JP6416835B2 - 不要なソフトウェアの検出システム及び方法 - Google Patents
不要なソフトウェアの検出システム及び方法 Download PDFInfo
- Publication number
- JP6416835B2 JP6416835B2 JP2016167565A JP2016167565A JP6416835B2 JP 6416835 B2 JP6416835 B2 JP 6416835B2 JP 2016167565 A JP2016167565 A JP 2016167565A JP 2016167565 A JP2016167565 A JP 2016167565A JP 6416835 B2 JP6416835 B2 JP 6416835B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- files
- computer
- file
- applications
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/16—Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Description
本出願は、米国特許法第119条(a)〜(d)(35USC 119(a)−(d))下の優先権の利益を主張する。2016年5月20日に出願されたロシア特許出願2016119520号は、本明細書中に参照として援用されるものとする。
<条件>
(1)前記ファイルは、同じアプリケーションにより作成される。
(2)前記ファイルは同じネットワークアドレスからコンピュータにロードされる。
(3)前記ファイルの修正に係る時間間隔は、選択された閾値よりも小さい。
(4)前記ファイルは同一又は類似の属性若しくはデータを有している。
(1)前記コンピュータ・デバイスへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションを実行する。
(2)前記コンピュータ・デバイスのオペレーティングシステムのAPI(Application−Programmingインターフェース)を、それぞれのアプリケーションが呼び出す。
(3)前記コンピュータ・デバイスへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションに関連付けられているファイルを修正する。
(4)それぞれアプリケーションのインタ−フェースを用いて、それぞれのアプリケーションとのデータ通信を行うための動作を起こす。
取得工程と、検出工程と、ファイル特定工程と、アプリケーション特定工程と、判定工程と、決定工程とを備え、前記取得工程では、前記コンピュータ・デバイスのプロセッサを介して、前記コンピュータ・デバイスにインストールされた第1アプリケーションと関連付けられている情報を取得し、前記検出工程では、第1アプリケーションと関連付けられている第1ファイルを検出し、前記ファイル特定工程では、選択された条件に少なくとも基づいて、第1ファイルと関連し且つ前記コンピュータ・デバイスにインストールされた第2ファイルを特定し、前記アプリケーション特定工程では、第1及び第2ファイルのうちの少なくとも1つを使って前記コンピュータ・デバイスにインストールされた第2アプリケーションを特定し、前記判定工程では、第1及び第2アプリケーションそれぞれの使用頻度を判定し、前記決定工程では、前記使用頻度に基づいて、第1アプリケーションが不要なアプリケーションであるか否かを決定する。
(1)ユーザのコンピュータにインストールされたアプリケーションを記憶する。
(2)ユーザのコンピュータにインストールされたアプリケーションに関連付けられているファイルを記憶する。
(3)当該アプリケーション及びファイルを収集モジュール111に提示する。
(1)ドライバ(コンピュータマウス、キーボード等)の補助によりコンピュータ・システムにインストールされたアプリケーションにおけるユーザの動作を追跡する。
(2)当該追跡された動作を記憶する。
(3)当該記憶された情報をスキャンモジュール113に提示する。
(1)コンピュータ・システムにインストールされているアプリケーションをファイル及びアプリケーションの記憶部101から取得する。
(2)当該取得されたアプリケーションに関連付けられている少なくとも1つのファイルを検出する。
(3)当該検出されたファイルと同じコンピュータ・システムにある少なくとも1つの他のファイルと、検出されたファイルとの関係(後述のうち少なくとも2つの条件が満たされる場合は、2つのファイルは関係しているものとする)についての情報を収集する。
(4)当該収集された情報を検索モジュール112に送信する。
<条件>
・ファイルは、同じアプリケーションにより作成された。
・ファイルは同じネットワークアドレスからコンピュータにダウンロードされた。
・ファイルの修正に係る時間間隔は、選択された閾値よりも小さい。
・ファイルは同一又は類似の属性若しくはデータを有している。
・1つのファイル(第1ファイル)は、データであって第2ファイルに含まれているデータとの類似係数が、選択された閾値よりも大きいデータを含みうる。
・互いに異なる複数のファイルの属性は、互いに一致している。
・ファイルのパスは、同じレジストリ・ブランチにあるレジストリ・キーの値の範囲に入りうる。
・ファイルについての情報を含むレジストリ・エントリの修正に係る時間間隔は、所定の閾値よりも小さい。
・デジタル署名(「マイクロソフト・ワード」と「マイクロソフト・エクセル」を作り出している実行可能なファイルのリソースのうちの1つ)。
・ソフトウェアのメーカー(マイクロソフト)のメーカー。
・ファイルシステムにおけるインストールに係る共通パス(「C:¥Programs File¥マイクロソフト・オフィス2013」)。
(1)収集モジュール111により取得されたアプリケーションと同じコンピュータ・システムにインストールされているアプリケーションであって、収集モジュール111により見つけられた少なくとも1つのファイルを含んでいる少なくとも1つのアプリケーションを検出する。
(2)検出されたアプリケーションを特定する情報をスキャンモジュール113に送信する。
(1)個々のアプリケーションの識別子(例えば、コンピュータ・システムにインストールされたアプリケーションについての情報を含んでいるレジストリ・ブランチに蓄えられた個々のアプリケーションの名前)。
(2)個々のアプリケーションに関連付けられたファイルのパス。
(3)個々のアプリケーションをコンピュータ・システムにおいて起動させるためのルール(例えば、実行可能なファイルのパスとスタートキーとを含んでいる開始ライン)。
(1)収集モジュール111より取得されたアプリケーションと検索モジュール112により取得された情報から特定されたアプリケーションとの使用頻度(コンピュータ・システムのアプリケーションにより実行された行動の数)を判定する。
(2)収集モジュール111により取得されたアプリケーションと検索モジュール112により取得された情報から特定されたアプリケーションとの使用頻度との比較に基づき、収集モジュール 111により取得されたアプリケーションを不要なアプリケーションとして検出する。
(1)アプリケーションについて、コンピュータ・システムにインストールされてからアンチウィルス・スキャンを実行されるまでのアプリケーションの実行頻度。
(2)コンピュータ・システム上での動作中における、アプリケーションによるオペレーティングシステムのAPI(Application−Programmingインターフェース)機能の呼び出し頻度。
(3)アプリケーションについて、コンピュータ・システムでファイルが作成されてからアンチウィルス・スキャンを実行するまでにアプリケーションに関連付けられたそのファイルの修正頻度。
(4)データをアプリケーションに送信するため、アプリケーションのインタフェース要素を用いて実行される動作の頻度。
(1)個々のアプリケーションの使用頻度は、上述の頻度のうちの1つ又は複数から成り、多次元のベクトルであってその成分がアプリケーションの使用頻度を構成している頻度のうちの1つを表すベクトルとして表現される。例えば、θ={θ1,θ2,・・・θn}であり、各成分は以下を表している。
・θ:アプリケーションの使用頻度
・θ1:アプリケーションについて、コンピュータ・システムにインストールされてからアンチウィルス・スキャンを実行されるまでの起動頻度。
・θ2:コンピュータ・システム上での動作中における、アプリケーションによるオペレーティングシステムのAPI(Application−Programmingインターフェース)機能の呼び出し頻度。
・θ3:アプリケーションについて、コンピュータ・システムでファイルが作成されてからアンチウィルス・スキャンを実行するまでにアプリケーションに関連付けられたそのファイルの修正頻度。
・θ4:データをアプリケーションに送信するため、アプリケーションのインタフェース要素を用いて実行される動作の頻度。
(2)2つのベクトルの内積を計算する。これは、個々のベクトルがアプリケーションの使用頻度を表すものであり、上述のものである。つまり、ω=〈θ、φ〉=θ1×φ1+θ2×φ2+・・・+θn×φnである。ただし、
・θ:アプリケーション#1の使用頻度
・φ:アプリケーション#2の使用頻度
である。
(3)計算された値が、選択された閾値と比較され、当該計算された値が閾値よりも大きいときは、収集モジュール111により取得されたアプリケーションが不要であると決定されうる。
マイクロソフト・ワードについて、
(1)アプリケーションを実行する頻度(例えば1日ごと等)
(2)アプリケーションにデータを送信するためにアプリケーションのインタフェース要素を用いて実行された動作の頻度(ユーザがテキストをタイプしている場合に1秒あたり1回等)。
アドブロック・プラスについて
(3)アプリケーションを実行する頻度(例えば1日あたり10回等)
(4)アプリケーションにデータを送信するためにアプリケーションのインタフェース要素を用いて実行された動作の頻度(ユーザがアプリケーション設定を変更している場合に1秒あたり0.0000034回等)。
ω=〈θ,φ〉=θ1φ1+θ2φ2
ここで、
・ω:マイクロソフト・ワードθとアドブロック・プラスφの使用の頻度の比較の結果。
・θ1:マイクロソフト・ワードの実行頻度
・φ1:アドブロック・プラスの実行頻度
・θ2:マイクロソフト・ワード・アプリケーションのインタフェース要素を用いて実行された動作の頻度
・φ2:アドブロック・プラス・アプリケーションのインタフェース要素を用いて実行された動作の頻度
・1分未満の「ytbar.exe」の作成時間とは異なる作成時間であるファイルの検索が実行される。
・「ytbar.exe」と同じディレクトリ(又は似たような名前のディレクトリ、例えば「..¥Chrome¥Plugins¥ytbar.exe」と「..¥Firefox¥Plugins¥ytbar2.exe」)に位置するファイルの検索が実行される。
そして、以下(1)〜(3)が決定されうる。
(1).dllライブラリである、アプリケーションのファイル「K−Liteコーデック」は 、1日あたり30回起動された。
(2)アプリケーションのビデオ及びオーディオファイルとともに動作し、ユーティリティの実行可能な.exeファイルから成っている「K−Liteコーデック」が1日あたり2回実行された。
(3)「K−Liteコーデック」アプリケーションのファイルのうちの1つであるユーティリティ(「GraphStudioNext64.exe」)は、コントロール要素を含むむグラフィック・インタフェースを有し、ユーザは、「GraphStudioNext64.exe」というファイルを毎回起動するために、そのコントロール要素を15回用いて、インタラクションを図る(ボタンを押してパラメータを入力)。
(1)アプリケーション「ヤンデックス・ツールバー」のファイルが、1日あたり25回(ブラウザが起動した回数と一致)実行された。
(2)アプリケーション「ヤンデックス・ツールバー」のグラフィック・インタフェースでは、アプリケーションにデータを送信するためにインターフェース要素を用いてなんらの動作も一度も実行されていない。
(1)アプリケーション「K−Liteコーデック」とともに同じインストール・パッケージ(K−Liteコーデックパック・メガ)からインストールされたものであること。
(2)インストールされているが、ユーザには使用されていないこと。
(1)ファイルが同じアプリケーションにより作成された。
(2)ファイルが同じネットワークアドレスからコンピュータにダウンロードされた。
(3)ファイル修正に係る時間間隔が所定の閾値未満である。
(4)同一種類のファイルである(例えば、ファイルの種類が、実行可能なファイル.exe、ライブラリ.dll、アーカイブ.zip、ビデオ.avi等)。
(5)1つのファイルが、第2ファイルに含まれているデータの類似係数が、選択された閾値よりも大きいデータを含む。
(6)どちらのファイルもファイルの属性が類似又は同一である。
(7)ファイルの位置へのパスが、同じレジストリ・ブランチに位置するレジストリ・キーの値の範囲においてファイルのパスがある。
(8)ファイルについての情報を含んでいるレジストリのエントリの修正に係る時間間隔が、所定の閾値未満である。
(1)個々のアプリケーションの識別子(例えば、コンピュータ・システムにインストールされたアプリケーションについての情報を含んでいるレジストリ・ブランチに蓄えられた個々のアプリケーションの名前)。
(2)個々のアプリケーションに関連付けられたファイルへのパス。
(3)コンピュータ・システムにおける個々のアプリケーションの起動のルール(例えば、実行可能なファイルと起動キーのパスを含むスタートライン)。
アプリケーションの使用頻度は、以下(1)〜(4)の何れかである。
(1)コンピュータ・システムのそのインストールの瞬間から、アプリケーションのアンチウィルス・スキャンを実行する瞬間までアプリケーションの実行頻度。
(2)コンピュータ・システムにおいて動作中のアプリケーションによるオペレーティング・システムのAPI機能の呼び出しの頻度。
(3)コンピュータ・システムにおけるこれらの作成の瞬間から、アプリケーションのアンチウィルス・スキャンを実行する瞬間までの、そのアプリケーションに関連付けられたファイルの修正頻度。
(4)行動の頻度がアプリケーションにデータを転送するアプリケーショのインターフェース要素を用いて実行された動作の頻度。
(1)ステップ205において取得された個々のアプリケーションの使用頻度は、上記頻度のうちの1つ又は複数から成り且つ多次元ベクトルとして表されうるもので、その成分は、アプリケーションの使用頻度から成る頻度のうちの1つを表しうる。例えば、
・θ={θ1,θ2,・・・θn}
・θ:アプリケーションの使用頻度
・θ1:アプリケーションについて、コンピュータ・システムにインストールされてからアンチウィルス・スキャンを実行されるまでの起動頻度。
・θ2:コンピュータ・システム上での動作中における、アプリケーションによるオペレーティングシステムのAPI(Application−Programmingインターフェース)機能の呼び出し頻度。
・θ3:アプリケーションについて、コンピュータ・システムでファイルが作成されてからアンチウィルス・スキャンを実行するまでにアプリケーションに関連付けられたそのファイルの修正頻度。
・θ4:データをアプリケーションに送信するため、アプリケーションのインタフェース要素を用いて実行される動作の頻度。
(2)2つのベクトルの内積を計算する。これは、個々のベクトルがアプリケーションの使用頻度を表すものであり、上述のものである。つまり、ω=〈θ、φ〉=θ1×φ1+θ2×φ2+・・・+θn×φnである。ただし、
・θ:アプリケーション#1の使用頻度
・φ:アプリケーション#2の使用頻度
である。
(3)計算された値が、選択された閾値と比較され、当該計算された値が閾値よりも大きいときは、ステップ201において取得されたアプリケーションが不要であると決定されうる。
(1)ファイルが同じアプリケーションにより作成された。
(2)ファイルが同じネットワークアドレスからコンピュータにダウンロードされた。
(3)ファイル修正に係る時間間隔が所定の閾値未満である;
(4)どちらのファイルもファイルの属性が類似又は同一である。
(5)ファイルの位置へのパスが、同じレジストリ・ブランチに位置するレジストリ・キーの値の範囲においてファイルのパスがある。
(6)ファイルについての情報を含んでいるレジストリのエントリの修正に係る時間間隔が、所定の閾値未満である。
(1)アプリケーションについて、コンピュータ・システムにインストールされてからアンチウィルス・スキャンを実行されるまでのアプリケーションの実行頻度。
(2)コンピュータ・システム上での動作中における、アプリケーションによるオペレーティングシステムのAPI(Application−Programmingインターフェース)機能の呼び出し頻度。
(3)アプリケーションについて、コンピュータ・システムでファイルが作成されてからアンチウィルス・スキャンを実行するまでにアプリケーションに関連付けられたそのファイルの修正頻度。
(4)データをアプリケーションに送信するため、アプリケーションのインタフェース要素を用いて実行される動作の頻度。
Claims (20)
- コンピュータ・デバイスにインストールされた1つ又は複数の不要なアプリケーションを検出する、コンピュータで実行可能な方法であって、
取得工程と、検出工程と、ファイル特定工程と、アプリケーション特定工程と、判定工程と、決定工程とを備え、
前記取得工程では、前記コンピュータ・デバイスのプロセッサを介して、前記コンピュータ・デバイスにインストールされた第1アプリケーションと関連付けられている情報を取得し、
前記検出工程では、第1アプリケーションと関連付けられている第1ファイルを検出し、
前記ファイル特定工程では、選択された条件に少なくとも基づいて、第1ファイルと関連し且つ前記コンピュータ・デバイスにインストールされた第2ファイルを特定し、
前記アプリケーション特定工程では、第1及び第2ファイルのうちの少なくとも1つを使って前記コンピュータ・デバイスにインストールされた第2アプリケーションを特定し、
前記判定工程では、第1及び第2アプリケーションそれぞれの使用頻度を判定し、
前記決定工程では、前記使用頻度に基づいて、第1アプリケーションが不要なアプリケーションであるか否かを決定する、
コンピュータで実行可能な方法。 - 前記選択された条件は、次に掲げる(1)〜(4)の少なくとも1つである、請求項1に記載のコンピュータで実行可能な方法。
(1)2つのファイルである第1及び第2ファイルは、同じアプリケーションにより作成されたものである。
(2)第1及び第2ファイルは、同じネットワークアドレスから前記コンピュータ・デバイスにロードされたものである。
(3)第1及び第2ファイルの修正に係る時間間隔は、選択された閾値よりも小さい。
(4)第1及び第2ファイルは、同一又は類似の属性若しくはデータを有する。 - 前記選択された閾値は、1秒未満、1秒〜1分、及び1分〜10分の少なくとも1つである、請求項2に記載のコンピュータで実行可能な方法。
- 前記検出工程は、
第1アプリケーションと関連付けられているファイルの場所であるパスを示すウィンドウズ・レジストリのエントリを分析し、
第1アプリケーションの起動を担う少なくとも1つのファイルと同じパスである第1ファイルを特定する、
請求項1に記載のコンピュータで実行可能な方法。 - 少なくとも、
第1及び第2ファイルにより共有された特徴セットを特定し、前記特徴セットそれぞれのN次元ベクトルを決定し、これら少なくとも2つのN次元ベクトルの内積に基づいて、第1及び第2ファイルの類似度を決定することで、
第1及び第2ファイルの同一又は類似の属性若しくはデータを決定することを更に備える、
請求項2に記載のコンピュータで実行可能な方法。 - 前記アプリケーション特定工程は、次に掲げる(1)〜(3)の少なくとも1つに基づく、請求項1に記載のコンピュータで実行可能な方法。
(1)前記コンピュータ・デバイスにインストールされたアプリケーションを特定するためレジストリ・ブランチに保存された情報。
(2)第1及び第2ファイルであってそれぞれに対応するアプリケーションに関連付けられている第1及び第2ファイルのパス
(3)前記コンピュータ・デバイスにインストールされたアプリケーションそれぞれを起動するためのルール。 - 前記判定工程は、次に掲げる(1)〜(4)の少なくとも1つの頻度を判定することを備える、請求項1に記載のコンピュータで実行可能な方法。
(1)前記コンピュータ・デバイスへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションを実行する。
(2)前記コンピュータ・デバイスのオペレーティングシステムのAPI(Application−Programmingインターフェース)を、それぞれのアプリケーションが呼び出す。
(3)前記コンピュータ・デバイスへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションに関連付けられているファイルを修正する。
(4)それぞれアプリケーションのインタ−フェースを用いて、それぞれのアプリケーションとのデータ通信を行うための動作を起こす。 - コンピュータ・デバイスにインストールされた1つ又は複数の不要なアプリケーションを検出するためのシステムであって、
少なくとも1つのプロセッサを備え、
前記プロセッサは、
前記コンピュータ・デバイスにインストールされた第1アプリケーションと関連付けられている情報を取得し、
第1アプリケーションと関連付けられている第1ファイルを検出し、
選択された条件に少なくとも基づいて、第1ファイルと関連付けられている第2ファイルを特定し、
第1及び第2ファイルの少なくとも1つを使って前記コンピュータ・デバイスにインストールされた第2アプリケーションを特定し、
第1及び第2アプリケーションそれぞれの使用頻度を判定し、
前記使用頻度に基づいて、第1アプリケーションが不要なアプリケーションであるか否かを決定する、ように構成される、
システム。 - 前記選択された条件は、次に掲げる(1)〜(4)の少なくとも1つである、請求項8に記載のシステム。
(1)2つのファイルである第1及び第2ファイルは、同じアプリケーションにより作成されたものである。
(2)第1及び第2ファイルは、同じネットワークアドレスから前記コンピュータ・デバイスにロードされたものである。
(3)第1及び第2ファイルの修正に係る時間間隔は、選択された閾値よりも小さい。
(4)第1及び第2ファイルは、同一又は類似の属性若しくはデータを有する。 - 前記選択された閾値は、1秒未満、1秒〜1分、及び1分〜10分の少なくとも1つである、請求項9に記載のシステム。
- 第1ファイルの検出において、前記プロセッサは、
第1アプリケーションと関連付けられているファイルの場所であるパスを示すウィンドウズ・レジストリのエントリを分析し、
第1アプリケーションの起動を担う少なくとも1つのファイルと同じパスである第1ファイルを特定する、ように構成される、
請求項8に記載のシステム。 - 前記プロセッサは、少なくとも、
第1及び第2ファイルにより共有された特徴セットを特定し、前記特徴セットそれぞれのN次元ベクトルを決定し、これら少なくとも2つのN次元ベクトルの内積に基づいて、第1及び第2ファイルの類似度を決定することで、
第1及び第2ファイルの同一又は類似の属性若しくはデータを決定するように構成される、請求項8に記載のシステム。 - 第2アプリケーションの特定において、前記プロセッサは、次に掲げる(1)〜(3)の少なくとも1つに基づくように構成される、請求項8に記載のシステム。
(1)前記コンピュータ・デバイスにインストールされたアプリケーションを特定するためレジストリ・ブランチに保存された情報。
(2)第1及び第2ファイルであってそれぞれに対応するアプリケーションに関連付けられている第1及び第2ファイルのパス
(3)前記コンピュータ・デバイスにインストールされたアプリケーションそれぞれを起動するためのルール。 - 前記使用頻度の判定において、前記プロセッサは、次に掲げる(1)〜(4)の少なくとも1つを備えるように構成される、請求項8に記載のシステム。
(1)前記コンピュータ・デバイスへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションを実行する。
(2)前記コンピュータ・デバイスのオペレーティングシステムのAPI(Application−Programmingインターフェース)を、それぞれのアプリケーションが呼び出す。
(3)前記コンピュータ・デバイスへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションに関連付けられているファイルを修正する。
(4)それぞれアプリケーションのインタ−フェースを用いて、それぞれのアプリケーションとのデータ通信を行うための動作を起こす。 - コンピュータに実行可能なコードを保存する不揮発性コンピュータ可読媒体であって、
前記コードは、少なくとも1つのコンピュータに
前記少なくとも1つのコンピュータのプロセッサを介して、前記少なくとも1つのコンピュータにインストールされた第1アプリケーションと関連付けられている情報を取得し、
第1アプリケーションと関連付けられている第1ファイルを検出し、
選択された条件に少なくとも基づいて、第1ファイルと関連し且つ前記少なくとも1つのコンピュータにインストールされた第2ファイルを特定し、
第1及び第2ファイルのうちの少なくとも1つを使って前記少なくとも1つのコンピュータにインストールされた第2アプリケーションを特定させ、
第1及び第2アプリケーションそれぞれの使用頻度を判定し、
前記使用頻度に基づいて、第1アプリケーションが不要なアプリケーションであるか否かを決定する、ことを実行させる
コンピュータ可読媒体。 - 前記選択された条件は、次に掲げる(1)〜(4)の少なくとも1つである、請求項15に記載のコンピュータ可読媒体。
(1)2つのファイルである第1及び第2ファイルは、同じアプリケーションにより作成されたものである。
(2)第1及び第2ファイルは、同じネットワークアドレスから前記少なくとも1つのコンピュータにロードされたものである。
(3)第1及び第2ファイルの修正に係る時間間隔は、選択された閾値よりも小さい。
(4)第1及び第2ファイルは、同一又は類似の属性若しくはデータを有する。 - 第1ファイルの検出は、
第1アプリケーションと関連付けられているファイルの場所であるパスを示すウィンドウズ・レジストリのエントリを分析し、
第1アプリケーションの起動を担う少なくとも1つのファイルと同じパスである第1ファイルを特定する、
請求項15に記載のコンピュータ可読媒体。 - 少なくとも、
第1及び第2ファイルにより共有された特徴セットを特定し、前記特徴セットそれぞれのN次元ベクトルを決定し、これら少なくとも2つのN次元ベクトルの内積に基づいて、第1及び第2ファイルの類似度を決定することで、
第1及び第2ファイルの同一又は類似の属性若しくはデータを決定することを、
前記少なくとも1つのコンピュータに実行させるコードを更に備える、請求項16に記載のコンピュータ可読媒体。 - 第2アプリケーションの特定は、次に掲げる(1)〜(3)の少なくとも1つに基づく、請求項15に記載のコンピュータ可読媒体。
(1)前記少なくとも1つのコンピュータにインストールされたアプリケーションを特定するためレジストリ・ブランチに保存された情報。
(2)第1及び第2ファイルであってそれぞれに対応するアプリケーションに関連付けられている第1及び第2ファイルのパス
(3)前記少なくとも1つのコンピュータにインストールされたアプリケーションそれぞれを起動するためのルール。 - 前記使用頻度の判定は、次に掲げる(1)〜(3)の少なくとも1つを前記少なくとも1つのコンピュータに実行させるコードを更に備える、請求項15に記載のコンピュータ可読媒体。
(1)前記少なくとも1つのコンピュータへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションを実行する。
(2)前記少なくとも1つのコンピュータのオペレーティングシステムのAPI(Application−Programmingインターフェース)を、それぞれのアプリケーションが呼び出す。
(3)前記少なくとも1つのコンピュータへのインストールからアンチウィルス・スキャンまで、それぞれのアプリケーションに関連付けられているファイルを修正する。
(4)それぞれアプリケーションのインタ−フェースを用いて、それぞれのアプリケーションとのデータ通信を行うための動作を起こす。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016119520A RU2634177C1 (ru) | 2016-05-20 | 2016-05-20 | Система и способ обнаружения нежелательного программного обеспечения |
RU2016119520 | 2016-05-20 | ||
US15/213,826 | 2016-07-19 | ||
US15/213,826 US10255431B2 (en) | 2016-05-20 | 2016-07-19 | System and method of detecting unwanted software |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017208057A JP2017208057A (ja) | 2017-11-24 |
JP6416835B2 true JP6416835B2 (ja) | 2018-10-31 |
Family
ID=60153990
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016167565A Active JP6416835B2 (ja) | 2016-05-20 | 2016-08-30 | 不要なソフトウェアの検出システム及び方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US10255431B2 (ja) |
JP (1) | JP6416835B2 (ja) |
CN (1) | CN107403093B (ja) |
RU (1) | RU2634177C1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2634177C1 (ru) * | 2016-05-20 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения нежелательного программного обеспечения |
JP2018109910A (ja) * | 2017-01-05 | 2018-07-12 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
JP6866645B2 (ja) | 2017-01-05 | 2021-04-28 | 富士通株式会社 | 類似度判定プログラム、類似度判定方法および情報処理装置 |
CN108055582A (zh) * | 2017-12-14 | 2018-05-18 | 深圳市雷鸟信息科技有限公司 | 应用安装方法及智能电视 |
CN109464805A (zh) * | 2018-10-11 | 2019-03-15 | 北京奇虎科技有限公司 | 恶意程序检测方法、装置、电子设备和存储介质 |
KR102317833B1 (ko) * | 2019-10-31 | 2021-10-25 | 삼성에스디에스 주식회사 | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6941135B2 (en) * | 2001-08-13 | 2005-09-06 | Qualcomm Inc. | System and method for temporary application component deletion and reload on a wireless device |
US7203343B2 (en) * | 2001-09-21 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | System and method for determining likely identity in a biometric database |
US7243245B2 (en) * | 2003-06-20 | 2007-07-10 | International Business Machines Corporation | Method and system for performing automatic startup application launch elimination |
US20050091535A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Application identity for software products |
US7765592B2 (en) * | 2004-01-10 | 2010-07-27 | Microsoft Corporation | Changed file identification, software conflict resolution and unwanted file removal |
US20050268112A1 (en) * | 2004-05-28 | 2005-12-01 | Microsoft Corporation | Managing spyware and unwanted software through auto-start extensibility points |
US8321910B1 (en) * | 2005-01-21 | 2012-11-27 | Trend Micro, Inc. | Determining the source of malware |
US20060212940A1 (en) * | 2005-03-21 | 2006-09-21 | Wilson Michael C | System and method for removing multiple related running processes |
US7739682B1 (en) * | 2005-03-24 | 2010-06-15 | The Weather Channel, Inc. | Systems and methods for selectively blocking application installation |
US9235703B2 (en) * | 2005-09-30 | 2016-01-12 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Virus scanning in a computer system |
US7840958B1 (en) * | 2006-02-17 | 2010-11-23 | Trend Micro, Inc. | Preventing spyware installation |
US8181244B2 (en) * | 2006-04-20 | 2012-05-15 | Webroot Inc. | Backward researching time stamped events to find an origin of pestware |
US20070294767A1 (en) * | 2006-06-20 | 2007-12-20 | Paul Piccard | Method and system for accurate detection and removal of pestware |
US20080028466A1 (en) * | 2006-07-26 | 2008-01-31 | Michael Burtscher | System and method for retrieving information from a storage medium |
US8775333B1 (en) * | 2008-08-20 | 2014-07-08 | Symantec Corporation | Systems and methods for generating a threat classifier to determine a malicious process |
US8473607B2 (en) * | 2008-09-02 | 2013-06-25 | Belarc, Inc. | System and method for software usage discovery |
US8701192B1 (en) * | 2009-06-30 | 2014-04-15 | Symantec Corporation | Behavior based signatures |
RU2449348C1 (ru) * | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
US8413244B1 (en) * | 2010-11-11 | 2013-04-02 | Symantec Corporation | Using temporal attributes to detect malware |
US8781985B2 (en) * | 2010-12-14 | 2014-07-15 | Microsoft Corporation | Addressing system degradation by application disabling |
JP5560213B2 (ja) * | 2011-02-10 | 2014-07-23 | 株式会社Nttドコモ | 情報提供サーバ及び情報提供方法 |
US8181247B1 (en) * | 2011-08-29 | 2012-05-15 | Kaspersky Lab Zao | System and method for protecting a computer system from the activity of malicious objects |
RU2486588C1 (ru) * | 2012-03-14 | 2013-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы |
US20130326499A1 (en) * | 2012-05-31 | 2013-12-05 | Microsoft Corporation | Automatically installing and removing recommended applications |
JP6050972B2 (ja) * | 2012-06-29 | 2016-12-21 | 株式会社Nttドコモ | 情報処理装置、情報通知方法及びプログラム |
JP6223740B2 (ja) * | 2013-07-25 | 2017-11-01 | 京セラ株式会社 | 電子機器、プログラムおよび電子機器の制御方法 |
US10021169B2 (en) * | 2013-09-20 | 2018-07-10 | Nuance Communications, Inc. | Mobile application daily user engagement scores and user profiles |
US9471624B1 (en) * | 2013-12-26 | 2016-10-18 | Quixey, Inc. | Method for recommending applications for deletion |
US9773112B1 (en) * | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US9483643B1 (en) * | 2015-03-13 | 2016-11-01 | Symantec Corporation | Systems and methods for creating behavioral signatures used to detect malware |
US9619649B1 (en) * | 2015-03-13 | 2017-04-11 | Symantec Corporation | Systems and methods for detecting potentially malicious applications |
RU2618947C2 (ru) * | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
RU2634177C1 (ru) * | 2016-05-20 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения нежелательного программного обеспечения |
US10104431B2 (en) * | 2016-06-30 | 2018-10-16 | Verizon Patent And Licensing Inc. | Methods and systems for resolving recording conflicts in a hybrid cloud-local digital video recording system |
-
2016
- 2016-05-20 RU RU2016119520A patent/RU2634177C1/ru active
- 2016-07-19 US US15/213,826 patent/US10255431B2/en active Active
- 2016-08-30 JP JP2016167565A patent/JP6416835B2/ja active Active
- 2016-09-29 CN CN201610866239.6A patent/CN107403093B/zh active Active
-
2019
- 2019-02-11 US US16/271,944 patent/US10671720B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US10671720B2 (en) | 2020-06-02 |
US20190171810A1 (en) | 2019-06-06 |
US20170337371A1 (en) | 2017-11-23 |
US10255431B2 (en) | 2019-04-09 |
CN107403093A (zh) | 2017-11-28 |
RU2634177C1 (ru) | 2017-10-24 |
CN107403093B (zh) | 2020-04-14 |
JP2017208057A (ja) | 2017-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6416835B2 (ja) | 不要なソフトウェアの検出システム及び方法 | |
RU2454714C1 (ru) | Система и способ повышения эффективности обнаружения неизвестных вредоносных объектов | |
US9547765B2 (en) | Validating a type of a peripheral device | |
CN109145600B (zh) | 使用静态分析元素检测恶意文件的系统和方法 | |
EP2955658B1 (en) | System and methods for detecting harmful files of different formats | |
KR101832533B1 (ko) | 획득된 파일의 평판 검사 기법 | |
US8079085B1 (en) | Reducing false positives during behavior monitoring | |
US8732587B2 (en) | Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons | |
US10691739B2 (en) | Multi-label content recategorization | |
JP6400758B2 (ja) | 不正リモート管理からのコンピュータを保護するためのシステム及び方法 | |
US20150229673A1 (en) | Apparatus and method for diagnosing malicious applications | |
JP6290297B2 (ja) | 変更または破損した外部デバイスを検出するためのシステム及び方法 | |
CN107203717B (zh) | 在虚拟机上执行文件的防病毒扫描的系统和方法 | |
JP6577399B2 (ja) | 望ましくないプログラムのインストール及び実行を予防するシステム及び方法 | |
US20190147163A1 (en) | Inferential exploit attempt detection | |
JP2013543624A (ja) | コンピュータシステムの分析方法および装置 | |
US20070074172A1 (en) | Software problem administration | |
US20180341770A1 (en) | Anomaly detection method and anomaly detection apparatus | |
US20090193411A1 (en) | Method and system for assessing deployment and un-deployment of software installations | |
RU2665910C1 (ru) | Система и способ обнаружения вредоносного кода в адресном пространстве процессов | |
WO2023067665A1 (ja) | 解析機能付与方法、解析機能付与装置及び解析機能付与プログラム | |
EP3246840B1 (en) | System and method of detecting unwanted software | |
JPWO2019049478A1 (ja) | コールスタック取得装置、コールスタック取得方法およびコールスタック取得プログラム | |
JP7416255B2 (ja) | 学習装置、学習方法および学習プログラム | |
KR102465307B1 (ko) | 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170817 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180828 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181002 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181004 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6416835 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |