[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4851150B2 - ユーザ変更可能ファイルの効率的なホワイトリスティング - Google Patents

ユーザ変更可能ファイルの効率的なホワイトリスティング Download PDF

Info

Publication number
JP4851150B2
JP4851150B2 JP2005284422A JP2005284422A JP4851150B2 JP 4851150 B2 JP4851150 B2 JP 4851150B2 JP 2005284422 A JP2005284422 A JP 2005284422A JP 2005284422 A JP2005284422 A JP 2005284422A JP 4851150 B2 JP4851150 B2 JP 4851150B2
Authority
JP
Japan
Prior art keywords
file
signature
malware
computer system
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005284422A
Other languages
English (en)
Other versions
JP2006127497A (ja
Inventor
ウラガラットチャガン ダモドハラン
コスティー ミハイ
エー.フィールド スコット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2006127497A publication Critical patent/JP2006127497A/ja
Application granted granted Critical
Publication of JP4851150B2 publication Critical patent/JP4851150B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、コンピュータソフトウェアおよびコンピュータセキュリティに関し、具体的には、本発明は、コンピュータにおいて受信されるユーザ変更可能ファイルの効率的なセキュリティホワイトリスティング(security white listing)に関する。
コンピュータ、特にネットワークに接続されているコンピュータを操作することの悲しい現実は、コンピュータが絶えず攻撃の危険にさらされていることである。これらの攻撃は、コンピュータウイルス、ワーム、コンピュータ脆弱性攻撃(すなわち正規のコンピュータサービスを不正使用または悪用する)、アドウェアまたはスパイウェアなどを始めとして、様々な形態で登場するが、これらに限定されない。これらの様々なコンピュータ攻撃それぞれの動作のメカニズムは一般に、極めて明確であるが、これらはすべて、何らかの無許可で、通常は歓迎されず、多くの場合破壊的なコンピュータ上の活動を実行するように設計されている。本発明の目的上、これ以降、これらの攻撃を一般にマルウェアと呼ぶ。
マルウェアは、一般にコンピュータ、特にネットワークコンピュータにとっての現実であり、マルウェアがコンピュータ上でその悪質な意図を実現するのを防ぐために様々なツールが考案され開発されてきた。これらのツールには、ファイアウォール、プロキシ、および脆弱性のあるアプリケーションのセキュリティ設定が含まれる。しかし、マルウェアからコンピュータを保護するために最も一般に使用されるツールは、ウイルス対策ソフトウェアである。
当業者であれば、ほとんどのウイルス対策ソフトウェアはパターン認識サービスとして動作することを理解するであろう。特に、ファイルがコンピュータによって受信された場合、ファイルが実行可能なワープロ文書、画像などのいずれであるかには関わりなく、そのコンピュータを保護しているウイルス対策ソフトウェアはファイルを「分析」してそれがマルウェアとして知られているかどうかを判断する。ウイルス対策ソフトウェアは、シグニチャと呼ばれる、ファイルのハッシュ値を生成することにより、ファイルを「分析」する。このシグニチャは、別のファイルが同じシグニチャを持つ可能性がまったくないように生成され、そのためそのファイルに固有であると見なされる。いったんシグニチャが生成されると、シグニチャは、いわゆるシグニチャファイル内の他の既知のマルウェアのシグニチャと照合される。したがって、ファイルの生成されたシグニチャが、シグニチャファイル内の既知のマルウェアのシグニチャと一致した場合、ウイルス対策ソフトウェアはそのファイルがマルウェアであると見破り、適切な処置をとる。
残念なことに、シグニチャ認識では、コンピュータをマルウェアから保護するために、マルウェアがあらかじめ既知である(そして識別されている)ことが必要になる。したがって、ウイルス対策ソフトウェアはタイムゼロの防御ではない。つまり、マルウェアがネットワーク上にリリースされた瞬間に、すなわちタイムゼロでコンピュータをそのマルウェアから保護するわけではない。その代わり、新しい未知のマルウェアがリリースされると、ウイルス対策ソフトウェアが新しいマルウェアからコンピュータを保護できるようになるまで、脆弱性ウィンドウが存続する。
図1は、現在のウイルス対策ソフトウェアのシグニチャ認識に関連付けられている脆弱性ウィンドウを示す模範的なタイムライン100のブロック図である。図1に示されているように、イベント102で示されるある時点において、悪意ある人物がインターネットなどのネットワーク上に新しい未知のマルウェアをリリースする。明らかに、新しい未知のマルウェアがリリースされると、ネットワークに接続されているコンピュータは危険にさらされる、つまり脆弱になる。そのため、脆弱性ウィンドウが開かれる。
ネットワーク上で新しいマルウェアを検出するための実際の時間は、新しいマルウェアの有毒性を始めとする数多くの要因によって異なるが、使用可能な統計によれば、一般にウイルス対策ソフトウェアコミュニティ(つまり、ウイルス対策ソフトウェアのプロバイダ)が新しいマルウェアを検出または認識するまでに4時間から3日間を要する。いったん検出されると、イベント104に示されるように、ウイルス対策コミュニティはマルウェアの識別を開始することができる。新しいマルウェアのシグニチャを生成する作業に加えて、マルウェアを識別する作業は通常さらに、マルウェアの究極的な影響を調査/判断する作業、その攻撃の方法を判断する作業、攻撃にさらされるシステムの弱点を識別する作業、およびウイルス感染したコンピュータからマルウェアを削除する計画を考案する作業も伴っている。
マルウェアの識別には通常(少なくともシグニチャ識別に)約4時間要するが、その後、イベント106に示すように、ウイルス対策プロバイダはダウンロードサービスで更新済みシグニチャファイルを公開する。残念なことに、コンピュータは(自動的またはコンピュータユーザの命令どおりに)そのシグニチャファイルを直ちには更新しない。イベント108に示すように、通常、ほとんどのコンピュータがそのシグニチャファイルを更新するのに4時間から1週間を要する。もちろん、更新済みシグニチャファイルがコンピュータにダウンロードされた後にようやく、ウイルス対策ソフトウェアが新しいマルウェアからコンピュータを防御することができるようになり、その結果脆弱性ウィンドウ110が閉じられる。実際には、コンピュータ所有者の休暇中など、個々の状況によっては、最新のシグニチャファイルでコンピュータを更新する作業は1週間よりも大幅に長くなるおそれもある。
以上のように、新しい未知のマルウェアには、ウイルス対策ソフトウェアに妨げられることなくネットワークコミュニティに悪意ある大破壊を果たすのに、数時間から数週間の余裕がある。ウイルス対策ソフトウェアは、タイムゼロの防御ではない。マルウェアがいずれか1つのコンピュータを攻撃しようと試みる前に、ほとんどのコンピュータが保護されるということは、好ましい状況である。残念なことに、その一部が脆弱性ウィンドウの期間中に攻撃にさらされて、マルウェアにより感染してしまう。大多数にとっては、特にコンピュータに依存するところが大きい人々にとっては、この脆弱性ウィンドウはまったく受け入れがたい。
当業者であれば、シグニチャが固有にファイルを識別するようにファイルのシグニチャを生成することが重要であることを容易に理解されよう。高度なアルゴリズムおよび数学的手法は、確実にファイルを識別し、しかも同時に他のファイルを一切識別しないシグニチャを計算処理により生成することに関連を持っている。残念なことに、そのように固有にシグニチャを生成するためには、使用されるアルゴリズムはファイルに極めて敏感である。ファイルに加えられた何らかの変更により、シグニチャ生成アルゴリズムはオリジナルファイルとは異なるシグニチャを生成してしまう。つまり、既知のマルウェアに単純な表面的な変更を加えると、シグニチャ生成アルゴリズムはまったく異なるシグニチャを返すことになる。したがって、既知のマルウェア(つまり、シグニチャファイル内のそのシグニチャによって識別されるマルウェア)への表面的な変更は通常、少なくとも変更されたマルウェアが認識されて、そのシグニチャが生成され、シグニチャファイルに格納されるまでの間、変更されたマルウェアが検出を逃れるのに十分である。
一般にマルウェアの問題は、マルウェアがユーザ変更可能ファイルに埋め込まれることが多いということにより複雑さを増している。例えば、マルウェアは、ワープロ文書内に埋め込まれた実行可能スクリプトに隠れて配布されることがある。そのような場合、マルウェア部分(つまり埋め込みスクリプト)は、文書の編集可能部分とはまったく無関係である。したがって、ワープロ文書のデータ領域に小さなまたは大きな変更を行うことにより、全マルウェアファイルがそのオリジナルとは異なるシグニチャを生じさせ、しかも埋め込まれた悪意のスクリプトは何の影響も受けない。これらのユーザ変更可能ファイルには、ワープロ文書、スプレッドシート、画像、HTML文書などが含まれるが、これらに限定されない。さらに、マルウェアの作成者は、ウイルス対策ソフトウェアの検出の先を越すために、自己修正マルウェアを作成し始めた。それは、ウイルス対策ソフトウェアに検出されないように、ファイルの一部をランダムに修正する文書である。そのため多くの場合、明らかに、リリースされるマルウェアに先を越されないようにすることは極めて困難である。阻止するためにマルウェアを熟知しなければならない場合はなおさらである。
前述の問題を踏まえると、必要とされているのは、マルウェアが含まれないことが既知である(つまり信頼できる)ファイルをウイルス対策ソフトウェアまたは他のセキュリティ手段を自由に通過可能にするか、あるいはホワイトリスティング(white listing)して、それ以外のファイルはすべて信頼せず、これにより通常ウイルス対策ソフトウェアに関連する脆弱性ウィンドウをコンピュータが閉じることができるようにするシステムおよび方法である。さらに必要とされているのは、ファイル全体ではなくシグニチャ情報に基づいてホワイトリストされたユーザ変更可能ファイルを識別できる機能である。本発明は、従来技術において見い出された様々な問題に対処する。
本発明の態様によれば、受信したファイルがマルウェアであるかどうかを識別するためのコンピュータシステムが提示される。コンピュータシステムは、プロセッサ、通信接続、およびメモリを含んでいる。コンピュータシステムは、通信接続においてファイルを受信すると、受信したファイルがユーザ変更可能ファイルであるかどうか判別が行われる。ユーザ変更可能ファイルである場合、より永続性のあるユーザ変更可能ファイルの部分が選択される。より永続性のある受信ファイルの選択した部分に基づいて、ファイルシグニチャが生成される。次に、生成されたファイルシグニチャに基づいて、受信したファイルがマルウェアであるかどうか判別が行われる。
本発明のさらなる態様によれば、受信したファイルがマルウェアであるかどうかを判別するために、外部ソースからファイルを受信できるコンピュータ装置上に実装される方法が提示される。ファイルを受信すると、ファイルが表面的データ領域を含んでいるかどうかについて判別が行われる。受信したファイルが表面的データ領域を含んでいる場合、受信ファイルのこれらの表面的データ領域は除去される。表面的データ領域ではない受信ファイルの残りの部分に基づいて、ファイルシグニチャが生成される。次に、生成されたファイルシグニチャに基づいて、受信したファイルがマルウェアであるかどうかについて判別が行われる。
本発明のさらなる態様によれば、外部ソースからファイルを受信できるコンピュータ装置上で実行された場合に受信したファイルがマルウェアであるかどうかを判別する方法を実行するコンピュータ実行可能命令を備えるコンピュータ可読媒体が提示される。ファイルを受信すると、ファイルが表面的データ領域を含んでいるかどうかについて判別が行われる。受信したファイルが表面的データ領域を含んでいる場合、受信ファイルのこれらの表面的データ領域は除去される。表面的データ領域ではない受信ファイルの残りの部分に基づいて、ファイルシグニチャが生成される。次に、生成されたファイルシグニチャに基づいて、受信したファイルがマルウェアであるかどうかについて判別が行われる。
本発明の前述の態様および多くの付随する利点は、添付の図と併せて下記の詳細な説明を参照すれば、さらに分かりやすく理解も深まるであろう。
本発明の態様によれば、ユーザ変更可能文書全体に基づいてマルウェアのシグニチャを生成するのではなく、文書の一部のみがシグニチャ生成の基礎として使用される。具体的には、マルウェアシグニチャは、特定の、ユーザ変更可能ファイルのより永続的な(parmanent)部分に基づいて生成される。マルウェアのシグニチャの基礎を、ユーザ変更可能文書のより永続的な傾向のある部分に置くことにより、マルウェア作成者および自己修飾マルウェアが簡単な表面的変更によって検出を逃れることのできる能力は、たとえ完全に除去されないとしても、大幅に低下させることができる。
ユーザ変更可能文書に数多くの要素が含まれており、中には他の要素よりもいっそう永続的である傾向のある要素もあることを、当業者であれば理解されよう。一般に、本発明がそのシグニチャの基にしているのは、文書のこうしたより永続的な要素/部分である。図2は、模範的なユーザ変更可能文書200を示し、ユーザ変更可能文書の様々な要素について考察するためのブロック図である。
図2に示すように、ユーザ変更可能文書200は、マクロ202、テンプレート204などの様々な要素/部分、Active XおよびCOMオブジェクトのような埋め込みオブジェクト206、応用スタイル208などを含んでいる。これらの要素はそれぞれ、より永続的になる傾向がある。つまり、ユーザがユーザ変更可能文書を編集するたびに変更されることはない。さらに、これらはマルウェアの「コア」を含む文書要素のタイプである。例えば、マルウェアの作成者は、その悪意ある設計をマクロまたはActive Xコントロールの形態で具体化する。これらは、ワープロ文書、スプレッドシート、画像などのユーザ変更可能ファイルにおける場所である。ユーザデータ領域210および212のようなユーザデータ領域にある情報は通常、それ自体がマルウェアにほとんどまたはまったく影響を及ぼさないが、多くの場合、無防備なユーザのコンピュータでマルウェアをアクティブ化および/またはリリースするよう巧みにユーザを導く情報を含む。したがって、すでに述べたように、現在のシグニチャベースの検出システムの特性により、文書に表面的な変更を加えることでマルウェアの変種が容易に生成される。
本発明の説明では「ユーザ変更可能」ファイルという用語を使用することがあるが、これは説明を目的として使用されているにすぎず、本発明に適用可能なファイルのただ1つのタイプを表している。前述のように、アプリケーションとして配布されたマルウェアは非常に多くの場合、変更がマルウェアの機能に影響を与えないデータ領域を含んでいる。これらのデータ領域は、これ以降、表面的データ領域と呼ぶ。ユーザ変更可能ファイルは、表面的データ領域、つまりユーザ(または埋め込みマルウェア)が埋め込みマルウェアに影響を与えることなく変更できる領域を含んでいる。したがって、「ユーザ変更可能」ファイルまたは表面的データ領域を持つファイルは、変更がマルウェアの機能に影響を与えるデータ領域(一般にファイルのより永続的な部分と呼ぶ)、および変更がマルウェアに機能的な影響をまったく与えない(一般にユーザ変更可能データ領域または表面的データ領域と呼ぶ)を含むすべてのファイルを含んでいることを理解されたい。
図3は、模範的なユーザ変更可能文書200を示し、さらに文書のシグニチャを生成する際に文書の一部しか使用されないことを示すブロック図である。前述のように、本発明によれば、ファイルのシグニチャを生成する場合、マクロ202、テンプレート204、スタイル208、埋め込みオブジェクト206などの(ただしこれらに限定されない)ユーザ変更可能文書のより永続的な部分が識別されて使用される。逆に、ユーザデータ領域210および212のようなユーザデータ部分は、シグニチャ生成プロセスから除去される。
前述のように、マルウェアシグニチャがユーザ変更可能ファイルのより永続的な側面に基づいている場合であっても、マルウェアの検出が常にタイムゼロの防御(つまりマルウェアファイルがリリースされると即座に防御)をもたらすわけではない。本発明の態様によれば、タイムゼロの防御をコンピュータまたはネットワークに提供するために、マルウェアではないと信頼できるファイルがいわゆるホワイトリストで識別される。ファイルがコンピュータに到達し、しかもそれがコンピュータで利用できる前に、そのファイルのシグニチャが生成されて、信頼できることが知られているファイルのホワイトリストと照合される。本発明のさらなる態様によれば、ファイルのシグニチャは、そのファイルがユーザ変更可能ファイルである場合、前述のようにより永続的な部分に基づく。このようにして、ユーザ変更可能ファイルは、編集され、ファイルの配信が信頼に足るという確信を持って、コンピュータ間で容易に配布される。逆に、ホワイトリストのシグニチャと合うものを見つけられないファイルは信用できないと見なされ、コンピュータおよび/またはネットワークを保護するためにセキュリティポリシーを実施することができる。このようにして、タイムゼロの防御が実現される。
本発明によれば、ホワイトリストは、コンピュータ上、信頼できるネットワークロケーション上、またはその両方にローカルに格納することができる。本発明は、1つの構成または配置に限定されない。さらに、一実施形態によれば、コンピュータは、効率および冗長性を含む様々な理由から複数のホワイトリストに依存することができる。図4は、複数のコンピュータに利用可能なホワイトリストの1つの模範的なネットワーク構成400を示す絵画図である。図4に示されるように、模範的なネットワーク構成400は、コンピュータ402〜406のようなコンピュータから要求を受け取り、受信したファイルがホワイトリストされているかどうかを識別するホワイトリストサービス408を含んでいる。ホワイトリストサービス408は、インターネット412に接続されたWebサーバであってもよいが、本発明はそのように限定されない。
ホワイトリストサービス408は厳密にホワイトリスティングサービス、つまりホワイトリスト上のファイルに関する情報を提供するサービスであってもよいが、代替として、ホワイトリストサービスはホワイトリストされたファイルおよびブラックリストされたファイル(つまり既知のマルウェア)の両方に関する情報を提供することもできる。
ホワイトリストサービス408は、ホワイトリストデータストア410に接続されて示されている。ホワイトリストデータストアは、信頼に足るファイルとして識別されたファイルを含んでいる。一実施形態において、ホワイトリストデータストア410は、ホワイトリストされたファイルのデータベースである。この図ではホワイトリストサービス408およびホワイトリストデータストア412を別個のエンティティとして示しているが、これは図示および考察のために論理的に区別したものである。実際の実施形態においては、ホワイトリストデータストアおよびホワイトリストサービスは、単一のエンティティとして、またはコンピュータ上で提供されるサービスとして合体させることができる。
一実施形態において、ホワイトリストデータストアは、ホワイトリストされたファイルのシグニチャのみを含んでいるが、本発明はそのように限定されない。非常に多くの場合、いくつかのファイルが備える信頼のレベルは、ファイルごとに異なっている。例えば、ユーザによって作成されたことが分かっているファイルは、同ユーザによって高い信頼レベルを備えている可能性が高くなる。同様に、信頼できる団体によって作成され、その確実性を証明するデジタル署名を伴うファイルは、最高レベルの信頼を備えることができる。代替として、数日間いわゆる「サンドボックス」に隔離され、マルウェアを所有する兆候を示さなかったファイルは「信頼できる」が、おそらくは信頼できるソースによってデジタル署名されたものに比べて信頼度は劣るであろう。さらにもう1つの代替として、特定のファイルは、それが信頼できることを示すユーザからの肯定的なフィードバックを受け取ることができる。そのようなファイルは、その信頼性に関する多くのフィードバックに基づいた信頼レベルを受け取ることができ、スパイウェアおよびアドウェアの識別に関しては特に有用である。したがって、本発明の態様により、ホワイトリストデータストアは、「信頼できる」ファイルの単なるファイルシグニチャだけでなくそれ以上のものを含んでいる。
本発明の以上の考察はコンピュータに関連して行われてきたが、本発明が、プロセッサ、通信接続、および情報を格納するメモリなどを備えるコンピュータを含み、ファイルのシグニチャ生成を実行することのできるほとんどすべてのコンピュータ装置で実装できることを理解されたい。例えば、適切なコンピュータ装置は、パーソナルコンピュータ、ノートブックまたはタブレットコンピュータ、携帯情報端末(PDA)、ミニおよびメインフレームコンピュータ、(携帯電話/PDAの組合せのような)ハイブリッドコンピュータ装置などであってもよい。
図5は、ホワイトリストデータストア410に存在する模範的なフィールドを示すブロック図である。一実施形態において、ホワイトリストデータストア410は、データストアのホワイトリストされたファイルごとにレコードを格納し、各レコードは情報を格納するための1つまたは複数のフィールドを含んでいる。図5に示すように、ホワイトリストデータストア410内の各レコードはシグニチャフィールド502を含んでいる。シグニチャフィールドは、ファイルのより永続的な部分にのみ基づいてファイルシグニチャが生成されたかどうかには関わりなく、ファイルシグニチャを格納する。前述のように、多くの場合、特定のファイルが備えている信頼のレベルを識別することは有用である。したがって、模範的なレコードはさらに、信頼フィールド504も含んでいる。図示されているように、信頼フィールドは1から10までの数値を含み、10は最高の信頼を、1は最低の信頼を表している。ただし、この順位付けは例示のためにすぎず、本発明を限定するものとして解釈すべきではないことを理解されたい。さらにもう1つの代替として、信頼フィールド504は、マルウェアの識別に使用することもできる。例えば、ファイルが0の信頼レベルを割り当てられている場合、これはファイルがマルウェアであると知られていることの表示となりうる。
さらにホワイトリストデータストア410に示されているのは、追加データフィールド506である。追加データフィールド506は、その名前が意味するように、ホワイトリストされたファイルに関してユーザに有用となる情報を含んでいる。図5に示すように、追加データフィールドは、ファイル発信元またはソース、観察された振る舞い、マルウェアの振る舞いの欠如など、ファイルの割り当てられた信頼レベルを裏付ける推論を識別することもできる。ほとんどすべての関連情報は、追加データフィールド506に格納することができる。同様に、代替実施形態において、任意の数のフィールドをホワイトリストデータストア410に含めることもできる。
図6は、ファイルが信頼できるファイルとしてホワイトリストされているかどうかを判別する模範的なルーチン600を示す流れ図である。ブロック602を起点として、コンピュータは未知/信頼できないファイルを受け取る、つまりコンピュータはまだファイルがマルウェアであるかどうか、またはこれがホワイトリストされているかどうか認識していない。ブロック604において、受信したファイルに対してシグニチャが生成される。ファイルのシグニチャを生成するステップについては、以下で図7を参照して説明される。
図7は、本発明の態様によりファイルシグニチャを生成し、図6のルーチン600での使用に適した模範的なサブルーチン700を示す流れ図である。決定ブロック702を起点として、ファイルがユーザ変更可能ファイルであるかどうか判別が行われる。ファイルがユーザ変更可能ファイルではない場合、ブロック704において、模範的なサブルーチン700はファイル全体に基づいてファイルのシグニチャを生成する。その後、ブロック710において、模範的サブルーチン700は、生成されたシグニチャを返して終了する。
ファイルがユーザ変更可能ファイルである場合、ブロック706において、模範的なサブルーチン700はファイルのユーザ変更可能部分を除去する。ブロック708において、サブルーチン700は次に、ファイルの残りの除去されていない部分に基づいてファイルのシグニチャを生成する。ブロック710において、ファイルのシグニチャを生成した後、模範的サブルーチン700は、生成されたシグニチャを返して終了する。
再び図6を参照すると、ファイルのシグニチャを生成した後、ブロック606において模範的サブルーチン600はホワイトリストサービス408と接続する。前述のように、ホワイトリストサービスは、コンピュータ上またはローカルエリアネットワーク上にインストールされたローカルサービス/ファイル、あるいは代替として、図4に示されているようなリモートホワイトリストサービスであってもよい。さらに(図示せず)、複数のホワイトリストサービスがあってもよい。例えば、コンピュータ上にインストールされたホワイトリストサービスは、コンピュータが頻繁に遭遇する少数のファイルシグニチャを含むことができる。シグニチャがローカルホワイトリストサービスに見つからない場合、コンピュータはさらに多数のシグニチャを含むネットワークホワイトリストサービスを調べる。さらになお、シグニチャがローカルホワイトリストサービスおよびネットワークホワイトリストサービスのいずれにも見つからない場合、図4のホワイトリストサービス408のようなリモート/グローバルホワイトリストサービスを調べることができる。もちろん、リモートホワイトリストサービス408は、オペレーティングシステムのプロバイダからのヘルプまたはサービスドキュメントなど、グローバルに提供されているファイルしか含んでいない可能性もある。一実施形態によれば、ローカルホワイトリストサービスは、ネットワークホワイトリストサービスを認識してこれと通信し、ネットワークホワイトリストサービスはリモートホワイトリストサービスを認識してこれと通信して、ファイルのシグニチャが見つからなければローカルホワイトリストサービスへの単一の要求が引き続いて別のサービスを調べるようになっている。
ホワイトリストサービスに接続した後、ブロック608において、ルーチン600はシグニチャを提示し、ファイルに対応する信頼レベルを取得する。決定ブロック610において、ホワイトリストサービスがマルウェアも識別すると仮定して(ただし本発明はそのように限定されない)、ファイルがマルウェアとして識別されていたかどうかについて判別が行われる。マルウェアであった場合、ブロック612において、ルーチンは既定の手順に従ってマルウェアを処理する。マルウェアの処理は当技術分野において既知であり、ファイルの削除、ファイルの隔離、またはファイルからのマルウェアの消去などのアクションを含んでいる。その後、ルーチン600は終了する。
ホワイトリストサービス408から取得した信頼レベルに従ってファイルがマルウェアとして識別されない場合、ブロック614において、ルーチン600はファイルの信頼のレベルに関連する既定のポリシーに従ってファイルがコンピュータシステムに入ることを許す。例えば、信頼レベルがその最高レベルである場合、コンピュータユーザはそのファイルが完全に信頼に足ることを納得し、目的に応じてファイルがシステムに入ることを許可することができる。代替として、信頼レベルがかなり低い場合、コンピュータシステムは、一時期ファイルを隔離する、いわゆるサンドボックス内でファイルを実行する、ファイルの動作中に特定機構のネットワーク機能を無効にするなど(ただしこれらに限定されない)特定の制約を付けて、ファイルがシステムに入ることを許可するようにプログラムすることができる。ファイルがコンピュータシステムに入ることを許可した後、模範的なルーチン600は終了する。
前述のルーチン600はバイナリ、つまりファイルがマルウェアであるかどうかに関してyes/noの判別を含んでいるが、実際の実施形態においては、ファイルに関連付けられている信頼レベルに従っていくつかの判別を行うことができる。例えば、信頼レベルが8の値よりも大きいかどうかに関して判別を行い、信頼のそのレベルまたはそれ以上のレベルを備えるファイルが自動的に許可されるようにすることができる。同様に、3から7までの信頼レベルを備えるファイルは、いわゆるサンドボックス内で一定期間実行しなければならないようにすることもできる。さらにまた、信頼レベルが3よりも低いファイルは、コンピュータシステムに入ることを許可される前に隔離される必要がある。したがって、模範的なルーチン600は例示にすぎないと見なし、本発明を限定するものとして解釈すべきではない。
好ましい実施形態を含む本発明の様々な実施形態について例示し説明してきたが、本発明の精神および範囲を逸脱することなく様々な変更を加えることができることが理解されよう。
ウイルス対策ソフトウェアに関連付けられている脆弱性ウィンドウを示す模範的なタイムライン、特にシグニチャ認識方法を示すブロック図である。 模範的なユーザ変更可能文書を示すブロック図である。 図2の模範的なユーザ変更可能文書を示し、さらにファイルのシグニチャを開発するためにファイルの特定セグメントしか必要でないことを示すブロック図である。 本発明の態様を実装するのに適した模範的ネットワーク環境を示す図である。 本発明での使用に適した模範的なホワイトリストデータストアを示すブロック図である。 本発明の態様による、ファイルが信頼できるファイルとしてホワイトリストされているかどうかの判別に適した模範的なルーチンを示すブロック図である。 本発明の態様により適用された模範的なシグニチャ生成ルーチンを示すブロック図である。
符号の説明
202 マクロ
204 テンプレート
206 埋め込みオブジェクト
208 適用スタイル
210 ユーザデータ
212 ユーザデータ
408 ホワイトリストサービス
410 ホワイトリストデータストア
412 ネットワーク
502 シグニチャ
504 信頼度
506 追加データ

Claims (5)

  1. 受信したファイルのマルウェアを識別するためのコンピュータシステムであって、
    プロセッサと、
    ファイルを受信するための通信接続と、
    メモリとを備え、
    前記コンピュータシステムは、前記通信接続においてファイルを受信すると、
    前記受信したファイルが、埋め込みマルウェアに影響を与えることなく変更可能な表面データ領域を含むユーザ変更可能ファイルであるかどうか判別し、
    前記受信したファイルがユーザ変更可能ファイルである場合、
    前記受信したファイルの表面データ領域を特定し、
    前記表面データ領域を除去し、
    前記表面データ領域を除去された前記受信したファイルのハッシュ値を表すファイルシグニチャを生成し、
    前記受信したファイルがユーザ変更可能ファイルでない場合、
    前記受信したファイルのハッシュ値を表すファイルシグニチャを生成し、
    前記生成されたファイルシグニチャに基づいて前記受信したファイルがマルウェアであるかどうか判別するように構成されることを特徴とするコンピュータシステム。
  2. 前記コンピュータシステムは、前記生成されたファイルシグニチャを信頼できるファイルのレコードの集合を備えるホワイトリストデータストア内のファイルシグニチャと比較することにより、前記生成されたファイルシグニチャに基づいて前記受信したファイルがマルウェアであるかどうか判別し、各レコードは信頼できるファイルのファイルシグニチャを含むことを特徴とする請求項1に記載のコンピュータシステム。
  3. 前記ホワイトリストデータストアは前記コンピュータシステムにリモートであり、前記コンピュータシステムは前記通信接続を介して前記ホワイトリストデータストアにアクセスすることを特徴とする請求項2に記載のコンピュータシステム。
  4. 前記コンピュータシステムは、前記生成されたファイルシグニチャを既知のマルウェアのファイルシグニチャとさらに比較することにより、前記生成されたファイルシグニチャに基づいて前記受信したファイルがマルウェアであるかどうか判別することを特徴とする請求項2に記載のコンピュータシステム。
  5. 前記コンピュータシステムは、前記生成されたファイルシグニチャを既知のマルウェアのファイルシグニチャと比較することにより、前記生成されたファイルシグニチャに基づいて前記受信したファイルがマルウェアであるかどうか判別することを特徴とする請求項1に記載のコンピュータシステム。
JP2005284422A 2004-10-29 2005-09-29 ユーザ変更可能ファイルの効率的なホワイトリスティング Expired - Fee Related JP4851150B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/977,484 2004-10-29
US10/977,484 US10043008B2 (en) 2004-10-29 2004-10-29 Efficient white listing of user-modifiable files

Publications (2)

Publication Number Publication Date
JP2006127497A JP2006127497A (ja) 2006-05-18
JP4851150B2 true JP4851150B2 (ja) 2012-01-11

Family

ID=36061498

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005284422A Expired - Fee Related JP4851150B2 (ja) 2004-10-29 2005-09-29 ユーザ変更可能ファイルの効率的なホワイトリスティング

Country Status (5)

Country Link
US (4) US10043008B2 (ja)
EP (1) EP1657662B1 (ja)
JP (1) JP4851150B2 (ja)
KR (1) KR101255359B1 (ja)
CN (1) CN100585534C (ja)

Families Citing this family (134)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100489728C (zh) * 2004-12-02 2009-05-20 联想(北京)有限公司 一种建立计算机中可信任运行环境的方法
WO2006101549A2 (en) 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
WO2006090606A1 (ja) * 2005-02-24 2006-08-31 Konica Minolta Holdings, Inc. ファイル又はディレクトリの名称生成方法及び装置
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US8060747B1 (en) 2005-09-12 2011-11-15 Microsoft Corporation Digital signatures for embedded code
US20080134326A2 (en) * 2005-09-13 2008-06-05 Cloudmark, Inc. Signature for Executable Code
US8190902B2 (en) * 2006-02-27 2012-05-29 Microsoft Corporation Techniques for digital signature formation and verification
US20070258469A1 (en) * 2006-05-05 2007-11-08 Broadcom Corporation, A California Corporation Switching network employing adware quarantine techniques
US8223965B2 (en) 2006-05-05 2012-07-17 Broadcom Corporation Switching network supporting media rights management
US7895657B2 (en) * 2006-05-05 2011-02-22 Broadcom Corporation Switching network employing virus detection
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
US7596137B2 (en) * 2006-05-05 2009-09-29 Broadcom Corporation Packet routing and vectoring based on payload comparison with spatially related templates
US7751397B2 (en) 2006-05-05 2010-07-06 Broadcom Corporation Switching network employing a user challenge mechanism to counter denial of service attacks
US8615801B2 (en) * 2006-08-31 2013-12-24 Microsoft Corporation Software authorization utilizing software reputation
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
GB2444514A (en) * 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) * 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
US8181245B2 (en) * 2007-06-19 2012-05-15 Microsoft Corporation Proxy-based malware scan
US8584094B2 (en) * 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
US8181260B2 (en) * 2007-08-15 2012-05-15 International Business Machines Corporation Tracking the origins of data and controlling data transmission
US8131972B2 (en) * 2007-09-19 2012-03-06 International Business Machines Corporation Method and apparatus for improving memory coalescing in a virtualized hardware environment
US8214895B2 (en) 2007-09-26 2012-07-03 Microsoft Corporation Whitelist and blacklist identification data
US9959404B2 (en) * 2007-10-01 2018-05-01 Symantec Corporation Methods and systems for creating and updating approved-file and trusted-domain databases
US8448218B2 (en) * 2008-01-17 2013-05-21 Josep Bori Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability
US8146151B2 (en) * 2008-02-27 2012-03-27 Microsoft Corporation Safe file transmission and reputation lookup
US20090235357A1 (en) * 2008-03-14 2009-09-17 Computer Associates Think, Inc. Method and System for Generating a Malware Sequence File
US8141153B1 (en) * 2008-03-25 2012-03-20 Symantec Corporation Method and apparatus for detecting executable software in an alternate data stream
US20130276120A1 (en) * 2008-06-02 2013-10-17 Gregory William Dalcher System, method, and computer program product for determining whether a security status of data is known at a server
US8301904B1 (en) 2008-06-24 2012-10-30 Mcafee, Inc. System, method, and computer program product for automatically identifying potentially unwanted data as unwanted
US8713124B1 (en) 2008-09-03 2014-04-29 Message Protocols LLC Highly specialized application protocol for email and SMS and message notification handling and display
US8196203B2 (en) * 2008-09-25 2012-06-05 Symantec Corporation Method and apparatus for determining software trustworthiness
US8484739B1 (en) * 2008-12-15 2013-07-09 Symantec Corporation Techniques for securely performing reputation based analysis using virtualization
US8205263B1 (en) * 2008-12-16 2012-06-19 Symantec Corporation Systems and methods for identifying an executable file obfuscated by an unknown obfuscator program
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files
US20100198503A1 (en) * 2009-01-30 2010-08-05 Navteq North America, Llc Method and System for Assessing Quality of Location Content
US8775074B2 (en) * 2009-01-30 2014-07-08 Navteq B.V. Method and system for refreshing location code data
US8271195B2 (en) 2009-01-30 2012-09-18 Navteq B.V. Method for representing linear features in a location content management system
US8554871B2 (en) 2009-01-30 2013-10-08 Navteq B.V. Method and system for exchanging location content data in different data formats
KR101031786B1 (ko) * 2009-02-03 2011-04-29 주식회사 안철수연구소 의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
GB2469323B (en) * 2009-04-09 2014-01-01 F Secure Oyj Providing information to a security application
US7640589B1 (en) * 2009-06-19 2009-12-29 Kaspersky Lab, Zao Detection and minimization of false positives in anti-malware processing
US8800030B2 (en) * 2009-09-15 2014-08-05 Symantec Corporation Individualized time-to-live for reputation scores of computer files
US8448243B1 (en) * 2009-10-14 2013-05-21 Symantec Corporation Systems and methods for detecting unknown malware in an executable file
US20110185353A1 (en) * 2010-01-27 2011-07-28 Jack Matthew Mitigating Problems Arising From Incompatible Software
US9009820B1 (en) 2010-03-08 2015-04-14 Raytheon Company System and method for malware detection using multiple techniques
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8468602B2 (en) 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
KR101122646B1 (ko) * 2010-04-28 2012-03-09 한국전자통신연구원 위장 가상 머신 정보를 이용한 인텔리전트 봇 대응 방법 및 장치
US9251282B2 (en) * 2010-06-21 2016-02-02 Rapid7 LLC Systems and methods for determining compliance of references in a website
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
US8925101B2 (en) * 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
CN101924761B (zh) * 2010-08-18 2013-11-06 北京奇虎科技有限公司 一种依据白名单进行恶意程序检测的方法
CN103475671B (zh) * 2010-08-18 2017-12-29 北京奇虎科技有限公司 恶意程序检测方法
CN103501294B (zh) * 2010-08-18 2017-03-08 北京奇虎科技有限公司 判断程序是否恶意的方法
US9235586B2 (en) * 2010-09-13 2016-01-12 Microsoft Technology Licensing, Llc Reputation checking obtained files
US8499150B1 (en) * 2010-11-11 2013-07-30 Symantec Corporation Selectively trusting signed files
US20120167218A1 (en) * 2010-12-23 2012-06-28 Rajesh Poornachandran Signature-independent, system behavior-based malware detection
JP2012150658A (ja) * 2011-01-19 2012-08-09 Lac Co Ltd 情報処理装置、システム、通信監視方法およびプログラム
US8789186B2 (en) * 2011-03-03 2014-07-22 Jpmorgan Chase Bank, N.A. System and method for packet profiling
US8839434B2 (en) * 2011-04-15 2014-09-16 Raytheon Company Multi-nodal malware analysis
CN102164138A (zh) * 2011-04-18 2011-08-24 奇智软件(北京)有限公司 一种保证用户网络安全性的方法及客户端
US8931102B2 (en) * 2011-06-01 2015-01-06 International Business Machines Corporation Testing web applications for file upload vulnerabilities
US8635079B2 (en) 2011-06-27 2014-01-21 Raytheon Company System and method for sharing malware analysis results
US9824198B2 (en) 2011-07-14 2017-11-21 Docusign, Inc. System and method for identity and reputation score based on transaction history
US20130031632A1 (en) * 2011-07-28 2013-01-31 Dell Products, Lp System and Method for Detecting Malicious Content
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
CN102663321B (zh) * 2012-04-24 2016-01-13 百度在线网络技术(北京)有限公司 用于软件的安全性增强系统及方法
CN102930207B (zh) * 2012-04-27 2015-11-04 北京金山安全软件有限公司 一种api日志监控方法及装置
US9241009B1 (en) 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US9715325B1 (en) 2012-06-21 2017-07-25 Open Text Corporation Activity stream based interaction
US8843535B2 (en) * 2012-06-25 2014-09-23 Oracle International Corporation Framework for applying metadata for multiple files managed using a content management system
US8904550B2 (en) 2012-06-27 2014-12-02 Blackberry Limited Selection of sandbox for initiating application
US9262208B2 (en) * 2012-08-20 2016-02-16 International Business Machines Corporation Automated, controlled distribution and execution of commands and scripts
US11126720B2 (en) 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US9292688B2 (en) * 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
CN103824018B (zh) * 2012-11-19 2017-11-14 腾讯科技(深圳)有限公司 一种可执行文件处理方法以及可执行文件监控方法
US8925076B2 (en) * 2012-12-11 2014-12-30 Kaspersky Lab Zao Application-specific re-adjustment of computer security settings
CN103150506B (zh) * 2013-02-17 2016-03-30 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US8990942B2 (en) 2013-02-18 2015-03-24 Wipro Limited Methods and systems for API-level intrusion detection
US9239922B1 (en) * 2013-03-11 2016-01-19 Trend Micro Inc. Document exploit detection using baseline comparison
US9727848B2 (en) * 2013-04-29 2017-08-08 Alex Bligh Field programmable hierarchical cloud billing system
US9323925B2 (en) * 2013-05-30 2016-04-26 Trusteer, Ltd. Method and system for prevention of windowless screen capture
CN103473063A (zh) * 2013-09-18 2013-12-25 北京网秦天下科技有限公司 采用白名单来报警的设备和方法
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
CN103581185B (zh) 2013-11-01 2016-12-07 北京奇虎科技有限公司 对抗免杀测试的云查杀方法、装置及系统
EP3108395B1 (en) * 2014-02-18 2018-10-24 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
US8943598B1 (en) * 2014-08-12 2015-01-27 Bank Of America Corporation Automatic compromise detection for hardware signature for payment authentication
US9824356B2 (en) 2014-08-12 2017-11-21 Bank Of America Corporation Tool for creating a system hardware signature for payment authentication
US9323930B1 (en) * 2014-08-19 2016-04-26 Symantec Corporation Systems and methods for reporting security vulnerabilities
US9509715B2 (en) * 2014-08-21 2016-11-29 Salesforce.Com, Inc. Phishing and threat detection and prevention
WO2016081346A1 (en) 2014-11-21 2016-05-26 Northrup Grumman Systems Corporation System and method for network data characterization
US9330264B1 (en) * 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
WO2016127233A1 (en) * 2015-02-10 2016-08-18 Gas Informatica Ltda Assistive technology for anti-malware software
US9438612B1 (en) 2015-03-23 2016-09-06 Fortinet, Inc. Calculating consecutive matches using parallel computing
US9935972B2 (en) * 2015-06-29 2018-04-03 Fortinet, Inc. Emulator-based malware learning and detection
US10187403B2 (en) 2015-12-02 2019-01-22 Salesforce.Com, Inc. False positive detection reduction system for network-based attacks
RU2716553C1 (ru) * 2016-07-27 2020-03-12 Нек Корпорейшн Устройство создания сигнатуры, способ создания сигнатуры, носитель записи, в котором записана программа создания сигнатуры, и система определения программного обеспечения
US11082491B2 (en) 2016-10-07 2021-08-03 Microsoft Technology Licensing, Llc Propagating origin information for applications during application installation
US9756061B1 (en) * 2016-11-18 2017-09-05 Extrahop Networks, Inc. Detecting attacks using passive network monitoring
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
GB2561862A (en) * 2017-04-25 2018-10-31 Avecto Ltd Computer device and method for handling files
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11184379B1 (en) * 2018-03-16 2021-11-23 United Services Automobile Association (Usaa) File scanner to detect malicious electronic files
US11188657B2 (en) 2018-05-12 2021-11-30 Netgovern Inc. Method and system for managing electronic documents based on sensitivity of information
US11163948B2 (en) 2018-07-10 2021-11-02 Beijing Didi Infinity Technology And Development Co., Ltd. File fingerprint generation
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11188622B2 (en) * 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US10642977B1 (en) 2018-12-17 2020-05-05 Didi Research America, Llc Benign file list generation
CN109800577B (zh) * 2018-12-29 2020-10-16 360企业安全技术(珠海)有限公司 一种识别逃逸安全监控行为的方法及装置
US11609992B2 (en) * 2019-03-29 2023-03-21 Acronis International Gmbh Systems and methods for anti-malware scanning using automatically-created white lists
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
CN110309647B (zh) * 2019-06-28 2022-02-25 北京乐蜜科技有限责任公司 针对应用程序的处理方法、装置、电子设备及存储介质
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
EP4218212A4 (en) 2020-09-23 2024-10-16 Extrahop Networks Inc ENCRYPTED NETWORK TRAFFIC MONITORING
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
CN113934625B (zh) * 2021-09-18 2024-09-13 深圳市富匙科技有限公司 软件检测方法、设备及存储介质
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
TWI802040B (zh) * 2021-10-08 2023-05-11 精品科技股份有限公司 基於檔案屬性特徵之應用程式控管方法
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN114818012B (zh) * 2022-06-29 2022-10-21 麒麟软件有限公司 基于白名单列表的Linux文件完整性度量方法

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6684261B1 (en) * 1993-07-19 2004-01-27 Object Technology Licensing Corporation Object-oriented operating system
AU1206097A (en) * 1995-12-28 1997-07-28 Eyal Dotan Method for protecting executable software programs against infection by software viruses
US6427063B1 (en) * 1997-05-22 2002-07-30 Finali Corporation Agent based instruction system and method
US5951698A (en) 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US5956481A (en) * 1997-02-06 1999-09-21 Microsoft Corporation Method and apparatus for protecting data files on a computer from virus infection
US6094731A (en) 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6577920B1 (en) * 1998-10-02 2003-06-10 Data Fellows Oyj Computer virus screening
US6230288B1 (en) * 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US7243236B1 (en) * 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6715124B1 (en) * 2000-02-14 2004-03-30 Paradyne Corporation Trellis interleaver and feedback precoder
US6728716B1 (en) * 2000-05-16 2004-04-27 International Business Machines Corporation Client-server filter computing system supporting relational database records and linked external files operable for distributed file system
IL147712A0 (en) 2000-05-17 2002-08-14 Finjan Software Ltd Malicious mobile code runtime monitoring system and methods
WO2002021274A1 (en) 2000-05-19 2002-03-14 Self Repairing Computers, Inc. A computer with switchable components
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US20020069198A1 (en) 2000-08-31 2002-06-06 Infoseer, Inc. System and method for positive identification of electronic files
US7398553B1 (en) * 2000-10-30 2008-07-08 Tread Micro, Inc. Scripting virus scan engine
EP1225513A1 (en) * 2001-01-19 2002-07-24 Eyal Dotan Method for protecting computer programs and data from hostile code
US7603356B2 (en) * 2001-01-26 2009-10-13 Ascentive Llc System and method for network administration and local administration of privacy protection criteria
US7096497B2 (en) 2001-03-30 2006-08-22 Intel Corporation File checking using remote signing authority via a network
US6766314B2 (en) * 2001-04-05 2004-07-20 International Business Machines Corporation Method for attachment and recognition of external authorization policy on file system resources
US20020199116A1 (en) 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US7096368B2 (en) * 2001-08-01 2006-08-22 Mcafee, Inc. Platform abstraction layer for a wireless malware scanning engine
US6993660B1 (en) * 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
US7107617B2 (en) * 2001-10-15 2006-09-12 Mcafee, Inc. Malware scanning of compressed computer files
US7114185B2 (en) * 2001-12-26 2006-09-26 Mcafee, Inc. Identifying malware containing computer files using embedded text
JP2003196111A (ja) * 2001-12-26 2003-07-11 Hitachi Ltd 電子署名を用いたウィルスチェック方法
US6944772B2 (en) * 2001-12-26 2005-09-13 D'mitri Dozortsev System and method of enforcing executable code identity verification over the network
US7694128B2 (en) * 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7367045B2 (en) * 2002-03-16 2008-04-29 Trustedflow Systems, Inc. Trusted communications system
JP2003281391A (ja) 2002-03-19 2003-10-03 Sony Corp 通信方法、コンピュータおよびプログラム
US7380277B2 (en) * 2002-07-22 2008-05-27 Symantec Corporation Preventing e-mail propagation of malicious computer code
US7337471B2 (en) 2002-10-07 2008-02-26 Symantec Corporation Selective detection of malicious computer code
US7165076B2 (en) * 2002-11-15 2007-01-16 Check Point Software Technologies, Inc. Security system with methodology for computing unique security signature for executable file employed across different machines
US7373664B2 (en) * 2002-12-16 2008-05-13 Symantec Corporation Proactive protection against e-mail worms and spam
US7318163B2 (en) 2003-01-07 2008-01-08 International Business Machines Corporation System and method for real-time detection of computer system files intrusion
GB2398134A (en) * 2003-01-27 2004-08-11 Hewlett Packard Co Applying a data handing policy to predetermined system calls
JP2004259060A (ja) 2003-02-26 2004-09-16 Canon Inc データ受信方法及び画像形成装置
GB2400197B (en) * 2003-04-03 2006-04-12 Messagelabs Ltd System for and method of detecting malware in macros and executable scripts
GB2404537B (en) * 2003-07-31 2007-03-14 Hewlett Packard Development Co Controlling access to data
GB2404536B (en) * 2003-07-31 2007-02-28 Hewlett Packard Development Co Protection of data
US20050071432A1 (en) 2003-09-29 2005-03-31 Royston Clifton W. Probabilistic email intrusion identification methods and systems
WO2005043360A1 (en) * 2003-10-21 2005-05-12 Green Border Technologies Systems and methods for secure client applications
US20040172551A1 (en) 2003-12-09 2004-09-02 Michael Connor First response computer virus blocking.
US7555777B2 (en) * 2004-01-13 2009-06-30 International Business Machines Corporation Preventing attacks in a data processing system
US7984304B1 (en) * 2004-03-02 2011-07-19 Vmware, Inc. Dynamic verification of validity of executable code
US7698275B2 (en) 2004-05-21 2010-04-13 Computer Associates Think, Inc. System and method for providing remediation management
US7836506B2 (en) * 2004-09-22 2010-11-16 Cyberdefender Corporation Threat protection network
US8056128B1 (en) * 2004-09-30 2011-11-08 Google Inc. Systems and methods for detecting potential communications fraud
US7287279B2 (en) * 2004-10-01 2007-10-23 Webroot Software, Inc. System and method for locating malware
US8495145B2 (en) * 2004-10-14 2013-07-23 Intel Corporation Controlling receipt of undesired electronic mail
US7779472B1 (en) * 2005-10-11 2010-08-17 Trend Micro, Inc. Application behavior based malware detection

Also Published As

Publication number Publication date
US20130347115A1 (en) 2013-12-26
CN1766778A (zh) 2006-05-03
US10699011B2 (en) 2020-06-30
EP1657662A2 (en) 2006-05-17
EP1657662B1 (en) 2017-03-22
CN100585534C (zh) 2010-01-27
US10043008B2 (en) 2018-08-07
JP2006127497A (ja) 2006-05-18
US20180307836A1 (en) 2018-10-25
KR20060051379A (ko) 2006-05-19
KR101255359B1 (ko) 2013-04-17
US20060230452A1 (en) 2006-10-12
US20060095971A1 (en) 2006-05-04
US8544086B2 (en) 2013-09-24
EP1657662A3 (en) 2008-03-26

Similar Documents

Publication Publication Date Title
JP4851150B2 (ja) ユーザ変更可能ファイルの効率的なホワイトリスティング
CN109684832B (zh) 检测恶意文件的系统和方法
CN109583193B (zh) 目标攻击的云检测、调查以及消除的系统和方法
US11227053B2 (en) Malware management using I/O correlation coefficients
US8356354B2 (en) Silent-mode signature testing in anti-malware processing
US7836504B2 (en) On-access scan of memory for malware
US8719924B1 (en) Method and apparatus for detecting harmful software
US7533413B2 (en) Method and system for processing events
US20060236393A1 (en) System and method for protecting a limited resource computer from malware
US20060041942A1 (en) System, method and computer program product for preventing spyware/malware from installing a registry
JP6774881B2 (ja) 業務処理システム監視装置および監視方法
US20080201722A1 (en) Method and System For Unsafe Content Tracking
US20050172337A1 (en) System and method for unpacking packed executables for malware evaluation
CN110119619B (zh) 创建防病毒记录的系统和方法
JP2007520796A (ja) ネットワーク上でファイルのコンテンツを識別する方法およびシステム
JP7537661B2 (ja) 高度なランサムウェア検出
US20100313268A1 (en) Method for protecting a computer against malicious software
RU101233U1 (ru) Система ограничения прав доступа к ресурсам на основе расчета рейтинга опасности
RU2750628C2 (ru) Система и способ определения уровня доверия файла
CN114417326A (zh) 异常检测方法、装置、电子设备及存储介质
US8640242B2 (en) Preventing and detecting print-provider startup malware
EP3758330B1 (en) System and method of determining a trust level of a file
CN110348180B (zh) 一种应用程序启动控制方法和装置
US20220060502A1 (en) Network Environment Control Scanning Engine
Venmaa Devi et al. R4 Model for Malware Detection And Prevention Using Case Based Reasoning

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080801

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110119

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110128

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110428

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110714

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111014

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111020

R150 Certificate of patent or registration of utility model

Ref document number: 4851150

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141028

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees