記第1の集合のうちの選択された規則は、前記対象プロセスが悪意あるものであるかを判定するために用いられる、選択されたヒューリスティックを含む、サーバ。
- 請求項14に記載のサーバであって、監視規則の前記第1の集合のうちの選択された規則は、前記クライアントシステムに、前記対象プロセスが選択されたアクションを実行するかを判定するように命令する、サーバ。
- 請求項14に記載のサーバであって、前記メイン実行可能モジュールの前記インスタンスは、前記複数のクライアントシステムのうちの第2のクライアントシステム上で実行される、サーバ。
- 請求項14に記載のサーバであって、前記クライアントシステムは、前記アンチマルウェアエンジンを構成することに応じて、
前記対象プロセスのアクションを検出することであって、前記アクションは、別の実行可能モジュールを前記対象プロセス内にロードすることを含み、前記別の実行可能モジュールは、前記メイン実行可能モジュールおよび前記共有ライブラリとは別個である、検出することと、
前記アクションを検出することに応じて、前記対象プロセスを再度調べて、前記対象プロセスが悪意あるものでありそうかを、前記別の実行可能モジュールの第3のモジュール評判インジケータであって、前記サーバから受信した前記第3のモジュール評判インジケータに従って判定することと、
前記アンチマルウェアエンジンを、前記第3のモジュール評判インジケータが示す監視規則の第3の集合に従って再構成することと
を行うようにさらに構成された、サーバ。 - 請求項14に記載のサーバであって、前記対象プロセスが悪意あるものでありそうかを判定することは、
前記対象プロセスによりロードされるすべての実行可能モジュールを識別することと、
前記すべての実行可能モジュールの各モジュールが悪意あるものでありそうかを、前記各モジュールのインスタンスに対して求められるモジュール評判インジケータに従って判定することと、
前記すべての実行可能モジュールの各モジュールが悪意あるものでありそうでないときに、前記対象プロセスは悪意あるものでありそうにないと判定することと
を含む、サーバ。 - 請求項21に記載のサーバであって、前記対象プロセスが悪意あるものでありそうかを判定することは、各モジュールが悪意あるものでありそうかを判定することに応じて、前記すべての実行可能モジュールのうちの少なくとも1つのモジュールが悪意あるものでありそうなときに、前記対象プロセスは悪意あるものでありそうと判定することをさらに含む、サーバ。
- 請求項14に記載のサーバであって、前記クライアントシステムは、前記アンチマルウェアエンジンを構成することに応じて、
前記対象プロセスがマルウェアを示すアクションを実行するかを判定することと、
前記対象プロセスが前記マルウェアを示すアクションを実行するときに、
前記マルウェアを示すアクションを実行する、前記対象プロセスの疑わしいモジュールを識別することと、
前記疑わしいモジュールのモジュール評判インジケータを、前記疑わしいモジュールは悪意のあるものでありそうと示すように更新することと、
前記疑わしいモジュールの前記モジュール評判インジケータを更新することに応じて、前記アンチマルウェアエンジンを、厳格なセキュリティプロトコルに従って前記対象プロセスを監視するように再構成することであって、前記厳格なセキュリティプロトコルは、監視規則の前記組み合わされた集合より計算量が大きい、再構成することと
を行うようにさらに構成された、サーバ。 - 請求項23に記載のサーバであって、前記疑わしいモジュールの更新された前記モジュール評判インジケータを前記クライアントシステムから受信するようにさらに構成されたサーバ。
- 請求項23に記載のサーバであって、前記クライアントシステムは、前記疑わしいモジュールの前記モジュール評判インジケータを更新することに応じて、
前記クライアントシステム上で実行される、前記疑わしいモジュールのインスタンスを含む第2のプロセスを識別することと、
前記第2のプロセスを識別することに応じて、前記アンチマルウェアエンジンを、前記厳格なセキュリティプロトコルに従って前記第2のプロセスを監視するように構成することと
を行うようにさらに構成された、サーバ。 - 請求項14に記載のサーバであって、前記クライアントシステムは、前記アンチマルウェアエンジンを構成することに応じて、
前記対象プロセスがマルウェアを示すアクションを実行するかを判定することと、
前記対象プロセスが前記マルウェアを示すアクションを実行するときに、前記アンチマルウェアエンジンを、厳格なセキュリティプロトコルを用いて、前記クライアントシステム上で実行される第2のプロセスを、該第2のプロセスが悪意あるものでありそうかどうかに関わらず監視するように構成することと
を行うようにさらに構成された、サーバ。 - 命令を記憶するコンピュータ可読記憶媒体であって、前記命令は、クライアントシステムの少なくとも1つのプロセッサにより実行されると、メイン実行可能モジュールのインスタンスと、共有ライブラリのインスタンスとを含む対象プロセスを実行する前記クライアントシステムを、
サーバから、前記メイン実行可能モジュールの第1のモジュール評判インジケータ、および、前記共有ライブラリの第2のモジュール評判インジケータを受信することであって、前記第1のモジュール評判インジケータは、前記メイン実行可能モジュールの別のインスタンスの挙動に従って求められ、前記サーバは、アンチマルウェアトランザクションを、前記クライアントシステムを含む複数のクライアントシステムと共に実行するように構成され、前記第1のモジュール評判インジケータは、監視規則の第1の集合のインジケータを含み、前記第2のモジュール評判インジケータは、監視規則の第2の集合のインジケータを含む、受信することと、
前記の第1および第2のモジュール評判インジケータを受信することに応じて、前記対象プロセスが悪意あるものでありそうかを、前記の第1および第2のモジュール評判インジケータに従って判定することと、
前記対象プロセスが悪意あるものでありそうかを判定することに応じて、前記対象プロセスが悪意あるものでありそうでないときに、
監視規則の前記の第1および第2の集合を、監視規則の組み合わされた集合へと組み合わせ、
前記クライアントシステム上で実行されるアンチマルウェアエンジンを、監視規則の前記組み合わされた集合に従って前記対象プロセスを監視するように構成する
ことと
を行うように構成する、コンピュータ可読記憶媒体。 - 請求項1に記載のクライアントシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記対象プロセスが悪意あるものでありそうかを判定することに応じて、前記対象プロセスが悪意あるものでありそうなときに、前記アンチマルウェアエンジンを、前記対象プロセスを厳格なセキュリティプロトコルに従って監視するように構成することであって、前記厳格なセキュリティプロトコルは、監視規則の前記組み合わされた集合より計算量が大きい、構成することを行うようにさらに構成された、クライアントシステム。
- 請求項14に記載のサーバであって、前記クライアントシステムは、前記対象プロセスが悪意あるものでありそうかを判定することに応じて、前記対象プロセスが悪意あるものでありそうなときに、前記アンチマルウェアエンジンを、前記対象プロセスを厳格なセキュリティプロトコルに従って監視するように構成することであって、前記厳格なセキュリティプロトコルは、監視規則の前記組み合わされた集合より計算量が大きい、構成することを行うようにさらに構成された、サーバ。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/040,430 US9117077B2 (en) | 2013-09-27 | 2013-09-27 | Systems and methods for using a reputation indicator to facilitate malware scanning |
US14/040,430 | 2013-09-27 | ||
PCT/RO2014/000028 WO2015171007A1 (en) | 2013-09-27 | 2014-09-25 | Systems and methods for using a reputation indicator to facilitate malware scanning |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2016538614A JP2016538614A (ja) | 2016-12-08 |
JP2016538614A5 JP2016538614A5 (ja) | 2017-06-15 |
JP6317434B2 true JP6317434B2 (ja) | 2018-04-25 |
Family
ID=52741557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016517435A Active JP6317434B2 (ja) | 2013-09-27 | 2014-09-25 | 評判インジケータを使用してマルウェアスキャニングを容易にするためのシステムおよび方法 |
Country Status (13)
Country | Link |
---|---|
US (1) | US9117077B2 (ja) |
EP (1) | EP3049984B1 (ja) |
JP (1) | JP6317434B2 (ja) |
KR (1) | KR101928908B1 (ja) |
CN (1) | CN105580022B (ja) |
AU (1) | AU2014393471B2 (ja) |
CA (1) | CA2915806C (ja) |
ES (1) | ES2869400T3 (ja) |
HK (1) | HK1219790A1 (ja) |
IL (1) | IL243431B (ja) |
RU (1) | RU2646352C2 (ja) |
SG (1) | SG11201600064PA (ja) |
WO (1) | WO2015171007A1 (ja) |
Families Citing this family (37)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8935792B1 (en) * | 2010-10-05 | 2015-01-13 | Mcafee, Inc. | System, method, and computer program product for conditionally performing an action based on an attribute |
US10515214B1 (en) * | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9262635B2 (en) * | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US10735550B2 (en) * | 2014-04-30 | 2020-08-04 | Webroot Inc. | Smart caching based on reputation information |
US9386031B2 (en) * | 2014-09-12 | 2016-07-05 | AO Kaspersky Lab | System and method for detection of targeted attacks |
FR3027130B1 (fr) * | 2014-10-14 | 2016-12-30 | Airbus Operations Sas | Integration automatique de donnees relatives a une operation de maintenance |
US10083295B2 (en) * | 2014-12-23 | 2018-09-25 | Mcafee, Llc | System and method to combine multiple reputations |
US10834109B2 (en) * | 2014-12-23 | 2020-11-10 | Mcafee, Llc | Determining a reputation for a process |
US9948649B1 (en) * | 2014-12-30 | 2018-04-17 | Juniper Networks, Inc. | Internet address filtering based on a local database |
DE102015215362A1 (de) * | 2015-08-12 | 2017-02-16 | Robert Bosch Gmbh | Verfahren zum Einstellen mindestens eines Parameters einer Handwerkzeugmaschine |
GB2546984B (en) * | 2016-02-02 | 2020-09-23 | F Secure Corp | Preventing clean files being used by malware |
US10713360B2 (en) * | 2016-02-19 | 2020-07-14 | Secureworks Corp. | System and method for detecting and monitoring network communication |
TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
US10282546B1 (en) * | 2016-06-21 | 2019-05-07 | Symatec Corporation | Systems and methods for detecting malware based on event dependencies |
US10073968B1 (en) * | 2016-06-24 | 2018-09-11 | Symantec Corporation | Systems and methods for classifying files |
KR20180024524A (ko) * | 2016-08-30 | 2018-03-08 | 주식회사 윈스 | 네트워크 트래픽 분석에 의한 평판 기반 차단 장치 및 방법 |
US11074494B2 (en) * | 2016-09-09 | 2021-07-27 | Cylance Inc. | Machine learning model for analysis of instruction sequences |
US10922604B2 (en) * | 2016-09-09 | 2021-02-16 | Cylance Inc. | Training a machine learning model for analysis of instruction sequences |
US10476900B2 (en) | 2016-09-30 | 2019-11-12 | McAFEE, LLC. | Safe sharing of sensitive data |
US10237293B2 (en) * | 2016-10-27 | 2019-03-19 | Bitdefender IPR Management Ltd. | Dynamic reputation indicator for optimizing computer security operations |
US10223536B2 (en) * | 2016-12-29 | 2019-03-05 | Paypal, Inc. | Device monitoring policy |
CN108804914B (zh) * | 2017-05-03 | 2021-07-16 | 腾讯科技(深圳)有限公司 | 一种异常数据检测的方法及装置 |
US10873589B2 (en) | 2017-08-08 | 2020-12-22 | Sonicwall Inc. | Real-time prevention of malicious content via dynamic analysis |
US10929539B2 (en) * | 2017-08-11 | 2021-02-23 | Nec Corporation | Automated software safeness categorization with installation lineage and hybrid information sources |
CN107682315B (zh) * | 2017-09-05 | 2020-11-06 | 杭州迪普科技股份有限公司 | 一种sql注入攻击检测模式设置方法及装置 |
US11151252B2 (en) | 2017-10-13 | 2021-10-19 | Sonicwall Inc. | Just in time memory analysis for malware detection |
US11086985B2 (en) * | 2017-12-04 | 2021-08-10 | Microsoft Technology Licensing, Llc | Binary authorization based on both file and package attributes |
US10685110B2 (en) | 2017-12-29 | 2020-06-16 | Sonicwall Inc. | Detection of exploitative program code |
US10902122B2 (en) * | 2018-01-31 | 2021-01-26 | Sonicwall Inc. | Just in time memory analysis for malware detection |
US11232201B2 (en) | 2018-05-14 | 2022-01-25 | Sonicwall Inc. | Cloud based just in time memory analysis for malware detection |
US11374977B2 (en) * | 2018-09-20 | 2022-06-28 | Forcepoint Llc | Endpoint risk-based network protection |
US11636198B1 (en) * | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
US11481482B2 (en) * | 2019-09-09 | 2022-10-25 | Mcafee, Llc | Securing an application framework from shared library sideload vulnerabilities |
US11675901B2 (en) * | 2020-12-22 | 2023-06-13 | Mcafee, Llc | Malware detection from operating system event tracing |
US11647002B2 (en) * | 2021-08-09 | 2023-05-09 | Oversec, Uab | Providing a notification system in a virtual private network |
KR102560431B1 (ko) * | 2022-09-21 | 2023-07-27 | 시큐레터 주식회사 | 자식 프로세스의 악성 행위를 검사하기 위한 방법 및 이를 위한 장치 |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6931540B1 (en) | 2000-05-31 | 2005-08-16 | Networks Associates Technology, Inc. | System, method and computer program product for selecting virus detection actions based on a process by which files are being accessed |
US7260847B2 (en) * | 2002-10-24 | 2007-08-21 | Symantec Corporation | Antivirus scanning in a hard-linked environment |
US7991902B2 (en) * | 2006-12-08 | 2011-08-02 | Microsoft Corporation | Reputation-based authorization decisions |
US8302196B2 (en) * | 2007-03-20 | 2012-10-30 | Microsoft Corporation | Combining assessment models and client targeting to identify network security vulnerabilities |
US7392544B1 (en) * | 2007-12-18 | 2008-06-24 | Kaspersky Lab, Zao | Method and system for anti-malware scanning with variable scan settings |
US8225406B1 (en) * | 2009-03-31 | 2012-07-17 | Symantec Corporation | Systems and methods for using reputation data to detect shared-object-based security threats |
US8001606B1 (en) | 2009-06-30 | 2011-08-16 | Symantec Corporation | Malware detection using a white list |
US8955131B2 (en) * | 2010-01-27 | 2015-02-10 | Mcafee Inc. | Method and system for proactive detection of malicious shared libraries via a remote reputation system |
US8495705B1 (en) * | 2010-04-20 | 2013-07-23 | Symantec Corporation | Systems and methods for reputation-based application of data-loss prevention policies |
US9147071B2 (en) | 2010-07-20 | 2015-09-29 | Mcafee, Inc. | System and method for proactive detection of malware device drivers via kernel forensic behavioral monitoring and a back-end reputation system |
US8863291B2 (en) * | 2011-01-20 | 2014-10-14 | Microsoft Corporation | Reputation checking of executable programs |
JP5961638B2 (ja) | 2011-02-17 | 2016-08-02 | ターセーラ, インコーポレイテッド | アプリケーション証明のためのシステムおよび方法 |
US9262624B2 (en) | 2011-09-16 | 2016-02-16 | Mcafee, Inc. | Device-tailored whitelists |
RU2011138462A (ru) * | 2011-09-20 | 2013-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Использование решений пользователей для обнаружения неизвестных компьютерных угроз |
US20130254880A1 (en) * | 2012-03-21 | 2013-09-26 | Mcafee, Inc. | System and method for crowdsourcing of mobile application reputations |
-
2013
- 2013-09-27 US US14/040,430 patent/US9117077B2/en active Active
-
2014
- 2014-09-25 CN CN201480052984.6A patent/CN105580022B/zh active Active
- 2014-09-25 AU AU2014393471A patent/AU2014393471B2/en active Active
- 2014-09-25 KR KR1020167008072A patent/KR101928908B1/ko active IP Right Grant
- 2014-09-25 WO PCT/RO2014/000028 patent/WO2015171007A1/en active Application Filing
- 2014-09-25 JP JP2016517435A patent/JP6317434B2/ja active Active
- 2014-09-25 ES ES14882803T patent/ES2869400T3/es active Active
- 2014-09-25 SG SG11201600064PA patent/SG11201600064PA/en unknown
- 2014-09-25 EP EP14882803.1A patent/EP3049984B1/en active Active
- 2014-09-25 CA CA2915806A patent/CA2915806C/en active Active
- 2014-09-25 RU RU2016115859A patent/RU2646352C2/ru active
-
2015
- 2015-12-31 IL IL243431A patent/IL243431B/en active IP Right Grant
-
2016
- 2016-07-01 HK HK16107677.7A patent/HK1219790A1/zh unknown
Also Published As
Publication number | Publication date |
---|---|
IL243431B (en) | 2018-11-29 |
ES2869400T3 (es) | 2021-10-25 |
WO2015171007A1 (en) | 2015-11-12 |
US9117077B2 (en) | 2015-08-25 |
AU2014393471A1 (en) | 2016-02-04 |
RU2646352C2 (ru) | 2018-03-02 |
EP3049984B1 (en) | 2021-03-10 |
AU2014393471B2 (en) | 2019-06-27 |
CA2915806C (en) | 2020-08-18 |
KR20160055826A (ko) | 2016-05-18 |
RU2016115859A (ru) | 2017-10-30 |
JP2016538614A (ja) | 2016-12-08 |
CN105580022B (zh) | 2019-06-21 |
HK1219790A1 (zh) | 2017-04-13 |
US20150096018A1 (en) | 2015-04-02 |
EP3049984A1 (en) | 2016-08-03 |
KR101928908B1 (ko) | 2018-12-13 |
CA2915806A1 (en) | 2015-11-12 |
CN105580022A (zh) | 2016-05-11 |
SG11201600064PA (en) | 2016-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6317434B2 (ja) | 評判インジケータを使用してマルウェアスキャニングを容易にするためのシステムおよび方法 | |
US10657277B2 (en) | Behavioral-based control of access to encrypted content by a process | |
US10291634B2 (en) | System and method for determining summary events of an attack | |
EP3430557B1 (en) | System and method for reverse command shell detection | |
EP3430556B1 (en) | System and method for process hollowing detection | |
US10650154B2 (en) | Process-level control of encrypted content | |
US8918878B2 (en) | Restoration of file damage caused by malware | |
KR102116573B1 (ko) | 컴퓨터 보안 작동을 최적화하기 위한 동적 명성 표시자 | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
US20140337918A1 (en) | Context based switching to a secure operating system environment | |
WO2022208045A1 (en) | Encrypted cache protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170421 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170421 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180216 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180228 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180329 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6317434 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |