JP6030566B2 - 不正アプリケーション検知システム及び、方法 - Google Patents
不正アプリケーション検知システム及び、方法 Download PDFInfo
- Publication number
- JP6030566B2 JP6030566B2 JP2013543037A JP2013543037A JP6030566B2 JP 6030566 B2 JP6030566 B2 JP 6030566B2 JP 2013543037 A JP2013543037 A JP 2013543037A JP 2013543037 A JP2013543037 A JP 2013543037A JP 6030566 B2 JP6030566 B2 JP 6030566B2
- Authority
- JP
- Japan
- Prior art keywords
- application
- fraud detection
- processing unit
- terminal device
- feature value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 179
- 238000000034 method Methods 0.000 title claims description 27
- 238000012545 processing Methods 0.000 claims description 90
- 238000009434 installation Methods 0.000 claims description 73
- 230000005540 biological transmission Effects 0.000 claims description 31
- 238000004364 calculation method Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 8
- 230000001960 triggered effect Effects 0.000 claims description 5
- 241000700605 Viruses Species 0.000 description 21
- 238000010586 diagram Methods 0.000 description 10
- 238000012806 monitoring device Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Description
本発明は、端末装置にインストールしたアプリケーションの不正動作性を検知するシステム及び方法に関し、不正検知サーバ装置と組み合わせた検知技術に係る。
近年、スマートフォンに代表される携帯型端末装置の高性能化が進み、パソコンと同様に様々なアプリケーションがインストールされるようになっている。一方で、携帯型端末装置で動作するアプリケーションが不正な動作を行うコンピュータウイルスや、マルウェアの存在が問題となっており、不正動作を行うアプリケーションの検知が重要な課題である。
パソコン等で動作するコンピュータウイルスの検知ソフトウェアにおいては、ウイルス検出ソフトをコンピュータ上で動作させて、不正なアプリケーションがインストールされていないか、不審な挙動が認められないかを検出する方法が一般的である。
しかし、携帯型の端末装置では、ハードウェア資源に限りがあるため、パソコン等とは異なる手法が提案されてきた。
しかし、携帯型の端末装置では、ハードウェア資源に限りがあるため、パソコン等とは異なる手法が提案されてきた。
例えば、特許文献1には、ダウンロード前にユーザ携帯電話からコンテンツサーバに接続し、コンテンツサーバからウイルスチェックサーバにコンテンツを送ってウイルスチェックを行う技術が開示されている。
特許文献2には、監視装置によりネットワークに接続された端末装置のソフトウェアの状態を監視するシステムが開示されている。本システムの監視装置は、脆弱性の原因となるファイルやマルウェア感染時に生成されるファイルの特徴情報などを含んで定義されたソフトウェアの特徴情報を格納する第1DBを有し、また、端末装置は自ら有するファイルの特徴情報を逐次取得して保持する第2DBを有する。監視装置は、ネットワークを介して検証要求と共に、上記第 1DBに格納された特徴情報を端末装置へ送信する。端末装置では、第2DBを検索して上記特徴情報に関連するファイルの有無を検証し、検証結果を監視装置へ送信する。監視装置では受信した検証結果に基づいて、端末装置の脆弱性又はマルウェア感染状況を判断し、アクセス制御を実施し、被害の拡大を防止する。
特許文献3の技術は、メールサーバからクライアント端末に送信されたメールと同一のメールを保存するメール保存部を設けて、ウイルス定義ファイルが最新化された後に、メール保存部に保存されているメールに潜んでいるウイルスを検知する技術を開示している。
特許文献4には、一度ウイルスチェックを実施したファイルに対して、その時に使用したウイルスチェック手段およびウイルス定義ファイルの情報を添付し、次回のウイルスチェック時に同じウイルスチェック手段およびウイルス定義ファイルを使用しているか否か判断して、ウイルスチェックの実行が必要か否かを決定する技術が開示されている。
上記特許文献1に記載の技術では、ダウンロード時にウイルスチェックサーバでウイルスチェックを行うため、ダウンロードまでに時間がかかる問題と、チェック時に発見されないウイルスから携帯電話を保護することができない問題がある。
特許文献2に記載の技術では、監視装置から強力に端末装置を監視出来る反面、監視装置から送った特徴情報に一致するかどうかを端末装置側で検索する構成のため、極めて多数のアプリケーションが流通する現在の状況では、すべての特徴情報を端末装置に送ることは現実的でない。
特許文献3の技術は、常に最新のウイルス定義ファイルでウイルスチェックを行うことができる点で優れているが、大容量のメールや、アプリケーションをすべて保存しておくことは大容量の記憶領域を必要とし、効率的な方法とは言えない。
特許文献4の技術は、非力なコンピュータ上で高速にウイルスチェックを行える点で優位性を有するが、不特定のユーザが使用する端末装置を対象にするための技術や、端末装置上から削除した後にも、アプリケーションの不正動作性を検知するための技術を提供していない。
本発明は上記従来技術の有する問題点に鑑み、端末装置上でのアプリケーションの不正動作性を低負荷で検知すると共に、検知精度を高める技術を提供することを目的とする。特に、端末装置上で削除されたアプリケーションについても検知することのできる技術を提供する。
本発明は上記課題を解決するため、本発明は、ユーザが適宜アプリケーションをインストール可能な端末装置と、端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置とから構成される不正アプリケーション検知システムを提供する。
端末装置には、アプリケーションのインストール状態が変化したことを検出するインストール状態検出処理部と、インストール状態が変化した時に、インストールされたアプリケーション情報を、不正検知サーバ装置に通知するインストール通知処理部と、当該アプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を計算する特徴値計算処理部と、アプリケーション情報とその特徴値を、不正検知サーバ装置に通知する特徴値送信処理部と、不正検知サーバ装置から少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を受信する不正検知情報受信処理部と、不正検知情報の受信時に、端末装置上で所定の対応処理を行う不正時対応処理部とを備える。
端末装置には、アプリケーションのインストール状態が変化したことを検出するインストール状態検出処理部と、インストール状態が変化した時に、インストールされたアプリケーション情報を、不正検知サーバ装置に通知するインストール通知処理部と、当該アプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を計算する特徴値計算処理部と、アプリケーション情報とその特徴値を、不正検知サーバ装置に通知する特徴値送信処理部と、不正検知サーバ装置から少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を受信する不正検知情報受信処理部と、不正検知情報の受信時に、端末装置上で所定の対応処理を行う不正時対応処理部とを備える。
一方、不正検知サーバ装置には、端末装置のインストール通知処理部からインストールされたアプリケーション情報を受信するインストール通知受信処理部と、端末装置の特徴値送信処理部から特徴値を受信する特徴値受信処理部と、登録したアプリケーションの不正動作性を装置内で検出、又は外部から取得して検知する不正検知処理部と、特徴値と不正動作性の情報とを関連付けてアプリケーションデータベースに登録する不正検知結果記録処理部と、少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を端末装置に送信する不正検知情報送信処理部とを備える。
上記の不正検知サーバ装置において、通知されたアプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索するアプリケーション情報検索処理部と、端末装置に向けて、登録済みか否かの検索結果を通知する登録状態通知処理部とを備え、端末装置の特徴値送信処理部が、不正検知サーバ装置において当該アプリケーション情報が登録済みか否かに応じ、アプリケーション情報とその特徴値を、不正検知サーバ装置に通知する構成でもよい。
上記の不正検知サーバ装置において、不正検知結果記録部が、端末装置からのインストール通知を契機として、端末装置毎にアプリケーションのインストール状態を上記のアプリケーションデータベースに記録し、不正検知処理部において当該アプリケーションの不正動作性が検知されたときに、すでに端末装置上から当該アプリケーションが削除された後であっても、不正検知情報送信処理部が不正検知情報を送信する構成でもよい。
上記のアプリケーションデータベースが、端末毎のインストール状態を記録した端末毎アプリデータベースと、上記の特徴値と上記の不正動作性の情報とを関連づけて記録した不正動作性データベースとに分割して構成してもよい。
上記の不正検知サーバ装置に、入力された任意のアプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を計算する特徴値計算処理部を備えると共に、不正検知処理部において当該アプリケーションの不正動作性を検知し、不正検知結果記録部が、特徴値と不正動作性の情報とを関連付けてアプリケーションデータベースに登録することもできる。
本発明は、上記不正アプリケーション検知システムで用いられる端末装置のみで提供することもできる。また、不正検知サーバ装置のみで提供することもできる。
また、本発明は、ユーザが適宜アプリケーションをインストール可能な端末装置と、端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置とを用いて端末装置にインストールされた不正アプリケーションを検知する方法を提供することもできる。本方法は次のステップからなる。
・端末装置におけるアプリケーションのインストール状態が変化したことを検出するインストール状態検出ステップ
・インストール状態が変化した時に、インストールされたアプリケーション情報を、不正検知サーバ装置に通知するインストール通知ステップ
・アプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を不正検知サーバ装置に通知する特徴値送信ステップ
・特徴値と、当該アプリケーションの不正動作性とを関連付けてアプリケーションデータベースに登録する不正検知結果記録ステップ
・少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を端末装置に送信する不正検知情報送信ステップ
・不正検知情報の受信時に、端末装置上で所定の対応処理を行う不正時対応処理ステップ
を有することを特徴とする。
・端末装置におけるアプリケーションのインストール状態が変化したことを検出するインストール状態検出ステップ
・インストール状態が変化した時に、インストールされたアプリケーション情報を、不正検知サーバ装置に通知するインストール通知ステップ
・アプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を不正検知サーバ装置に通知する特徴値送信ステップ
・特徴値と、当該アプリケーションの不正動作性とを関連付けてアプリケーションデータベースに登録する不正検知結果記録ステップ
・少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を端末装置に送信する不正検知情報送信ステップ
・不正検知情報の受信時に、端末装置上で所定の対応処理を行う不正時対応処理ステップ
を有することを特徴とする。
前記インストール通知ステップに続いて、
・不正検知サーバ装置において、端末装置から通知されたアプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索するアプリケーション情報検索ステップ
・端末装置に向けて、登録済みか否かの検索結果を通知する登録状態通知ステップ
をさらに有し、特徴値送信ステップでは登録されていなかったアプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を該不正検知サーバ装置に通知するようにしてもよい。
・不正検知サーバ装置において、端末装置から通知されたアプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索するアプリケーション情報検索ステップ
・端末装置に向けて、登録済みか否かの検索結果を通知する登録状態通知ステップ
をさらに有し、特徴値送信ステップでは登録されていなかったアプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を該不正検知サーバ装置に通知するようにしてもよい。
上記の不正検知サーバ装置において、端末装置からのインストール通知を契機として、端末装置毎にアプリケーションのインストール状態を上記のアプリケーションデータベースに記録し、当該アプリケーションの不正動作性が検知されたときに、すでに端末装置上から当該アプリケーションが削除された後であっても、端末装置に不正検知情報を送信する構成でもよい。
上記の不正検知サーバ装置において、入力された任意のアプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を計算すると共に、当該アプリケーションの不正動作性を検知し、特徴値と不正動作性の情報とを関連付けてアプリケーションデータベースに登録する構成でもよい。
本発明は以上の構成をとることによって次のような効果を奏する。
すなわち、端末装置ではアプリケーションのインストール状態が変化した時だけ、特徴値の計算などの簡易な処理を行えば足りるので、端末装置における負荷を最小限にすることができる。特に、端末装置において重要な省電力化にも寄与する。
アプリケーションの不正動作性の検知は不正検知サーバ装置で集中的に行うので、常に最新のシグネチャファイルを用いることができるほか、処理能力の高いサーバ装置で不正検知を行うことで、検知精度の向上、高速な検知を実現できる。
すなわち、端末装置ではアプリケーションのインストール状態が変化した時だけ、特徴値の計算などの簡易な処理を行えば足りるので、端末装置における負荷を最小限にすることができる。特に、端末装置において重要な省電力化にも寄与する。
アプリケーションの不正動作性の検知は不正検知サーバ装置で集中的に行うので、常に最新のシグネチャファイルを用いることができるほか、処理能力の高いサーバ装置で不正検知を行うことで、検知精度の向上、高速な検知を実現できる。
端末装置におけるアプリケーションのインストール状態を不正検知サーバ装置に記録しておくことで、最新のシグネチャファイルでそのアプリケーションの不正動作性が確認された時には、仮にアプリケーションが削除された後であっても端末装置に通知し、必要な対策を行うことができる。
以下、本発明の実施形態を図面を用いて説明する。本発明は以下の実施例に限定されず請求項記載の範囲で適宜実施することができる。
図1は、本発明における不正アプリケーション検知システムの全体図である。本システムは、ユーザが適宜アプリケーションをインストール可能な端末装置(以下、端末と呼ぶ)(1)と、各端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置(以下、サーバと呼ぶ)(2)から構成される。
端末(1)とサーバ(2)はインターネットやLAN、携帯電話網などのネットワーク(3)で接続される。
図1は、本発明における不正アプリケーション検知システムの全体図である。本システムは、ユーザが適宜アプリケーションをインストール可能な端末装置(以下、端末と呼ぶ)(1)と、各端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置(以下、サーバと呼ぶ)(2)から構成される。
端末(1)とサーバ(2)はインターネットやLAN、携帯電話網などのネットワーク(3)で接続される。
端末(1)は公知のスマートフォン、携帯電話、タブレットPCなど携帯型端末装置を主に想定しているが、パソコン等でもよい。これらの機器には周知のようにネットワークとの接続手段、CPU、メモリ、液晶画面などの表示手段、キーボード・タッチパネルなどの入力手段などが備えられている。
またサーバ(2)も、一般的なパソコン、サーバ機器によって構成するのが簡便であり、これらも同様にCPU、メモリ、ハードディスク等の外部記憶手段、表示手段、入力手段が備えられている。
またサーバ(2)も、一般的なパソコン、サーバ機器によって構成するのが簡便であり、これらも同様にCPU、メモリ、ハードディスク等の外部記憶手段、表示手段、入力手段が備えられている。
端末(1)ではCPUとメモリの協働により、次の処理手段が設けられる。
まず、インストール状態検出部(10)は、端末(1)上でアプリケーションのインストール状態が変化したことを検出し、インストール通知部(11)は、インストール状態が変化した時に、ネットワーク(3)を通じてインストールされたアプリケーション情報を、サーバ(2)側に通知する。
まず、インストール状態検出部(10)は、端末(1)上でアプリケーションのインストール状態が変化したことを検出し、インストール通知部(11)は、インストール状態が変化した時に、ネットワーク(3)を通じてインストールされたアプリケーション情報を、サーバ(2)側に通知する。
特徴値計算処理部(12)では、インストールされたアプリケーションファイル、又はそのアプリケーションのパッケージを構成する要素ファイルに基づく所定の特徴値を計算する。本実施例では特徴値としてハッシュ値などを用いることができる。
計算された特徴値は、特徴値送信部(13)からネットワーク(3)を通じてサーバ(2)側に通知する。
計算された特徴値は、特徴値送信部(13)からネットワーク(3)を通じてサーバ(2)側に通知する。
さらに、サーバ(2)でアプリケーションの不正動作性が検知された場合に不正検知情報を受信する不正検知情報受信部(14)と、その不正検知情報の受信時に、端末装置上で所定の対応処理を行う不正時対応部(15)と備えている。
一方、サーバ(2)にはCPUとメモリの協働により、次の処理手段が設けられる。
すなわち、インストール通知受信部(20)では、端末のインストール通知部(11)からインストールされたアプリケーション情報を受信する。アプリケーション情報検索部(21)は、通知された該アプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索する。登録状態通知部(22)から端末(1)に向けて、登録済みか否かの検索結果を通知する。
すなわち、インストール通知受信部(20)では、端末のインストール通知部(11)からインストールされたアプリケーション情報を受信する。アプリケーション情報検索部(21)は、通知された該アプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索する。登録状態通知部(22)から端末(1)に向けて、登録済みか否かの検索結果を通知する。
特徴値受信部(23)は、端末(1)の特徴値送信部(13)から特徴値を受信する。さらに、登録したアプリケーションの不正動作性を装置内で検出、又は外部から取得して検知する不正検知部(24)と、特徴値と不正動作性の情報とを関連付けてアプリケーションデータベース(28)に登録する不正検知結果記録部(25)と、不正検知情報を端末(1)に送信する不正検知情報送信部(26)と備える。
さらに、別実施例としてサーバ(2)に特徴値計算部(27)を備えてもよい。
さらに、別実施例としてサーバ(2)に特徴値計算部(27)を備えてもよい。
図2は本発明の不正アプリケーション検知方法のフローチャートである。このフローチャートを用いて本発明の具体的な実施例を説明する。
不正アプリケーションの検知は、まず端末(1)側でアプリケーションのインストール状態を検出したことを契機に動作が開始する。(インストール状態検出ステップ:S1)
不正アプリケーションの検知は、まず端末(1)側でアプリケーションのインストール状態を検出したことを契機に動作が開始する。(インストール状態検出ステップ:S1)
インストール状態とは、アプリケーションのインストール、削除、バージョンの更新、試用版から正規版への変更など、端末におけるアプリケーションの様々な状態を指す。インストール状態検出部(10)の処理は、常時バックグラウンドで動作させてもよいが、処理負荷を軽減するために、インストール状態の変更時に発生するイベントを契機としてインストール状態を検出することが望ましい。
アプリケーションがインストールされた場合など、インストール状態が検出されると、インストール通知部(11)からインストール通知受信部(20)に対してインストール通知(S2)が行われる。
本発明は、サーバ(2)側でアプリケーション情報が登録されているか否かに関わらず特徴値を送信してもよいが、端末装置における処理、通信量の軽減を図るために、サーバ(2)におけるアプリケーション情報の登録状態を事前に検索することが好ましい。
そのため、サーバ(2)上では、アプリケーション情報検索部(21)が、通知されたアプリケーションに係る情報が登録済みか否か、アプリケーションデータベース(28)を検索する。(アプリケーション情報検索ステップ:S3)
そして、登録状態通知部(22)から、端末(1)に向けて登録状態を通知(S4)する。端末(1)側では、登録状態に応じて処理が異なる。
そのため、サーバ(2)上では、アプリケーション情報検索部(21)が、通知されたアプリケーションに係る情報が登録済みか否か、アプリケーションデータベース(28)を検索する。(アプリケーション情報検索ステップ:S3)
そして、登録状態通知部(22)から、端末(1)に向けて登録状態を通知(S4)する。端末(1)側では、登録状態に応じて処理が異なる。
すなわち、サーバ(2)上で登録されているか(S5)に応じて、登録されていないアプリケーションに関しては、予め特徴値計算部(12)で計算した特徴値をサーバに送信(S6)し、登録済みのアプリケーションに関しては送信しない。
このように未登録の特徴値があったときだけ特徴値送信部(13)から特徴値受信部(23)に特徴値を送信することにより、処理の高速化、通信量の軽減に寄与する。
このように未登録の特徴値があったときだけ特徴値送信部(13)から特徴値受信部(23)に特徴値を送信することにより、処理の高速化、通信量の軽減に寄与する。
特徴値が送られたアプリケーションについてはアプリケーション情報と共に、アプリケーションデータベース(28)に記録される。
このとき、不正検知部(24)によって不正動作性に関する情報が得られた場合には、不正検知結果記録部(25)が特徴値と共にアプリケーションデータベース(28)に記録する。(不正検知結果記録ステップ:S8)
このとき、不正検知部(24)によって不正動作性に関する情報が得られた場合には、不正検知結果記録部(25)が特徴値と共にアプリケーションデータベース(28)に記録する。(不正検知結果記録ステップ:S8)
ここで不正検知部(24)は公知のウイルス、マルウェア等の検出方法を任意に利用することができ、不正検知方法に関する説明は省略する。不正検知部(24)自体がアプリケーションの不正動作性を検知してもよいし、別に設けられた不正なアプリケーションの情報データベースから情報を取得する構成でもよい。
不正検知部(24)による検知は、一定の周期で行ってもよいし、新しいアプリケーションが登録される毎に行ってもよく、そのたびに最新のシグネチャファイルに更新する。
不正検知部(24)による検知は、一定の周期で行ってもよいし、新しいアプリケーションが登録される毎に行ってもよく、そのたびに最新のシグネチャファイルに更新する。
上記不正動作性に関する情報は、不正動作性が認められた場合に限らず、不正が認められない情報を含んでもよい。また、十分に確認できない場合に、不完全情報として記録してもよい。
さらに、不正検知部(24)による検知がすぐに行われない場合には、特徴値を受信した直後はとりあえず不正動作性未検知として登録し、後に検知が行われた時にアプリケーションデータベース(28)を更新する構成でもよい。
さらに、不正検知部(24)による検知がすぐに行われない場合には、特徴値を受信した直後はとりあえず不正動作性未検知として登録し、後に検知が行われた時にアプリケーションデータベース(28)を更新する構成でもよい。
不正検知結果に基づき、不正検知情報送信部(26)は不正検知情報受信部(14)に向けて当該アプリケーションに不正動作性が認められるかどうかを送信する。不正動作性が認められた場合のみ送信してもよいし、不正動作性の有無を送信してもよい。(不正検知情報送信ステップ:S9)
不正検知情報受信部(14)がアプリケーションの不正動作性を受信した場合、不正時対応部(15)が不正時対応処理(S10)を行う。
不正時対応処理としては、ユーザに当該アプリケーションの削除を促す画面表示や、自動的な削除処理などが挙げられる。
また、不正動作性が認められなかった場合にも、アプリケーションが安全である旨の表示を行うなどの対応処理を行っても良い。
不正時対応処理としては、ユーザに当該アプリケーションの削除を促す画面表示や、自動的な削除処理などが挙げられる。
また、不正動作性が認められなかった場合にも、アプリケーションが安全である旨の表示を行うなどの対応処理を行っても良い。
本発明の構成は以上の通りであるが、さらに詳細な処理方法をシーケンス図を用いて説明する。本実施例では端末装置としてAndroid(登録商標)を使用したスマートフォン等の端末を用い、アプリケーションのパッケージ構造も同OSに従った例として説明する。
図3はサーバ(2)においてアプリケーションが未登録の場合のシーケンス図である。
図3はサーバ(2)においてアプリケーションが未登録の場合のシーケンス図である。
ユーザ(30)がアプリをインストール(S30)すると、端末(1)はapk(Androidアプリケーションパッケージ)の情報がアプリケーションデータベース(28)に存在するかを問い合わせる。アプリケーションが未登録の場合、Noを返す。これは本発明のインストール通知ステップ(S2)から登録状態通知ステップ(S4)に該当する。
apk情報が登録されていないので、特徴値送信部(13)は、apk情報をサーバ(2)に送信する。ここでapk情報としては、apkに含まれるファイルのハッシュ値、例えばハッシュ関数としてSHA1を用いたハッシュ値を用いることができる。その他、ファイル名や、バージョンなどを含めることもできる。
ハッシュ関数を用いた特徴値の計算方法は公知であり、特徴値計算部(12)により送信前のいずれかのタイミングで適宜行われる。
ハッシュ関数を用いた特徴値の計算方法は公知であり、特徴値計算部(12)により送信前のいずれかのタイミングで適宜行われる。
本実施例では、apk情報のアップロード(S31)と共に、apkに含まれる部品要素(dnaと表記)に関する特徴値を送信(S32)する。dnaはapk内に複数含まれているため、検査対象とするdnaの数だけ送信は繰り返される。dnaに係る特徴値としては、dnaの名前(name)、種類(dna_type)、ハッシュ値(filehash)、ハッシュの種類(hash_type)を送信する。
検査対象としては、不正動作性に影響の強いdnaを予め定義しておき、必要最小限なdnaだけを検査することが端末装置の負荷の軽減の観点から好ましい。
本処理は、本発明の特徴値送信ステップ(S6)及び不正検知結果記録ステップ(s7)に該当する。
検査対象としては、不正動作性に影響の強いdnaを予め定義しておき、必要最小限なdnaだけを検査することが端末装置の負荷の軽減の観点から好ましい。
本処理は、本発明の特徴値送信ステップ(S6)及び不正検知結果記録ステップ(s7)に該当する。
次に、端末インストール情報の追加(S33)処理を行う。すなわち、端末の識別番号(device id)とapkのハッシュ値をアプリケーションデータベース(28)に登録する。本処理はこの時点で行っても良いし、上記インストール通知ステップ(S2)と同時に行ってもよい。
本発明ではアプリケーションデータベース(28)に端末毎のアプリケーションのインストール状態を格納することを1つの特徴としている。これにより、サーバ(2)側で各端末(1)のアプリケーションのインストール履歴を管理し、後から不正動作性が確認された場合に、その履歴に従って、端末に必要な情報提供を行うことができる。この点については後述する。
また、本実施例ではアプリケーションデータベースを1つのデータベースとして説明しているが、端末毎のインストール状態を記録した端末毎アプリデータベースと、特徴値と不正動作性の情報とを関連づけて記録した不正動作性データベースとを分割して構成してもよい。
この場合、不正動作性データベースの管理主体をセキュリティ専門会社に委ね、端末毎アプリデータベースのみを会社や学校等の組織で管理することもできる。
この場合、不正動作性データベースの管理主体をセキュリティ専門会社に委ね、端末毎アプリデータベースのみを会社や学校等の組織で管理することもできる。
最後に、本実施例では端末(1)側からapkが不正か否かを照会(S34)し、それに対して不正検知情報送信部(26)が回答(S35)する。これは不正検知情報送信ステップ(S9)に該当する。
不正アプリの場合は、警告表示を行い、アンインストールを促す画面をユーザ(30)に対して表示する処理を行う。これは不正時対応処理(S10)に該当する。
不正アプリの場合は、警告表示を行い、アンインストールを促す画面をユーザ(30)に対して表示する処理を行う。これは不正時対応処理(S10)に該当する。
次に、図4はアプリケーションが登録済みの場合のシーケンス図である。
図3の場合と同様に、apk情報がサーバ上に存在するかを照会した時、アプリケーションデータベース(28)にapk情報が記録されている場合はYesを返す。上記のように、apk情報が登録されている場合には、dnaに係る情報が紐付いて登録されているため、この一覧を要求(S40)する。
図3の場合と同様に、apk情報がサーバ上に存在するかを照会した時、アプリケーションデータベース(28)にapk情報が記録されている場合はYesを返す。上記のように、apk情報が登録されている場合には、dnaに係る情報が紐付いて登録されているため、この一覧を要求(S40)する。
登録状態通知部(22)からは、アプリケーションデータベース(28)に記録されたdnaの特徴値の一覧を返す(S41)。上記で格納した特徴値のうち、例えばfilehash、hash_type、dna_typeを提供する。
このうち、登録されていない特徴値があった場合、特徴値送信部(13)から不足分のdnaに係る特徴値を送信(S42)し、サーバ(2)ではアプリケーションデータベース(28)に記録する。
以後の処理は図3と同様であるので説明は省略する。
以後の処理は図3と同様であるので説明は省略する。
図5は、アプリケーションを端末側で削除した時のシーケンス図である。ユーザがアプリをアンインストール(S50)したとき、インストール状態検出部(10)がこれを検出し、インストール通知部(11)からインストール情報の更新処理(S51)を行う。インストール情報としては、端末の識別番号(device id)、アプリのハッシュ値(hash)に加えて、アンインストールされた旨の情報(uninstall)が含まれる。
サーバ(2)ではアプリケーションデータベース(28)が更新される。
サーバ(2)ではアプリケーションデータベース(28)が更新される。
このように本発明では端末上でアプリケーションが削除された後でも、過去にインストールされ、その後アンインストールされた旨の情報がサーバ(2)に記録されている。不正な動作を行うアプリケーションは、削除された場合であってもOSや他のアプリケーションの改ざんによって不正な動作を続けることが多いため、削除されたアプリケーションの情報であっても重要である。
このインストール履歴を利用する例として、図6には、検知結果が更新された時にシーケンス図を示す。
このインストール履歴を利用する例として、図6には、検知結果が更新された時にシーケンス図を示す。
まず本システムの管理者(60)が、最新のシグネチャによって不正動作性が確認された新しい不正アプリをアプリケーションデータベース(28)に登録(S60)する。あるいは、本発明の不正検知ステップ(S7)において、アプリケーションの不正動作性が検知され、アプリケーションデータベース(28)に登録した場合でもよい。
この時、不正検知情報送信部(26)は、アプリケーションデータベースの上記インストール履歴に照会し、インストールされた記録がある端末(1)に対して、不正検知情報を送信する。端末(1)では上記と同様に不正時対応部(15)によって処理される。
この時、不正検知情報送信部(26)は、アプリケーションデータベースの上記インストール履歴に照会し、インストールされた記録がある端末(1)に対して、不正検知情報を送信する。端末(1)では上記と同様に不正時対応部(15)によって処理される。
不正検知情報送信部(26)は、現在のインストール状態によって通知する不正検知情報を変化させてもよい。例えば、アンインストール後にも不正動作性を示すアプリケーションの場合には、不正検知情報を送信する一方で、アンインストールすると問題がないアプリケーションの場合には不正検知情報を送信しないこともできる。
また、各端末のアプリケーションをすべて記録しているので、アプリケーションの組み合わせによって不正検知情報を変化させてもよい。例えば、アプリAとアプリBがインストールされている場合のみ不正動作性を示す場合には、両アプリがインストールされた端末(1)のみに不正検知情報を送信する構成でもよい。
図示したシーケンス図の処理は以上に説明した通りである。最後に、各処理ステップにおける実施例の詳細をいくつか挙げる。
まず、特徴値送信ステップ(S6)において、最初にサーバ(2)にアプリケーション情報を登録する場合には、特徴値だけでなくアプリケーション自体をサーバ(2)にアップロードすることもできる。サーバ(2)はこのアップロードされたアプリケーションを対象に不正検知処理(S7)を行うことができる。
端末(1)からアプリケーション自体を送信せず、その入手先のURL等をサーバ(2)に通知し、サーバ(2)が該URLからダウンロードして取得する構成でもよい。
まず、特徴値送信ステップ(S6)において、最初にサーバ(2)にアプリケーション情報を登録する場合には、特徴値だけでなくアプリケーション自体をサーバ(2)にアップロードすることもできる。サーバ(2)はこのアップロードされたアプリケーションを対象に不正検知処理(S7)を行うことができる。
端末(1)からアプリケーション自体を送信せず、その入手先のURL等をサーバ(2)に通知し、サーバ(2)が該URLからダウンロードして取得する構成でもよい。
図3においてapkが不正か否かを問い合わせる処理(S34)は、図中の契機の他、端末(1)の起動時や、アプリケーションのアンインストール時、スマートフォン・携帯電話端末において通信圏外から通信圏内に入った時、などの所定の契機で繰り返し行うことも検知の精度向上の点で好適である。
本発明に係る特徴値は上記のハッシュ値に限定されない。
まずハッシュ関数としては上記SHA1に限らず、ハッシュの種類はSHA1, SHA256, MD5など任意の関数を用いることができる。本システム用に定義したハッシュ関数でもよいし、ハッシュをとる対象に応じて種類を変化させてもよい。
まずハッシュ関数としては上記SHA1に限らず、ハッシュの種類はSHA1, SHA256, MD5など任意の関数を用いることができる。本システム用に定義したハッシュ関数でもよいし、ハッシュをとる対象に応じて種類を変化させてもよい。
ハッシュ値を計算する対象としては、アプリケーションファイル、又は当該アプリケーションのパッケージを構成する要素ファイルである。
好適な例としては、androidのapkパッケージに含まれるdexファイル(プログラムコード)、manifest(アプリ構成のXMLファイルで、パッケージ名などが含まれる)、CERT(署名ファイル)、elf(Linux(登録商標)の実行コード)が挙げられる。
apkに別のapkが内包されている場合には、内包されているapkのハッシュ値を用いても良い。
好適な例としては、androidのapkパッケージに含まれるdexファイル(プログラムコード)、manifest(アプリ構成のXMLファイルで、パッケージ名などが含まれる)、CERT(署名ファイル)、elf(Linux(登録商標)の実行コード)が挙げられる。
apkに別のapkが内包されている場合には、内包されているapkのハッシュ値を用いても良い。
上記でファイルそのもののハッシュ値に限らず、ファイルに含まれる一部分のハッシュ値を計算してもよい。すなわち、上記dexファイル内の各クラスコードのハッシュ値を用いても良い。この場合、dexファイルから1つのハッシュ値をとるのではなく、dexファイルに含まれる各クラスコードについてそれぞれ別のハッシュ値を計算することになる。
特徴値にはハッシュ値に限らず、アプリケーションファイルやそのパッケージを構成する要素ファイルに基づくメタデータや、文字列を用いても良い。
例えば、dexファイル内のクラス名一覧を特徴値とし、その部分一致をとる構成でもよい。
例えば、dexファイル内のクラス名一覧を特徴値とし、その部分一致をとる構成でもよい。
上記実施例では端末(1)側にのみ特徴値計算部(12)を設けているが、本発明ではサーバ(2)にも特徴値計算部(27)を備えることができる。例えば、サーバ(2)において端末(1)でのインストールの有無に関わらずアプリケーションの不正動作性を検知してデータベースに記録しておく場合には、アプリケーションのダウンロード、特徴値の計算、不正検知を単独で行い、アプリケーションデータベース(28)に蓄積する。
1 端末装置
10 インストール状態検出部
11 インストール通知部
12 特徴値計算部
13 特徴値送信部
14 不正検知情報受信部
15 不正時対応部
2 不正検知サーバ
20 インストール通知受信部
21 アプリケーション情報検索部
22 登録状態通知部
23 特徴値受信部
24 不正検知部
25 不正検知結果記録部
26 不正検知情報送信部
27 特徴値計算部
28 アプリケーションデータベース
3 ネットワーク
10 インストール状態検出部
11 インストール通知部
12 特徴値計算部
13 特徴値送信部
14 不正検知情報受信部
15 不正時対応部
2 不正検知サーバ
20 インストール通知受信部
21 アプリケーション情報検索部
22 登録状態通知部
23 特徴値受信部
24 不正検知部
25 不正検知結果記録部
26 不正検知情報送信部
27 特徴値計算部
28 アプリケーションデータベース
3 ネットワーク
Claims (9)
- ユーザが適宜アプリケーションをインストール可能な端末装置と、該端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置とから構成される不正アプリケーション検知システムであって、
該端末装置には、
アプリケーションのインストール状態が変化したことを検出するインストール状態検出処理部と、
インストール状態が変化した時に、該インストールされたアプリケーション情報を、該不正検知サーバ装置に通知するインストール通知処理部と、
当該アプリケーションファイル、又は当該アプリケーションのパッケージを構成する少なくとも不正動作性に影響を与える要素ファイルに基づく所定の特徴値を計算する特徴値計算処理部と、
該アプリケーション情報とその特徴値を、該不正検知サーバ装置に通知する特徴値送信処理部と、
該不正検知サーバ装置から少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を受信する不正検知情報受信処理部と、
該不正検知情報の受信時に、該端末装置上で所定の対応処理を行う不正時対応処理部と
を備えると共に、
該不正検知サーバ装置には、
端末装置の該インストール通知処理部からインストールされたアプリケーション情報を受信するインストール通知受信処理部と、
端末装置の該特徴値送信処理部から該特徴値を受信する特徴値受信処理部と、
登録したアプリケーションの不正動作性を少なくとも該特徴値を参照して装置内で検出する不正検知処理部と、
該特徴値と該不正動作性の情報とを関連付けてアプリケーションデータベースに登録する不正検知結果記録処理部と、
少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を該端末装置に送信する不正検知情報送信処理部と
を備える構成において、
前記不正検知サーバ装置に、
通知された該アプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索するアプリケーション情報検索処理部と、
該端末装置に向けて、登録済みか否かの該検索結果を通知する登録状態通知処理部と
を備え、
前記端末装置の特徴値送信処理部が、
該不正検知サーバ装置において当該アプリケーション情報が登録済みか否かに応じ、該アプリケーション情報とその特徴値を、該不正検知サーバ装置に通知する
ことを特徴とする不正アプリケーション検知システム。 - 前記不正検知サーバ装置において、
前記不正検知結果記録処理部が、前記端末装置からのインストール通知を契機として、端末装置毎にアプリケーションのインストール状態を前記アプリケーションデータベースに記録し、
前記不正検知処理部において当該アプリケーションの不正動作性が検知されたときに、
すでに端末装置上から当該アプリケーションが削除された後であっても、前記不正検知情報送信処理部が不正検知情報を送信する
請求項1に記載の不正アプリケーション検知システム。 - 前記アプリケーションデータベースが、
端末毎のインストール状態を記録した端末毎アプリデータベースと、
前記特徴値と前記不正動作性の情報とを関連づけて記録した不正動作性データベースと
に分割して構成される
請求項1又は2に記載の不正アプリケーション検知システム。 - 前記不正検知サーバ装置に、
入力された任意のアプリケーションファイル、又は当該アプリケーションのパッケージを構成する少なくとも不正動作性に影響を与える要素ファイルに基づく所定の特徴値を計算する特徴値計算処理部を備えると共に、
前記不正検知処理部において少なくとも該特徴値を参照して当該アプリケーションの不正動作性を検知し、
前記不正検知結果記録処理部が、該特徴値と該不正動作性の情報とを関連付けてアプリケーションデータベースに登録する
請求項1ないし3のいずれかに記載の不正アプリケーション検知システム。 - ユーザが適宜アプリケーションをインストール可能な端末装置と、該端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置とから構成される不正アプリケーション検知システムで用いられる端末装置であって、
アプリケーションのインストール状態が変化したことを検出するインストール状態検出処理部と、
インストール状態が変化した時に、該インストールされたアプリケーション情報を、該不正検知サーバ装置に通知するインストール通知処理部と、
当該アプリケーションファイル、又は当該アプリケーションのパッケージを構成する少なくとも不正動作性に影響を与える要素ファイルに基づく所定の特徴値を計算する特徴値計算処理部と、
該アプリケーション情報とその特徴値を、該不正検知サーバ装置に通知する特徴値送信処理部と、
該不正検知サーバ装置から少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を受信する不正検知情報受信処理部と、
該不正検知情報の受信時に、該端末装置上で所定の対応処理を行う不正時対応処理部とを備える構成において、
該特徴値送信処理部が、
該不正検知サーバ装置の登録状態通知処理部から通知された当該アプリケーション情報が登録済みか否かの検索結果に応じ、該アプリケーション情報とその特徴値を、該不正検知サーバ装置に通知する
ことを特徴とする端末装置。 - ユーザが適宜アプリケーションをインストール可能な端末装置と、該端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置とから構成される不正アプリケーション検知システムで用いられる不正検知サーバ装置であって、
該端末装置のインストール通知処理部からインストールされたアプリケーション情報を受信するインストール通知受信処理部と、
端末装置の特徴値送信処理部から特徴値を受信する特徴値受信処理部と、
登録したアプリケーションの不正動作性を少なくとも該特徴値を参照して装置内で検出する不正検知処理部と、
該特徴値と該不正動作性の情報とを関連付けてアプリケーションデータベースに登録する不正検知結果記録処理部と、
少なくとも当該アプリケーションの不正動作性が検知された場合に不正検知情報を該端末装置に送信する不正検知情報送信処理部と、
通知された該アプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索するアプリケーション情報検索処理部と、
該端末装置に向けて、登録済みか否かの該検索結果を通知する登録状態通知処理部と
を備えたことを特徴とする不正検知サーバ装置。 - ユーザが適宜アプリケーションをインストール可能な端末装置と、該端末装置にインストールされたアプリケーションの不正動作性を検知する不正検知サーバ装置とを用いて端末装置にインストールされた不正アプリケーションを検知する方法であって、
該端末装置のインストール状態検出処理部が、端末装置におけるアプリケーションのインストール状態が変化したことを検出するインストール状態検出ステップ、
該端末装置のインストール通知処理部が、インストール状態が変化した時に、該インストールされたアプリケーション情報を、該不正検知サーバ装置に通知するインストール通知ステップ、
該不正検知サーバ装置のアプリケーション情報検索処理部が、前記端末装置から通知されたアプリケーション情報についてアプリケーションデータベースに登録済みか否かを検索するアプリケーション情報検索ステップ、
該不正検知サーバ装置の登録状態通知処理部が、該端末装置に向けて、登録済みか否かの該検索結果を通知する登録状態通知ステップ、
該端末装置の特徴値送信処理部が、不正検知サーバ装置の登録されていなかったアプリケーションファイル、又は当該アプリケーションのパッケージを構成する少なくとも不正動作性に影響を与える要素ファイルに基づく所定の特徴値を該不正検知サーバ装置に通知する特徴値送信ステップ、
該不正検知サーバ装置の不正検知結果記録処理部が、該特徴値と、当該アプリケーションの不正動作性とを関連付けてアプリケーションデータベースに登録する不正検知結果記録ステップ、
該不正検知サーバ装置の不正検知情報送信処理部が、少なくとも当該アプリケーションの不正動作性が少なくとも該特徴値を参照して検知された場合に不正検知情報を該端末装置に送信する不正検知情報送信ステップ、
該端末装置の不正時対応処理部が、該不正検知情報の受信時に、該端末装置上で所定の対応処理を行う不正時対応処理ステップ、
を有する
ことを特徴とする不正アプリケーション検知方法。 - 前記不正検知サーバ装置において、
不正検知結果記録部が、前記端末装置からのインストール通知を契機として、端末装置毎にアプリケーションのインストール状態を前記アプリケーションデータベースに記録し、
当該アプリケーションの不正動作性が検知されたときに、すでに端末装置上から当該アプリケーションが削除された後であっても、不正検知情報送信処理部が該端末装置に不正検知情報を送信する
請求項7に記載の不正アプリケーション検知方法。 - 前記不正検知サーバ装置において、特徴値計算処理部が、入力された任意のアプリケーションファイル、又は当該アプリケーションのパッケージを構成する少なくとも不正動作性に影響を与える要素ファイルに基づく所定の特徴値を計算すると共に、不正検知処理部が、当該アプリケーションの不正動作性を少なくとも該特徴値を参照して検知し、該特徴値と該不正動作性の情報とを関連付けてアプリケーションデータベースに登録する
請求項7又は8に記載の不正アプリケーション検知方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011246193 | 2011-11-10 | ||
| JP2011246193 | 2011-11-10 | ||
| PCT/JP2012/079084 WO2013069758A1 (ja) | 2011-11-10 | 2012-11-09 | 不正アプリケーション検知システム及び、方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2013069758A1 JPWO2013069758A1 (ja) | 2015-04-02 |
| JP6030566B2 true JP6030566B2 (ja) | 2016-11-24 |
Family
ID=48290126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013543037A Active JP6030566B2 (ja) | 2011-11-10 | 2012-11-09 | 不正アプリケーション検知システム及び、方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9071639B2 (ja) |
| EP (1) | EP2779015A4 (ja) |
| JP (1) | JP6030566B2 (ja) |
| KR (1) | KR20140093699A (ja) |
| CN (1) | CN103917981A (ja) |
| HK (1) | HK1199519A1 (ja) |
| SG (1) | SG11201402078XA (ja) |
| WO (1) | WO2013069758A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104335220B (zh) * | 2012-03-30 | 2018-04-20 | 爱迪德技术有限公司 | 用于防止和检测安全威胁的方法和*** |
| CA2946695C (en) * | 2014-04-25 | 2021-05-04 | Securebrain Corporation | Fraud detection network system and fraud detection method |
| CN106203104A (zh) * | 2016-06-27 | 2016-12-07 | 北京金山安全软件有限公司 | 一种恶意代码查杀方法、装置及设备 |
| US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
| US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
| US10367833B2 (en) | 2017-03-07 | 2019-07-30 | International Business Machines Corporation | Detection of forbidden software through analysis of GUI components |
| US10628591B2 (en) * | 2017-11-20 | 2020-04-21 | Forcepoint Llc | Method for fast and efficient discovery of data assets |
| US11295026B2 (en) | 2018-11-20 | 2022-04-05 | Forcepoint, LLC | Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone |
| CN114553514A (zh) * | 2022-02-16 | 2022-05-27 | 中国建设银行股份有限公司 | 移动应用的静态注入风险检测方法及装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002197006A (ja) | 2000-12-25 | 2002-07-12 | Nec Corp | 携帯電話用ウィルスチェックシステムおよび方法 |
| JP2006040196A (ja) * | 2004-07-30 | 2006-02-09 | Hitachi Information & Control Systems Inc | ソフトウェア監視システムおよび監視方法 |
| JP2007018182A (ja) | 2005-07-06 | 2007-01-25 | Mitsubishi Electric Corp | ウイルス検査装置及びウイルス検査システム |
| JP2007200102A (ja) | 2006-01-27 | 2007-08-09 | Nec Corp | 不正コードおよび不正データのチェックシステム、プログラムおよび方法 |
| US8713680B2 (en) * | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
| US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
| US8667583B2 (en) * | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US8347386B2 (en) * | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
| GB2471716A (en) * | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
| US8549641B2 (en) * | 2009-09-03 | 2013-10-01 | Palo Alto Research Center Incorporated | Pattern-based application classification |
| JP2011210058A (ja) * | 2010-03-30 | 2011-10-20 | Fujitsu Ltd | 情報処理装置およびコンピュータプログラム |
| EP2737742A4 (en) * | 2011-07-27 | 2015-01-28 | Seven Networks Inc | AUTOMATIC PRODUCTION AND DISTRIBUTION OF GUIDELINES INFORMATION ON MOBILE MOBILE TRANSPORT IN A WIRELESS NETWORK |
-
2012
- 2012-11-09 KR KR1020147014840A patent/KR20140093699A/ko not_active Application Discontinuation
- 2012-11-09 US US14/356,825 patent/US9071639B2/en active Active
- 2012-11-09 SG SG11201402078XA patent/SG11201402078XA/en unknown
- 2012-11-09 EP EP12847492.1A patent/EP2779015A4/en not_active Withdrawn
- 2012-11-09 WO PCT/JP2012/079084 patent/WO2013069758A1/ja active Application Filing
- 2012-11-09 CN CN201280055264.6A patent/CN103917981A/zh active Pending
- 2012-11-09 JP JP2013543037A patent/JP6030566B2/ja active Active
-
2014
- 2014-12-29 HK HK14113047.0A patent/HK1199519A1/xx unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013069758A1 (ja) | 2013-05-16 |
| US20140298468A1 (en) | 2014-10-02 |
| EP2779015A4 (en) | 2015-09-16 |
| SG11201402078XA (en) | 2014-09-26 |
| KR20140093699A (ko) | 2014-07-28 |
| JPWO2013069758A1 (ja) | 2015-04-02 |
| US9071639B2 (en) | 2015-06-30 |
| HK1199519A1 (en) | 2015-07-03 |
| CN103917981A (zh) | 2014-07-09 |
| EP2779015A1 (en) | 2014-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6030566B2 (ja) | 不正アプリケーション検知システム及び、方法 | |
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US9824217B2 (en) | Runtime detection of self-replicating malware | |
| US9596257B2 (en) | Detection and prevention of installation of malicious mobile applications | |
| EP3706025B1 (en) | Detecting a malicious file infection via sandboxing | |
| CN111488571B (zh) | 配置用于恶意件测试的沙箱环境 | |
| US8726387B2 (en) | Detecting a trojan horse | |
| US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
| US9467463B2 (en) | System and method for assessing vulnerability of a mobile device | |
| US10027704B2 (en) | Malicious program finding and killing device, method and server based on cloud security | |
| US10176327B2 (en) | Method and device for preventing application in an operating system from being uninstalled | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| CN102882875A (zh) | 主动防御方法及装置 | |
| CN106302531B (zh) | 安全防护方法、装置及终端设备 | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| CN113836542B (zh) | 可信白名单匹配方法、***和装置 | |
| KR20140059967A (ko) | 해킹 프로세스 감지 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20140418 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140623 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150930 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20151130 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151225 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160524 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160824 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20160826 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20160921 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161018 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161020 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6030566 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |