JP6400758B2 - 不正リモート管理からのコンピュータを保護するためのシステム及び方法 - Google Patents
不正リモート管理からのコンピュータを保護するためのシステム及び方法 Download PDFInfo
- Publication number
- JP6400758B2 JP6400758B2 JP2017028315A JP2017028315A JP6400758B2 JP 6400758 B2 JP6400758 B2 JP 6400758B2 JP 2017028315 A JP2017028315 A JP 2017028315A JP 2017028315 A JP2017028315 A JP 2017028315A JP 6400758 B2 JP6400758 B2 JP 6400758B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- application
- event
- transfer
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Description
・コンピュータ・システム102で発生するイベントであり、以下の少なくとも1つを含む傍受されたイベントを傍受する。
・コンピュータ・システム102にインストールされたオペレーティング・システムのAPI機能のアプリケーションによる呼び出し
・プロセス間通信技術を用いたアプリケーション間のデータ転送
・コンピュータ・システム102のソフトウェアコンポーネントとハードウェアコンポーネントとの間のデータ転送
・コンピュータ・ネットワーク103におけるアプリケーションによるデータ転送
・周辺にあるデータ入力装置101からのアプリケーションへのデータ転送
・傍受された各イベントのパラメータを決定する。
・傍受されたイベントの決定されたパラメータを、パターン識別モジュール110に送る。
例えば、アプリケーションによって呼び出されるオペレーティング・システムのアプリケーションプログラミングインタフェース(API)機能は、動作するための1つ又は複数の以下のAPI機能を含んでもよい。
・CreateFile、ReadFile、WriteFile等のファイルの使用
・ソケット、接続、受信、送信等のコンピュータ・ネットワークの使用
・ReadProcessMemory、WriteProcessMemory等のプロセスの使用
・PostMessage、SendMessage等のWindowsイベントの使用
例えば、コンピュータ・システム102のハードウェアコンポーネントは、以下のうちの少なくとも1つを含んでもよい。
・CD−RWドライブ、DWD−RWドライブ、BD−REドライブ等のオプティカルドライブ等の外部情報メディア
・グラフィックスアダプタ
・ゲームコントローラ
・キーボード
・コンピュータマウス
・タッチスクリーン
・非接触タッチスクリーンコントローラ
例えば、周辺にあるデータ入力装置101からアプリケーションに転送されるデータは、以下のうちの少なくとも1つを含んでもよい。
・キーボードから入力されたテキスト
・コンピュータマウス又はタッチスクリーンを介して実行されるカーソル移動の座標
・非接触タッチスクリーンコントローラによって受信される画像
イベントパラメータは、以下のうちの少なくとも1つを含んでもよい。
・イベントの種類
・オペレーティング・システムのイベント(プロセス識別子、PID)を作成したアプリケーション又はプロセスの識別子
・オペレーティング・システムでイベント(グローバル一意識別子、GUID)を作成したアプリケーション又はサービスの識別子
・上記のイベントの前のイベント
・データが転送される場合:
・データ送信元及びデータ受信元の独自の識別子であって、これには次のうち少なくとも1つを含んでもよい。
・コンピュータ・ネットワーク103内のデータ伝送に関与するサーバのネットワークアドレス
・コンピュータ・システム102のハードウェアコンポーネントのタイプ
・転送されるデータのタイプ
・転送されるデータの量
・直接転送されるデータ
例えば、イベントの種類は数値であってもよく、0x00は未知の種類のイベントに対応し、0x01はオペレーティング・システムのAPI機能のアプリケーションによる呼び出しを意味し、0x02はアプリケーションのプロセス間のデータ転送を意味し、0x03は周辺にあるデータ入力装置101等からのアプリケーションへのデータ転送を意味する、等である。
例えば、特定のイベントがお互いに続いてもよい。
・キーボード101からのテキストのMicrosoftLync(イベント#1)とローカルエリアコンピュータ・ネットワーク103(イベント#2)による同じテキストのその後の転送
・アプリケーションrecv(イベント#1)のアプリケーションRemoteAdminを呼び出し、関数WriteProcessMemory(イベント#2)のアプリケーションRemoteAdminを呼び出す
例えば、転送されるデータは、以下のタイプのうちの少なくとも1つを含んでもよい。
・ビデオクリップやオーディオレコーディング等のメディアデータ
・画像
・ページのHTMLコード、CSSスタイルシート等のインターネットページのコンポーネント
・データライブラリ
・アーカイブされたデータ
・周辺にあるデータ入力装置101から得られた行データ等の非構造化データ
・コンピュータ・ネットワーク103内のアプリケーションによるデータ転送イベント、及び周辺にあるデータ入力装置101からアプリケーションへのデータ転送が発生したイベントのうち少なくとも1つの傍受されたイベントを、少なくとも1つの傍受されたイベントの受信されたパラメータ解析に基づいて特定する。
・傍受されたイベントのうち、識別されたイベントに依存する少なくとも1つのイベントについて、少なくとも以下のうち少なくとも1つによって前記傍受されたイベントの前記識別されたイベントへの依存性を決定する。
・識別されたイベントの登録とその後の傍受されたイベントの登録との間に経過した時間が、以前に確立された時間閾値よりも小さい事
・傍受されたイベントのパラメータは、前記の傍受されたイベントよりも前に登録された識別されたイベントのパラメータと相関する事
・少なくとも1つの決定されたイベントについて、識別されたイベントのパラメータに対する決定されたイベントのパラメータの依存性を記述するルールを形成する。
・決定されたイベントに関する情報と共に形成されたルールを検索モジュール120に送る。
・イベントの種類
・アプリケーションの独自の識別子又はイベントを作成したアプリケーションのプロセス
例えば、以下の5つのイベントは傍受されてもよい。
(1)API関数recvのアプリケーションRemoteAdminによる呼び出し
(2)API関数sendのアプリケーションLyncによる呼び出し
(3)アプリケーションRemoteAdminからアプリケーションLyncへのテキストデータの転送
(4)キーボード101からアプリケーションLyncへのテキストデータの転送
(5)アプリケーションRemoteAdminからコンピュータ・ネットワーク103内のリモートサーバへのテキストデータの転送
傍受されたイベントのうち、周辺にあるデータ入力装置101及びコンピュータ・ネットワーク103内のデータ転送に関するイベント、すなわち(4)キーボード101からアプリケーションLyncへのテキストデータの転送、(5)アプリケーションRemoteAdminからコンピュータ・ネットワーク103内のリモートサーバへのテキストデータの転送を識別してもよい。識別されたイベント(4)及び(5)を使用して、API関数send(3)のアプリケーションLyncによる呼び出しの事象が決定されてもよく、転送されるデータのタイプ(テキスト)及びデータ転送が発生するサーバのネットワークアドレス等、API関数sendにより呼び出されるコンピュータ・ネットワーク103内のデータ転送のパラメータは、データタイプ(テキスト)等のイベント(4)のパラメータの変更、及びコンピュータ・ネットワーク103においてデータ転送が生じるサーバのインターネットプロトコル(IP)アドレス等のイベント(5)に依存する。
・以下のように表される線形変換行列T:
ここでP1は以下のように表現されるイベント#1のパラメータのセットである
P2は以下のように表現されるイベント#2のパラメータのセットである。
・以下のように表される関数P2の係数のセット
ここでP1はイベント#1のパラメータ、P2はイベント#2のパラメータである。
・以下のルールを表現する方法の少なくとも1つを選択する。
・行列を用いる形式:この場合は1つのパラメータの別のパラメータへの依存性は、行列を用いた演算を介して表現することができる。
・ベクトルを用いる形式:この場合は1つのパラメータの別のパラメータへの依存性は、係数のセットを用いた演算によって表現することができる。
・イベントの指定されたパラメータに対して選択された表現に使用される係数を計算する。
検索モジュール120は、以下のように構成されてもよい。
・少なくとも1つの以前に作成されたルールとの類似度を、少なくとも前記ルールの比較に基づいてルールライブラリ121から決定する。前記ルールは、遠隔操作中のコンピュータ・システム102で発生するイベントのパラメータの依存性を定義することができる。
・決定された類似度が確立された閾値を超える場合、アクティビティ分析モジュール100によって傍受されたイベントを作成した少なくとも1つのアプリケーションを決定し、そのパラメータは、パターン識別モジュール110によって取得されたルールを定式化するために使用されてもよく、予め定められた少なくとも1つのルールとの類似性の判定された値が、確立された閾値より高くてもよい。
・少なくとも1つの決定されたアプリケーションを識別する情報を分析モジュール130に送信する。
事前に作成されたルールは、以下のようにパターン識別モジュール110によって定式化されたルールと同じ方法で作成されてもよい。
a)既知の遠隔管理アプリケーションが以前にインストールされたコンピュータ・システムにおいて、様々なイベントを傍受する。
b)インターセプトされたイベントについて、イベントのパラメータを決定する。
c)少なくともステップa)で傍受された事象について前のステップで決定されたパラメータの分析に基づいて、コンピュータ・ネットワークにおける前記遠隔管理アプリケーションによるデータ転送のイベント及び周辺にあるデータ入力装置からの前記遠隔管理アプリケーションへのデータ転送のイベントを、前記イベントの中から特定する。
d)ステップа)で傍受されたイベントのうち、前のステップで特定されたイベントに依存する可能性のある少なくとも1つのイベントを決定する。
e)前のステップで決定された少なくとも1つのイベントについて、前のステップで決定されたイベントのパラメータの、ステップc)で特定されたイベントのパラメータへの依存性を定義するルールを決定して作成する。
・以下のように、比較されるルールを記述する関数の畳み込みの結果を表す値。
ここでf1はルール#1を数学的に表現する関数であり、f2はルール#2を数学的に表現する関数である。
ルールは、入力データと出力データとの間の所定の関係を含んでいてもよく、ここでいう所定の(決定性がある)とは関係が明確に定義され、曖昧性や不確実性が許容されないということである。したがって、ルールは、入力データと出力データとを関連付ける特定の関数fによって数学的に表現されてもよい
・以下のように、比較されるルールを記述する行列の要素のセットから構成される配列のたたみ込みの結果から成る値。
ここで{ak}は以下のように表現される、ルール#1を数学的に表現する行列Aの要素のセットである。
{bk}は以下のように表現される、ルール#2を数学的に表現する行列Bの要素のセットである。
ルールは入力データと出力データとの間に所定の関係を含んでもよいため、入力データを出力データに変換する行列Aによって数学的に表現することができる。
・2つのベクトルのスカラー積。各ベクトルは比較されるルールの係数の集合。
・事前に決定された畳み込みのパラメータの値。
例えばルール#1がa1=0.10,a2=0.3,a3=0.17という三つの係数で記述され、ルール#2がb1=0.5,b2=0.9,b3=0.21というルールで記述される場合、コンピュータ・ネットワーク103で受信されたデータの量に関連して、コンピュータ・ネットワーク103で送信されたデータの量の変化の関数を以下のように特徴付ける。
ここでyはコンピュータ・ネットワーク103で送信されるデータの量を表し、xはコンピュータ・ネットワーク103で受信されたデータの量を表し、{p}は係数のセットを表す。
ルール#1と#2の類似度は以下のように計算されてもよい。
この式は前述の場合においてw=0.0434を与える。w=0.0の場合、ルールは同一であり、w=1.0の場合、ルールは異なる可能性がある。ルールの類似性の基準として、確立された閾値wthreshold=0.1を用いる。したがって、上記の比較したルール#1及び#2は類似している可能性がある。
・アプリケーション又はアプリケーションによって作成されたプロセスの独自の識別子
・実行可能アプリケーションファイルへのパス
・アプリケーションの名前
・受け取った情報から識別されたアプリケーションを分析する。ここで、周辺にあるデータ入力装置101からのデータ転送のイベントのパラメータに関するコンピュータ・ネットワーク103内の前述のアプリケーションによるデータ転送のイベントのパラメータの依存性は、分析中に決定される。
・少なくとも分析中の依存関係の存在に基づいて、リモート管理アプリケーションの検出に関する判定を行う。
・遠隔管理アプリケーションの検出に関して判明した判定の結果に基づいて、前述のアプリケーションをブロックする。
・アプリケーションのヒューリスティック分析。その間、次のことが決定される。
・周辺にあるデータ入力装置101からどのデータを転送するか。
・コンピュータ・システム102におけるデータ転送後にどのような動作が起こるか。
・この後にどのデータがコンピュータ・ネットワーク103において送信又は受信されるか
・決定されたデータとアクションとの間の依存性
・アプリケーションの構造及びデータの転送を担うコードの検索の分析
・コンピュータ・ネットワーク103におけるデータの転送
・コンピュータ・システム102における動作の実行
・コンピュータ・ネットワーク103におけるデータの送信又は受信
例えば、アプリケーションの構造を分析する際に、以下の原因となる実行可能コードを検索してもよい。
・コンピュータ・ネットワーク103におけるデータの送信又は受信。
・コンピュータ・システム102における動作の実行。
ただし、周辺にあるデータ入力装置101からのデータの受信には関連していないもの、またそれは以下のような疑似コードによって定義されてもよい。
recv(<server>、<command>)
switch(<command>)
case<action−id>:<action>
...
case<action−id>:<action>
このようなアプリケーション作業の編成は、コンピュータ・ネットワーク103内のサーバとデータを交換し、コンピュータ・システム102内でアクションを実行し、周辺にあるデータ入力装置101から受信しているデータを何ら処理することがない遠隔管理アプリケーションの特徴としてもよい。
・アプリケーションの関与を伴ってコンピュータ・ネットワーク内のデータ交換をブロックする
・RAMからのアプリケーションの削除
・コンピュータ・システム102を構成する情報媒体(ハードドライブ等)からのアプリケーションの削除
例えば、アプリケーションRemoteAdminが遠隔管理アプリケーションであると判定された場合、分析モジュール130は、ネットワーク・パケットがコンピュータ・ネットワーク103のサーバに、及びサーバから遠隔管理アプリケーションに送信されないように、ファイアウォールを設定することができる(例えば、対応する動作パラメータを割り当てる等)。したがって、RemoteAdminアプリケーションは、コンピュータ・システム102内では機能することができるが、コンピュータ・ネットワーク103内でコマンドを受信したりデータを送信したりすることができず、アプリケーションが安全なアプリケーションであることを示すことができる。
・ユーザがアプリケーションの作業をセットアップすることができる場合、コンピュータマウス101からRemoteAdminアプリケーションへのデータの転送
・socket、send、recv等のサーバとのネットワーク接続を確立することに関連する関数の呼び出し
・SendMessage、SendDlgItemMessage等の、コンピュータ・システム102内で動作するアプリケーションへのメッセージの送信に関連する機能の呼び出し。
・ローカルエリアコンピュータ・ネットワーク103を介したサーバからのデータの受信。
すべての傍受されたイベントについて、以下からイベントのパラメータを選ぶことができる。
・カーソルの座標及びコンピュータマウス101上で押されたキーの識別子。
・接続が確立されるサーバのネットワークアドレス。
・サーバーから受信しているデータ量。
・次のような他のアプリケーションに送信されるメッセージの種類。
・アプリケーションの識別子
・メッセージの識別子
・メッセージのコンテキストでアプリケーションに送信されるデータ
ここでTはアプリケーションRemoteAdminによってコンピュータ・システム102にインストールされた他のアプリケーションに送信されるメッセージのタイプであり、PはアプリケーションRemoteAdminによってコンピュータ・システム102にインストールされた他のアプリケーションに送信されるデータの量であり、Mは、コンピュータマウス101の動きのパラメータであり、Dは、サーバからコンピュータ・ネットワーク103を介してアプリケーションRemoteAdminによって受信されたデータの量であり、{K}は係数のセットである。
・k11=0.71,k12=0.19,k13=0.31,k14=0.97
・k21=0.85,k22=0.65,k23=0.01,k24=0.47
・w1=1.1606
・w2=1.069
前記決定されたルールと前記選択されたルールとの類似度の前記決定された係数の平均値である類似性の合計係数は以下のようになる。
・w_total=1.1148
確立された閾値としてw_threshold=1.5が与えられると、得られた類似度wtotal=1.1148は傍受された事象が遠隔管理されているコンピュータ・システムの事象として分類されない可能性があり、結果としてアプリケーションRemoteAdminが正当である可能性がある。
・ソケット、送信、受信等のサーバとのネットワーク接続の確立に関連する機能の呼び出し
・SendMessage、SendDlgItemMessage等の、コンピュータ・システム102で動作するアプリケーションへのメッセージの送信に関連する機能の呼び出し
・OpenProcess、ReadProcessMemory等のコンピュータ・システム102にインストールされた他のアプリケーションによって占有されているメモリ領域からのデータの受信に関する機能の呼び出し
・コンピュータ・ネットワーク103を介したサーバからのデータの受信
・コンピュータ・ネットワーク103を介したサーバへのデータの送信
全ての傍受されたイベントについて、以下からイベントのパラメータを選択してもよい。
・接続が確立されるサーバのネットワークアドレス
・サーバーから受信しているデータ量
・サーバーに送信されるデータの量
・次のような他のアプリケーションに送信されるメッセージの種類
・アプリケーションの識別子
・メッセージの識別子
・メッセージのコンテキストでアプリケーションに送信されるデータ
・データの読み取りが発生するメモリ領域を占有するアプリケーションの識別子
・データの読み取りが発生するメモリ領域のパラメータ
ここでTはアプリケーションBackdoor.Win32Agentによってコンピュータ・システム102にインストールされた他のアプリケーションに送信されるメッセージのタイプであり、Dはサーバからコンピュータ・ネットワーク103を介してアプリケーションBackdoor.Win32Agentによって受信されたデータの量であり、{K}は係数の集合である。
サーバからアプリケーションに受信されたデータを送信するための関数SendMessageを呼び出すイベントについて得られた依存性に基づいて、前記の決定された依存性を定義するルールを定式化することができ、例えば[数13]の係数の数値は以下のように計算することができる。
・k1=0.97
・k2=0.89
ここでDはメモリアドレスAで読み出されたデータの量であり、Aは、コンピュータ・ネットワーク103内のサーバからBackdoor.Win32Agentによって取得されたデータが格納されているメモリアドレスであり、{K}は係数のセットである。
関数ReadProcessMemoryを呼び出すイベントに対して得られた依存性に少なくとも基づいて、前記の決定された依存性を定義するルールを定式化することができ、例えば、[数14]の係数の数値は以下のように計算することができる。
・k1=0.47
・k2=0.98
・k3=1.43
・k1=0.99,k2=0.87
・k1=0.53,k2=0.98,k3=1.21
ルールが選択された後、検索モジュール120は、公式化されたルールと選択されたルールとの類似度の係数を以下のように決定してもよい。
・w1=1.7346
・w2=2.9398
公式化されたルールと選択されたルールとの類似度の上記決定された係数の平均値である類似性の合計係数は以下のようになる。
・wtotal=2.3372
確立された閾値としてwthreshold=1.5が与えられれば、得られた類似度wtotal=2.3372は、傍受されたイベントが遠隔的に管理されているコンピュータ・システムのイベントとして分類され得ることを示す。
・コンピュータ・ネットワーク103におけるデータの送信又は受信
・コンピュータ・システム102における動作の実行
ただし、以下には関連しないコードとする。
・周辺にあるデータ入力装置101からのデータの受信
1.アプリケーションの解析されるコードのセグメントは、例えば、機械コードから(例えば、プログラミング言語のアセンブラの)コマンドのセットに翻訳される。
2.結果のコマンドのセットでは、必要な機能を担うコマンドに対して検索を実行する。例えば、コンピュータ・ネットワークへのデータの送信は、API関数の送信等によって行う。
3.コマンドに送信されているパラメータを決定し、分析する。
4.パラメータが、例えば、所与のサーバへのデータの送信等の確立された条件を満たしている場合、分析されたコードセグメントが要求された機能性を担うことが考えられる。
そのようなコードは特定され、その擬似コードは以下のようになっている。
recv(<server>,<command>)
switch(<command>)
case'killapp':<closes the application running in the computer system 102>
case'sendpasswords':<sends passwords discovered on the computer system 102 through the computer network 103>
このようなアプリケーションの動作の編成は、コンピュータ・ネットワーク103内のサーバとデータを交換し、コンピュータ・システム102内でアクションを実行し、周辺にあるデータ入力装置101から受信しているデータを処理しない遠隔管理アプリケーションの特性としてもよい。
・オペレーティング・システムのAPI機能のアプリケーションによる呼び出し
・プロセス間通信技術を使用したアプリケーションのプロセス間のデータ転送
・コンピュータ・システムのソフトウェアとハードウェアコンポーネント間でのデータ転送
・コンピュータ・ネットワーク103内のアプリケーションによるデータ転送
・周辺にあるデータ入力装置101からのアプリケーションへのデータ転送
イベントの傍受は、コンピュータ・システム102にインストールされたドライバの補助により行われる。
周辺にあるデータ入力装置101は、以下のうちの少なくとも1つを含んでもよい。
・キーボード
・コンピュータマウス
・タッチスクリーン
・非接触タッチスクリーンコントローラ
前記イベントパラメータは、以下のうちの少なくとも1つを含んでもよい。
・イベントの種類。
・オペレーティング・システムのイベント(プロセス識別子、PID)を作成したアプリケーション又はプロセスの識別子。
・オペレーティング・システムでイベント(グローバル一意識別子、GUID)を作成したアプリケーション又はサービスの識別子。
・上記のイベントの前のイベント。
・転送されるデータの場合について、
・データ送信元及びデータ受信元の固有の識別子。これには少なくとも以下のうち1つを含んでもよい。
・コンピュータ・ネットワーク103内のデータ伝送に関与するサーバのネットワークアドレス
・コンピュータ・システム102のハードウェアコンポーネントのタイプ
・転送されるデータのタイプ。
・転送されるデータの量。
・直接転送されるデータ。
傍受されたイベントの中でイベントの識別は、少なくとも、以下のうち少なくとも1つに基づいて起こってもよい。
・イベントの種類。
・アプリケーション又はイベントを作成したアプリケーションのプロセスの独自の識別子。
・識別されたイベントの登録とそれに続く傍受されたイベントの登録との間に経過した時間が、以前に確立された時間しきい値よりも短い。
・傍受されたイベントのパラメータが、前述の傍受されたイベントより前に登録された識別されたイベントのパラメータと相関する。
あるイベントのパラメータの、別のイベントのパラメータに対する依存性を定義するルールは、少なくとも以下から構成されてもよい。
・以下のように表される線形変換行列T。
ここでP1は以下のように表現されるイベント#1のパラメータのセットである
P2は以下のように表現されるイベント#2のパラメータのセットである。
・以下のように表される関数P2の係数のセット
ここでP1はイベント#1のパラメータ、P2はイベント#2のパラメータである。
あるイベントのパラメータの別のイベントのパラメータへの依存性を記述するルールの定式化は、以下の少なくとも1つを含むことができる。
・ルールを表現する形式の少なくとも1つを選択する。
・行列を用いる形式。この場合は1つのパラメータの別のパラメータへの依存性は、行列を用いた演算を介して表現することができる
・ベクトルを用いる形式。この場合は1つのパラメータの別のパラメータへの依存性は、係数のセットを用いた演算によって表現することができる。
・イベントの指定されたパラメータに対して選択された表現に使用される係数を計算する。
以前に作成されたルールは、少なくともパターン識別モジュール110から得られたルールの係数に基づいて、ルールライブラリ121から選択してもよい。
以前に作成されたルールは、パターン識別モジュール110によって定式化されたルールと同じ方法、即ち以下の方法で作成されてもよい。
a)既知の遠隔管理アプリケーションが以前にインストールされたコンピュータ・システムにおいて、様々なイベントを傍受する。
b)インターセプトされたイベントについて、イベントのパラメータを決定する。
c)少なくともステップa)で傍受された事象について前のステップで決定されたパラメータの分析に基づいて、コンピュータ・ネットワークにおける前記遠隔管理アプリケーションによるデータ転送のイベント及び周辺にあるデータ入力装置からの前記遠隔管理アプリケーションへのデータ転送のイベントを、前記イベントの中から特定する。
d)ステップа)で傍受されたイベントのうち、前のステップで特定されたイベントに依存する可能性のある少なくとも1つのイベントを決定する。
e)前のステップで決定された少なくとも1つのイベントについて、前のステップで決定されたイベントのパラメータの、ステップc)で特定されたイベントのパラメータへの依存性を定義するルールを決定して作成する。
・以下のように、比較されるルールを記述する関数の畳み込みの結果を表す値。
ここでf1はルール#1を数学的に表現する関数であり、f2はルール#2を数学的に表現する関数である。
ルールは入力データと出力データとの間の所定の関係を含んでいてもよく、所定の(決定性がある)というのは関係が明確に定義されている、すなわち曖昧性や不確実性が許容されないということである。したがってしたがって、ルールは、入力データと出力データとを関連付ける特定の関数fによって数学的に表現されてもよい
・以下のように、比較されるルールを記述する行列の要素のセットから構成される配列のたたみ込みの結果から成る値。
ここで{ak}は以下のように表現される、ルール#1を数学的に表現する行列Aの要素のセットである。
{bk}は以下のように表現される、ルール#2を数学的に表現する行列Bの要素のセットである。
ルールは入力データと出力データとの間に所定の関係を含んでもよいため、入力データを出力データに変換する行列Aによって数学的に表現することができる。
・2つのベクトルのスカラー積。各ベクトルは比較されるルールの係数の集合。
・事前に決定された畳み込みのパラメータの値。
アプリケーションの分析は、以下のうちの少なくとも1つを含んでもよい。
・アプリケーションのヒューリスティック分析。その間、次のことが決定される。
・周辺にあるデータ入力装置101からどのデータを転送するか。
・コンピュータ・システム102におけるデータ転送後にどのような動作が起こるか。
・この後にどのデータがコンピュータ・ネットワーク103において送信又は受信されるか
・決定されたデータとアクションとの間の依存性
・アプリケーションの構造及びデータの転送を担うコードの検索の分析
・コンピュータ・ネットワーク103におけるデータの転送
・コンピュータ・システム102における動作の実行
・コンピュータ・ネットワーク103におけるデータの送信又は受信
アプリケーションのブロックは、少なくとも以下のうちの少なくとも1つを含んでもよい。
・アプリケーションの関与を伴ったコンピュータ・ネットワーク内のデータ交換のブロック
・RAMからのアプリケーションの削除
・コンピュータ・システム102を構成する情報媒体(ハードドライブ等)からのアプリケーションの削除
Claims (20)
- コンピュータで実施され且つコンピュータ・システムのリモート管理を検出する方法であって、
傍受ステップと、第1決定ステップと、第1識別ステップと、第2決定ステップと、第3決定ステップと、第4決定ステップと、第2識別ステップと、判定ステップとを備え、
前記傍受ステップでは、前記コンピュータ・システムのプロセッサを介して、前記コンピュータ・システムにおいて発生した複数のイベントを傍受し、
前記第1決定ステップでは、各傍受イベントのパラメータを決定し、
前記第1識別ステップでは、前記決定されたパラメータに少なくとも基づいて、コンピュータ・ネットワーク内のアプリケーションによる第1データ転送又はコンピュータ・システムの周辺にあるデータ入力装置からのアプリケーションへの第2データ転送に関連するものとして識別し、
前記第2決定ステップでは、前記傍受された複数のイベントのうちの2つを、前記第1及び第2データ転送に関連する特定された傍受イベントに少なくとも基づいて、互いに依存するものとして決定し、
前記第3決定ステップでは、前記2つの傍受イベントのパラメータの依存関係を定義する第1ルールを決定し、
前記第4決定ステップでは、前記第1ルールと以前に作成された第2ルールとの類似度を決定し、
前記第2識別ステップでは、所定の閾値を超える類似度を検出した場合に、前記第1ルール及び前記第2ルールに少なくとも基づいて少なくとも1つのアプリケーションを識別し、
前記判定ステップでは、少なくとも1つのアプリケーションについて、リモート管理のためのアプリケーションか否かの判定を行う、
方法。 - 前記複数のイベントは、呼び出しステップと、第1転送ステップと、第2転送ステップと、第3転送ステップと、第4転送ステップのうち、少なくとも1つを含み、
前記呼び出しステップは、コンピュータ・システムにインストールされたオペレーティング・システムのAPI機能のためのアプリケーションによる呼び出しをし、
前記第1転送ステップは、プロセス間通信技術を介したアプリケーションのプロセス間でのデータ転送をし、
前記第2転送ステップは、コンピュータ・システムのソフトウェアコンポーネントとハードウェアコンポーネントとの間のデータ転送をし、
前記第3転送ステップは、コンピュータ・ネットワーク内のアプリケーションによるデータ転送をし、
前記第4転送ステップは、少なくとも1つの周辺にあるデータ入力装置からのアプリケーションへのデータ転送をする、
請求項1に記載の方法。 - 前記周辺にあるデータ入力装置は、キーボードと、コンピュータマウスと、タッチスクリーンと、非接触タッチスクリーンコントローラのうち少なくとも1つを含む、
請求項2に記載の方法。 - 前記第1決定ステップは、傍受タイプと、第1識別子と、第2識別子と、先行イベントと、第3識別子と、データタイプと、データ量と、転送データのうち1つもしくは複数のパラメータを決定する方法であって、
前記傍受タイプは、傍受された各イベントのタイプで、
前記第1識別子は、コンピュータ・システムのオペレーティング・システムにおいて各傍受されたイベントを作成したアプリケーション又はプロセスの識別子で、
前記第2識別子は、オペレーティング・システムで各代行受信イベントを作成したアプリケーション又はサービスの識別子で、
前記先行イベントは、それぞれの傍受されたイベントに先行する少なくとも1つのイベントで、
前記第3識別子は、転送されたデータのデータ送信元とデータ受信元の識別子で、
前記データタイプは、転送されたデータのタイプで、
前記データ量は、転送されたデータの量で、
前記転送データは、直接的に転送されたデータである、
請求項1に記載の方法。 - 前記第2決定ステップは、時間閾値と、パラメータ相関の少なくとも1つを決定し、
前記時間閾値は、第1の識別された傍受されたイベントの登録と第2の傍受されたイベントの登録との間に経過した時間の閾値で、
前記パラメータ相関は、前記2つの傍受イベントのパラメータは、現在の傍受されたイベントよりも前に登録された特定された傍受されたイベントのパラメータとの相関である、
請求項1に記載の方法。 - 前記第3決定ステップは、ルール選択ステップと、係数計算ステップを備え、
前記ルール選択ステップは、ルールを表すために行列形式又はベクトル形式のうちの少なくとも1つを選択し、
前記係数計算ステップは、前記2つの傍受イベントのうちの1つのパラメータに基づいて、ルールの選択された表現に対する係数を計算する、
請求項1に記載の方法。 - 前記第4決定ステップは、ヒューリスティック分析と、構造分析のうち少なくとも1つを備え、
前記ヒューリスティック分析では、コンピュータ・システムにおけるデータ転送の後に発生する動作、コンピュータ・ネットワークにおいて送信又は受信された動作の後のデータ、及びデータと動作との間の依存性のうち少なくとも1つを決定する、少なくとも1つのアプリケーションを分析し、
前記構造分析は、少なくとも1つのアプリケーションの構造及びコンピュータ・ネットワークにおけるデータ転送を担うコード、コンピュータ・システムにおける動作の実行、及びコンピュータ・ネットワークにおけるデータの送信又は受信を分析する、
請求項1に記載の方法。 - 前記判定に応答して前記少なくとも1つのアプリケーションをブロックする第1ブロックステップを更に備え、
前記第1ブロックステップは、第2ブロックステップと、第1除去ステップと、第2除去ステップの少なくとも1つを備え、
前記第2ブロックステップは、少なくとも1つのアプリケーションとのコンピュータ・ネットワークにおけるデータ交換をブロックし、
前記第1除去ステップは、コンピュータ・システムのRAMから少なくとも1つのアプリケーションを除去し、
前記第2除去ステップはコンピュータ・システムの情報媒体から少なくとも1つのアプリケーションを除去する、
請求項1に記載の方法。 - コンピュータ・システムのリモート管理を検出するシステムであって、前記コンピュータ・システムの少なくとも1つのプロセッサを備え、
前記プロセッサは、傍受ステップと、第1決定ステップと、第1識別ステップと、第2決定ステップと、第3決定ステップと、第4決定ステップと、第2識別ステップと、判定ステップとを実行するように構成され、
前記傍受ステップでは、前記コンピュータ・システムのプロセッサを介して、前記コンピュータ・システムにおいて発生した複数のイベントを傍受し、
前記第1決定ステップでは、各傍受イベントのパラメータを決定し、
前記第1識別ステップでは、前記決定されたパラメータに少なくとも基づいて、コンピュータ・ネットワーク内のアプリケーションによる第1データ転送又はコンピュータ・システムの周辺にあるデータ入力装置からのアプリケーションへの第2データ転送に関連するものとして識別し、
前記第2決定ステップでは、前記傍受された複数のイベントのうちの2つを、前記第1及び第2データ転送に関連する特定された傍受イベントに少なくとも基づいて、互いに依存するものとして決定し、
前記第3決定ステップでは、前記2つの傍受イベントのパラメータの依存関係を定義する第1ルールを決定し、
前記第4決定ステップでは、前記第1ルールと以前に作成された第2ルールとの類似度を決定し、
前記第2識別ステップでは、所定の閾値を超える類似度を検出した場合に、前記第1ルール及び前記第2ルールに少なくとも基づいて少なくとも1つのアプリケーションを識別し、
前記判定ステップでは、少なくとも1つのアプリケーションについて、リモート管理のためのアプリケーションか否かの判定を行う、
システム。 - 前記複数のイベントは、呼び出しステップと、第1転送ステップと、第2転送ステップと、第3転送ステップと、第4転送ステップのうち、少なくとも1つを含み、
前記呼び出しステップは、コンピュータ・システムにインストールされたオペレーティング・システムのAPI機能のためのアプリケーションによる呼び出しをし、
前記第1転送ステップは、プロセス間通信技術を介したアプリケーションのプロセス間でのデータ転送をし、
前記第2転送ステップは、コンピュータ・システムのソフトウェアコンポーネントとハードウェアコンポーネントとの間のデータ転送をし、
前記第3転送ステップは、コンピュータ・ネットワーク内のアプリケーションによるデータ転送をし、
前記第4転送ステップは、少なくとも1つの周辺にあるデータ入力装置からのアプリケーションへのデータ転送をする、
請求項9に記載のシステム。 - 前記周辺にあるデータ入力装置は、キーボードと、コンピュータマウスと、タッチスクリーンと、非接触タッチスクリーンコントローラのうち少なくとも1つを含む、
請求項10に記載のシステム。 - 前記第1決定ステップは、傍受タイプと、第1識別子と、第2識別子と、先行イベントと、第3識別子と、データタイプと、データ量と、転送データのうち1つもしくは複数のパラメータを決定する方法であって、
前記傍受タイプは、傍受された各イベントのタイプで、
前記第1識別子は、コンピュータ・システムのオペレーティング・システムにおいて各傍受されたイベントを作成したアプリケーション又はプロセスの識別子で、
前記第2識別子は、オペレーティング・システムで各代行受信イベントを作成したアプリケーション又はサービスの識別子で、
前記先行イベントは、それぞれの傍受されたイベントに先行する少なくとも1つのイベントで、
前記第3識別子は、転送されたデータのデータ送信元とデータ受信元の識別子で、
前記データタイプは、転送されたデータのタイプで、
前記データ量は、転送されたデータの量で、
前記転送データは、直接的に転送されたデータである、
請求項9に記載のシステム。 - 前記第2決定ステップは、時間閾値と、パラメータ相関の少なくとも1つを決定し、
前記時間閾値は、第1の識別された傍受されたイベントの登録と第2の傍受されたイベントの登録との間に経過した時間の閾値で、
前記パラメータ相関は、前記2つの傍受イベントのパラメータは、現在の傍受されたイベントよりも前に登録された特定された傍受されたイベントのパラメータとの相関である、
請求項9に記載のシステム。 - 前記第3決定ステップは、ルール選択ステップと、係数計算ステップを備え、
前記ルール選択ステップは、ルールを表すために行列形式又はベクトル形式のうちの少なくとも1つを選択し、
前記係数計算ステップは、前記2つの傍受イベントのうちの1つのパラメータに基づいて、ルールの選択された表現に対する係数を計算する、
請求項9に記載のシステム。 - 前記第4決定ステップは、ヒューリスティック分析と、構造分析のうち少なくとも1つを備え、
前記ヒューリスティック分析では、コンピュータ・システムにおけるデータ転送の後に発生する動作、コンピュータ・ネットワークにおいて送信又は受信された動作の後のデータ、及びデータと動作との間の依存性のうち少なくとも1つを決定する、少なくとも1つのアプリケーションを分析し、
前記構造分析は、少なくとも1つのアプリケーションの構造及びコンピュータ・ネットワークにおけるデータ転送を担うコード、コンピュータ・システムにおける動作の実行、及びコンピュータ・ネットワークにおけるデータの送信又は受信を分析する、
請求項9に記載のシステム。 - 前記判定に応答して前記少なくとも1つのアプリケーションをブロックする第1ブロックステップを更に備え、
前記第1ブロックステップは、第2ブロックステップと、第1除去ステップと、第2除去ステップの少なくとも1つを備え、
前記第2ブロックステップは、少なくとも1つのアプリケーションとのコンピュータ・ネットワークにおけるデータ交換をブロックし、
前記第1除去ステップは、コンピュータ・システムのRAMから少なくとも1つのアプリケーションを除去し、
前記第2除去ステップはコンピュータ・システムの情報媒体から少なくとも1つのアプリケーションを除去する、
請求項9に記載のシステム。 - コンピュータが実施可能且つコンピュータ・システムのリモート管理を検出するコードを記憶した不揮発性コンピュータ可読媒体であって、命令を備え、
前記命令は、傍受ステップと、第1決定ステップと、第1識別ステップと、第2決定ステップと、第3決定ステップと、第4決定ステップと、第2識別ステップと、判定ステップとを実行するもので、
前記傍受ステップでは、前記コンピュータ・システムのプロセッサを介して、前記コンピュータ・システムにおいて発生した複数のイベントを傍受し、
前記第1決定ステップでは、各傍受イベントのパラメータを決定し、
前記第1識別ステップでは、前記決定されたパラメータに少なくとも基づいて、コンピュータ・ネットワーク内のアプリケーションによる第1データ転送又はコンピュータ・システムの周辺にあるデータ入力装置からのアプリケーションへの第2データ転送に関連するものとして識別し、
前記第2決定ステップでは、前記傍受された複数のイベントのうちの2つを、前記第1及び第2データ転送に関連する特定された傍受イベントに少なくとも基づいて、互いに依存するものとして決定し、
前記第3決定ステップでは、前記2つの傍受イベントのパラメータの依存関係を定義する第1ルールを決定し、
前記第4決定ステップでは、前記第1ルールと以前に作成された第2ルールとの類似度を決定し、
前記第2識別ステップでは、所定の閾値を超える類似度を検出した場合に、前記第1ルール及び前記第2ルールに少なくとも基づいて少なくとも1つのアプリケーションを識別し、
前記判定ステップでは、少なくとも1つのアプリケーションについて、リモート管理のためのアプリケーションか否かの判定を行う、
媒体。 - 前記複数のイベントは、呼び出しステップと、第1転送ステップと、第2転送ステップと、第3転送ステップと、第4転送ステップのうち、少なくとも1つを含み、
前記呼び出しステップは、コンピュータ・システムにインストールされたオペレーティング・システムのAPI機能のためのアプリケーションによる呼び出しをし、
前記第1転送ステップは、プロセス間通信技術を介したアプリケーションのプロセス間でのデータ転送をし、
前記第2転送ステップは、コンピュータ・システムのソフトウェアコンポーネントとハードウェアコンポーネントとの間のデータ転送をし、
前記第3転送ステップは、コンピュータ・ネットワーク内のアプリケーションによるデータ転送をし、
前記第4転送ステップは、少なくとも1つの周辺にあるデータ入力装置からのアプリケーションへのデータ転送をする、
請求項17に記載のコンピュータ可読媒体。 - 前記第2決定ステップは、時間閾値と、パラメータ相関の少なくとも1つを決定し、
前記時間閾値は、第1の識別された傍受されたイベントの登録と第2の傍受されたイベントの登録との間に経過した時間の閾値で、
前記パラメータ相関は、前記2つの傍受イベントのパラメータは、現在の傍受されたイベントよりも前に登録された特定された傍受されたイベントのパラメータとの相関である、
請求項17に記載のコンピュータ可読媒体。 - 前記判定に応答して前記少なくとも1つのアプリケーションをブロックする第1ブロックステップを更に備え、
前記第1ブロックステップは、第2ブロックステップと、第1除去ステップと、第2除去ステップの少なくとも1つを備え、
前記第2ブロックステップは、少なくとも1つのアプリケーションとのコンピュータ・ネットワークにおけるデータ交換をブロックし、
前記第1除去ステップは、コンピュータ・システムのRAMから少なくとも1つのアプリケーションを除去し、
前記第2除去ステップはコンピュータ・システムの情報媒体から少なくとも1つのアプリケーションを除去する、
請求項17に記載のコンピュータ可読媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016125280A RU2634173C1 (ru) | 2016-06-24 | 2016-06-24 | Система и способ обнаружения приложения удалённого администрирования |
RU2016125280 | 2016-06-24 | ||
US15/386,423 | 2016-12-21 | ||
US15/386,423 US9811661B1 (en) | 2016-06-24 | 2016-12-21 | System and method for protecting computers from unauthorized remote administration |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017228277A JP2017228277A (ja) | 2017-12-28 |
JP6400758B2 true JP6400758B2 (ja) | 2018-10-03 |
Family
ID=60153940
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017028315A Active JP6400758B2 (ja) | 2016-06-24 | 2017-02-17 | 不正リモート管理からのコンピュータを保護するためのシステム及び方法 |
Country Status (5)
Country | Link |
---|---|
US (2) | US9811661B1 (ja) |
EP (1) | EP3261012B1 (ja) |
JP (1) | JP6400758B2 (ja) |
CN (1) | CN107547495B (ja) |
RU (1) | RU2634173C1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2651196C1 (ru) * | 2017-06-16 | 2018-04-18 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения аномальных событий по популярности свертки события |
US10949211B2 (en) * | 2018-12-20 | 2021-03-16 | Vmware, Inc. | Intelligent scheduling of coprocessor execution |
CN109523270B (zh) * | 2018-12-21 | 2021-05-25 | 维沃移动通信有限公司 | 一种信息处理方法及终端设备 |
US11580234B2 (en) | 2019-06-29 | 2023-02-14 | Intel Corporation | Implicit integrity for cryptographic computing |
US11403234B2 (en) | 2019-06-29 | 2022-08-02 | Intel Corporation | Cryptographic computing using encrypted base addresses and used in multi-tenant environments |
US11575504B2 (en) | 2019-06-29 | 2023-02-07 | Intel Corporation | Cryptographic computing engine for memory load and store units of a microarchitecture pipeline |
US11250165B2 (en) | 2019-12-20 | 2022-02-15 | Intel Corporation | Binding of cryptographic operations to context or speculative execution restrictions |
CN111680293B (zh) * | 2020-06-11 | 2024-01-16 | 天翼安全科技有限公司 | 基于互联网的信息监控管理方法、装置及服务器 |
US11669625B2 (en) | 2020-12-26 | 2023-06-06 | Intel Corporation | Data type based cryptographic computing |
US11580035B2 (en) | 2020-12-26 | 2023-02-14 | Intel Corporation | Fine-grained stack protection using cryptographic computing |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6993582B2 (en) * | 1996-07-30 | 2006-01-31 | Micron Technology Inc. | Mixed enclave operation in a computer network |
US7168093B2 (en) * | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
US6990515B2 (en) * | 2002-04-29 | 2006-01-24 | International Business Machines Corporation | Secure method and system to prevent internal unauthorized remotely initiated power up events in computer systems |
JP4159100B2 (ja) * | 2006-04-06 | 2008-10-01 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置による通信を制御する方法およびプログラム |
RU2321055C2 (ru) * | 2006-05-12 | 2008-03-27 | Общество с ограниченной ответственностью Фирма "Анкад" | Устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем |
US7620992B2 (en) | 2007-10-02 | 2009-11-17 | Kaspersky Lab Zao | System and method for detecting multi-component malware |
WO2009151888A2 (en) * | 2008-05-19 | 2009-12-17 | Authentium, Inc. | Secure virtualization system software |
JP5011234B2 (ja) * | 2008-08-25 | 2012-08-29 | 株式会社日立情報システムズ | 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム |
US8522348B2 (en) * | 2009-07-29 | 2013-08-27 | Northwestern University | Matching with a large vulnerability signature ruleset for high performance network defense |
JP2011053893A (ja) * | 2009-09-01 | 2011-03-17 | Hitachi Ltd | 不正プロセス検知方法および不正プロセス検知システム |
CN101739337B (zh) * | 2009-12-14 | 2012-06-20 | 北京理工大学 | 一种基于聚类的软件漏洞序列特征的分析方法 |
US9705899B2 (en) | 2010-01-26 | 2017-07-11 | Bae Systems Information And Electronic Systems Integration Inc. | Digital filter correlation engine |
US8978136B2 (en) * | 2011-02-17 | 2015-03-10 | Terremark Worldwide, Inc. | Systems and methods for detection and suppression of abnormal conditions within a networked environment |
US8776241B2 (en) * | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
CN102567534B (zh) * | 2011-12-31 | 2014-02-19 | 凤凰在线(北京)信息技术有限公司 | 互动产品用户生成内容拦截系统及其拦截方法 |
ES2439803B1 (es) * | 2012-04-19 | 2014-10-29 | Universitat Politècnica De Catalunya | Procedimiento, sistema y pieza de código ejecutable para controlar el uso de recursos de hardware de un sistema informático |
RU2514140C1 (ru) | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов |
US8630204B1 (en) * | 2012-10-03 | 2014-01-14 | LiveQoS Inc. | System and method for a TCP mapper |
US8990944B1 (en) * | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9009782B2 (en) * | 2013-08-19 | 2015-04-14 | Freescale Semiconductor, Inc. | Steering traffic among multiple network services using a centralized dispatcher |
US9451043B2 (en) * | 2013-09-13 | 2016-09-20 | Evie Labs, Inc. | Remote virtualization of mobile apps |
CN103440459B (zh) * | 2013-09-25 | 2016-04-06 | 西安交通大学 | 一种基于函数调用的Android恶意代码检测方法 |
CN103561004B (zh) * | 2013-10-22 | 2016-10-12 | 西安交通大学 | 基于蜜网的协同式主动防御系统 |
US20150205962A1 (en) | 2014-01-23 | 2015-07-23 | Cylent Systems, Inc. | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption |
RU2571721C2 (ru) * | 2014-03-20 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения мошеннических онлайн-транзакций |
US9509708B2 (en) | 2014-12-02 | 2016-11-29 | Wontok Inc. | Security information and event management |
CN105184160B (zh) * | 2015-07-24 | 2018-05-18 | 哈尔滨工程大学 | 一种基于API对象调用关系图的Android手机平台应用程序恶意行为检测的方法 |
CN105550584A (zh) * | 2015-12-31 | 2016-05-04 | 北京工业大学 | 一种Android平台下基于RBAC的恶意程序拦截及处置方法 |
-
2016
- 2016-06-24 RU RU2016125280A patent/RU2634173C1/ru active
- 2016-12-21 US US15/386,423 patent/US9811661B1/en active Active
-
2017
- 2017-01-31 EP EP17154002.4A patent/EP3261012B1/en active Active
- 2017-02-17 JP JP2017028315A patent/JP6400758B2/ja active Active
- 2017-02-21 CN CN201710092597.0A patent/CN107547495B/zh active Active
- 2017-10-16 US US15/784,710 patent/US10095865B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US20180052996A1 (en) | 2018-02-22 |
EP3261012B1 (en) | 2019-10-16 |
CN107547495B (zh) | 2020-12-11 |
US10095865B2 (en) | 2018-10-09 |
JP2017228277A (ja) | 2017-12-28 |
US9811661B1 (en) | 2017-11-07 |
RU2634173C1 (ru) | 2017-10-24 |
CN107547495A (zh) | 2018-01-05 |
EP3261012A1 (en) | 2017-12-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6400758B2 (ja) | 不正リモート管理からのコンピュータを保護するためのシステム及び方法 | |
US11240262B1 (en) | Malware detection verification and enhancement by coordinating endpoint and malware detection systems | |
US20200366694A1 (en) | Methods and systems for malware host correlation | |
RU2706896C1 (ru) | Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле | |
JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
CN109586282B (zh) | 一种电网未知威胁检测系统及方法 | |
Zhao et al. | Malicious executables classification based on behavioral factor analysis | |
WO2016160599A1 (en) | System and method for threat-driven security policy controls | |
US10142343B2 (en) | Unauthorized access detecting system and unauthorized access detecting method | |
KR100985074B1 (ko) | 선별적 가상화를 이용한 악성 코드 사전 차단 장치, 방법 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
EP3252647B1 (en) | System and method of detecting malicious files on a virtual machine in a distributed network | |
JP6341964B2 (ja) | 悪意のあるコンピュータシステムを検出するシステム及び方法 | |
CN112532631A (zh) | 一种设备安全风险评估方法、装置、设备及介质 | |
JP6383445B2 (ja) | 保護されたアプリケーションへのアクセスを阻止するシステム及び方法 | |
JP7320462B2 (ja) | アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法 | |
CN110659478B (zh) | 在隔离的环境中检测阻止分析的恶意文件的方法 | |
RU2587424C1 (ru) | Способ контроля приложений | |
EP3252645B1 (en) | System and method of detecting malicious computer systems | |
US10552626B2 (en) | System and method for selecting a data entry mechanism for an application based on security requirements | |
WO2020161780A1 (ja) | 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体 | |
JP6687844B2 (ja) | マルウエア解析装置、マルウエア解析方法及びマルウエア解析プログラム | |
EP3151149B1 (en) | System and method for blocking execution of scripts | |
Lee | USB Hardware Trojan Horse Device Attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180605 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180808 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180904 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180905 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6400758 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |