JP6624771B2 - クライアントベースローカルマルウェア検出方法 - Google Patents
クライアントベースローカルマルウェア検出方法 Download PDFInfo
- Publication number
- JP6624771B2 JP6624771B2 JP2014078356A JP2014078356A JP6624771B2 JP 6624771 B2 JP6624771 B2 JP 6624771B2 JP 2014078356 A JP2014078356 A JP 2014078356A JP 2014078356 A JP2014078356 A JP 2014078356A JP 6624771 B2 JP6624771 B2 JP 6624771B2
- Authority
- JP
- Japan
- Prior art keywords
- browser
- malware
- web page
- security application
- transparent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Description
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって透明ブラウザを自動的に起動して、1以上の所定Uniform Resource Locator(URL)へナビゲートするステップ;
b)前記透明ブラウザによってオープンされた直後に、受信した検査対象webページのコードを、前記セキュリティアプリケーションによってチェックするステップ;
c)前記透明ブラウザによって少なくとも部分的に処理された後、前記セキュリティアプリケーションによって前記コードを再チェックするステップ;
d)前記コードの変化を検出した場合、前記端末がマルウェアに感染した旨の警告を発するステップ。
a)実行中かつネットワークインターフェースに到達するデータを生成する前に、前記透明ブラウザによって起動された呼び出し機能を捕捉するステップ;
b)エミュレートされたwebページを前記透明ブラウザに対して内部的に戻すステップ。
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって透明ブラウザを自動的に起動して、1以上の所定URLへナビゲートするステップ;
b)前記セキュリティアプリケーションが前記透明ブラウザに対して、専用プラグインによってインターフェースブラウザから収集されたwebページを戻すことを許可するステップであって、前記プラグインは前記インターフェースブラウザにあらかじめインストールされておりかつ関心webページを記録するように構成されている、ステップ;
c)前記収集されたページにおいて1以上の変化を検出した場合、前記端末がマルウェアに感染した旨の警告を発するステップ。
a)前記ユーザインターフェースブラウザを介してブラウズ中にwebページにアクセスするステップ;
b)ヒューリスティックプロセスを用いて、前記マルウェアが挿入したコードの既知のテキスト部分および前記マルウェアが使用する隠しフレームを検出することにより、前記webページを検査するステップ。
Claims (9)
- ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法であって、
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって前記ユーザ端末デバイス上では実行されるがユーザに見えない透明ブラウザを自動的に起動して、前記セキュリティアプリケーションが前記マルウェアによって攻撃されると予測される1以上の所定URLへ前記透明ブラウザをナビゲートするステップ;
b)前記セキュリティアプリケーションにより、前記透明ブラウザによる前記所定URLから受信したwebページの処理中の2つの異なる時点でwebページのコードをチェックするステップであって、前記2つの異なる時点のうちの最初の時点は、前記透明ブラウザによって前記webページが開かれた直後の時点であり、前記2つの異なる時点のうちの第2の時点は、前記開かれたwebページが前記透明ブラウザによって少なくとも部分的に処理された後、前記透明ブラウザによって前記コードをレンダリングする準備中にある時点である、ステップ;
c)前記2つの異なる時点の間のコードの改変を検出するステップ;
d)前記2つの異なる時点でコードの改変が検出された場合、前記ユーザ端末がマルウェアに感染した旨の警告を発するステップ;
を有することを特徴とする方法。 - 前記トリガイベントは、ユーザがブラウザを起動したことを検出すること、タイムベーストリガ、および前記ユーザ端末デバイスを再起動することから選択されていることを特徴とする請求項1記載の方法。
- 前記所定URLはライブラリに格納されていることを特徴とする請求項1記載の方法。
- 前記受信した検査対象webページがHTMLフォーマットである請求項1記載の方法。
- 前記webページのコードをチェックするステップに代えて、前記セキュリティアプリケーションは、前記マルウェアによって挿入されたテンプレートを識別することにより、受信した検査対象webページの前記コードをチェックすることを特徴とする請求項1記載の方法。
- 前記テンプレートは、前記透明ブラウザが受信した検査対象webページの前記コードから除外されたフィールドへ情報をタイプするように前記端末デバイスのユーザへ促すテキスト部分であることを特徴とする請求項5記載の方法。
- 前記透明ブラウザに所定URLへナビゲートさせることに代えて、前記セキュリティアプリケーションは、前記透明ブラウザにローカルデータベースの前記検査対象webページのコピーをオープンさせるように構成されていることを特徴とする請求項1記載の方法。
- プラグインとブラウザ拡張は前記透明ブラウザから実行不能にされていることを特徴とする請求項1記載の方法。
- ユーザ端末デバイス上で動作するブラウザを介してマルウェアに感染した前記ユーザ端末デバイスにおけるマルウェアを検出する方法であって、
a)前記ユーザ端末上で所定のトリガイベントを検出したとき、前記端末上にインストールされたセキュリティアプリケーションによって前記ユーザ端末デバイス上では実行されるがユーザに見えない透明ブラウザを自動的に起動して、前記セキュリティアプリケーションが前記マルウェアによって攻撃されると予測される1以上の所定URLへ前記透明ブラウザをナビゲートするステップ;
b)前記セキュリティアプリケーションが前記透明ブラウザに対して、専用プラグインによってインターフェースブラウザから収集されたwebページをオープンするステップであって、前記プラグインはユーザのインターフェースブラウザにあらかじめインストールされておりかつ関心webページを記録するように構成されている、ステップ;
c)前記収集されたページにおいて、ヒューリスティックプロセスを用いて、前記マルウェアが挿入したコードの既知のテキスト部分および前記マルウェアが使用する隠しフレームを検出することにより、前記webページを検査するステップ;
d)前記テキスト部分もしくは前記フレームが検出された場合、前記端末がマルウェアに感染した旨の警告を発するステップ;
を有することを特徴とする方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/858,238 US9424424B2 (en) | 2013-04-08 | 2013-04-08 | Client based local malware detection method |
US13/858,238 | 2013-04-08 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014203464A JP2014203464A (ja) | 2014-10-27 |
JP6624771B2 true JP6624771B2 (ja) | 2019-12-25 |
Family
ID=50396993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014078356A Active JP6624771B2 (ja) | 2013-04-08 | 2014-04-07 | クライアントベースローカルマルウェア検出方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9424424B2 (ja) |
EP (1) | EP2790121A1 (ja) |
JP (1) | JP6624771B2 (ja) |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9509714B2 (en) * | 2014-05-22 | 2016-11-29 | Cabara Software Ltd. | Web page and web browser protection against malicious injections |
US10805331B2 (en) | 2010-09-24 | 2020-10-13 | BitSight Technologies, Inc. | Information technology security assessment system |
US9225737B2 (en) | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
US9438615B2 (en) | 2013-09-09 | 2016-09-06 | BitSight Technologies, Inc. | Security risk management |
US9225729B1 (en) | 2014-01-21 | 2015-12-29 | Shape Security, Inc. | Blind hash compression |
US8997226B1 (en) | 2014-04-17 | 2015-03-31 | Shape Security, Inc. | Detection of client-side malware activity |
CN105224437A (zh) * | 2014-06-11 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 一种获取移动终端上事务执行耗时的方法和装置 |
EP3195171B1 (en) * | 2014-07-31 | 2019-11-06 | Namogoo Technologies Ltd. | Detecting and removing injected elements from content interfaces |
US10298599B1 (en) | 2014-09-19 | 2019-05-21 | Shape Security, Inc. | Systems for detecting a headless browser executing on a client computer |
US9954893B1 (en) * | 2014-09-23 | 2018-04-24 | Shape Security, Inc. | Techniques for combating man-in-the-browser attacks |
US10116727B2 (en) * | 2014-12-16 | 2018-10-30 | Sap Se | Embeddable web analytics tracking via mock environment |
JP6291441B2 (ja) * | 2015-03-11 | 2018-03-14 | ネットムーブ株式会社 | ウェブシステム、ウェブクライアント装置および改ざん検査装置 |
RU2015115352A (ru) * | 2015-04-24 | 2016-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ запуска браузера в защищенном режиме |
US9986058B2 (en) | 2015-05-21 | 2018-05-29 | Shape Security, Inc. | Security systems for mitigating attacks from a headless browser executing on a client computer |
RU2610254C2 (ru) * | 2015-06-30 | 2017-02-08 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения измененных веб-страниц |
WO2017007705A1 (en) | 2015-07-06 | 2017-01-12 | Shape Security, Inc. | Asymmetrical challenges for web security |
WO2017007936A1 (en) | 2015-07-07 | 2017-01-12 | Shape Security, Inc. | Split serving of computer code |
US10375026B2 (en) | 2015-10-28 | 2019-08-06 | Shape Security, Inc. | Web transaction status tracking |
US10212130B1 (en) | 2015-11-16 | 2019-02-19 | Shape Security, Inc. | Browser extension firewall |
EP3414695B1 (en) | 2016-02-12 | 2021-08-11 | Shape Security, Inc. | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer |
US11182720B2 (en) | 2016-02-16 | 2021-11-23 | BitSight Technologies, Inc. | Relationships among technology assets and services and the entities responsible for them |
US10855696B2 (en) | 2016-03-02 | 2020-12-01 | Shape Security, Inc. | Variable runtime transpilation |
US9917850B2 (en) | 2016-03-03 | 2018-03-13 | Shape Security, Inc. | Deterministic reproduction of client/server computer state or output sent to one or more client computers |
US10567363B1 (en) | 2016-03-03 | 2020-02-18 | Shape Security, Inc. | Deterministic reproduction of system state using seeded pseudo-random number generators |
US10129289B1 (en) | 2016-03-11 | 2018-11-13 | Shape Security, Inc. | Mitigating attacks on server computers by enforcing platform policies on client computers |
US20170353476A1 (en) * | 2016-06-06 | 2017-12-07 | Google Inc. | Disabling Malicious Browser Extensions |
US10425380B2 (en) | 2017-06-22 | 2019-09-24 | BitSight Technologies, Inc. | Methods for mapping IP addresses and domains to organizations using user activity data |
US10257219B1 (en) | 2018-03-12 | 2019-04-09 | BitSight Technologies, Inc. | Correlated risk in cybersecurity |
US10812520B2 (en) | 2018-04-17 | 2020-10-20 | BitSight Technologies, Inc. | Systems and methods for external detection of misconfigured systems |
US10289836B1 (en) * | 2018-05-18 | 2019-05-14 | Securitymetrics, Inc. | Webpage integrity monitoring |
US11200323B2 (en) | 2018-10-17 | 2021-12-14 | BitSight Technologies, Inc. | Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios |
US10521583B1 (en) | 2018-10-25 | 2019-12-31 | BitSight Technologies, Inc. | Systems and methods for remote detection of software through browser webinjects |
US11386214B2 (en) * | 2018-12-13 | 2022-07-12 | Sap Se | Web application execution with secure element extension |
US10824770B2 (en) * | 2018-12-13 | 2020-11-03 | Sap Se | Web application execution with secure elements |
US10726136B1 (en) | 2019-07-17 | 2020-07-28 | BitSight Technologies, Inc. | Systems and methods for generating security improvement plans for entities |
US11956265B2 (en) | 2019-08-23 | 2024-04-09 | BitSight Technologies, Inc. | Systems and methods for inferring entity relationships via network communications of users or user devices |
US10848382B1 (en) | 2019-09-26 | 2020-11-24 | BitSight Technologies, Inc. | Systems and methods for network asset discovery and association thereof with entities |
US11032244B2 (en) | 2019-09-30 | 2021-06-08 | BitSight Technologies, Inc. | Systems and methods for determining asset importance in security risk management |
US10791140B1 (en) | 2020-01-29 | 2020-09-29 | BitSight Technologies, Inc. | Systems and methods for assessing cybersecurity state of entities based on computer network characterization |
US10893067B1 (en) | 2020-01-31 | 2021-01-12 | BitSight Technologies, Inc. | Systems and methods for rapidly generating security ratings |
US10764298B1 (en) | 2020-02-26 | 2020-09-01 | BitSight Technologies, Inc. | Systems and methods for improving a security profile of an entity based on peer security profiles |
US11863690B2 (en) | 2020-05-20 | 2024-01-02 | Google Llc | Preventing data manipulation and protecting user privacy in telecommunication network measurements |
US11023585B1 (en) | 2020-05-27 | 2021-06-01 | BitSight Technologies, Inc. | Systems and methods for managing cybersecurity alerts |
US11122073B1 (en) | 2020-12-11 | 2021-09-14 | BitSight Technologies, Inc. | Systems and methods for cybersecurity risk mitigation and management |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
JP2007179131A (ja) * | 2005-12-27 | 2007-07-12 | Nec Corp | イベント検出システム、管理端末及びプログラムと、イベント検出方法 |
US8677481B1 (en) * | 2008-09-30 | 2014-03-18 | Trend Micro Incorporated | Verification of web page integrity |
US8789178B2 (en) * | 2009-08-03 | 2014-07-22 | Barracuda Networks, Inc. | Method for detecting malicious javascript |
US9270691B2 (en) | 2010-11-01 | 2016-02-23 | Trusteer, Ltd. | Web based remote malware detection |
AU2011352038B2 (en) * | 2010-12-30 | 2014-10-02 | Cheq Ai Technologies (2018) Ltd. | Online privacy management |
-
2013
- 2013-04-08 US US13/858,238 patent/US9424424B2/en active Active
-
2014
- 2014-03-31 EP EP14162808.1A patent/EP2790121A1/en not_active Withdrawn
- 2014-04-07 JP JP2014078356A patent/JP6624771B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2014203464A (ja) | 2014-10-27 |
US20140304816A1 (en) | 2014-10-09 |
US9424424B2 (en) | 2016-08-23 |
EP2790121A1 (en) | 2014-10-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6624771B2 (ja) | クライアントベースローカルマルウェア検出方法 | |
Kirda et al. | Noxes: a client-side solution for mitigating cross-site scripting attacks | |
RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
Lu et al. | Blade: an attack-agnostic approach for preventing drive-by malware infections | |
EP2447878B1 (en) | Web based remote malware detection | |
US20120240224A1 (en) | Security systems and methods for distinguishing user-intended traffic from malicious traffic | |
US7934261B1 (en) | On-demand cleanup system | |
US20180084003A1 (en) | Method and system for injecting javascript into a web page | |
CN107209831B (zh) | 用于识别网络攻击的系统和方法 | |
US8341744B1 (en) | Real-time behavioral blocking of overlay-type identity stealers | |
Bhavani | Cross-site scripting attacks on android webview | |
US20140283078A1 (en) | Scanning and filtering of hosted content | |
US20170353434A1 (en) | Methods for detection of reflected cross site scripting attacks | |
WO2008115340A1 (en) | Method and apparatus for secure web browsing | |
EP3086526B1 (en) | Launching a browser in a safe mode if needed | |
ES2937143T3 (es) | Procedimiento de monitoreo y protección del acceso a un servicio en línea | |
US20190222587A1 (en) | System and method for detection of attacks in a computer network using deception elements | |
Mitropoulos et al. | How to train your browser: Preventing XSS attacks using contextual script fingerprints | |
Satish et al. | Web browser security: different attacks detection and prevention techniques | |
ES2965391T3 (es) | Método de monitorización y protección de acceso a un servicio en línea | |
Kishore et al. | Browser JS Guard: Detects and defends against Malicious JavaScript injection based drive by download attacks | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
US9444831B1 (en) | Malicious script detection using context-dependent script emulation | |
Sahani et al. | Clickjacking: Beware of clicking | |
Dai et al. | Holography: a behavior‐based profiler for malware analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD01 | Notification of change of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7426 Effective date: 20140825 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140825 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20161122 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170106 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180327 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180611 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20180807 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181130 |
|
A911 | Transfer of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20181214 |
|
A912 | Removal of reconsideration by examiner before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20190208 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190911 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191126 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6624771 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |