JP6829718B2 - 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 - Google Patents
複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP6829718B2 JP6829718B2 JP2018522851A JP2018522851A JP6829718B2 JP 6829718 B2 JP6829718 B2 JP 6829718B2 JP 2018522851 A JP2018522851 A JP 2018522851A JP 2018522851 A JP2018522851 A JP 2018522851A JP 6829718 B2 JP6829718 B2 JP 6829718B2
- Authority
- JP
- Japan
- Prior art keywords
- entity
- group
- host system
- child
- category
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 95
- 230000009471 action Effects 0.000 claims description 84
- 230000008569 process Effects 0.000 claims description 50
- 230000004044 response Effects 0.000 claims description 50
- 230000006399 behavior Effects 0.000 description 29
- 238000002347 injection Methods 0.000 description 24
- 239000007924 injection Substances 0.000 description 24
- 238000001514 detection method Methods 0.000 description 17
- 230000000694 effects Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 7
- 230000000249 desinfective effect Effects 0.000 description 6
- 239000007787 solid Substances 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000004659 sterilization and disinfection Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000012769 display material Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
[0032]図1は、本発明のいくつかの実施形態による、コンピュータセキュリティの脅威から保護されたクライアントシステム10上で実行するソフトウェアオブジェクトの例示的なセットを示す。クライアントシステム10は、コンピュータシステム(例えば、エンドユーザコンピュータ、企業のサーバ、他)を表してよい。他の例示的なクライアントシステム10は、モバイルコンピューティングデバイス(例えば、ラップトップ、タブレットPC)、テレコミュニケーションデバイス(例えば、スマートフォン)、デジタルエンターテイメント用品(テレビ、ゲーム機、他)、ウェアラブルコンピューティングデバイス(例えば、スマートウォッチ)、またはプロセッサおよびメモリを有し、コンピュータセキュリティ保護を要する任意の他の電子デバイスを含む。
Claims (27)
- 少なくとも1つのハードウェアプロセッサおよびメモリユニットを備えるホストシステムであって、前記少なくとも1つのハードウェアプロセッサは、エンティティマネージャおよびヒューリスティックエンジンを実行するように構成され、
前記エンティティマネージャは、監視される実行可能なエンティティの集まりを複数のエンティティグループに編成するように構成され、前記集まりを編成することは、
前記集まりの第1のエンティティが子エンティティをスポーンしたことを検出するのに応答して、前記第1のエンティティがグループ作成者のカテゴリに属するかどうかを判定することであって、前記グループ作成者のカテゴリに属するエンティティが子エンティティをスポーンすることに関連して新しいエンティティグループが作成される、判定することと、
前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属するときに、
新しいエンティティグループを前記複数のエンティティグループに追加し、
前記子エンティティを前記新しいエンティティグループに割り当てる
ことと、
前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属さないときに、
前記第1のエンティティが第1のエンティティグループのメンバになるように、前記第1のエンティティグループを前記複数のエンティティグループから選択し、
前記子エンティティを前記第1のエンティティグループに割り当てる
ことと
を含み、
前記ヒューリスティックエンジンは、前記子エンティティによって実施される第1のアクションに応答して、
前記子エンティティが第2のエンティティグループのメンバになるように、前記第2のエンティティグループを前記複数のエンティティグループから選択し、
前記第2のエンティティグループを選択するのに応答して、前記第1のアクションがマルウェア攻撃を示すかどうかを、前記第2のエンティティグループの別のメンバによって実施される第2のアクションに従って判定する
ように構成される、
ホストシステム。 - 請求項1に記載のホストシステムであって、前記集まりを編成することは、前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属さないときに、
前記第1のエンティティが第3のエンティティグループのメンバになるように、前記第3のエンティティグループを前記複数のエンティティグループから選択することと、
前記子エンティティを前記第3のエンティティグループに割り当てることと
をさらに含む、ホストシステム。 - 請求項1に記載のホストシステムであって、前記集まりを編成することは、前記子エンティティが前記集まりの第3のエンティティにコードをインジェクトしたことを検出するのに応答して、
前記子エンティティが第3のエンティティグループのメンバになるように、前記第3のエンティティグループを前記複数のエンティティグループから選択することと、
それに応じて、前記第3のエンティティを前記第3のエンティティグループに割り当てることと
をさらに含む、ホストシステム。 - 請求項1に記載のホストシステムであって、前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定することは、前記第1のエンティティが、前記ホストシステム上で実行されるウェブブラウザのプロセスであるかどうかを判定することを含む、ホストシステム。
- 請求項1に記載のホストシステムであって、前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定することは、前記第1のエンティティが、前記ホストシステム上で実行されるオペレーティングシステムのコンポーネントであるかどうかを判定することを含む、ホストシステム。
- 請求項1に記載のホストシステムであって、前記第1のアクションが前記マルウェア攻撃を示すかどうかを判定することは、前記第1のアクションが前記第2のアクションの前に発生したかどうかを判定することを含む、ホストシステム。
- 請求項1に記載のホストシステムであって、前記ヒューリスティックエンジンは、前記第1のアクションが前記マルウェア攻撃を示すかどうかを、前記第2のエンティティグループの第3のエンティティによって実施される第3のアクションにさらに従って判定するように構成される、ホストシステム。
- 請求項1に記載のホストシステムであって、前記第1のアクションが前記マルウェア攻撃を示すかどうかを判定することは、前記第1のアクションが、マルウェアを示すアクションのセットの一部であるかどうかを判定することを含み、前記マルウェアを示すアクションのセットのすべてのアクションは、前記第2のエンティティグループのメンバによって実施される、ホストシステム。
- 請求項8に記載のホストシステムであって、前記第1のアクションが、前記マルウェアを示すアクションのセットの一部であるかどうかを判定することは、前記マルウェアを示すアクションのセットのサブセットが特定の順序で発生したかどうかを判定することを含む、ホストシステム。
- 請求項1に記載のホストシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記第1のアクションがマルウェア攻撃を示すという判定に応答して、前記第2のエンティティグループの複数のメンバを終了するように構成されたクリーンアップモジュールを実行するようにさらに構成される、ホストシステム。
- 請求項10に記載のホストシステムであって、前記複数のメンバは、前記第2のエンティティグループのすべてのメンバを含む、ホストシステム。
- 請求項10に記載のホストシステムであって、前記クリーンアップモジュールは、
前記第2のエンティティグループが、前記子エンティティをメンバとして有する唯一のエンティティグループであるかどうかを判定し、
それに応じて、前記第2のエンティティグループが、前記子エンティティをメンバとして有する唯一のエンティティグループであるときに、前記複数のメンバを終了する
ように構成される、ホストシステム。 - 請求項1に記載のホストシステムであって、前記少なくとも1つのハードウェアプロセッサは、前記第1のアクションがマルウェア攻撃を示すという判定に応答して、前記第2のエンティティグループのメンバの実行によって前記ホストシステムに対して引き起こされた変更のセットを元に戻すように構成されたクリーンアップモジュールを実行するようにさらに構成される、ホストシステム。
- ホストシステムの少なくとも1つのハードウェアプロセッサを用いて、監視される実行可能なエンティティの集まりを複数のエンティティグループに編成するステップであって、前記集まりを編成するステップは、
前記集まりの第1のエンティティが子エンティティをスポーンしたことを検出するのに応答して、前記第1のエンティティがグループ作成者のカテゴリに属するかどうかを判定するステップであって、前記グループ作成者のカテゴリに属するエンティティが子エンティティをスポーンすることに関連して新しいエンティティグループが作成される、ステップと、
前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属するときに、
新しいエンティティグループを前記複数のエンティティグループに追加し、
前記子エンティティを前記新しいエンティティグループに割り当てる
ステップと、
前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属さないときに、
前記第1のエンティティが第1のエンティティグループのメンバになるように、前記第1のエンティティグループを前記複数のエンティティグループから選択し、
前記子エンティティを前記第1のエンティティグループに割り当てる
ステップと
を含むステップと、
前記子エンティティによって実施される第1のアクションに応答して、前記子エンティティが第2のエンティティグループのメンバになるように、前記ホストシステムの少なくとも1つのハードウェアプロセッサを用いて、前記第2のエンティティグループを前記複数のエンティティグループから選択するステップと、
前記第2のエンティティグループを選択するのに応答して、前記ホストシステムの少なくとも1つのハードウェアプロセッサを用いて、前記第1のアクションがマルウェア攻撃を示すかどうかを、前記第2のエンティティグループの別のメンバによって実施される第2のアクションに従って判定するステップと
を含む方法。 - 請求項14に記載の方法であって、前記集まりを編成するステップは、前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属さないときに、
前記第1のエンティティが第3のエンティティグループのメンバになるように、前記第3のエンティティグループを前記複数のエンティティグループから選択するステップと、
前記子エンティティを前記第3のエンティティグループに割り当てるステップと
をさらに含む、方法。 - 請求項14に記載の方法であって、前記集まりを編成するステップは、前記子エンティティが前記集まりの第3のエンティティにコードをインジェクトしたことを検出するのに応答して、
前記子エンティティが第3のエンティティグループのメンバになるように、前記第3のエンティティグループを前記複数のエンティティグループから選択するステップと、
それに応じて、前記第3のエンティティを前記第3のエンティティグループに割り当てるステップと
をさらに含む、方法。 - 請求項14に記載の方法であって、前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するステップは、前記第1のエンティティが、前記ホストシステム上で実行されるウェブブラウザのプロセスであるかどうかを判定するステップを含む、方法。
- 請求項14に記載の方法であって、前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するステップは、前記第1のエンティティが、前記ホストシステム上で実行されるオペレーティングシステムのコンポーネントであるかどうかを判定するステップを含む、方法。
- 請求項14に記載の方法であって、前記第1のアクションが前記マルウェア攻撃を示すかどうかを判定するステップは、前記第1のアクションが前記第2のアクションの前に発生したかどうかを判定するステップを含む、方法。
- 請求項14に記載の方法であって、前記第1のアクションが前記マルウェア攻撃を示すかどうかを、前記第2のエンティティグループの第3のエンティティによって実施される第3のアクションに従って判定するステップをさらに含む、方法。
- 請求項14に記載の方法であって、前記第1のアクションが前記マルウェア攻撃を示すかどうかを判定するステップは、前記第1のアクションが、マルウェアを示すアクションのセットの一部であるかどうかを判定するステップを含み、前記マルウェアを示すアクションのセットのすべてのアクションは、前記第2のエンティティグループのメンバによって実施される、方法。
- 請求項21に記載の方法であって、前記第1のアクションが、前記マルウェアを示すアクションのセットの一部であるかどうかを判定するステップは、前記マルウェアを示すアクションのセットのサブセットが、特定の順序で発生したかどうかを判定するステップを含む、方法。
- 請求項14に記載の方法であって、前記第1のアクションがマルウェア攻撃を示すという判定に応答して、前記ホストシステムの少なくとも1つのハードウェアプロセッサを用いて、前記第2のエンティティグループの複数のメンバを終了するステップをさらに含む方法。
- 請求項23に記載の方法であって、前記複数のメンバは、前記第2のエンティティグループのすべてのメンバを含む、方法。
- 請求項23に記載の方法であって、
前記ホストシステムの少なくとも1つのハードウェアプロセッサを用いて、前記第2のエンティティグループが、前記子エンティティをメンバとして有する唯一のエンティティグループであるかどうかを判定するステップと、
それに応じて、前記第2のエンティティグループが、前記子エンティティをメンバとして有する唯一のエンティティグループであるときに、前記複数のメンバを終了するステップと
をさらに含む方法。 - 請求項14に記載の方法であって、前記第1のアクションがマルウェア攻撃を示すという判定に応答して、前記ホストシステムの少なくとも1つのハードウェアプロセッサを用いて、前記第2のエンティティグループのメンバの実行によって前記ホストシステムに対して引き起こされた変更のセットを元に戻すステップをさらに含む方法。
- ホストシステムの少なくとも1つのハードウェアプロセッサによって実行されるときに、前記ホストシステムにエンティティマネージャおよびヒューリスティックエンジンを形成させる命令を格納したコンピュータ可読記憶媒体であって、
前記エンティティマネージャは、監視される実行可能なエンティティの集まりを複数のエンティティグループに編成するように構成され、前記集まりを編成することは、
前記集まりの第1のエンティティが子エンティティをスポーンしたことを検出するのに応答して、前記第1のエンティティがグループ作成者のカテゴリに属するかどうかを判定することであって、前記グループ作成者のカテゴリに属するエンティティが子エンティティをスポーンすることに関連して新しいエンティティグループが作成される、判定することと、
前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属するときに、
新しいエンティティグループを前記複数のエンティティグループに追加し、
前記子エンティティを前記新しいエンティティグループに割り当てる
ことと、
前記第1のエンティティが前記グループ作成者のカテゴリに属するかどうかを判定するのに応答して、前記第1のエンティティが前記グループ作成者のカテゴリに属さないときに、
前記第1のエンティティが第1のエンティティグループのメンバになるように、前記第1のエンティティグループを前記複数のエンティティグループから選択し、
前記子エンティティを前記第1のエンティティグループに割り当てる
ことと
を含み、
前記ヒューリスティックエンジンは、前記子エンティティによって実施される第1のアクションに応答して、
前記子エンティティが第2のエンティティグループのメンバになるように、前記第2のエンティティグループを前記複数のエンティティグループから選択し、
前記第2のエンティティグループを選択するのに応答して、前記第1のアクションがマルウェア攻撃を示すかどうかを、前記第2のエンティティグループの別のメンバによって実施される第2のアクションに従って判定する
ように構成される、コンピュータ可読記憶媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/808,173 US10089465B2 (en) | 2015-07-24 | 2015-07-24 | Systems and methods for tracking malicious behavior across multiple software entities |
US14/808,173 | 2015-07-24 | ||
PCT/EP2016/065737 WO2017016814A1 (en) | 2015-07-24 | 2016-07-04 | Systems and methods for tracking malicious behavior across multiple software entities |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018524756A JP2018524756A (ja) | 2018-08-30 |
JP6829718B2 true JP6829718B2 (ja) | 2021-02-10 |
Family
ID=56511548
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018522851A Active JP6829718B2 (ja) | 2015-07-24 | 2016-07-04 | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 |
Country Status (12)
Country | Link |
---|---|
US (2) | US10089465B2 (ja) |
EP (1) | EP3326100B1 (ja) |
JP (1) | JP6829718B2 (ja) |
KR (1) | KR102307534B1 (ja) |
CN (1) | CN107851155B (ja) |
AU (1) | AU2016299175B2 (ja) |
CA (1) | CA2990313C (ja) |
ES (1) | ES2794624T3 (ja) |
HK (1) | HK1247296A1 (ja) |
IL (1) | IL256598B (ja) |
RU (1) | RU2683152C1 (ja) |
WO (1) | WO2017016814A1 (ja) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10492181B2 (en) * | 2016-01-20 | 2019-11-26 | Qualcomm Incorporated | Communication of uplink control information |
US10181035B1 (en) * | 2016-06-16 | 2019-01-15 | Symantec Corporation | System and method for .Net PE file malware detection |
US10534910B1 (en) * | 2016-10-04 | 2020-01-14 | Hewlett-Packard Development Company, L.P. | Using threat model to monitor host execution |
US11200314B2 (en) * | 2016-12-15 | 2021-12-14 | Hewlett-Packard Development Company, L.P. | Ransomware attack monitoring |
US9734337B1 (en) * | 2017-01-24 | 2017-08-15 | Malwarebytes Inc. | Behavior-based ransomware detection |
WO2019051507A1 (en) | 2017-09-11 | 2019-03-14 | Carbon Black, Inc. | METHODS OF BEHAVIORAL DETECTION AND PREVENTION OF CYBERATTAICS, AS WELL AS APPARATUS AND RELATED TECHNIQUES |
CN108595327B (zh) * | 2018-04-16 | 2023-06-06 | 深圳市腾讯网络信息技术有限公司 | 应用执行脚本的方法、应用测试方法、装置和计算机设备 |
EP3782065A1 (en) * | 2018-04-19 | 2021-02-24 | Thales DIS France SA | Method for securing a computer system |
EP3614286A1 (en) * | 2018-08-22 | 2020-02-26 | Gemalto Sa | Method for securing a computer system |
US11138313B2 (en) | 2018-08-13 | 2021-10-05 | Juniper Networks, Inc. | Malware detection based on user interactions |
US11093715B2 (en) * | 2019-03-29 | 2021-08-17 | Samsung Electronics Co., Ltd. | Method and system for learning and enabling commands via user demonstration |
US11468881B2 (en) | 2019-03-29 | 2022-10-11 | Samsung Electronics Co., Ltd. | Method and system for semantic intelligent task learning and adaptive execution |
US11238154B2 (en) | 2019-07-05 | 2022-02-01 | Mcafee, Llc | Multi-lateral process trees for malware remediation |
EP3825884A1 (en) * | 2019-11-22 | 2021-05-26 | Traced Ltd. | Computer-implemented method of determining system access operation risk on a mobile device |
US11689560B2 (en) * | 2019-11-25 | 2023-06-27 | Cisco Technology, Inc. | Network-wide malware mapping |
KR102254283B1 (ko) * | 2020-11-12 | 2021-05-21 | 주식회사 시큐브 | 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체 |
US11941104B2 (en) * | 2020-12-03 | 2024-03-26 | Red Hat, Inc. | Utilizing extended file attributes for working directory |
WO2022225508A1 (en) * | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
CN114006775B (zh) * | 2021-12-31 | 2022-04-12 | 北京微步在线科技有限公司 | 一种入侵事件的检测方法及装置 |
US20230267197A1 (en) * | 2022-02-18 | 2023-08-24 | Halcyon Tech, Inc. | Ransomware Countermeasures |
US20240070268A1 (en) * | 2022-08-23 | 2024-02-29 | Bitdefender IPR Management Ltd. | Aggregate Event Profiles for Detecting Malicious Mobile Applications |
Family Cites Families (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7203962B1 (en) | 1999-08-30 | 2007-04-10 | Symantec Corporation | System and method for using timestamps to detect attacks |
US7748039B2 (en) | 2002-08-30 | 2010-06-29 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
EP1625687A4 (en) | 2003-05-17 | 2011-11-23 | Microsoft Corp | SECURITY RISK ASSESSMENT SYSTEM |
US20060015940A1 (en) * | 2004-07-14 | 2006-01-19 | Shay Zamir | Method for detecting unwanted executables |
US7546601B2 (en) | 2004-08-10 | 2009-06-09 | International Business Machines Corporation | Apparatus, system, and method for automatically discovering and grouping resources used by a business process |
US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
US7870612B2 (en) | 2006-09-11 | 2011-01-11 | Fujian Eastern Micropoint Info-Tech Co., Ltd | Antivirus protection system and method for computers |
US7908660B2 (en) | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
KR100897849B1 (ko) | 2007-09-07 | 2009-05-15 | 한국전자통신연구원 | 비정상 프로세스 탐지 방법 및 장치 |
US7559086B2 (en) | 2007-10-02 | 2009-07-07 | Kaspersky Lab, Zao | System and method for detecting multi-component malware |
CN101350052B (zh) * | 2007-10-15 | 2010-11-03 | 北京瑞星信息技术有限公司 | 发现计算机程序的恶意行为的方法和装置 |
US8037536B2 (en) | 2007-11-14 | 2011-10-11 | Bank Of America Corporation | Risk scoring system for the prevention of malware |
US8904536B2 (en) | 2008-08-28 | 2014-12-02 | AVG Netherlands B.V. | Heuristic method of code analysis |
JP5144488B2 (ja) * | 2008-12-22 | 2013-02-13 | Kddi株式会社 | 情報処理システムおよびプログラム |
JP2010182020A (ja) * | 2009-02-04 | 2010-08-19 | Kddi Corp | 不正検知装置およびプログラム |
US8701192B1 (en) | 2009-06-30 | 2014-04-15 | Symantec Corporation | Behavior based signatures |
US8590045B2 (en) | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
CN102054149B (zh) * | 2009-11-06 | 2013-02-13 | 中国科学院研究生院 | 一种恶意代码行为特征提取方法 |
US8850579B1 (en) | 2009-11-13 | 2014-09-30 | SNS Soft LLC | Application of nested behavioral rules for anti-malware processing |
KR101057432B1 (ko) | 2010-02-23 | 2011-08-22 | 주식회사 이세정보 | 프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템, 방법, 프로그램 및 기록매체 |
CN101944167B (zh) * | 2010-09-29 | 2011-12-21 | 中国科学院计算技术研究所 | 识别恶意程序的方法及系统 |
US8555385B1 (en) | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
KR101626424B1 (ko) * | 2011-03-28 | 2016-06-01 | 맥아피 인코퍼레이티드 | 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법 |
US9323928B2 (en) | 2011-06-01 | 2016-04-26 | Mcafee, Inc. | System and method for non-signature based detection of malicious processes |
CN102222194A (zh) * | 2011-07-14 | 2011-10-19 | 哈尔滨工业大学 | Linux主机计算环境安全保护的模块及方法 |
JP5941149B2 (ja) * | 2011-09-09 | 2016-06-29 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 |
CN102750475B (zh) * | 2012-06-07 | 2017-08-15 | 中国电子科技集团公司第三十研究所 | 基于虚拟机内外视图交叉比对恶意代码行为检测方法及系统 |
CN103634264A (zh) * | 2012-08-20 | 2014-03-12 | 江苏中科慧创信息安全技术有限公司 | 一种基于行为分析的主动诱捕方法 |
US8850581B2 (en) | 2012-11-07 | 2014-09-30 | Microsoft Corporation | Identification of malware detection signature candidate code |
CN102984140B (zh) * | 2012-11-21 | 2015-06-17 | 中国人民解放军国防科学技术大学 | 基于行为片段共享的恶意软件特征融合分析方法及系统 |
US20140201208A1 (en) | 2013-01-15 | 2014-07-17 | Corporation Symantec | Classifying Samples Using Clustering |
CN103164649B (zh) * | 2013-02-18 | 2016-08-17 | 北京神州绿盟信息安全科技股份有限公司 | 进程行为分析方法及系统 |
RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
EP3044718A4 (en) | 2013-09-10 | 2017-05-17 | Symantec Corporation | Systems and methods for using event-correlation graphs to detect attacks on computing systems |
US9323931B2 (en) | 2013-10-04 | 2016-04-26 | Bitdefender IPR Management Ltd. | Complex scoring for malware detection |
-
2015
- 2015-07-24 US US14/808,173 patent/US10089465B2/en active Active
-
2016
- 2016-07-04 JP JP2018522851A patent/JP6829718B2/ja active Active
- 2016-07-04 RU RU2018105765A patent/RU2683152C1/ru active
- 2016-07-04 EP EP16741887.0A patent/EP3326100B1/en active Active
- 2016-07-04 WO PCT/EP2016/065737 patent/WO2017016814A1/en active Application Filing
- 2016-07-04 AU AU2016299175A patent/AU2016299175B2/en active Active
- 2016-07-04 KR KR1020187001764A patent/KR102307534B1/ko active IP Right Grant
- 2016-07-04 ES ES16741887T patent/ES2794624T3/es active Active
- 2016-07-04 CA CA2990313A patent/CA2990313C/en active Active
- 2016-07-04 CN CN201680042507.0A patent/CN107851155B/zh active Active
-
2017
- 2017-12-26 IL IL256598A patent/IL256598B/en active IP Right Grant
-
2018
- 2018-05-17 HK HK18106408.3A patent/HK1247296A1/zh unknown
- 2018-10-01 US US16/148,242 patent/US10706151B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR102307534B1 (ko) | 2021-10-05 |
KR20180032566A (ko) | 2018-03-30 |
WO2017016814A1 (en) | 2017-02-02 |
AU2016299175A1 (en) | 2018-01-18 |
US10089465B2 (en) | 2018-10-02 |
CN107851155B (zh) | 2021-02-26 |
US20170024561A1 (en) | 2017-01-26 |
EP3326100B1 (en) | 2020-03-25 |
AU2016299175B2 (en) | 2021-07-15 |
EP3326100A1 (en) | 2018-05-30 |
US10706151B2 (en) | 2020-07-07 |
ES2794624T3 (es) | 2020-11-18 |
CA2990313A1 (en) | 2017-02-02 |
HK1247296A1 (zh) | 2018-09-21 |
JP2018524756A (ja) | 2018-08-30 |
CN107851155A (zh) | 2018-03-27 |
IL256598B (en) | 2020-01-30 |
CA2990313C (en) | 2021-10-12 |
RU2683152C1 (ru) | 2019-03-26 |
US20190034634A1 (en) | 2019-01-31 |
IL256598A (en) | 2018-02-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
Afianian et al. | Malware dynamic analysis evasion techniques: A survey | |
US10664596B2 (en) | Method of malware detection and system thereof | |
RU2645268C2 (ru) | Сложное классифицирование для выявления вредоносных программ | |
JP6370747B2 (ja) | バーチャルマシーンモニタベースのアンチマルウェアセキュリティのためのシステム及び方法 | |
RU2531861C1 (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
US9460284B1 (en) | Behavioral malware detection using an interpreter virtual machine | |
US8904537B2 (en) | Malware detection | |
AU2014330136A1 (en) | Complex scoring for malware detection | |
Mahapatra et al. | An online cross view difference and behavior based kernel rootkit detector | |
Kirmani et al. | Analyzing detection avoidance of malware by process hiding | |
Zaheri et al. | Preventing reflective dll injection on uwp apps | |
US20240111860A1 (en) | Systems and methods for preventing hollowing attack | |
Ding et al. | ModuleGuard: A gatekeeper for dynamic module loading against malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190124 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191029 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20191129 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200319 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200821 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20201120 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201201 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20201225 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210122 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6829718 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |