JP2016525750A - 合法的オブジェクトの誤用の識別 - Google Patents

合法的オブジェクトの誤用の識別 Download PDF

Info

Publication number
JP2016525750A
JP2016525750A JP2016525379A JP2016525379A JP2016525750A JP 2016525750 A JP2016525750 A JP 2016525750A JP 2016525379 A JP2016525379 A JP 2016525379A JP 2016525379 A JP2016525379 A JP 2016525379A JP 2016525750 A JP2016525750 A JP 2016525750A
Authority
JP
Japan
Prior art keywords
usage
client device
suspicious
computer
attributes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016525379A
Other languages
English (en)
Inventor
サティッシュ・ソーラブ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2016525750A publication Critical patent/JP2016525750A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/065Generation of reports related to network devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

オブジェクトに関してクライアントデバイスからクエリが受信される。クエリは、オブジェクトの識別子と、それに関連付けられた、クライアントデバイス上におけるオブジェクトの使用について説明する一連の使用属性とを含む。識別されたオブジェクトと関連付けられた一連の使用事実が識別される。一連の使用事実は、複数のクライアントデバイス上におけるオブジェクトの一般的な使用について説明する。オブジェクトと関連付けられた一連の使用事実、及びクエリに含まれる一連の使用属性に基づいて、クライアントデバイス上におけるオブジェクトの使用が疑わしいものであるか否かの判定が行われる。その判定に基づいて、クライアントデバイスに対して報告が提供される。

Description

以下の開示は、概して、コンピュータセキュリティに関し、特に、合法的オブジェクトの疑わしい使用の識別に関する。
(関連技術の説明)
様々な種類の悪意あるソフトウェア(マルウェア)が現代のコンピュータを攻撃する可能性がある。マルウェアの脅威には、コンピュータウイルス、ワーム、トロイの木馬プログラム、スパイウェア、アドウェア、クライムウェア、及びフィッシングウェブサイトが含まれる。現代のマルウェアは、攻撃者に対して金融上の利益を提供するように設計されている場合が多い。例えば、マルウェアは、ログイン、パスワード、銀行預金口座の識別子、及びクレジットカード番号などの重要な情報を密かに捕捉する場合がある。同様に、マルウェアは、障害が起きたコンピュータに攻撃者がアクセスしそれを制御することを可能にする、隠れたインターフェースを提供する場合がある。
以下の開示は、概して、コンピュータセキュリティに関し、特に、合法的オブジェクトの疑わしい使用の識別に関する。
ある種のマルウェアを検出するのに署名を使用することができる。マルウェア署名は、マルウェア内で見出されるデータ列又は既知の悪意ある挙動など、既知のマルウェアの特性を説明し、コンピュータ上のオブジェクトがマルウェアを含んでいるか否かを判定するのに使用される。一般的に、一連のマルウェア署名は、セキュリティソフトウェアの提供者によって生成され、ユーザのコンピュータ上のセキュリティソフトウェアへと配置される。次に、この一連のマルウェア署名は、セキュリティソフトウェアによって、ユーザのコンピュータ上のマルウェアを検出するのに使用される。
しかしながら、セキュリティソフトウェアは、特定のタイプのマルウェアを検出できない可能性がある。例えば、攻撃者はこの場合、セキュリティソフトウェアが合法的である(即ち、悪意がない)ものと信頼したオブジェクトを使用して攻撃を実施する。マルウェア署名は、信頼できるオブジェクトが悪意ある目的のために使用されていることは検出しない。したがって、セキュリティソフトウェアは攻撃を検出しない。
上記及び他の課題には、オブジェクトの疑わしい使用を識別する、コンピュータ実装方法、コンピュータプログラム製品、及びコンピュータシステムによって対処する。コンピュータ実装方法の一実施形態は、オブジェクトに関してクライアントデバイスからクエリを受信することを含む。クエリは、オブジェクトの識別子と、それに関連付けられた、クライアントデバイス上におけるオブジェクトの使用について説明する一連の使用属性とを含む。識別されたオブジェクトと関連付けられた一連の使用事実が識別される。一連の使用事実は、複数のクライアントデバイス上におけるオブジェクトの一般的な使用について説明する。オブジェクトと関連付けられた一連の使用事実、及びクエリに含まれる一連の使用属性に基づいて、クライアントデバイス上におけるオブジェクトの使用が疑わしいものであるか否かの判定が行われる。その判定に基づいて、クライアントデバイスに対して報告が提供される。
コンピュータプログラム製品の一実施形態は、実行可能なコードを含む非一時的コンピュータ可読記憶媒体を含む。コードが実行されるとステップが行われる。ステップは、オブジェクトに関してクライアントデバイスからクエリを受信することを含む。クエリは、オブジェクトの識別子と、それに関連付けられた、クライアントデバイス上におけるオブジェクトの使用について説明する一連の使用属性とを含む。ステップは、識別されたオブジェクトと関連付けられた一連の使用事実を識別することを更に含む。一連の使用事実は、複数のクライアントデバイス上におけるオブジェクトの一般的な使用について説明する。ステップはまた、オブジェクトと関連付けられた一連の使用事実、及びクエリに含まれる一連の使用属性に基づいて、クライアントデバイス上におけるオブジェクトの使用が疑わしいものであるか否かを判定することを含む。その判定に基づいて、クライアントデバイスに対して報告が提供される。
コンピュータシステムの一実施形態は、プロセッサと、実行可能なコードを含むコンピュータ可読記憶媒体とを含む。コードがプロセッサによって実行されると、オブジェクトに関してクライアントデバイスからクエリを受信することを含む、ステップが行われる。クエリは、オブジェクトの識別子と、それに関連付けられた、クライアントデバイス上におけるオブジェクトの使用について説明する一連の使用属性とを含む。ステップは、識別されたオブジェクトと関連付けられた一連の使用事実を識別することを更に含む。一連の使用事実は、複数のクライアントデバイス上におけるオブジェクトの一般的な使用について説明する。ステップはまた、オブジェクトと関連付けられた一連の使用事実、及びクエリに含まれる一連の使用属性に基づいて、クライアントデバイス上におけるオブジェクトの使用が疑わしいものであるか否かを判定することを含む。その判定に基づいて、クライアントデバイスに対して報告が提供される。
一実施形態によるコンピューティング環境を示す高レベルブロック図である。 一実施形態によるセキュリティサーバ又はクライアントとして使用される一般的なコンピュータを示す高レベルブロック図である。 一実施形態によるセキュリティサーバの詳細図を示す高レベルブロック図である。 一実施形態による、合法的オブジェクトの疑わしい使用を識別するのにセキュリティサーバによって行われるステップを示すフローチャートである。
図面は、単に例示目的のため、一実施形態を示している。当業者であれば、本明細書に記載される原理から逸脱することなく、本明細書に例示される構造及び方法の代替実施形態を採用し得ることを、以下の説明から容易に理解するであろう。
図1は、一実施形態によるコンピューティング環境100の高レベルブロック図である。図1は、ネットワーク110によって接続されたセキュリティサーバ102及び3つのクライアント104を示している。説明を単純且つ明解にするため、図1には3つのクライアント104のみが示されている。コンピューティング環境100の実施形態は、数千又は数百万のクライアント104を有することができる。いくつかの実施形態は、複数のセキュリティサーバ102を有することもできる。
一実施形態では、クライアント104は電子デバイスである。クライアント104は、例えば、MICROSOFT WINDOWS(登録商標)互換オペレーティングシステム(OS)、APPLE OS X、及び/又はLINUX(登録商標)ディストリビューションを実行する、従来のコンピュータシステムであってもよい。クライアント104はまた、タブレット型コンピュータ、携帯電話、テレビゲーム機など、コンピュータの機能性を有する別のデバイスであることができる。
クライアント104は、一般的に、様々なタイプの多数のオブジェクトを格納しそれらと相互作用する。これらのオブジェクトは、クライアントの記憶装置にインストールされるか、又はネットワーク110を介して遠隔サーバからダウンロードされたファイル、クライアント上で実行するブラウザ又は他のアプリケーションによってアクセスされる場所(例えば、ウェブサイト)のユニフォームリソースロケータ(URL)、クライアントのメモリに保持されているプロセスなどを含んでもよい。一部のオブジェクトは、クライアント104上で実行するセキュリティモジュール108によって、合法的である(即ち、悪意がない)ものと信頼される。例えば、オペレーティングシステムの周知のコンポーネントであるファイルは、合法的であるものと信頼される場合が多い。同様に、既知の信頼できる実体のウェブサイトは信頼することができる。信頼できるウェブサイトからダウンロードされたファイルも、そのウェブサイトを運営している実体が信頼されていることにより、合法的であるものと信頼することができる。それに加えて、既知の信用できる実体がデジタル署名したファイルは信頼することができる。
他のオブジェクトは合法的であるものと信頼されない。かかる信頼できないオブジェクトは悪意あるソフトウェアをホストしていることがある。「マルウェア」と呼ばれることもある悪意あるソフトウェアは、一般に、クライアント104上で不正に実行されるか、又は何らかの不正な機能性を有するソフトウェアとして定義される。悪意あるソフトウェアをホストするオブジェクトは、マルウェアオブジェクトとして知られている。
マルウェアオブジェクトは、信頼できる合法的オブジェクトを使用してクライアント104を攻撃する可能性がある。例えば、マルウェアオブジェクトは、マイクロソフト(MICROSOFT CORP.)から入手可能なtftp.exeクライアントなどの信頼できるファイル転送プログラムを、クライアント104にダウンロードすることがある。マルウェアは次に、そのファイル転送プログラムを使用して、機密データをクライアント104から脱出させる(即ち、公開する)ことがある。つまり、攻撃者は、信頼できるオブジェクトを活用するマルウェアを使用して、クライアント104上のデータを公表し、それによってクライアント104及び/又はクライアントのユーザを危険に晒すことがある。
クライアント104は、クライアントに対してセキュリティを提供するセキュリティモジュール108を実行する。一実施形態では、セキュリティモジュール108は、信頼できるオブジェクトを活用してクライアントを攻撃するマルウェアを含むマルウェアが、クライアント104上に存在することを検出する。セキュリティモジュール108は、クライアント104のOSに組み込むことができ、又は別個の包括的セキュリティパッケージの一部であることができる。一実施形態では、セキュリティモジュール108は、セキュリティサーバ102を運営しているのと同じ実体によって提供される。
セキュリティモジュール108は、様々な異なる技術を使用するマルウェアを検出してもよい。一実施形態では、セキュリティモジュール108は、マルウェア署名を含む検出データを使用するマルウェアを検出する。マルウェア署名は、クライアント104におけるマルウェアオブジェクトのインスタンスを検出するのに使用することができる、マルウェアの特性を説明する。特性は、マルウェアの存在を示す、オブジェクト内で見出されるデータ列を識別する署名文字列、及びクライアント104で実行したときにマルウェアによって行われる一連の挙動を含んでもよい。
セキュリティモジュール108がマルウェアを検出するのに使用される別の技術は、ネットワーク110を介してセキュリティサーバ102と通信して、オブジェクトに関する情報を取得することを伴う。一実施形態では、セキュリティモジュール108は、クライアント104上のオブジェクトが使用されているとき(例えば、オブジェクトが関与するアクションが行われているとき)にそれを検出する。例えば、セキュリティモジュール108は、クライアント104上の特定のファイルが、作成、アクセス、修正、実行、又はネットワーク110を介して送信されているときに、それを観察してもよい。セキュリティモジュール108は、ハッシング又は別の計算技術を使用するオブジェクトを一意に識別する指紋(即ち、識別子)を作成する。次に、セキュリティモジュール108は、オブジェクトの指紋を、オブジェクトに関する情報を探索するクエリの一部としてセキュリティサーバ102に提供する。
一実施形態では、セキュリティモジュール108はまた、オブジェクトと関連付けられた使用属性を識別(即ち、収集)し、これらの属性をオブジェクトの指紋と共にセキュリティサーバ102に送る。セキュリティモジュール108は、使用属性を、オブジェクトに関する情報に対するクエリの一部として、又は別個のトランザクションとしてセキュリティサーバ102に送ってもよい。オブジェクトの使用属性は、オブジェクトの使用の特性を説明する。したがって、使用属性は、オブジェクトがクライアント104でどのように使用されているかを集合的に説明する。一実施形態では、オブジェクトの属性はオブジェクトのタイプに応じて決まり、異なるタイプのオブジェクトは異なる一連の属性を有する。例えば、オブジェクトのタイプはファイルオブジェクト及びURLオブジェクトを含んでもよい。ファイルオブジェクトの場合の一連の属性は、ファイルの名称、クライアント104におけるファイルの場所を説明するファイルパス、ファイルと関連付けられたURL又はドメイン、ファイルの作成者、及びファイルにアクセスしているプロセスの識別子を含んでもよい。URLオブジェクトの場合、一連の属性は、URLの使用のタイプ(例えば、ウェブの閲覧又はファイルのダウンロード)、及びURLにアクセスするのに使用されるアプリケーションを含んでもよい。所与のオブジェクトは、それに対応する一連の属性それぞれに対する値を有さないことがある。例えば、ファイルオブジェクトは、ファイルがウェブサイトからダウンロードされたものではない場合、URL/ドメイン属性に対する値を有さないことがある。
セキュリティモジュール108は、識別された使用属性を、関連付けられたオブジェクトの指紋と共にセキュリティサーバに送信する。クエリに応答して、セキュリティモジュール108は、オブジェクトに関する情報をセキュリティサーバ102から受信する。一実施形態では、情報は、オブジェクトの使用が疑わしいものであるか疑わしくないかを示す。セキュリティサーバ102からの情報は、オブジェクトがマルウェアを包含する確率を示す評判情報など、他の情報も含んでもよく、非常に高い評判はオブジェクトがマルウェアを包含する確率が低いことを示し、非常に低い評判はオブジェクトがマルウェアを包含する確率が高いことを示す。
セキュリティサーバ102からの情報が、オブジェクトの使用が疑わしいものでないことを示している場合、セキュリティモジュール108によってクライアント104上での使用が可能になる。情報が、オブジェクトの使用が疑わしいものであることを示している場合、セキュリティモジュール108はセキュリティアクションを行ってもよい。セキュリティアクションのタイプは、様々な実施形態において異なってもよい。行うことができる1つのセキュリティアクションは、オブジェクトの疑わしい使用を阻止することである。例えば、セキュリティモジュール108は、プロセスがオブジェクトを使用してデータをクライアント104から送出しようとするのを阻止してもよい。別のセキュリティアクションは、オブジェクトの使用が疑わしいものであるという報告(例えば、警告)を、クライアント104のユーザに提供することである。その結果、ユーザは、警告に基づいて使用を許可するか又は拒否するかを決定することができる。セキュリティモジュール108が行ってもよい第3のセキュリティアクションは、クライアント104を害することなく行えるように使用を隔離することである。例えば、セキュリティモジュール108は、オブジェクトからの入力及び出力を仮想化し、それによって、オブジェクトの使用がクライアント104に対して引き起こし得る損害を限定してもよい。特に、セキュリティモジュール108は、クライアント104上の特定のシステム場所に対する読み書き能力を制限してもよく、ならびに/あるいはクライアントに関するオブジェクトの特権を限定してもよい。
一実施形態では、セキュリティモジュール108は、合法的であると信頼されたオブジェクトのみに対するものなど、クライアント104における特定のタイプのオブジェクトのみに関する使用属性を収集して送る。このように、セキュリティモジュール108は、合法的オブジェクトが疑わしい目的に使用されているときにそれを検出する。セキュリティモジュール108の実施形態はまた、合法的であると信頼されていないオブジェクトに対して、この技術を使用してもよい。それに加えて、セキュリティモジュール108は、本明細書に記載する技術に加えて他のマルウェア検出技術を使用してもよい。
セキュリティサーバ102は、クライアント104若しくは他の実体からオブジェクトに関するクエリを受信し、それに応答して情報を提供するように構成された、ハードウェアデバイス及び/又はソフトウェアモジュールである。セキュリティサーバ102の一例は、セキュリティソフトウェア及びサービスをクライアント104のセキュリティモジュール108に提供する、ウェブベースのシステムである。実施形態に応じて、セキュリティサーバ102の機能の1つ以上を、クラウドコンピューティング環境によって提供することができる。本明細書で使用するとき、「クラウドコンピューティング」は、ネットワーク110を通じたサービスとして、動的に拡張可能であって多くの場合仮想化されたリソースが提供される、コンピューティングの形式を指す。クライアント104及び生産セキュリティモジュール108に属する機能も、クラウドコンピューティング環境によって提供することができる。
セキュリティサーバ102は、オブジェクトの使用を疑わしいもの又は疑わしくないものに分類するクエリに対する応答を提供する。セキュリティサーバ102は、クエリに含まれる使用属性に少なくとも部分的に基づいて、使用を分類する。一実施形態では、セキュリティサーバ102は、セキュリティサーバ102と通信しているクライアント104によるオブジェクトの一般的な使用と一致する、使用属性を説明する一連の事実を識別することによって、オブジェクトの使用を分類する。セキュリティサーバ102は、オブジェクトと関連付けられた一連の事実をクエリに含まれる使用属性と比較して、オブジェクトの使用が一般的であるか否かを判定する。オブジェクトの使用が一般的である場合、セキュリティサーバ102は、その使用を疑わしくないものとして分類する。問い合わされた使用が一般的でない場合、セキュリティサーバ102は、その使用を疑わしいものとして分類する。
ネットワーク110は、セキュリティサーバ102、クライアント104、及びネットワーク上の他の任意の実体の間の通信経路を表す。一実施形態では、ネットワーク110はインターネットであり、標準的な通信技術及び/又はプロトコルを使用する。したがって、ネットワーク110は、イーサネット(登録商標)、802.11、マイクロ波アクセス回線のための国際相互運用(WiMAX)、3G、デジタル加入者回線(DSL)、非同期転送モード(ATM)、インフィニバンド、PCIエキスプレスアドバンストスイッチングなどの技術を使用するリンクを含むことができる。同様に、ネットワーク110上で使用されるネットワーキングプロトコルは、マルチプロトコルラベルスイッチング(MPLS)、伝送制御プロトコル/インターネットプロトコル(TCP/IP)、ユーザデータグラムプロトコル(UDP)、ハイパーテキスト転送プロトコル(HTTP)、簡易メール転送プロトコル(SMTP)、ファイル転送プロトコル(FTP)などを含むことができる。ネットワーク110を通じて交換されるデータは、ハイパーテキストマークアップ言語(HTML)、拡張マークアップ言語(XML)などを含む技術及び/又は形式を使用して表すことができる。それに加えて、リンクの全て又は一部は、セキュアソケットレイヤー(SSL)、トランスポートレイヤーセキュリティ(TLS)、仮想私設ネットワーク(VPN)、インターネットプロトコルセキュリティ(IPsec)など、従来の暗号化技術を使用して暗号化することができる。他の実施形態では、実体は、上述したものの代わりに、又はそれに加えて、カスタム及び/又は専用データ通信技術を使用する。
図2は、セキュリティサーバ102又はクライアント104として使用される一般的なコンピュータ200を示す高レベルブロック図である。チップセット204に結合されるプロセッサ202を示している。チップセット204には、メモリ206、記憶装置208、キーボード210、グラフィックアダプタ212、ポインティングデバイス214、及びネットワークアダプタ216も結合される。グラフィックアダプタ212には、ディスプレイ218が結合される。一実施形態では、チップセット204の機能性は、メモリコントローラハブ220及び入出力コントローラハブ222によって提供される。別の実施形態では、メモリ206は、チップセット204の代わりにプロセッサ202に直接結合される。
記憶装置208は、ハードドライブ、コンパクトディスク読出し専用メモリ(CD−ROM)、DVD、又は固体メモリデバイスなど、非一時的コンピュータ可読記憶媒体である。メモリ206は、プロセッサ202が使用する命令及びデータを保持する。ポインティングデバイス214は、マウス、トラックボール、又は他のタイプのポインティングデバイスであり、キーボード210と組み合わせて、コンピュータシステム200にデータを入力するのに使用される。グラフィックアダプタ212は、ディスプレイ218上に画像及び他の情報を表示させる。ネットワークアダプタ216は、コンピュータシステム200をネットワーク110に結合する。
当該技術分野で知られているように、コンピュータ200は、図2に示すコンポーネントと異なるコンポーネント及び/又は他のコンポーネントを有することができる。それに加えて、コンピュータ200は特定の例示したコンポーネントを有さないことが可能である。一実施形態では、セキュリティサーバとして作用するコンピュータ200は、複数のブレードコンピュータで形成され、キーボード210、ポインティングデバイス214、グラフィックスアダプタ212、及び/又はディスプレイ218を欠く。更に、記憶装置208は、(ストレージエリアネットワーク(SAN)内で具体化されるものなど)ローカルとし、かつ/又はコンピュータ200から遠隔であることができる。
本明細書では、「モジュール」という用語を、指定の機能性を提供するためのコンピュータプログラムロジックを指すのに使用する。モジュールは、ハードウェア、ファームウェア、及び/又はソフトウェア内に実装することができる。モジュールは、一般的に、記憶装置208などの非一時的コンピュータ可読記憶媒体に格納され、メモリ206にロードされ、プロセッサ202によって実行される。
図3は、一実施形態によるセキュリティサーバ102の詳細図を示す高レベルブロック図である。図3に示されるように、セキュリティサーバ102は複数のモジュールを含む。いくつかの実施形態では、機能は、本明細書に記載するのとは異なる形で、これらのモジュール間で分配される。
相互作用モジュール300は、クライアント104からクエリを受信し、クエリに対する応答をクライアントに提供する。上述したように、一実施形態では、クライアント104からのクエリは、クライアントによって使用されているオブジェクトを識別する指紋、及びそのオブジェクトがどのように使用されているかを説明する使用属性を含む。識別されたオブジェクトは、クライアント104によって合法的であると信頼されてもよい。クエリに対する応答は、次いで、識別されたオブジェクトの使用を疑わしいもの又は疑わしくないものとして分類する。一実施形態では、応答は使用の分類を明示的に示す。別の実施形態では、応答は、クライアント104が次にオブジェクトを分類するのに使用してもよい情報を含む。相互作用モジュール300は、セキュリティサーバ102内の他のモジュールと通信して、受信したクエリを共有し、クエリに応答して提供する情報を取得する。
相互作用モジュール300は、クライアント104から受信した使用属性を属性データベース308に格納する。属性データベース308は、次いで、属性のそれぞれのオブジェクトと関連付けて属性を格納する。したがって、所与のオブジェクトに対して、属性データベース308は、そのオブジェクトに関して複数の異なるクライアント104から受信した使用属性を格納する。多くのクライアント104を有する環境100では、属性データベース308は、クライアントによって使用される多くの異なるオブジェクトの識別子、及びクライアントがオブジェクトをどのように使用したかを説明する更に多くの一連の使用属性を、時間に伴って格納する。それに加えて、所与のオブジェクトに対する使用属性を、オブジェクトの指紋をキーとして使用することによって、属性データベース308から検索してもよい。
事実判定モジュール302は、属性データベース308内の属性を分析して、クライアント104によるオブジェクトの一般的な使用を説明する事実を確立する。オブジェクトに関する一連の事実を確立するため、事実判定モジュール302は属性データベース308から、オブジェクトと関連付けられた一連の使用属性を識別する。例えば、事実判定モジュール302は、所与のオブジェクトの指紋と関連付けて格納された一連の使用属性に関して、属性データベース308に問い合わせてもよい。
事実判定モジュール302は、オブジェクトと関連付けられた識別された一連の使用属性を分析して、そのオブジェクトに対する最も一般的な属性値を識別する。使用属性は複数のクライアント104から受信されているので、最も一般的な属性値は、セキュリティサーバ102と通信しているクライアントによる、関連付けられたオブジェクトの一般的な使用を表す。これらの最も一般的な属性値は、オブジェクトの使用に関する「事実」と呼ばれる。したがって、事実判定モジュール302は、オブジェクトの使用に関する一連の事実を判定する。
一連の事実を識別するため、事実判定モジュール302はオブジェクトのタイプを判定する。次に、事実判定モジュール302は、そのオブジェクトタイプと関連付けられた様々な属性を列挙する。例えば、上述したように、ファイルオブジェクトは、ファイルの名称、クライアント104におけるファイルの場所を説明するファイルパス、ファイルと関連付けられたURL又はドメイン、ファイルの作成者、及びファイルにアクセスしているプロセスの識別子を含む、一連の属性を有してもよい。事実判定モジュール302は、オブジェクトに関する各使用属性に対して最も一般的な値を、例えばクライアントにおけるファイルの最も一般的な場所を判定する。
事実判定モジュール302は、様々な技術の1つ以上を使用して、属性の最も一般的な値を判定してもよい。一実施形態では、事実判定モジュール302は、一連の属性それぞれに関して最も頻出する値(例えば、上位5つ)を識別する。事実判定モジュール302は、属性に対する値の発生頻度を説明するヒストグラムを作成することによって、この分析を行ってもよい。例えば、事実判定モジュール302は、オブジェクトに関する上位5つの最も高頻度の名称、ファイルと関連付けられた上位5つの最も高頻度のファイルパス、ファイルと関連付けられた上位5つの最も高頻度のURL又はドメインなどを識別してもよい。
事実判定モジュール302は、新しい使用属性がクライアント104から受信されると、時間に伴ってオブジェクトに関する一連の事実を更新する。一実施形態では、オブジェクトに関する一連の事実は周期的に更新される。例えば、事実判定モジュール302は、毎日、毎週、毎月、又は2箇月毎に、一連の事実を更新してもよい。このように一連の事実を更新することによって、オブジェクトと関連付けられた一連の事実が最新のものであることが担保され、クライアント104によってオブジェクトが現在どのように使用されているかが反映される。
事実判定モジュール302は、判定された使用事実を事実データベース310に格納する。属性データベース308と同様に、事実データベース310の一実施形態は、オブジェクトの指紋と関連付けて事実を格納する。したがって、所与のオブジェクトに対する一連の使用事実は、オブジェクトの指紋をキーとして使用して、事実データベース310に問い合わせることによって判定されてもよい。
評価モジュール304は、オブジェクトの使用を評価して、使用が疑わしいものであるか否かを判定する。一実施形態では、評価モジュール304は、クライアントによって使用されているオブジェクトを識別する指紋、及びクライアントにおいてオブジェクトがどのように使用されているかを説明する使用属性を含む、クエリをクライアント104から受信する。例えば、オブジェクトに関する一連の属性は、ファイル名称値「1256.scu」、オブジェクトがクライアント104のごみ箱内に位置することを示すファイルパス値、関連付けられたURL値「mypayloadserver.cn」、ファイルがINTERNET EXPLORERのダウンロードから作成されたことの指示、及びACROBAT READERがファイルにアクセスするプロセスであることの指示を含んでもよい。
クエリの受信に応答して、評価モジュール304は、オブジェクトの一連の属性を分析して、クライアントによるオブジェクトの使用が疑わしいものであるか否かを判定する。この分析の一部として、評価モジュール304は事実データベース310にアクセスして、識別されたオブジェクトと関連付けられた一連の使用事実を識別する。上述の例を継続すると、評価モジュール304は、オブジェクトが一般に「tftp.exe」であり、共通のファイルパス「C:\Windows(登録商標)\System32」を有すると、一連の事実が示していることを判定してもよい。
評価モジュール304は、識別された一連の使用事実を一連の使用属性と比較して、クライアント104から受信した使用属性と事実データベース310から検索した一連の事実との間にばらつきがある場合に、その量を判定する。この比較は、各属性の値をそれに対応する事実の値と比較することによって行われてもよい。例えば、評価モジュール304は、ファイルの名称「1256.scu」が、対応する事実によって示される上位5つのファイル名称のリストに出てくるか否かを判定してもよい。名称が名称のリストに出てこない場合、名称の属性はそれに対応する名称の事実に合致するものと言われる。評価モジュール304は、オブジェクトの使用属性それぞれに対して同様の判定を行う。したがって、これらの比較は、一連の使用属性のうちどれだけのものが、事実データベース310によって維持されている、オブジェクトに関する対応する事実と合致するかを示す。
評価モジュール304は、比較に基づいて、オブジェクトの使用を疑わしいものと分類してもよい。一実施形態では、評価モジュール304は、閾値数の使用属性がオブジェクトに関する対応する使用事実と合致しない場合に、オブジェクトの使用を疑わしいものとして分類する。評価モジュール304が、閾値数の使用属性がオブジェクトに関する対応する使用事実と合致すると判定した場合、評価モジュール304は、オブジェクトの使用を疑わしくないものとして分類する。このように、オブジェクトの属性をそのオブジェクトと関連付けられた事実と比較することによって、評価モジュール304は、オブジェクトがクライアント104によって疑わしい形で使用されているか否かを判定する。
閾値は、属性の数に基づいて(例えば、少なくとも3つの属性が合致しない場合は疑わしい)、属性の合致率に基づいて(例えば、属性の少なくとも30%が合致しない場合は疑わしい)、又は別の技術に基づいて確立されてもよい。一実施形態では、評価モジュール304は異なる使用属性に対して異なる重みを割り当てるので、いくつかの属性は、閾値が満たされるか否かに多かれ少なかれ影響する。評価モジュール304の他の実施形態は、オブジェクトの使用が疑わしいか否かを判定するのに異なる技術を使用する。
報告モジュール306は、評価モジュール304が行った評価の結果をクライアント104に報告する。報告モジュール306は、クライアント104からのクエリに対する応答を系統立て、その応答を、クライアントに送信するために相互作用モジュール300に提供する。一実施形態では、応答は、評価モジュール304が識別されたオブジェクトの使用を疑わしいもの又は疑わしくないもののどちらとして分類したかを示す。次に、クライアント104のセキュリティモジュール108は、応答の分類に基づいてセキュリティアクションを行ってもよい。報告モジュール306が、セキュリティモジュール108が行うセキュリティアクションを指定してもよく、又はセキュリティモジュール108が適切なセキュリティアクションを決定してもよい。別の実施形態では、報告モジュール306は、事実データベース310からのオブジェクトに関する事実を応答に含め、評価モジュール304が行った評価の結果を省略してもよい。次に、クライアント104のセキュリティモジュール108は、クライアントにおけるオブジェクトの使用属性を考慮して事実を評価し、疑わしいもの又は疑わしくないものとして使用の局所的分類及び適切なセキュリティアクションを行ってもよい。
更に、報告モジュール306は、評価モジュール304が行った評価の結果に基づいて、他のアクションを行ってもよい。例えば、報告モジュール306は、評価に基づいてオブジェクトの評判を変更してもよい。合法的であると信頼されたオブジェクトが、複数のクライアント104に亘る疑わしい形で頻繁に使用される場合、報告モジュール306は、オブジェクトがもはや信頼されないものであることを示すようにその評判を下げてもよい。結果として、クライアント104のセキュリティモジュール108は、より精密な審査をオブジェクトに与え、したがってそのオブジェクトを使用するマルウェアの検出を改善してもよい。
図4は、オブジェクトの疑わしい使用を識別するのにセキュリティサーバ102の一実施形態によって行われるステップを示すフローチャートである。他の実施形態は、異なるかつ/又は追加のステップを行うことができる。更に、他の実施形態は異なる順序でステップを行うことができる。更に、ステップの一部又は全てをセキュリティサーバ102以外の実体によって行うことができる。
一実施形態では、セキュリティサーバ102は、オブジェクトに関するクライアント104からのクエリを受信する(402)。クエリは、ファイルの名称、クライアント104におけるファイルの場所を説明するファイルパス、ファイルと関連付けられたURL又はドメイン、ファイルの作成者、及びファイルにアクセスしているプロセスの識別子など、オブジェクトの使用属性を含む。セキュリティサーバ102は、オブジェクトと関連付けられた一連の事実を識別する(404)。一連の事実は、オブジェクトの一般的な使用と一致する使用属性を説明する。セキュリティサーバ102は、オブジェクトと関連付けられた一連の事実及びそれに対応する使用属性に基づいて、オブジェクトの使用が疑わしいものであるか否かを判定する(406)。セキュリティサーバ102は、判定に基づいてクライアント104に報告を提供する(408)。
上述の説明は、特定の実施形態の操作を例示するために含まれるものであり、本発明の範囲を限定することを意味しない。本発明の範囲は以下の特許請求の範囲によってのみ限定されるべきである。上述の考察から、本発明の趣旨及び範囲に依然として包含されるであろう多くの変形例が、当業者には明白となるであろう。

Claims (20)

  1. オブジェクトの疑わしい使用を識別するコンピュータ実装方法であって、
    オブジェクトに関するクライアントデバイスからのクエリを受信するステップであって、前記クエリが、前記オブジェクトの識別子と、それに関連付けられた、前記クライアントデバイス上における前記オブジェクトの使用について説明する一連の使用属性とを含む、ステップと、
    前記識別されたオブジェクトと関連付けられた一連の使用事実を識別するステップであって、前記一連の使用事実が、複数のクライアントデバイス上における前記オブジェクトの一般的な使用について説明する、ステップと、
    コンピュータによって、前記オブジェクトと関連付けられた前記一連の使用事実、及び前記クエリに含まれる前記一連の使用属性に基づいて、前記クライアントデバイス上における前記オブジェクトの使用が疑わしいものであるか否かを判定するステップと、
    前記判定に基づいて前記クライアントデバイスに対して報告を提供するステップと、を含む方法。
  2. 前記オブジェクトが、前記クライアントデバイス上に格納されたファイルであり、前記クライアントデバイス上で実行するセキュリティモジュールによって悪意がないものとして信頼される、請求項1に記載のコンピュータ実装方法。
  3. 複数の異なるタイプのオブジェクトが存在し、前記識別するステップが、異なるタイプのオブジェクトに対する異なる一連の使用属性を識別する、請求項1に記載のコンピュータ実装方法。
  4. 前記オブジェクトのオブジェクトタイプがファイルオブジェクトであり、前記一連の使用事実を識別することが、前記ファイルの名称、前記クライアントデバイスにおける前記ファイルの場所を説明するファイルパス、前記ファイルと関連付けられたユニフォームリソースロケータ(URL)、前記ファイルの作成者、及び前記ファイルにアクセスしているプロセスの識別子のうち少なくとも1つを識別することを含む、請求項3に記載のコンピュータ実装方法。
  5. 前記複数のクライアントデバイス上における前記オブジェクトの使用について説明する、前記オブジェクトと関連付けられた使用属性を含む報告を、前記複数のクライアントデバイスから受信するステップと、
    前記複数のクライアントデバイスに亘る共通の使用属性を識別するため、前記使用属性を分析するステップと、
    前記複数のクライアントデバイスに亘る前記共通の使用属性に基づいて、前記オブジェクトと関連付けられた前記一連の使用事実を確立するステップと、を更に含む、請求項1に記載のコンピュータ実装方法。
  6. 前記オブジェクトの使用が疑わしいものであるか否かを判定するステップが、
    前記オブジェクトと関連付けられた前記一連の使用事実を、前記クエリに含まれる前記一連の使用属性と比較するステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実と合致しない前記一連の使用属性からの閾値数の使用属性に応答して、前記オブジェクトの使用を疑わしいものとして分類するステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実と合致する前記一連の使用属性からの前記閾値数の使用属性に応答して、前記オブジェクトの使用を疑わしくないものとして分類するステップと、を含む、請求項1に記載のコンピュータ実装方法。
  7. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記オブジェクトの使用が疑わしいものであるという判定に応答して、前記クライアントデバイスが行うセキュリティアクションを指定するステップを含む、請求項1に記載のコンピュータ実装方法。
  8. 前記セキュリティアクションが、前記オブジェクトの使用を阻止すること、前記オブジェクトの使用が疑わしいものであるという警告を前記クライアントデバイスのユーザに提供すること、及び前記オブジェクトの使用を隔離することのうち少なくとも1つを含む、請求項1に記載のコンピュータ実装方法。
  9. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記判定に基づいて、疑わしいもの又は疑わしくないものとしての前記オブジェクトの使用の分類を提供するステップを含む、請求項1に記載のコンピュータ実装方法。
  10. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記オブジェクトと関連付けられた前記一連の使用事実を前記クライアントデバイスに提供するステップを含み、
    前記一連の使用事実に基づいて、前記オブジェクトの使用が疑わしいものであるか否かを前記クライアントデバイスが判定する、請求項1に記載のコンピュータ実装方法。
  11. 前記複数のクライアントデバイス上における前記オブジェクトの使用について説明する、前記オブジェクトと関連付けられた使用属性を含む報告を、前記複数のクライアントデバイスから受信するステップと、
    前記報告に含まれる前記使用属性に基づいて、時間に伴って前記オブジェクトと関連付けられた前記一連の使用事実を更新するステップと、を更に含む、請求項1に記載のコンピュータ実装方法。
  12. オブジェクトの疑わしい使用を識別するための実行可能なコードを含む非一時的コンピュータ可読記憶媒体を含む、コンピュータプログラム製品であって、前記コードが実行されると、
    オブジェクトに関するクライアントデバイスからのクエリを受信するステップであって、前記クエリが、前記オブジェクトの識別子と、それに関連付けられた、前記クライアントデバイス上における前記オブジェクトの使用について説明する一連の使用属性とを含む、ステップと、
    前記識別されたオブジェクトと関連付けられた一連の使用事実を識別するステップであって、前記一連の使用事実が、複数のクライアントデバイス上における前記オブジェクトの一般的な使用について説明する、ステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実、及び前記クエリに含まれる前記一連の使用属性に基づいて、前記クライアントデバイス上における前記オブジェクトの使用が疑わしいものであるか否かを判定するステップと、
    前記判定に基づいて前記クライアントデバイスに対して報告を提供するステップと、を含むステップを行う、コンピュータプログラム製品。
  13. 前記オブジェクトが、前記クライアントデバイス上に格納されたファイルであり、前記クライアントデバイス上で実行するセキュリティモジュールによって悪意がないものとして信頼される、請求項12に記載のコンピュータプログラム製品。
  14. 前記オブジェクトの使用が疑わしいものであるか否かを判定するステップが、
    前記オブジェクトと関連付けられた前記一連の使用事実を、前記クエリに含まれる前記一連の使用属性と比較するステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実と合致しない前記一連の使用属性からの閾値数の使用属性に応答して、前記オブジェクトの使用を疑わしいものとして分類するステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実と合致する前記一連の使用属性からの前記閾値数の使用属性に応答して、前記オブジェクトの使用を疑わしくないものとして分類するステップと、を含む、請求項12に記載のコンピュータプログラム製品。
  15. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記判定に基づいて、疑わしいもの又は疑わしくないものとしての前記オブジェクトの使用の分類を提供するステップを含む、請求項12に記載のコンピュータプログラム製品。
  16. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記オブジェクトと関連付けられた前記一連の使用事実を前記クライアントデバイスに提供するステップを含み、
    前記一連の使用事実に基づいて、前記オブジェクトの使用が疑わしいものであるか否かを前記クライアントデバイスが判定する、請求項13に記載のコンピュータプログラム製品。
  17. オブジェクトの疑わしい使用を識別するためのコンピュータシステムであって、
    プロセッサと、
    実行可能なコードを含むコンピュータ可読記憶媒体であって、前記コードが前記プロセッサによって実行されると、
    オブジェクトに関するクライアントデバイスからのクエリを受信するステップであって、前記クエリが、前記オブジェクトの識別子と、それに関連付けられた、前記クライアントデバイス上における前記オブジェクトの使用について説明する一連の使用属性とを含む、ステップと、
    前記識別されたオブジェクトと関連付けられた一連の使用事実を識別するステップであって、前記一連の使用事実が、複数のクライアントデバイス上における前記オブジェクトの一般的な使用について説明する、ステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実、及び前記クエリに含まれる前記一連の使用属性に基づいて、前記クライアントデバイス上における前記オブジェクトの使用が疑わしいものであるか否かを判定するステップと、
    前記判定に基づいて前記クライアントデバイスに対して報告を提供するステップと、を含むステップを行う、コンピュータ可読記憶媒体と、を備える、コンピュータシステム。
  18. 前記オブジェクトの使用が疑わしいものであるか否かを判定するステップが、
    前記オブジェクトと関連付けられた前記一連の使用事実を、前記クエリに含まれる前記一連の使用属性と比較するステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実と合致しない前記一連の使用属性からの閾値数の使用属性に応答して、前記オブジェクトの使用を疑わしいものとして分類するステップと、
    前記オブジェクトと関連付けられた前記一連の使用事実と合致する前記一連の使用属性からの前記閾値数の使用属性に応答して、前記オブジェクトの使用を疑わしくないものとして分類するステップと、を含む、請求項17に記載のコンピュータシステム。
  19. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記判定に基づいて、疑わしいもの又は疑わしくないものとしての前記オブジェクトの使用の分類を提供するステップを含む、請求項17に記載のコンピュータシステム。
  20. 前記クライアントデバイスに対して前記報告を提供するステップが、
    前記オブジェクトと関連付けられた前記一連の使用事実を前記クライアントデバイスに提供するステップを含み、
    前記一連の使用事実に基づいて、前記オブジェクトの使用が疑わしいものであるか否かを前記クライアントデバイスが判定する、請求項17に記載のコンピュータシステム。
JP2016525379A 2013-07-11 2014-07-01 合法的オブジェクトの誤用の識別 Pending JP2016525750A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/940,106 2013-07-11
US13/940,106 US9075989B2 (en) 2013-07-11 2013-07-11 Identifying misuse of legitimate objects
PCT/US2014/045136 WO2015006110A1 (en) 2013-07-11 2014-07-01 Identifying misuse of legitimate objects

Publications (1)

Publication Number Publication Date
JP2016525750A true JP2016525750A (ja) 2016-08-25

Family

ID=52278258

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016525379A Pending JP2016525750A (ja) 2013-07-11 2014-07-01 合法的オブジェクトの誤用の識別

Country Status (5)

Country Link
US (2) US9075989B2 (ja)
EP (1) EP3019995B1 (ja)
JP (1) JP2016525750A (ja)
CA (1) CA2917230C (ja)
WO (1) WO2015006110A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
US11055942B2 (en) 2017-08-01 2021-07-06 The Chamberlain Group, Inc. System and method for facilitating access to a secured area
CA3071616A1 (en) 2017-08-01 2019-02-07 The Chamberlain Group, Inc. System for facilitating access to a secured area

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9104871B2 (en) 2006-04-06 2015-08-11 Juniper Networks, Inc. Malware detection system and method for mobile platforms
US9367680B2 (en) * 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8108933B2 (en) * 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
WO2012023657A1 (ko) 2010-08-16 2012-02-23 주식회사 이세정보 가상 머신을 이용한 네트워크 기반 유해 프로그램 검출 방법 및 그 시스템
US8677487B2 (en) 2011-10-18 2014-03-18 Mcafee, Inc. System and method for detecting a malicious command and control channel
US8584235B2 (en) 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9407443B2 (en) * 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices

Also Published As

Publication number Publication date
US20150281268A1 (en) 2015-10-01
EP3019995A1 (en) 2016-05-18
US9075989B2 (en) 2015-07-07
US20150020197A1 (en) 2015-01-15
CA2917230A1 (en) 2015-01-15
WO2015006110A1 (en) 2015-01-15
CA2917230C (en) 2018-03-13
EP3019995A4 (en) 2016-12-14
EP3019995B1 (en) 2018-09-05
US9276947B2 (en) 2016-03-01

Similar Documents

Publication Publication Date Title
US10530789B2 (en) Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US10972493B2 (en) Automatically grouping malware based on artifacts
AU2018217323B2 (en) Methods and systems for identifying potential enterprise software threats based on visual and non-visual data
US11068588B2 (en) Detecting irregularities on a device
US10200389B2 (en) Malware analysis platform for threat intelligence made actionable
US10200390B2 (en) Automatically determining whether malware samples are similar
EP2946331B1 (en) Classifying samples using clustering
US8850570B1 (en) Filter-based identification of malicious websites
US11036855B2 (en) Detecting frame injection through web page analysis
CN109074454B (zh) 基于赝象对恶意软件自动分组
US11636208B2 (en) Generating models for performing inline malware detection
US11374946B2 (en) Inline malware detection
Continella et al. Prometheus: Analyzing WebInject-based information stealers
CN116860489A (zh) 用于安全威胁的威胁风险评分的***和方法
US8516100B1 (en) Method and apparatus for detecting system message misrepresentation using a keyword analysis
US9276947B2 (en) Identifying misuse of legitimate objects
WO2021015941A1 (en) Inline malware detection
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
US20230344838A1 (en) Detecting microsoft .net malware using machine learning on .net structure