KR20060106655A - 멀웨어로부터 컴퓨터를 동적으로 보호하는 방법,소프트웨어 시스템 및 컴퓨터 판독가능 매체 - Google Patents

멀웨어로부터 컴퓨터를 동적으로 보호하는 방법,소프트웨어 시스템 및 컴퓨터 판독가능 매체 Download PDF

Info

Publication number
KR20060106655A
KR20060106655A KR1020060018812A KR20060018812A KR20060106655A KR 20060106655 A KR20060106655 A KR 20060106655A KR 1020060018812 A KR1020060018812 A KR 1020060018812A KR 20060018812 A KR20060018812 A KR 20060018812A KR 20060106655 A KR20060106655 A KR 20060106655A
Authority
KR
South Korea
Prior art keywords
malware
computer
event
suspicious
service
Prior art date
Application number
KR1020060018812A
Other languages
English (en)
Other versions
KR101292501B1 (ko
Inventor
아닐 프란시스 토마스
에핌 후디스
마이클 크래이머
미하이 코스티
프래딥 발
라제쉬 케이. 다디아
이갈 에데리
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060106655A publication Critical patent/KR20060106655A/ko
Application granted granted Critical
Publication of KR101292501B1 publication Critical patent/KR101292501B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명에 따라, 멀웨어(malware)로부터 컴퓨터를 보호하기 위해 복수의 보안 서비스 또는 기타 이벤트 수집 시스템의 지식 기반을 모으기 위한 시스템, 방법 및 컴퓨터 판독가능 매체가 제공된다. 본 발명의 한 양상은 멀웨어로부터 컴퓨터를 순향적으로 보호하는 방법이다. 보다 구체적으로는, 방법은, 안티-멀웨어 서비스 또는 기타 이벤트 수집 시스템을 사용하여 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트를 관찰하는 단계; 이 의심스러운 이벤트가 소정의 임계값을 충족시키는지의 여부를 판정하는 단계; 및 의심스러운 이벤트가 소정의 임계값을 충족시키는 경우, 멀웨어의 확산을 막도록 설계된 제한적인 보안 정책을 구현하는 단계를 포함한다.
멀웨어, 안티-멀웨어 서비스, 이벤트 검출 시스템, 의심스러운 이벤트, 보안 정책

Description

멀웨어로부터 컴퓨터를 동적으로 보호하는 방법, 소프트웨어 시스템 및 컴퓨터 판독가능 매체{AGGREGATING THE KNOWLEDGE BASE OF COMPUTER SYSTEMS TO PROACTIVELY PROTECT A COMPUTER FROM MALWARE}
도 1은 멀웨어가 일반적으로 배포되어 있는 종래의 네트워크화된 환경을 도시하는 도면.
도 2는 종래 기술에서 취약성 윈도우가 어떻게 발생할 수 있는지를 보여주는 예시적인 타임라인을 도시하는 블록도.
도 3은 본 발명에 따라 멀웨어로부터 컴퓨터를 순향적으로 보호하기 위해 컴퓨터 상에 설치된 상이한 안티-멀웨어 서비스 및 기타 이벤트 수집 시스템의 지식 기반을 모을 수 있는 컴퓨터의 컴포넌트를 도시하는 블록도.
도 4는 본 발명에 따라 멀웨어로부터 컴퓨터를 보호하는, 컴퓨터에 구현된 방법의 한 실시예를 도시하는 흐름도.
<도면의 주요부분에 대한 부호의 설명>
300 : 컴퓨터
302 : 안티바이러스 소프트웨어
304 : 방화벽 애플리케이션
306 : 행동 차단기
308 : 안티-스파이웨어 소프트웨어
310 : 집계 루틴
312 : 데이터 수집기 컴포넌트
314 : 데이터 분석기 모듈
316 : 정책 구현기
309 : 메트릭스 시스템
본 발명은 컴퓨터에 관한 것으로, 보다 구체적으로는 멀웨어로부터 컴퓨터를 동적으로 보호하는 것에 관한 것이다.
점점 더 많은 컴퓨터와 기타 컴퓨팅 장치들이 인터넷과 같은 각종 네트워크를 통해 상호접속할수록, 특히 네트워크를 통해 또는 정보 스트림을 통해 전달되는 침입 또는 공격으로부터 컴퓨터 보안이 점점 더 중요해지고 있다. 당업자들은 이러한 공격들이 컴퓨터 바이러스, 컴퓨터 웜(worm), 시스템 컴포넌트 대체, 시스템 공격의 부정, 정보 훔치기, 심지어 합법적인 컴퓨터 시스템 특징의 오용/남용을 포함하는 많은 상이한 형태를 취하지만, 이에 제한되지 않으며, 이러한 것 모두는 비합법적인 목적을 위해 하나 이상의 컴퓨터 시스템의 취약성을 부당하게 이용한다는 것을 이해할 것이다. 당업자들은 각종 컴퓨터 공격이 이론적으로 서로 다르다는 것을 알지만, 본 발명의 목적 및 설명의 단순화를 위해, 이러한 공격들 모두는 일 반적으로 이하에서는 컴퓨터 멀웨어, 또는 더 간단하게 멀웨어로 지칭될 것이다.
컴퓨터 시스템이 컴퓨터 멀웨어에 의해 공격을 받거나 또는 이에 "감염"될 때, 시스템 장치를 사용불가하게 하고; 펌웨어, 애플리케이션 또는 데이터 파일을 지우거나 손상시키고; 민감할 수 있는 데이터를 네트워크의 다른 위치로 전송하고; 컴퓨터 시스템을 셧 다운하고; 또는 컴퓨터 시스템이 충돌하게끔 하는 것을 포함하여 그 결과는 다양하다. 전부는 아니지만 많은 컴퓨터 멀웨어의 또 다른 치명적인 양상은 감염된 컴퓨터 시스템이 다른 컴퓨터 시스템을 감염시키는 데에 사용된다는 것이다.
도 1은 컴퓨터 멀웨어가 일반적으로 배포되어 있는 예시적이고 네트워크화된 환경(100)을 도시하는 도면이다. 도 1에 도시된 바와 같이, 통상적이고 예시적인 네트워크화된 환경(100)은 복수의 컴퓨터(102-108)를 포함하며, 이들은 인트라넷과 같은 통신 네트워크(110)를 통해 또는 인터넷이라 일반적으로 지칭되는 글로벌 TCP/IP 네트워크를 포함하는 더 큰 통신 네트워크를 통해 상호접속되어 있다. 어느 이유든지, 컴퓨터(102)와 같이 네트워크(110)에 접속된 컴퓨터 상의 악의 있는 측(party)은 컴퓨터 멀웨어(112)를 개발하고 이를 네트워크(110)에 배포(release)한다. 이 배포된 컴퓨터 멀웨어(112)는 화살표(114)에 의해 표시된 바와 같이, 컴퓨터(104)와 같은 하나 이상의 컴퓨터에 의해 수신되어 이를 감염시킨다. 많은 컴퓨터 멀웨어에서 통상적이듯이, 일단 감염되면, 컴퓨터(104)는 화살표(116)에 의해 표시된 바와 같이 컴퓨터(106)와 같은 다른 컴퓨터를 감염시키는 데에 사용되고, 이어서, 이것은 화살표(118)에 의해 표시된 바와 같이 컴퓨터(108)와 같은 또 다른 컴퓨터를 감염시킨다.
안티바이러스 소프트웨어가 수천 개의 공지된 컴퓨터 멀웨어를 인식하는 데에 있어서 더 똑똑해지고 효율적으로 됨에 따라, 컴퓨터 멀웨어 또한 더 똑똑해지고 있다. 예를 들어, 많은 최근의 컴퓨터 멀웨어는 이제 다형적(polymorphic)인데, 즉, 다시 말해, 이동 중에 안티바이러스 소프트웨어가 컴퓨터 멀웨어를 인식할 수 있는 식별가능한 패턴 또는 "서명(signature)"이 없다. 이러한 다형성 멀웨어는 이것이 다른 컴퓨터 시스템으로 전파되기 전에 자기 자신을 변형하기 때문에 안티바이러스 소프트웨어는 종종 이것을 인식할 수 없다.
운영 체제 또는 장치 드라이버 및 소프트웨어 애플리케이션과 같은 기타 컴퓨터 시스템 컴포넌트에서 취약성이 식별되고 이에 초점을 두면, 운영 체제 제공자는 통상적으로 소프트웨어 업데이트를 배포하여 이 취약성을 고칠 것이다. 이 업데이트는 종종 패치라 지칭되며, 이것은 식별된 취약성으로부터 컴퓨터 시스템을 보호하기 위해 컴퓨터 시스템에 설치되어야만 한다. 그러나, 본질적으로 이러한 업데이트는 운영 체제, 장치 드라이버 또는 소프트웨어 애플리케이션의 컴포넌트에 대한 코드 변경이다. 이와 같이, 이것은 안티바이러스 소프트웨어 제공자로부터의 안티바이러스 업데이트만큼 신속하게 그리고 자유롭게 배포될 수 없다. 이러한 업데이트가 코드 변경이기 때문에, 소프트웨어 업데이트는 대중들에게 배포되기 전에 실질적인 회사 내부의 테스팅을 필요로 한다.
멀웨어를 식별하고 취약성을 해결하고자 하는 본 시스템 하에서, 컴퓨터는 일부 환경에서 멀웨어에 의해 공격을 받기 쉽다. 예를 들어, 컴퓨터 사용자는 안 티바이러스 소프트웨어에 대한 패치 및/또는 업데이트를 설치하지 않을 수 있다. 이 경우, 멀웨어는 멀웨어에 대해 충분히 보호되지 않은 컴퓨터들 간의 네트워크에서 전파될 수 있다. 그러나, 사용자가 컴퓨터를 규칙적으로 업데이트하는 경우에조차, 새 컴퓨터 멀웨어가 네트워크에 배포되는 때와 멀웨어로부터 컴퓨터 시스템을 보호하기 위해 운영 체제 컴포넌트의 안티바이러스 소프트웨어가 업데이트되는 때 사이에 존재하는 기간(이하에서는 이를 취약성 윈도우(vulnerability window)라 지칭함)이 있다. 이름에서 알 수 있듯이, 컴퓨터 시스템이 새 컴퓨터 멀웨어에 대해 취약하거나 또는 이에 노출되는 것이 바로 이 취약성 윈도우 동안이다.
도 2는 취약성 윈도우를 도시하는 예시적인 타임라인의 블록도이다. 이하의 설명에 관해, 중요한 타임 또는 이벤트는 타임라인에 관해 이벤트로 식별되고 지칭될 것이다. 오늘날 배포되는 대부분의 멀웨어는 공지된 취약성에 기초하지만, 때때로 이전에 알려지지 않은 취약성을 활용하는 컴퓨터 멀웨어가 네트워크(110)에 배포된다. 도 2는 이러한 시나리오 하에서 타임라인(200)에 관한 취약성 윈도우(204)를 도시한다. 따라서, 타임라인(200)에 도시된 바와 같이, 이벤트(202)에서, 멀웨어 작성자는 새 컴퓨터 멀웨어를 배포한다. 이것이 새 컴퓨터 멀웨어이므로, 이 멀웨어로부터 취약한 컴퓨터 시스템을 보호하는 것이 가능한 운영 체제 패치 또는 안티바이러스 업데이트는 없다. 따라서, 취약성 윈도우(204)가 시작된다.
새 컴퓨터 멀웨어가 네트워크(110)에서 순회한 후 어느 시점에서, 운영 체제 제공자 및/또는 안티바이러스 소프트웨어 제공자는 이벤트(206)에서 표시되는 바와 같이 새 컴퓨터 멀웨어를 검출한다. 당업자들은 통상적으로 새 컴퓨터 멀웨어의 존재가 운영 체제 제공자와 안티바이러스 소프트웨어 제공자 둘 모두에 의해 대략 몇 시간 내에 검출된다는 것을 이해할 것이다.
컴퓨터 멀웨어가 일단 검출되면, 안티바이러스 소프트웨어 제공자는 안티바이러스 소프트웨어가 컴퓨터 멀웨어를 인식할 수 있도록 하는 패턴 또는 "서명"을 식별할 수 있는 프로세스를 시작한다. 마찬가지로, 운영 체제 제공자는 컴퓨터 멀웨어를 분석하고 컴퓨터 멀웨어로부터 컴퓨터를 보호하기 위해 운영 체제가 반드시 패치되어야 하는지 여부를 판정하는 프로세스를 시작한다. 이러한 비슷한 노력의 결과로서, 이벤트(208)에서, 운영 체제 제공자 및/또는 안티바이러스 소프트웨어 제공자는 업데이트 즉, 운영 체제 또는 안티바이러스 소프트웨어에 대한 소프트웨어 패치를 배포하고, 이것은 컴퓨터 멀웨어를 해결한다. 그 결과, 이벤트(210)에서, 업데이트가 사용자의 컴퓨터에 설치되고, 따라서 컴퓨터 시스템은 보호되며, 취약성 윈도우(204)가 종료된다.
상술된 예제(이것은 컴퓨터 멀웨어가 컴퓨터 시스템에 보안 위협을 가할 수 있는 가능한 모든 시나리오 중 단지 예시적인 것임)로부터 알 수 있듯이, 컴퓨터 멀웨어(112)가 네트워크(110)에 배포되는 때와 대응하는 업데이트가 사용자의 컴퓨터 시스템에 설치되는 때 사이에 취약성 윈도우(204)가 존재한다. 슬프게도, 취약성 윈도우(104)가 크든 작든, 컴퓨터 소유자가 감염된 컴퓨터의 바이러스를 없애고 그것을 고치는 데에는 상당한 비용이 든다. 이러한 비용은 수천 또는 수만의 장치가 네트워크(110)에 연결되어 있는 큰 기업 또는 엔티티를 다루는 경우에는 막대할 수 있다. 이러한 비용은 또한 멀웨어가 추적하고 고치기가 매우 어렵거나 또는 이 것이 불가능한 사용자 데이터를 함부로 변경하거나 또는 이를 파괴할 수 있다는 가능성으로 인해 증폭될 수 있다.
멀웨어에 의해 제공되는 이러한 위협에 맞서기 위해, 상이한 유형의 멀웨어에 대한 엔트리 포인트 및/또는 데이터 스트림을 모니터하기 위해 점점 더 많은 수의 안티-멀웨어 서비스 및 기타 이벤트 검출 시스템이 개발되어오고 있다. 예를 들어, 안티-멀웨어 서비스의 문맥에서, 많은 컴퓨터는 이제 종래의 안티바이러스 소프트웨어 외에 방화벽, 행동 차단기(behavior blocker) 및 안티-스파이웨어 시스템을 채용하여 컴퓨터를 보호할 수 있다. 당업자들은 안티-멀웨어 서비스가 통상적으로 (1) 멀웨어의 특성이라 알려져 있는 코드 및/또는 활동과 (2) 멀웨어로 "의심되거나" 또는 멀웨어의 특성이라고 생각되는 코드 및/또는 활동을 식별할 수 있다는 것을 인식할 것이다. 멀웨어의 특성이라 알려져 있는 코드 및/또는 활동이 식별될 때, 멀웨어 처리 루틴은 "바이러스를 없애거나" 또는 컴퓨터에서 멀웨어를 제거하도록 사용될 것이다. 그러나, 코드 및/또는 활동이 의심된다고 식별되는 경우에는, 안티-멀웨어 서비스는 그 코드 및/또는 활동이 실제 멀웨어의 특성이라고 정확하게 단언하기에 충분한 정보를 지니지 않을 수 있다. 또한, 각종 많은 다른 목적을 위해, 엔트리 포인트, 데이터 스트림, 컴퓨터 속성 및/또는 활동을 모니터하기 위해 기타 이벤트 검출 시스템이 개발되어오고 있다. 예를 들어, 일부 운영 체제는 "CPU"에 의해 수행되는 처리량뿐만 아니라, 멀웨어로부터 컴퓨터를 순향적으로(proactively) 보호할 때 유용할 수 있는 컴퓨터에 관련된 일부 중요한 "이벤트"를 추적할 수 있다.
종래 기술에서의 전술된 문제점은, 멀웨어로부터 컴퓨터를 순향적으로 보호하기 위해 복수의 안티-멀웨어 서비스 및 기타 이벤트 검출 시스템의 지식 기반을 모으기 위한 시스템, 방법 및 컴퓨터 판독가능 매체에 관한 본 발명의 원리에 의해 극복된다.
본 발명의 한 양상은, 멀웨어로부터 복수의 안티-멀웨어 서비스 및/또는 이벤트 검출 시스템을 유지하는 자립형 컴퓨터를 보호하기 위한 방법이다. 보다 구체적으로는, 본 방법은 (1) 안티-멀웨어 서비스 및/또는 이벤트 검출 시스템을 사용하여 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트를 관찰하는 단계; (2) 이 의심스러운 이벤트가 소정의 임계값을 충족시키는지의 여부를 판정하는 단계; 및 (3) 의심스러운 이벤트가 소정의 임계값을 충족시키는 경우, 컴퓨터에 제한적인 보안 정책을 구현하는 단계를 포함한다. 일부 예제에서, 인입 및 아웃고잉 네트워크 트래픽 모두는 아니지만 그 대부분을 차단하는 것과 같은 일반적인 보안 수단을 취하는 보안 정책이 호출될 수 있다. 다른 예제에서, 제한적인 보안 정책은 엔티티에 사용가능한 자원을 제한하여, 컴퓨터가 멀웨어에 재감염되지 않을 수 있다.
본 발명의 또 다른 양상은 멀웨어로부터 컴퓨터를 보호하기 위해 복수의 안티-멀웨어 서비스 및/또는 이벤트 검출 시스템의 지식 기반을 모으는 소프트웨어 시스템이다. 본 발명의 한 실시예에서, 소프트웨어 시스템은 데이터 수집기 컴포넌트, 데이터 분석기 모듈 및 정책 구현기를 포함한다. 데이터 수집기 컴포넌트는 컴퓨터에 설치되어 있는 상이한 안티-멀웨어 시스템 및/또는 이벤트 검출 시스템으 로부터 데이터를 수집하도록 동작한다. 이 실시예에서, 수집된 데이터는 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트를 기술한다. 다양한 때에, 데이터 분석기 모듈은 데이터 수집기 컴포넌트에 의해 수집된 데이터가, 전체적으로 볼 때 멀웨어를 나타내는지 여부에 관해 판정을 내릴 수 있다. 데이터 분석기 모듈이 어느 정도 확신을 가지고 멀웨어가 존재한다고 판정하는 경우, 정책 구현기는 그 컴퓨터 자원으로의 액세스를 제한하는 제한적인 보안 정책을 강요할 수 있다.
또한 다른 실시예에서, 내용 즉 본 명세서에 설명된 방법에 따라 컴퓨터가 동작하도록 하는 프로그램을 컴퓨터 판독가능 매체에 제공한다.
본 발명의 전술된 양상과 많은 부수적인 이점들은, 첨부되는 도면과 함께 이하의 상세한 설명을 참조함으로써 더 잘 이해되는 바와 같이 더 쉽게 이해될 것이다.
본 발명에 따라, 멀웨어로부터 컴퓨터를 보호하기 위해 복수의 보안 서비스 및/또는 기타 이벤트 검출 시스템의 지식 기반을 모으기 위한 시스템, 방법 및 컴퓨터 판독가능 매체가 제공된다. 본 발명이 상이한 안티-멀웨어 서비스를 이용하는 멀웨어로부터 컴퓨터를 보호하는 문맥에서 주로 설명되지만, 당업자들은 본 발명이 설명된 것 외에 다른 소프트웨어 시스템에 또한 적용가능하다는 것을 이해할 것이다. 예를 들어, 본 발명의 양상은 현재 사용가능하거나 또는 아직 개발중인 이벤트 검출 시스템 중 임의의 하나를 이용하도록 구성될 수 있다. 이하의 설명은 본 발명이 구현될 수 있는 소프트웨어 시스템의 양상에 대한 개요를 우선 제공한 다. 그리고 나서, 본 발명을 구현하는 방법이 설명된다. 본 명세서에서 제공되는 예시적인 예제들은 개시된 형태 그대로 본 발명을 철저하게 연구하거나 이를 제한하고자 하는 것이 아니다. 마찬가지로, 본 명세서에 설명된 모든 단계는 동일한 결과를 달성하기 위해 다른 단계 또는 단계들의 조합과 상호교환될 수 있다.
이제 도 3을 참조하여, 본 발명의 양상을 구현할 수 있는 컴퓨터(300)의 컴포넌트들이 설명된다. 컴퓨터(300)는 퍼스널 컴퓨팅 장치, 서버 기반의 컴퓨팅 장치, PDA, 셀룰러 전화, 일부 유형의 메모리 등을 갖는 기타 전자 장치를 포함하는 각종 장치 중 임의의 하나일 수 있으나 이에 제한되지 않는다. 쉽게 도시하기 위해, 그리고 이것은 본 발명의 이해에서 중요하지 않기 때문에, 도 3은 CPU, 키보드, 마우스, 프린터 또는 기타 I/O 장치, 디스플레이 등과 같은 많은 컴퓨터의 통상적인 컴포넌트를 도시하지 않는다. 그러나, 도 3에 도시된 컴퓨터(300)는 안티바이러스 소프트웨어(302), 방화벽 애플리케이션(304), 행동 차단기(306), 안티-스파이웨어 소프트웨어(308) 및 메트릭스 시스템(309)을 포함한다. 또한, 컴퓨터(300)는 데이터 수집기 컴포넌트(312), 데이터 분석기 모듈(314) 및 정책 구현기(316)를 포함하는 집계 루틴(aggregation routine)(310)에서 본 발명의 양상을 구현한다.
당업자들은 컴퓨터의 각종 엔트리 포인트 또는 데이터 스트림의 모든 상이한 유형의 멀웨어에 대해 보호하기 위해 점점 많은 수의 안티-멀웨어 보안 서비스가 사용가능하게 되고 있다는 것을 인식할 것이다. 예를 들어, 멀웨어에 대해 컴퓨터를 보호하기 위해 오늘날 일반적인 하나의 방어는 안티바이러스 소프트웨어(302)이 다. 일반적으로 설명하면, 종래의 안티바이러스 소프트웨어(302)는 멀웨어의 특성인 "서명"에 대해 디스크와 같은 입력/출력("I/O") 장치로부터 액세스되는 데이터를 검색한다. 또한, 안티바이러스 소프트웨어(302)는 점점 더 멀웨어의 특성인 활동을 측정하도록 설계된 발견적 멀웨어 검출 기술(heuristic malware detection techniques)을 수행하고 있다.
컴퓨터 멀웨어에 대항하여 보호하는 데에 있어 오늘날의 일반적인 또 다른 방어는 방화벽 애플리케이션(304)이다. 당업자들은 방화벽 애플리케이션(302)이 내부 네트워크와 외부 네트워크 사이에서 정보의 흐름을 조절함으로써 외부 네트워크로부터 비롯되는 인가되지 않은 액세스로부터 내부 네트워크를 보호하는 안티-멀웨어 시스템이라는 것을 이해할 것이다. 내부 네트워크의 외부에서 비롯되는 모든 통신은 방화벽 애플리케이션(304)을 통해 전송되고, 이 방화벽 애플리케이션(304)은 통신을 검사하고 이것이 안전한지 또는 통신을 받아들이는 것을 허용할 수 있는지 여부를 판정한다.
현재 사용가능한 또 다른 안티-멀웨어 서비스는 행동 차단기(306)이고, 이것은 정책에 상반되는 활동이 스케줄링되는 경우 중재하면서 양성 활동이 발생할 수 있도록 설계된 정책을 구현한다. 통상적으로, 행동 차단기(306)는 멀웨어에 잠재적으로 감염된 코드가 분석되어 그 코드가 수락할 수 없는 행동을 수행하는지 여부를 판정하는 "샌드박스(sandbox)"를 구현한다. 예를 들어, 수락할 수 없는 행동은 사용자의 주소록에 있는 엔티티에게 배포될 매스 이메일을 생성하는 형태를 취할 수 있다. 마찬가지로, 수락할 수 없는 행동은 시스템 레지스트리와 같이 중요한 데이터베이스의 다수의 엔트리를 변경하는 것으로 정의될 수 있다. 어느 경우든지, 행동 차단기(306)는 프로그램을 분석하여 수락할 수 없는 행동을 막도록 설계된 정책을 구현한다.
점점 더, 컴퓨터로부터 상이한 유형의 멀웨어를 식별하고 이를 "제거"하기 위해 다른 유형의 안티-멀웨어 서비스가 개발되고 있다. 예를 들어, 안티-스파이웨어 소프트웨어(308)는 사용자에 의해 수행된 액션을 추적하는 프로그램을 식별하도록 설계된다. 스파이웨어가 컴퓨터(300)에 해를 끼치지는 않지만, 다른 유형의 멀웨어에서 일어나는 것처럼, 일부 사용자들은 스파이웨어가 침입하여 그 액션을 추적하거나 알려지지 않은 엔티티에 그 액션을 보고한다는 것을 알게 될 것이다. 이런 경우, 사용자는 컴퓨터로부터 이러한 유형의 멀웨어를 식별하고 이를 제거하는 안티-스파이웨어 소프트웨어(308)를 설치할 수 있다.
당업자들은 일부 이벤트 검출 시스템이 컴퓨터 엔트리 포인트, 데이터 스트림 및/또는 컴퓨터 이벤트 및 활동을 모니터링할 수 있다는 것을 인식할 것이다. 통상적으로, 이벤트 검출 시스템은 컴퓨터에서 일어나는 이벤트를 식별하기 위한 로직을 제공할 뿐만 아니라 데이터베이스, 이벤트 로그 및 관찰되는 이벤트에 대한 데이터를 획득하기 위한 추가의 유형의 자원을 또한 유지할 것이다. 예를 들어, 도 3에 도시되는 바와 같이, 컴퓨터(300)는 컴퓨터(300)의 각종 수행 메트릭스를 관찰하고 이를 기록하도록 설계된 메트릭스 시스템(309)을 유지한다. 이에 관해, 메트릭스 시스템(309)은 CPU의 사용, 페이지 폴트의 발생, 프로세스의 종료 및 컴퓨터(300)의 기타 성능 특성(performance characteristics)을 모니터링할 수 있다. 이하에 더 상세히 설명되듯이, 컴퓨터(300)의 성능 특성의 패턴 및 컴퓨터에서 발생하는 기타 이벤트는 멀웨어를 나타낼 수 있다. 특정 이벤트 검출 시스템(메트릭스 시스템(309))이 명세서에 도시되었지만, 당업자들은 본 발명의 범위에서 벗어나지 않고 다른 유형의 이벤트 검출 시스템이 컴퓨터(300)에 포함될 수 있다는 것을 인식할 것이다.
당업자들은 도 3을 참조하여 상술된 안티-멀웨어 시스템(302,304,306 및 308) 그리고 이벤트 검출 시스템(309)이 예시적이고 본 발명을 제한하는 것으로 해석되어서는 안 된다는 것을 이해할 것이다. 예를 들어, 본 발명은 본 발명의 범위를 벗어나지 않고 네트워크로부터 사용가능한 로그 또는 기타 정보를 리뷰함으로써 컴퓨터(300)로의 인가되지 않은 액세스를 검출하는 것을 시도하는 소위 침입 검출 시스템으로 구현될 수 있다. 대신, 본 발명의 양상은 도시되고 설명된 것과 상이한 안티-멀웨어 시스템 및 기타 이벤트 검출 시스템을 이용하여 구현될 수 있다. 또한, 본 발명의 양상은 임의의 수의 안티-멀웨어 서비스 및 이벤트 검출 시스템과 함께 구현될 수 있다. 예를 들어, 컴퓨터(300)가 안티바이러스 소프트웨어(302), 방화벽 애플리케이션(304), 행동 차단기(306) 및 메트릭스 시스템(309)은 포함하지만 안티-스파이웨어 소프트웨어(308)는 포함하지 않는 경우에도 본 발명이 사용될 수 있다는 것을 나타내기 위해 안티-스파이웨어 소프트웨어(308)는 파선으로 표시되어 있다. 따라서, 본 발명의 다른 실시예에서는, 추가의 또는 더 적은 수의 안티-멀웨어 서비스 및 이벤트 검출 시스템이 추가되거나 또는 컴퓨터 시스템(300)에서 제거될 수 있다.
점점 더 똑똑해지는 멀웨어를 검출하는 데 있어 안티-멀웨어 서비스의 정확도가 향상되는 반면, 기존의 안티-멀웨어 서비스는 특정 영역의 멀웨어를 검출하는 것에 제한되어 있다. 그 결과, 이러한 자립형, 안티-멀웨어 서비스는 내재된 제한을 지닌다. 예를 들어, 방화벽 애플리케이션(304)은 인입 및 아웃고잉 네트워크 활동을 모니터링함으로써 멀웨어를 검출하고 데이터가 네트워크를 통해 전송되는 방식에 의해 제한된다. 당업자들은 클라이언트 기반 컴퓨터들이 서버 기반 컴퓨터로부터 데이터를 획득할 때 통상적으로 하나 이상의 파일을 요청한다는 것을 인식할 것이다. 이 예제에서, 최근의 네트워크의 컴포넌트는 파일을 더 작은 단위("패킷")로 세그먼트화하는데, 이것은 제한된 대역폭의 네트워크 접속을 통해 패킷을 전송하기 위해서이다. 패킷은 네트워크를 통해 전송되고 패킷이 클라이언트 기반 컴퓨터에 도착할 때 멀웨어에 대한 방화벽 애플리케이션(304)에 의해 이 패킷은 개별적으로 스캐닝된다. 따라서, 방화벽 애플리케이션(304)은 멀웨어에 대해 패킷을 스캐닝할 때 전체 파일을 지니지 않을 수 있고, 그 결과, 이것은 모든 경우의 멀웨어를 미리 검출하지 못할 수 있다.
방화벽 애플리케이션(304)이 모든 경우의 멀웨어를 미리 검출하지 못한다 할지라도, 방화벽 애플리케이션(304)은 멀웨어 감염의 강한 발견적 표시자인 데이터를 수집할 수 있고, 또는 이를 수집하도록 쉽게 구성될 수 있다. 예를 들어, 방화벽 애플리케이션은 통상적으로 네트워크 활동을 모니터링하고, 이것은 멀웨어의 특성일 수 있는 의심스러운 데이터에 대해 패킷의 내용을 "심도있게(deep)" 모니터링하는 것을 포함할 수 있다. 또한, 많은 방화벽 애플리케이션은 컴퓨터에서 발생하 고 있는 네트워크 활동의 볼륨에 관한 통계를 유지한다. 멀웨어가 컴퓨터를 감염시키고자 시도한다는 강한 발견적 표시자(이것은 방화벽 애플리케이션(304)에 의해 유지되는 통계로부터 도출될 수 있음)는, 네트워크 활동에서 상당한 증가가 검출될 때 존재한다. 네트워크 활동의 증가 이것만으로는 멀웨어를 충분히 나타내지 못한다. 대신, 컴퓨터가 왜 증가된 볼륨의 데이터를 전송하고 또는 수신하고 있는지(예를 들어 사용자가 네트워크를 통해 대형 멀티미디어 파일을 다운로드 받기 시작한 경우) 합법적인 이유가 있다. 멀웨어 감염을 적극적으로 식별하기 위해 이러한 유형의 이벤트가 방화벽 애플리케이션(304)에 의해 사용되는 경우, 많은 수의 "오탐지(false positive)", 즉 멀웨어로 잘못 식별하는 사례(instance)가 발생할 수 있다.
기타의 안티-멀웨어 서비스 및 이벤트 검출 시스템은 또한 컴퓨터가 멀웨어로 감염되었거나 또는 멀웨어가 컴퓨터를 감염시키고자 한다는 발견적 표시자를 관찰한다. 예를 들어, 스파이웨어로 알려져 있는 특정 유형의 멀웨어는 사용자의 액션을 추적하기 위해 항상 컴퓨터에서 활성이어야 한다. 컴퓨터 시동 시 활성화되기 위해, 스파이웨어는 서비스 제어 관리자(Service Control Manager:SCM) 또는 레지스트리 키와 같은 운영 체제의 하나 이상의 "확장성 포인트(extensibility points)"에 등록할 것이다. 위에서 제공된 예제와 유사하게, 운영 체제의 확장성 포인트에 프로그램을 등록하는 것은 프로그램이 멀웨어라는 것을 명확하게 나타내는 것 자체는 아니다. 그러나, 확장성 포인트에 등록하는 것은 멀웨어를 나타낼 수 있는 "의심스러운" 이벤트이다. 본 발명은 멀웨어로부터 순향적으로 보호하기 위해 이러한 유형의 의심스러운 이벤트에 의해 제공되는 지식을 모으고 이를 향상시키는 것에 관한 것이다.
상술된 바와 같이, 컴퓨터(300)는 데이터 수집기 컴포넌트(312), 데이터 분석기 모듈(314) 및 정책 구현기(316)를 포함하는 집계 루틴(310)을 유지한다. 본 발명의 한 실시예를 설명하는 일반적인 용어로, 데이터 수집기 컴포넌트(312)는 "의심스러운" 이벤트에 관해 컴퓨터(300)에 설치된 안티-멀웨어 서비스 및 이벤트 검출 시스템(예를 들어 안티바이러스 소프트웨어(302), 방화벽 애플리케이션(304), 행동 차단기(306), 안티-스파이웨어 소프트웨어(308) 및 메트릭스 시스템(309))으로부터 데이터를 획득한다. 도 4와 관련하여 이하에 더 상세히 설명되는 바와 같이, 수집된 데이터는 단지 안티-멀웨어 서비스 또는 이벤트 검출 시스템으로부터 의심스러운 이벤트가 발생했다는 표시자 뿐일 수 있다. 또한, 데이터 수집기 컴포넌트(312)는 안티-멀웨어 서비스 또는 이벤트 검출 시스템으로부터 의심스러운 이벤트의 속성을 기술하는 메타데이터를 획득할 수 있다. 어느 경우든지, 데이터 수집기 컴포넌트(312)는 의심스러운 이벤트에 관한 데이터를 보고하고 및/또는 이를 획득하기 위해 컴퓨터(300)에 설치된 안티-멀웨어 서비스 및 이벤트 검출 시스템에 대한 인터페이스로서 기능한다.
도 3에 도시된 바와 같이, 집계 루틴(310)은 또한 데이터 분석기 모듈(314)을 포함하고, 이것은 데이터 수집기 컴포넌트(312)에 보고되고 및/또는 이에 의해 수집된 의심스러운 이벤트가 소정의 임계값을 충족시키는지 여부를 판정한다. 도 4와 관련하여 이하에 더 상세히 설명되는 바와 같이, 임계값이 충족되는 경우, 데 이터 분석기 모듈(314)에 의해 엔티티(컴퓨터, 파일, 프로세스 등)가 멀웨어로 "표시될(marked)" 것이다. 일부 예에서, 데이터 분석기 모듈(314)은 소정의 시간 프레임에 대해 의심스러운 이벤트의 수가 보통 때보다 사실상 많은지 또는 임계값이 충족되는지 여부를 판정할 때 명시된 값보다 더 높은지 여부를 판정한다. 또한, 도 4와 관련하여 더 상세히 이하에 설명되는 바와 같이, 데이터 분석기 모듈(314)은 안티-멀웨어 서비스(302,304,306,308)와 메트릭스 시스템(309)에 의해 생성되는 메타데이터를 분석하여 임계값이 충족되는지 여부를 판정할 수 있다. 이 경우, 데이터 분석기 컴포넌트(314)는 통상적으로 안티-멀웨어에 의해 관찰된 의심스러운 이벤트가 멀웨어의 특성인지 여부를 좀 더 정확하게 판정하기 위해 향상된 문맥을 지닐 것이다.
집계 모듈(310)은 또한 컴퓨터(300)와 관련된 엔티티가 멀웨어로 "표시된" 경우 컴퓨터(300)를 보호하도록 설계된 정책을 구현하는 정책 구현기(316)를 포함한다. 이전에 언급된 바와 같이, 데이터 분석기 모듈(314)은, 데이터 수집기 컴포넌트(312)에 보고된 의심스러운 이벤트가 임계값을 충족시키는지 여부를 판정한다. 임계값이 충족되는 경우, 멀웨어로부터 컴퓨터(300)를 보호하는 제한적인 정책이 구현될 수 있다. 일반적으로 기술하면, 정책 구현기(316)는 컴퓨터(300)의 보안 레벨을 높여서 멀웨어로부터 컴퓨터를 순향적으로 보호한다. 디폴트 정책이 제공되지만, 사용자 또는 시스템 관리자는 구현할 정책을 선택할 수도 있다. 예를 들어, 사용자는 컴퓨터(300)에서 멀웨어를 제거하는 데에 필요한 네트워크 전송을 제외하고는, 그 어떠한 네트워크 전송도 컴퓨터(300)에 의해 수신되거나 또는 전송되 지 못하도록 하는 매우 제한적인 정책을 강요할 수 있다. 그러나, 다른 방어하는 보안 수단이 정책에 정의되고 정책 구현기(316)에서 구현될 수 있고, 이러한 수단으로는 특정 통신 포트 및 주소에서의 네트워크 트래픽을 차단하는 것; 이메일 또는 웹 브라우저 애플리케이션과 같이 임의의 네트워크 관련된 애플리케이션으로부터 및/또는 이것으로의 통신을 차단하는 것; 임의의 애플리케이션을 종료하는 것 및 컴퓨터(300)의 특정 하드웨어 및 소프트웨어 컴포넌트로의 액세스를 차단하는 것을 포함하지만 이에 제한되지 않는다.
본 발명의 한 실시예에 따라, 정책 구현기(316)는 컴퓨터(300)에 설치된 하나 이상의 안티-멀웨어 서비스(302,304,306 및 308)와 통신하여 멀웨어로 "표시된" 엔티티에 사용가능한 자원을 제한하도록 구성되어 있다. 예를 들어, 행동 차단 소프트웨어(306)는 멀웨어로 "표시된" 프로세스가 운영 체제 확장 포인트를 액세스하는 것을 막도록 구성될 수 있다. 정책 구현기(316)는 이 행동 차단 소프트웨어(306)와 통신하여 안티-스파이웨어 소프트웨어(308)가 이러한 유형의 활동을 수행하는 것으로부터 프로세스를 차단하도록 구성될 수 있다.
본 발명은 많은 상이한 정황에서 구현될 수 있고, 이중 이하는 그 예제이다. 기존의 안티-멀웨어 서비스는 멀웨어를 명확하게 나타내는 이벤트 및 멀웨어의 특성일 수 있는 의심스러운 이벤트를 식별할 수 있다. 의심스러운 이벤트와 관련된 엔티티가 멀웨어로 "표시된" 경우, 과도한 수의 오탐지, 즉 엔티티를 멀웨어로 잘못 식별하였을 때의 사례가 발생할 것이다. 그럼에도 불구하고, 엔티티가 안티-멀웨어 서비스 또는 이벤트 검출 시스템에 의해 의심스러운 것으로 식별된 이벤트와 관련되었다는 지식은 멀웨어에 대항하여 컴퓨터를 순향적으로 보호할 때 도움이 될 것이다. 본 발명은 상이한 안티-멀웨어 서비스 및 이벤트 검출 시스템에 대한 지식을 모으기 위해 이러한 유형의 기존의 인프라스트럭처에서 구현될 수 있다. 보다 구체적으로는, 별도의 유형의 안티-멀웨어 서비스(예를 들어, 안티바이러스 소프트웨어(302), 방화벽 애플리케이션(304), 행동 차단기(306) 및 안티-스파이웨어 소프트웨어(308)) 및 이벤트 검출 시스템(메트릭스 시스템(309))은 본 발명의 양상을 구현하는 소프트웨어 모듈(집계 루틴(310))에 의심스러운 이벤트를 보고하도록 구성될 수 있다. 안티-멀웨어 서비스 또는 이벤트 검출 시스템에 의해 관찰되는 의심스러운 이벤트의 유형 또는 개수가 임계값을 충족시키는 경우, 집계 루틴(310)은 이 이벤트들과 관련된 엔티티를 멀웨어인 것으로 "표시"할 것이다.
당업자들은 도 3이 본 발명에 의해 구현되는 기능을 수행할 수 있는 한 컴퓨터(300)의 단순화된 예제라는 것을 이해할 것이다. 컴퓨터(300)의 실제 실시예는 도 3에 도시되지 않았거나 또는 그에 따른 텍스트에서 설명되지 않은 추가의 컴포넌트를 지닐 것이다. 또한, 도 3은 멀웨어로부터 컴퓨터(300)를 순향적으로 보호하기 위한 예시적인 컴포넌트 아키텍처를 도시하지만, 기타 컴포넌트 아키텍처도 가능하다.
이제 도 4에 관해, 도 3에 도시된 집계 루틴(310)의 예시적인 실시예가 설명되며, 이것은 안티-멀웨어 서비스 또는 기타 이벤트 검출 시스템에 의해 식별된 의심스러운 이벤트가 멀웨어의 특성인지 여부를 판정한다.
도 4에 도시된 바와 같이, 집계 루틴(310)은 블록(400)에서 시작되고, 여기 서 루틴(310)은 안티-멀웨어 서비스 또는 기타 이벤트 검출 시스템에 의해 의심스러운 이벤트가 관찰될 때까지 유휴상태(idle)로 남아 있다. 안티-멀웨어 서비스와 연관된 본 발명의 한 실시예에 따르면, 서비스에서의 로직은 멀웨어 감염의 명확한 표시자와 멀웨어의 특성일 수 있는 의심스러운 이벤트 둘 다를 정의한다. 멀웨어 감염의 명확한 표시자가 식별되는 경우, 집계 루틴(310)에 의해 구현된 소프트웨어 루틴이 실행되지 않을 것이다. 그러나, 의심스러운 이벤트가 식별되는 경우, 이벤트가 보고되고 분석이 수행되어 의심스러운 이벤트와 관련된 엔티티가 멀웨어로 "표시되어야" 하는지 여부를 판정한다. 예를 들어, 당업자들은 대부분의 멀웨어가 이동 중에 검출되는 것을 피할 수 있도록 암호화되고 실행 전에 해독된다는 것을 알 것이다. 도 3과 관련하여 상술된 예제와 마찬가지로, 안티-멀웨어 서비스가 암호화된 파일을 마주치는 경우, 예를 들어, 이것은 그 파일이 멀웨어를 포함하고 있다는 명확한 표시자 그 자체는 아니다. 그러나, 암호화된 파일을 마주치는 것은 본 발명의 양상에 대해 보고되는 "의심스러운" 이벤트이다.
블록(402)에서, 블록(400)에서 식별된 의심스러운 이벤트가 집계 루틴(310)에 보고된다. 본 발명이 많은 상이한 실시예에서 구현될 수 있고, 이하는 단지 예제일 뿐이라는 것을 이해할 것이다. 한 실시예에서, 집계 루틴(310)은 단일 소프트웨어 제공자에 의해 생성된 통합 소프트웨어 시스템에서 구현된다. 예를 들어, 도 3에 도시된 안티바이러스 소프트웨어(302), 방화벽 애플리케이션(304), 행동 차단기(306), 안티-스파이웨어 소프트웨어(308) 및 메트릭스 시스템(309)은 모두 함께 집계 루틴(310)으로 통합될 수 있다. 이 경우, 안티-멀웨어 서비스 (302,304,306,308) 및 이벤트 검출 시스템(309)은 블록(402)에서 종래 기술에 일반적으로 알려져 있는 방법을 이용하여 의심스러운 이벤트의 속성을 기술하는 데이터를 직접 전달하도록 구성될 수 있다. 본 발명의 또 다른 실시예에서, 집계 루틴(310)은 제3자 제공자가 의심스러운 이벤트를 보고할 수 있도록 하는 애플리케이션 프로그래밍 인터페이스(Application Programming Interface:API)를 유지한다. 이 경우, 제3자에 의해 생성된 안티-멀웨어 서비스 또는 기타 이벤트 검출 시스템은 집계 루틴(310)에 "플러그-인"할 수 있고, 하나 이상의 API 호출을 발행함으로써 의심스러운 이벤트를 보고할 수 있다. 또 다른 실시예에 따라, 집계 루틴(310)은 컴퓨터의 하나 이상의 자원으로부터 의심스러운 이벤트를 기술하는 데이터를 적극적으로 획득한다. 예를 들어, 도 3과 관련하여 상술된 바와 같이, 이벤트 검출 시스템(메트릭스 시스템(309))은 컴퓨터상에서 발생하는 상이한 이벤트를 관찰하고 이를 기록할 수 있다. 통상적으로, 이벤트 검출 시스템은 컴퓨터상에서 일어나는 이벤트를 식별하기 위한 로직을 제공할 뿐만 아니라 데이터베이스, 이벤트 로그 및 다른 소프트웨어 모듈에 사용가능한 자원의 추가 유형을 유지할 것이다. 이 경우, 집계 루틴(310)은 이벤트 검출 시스템에 의해 유지되는 자원으로부터 의심스러운 이벤트를 기술하는 데이터를 획득할 수 있다.
도 4에 또한 도시되는 바와 같이, 블록(404)에서, 집계 루틴(310)은 안티-멀웨어 서비스로부터 수신되거나 또는 이벤트 검출 시스템과 같이 다른 소스로부터 수집된 의심스러운 이벤트를 기술하는 데이터에 대해 분석을 수행한다. 수행되는 분석은 집계 루틴(310)에 보고되거나 또는 이에 의해 획득된 의심스러운 이벤트가, 멀웨어가 컴퓨터를 감염시키고자 한다거나 또는 이미 컴퓨터를 감염시켰다는 것을 나타내는 소정의 임계값을 충족시키는지 여부를 판정하도록 설계된다. 예를 들어, 멀웨어 작성자(malware author)는 이전에 알려지지 않은 취약성을 부당하게 이용하는 새로운 멀웨어를 배포한다. 멀웨어는 (1) 컴퓨터를 액세스하는 데에 자주 사용되지 않는 네트워크 포트를 채용하고 (2) 디스크와 같이 저장 매체에 저장되었을 때 암호화된 파일에 저장되고, (3) 운영 체제 확장 포인트로의 액세스를 시도하고 (4) 다른 네트워크의 액세스가능한 컴퓨터로 많은 양의 데이터를 전송시켜 그 결과 CPU의 사용량을 증가시킨다. 이전에 언급된 바와 같이, 본 발명의 한 실시예에서, 안티-멀웨어 서비스 또는 기타 이벤트 검출 시스템으로부터 수집된 데이터는 단지 의심스러운 이벤트가 식별되었다는 표시자일 수 있다. 이 실시예에서, 방화벽 애플리케이션(304)과 같은 안티-멀웨어 서비스는 자주 사용되지 않는 네트워크 포트가 액세스되었을 때 의심스러운 이벤트가 발생되었다는 것을 보고하도록 구성될 수 있다. 또한, 멀웨어가 많은 양의 데이터가 다른 네트워크의 액세스가능한 컴퓨터로 전송되도록 하기 때문에, 방화벽 애플리케이션(304)은 네트워크 활동의 증가가 또한 의심스러운 이벤트라고 판정할 수 있다. 이후, 안티-스파이웨어 소프트웨어(308)와 같은 또 다른 안티-멀웨어 서비스는 운영 체제의 확장 포인트가 액세스되었을 때 의심스러운 이벤트의 발생을 보고할 수 있다. 이러한 세 가지의 의심스러운 이벤트에 대한 보고를 수신하는 것 만으로는 소정의 임계값을 충족시키지 못할 수 있다. 그러나, 메트릭스 시스템(309)은 이벤트 로그에 CPU의 사용이 갑자기 증가하였다는 것을 기록할 수 있다. 이 경우, 데이터 수집기 컴포넌트(312)는 이벤 트 로그를 모니터하여 CPU 사용의 증가의 결과로서 의심스러운 이벤트가 발생했다고 판정하도록 구성될 수 있다. 이 경우, 특정 타임프레임에서 4개의 의심스러운 이벤트가 발생할 때 집계 루틴(310)에 의해 적용된 소정의 임계값이 충족될 수 있다. 그러나, 당업자들은 4개의 의심스러운 이벤트가 소정의 임계값을 충족시키기에 충분한 상술된 예제가 단지 도시의 목적을 위해 사용된 예제일 뿐 본 발명을 제한하는 것으로 해석되어서는 안 된다는 것을 이해할 것이다.
본 발명의 다른 실시예에서, 집계 루틴(310)에 의해 수집된 데이터는 컴퓨터와 관련된 엔티티가 멀웨어인지를 판정하는 데에 도움을 주는 메타데이터를 포함한다. 당업자들은 몇몇 의심스러운 이벤트가 다른 의심스러운 이벤트보다 멀웨어와 더 관련되어 있다는 것을 이해할 것이다. 본 발명의 한 실시예에서, 컴퓨터의 안티-멀웨어 서비스는 하나 이상의 의심스러운 이벤트가 멀웨어와 관련되어 있다는 가능성을 나타내는 값을 계산하도록 구성된다. 상술된 예제에서, 방화벽 애플리케이션(304)에 의해 네트워크 활동의 증가에 높은 값이 할당되고, 이것은 멀웨어가 컴퓨터를 감염시키고, 다른 컴퓨터를 감염시키고, 다른 컴퓨터를 공격하고, 정보를 누출시키는 것을 시도하고자 하는 가능성이 높다는 것을 나타낸다. 역으로, 암호화된 파일을 저장 매체에 저장하는 것은 멀웨어와 관련되는 가능성이 더 낮으며, 따라서 낮은 값이 할당될 것이다. 본 발명의 한 실시예에 따라, 의심스러운 이벤트가 멀웨어의 특성이라는 가능성을 나타내는 메타데이터가 집계 루틴(310)에 보고된다. 이 경우, 예를 들어 하나 이상의 의심스러운 이벤트가 멀웨어 공격이 일어나고 있다는 높은 가능성을 나타내는 메타데이터로 보고될 때, 소정의 임계값이 충 족될 수 있다.
안티-멀웨어 서비스에 의해 보고된 의심스러운 이벤트가 다른 엔티티와 관련될 수 있다는 것을 잘 이해할 것이다. 예를 들어, 사용자는 네트워크로부터 암호화된 파일을 다운로드할 수 있다. 앞서 언급된 바와 같이, 파일이 암호화되기 때문에, 안티-멀웨어 서비스는 파일의 다운로딩을 의심스러운 이벤트로서 집계 루틴(310)에 보고할 수 있다. 또한, 안티-멀웨어 서비스는 파일이 멀웨어로 감염되어 있다는 가능성을 나타내는 메타데이터와 파일을 관련시킬 수 있다. 본 발명의 한 실시예에서, 블록(404)에서, 집계 루틴(310)은 소정의 임계값을 사용하여 파일을 멀웨어에 감염된 것으로 분류해야하는지 여부를 판정한다. 그러나, 다른 실시예에서, 집계 루틴(310)은 소정의 임계값을 이용하여 다른 유형의 엔티티가 멀웨어에 감염되었는지 여부를 판정한다. 예를 들어, 집계 루틴(310)은 컴퓨터 전체, 프로세스, 활동을 멀웨어와 관련된 것으로서 "표시"할 수 있다.
본 발명의 또 다른 실시예에서, 안티-멀웨어 서비스에 의해 집계 루틴(310)에 보고된 메타데이터는 엔티티의 특성을 기술하기 위해 다른 안티-멀웨어 서비스에 의해 사용될 수 있다. 예를 들어, 위에서 제공된 예제에서, 방화벽 애플리케이션(304)은 암호화된 파일이 네트워크로부터 다운로드되었다는 것을 집계 루틴(310)에게 보고한다. 이 예제에서, 파일(예를 들어 암호화된 파일)이 방화벽 애플리케이션(304)에 의해 의심스러운 것으로 "표시"된 이유를 나타내는 메타데이터는 그 파일과 관련될 수 있다. 이후에 파일이 운영 체제의 확장 포인트를 액세스하는 시도와 관련되는 경우, 예를 들어, 행동 차단기(306)는 질의를 발행하고 파일과 관련 된 메타데이터를 획득할 수 있다. 이 경우, 행동 차단기(306)는 메타데이터를 이용하여 좀 더 정확하게 파일의 특성을 기술할 수 있다. 예를 들어, 멀웨어를 분석하는 데에 있어서의 경험은 암호화되고 운영 체제의 확장 포인트를 액세스하는 것 둘의 조합이 매우 의심스러운 이벤트일 수 있다는 것을 나타낼 수 있다. 그 결과, 이후 행동 차단기(306)는 그 파일이 멀웨어에 감염된 것으로 명확하게 식별할 수 있다.
판정 블록(406)에서, 집계 루틴(310)은 블록(404)에서 분석된 의심스러운 이벤트가 소정의 임계값을 충족시키는지 여부를 판정한다. 소정의 임계값이 충족되는 경우, 엔티티(컴퓨터, 파일, 프로세스 등)가 멀웨어와 관련된 것으로 "표시"된다. 이 경우, 집계 루틴(310)은 이하와 같이 블록(408)으로 진행된다. 반대로, 소정의 임계값이 충족되지 않는 경우, 집계 루틴(310)은 다시 블록(400)으로 진행되고, 소정의 임계값이 충족될 때까지 블록(400) 내지 블록(406)이 반복된다.
도 4에 도시된 바와 같이, 판정 블록(408)에서, 집계 루틴(310)은 임의의 등록된 안티-멀웨어 서비스가 컴퓨터에서 멀웨어를 제거할 수 있는지 여부를 판정한다. 앞서 언급된 바와 같이, 집계 루틴(310)은, 안티-멀웨어 서비스가, 서비스가 컴퓨터에서 제거할 수 있는 멀웨어의 유형을 식별하는 프로필을 등록하고 이를 생성할 수 있도록 한다. 블록(410)에 도달하면, 멀웨어는 컴퓨터를 이미 감염시켰고 등록된 안티-멀웨어 서비스는 컴퓨터에서 멀웨어를 제거할 수 있다. 이 경우, 집계 루틴(310)에 의해 수집된 메타데이터는 멀웨어 및 컴퓨터에서 멀웨어를 제거할 수 있는 안티-멀웨어 서비스를 식별하는 데에 사용될 수 있다. 적절한 안티-멀웨 어 서비스가 식별되면, 집계 루틴(310)은 종래 기술에 알려진 방법을 이용하여 블록(410)에서 안티-멀웨어 서비스가 멀웨어를 제거하도록 한다. 이후 집계 루틴(310)은 블록(412)으로 진행된다. 반대로, 멀웨어가 컴퓨터를 감염시키고자 시도만 하거나 또는 안티-멀웨어 서비스가 컴퓨터에서 멀웨어를 제거할 수 없는 경우, 집계 루틴(310)은 블록(410)을 스킵하고 바로 블록(412)으로 진행된다.
블록(412)에서, 집계 루틴(310)은 멀웨어의 확산 또는 이에 의한 감염을 막도록 설계된 제한적인 보안 정책을 구현한다. 블록(414)에 도달하면, 멀웨어가 식별되고 컴퓨터는 멀웨어에 감염되거나 또는 아직 감염되지 않을 수도 있다. 컴퓨터가 감염된 경우, 멀웨어의 확산을 막도록 설계된 일반적이고 제한적인 보안 정책이 통상적으로 구현될 것이다. 예를 들어, 일반적인 보안 정책을 구현하는 것은 통상적으로 자원에 다수의 제한을 적용하는 것을 포함하며, 이러한 제한으로는 컴퓨터로부터 네트워크 전송을 제한하는 것; 특정 통신 포트 및 주소에서 네트워크 트래픽을 차단하는 것; 이메일 또는 웹 브라우저 애플리케이션과 같이 임의의 네트워크 관련된 애플리케이션으로부터 및/또는 이것으로의 통신을 차단하는 것; 임의의 애플리케이션을 종료하는 것 및 컴퓨터의 특정 하드웨어 및 소프트웨어 컴포넌트로의 액세스를 차단하는 것을 포함하지만 이에 제한되지 않는다. 다른 경우, 집계 루틴(310)은 컴퓨터가 더 이상 감염되지 않도록 컴퓨터에서 멀웨어를 제거할 수도 있다. 통상적으로, 이러한 경우, 덜 제한적인 보안 정책이 구현될 것이고, 이것은 컴퓨터가 멀웨어에 다시 감염되는 것을 방지하도록 설계된다. 이후 집계 루틴(310)은 블록(414)으로 진행되고 여기에서 종료된다.
블록(414)에서 구현된 제한적인 보안 정책은, 엔티티가 멀웨어가 아닌 것으로 판정되는 경우 쉽게 중지될 수 있다. 예를 들어, 시스템 관리자 또는 사용자는 멀웨어를 포함하는 것으로 식별된 파일이 사실은 선의의 것이라는 것을 판정할 수 있다. 이 경우, 제한적인 보안 정책은 사용자로부터, 시스템 관리자로부터 또는 앞으로의 학습의 결과로서 자동으로 생성된 명령에 의해 중지될 수 있다.
본 발명의 바람직한 실시예가 도시되고 설명되었지만, 본 발명의 취지 및 범위에 벗어나지 않고 이에 각종 변경이 있을 수 있다는 것을 이해할 것이다.
본 발명의 제한적인 보안 정책은 엔티티에 사용가능한 자원을 제한하여, 컴퓨터가 멀웨어에 재감염되지 않을 수 있다.

Claims (20)

  1. 로컬 기계 이벤트를 수집하고 안티-멀웨어 서비스 및 기타 이벤트 검출 시스템의 지식 기반을 모아서 멀웨어로부터 컴퓨터를 순향적으로(proactively) 보호하는 컴퓨터 구현 방법에 있어서,
    (a) 상기 안티-멀웨어 서비스 및 기타 이벤트 검출 시스템을 이용하여 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트를 관찰하는 단계;
    (b) 상기 의심스러운 이벤트가 소정의 임계값을 충족시키는지 여부를 판정하는 단계; 및
    (c) 상기 의심스러운 이벤트가 상기 소정의 임계값을 충족시키는 경우, 제한적인 보안 정책을 상기 컴퓨터에 적용하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 안티-멀웨어 서비스 및 기타 이벤트 검출 시스템을 이용하여 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트를 관찰하는 단계는, 의심스러운 이벤트를 기술하는 메타데이터를 수신하는 단계를 포함하는 방법.
  3. 제2항에 있어서, 상기 의심스러운 이벤트를 기술하는 메타데이터는 엔티티의 특징을 기술하기 위한 안티-멀웨어 서비스에 액세스가능한 방법.
  4. 제2항에 있어서, 상기 의심스러운 이벤트를 기술하는 수신된 메타데이터는,
    (a) 상기 의심스러운 이벤트가 멀웨어를 나타내는 가능성을 정량화하는, 안티-멀웨어 서비스에 의해 생성된 가중치; 및
    (b) 상기 이벤트가 의심스러운 것으로 식별된 이유
    를 포함하는 방법.
  5. 제1항에 있어서, 상기 의심스러운 이벤트가 상기 임계값을 충족시키는지 여부를 판정하는 단계는, 소정의 시간 프레임 동안의 이벤트의 개수가 소정의 값보다 더 많은지 여부를 판정하는 단계를 포함하는 방법.
  6. 제1항에 있어, 상기 이벤트가 멀웨어를 나타내는 임계값을 충족시키는지 여부를 판정하는 단계는,
    (a) 의심스러운 이벤트 각각에 대해, 상기 의심스러운 이벤트가 멀웨어를 나타내는 가능성을 정량화하는 가중치를 생성하는 단계; 및
    (b) 상기 의심스러운 이벤트에 대한 상기 가중치의 합이 소정의 값보다 큰지 여부를 판정하는 단계
    를 포함하는 방법.
  7. 제1항에 있어서, 상기 제한적인 보안 정책은 상기 관찰된 의심스러운 이벤트와 관련된 엔티티가 상기 정책에 상반되는 방식으로 액션을 수행하고 상기 컴퓨터 상의 자원을 액세스하는 것을 방지하는 방법.
  8. 제1항에 있어서, 상기 제한적인 보안 정책을 상기 컴퓨터에 적용하는 단계는,
    (a) 상기 엔티티가 상기 컴퓨터에서 제거될 수 있는지 여부를 판정하는 단계;
    (b) 상기 엔티티가 상기 컴퓨터에서 제거될 수 있는 경우, 안티-멀웨어 서비스로 하여금 상기 엔티티를 상기 컴퓨터에서 제거하도록 하는 단계
    (c) 반대로, 상기 엔티티가 제거될 수 없는 경우, 멀웨어의 확산을 막도록 설계된 일반적이고 제한적인 보안 정책을 적용하는 단계
    를 포함하는 방법.
  9. 제8항에 있어서, 상기 안티-멀웨어 서비스로 하여금 상기 엔티티를 상기 컴퓨터에서 제거하도록 하는 단계는, 상기 멀웨어가 이어서 상기 컴퓨터를 감염시키는 것을 막도록 설계된 제한적인 보안 정책을 적용하는 단계를 포함하는 방법.
  10. 제8항에 있어서, 상기 안티-멀웨어 서비스로 하여금 상기 엔티티를 제거하도록 하는 단계는, 상기 안티-멀웨어 서비스로 하여금, 자신이 컴퓨터에서 제거하도록 구성된 멀웨어의 유형을 등록하고 그것을 식별하도록 하는 단계를 포함하는 방법.
  11. 제8항에 있어서, 상기 제한적인 보안 정책을 적용하는 단계는, 네트워크상의 데이터를 액세스하기 위한 상기 컴퓨터의 능력을 제한하는 단계를 포함하는 방법.
  12. 제11항에 있어서, 상기 네트워크상의 데이터를 액세스하기 위한 상기 컴퓨터의 능력을 제한하는 단계는,
    (a) 특정 통신 포트 상에서의 네트워크 트래픽을 차단하는 단계;
    (b) 특정 네트워크-기반 애플리케이션으로부터 통신을 차단하는 단계;
    (c) 상기 컴퓨터상의 하드웨어 및 소프트웨어 컴포넌트로의 액세스를 차단하는 단계;
    (d) 특정 통신 포트 및 주소 상의 네트워크 트래픽을 차단하는 단계
    를 포함하는 방법.
  13. 멀웨어로부터 컴퓨터를 순향적으로 보호하는 소프트웨어 시스템에 있어서,
    (a) 상기 컴퓨터와 관련된 엔티티가 멀웨어인지 여부를 판정하기 위한 집계 루틴을 포함하고,
    상기 집계 루틴은,
    (i) 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트들을 식별하는 데이터를 수집하도록 동작하는 데이터 수집기 컴포넌트;
    (ii) 상기 데이터 수집기 컴포넌트에 의해 수집된 데이터를 분석하여 임계값 이 충족되는지 여부를 판정하는 데이터 분석기 모듈; 및
    (iii) 상기 데이터 분석기 컴포넌트 모듈이 상기 임계값이 충족되는 것으로 판정할 때 제한적인 보안 정책을 구현하도록 동작하는 정책 구현기
    를 포함하는 소프트웨어 시스템.
  14. 제13항에 있어서, 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트들을 식별하고 이것을 상기 데이터 수집기 컴포넌트에 보고하기 위한 안티-멀웨어 서비스를 더 포함하는 소프트웨어 시스템.
  15. 제14항에 있어서, 상기 안티-멀웨어 서비스는 상기 의심스러운 이벤트와 관련된 엔티티를 식별하도록 또한 구성된 소프트웨어 시스템.
  16. 제13항에 있어서, 컴퓨터에서 발생하는 이벤트를 식별하고 상기 집계 루틴이 액세스가능한 데이터 스토어에 상기 이벤트를 기록하기 위한 이벤트 수집 시스템을 더 포함하는 소프트웨어 시스템.
  17. 제13항에 있어서, 상기 집계 루틴은 또한,
    (a) 상기 안티-멀웨어 서비스로 하여금 자신이 상기 컴퓨터에서 제거할 수 있는 멀웨어를 등록하고 이것을 식별하도록 허용하는 것,
    (b) 상기 데이터 분석기 모듈이 상기 임계값이 충족되는 것으로 판정하는 경 우, 상기 안티-멀웨어 서비스가 상기 컴퓨터에서 상기 멀웨어를 제거할 수 있는지 여부를 상기 등록 데이터로부터 판정하는 것
    을 수행하도록 구성된 소프트웨어 시스템.
  18. 제13항에 있어서, 상기 데이터 수집기 컴포넌트는 메타데이터를 수신하고 저장하도록 구성되고,
    상기 메타데이터는,
    (a) 의심스러운 이벤트가 멀웨어의 특성이라는 가능성을 기술하고; 및
    (b) 이벤트가 상기 안티-멀웨어 서비스에 의해 의심스러운 것으로 표시된 이유를 식별하는 소프트웨어 시스템.
  19. 안티-멀웨어 서비스를 포함하여 컴퓨터상에서 실행될 때 상기 컴퓨터로 하여금 이하의 것들을 수행하도록 하는 컴퓨터 실행가능 명령어를 포함하는 컴퓨터 판독가능 매체에 있어서, 상기 이하의 것들은,
    (a) 상기 안티-멀웨어 서비스를 이용하여 잠재적으로 멀웨어를 나타내는 의심스러운 이벤트를 관찰하는 것;
    (b) 상기 안티-멀웨어 서비스로부터 상기 의심스러운 이벤트를 기술하는 데이터를 수신하는 것;
    (c) 관찰된 상기 의심스러운 이벤트가 멀웨어를 나타내는지 여부를 판정하는 것; 및
    (d) 상기 의심스러운 이벤트가 멀웨어를 나타내는 경우, 의심스러운 이벤트와 관련된 엔티티가 상기 컴퓨터 상에서 액션을 수행하는 것을 제한하는 제한적인 보안 정책을 구현하는 것
    인 컴퓨터 판독가능 매체.
  20. 제19항에 있어서, 상기 컴퓨터는 또한,
    (a) 멀웨어 감염이 존재하는지 여부를 판정하고; 및
    (b) 멀웨어 감염이 존재하는 경우, 상기 컴퓨터가 자신에게 통신가능하게 접속되어 있는 컴퓨터들에게 데이터를 송신하는 것을 막도록 구성된 컴퓨터 판독가능 매체.
KR1020060018812A 2005-03-31 2006-02-27 멀웨어로부터 컴퓨터를 동적으로 보호하는 방법 및 컴퓨터 판독가능 매체 KR101292501B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/096,490 2005-03-31
US11/096,490 US8516583B2 (en) 2005-03-31 2005-03-31 Aggregating the knowledge base of computer systems to proactively protect a computer from malware

Publications (2)

Publication Number Publication Date
KR20060106655A true KR20060106655A (ko) 2006-10-12
KR101292501B1 KR101292501B1 (ko) 2013-08-01

Family

ID=36636655

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060018812A KR101292501B1 (ko) 2005-03-31 2006-02-27 멀웨어로부터 컴퓨터를 동적으로 보호하는 방법 및 컴퓨터 판독가능 매체

Country Status (5)

Country Link
US (2) US8516583B2 (ko)
EP (1) EP1708114B1 (ko)
JP (1) JP4961153B2 (ko)
KR (1) KR101292501B1 (ko)
CN (1) CN1841397B (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100952350B1 (ko) * 2006-08-31 2010-04-12 브로드콤 코포레이션 지능망 인터페이스 컨트롤러
KR101011456B1 (ko) * 2008-06-30 2011-02-01 주식회사 이너버스 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템
KR101051722B1 (ko) * 2008-11-17 2011-07-25 인스티튜트 포 인포메이션 인더스트리 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
KR20160030385A (ko) * 2013-07-05 2016-03-17 비트데펜더 아이피알 매니지먼트 엘티디 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가

Families Citing this family (113)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
AU2003207495A1 (en) 2002-01-08 2003-07-24 Seven Networks, Inc. Connection architecture for a mobile network
US8516583B2 (en) 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
US7562293B2 (en) * 2005-05-27 2009-07-14 International Business Machines Corporation Method and apparatus for processing a parseable document
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US8255998B2 (en) * 2005-08-16 2012-08-28 Emc Corporation Information protection method and system
US8468604B2 (en) * 2005-08-16 2013-06-18 Emc Corporation Method and system for detecting malware
US20070169192A1 (en) * 2005-12-23 2007-07-19 Reflex Security, Inc. Detection of system compromise by per-process network modeling
WO2007142053A1 (ja) * 2006-06-05 2007-12-13 Nec Corporation 監視装置、監視システム、監視方法およびプログラム
US20070294767A1 (en) * 2006-06-20 2007-12-20 Paul Piccard Method and system for accurate detection and removal of pestware
JP2008129707A (ja) * 2006-11-17 2008-06-05 Lac Co Ltd プログラム分析装置、プログラム分析方法、及びプログラム
US20080083031A1 (en) * 2006-12-20 2008-04-03 Microsoft Corporation Secure service computation
US8955105B2 (en) * 2007-03-14 2015-02-10 Microsoft Corporation Endpoint enabled for enterprise security assessment sharing
US8413247B2 (en) * 2007-03-14 2013-04-02 Microsoft Corporation Adaptive data collection for root-cause analysis and intrusion detection
US8959568B2 (en) * 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US20080229419A1 (en) * 2007-03-16 2008-09-18 Microsoft Corporation Automated identification of firewall malware scanner deficiencies
US7882542B2 (en) * 2007-04-02 2011-02-01 Microsoft Corporation Detecting compromised computers by correlating reputation data with web access logs
US8079074B2 (en) * 2007-04-17 2011-12-13 Microsoft Corporation Dynamic security shielding through a network resource
CN101059829A (zh) * 2007-05-16 2007-10-24 珠海金山软件股份有限公司 一种自动分析进程风险等级的装置和方法
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US9009828B1 (en) 2007-09-28 2015-04-14 Dell SecureWorks, Inc. System and method for identification and blocking of unwanted network traffic
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US9648039B1 (en) * 2008-01-24 2017-05-09 RazorThreat, Inc. System and method for securing a network
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
DE102008013634A1 (de) * 2008-03-11 2009-09-17 Wincor Nixdorf International Gmbh Verfahren und Vorrichtung zur Abwehr von Angriffen auf Systeme mit einer Plug & Play Funktion
US8732825B2 (en) * 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US9465937B1 (en) * 2008-05-30 2016-10-11 Symantec Corporation Methods and systems for securely managing file-attribute information for files in a file system
US7530106B1 (en) * 2008-07-02 2009-05-05 Kaspersky Lab, Zao System and method for security rating of computer processes
CN101645125B (zh) * 2008-08-05 2011-07-20 珠海金山软件有限公司 过滤以及监控程序的行为的方法
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US9450960B1 (en) * 2008-11-05 2016-09-20 Symantec Corporation Virtual machine file system restriction system and method
US8825940B1 (en) 2008-12-02 2014-09-02 Siliconsystems, Inc. Architecture for optimizing execution of storage access commands
US8631485B2 (en) 2009-01-19 2014-01-14 International Business Machines Corporation Identification of malicious activities through non-logged-in host usage
US8181251B2 (en) * 2008-12-18 2012-05-15 Symantec Corporation Methods and systems for detecting malware
US9176859B2 (en) * 2009-01-07 2015-11-03 Siliconsystems, Inc. Systems and methods for improving the performance of non-volatile memory operations
JP2010198386A (ja) * 2009-02-25 2010-09-09 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス監視システムおよび不正アクセス監視方法
US8321935B1 (en) * 2009-02-26 2012-11-27 Symantec Corporation Identifying originators of malware
US10079048B2 (en) * 2009-03-24 2018-09-18 Western Digital Technologies, Inc. Adjusting access of non-volatile semiconductor memory based on access time
US8381290B2 (en) * 2009-07-17 2013-02-19 Exelis Inc. Intrusion detection systems and methods
US8572740B2 (en) * 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
US7743419B1 (en) 2009-10-01 2010-06-22 Kaspersky Lab, Zao Method and system for detection and prediction of computer virus-related epidemics
EP2599003B1 (en) 2010-07-26 2018-07-11 Seven Networks, LLC Mobile network traffic coordination across multiple applications
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
US8566937B2 (en) 2010-10-04 2013-10-22 Panasonic Corporation Information processing apparatus and method for preventing unauthorized cooperation of applications
RU2449348C1 (ru) * 2010-11-01 2012-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
JP5779334B2 (ja) 2010-11-09 2015-09-16 デジタルア−ツ株式会社 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
US9298918B2 (en) 2011-11-30 2016-03-29 Elwha Llc Taint injection and tracking
US9471373B2 (en) 2011-09-24 2016-10-18 Elwha Llc Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority
US9465657B2 (en) 2011-07-19 2016-10-11 Elwha Llc Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority
US9170843B2 (en) 2011-09-24 2015-10-27 Elwha Llc Data handling apparatus adapted for scheduling operations according to resource allocation based on entitlement
US9798873B2 (en) 2011-08-04 2017-10-24 Elwha Llc Processor operable to ensure code integrity
US9460290B2 (en) 2011-07-19 2016-10-04 Elwha Llc Conditional security response using taint vector monitoring
US9098608B2 (en) 2011-10-28 2015-08-04 Elwha Llc Processor configured to allocate resources using an entitlement vector
US9443085B2 (en) 2011-07-19 2016-09-13 Elwha Llc Intrusion detection using taint accumulation
US9575903B2 (en) 2011-08-04 2017-02-21 Elwha Llc Security perimeter
US20150128262A1 (en) * 2011-10-28 2015-05-07 Andrew F. Glew Taint vector locations and granularity
US9558034B2 (en) 2011-07-19 2017-01-31 Elwha Llc Entitlement vector for managing resource allocation
EP2737741A4 (en) * 2011-07-27 2015-01-21 Seven Networks Inc SURVEILLANCE OF MOBILE APPLICATION ACTIVITIES IN SEARCH OF MALICIOUS TRAFFIC ON A MOBILE DEVICE
US8677493B2 (en) * 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
US8239918B1 (en) 2011-10-11 2012-08-07 Google Inc. Application marketplace administrative controls
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
WO2013086225A1 (en) 2011-12-06 2013-06-13 Seven Networks, Inc. A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation
US9208123B2 (en) 2011-12-07 2015-12-08 Seven Networks, Llc Mobile device having content caching mechanisms integrated with a network operator for traffic alleviation in a wireless network and methods therefor
US8774761B2 (en) * 2012-01-27 2014-07-08 Qualcomm Incorporated Mobile device to detect unexpected behaviour
US9519782B2 (en) * 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
US20140053267A1 (en) * 2012-08-20 2014-02-20 Trusteer Ltd. Method for identifying malicious executables
US9104864B2 (en) * 2012-10-24 2015-08-11 Sophos Limited Threat detection through the accumulated detection of threat characteristics
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US9326185B2 (en) 2013-03-11 2016-04-26 Seven Networks, Llc Mobile network congestion recognition for optimization of mobile traffic
US9852290B1 (en) 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9280369B1 (en) 2013-07-12 2016-03-08 The Boeing Company Systems and methods of analyzing a software component
US9336025B2 (en) 2013-07-12 2016-05-10 The Boeing Company Systems and methods of analyzing a software component
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US20150052614A1 (en) * 2013-08-19 2015-02-19 International Business Machines Corporation Virtual machine trust isolation in a cloud environment
CN105683988A (zh) * 2013-09-27 2016-06-15 迈克菲公司 管理软件补救
US9479521B2 (en) 2013-09-30 2016-10-25 The Boeing Company Software network behavior analysis and identification system
US20150135316A1 (en) * 2013-11-13 2015-05-14 NetCitadel Inc. System and method of protecting client computers
US10223530B2 (en) 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
EP3120286B1 (en) * 2014-03-17 2019-07-17 Proofpoint, Inc. Behavior profiling for malware detection
US9769197B1 (en) * 2014-03-31 2017-09-19 Juniper Networks, Inc. Malware detection using external malware detection operations
US10282544B2 (en) * 2014-05-20 2019-05-07 Microsoft Technology Licensing, Llc Identifying suspected malware files and sites based on presence in known malicious environment
US9659176B1 (en) * 2014-07-17 2017-05-23 Symantec Corporation Systems and methods for generating repair scripts that facilitate remediation of malware side-effects
US10360378B2 (en) 2014-08-22 2019-07-23 Nec Corporation Analysis device, analysis method and computer-readable recording medium
JP6402577B2 (ja) * 2014-10-16 2018-10-10 株式会社リコー 情報処理システム、情報処理装置、設定判断方法およびプログラム
US10091214B2 (en) * 2015-05-11 2018-10-02 Finjan Mobile, Inc. Malware warning
CN108370325B (zh) * 2015-12-09 2021-05-07 华为技术有限公司 一种通过连接跟踪对网络的管理
US10103964B2 (en) 2016-06-17 2018-10-16 At&T Intellectual Property I, L.P. Managing large volumes of event data records
US10678921B2 (en) * 2016-09-30 2020-06-09 AVAST Software s.r.o. Detecting malware with hash-based fingerprints
CN106911675B (zh) * 2017-02-09 2019-02-26 中国移动通信集团设计院有限公司 一种手机恶意软件预警方法和装置
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
WO2019185404A1 (en) 2018-03-25 2019-10-03 British Telecommunications Public Limited Company Malware infection prediction
US11470109B2 (en) * 2018-03-25 2022-10-11 British Telecommunications Public Limited Company Malware barrier
US10826931B1 (en) * 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US20220027438A1 (en) * 2019-04-04 2022-01-27 Hewlett-Packard Development Company, L.P. Determining whether received data is required by an analytic
US11886390B2 (en) 2019-04-30 2024-01-30 JFrog Ltd. Data file partition and replication
US11386233B2 (en) 2019-04-30 2022-07-12 JFrog, Ltd. Data bundle generation and deployment
US11340894B2 (en) 2019-04-30 2022-05-24 JFrog, Ltd. Data file partition and replication
US10972289B2 (en) 2019-07-19 2021-04-06 JFrog, Ltd. Software release verification
US20220060488A1 (en) * 2020-08-18 2022-02-24 Cloud Storage Security Methods for providing malware protection for cloud storage and devices thereof
US11860680B2 (en) 2020-11-24 2024-01-02 JFrog Ltd. Software pipeline and release validation
US11716310B2 (en) * 2020-12-31 2023-08-01 Proofpoint, Inc. Systems and methods for in-process URL condemnation
US20220318377A1 (en) * 2021-03-31 2022-10-06 Mcafee, Llc Responsible parent process identification
US20230344860A1 (en) * 2022-04-24 2023-10-26 Microsoft Technology Licensing, Llc Organization-level ransomware incrimination
CN115001831B (zh) * 2022-06-09 2023-04-07 北京交通大学 基于恶意行为知识库动态部署网络安全服务的方法及系统
US20240031391A1 (en) * 2022-07-22 2024-01-25 Semperis Technologies Inc. (US) Attack path monitoring and risk mitigation in identity systems

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5533123A (en) 1994-06-28 1996-07-02 National Semiconductor Corporation Programmable distributed personal security
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6453345B2 (en) 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
JP3437065B2 (ja) 1997-09-05 2003-08-18 富士通株式会社 ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体
GB2333864B (en) 1998-01-28 2003-05-07 Ibm Distribution of software updates via a computer network
US6208720B1 (en) * 1998-04-23 2001-03-27 Mci Communications Corporation System, method and computer program product for a dynamic rules-based threshold engine
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US20020040439A1 (en) 1998-11-24 2002-04-04 Kellum Charles W. Processes systems and networks for secure exchange of information and quality of service maintenance using computer hardware
US6775780B1 (en) * 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
AU2001262958A1 (en) * 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
US6976251B2 (en) 2001-05-30 2005-12-13 International Business Machines Corporation Intelligent update agent
US20020194490A1 (en) 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
US6928549B2 (en) * 2001-07-09 2005-08-09 International Business Machines Corporation Dynamic intrusion detection for computer systems
CA2460492A1 (en) * 2001-09-28 2003-04-10 British Telecommunications Public Limited Company Agent-based intrusion detection system
US6907430B2 (en) 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
KR100466214B1 (ko) 2001-12-21 2005-01-14 한국전자통신연구원 가변적인 보안 상황을 반영하는 보안 등급 설정방법 및이를 위한 기록 매체
KR20030056652A (ko) * 2001-12-28 2003-07-04 한국전자통신연구원 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법
US7269851B2 (en) * 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
JP2003233521A (ja) 2002-02-13 2003-08-22 Hitachi Ltd ファイル保護システム
US7340777B1 (en) * 2003-03-31 2008-03-04 Symantec Corporation In memory heuristic system and method for detecting viruses
US7171689B2 (en) 2002-02-25 2007-01-30 Symantec Corporation System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis
US7254634B1 (en) 2002-03-08 2007-08-07 Akamai Technologies, Inc. Managing web tier session state objects in a content delivery network (CDN)
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7487543B2 (en) 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
US20050033989A1 (en) 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7461404B2 (en) * 2002-11-04 2008-12-02 Mazu Networks, Inc. Detection of unauthorized access in a network
US8990723B1 (en) * 2002-12-13 2015-03-24 Mcafee, Inc. System, method, and computer program product for managing a plurality of applications via a single interface
US20040143749A1 (en) 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
CN100466510C (zh) 2003-04-30 2009-03-04 华为技术有限公司 一种防止网络用户对网络地址转换(nat)设备攻击的方法
US8156558B2 (en) 2003-05-17 2012-04-10 Microsoft Corporation Mechanism for evaluating security risks
JP3971353B2 (ja) 2003-07-03 2007-09-05 富士通株式会社 ウィルス隔離システム
US7287278B2 (en) 2003-08-29 2007-10-23 Trend Micro, Inc. Innoculation of computing devices against a selected computer virus
US20050071432A1 (en) * 2003-09-29 2005-03-31 Royston Clifton W. Probabilistic email intrusion identification methods and systems
US7194769B2 (en) * 2003-12-11 2007-03-20 Massachusetts Institute Of Technology Network security planning architecture
US7603714B2 (en) 2004-03-08 2009-10-13 International Business Machines Corporation Method, system and computer program product for computer system vulnerability analysis and fortification
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
KR100602597B1 (ko) * 2004-03-10 2006-07-19 주식회사 이에프엠네트웍스 네트워크 상에서 사용되는 네트워크 자원 사용량을감지하여 사용자에게 바이러스 감염 가능성을 경고하는인터넷 공유기의 동작 방법 및 이를 위한 인터넷 공유기
US7084760B2 (en) 2004-05-04 2006-08-01 International Business Machines Corporation System, method, and program product for managing an intrusion detection system
US20060069909A1 (en) 2004-09-23 2006-03-30 Roth Steven T Kernel registry write operations
FI20041681A0 (fi) * 2004-12-29 2004-12-29 Nokia Corp Liikenteen rajoittaminen kommunikaatiojärjestelmissä
US8516583B2 (en) 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US20060259967A1 (en) * 2005-05-13 2006-11-16 Microsoft Corporation Proactively protecting computers in a networking environment from malware

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100952350B1 (ko) * 2006-08-31 2010-04-12 브로드콤 코포레이션 지능망 인터페이스 컨트롤러
US8713680B2 (en) 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
KR101011456B1 (ko) * 2008-06-30 2011-02-01 주식회사 이너버스 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템
KR101051722B1 (ko) * 2008-11-17 2011-07-25 인스티튜트 포 인포메이션 인더스트리 모니터 장치, 모니터링 방법 및 그에 관한 하드웨어용 컴퓨터 프로그램 산출물
KR20160030385A (ko) * 2013-07-05 2016-03-17 비트데펜더 아이피알 매니지먼트 엘티디 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가

Also Published As

Publication number Publication date
US20060236392A1 (en) 2006-10-19
EP1708114A3 (en) 2009-12-30
US9043869B2 (en) 2015-05-26
US20130332988A1 (en) 2013-12-12
KR101292501B1 (ko) 2013-08-01
JP4961153B2 (ja) 2012-06-27
CN1841397A (zh) 2006-10-04
US8516583B2 (en) 2013-08-20
JP2006285983A (ja) 2006-10-19
CN1841397B (zh) 2010-06-02
EP1708114A2 (en) 2006-10-04
EP1708114B1 (en) 2017-09-13

Similar Documents

Publication Publication Date Title
KR101292501B1 (ko) 멀웨어로부터 컴퓨터를 동적으로 보호하는 방법 및 컴퓨터 판독가능 매체
CN109684832B (zh) 检测恶意文件的系统和方法
US10893059B1 (en) Verification and enhancement using detection systems located at the network periphery and endpoint devices
US20060259967A1 (en) Proactively protecting computers in a networking environment from malware
US8806650B2 (en) Methods and apparatus providing automatic signature generation and enforcement
US7882560B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
US9286469B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic signature generation
US9117075B1 (en) Early malware detection by cross-referencing host data
US7716727B2 (en) Network security device and method for protecting a computing device in a networked environment
US8561190B2 (en) System and method of opportunistically protecting a computer from malware
US8413245B2 (en) Methods and apparatus providing computer and network security for polymorphic attacks
US20080016339A1 (en) Application Sandbox to Detect, Remove, and Prevent Malware
CN110119619B (zh) 创建防病毒记录的系统和方法
RU2661533C1 (ru) Система и способ обнаружения признаков компьютерной атаки
US20180343277A1 (en) Elastic policy tuning based upon crowd and cyber threat intelligence
CN108345795B (zh) 用于检测和分类恶意软件的系统和方法
Coulibaly An overview of intrusion detection and prevention systems
Hassan et al. Enterprise Defense Strategies Against Ransomware Attacks: Protection Against Ransomware Attacks on Corporate Environment
US8806211B2 (en) Method and systems for computer security
Jamuradovich SEARCHING FOR WAYS TO IMPROVE THE EFFECTIVENESS OF TOOLS FOR DETECTING INFECTED FILES OF COMPUTER SYSTEMS
OLUSEYE-PAUL IMPLEMENTATION OF AN INTRUSION DETECTION SYSTEM ON MTU NETWORK
CN114189360A (zh) 态势感知的网络漏洞防御方法、装置及系统
Mirashe et al. Notice of Retraction: 3Why we need the intrusion detection prevention systems (IDPS) in it company
Tupakula et al. Security architecture for virtual machines
GB2574468A (en) Detecting a remote exploitation attack

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160630

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170704

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180628

Year of fee payment: 6