JP6353498B2 - ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法 - Google Patents

ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法 Download PDF

Info

Publication number
JP6353498B2
JP6353498B2 JP2016166894A JP2016166894A JP6353498B2 JP 6353498 B2 JP6353498 B2 JP 6353498B2 JP 2016166894 A JP2016166894 A JP 2016166894A JP 2016166894 A JP2016166894 A JP 2016166894A JP 6353498 B2 JP6353498 B2 JP 6353498B2
Authority
JP
Japan
Prior art keywords
antivirus
malicious
file
record
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016166894A
Other languages
English (en)
Other versions
JP2017123143A (ja
Inventor
ブイ. プロクディン セルゲイ
ブイ. プロクディン セルゲイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2017123143A publication Critical patent/JP2017123143A/ja
Application granted granted Critical
Publication of JP6353498B2 publication Critical patent/JP6353498B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本開示は、米国特許法35U.S.C.(a)〜(d)に規定される、2015年9月30日に出願された(参照により本明細書に組み込まれる)ロシア出願第2015141552号の優先権の利益を主張する。
本発明は、概してコンピュータセキュリティの分野に関し、より詳細には、ユーザの計算機器上の悪意あるファイルの検出に使用されるアンチウィルス記録セットを生成するシステム及び方法に関する。
パーソナルコンピュータ、ラップトップ、タブレット、スマートフォンなどのユーザーのコンピューティングデバイスのための様々なソフトウェアアプリケーションの数は、著しい速度で増加している。多くのアプリケーションの中には、インターネットワーム、キーロガー、コンピュータウィルスなど、ユーザ機器やユーザのデータに害を及ぼす可能性がある一連の悪意あるプログラムがありうる。ユーザ機器上の悪意あるプログラムを検出し、その動作能力を遮断する(例えば、隔離したり、ユーザ機器から削除するなど)ために設計されたアンチウィルスソフトウェア等といった、コンピュータセキュリティを提供するための多くの様々な技術が開発されている。
アンチウィルスソフトウェアは、オペレーティングシステム(OS)の悪意あるソフトウェア、悪意あるプロセス、その他の悪意あるオブジェクトを検出するための種々の方法、例えばURI(Universal Resource Identifier:file://***.exe)等を使用する。最も一般的なマルウェアの検出方法は次に示される通りである。
<署名分析>
分析されるプログラムの特定のコードセグメントと、既知のコード又は署名との対応関係を悪意あるプログラムの署名データベースから見つける技術。
<ヒューリスティック分析>
解析対象プログラムの作業をエミュレートし、API(Application Programming Interface)関数呼び出しログを生成し、生成したAPI関数呼び出しログのデータと悪意あるエミュレーションデータベース内のデータとの対応関係を見つける技術。
<事前分析>
解析対象のプログラムのシステムで起動されたAPI関数呼び出しを傍受し、API関数呼び出しログを生成し、生成したログのデータと悪意あるAPI関数呼び出しのデータベース内のデータとの対応関係を見つける技術。
動作において、前述の方法の各々は、悪意あるオブジェクトの検出にデータを使用する必要があり、例えば、署名分析の場合、そのようなデータは署名であってもよく、ヒューリスティック分析の場合、そのようなデータはヒューリステックルールである。それにもかかわらず、例えば、単一の署名が使用される場合、アンチウィルスソフトウェアは、その構造又は引き起こされた損害と同様に、悪意あるオブジェクトアレイ全体を検出する可能性がありうる。したがって、ユーザのデータ又はコンピュータに損害を与える可能性のある悪意あるオブジェクトの数が増加すると、それに伴って悪意あるオブジェクトを検出するために使用されるデータの量も増加することとなる。多くの場合、当該データは、アンチウィルスソフトウェアのコンポーネントであるアンチウィルスライブラリの一部としてユーザのコンピュータに保存される。したがって、検出に使用されるデータ量を増やすと、ユーザ機器のハードドライブ上の使用可能なスペースが減少する可能性がありうる。
悪意あるオブジェクトの検出に使用されるデータによって占有されるハードドライブ上のスペースを最適化(削減)することを目的とした既知のアプローチはあるが、悪意あるオブジェクトの検出に使用されるデータを選択しなければならないという問題を解決することはできない。換言すると、悪意あるオブジェクトの検出に使用されるこのようなデータセットの生成は、記憶のために大きなメモリ量を必要としないが、代わりにユーザ機器の信頼性の高い保護を提供せず、又はこの問題を十分に効果的に解決することができない。したがって、悪意あるオブジェクトの検出に使用されるデータの選択の問題のより有効性の高い解決策が必要とされている。
ユーザの計算機器上での悪意あるファイルの検出に使用されるアンチウィルス記録セットを生成するためのシステム及び方法を開示する。すなわち、本発明によれば、アンチウィルス記録セットを生成する方法であって、保持ステップと、第1生成ステップと、計算ステップと、第2生成ステップと、送信ステップとを備え、前記保持ステップでは、サーバが悪意あるファイルのデータベースを保持し、第1生成ステップでは、前記サーバが前記悪意あるファイルごとに少なくとも1つのアンチウィルス記録を生成し、前記計算ステップでは、前記サーバが前記各アンチウィルス記録を使用して検出された異なる悪意あるファイル数を判定することによって、前記各アンチウィルス記録の有効性を計算し、第2生成ステップは、前記サーバが最も有効性の高いアンチウィルス記録セットを生成するステップであって、選択ステップと、判定ステップと、追加ステップとを備え、前記選択ステップでは、前記悪意あるファイルの検出に使用される最も有効性の高いアンチウィルス記録を選択し、より有効性の高いアンチウィルス記録とはより多くの悪意あるファイルを検出するものであり、前記判定ステップでは、前記選択されたアンチウィルス記録が既に前記セットにあるかどうかを判定し、ない場合には、前記追加ステップにおいて、前記セットに前記アンチウィルス記録を追加し、前記送信ステップでは、前記サーバが、最も有効性の高い前記アンチウィルス記録セットをクライアント・デバイスに送信する、方法が提供される。
好ましくは、前記アンチウィルス記録は、以下の1又は複数を含む。
・悪意あるファイルの署名
・前記悪意あるファイルのエミュレーション中に前記悪意あるファイルを検出するために使用されるヒューリスティックルール
・事前検出の際に前記悪意あるファイルの検出に使用されるヒューリスティックルール
・前記悪意あるファイルの局所性鋭敏型ハッシュ
好ましくは、前記計算ステップは、前記サーバ上で動作するアンチウィルスアプリケーションが、前記各アンチウィルス記録を使用して検出した悪意のあるファイル数に関する統計情報を収集するステップを含む。
好ましくは、前記アンチウィルス記録の有効性は、前記アンチウィルス記録を使用して検出された異なる悪意あるファイル数の関数として計算される。
好ましくは、前記アンチウィルス記録の有効性は、前記アンチウィルス記録によって検出された異なる悪意あるファイル数と、前記アンチウィルス記録による誤判定数との関数として計算される。
好ましくは、前記アンチウィルス記録の有効性は、前記アンチウィルス記録によって検出された異なる悪意あるファイル数と、前記検出された悪意あるファイルそれぞれが属するカテゴリとの関数として計算される。
好ましくは、前記アンチウィルス記録の有効性は、クライアント・デバイス上の各検出された悪意あるファイルのポピュラリティ値の関数として更に計算される。
本発明の別の側面によれば、アンチウィルス記録セットを生成するシステムであって、ハードウェア・プロセッサを備えるサーバを備え、前記ハードウェア・プロセッサは、保持ステップと、第1生成ステップと、計算ステップと、第2生成ステップと、送信ステップとを実行するように構成され、前記保持ステップでは、サーバが悪意あるファイルのデータベースを保持し、第1生成ステップでは、前記サーバが前記悪意あるファイルごとに少なくとも1つのアンチウィルス記録を生成し、前記計算ステップでは、前記サーバが前記各アンチウィルス記録を使用して検出された異なる悪意あるファイル数を判定することによって、前記各アンチウィルス記録の有効性を計算し、第2生成ステップは、前記サーバが最も有効性の高いアンチウィルス記録セットを生成するステップであって、選択ステップと、判定ステップと、追加ステップとを備え、前記選択ステップでは、前記悪意あるファイルの検出に使用される最も有効性の高いアンチウィルス記録を選択し、より有効性の高いアンチウィルス記録とはより多くの悪意あるファイルを検出するものであり、前記判定ステップでは、前記選択されたアンチウィルス記録が既に前記セットにあるかどうかを判定し、ない場合には、前記追加ステップにおいて、前記セットに前記アンチウィルス記録を追加し、前記送信ステップでは、前記サーバが、最も有効性の高い前記アンチウィルス記録セットをクライアント・デバイスに送信する、システムが提供される。
本発明の別の側面によれば、コンピュータが実行可能な、アンチウィルス記録セットを生成する指示を記憶している不揮発性コンピュータ可読媒体であって、前記指示は、前記コンピュータに保持ステップと、第1生成ステップと、計算ステップと、第2生成ステップと、送信ステップとを実行させるもので、前記保持ステップでは、サーバが悪意あるファイルのデータベースを保持し、第1生成ステップでは、前記サーバが前記悪意あるファイルごとに少なくとも1つのアンチウィルス記録を生成し、前記計算ステップでは、前記サーバが前記各アンチウィルス記録を使用して検出された異なる悪意あるファイル数を判定することによって、前記各アンチウィルス記録の有効性を計算し、第2生成ステップは、前記サーバが最も有効性の高いアンチウィルス記録セットを生成するステップであって、選択ステップと、判定ステップと、追加ステップとを備え、前記選択ステップでは、前記悪意あるファイルの検出に使用される最も有効性の高いアンチウィルス記録を選択し、より有効性の高いアンチウィルス記録とはより多くの悪意あるファイルを検出するものであり、前記判定ステップでは、前記選択されたアンチウィルス記録が既に前記セットにあるかどうかを判定し、ない場合には、前記追加ステップにおいて、前記セットに前記アンチウィルス記録を追加し、前記送信ステップでは、前記サーバが、最も有効性の高い前記アンチウィルス記録セットをクライアント・デバイスに送信する、媒体が提供される。
本発明の例示的な側面に係る上述の簡略化した概要は、本発明の基本的な理解を提供するように機能するものである。この概要は、全ての企図された側面の広範な概要ではなく、全ての側面の重要な又は重要な要素を特定することも本発明の任意の又は全ての側面の範囲を描写することも意図されていない。唯一の目的は、以下の本発明のより詳細な説明の前置きとして、1つ又は複数の側面を簡略化した形で提示することである。前述の目的を達成するために、本発明の1つ又は複数の側面が記載され、これは特に特許請求の範囲において主張される特徴を含むものである。
添付の図面は、本明細書に組み込まれ、本明細書の一部を構成し、本発明の1つ又は複数の例示的な側面を示し、詳細な説明とともに、それらの基本原理及び実施形態を説明する役割を果たすものである。
ユーザ機器上の悪意あるファイルの検出に使用されるアンチウィルス記録セットを生成するための例示的なシステムの図を示す。 ユーザ機器上の悪意あるファイルの検出に使用されるアンチウィルス記録セットを生成する例示的な方法のフローチャートを示す。 システム及び方法に係る開示された側面を実施することができる汎用コンピュータ・システムの例を示す。
本発明の例示的な側面は、ユーザの計算機器上の悪意あるファイルの検出に使用されるアンチウィルス記録セットを生成するためのシステム、方法、及びコンピュータプログラム製品に関連して本明細書で説明される。当業者であれば、以下の説明は例示的なものに過ぎず、決して限定するものではないことを理解するであろう。他の側面は、本開示の利益を有する当業者には容易に示唆されるであろう。以下、添付の図面に例示されている例示的な側面の実施形態を詳細に参照する。同一の符号は、図面全体にわたって可能な範囲で使用され、以下の説明は、同じ又は同様の項目を参照するために使用される。
最初に、本発明の様々な例示的な側面を説明する際に使用される様々な用語の定義を以下に提供する。
悪意あるアプリケーションとして、インターネットワーム、キーロガー、コンピュータウィルスなど、コンピュータ又はユーザのコンピュータにおけるデータに損害を与える可能性のあるアプリケーションが含まれうる。引き起こされる損害は、盗難の目的でコンピュータに保存されているデータを含むコンピュータリソースへの不正アクセス、及びデータストレージ、計算実行等を含むリソースの違法な使用等が挙げられる。
信頼できるアプリケーションには、コンピュータ又はそのユーザに損害を与えないアプリケーションが含まれうる。信頼できるアプリケーションは、信頼できるソフトウェア製造元によって開発され、信頼できるソースからダウンロードされたアプリケーション(信頼できるサイトのデータベースにリストされているサイトなど)、又は識別子(アプリケーションファイルのMD5など)が信頼できるアプリケーションのデータベースに格納されているアプリケーション等が挙げられる。デジタル証明書などの製造元の識別子も、信頼できるアプリケーションのデータベースに格納されうる。
信頼できないアプリケーションには、信頼されていないアプリケーションだけでなく、アンチウィルスアプリケーション等で悪意あるものとしても認識されないアプリケーションも含まれうる。
悪意あるファイルには、実行可能ファイル、構成ファイル、実行中にアプリケーションによって使用されるその他のファイルなど、悪意あるアプリケーションのコンポーネントが含まれうる。
信頼できないファイルには、信頼できないアプリケーションのコンポーネントであるファイルが含まれうる。
信頼できるファイルには、信頼できるアプリケーションのコンポーネントであるファイルが含まれうる。
署名分析には、悪意あるプログラムを検出するために、プログラムコードの特定のセグメントと既知コードである署名との対応関係を悪意あるプログラムの署名データベースから見つける技術が含まれうる。この技術は、悪意あるプログラムのファイルを検出し、計算機器のRAM内の悪意あるコードを検出するものであることに留意されたい。
ヒューリスティック分析には、プログラムの実行をエミュレート(特定のハードウェア及びソフトウェアを使用して実行するために適合されたプログラムコードを実行し、他とは異なるハードウェア及びソフトウェアを使用すること)して、API関数呼び出しログを生成し、生成されたAPI関数呼び出しログのデータと悪意あるプログラムのエミュレーションデータベースにおけるデータとの対応関係を見つけて、悪意あるプログラムを検出する技術が含まれうる。
事前分析には、プログラムのオペレーティングシステムで起動されたAPI関数呼び出しを傍受し、API関数呼び出しログを生成し、生成されたログからのデータと、悪意あるプログラムのAPI関数呼び出しのデータベースにおけるデータとの対応関係を見つけて、悪意あるプログラムを検出する技術が含まれうる。
アンチウィルス記録には、悪意あるファイルを検出するためにアンチウィルスアプリケーションが必要とする情報が含まれている場合がある。これは、例えば、署名、ヒューリステックルール(ヒューリスティック分析及び事前分析など)、ファイルのチェックサム又はハッシュ(フレキシブルハッシュ又は局所性鋭敏型ハッシュ等のファイルハッシュ(軽微なファイル修正に対して不変))が挙げられる。
アンチウィルス記録の使用についての統計情報には、アンチウィルス記録を使用してアンチウィルスアプリケーションによって検出された悪意あるファイル数に関する情報、及びアンチウィルス記録の補助により検出された各ファイルの識別子(例えば、MD5、SHA−1、SHA−2等といったアルゴリズムに基づいて計算されたチェックサム、又はファイル名等の文字列)が含まれうる。統計情報収集は、悪意あるファイルを検出するためにアンチウィルス記録を使用するアンチウィルスアプリケーションによって(悪意あるファイルの検出中に)行うことができる。
アンチウィルス記録の有効性は数値となりうる。この数値が高いほど、ファイルデータベース内のファイル中にそのアンチウィルス記録を使用してアンチウィルスアプリケーションによって検出された悪意あるファイルが多いことを示している。
図1は、ユーザ機器上の悪意あるファイルの検出に使用されるアンチウィルス記録セットを生成するための例示的なシステムの図を示している。ユーザのコンピュータ100には、コンピュータ100における悪意あるファイルを検出するように構成されているアンチウィルスアプリケーション101がインストールされている。アンチウィルスアプリケーション101は、同様に、ユーザのコンピュータ100上に常駐することができるアンチウィルス記録データベース102に格納されているアンチウィルス記録を使用する。ユーザのコンピュータ100は、リモートサーバ120とネットワーク110(例えば、インターネットやローカルエリアネットワーク等)を介して接続されている。例示的な側面では、リモートサーバ120は、単一の計算機器であってもよい。別の例示的な側面では、リモートサーバ120は、本明細書に開示されるシステム及び方法の機能を実行するために分散型計算(コード実行等の全体計算量を分割し、複数の計算機器に分散させること)を実行する計算機器の集合であってもよい。
例示的な側面において、リモートサーバ120は、アンチウィルスアプリケーション121、アンチウィルス記録生成モジュール125、アンチウィルス記録セット生成モジュール126、アンチウィルス記録有効性評価モジュール127、アンチウィルス記録データベース122、ファイルデータベース123、及び統計情報データベース124を含みうる。
なお、本発明の例示的な側面において、アンチウィルスアプリケーション101とアンチウィルスアプリケーション121は、悪意あるオブジェクトと収集統計情報の検出という同じ機能(以下に示す)を実行可能であることに留意されたい。
例示的な側面では、ファイルデータベース123は、保存されるファイルが悪意あるか、信頼できるか、又は信頼できないかという情報だけでなく、悪意あるファイル、信頼できるファイル、信頼できないファイルといったファイルを記憶するように構成されている。例示的な側面では、ファイルは、信頼できる、悪意ある、又は信頼できないかどうかについての情報(表記)とともにコンピュータセキュリティの専門家によってファイルデータベース123に追加されうる。更に別の例示的な側面では、上述のファイル追加において、ファイル識別子(例えば、MD5、SHA−1、及びSHA−2の何れかのアルゴリズムに基づいて計算されたファイルのチェックサム、又はファイル名等の文字列)が、ファイルデータベース123に格納されてもよい。
例示的な側面では、アンチウィルスアプリケーション121は、悪意あるファイルを検出するように構成されている。悪意あるファイルを検出するために、アンチウィルスアプリケーション121は、アンチウィルス記録データベース122におけるアンチウィルス記録を使用し、アンチウィルス記録データベース122は、アンチウィルス記録を記憶するように構成されている。アンチウィルス記録は、署名分析、ヒューリスティック分析又は事前分析を行う過程において、アンチウィルスアプリケーション121によって使用されうる。
1つの例示的な態様では、アンチウィルス記録がフレキシブルハッシュ(局所性鋭敏型ハッシュ)を含んでいてもよい。「フレキシブルコンボリューション」としても知られているフレキシブルハッシュは、「ハッシュサム(ハッシュ)」を構成し、これは、ファイル属性セットから計算され且つファイル内の微小な変化に対して耐性がある(例えば、ファイルから計算されたハッシュサムは、属性の1つが異なる値を有するファイルから計算されたハッシュサムに一致する)。アンチウィルス記録が悪意あるファイルのフレキシブルハッシュを含む場合、アンチウィルスアプリケーション121は、悪意あるファイルを検出するために、ファイルの分析中に(ファイル属性セットから)分析されたファイルのフレキシブルハッシュを計算し、これをアンチウィルス記録におけるフレキシブルハッシュと比較する。計算されたフレキシブルハッシュとアンチウィルス記録におけるフレキシブルハッシュが一致する場合、アンチウィルスアプリケーション121は、ファイルに悪意あるものとして認識且つ分析する。例示的な側面では、アンチウィルス記録は、フレキシブルハッシュ以外の、ハッシュを計算する方法に関する情報(例えば文字の識別子等)を含みうるもので、これはファイルの分析中にアンチウィルスアプリケーション121によって使用されることとなる。悪意あるファイルの検出(フレキシブルハッシュを含むアンチウィルス記録を使用するもの)に関する上述の方法は、ユーザのコンピュータ100上に常駐されるアンチウィルスアプリケーション101によって使用されうることに留意されたい。
例示的な側面では、アンチウィルス記録生成モジュール125は、アンチウィルス記録を生成して、アンチウィルス記録データベース122に記憶するように構成されている。アンチウィルス記録生成モジュール125は、(アンチウィルス記録の補助により検出する必要がある)ファイルと、アンチウィルス記録を生成する次の何れかの方法を使用する。
例示的な側面では、アンチウィルス記録生成モジュール125は、悪意あるファイルを検出するためのアンチウィルス記録を生成する。当該記録は、指定されたファイルの署名(ファイルのバイト列)を含むもので、これにより、そのファイルがアンチウィルス記録における署名を含む場合、アンチウィルスアプリケーション121によってそのファイルは悪意あると認識される。
別の例示的な側面では、アンチウィルス記録生成モジュール125は、悪意あるファイルを検出するためのアンチウィルス記録を生成する。当該記録は、ヒューリステックルールを含み、これによりヒューリステックルールの論理に基づいてアンチウィルスアプリケーション121によって前記ファイルが悪意あるものとして認識される。これは、ファイルのヒューリスティック分析中にプログラムのエミュレートされた実行中(ファイルが実行可能であれば)に生成されるAPI関数呼び出しログに適用される。例示的な側面では、参照により本明細書に組み込まれる、公知の米国特許第9,147,073号に記載されている技術を使用して、そのようなアンチウィルス記録を生成することができる。
更に別の例示的な側面では、アンチウィルス記録生成モジュール125は、悪意あるファイルを検出するためのアンチウィルス記録を生成する。当該記録は、ヒューリステックルールを含み、これによりヒューリステックルールの論理に基づいてアンチウィルスアプリケーション121によって前記ファイルが悪意あるものとして認識される。これは、ファイルの事前分析中にプログラムのオペレーティング・システム上で開始されたAPI関数呼び出しの傍受の際に実行中に生成されるAPI関数呼び出しログに適用される。かかる技術の一例として、参照により本明細書に組み込まれる、公知の米国特許第8,566,943号に記載されている技術を使用して、そのようなアンチウィルス記録を生成することができる。
更に別の例示的な側面では、アンチウィルス記録生成モジュール125は、ファイルのフレキシブルハッシュを含む悪意あるファイルの検出のためのアンチウィルス記録を生成する。当該記録は、ファイルのフレキシブルハッシュを含み、計算されたファイルのフレキシブルハッシュがアンチウィルス記録におけるフレキシブルハッシュと一致する場合、そのファイルはアンチウィルスアプリケーション121によって悪意あるものとして認識される。
更に別の例示的な側面では、アンチウィルス記録生成モジュール125は、同じ悪意あるファイルに対するいくつかのアンチウィルス記録を生成するように構成され、これは、アンチウィルスアプリケーション121によって悪意あると認識できるようなファイルを記録するという(例えば、アンチウィルス記録を生成する上述のいくつかの方法)手法である。例示的な側面では、アンチウィルス記録生成モジュール125は、同一のファイルを検出するための異なるフレキシブルハッシュを含むアンチウィルス記録を生成することができる(かかるアンチウィルス記録は、異なる生成方法で生成されたものとする)。これらのアンチウィルス記録のそれぞれは、独自のハッシュ計算方法(たとえば、以下に例示された方法の1つ)を使用して生成される。例示的な側面では、アンチウィルス記録生成モジュール125は、公知の米国特許第8,955,120号に記載されているアンチウィルス記録生成のためのフレキシブルハッシュの計算アルゴリズムを使用してもよい。フレキシブルハッシュの計算に使用されるファイル属性セットは、異なっていてもよい。
例えば、フレキシブルハッシュを計算するために、以下のファイル属性セットが使用されうる。ファイルサイズ、ファイルイメージサイズ、ファイルセクション数、ファイルセクションのRVA(関連仮想アドレス)、エントリポイントのRVA、サブシステムのタイプ、COFF(共通オブジェクトファイルフォーマット)ヘッダ、ディレクトリテーブルオブジェクトの相互配置、ファイルセクションによるディレクトリテーブルオブジェクトの配置、ファイル生成に使用されるコンパイラのタイプ、文字の頻度特性(印刷文字を含む)と呼ばれるファイル内の文字に遭遇する頻度、ファイル行の集合、及びその数。各ファイルセクションのファイル属性セットは、以下の属性を含みうる。セクションの開始及び終了の情報エントロピー、セクションの開始及び終了の非ゼロバイトの平均数、セクションの仮想サイズ、物理セクションのサイズ。
別の例では、フレキシブルハッシュを計算するために、ファイルサイズ、ファイルイメージサイズ、ファイルセクションの数、ファイルセクションのRVA、エントリポイントのRVA、サブシステムのタイプ、COFFヘッダからのファイル特性、ファイル生成に使用されるコンパイラのタイプが使用されうる。
更に別の例では、フレキシブルハッシュを計算するために、ファイルサイズ、ファイルイメージサイズ、サブシステムのタイプ、文字の頻度特性(文字に遭遇する頻度、ファイル行の集合とその番号)が使用されうる。
更に別の例では、フレキシブルハッシュを計算するために、以下のファイル属性セットが使用されうる。ファイルサイズ、ファイルイメージサイズ、ファイルセクションの数、ファイルセクション、エントリポイントのRVA、タイプCOFFヘッダからのファイル特性、ディレクトリテーブルオブジェクトの相互配置、ファイルセクション間のディレクトリテーブルオブジェクトの配置、ファイル生成に使用されるコンパイラのタイプ、文字の頻度特性。各ファイルセクションのファイル属性セットは、以下を含みうる。セクションの開始及び終了の情報エントロピー、セクションの開始及び終了の非ゼロバイトの平均数、セクションの仮想サイズ、セクションの物理的なサイズ。
更に別の例では、フレキシブルハッシュを計算するために、ファイルサイズ、ファイルイメージサイズ、サブシステムのタイプ、COFFヘッダからのファイル特性、ファイルの生成に使用されるコンパイラのタイプ、文字の頻度特性が使用されうる。
別の例では、フレキシブルハッシュを計算するために、上述の属性の様々な他の組合せが使用されうる。
更に別の例示的な側面では、アンチウィルス記録生成モジュール125によって、コンピュータセキュリティの専門家は、上述の検出方法(例えば、署名分析、ヒューリスティック分析等)の1つを用いて(例えば、ユーザのインターフェースを介して)アンチウィルス記録を生成することができる。
例示的な側面では、アンチウィルス記録生成モジュール125は、生成されたアンチウィルス記録をアンチウィルス記録データベース122に格納する。
例示的な側面では、上述の方法のうちの1つ以上を使用して、1つ又は複数のアンチウィルス記録を生成するために、ファイルデータベース123における悪意あるファイルを使用する。これは、アンチウィルス記録生成モジュール125がアンチウィルスアプリケーション121を認識できることに基づくものである。
例示的な側面では、アンチウィルスアプリケーション121は、悪意あるファイルの検出に使用されるアンチウィルス記録の使用についての統計情報を収集するように構成される。アンチウィルス記録の使用についての統計情報は、アンチウィルス記録データベース122だけでなくファイルデータベース123を使用して収集され、具体的には、ファイルデータベース123におけるファイル中でのアンチウィルス記録データベース122におけるアンチウィルス記録を使用して検出される。アンチウィルスアプリケーション121は、アンチウィルス記録の使用時に収集された統計情報を、統計情報データベース124に送信する。アンチウィルスアプリケーション121は、アンチウィルス記録を使用することで、既知の悪意あるファイル(ファイルデータベース123における悪意あるファイル等)だけでなく、ファイルデータベース123における信頼できるファイル(その検出が「誤警報」又は「誤検出」)や信頼できないファイルをも検出しうることに留意されたい。
例示的な側面では、統計情報データベース124は、アンチウィルスアプリケーション121によって収集されたアンチウィルス記録の使用についての統計情報を保存するように構成される。
例示的な側面では、アンチウィルス記録有効性評価モジュール127は、少なくとも1つのアンチウィルス記録の有効性を判定(計算)するように構成される。当該モジュール127は、アンチウィルスアプリケーション121がアンチウィルス記録の使用についての統計情報を収集したアンチウィルス記録データベース122における各アンチウィルス記録の有効性を計算し、統計情報データベース124にアンチウィルス記録の使用に関するこの統計情報を保存する。例示的な側面では、アンチウィルス記録の有効性は、以下の式を使用して計算することができる。

ここでKは、アンチウィルス記録の有効性であり、Uは前述のアンチウィルス記録を使用してアンチウィルスアプリケーション121によって悪意あると認識されたファイル数(一例ではファイルデータベース123におけるもの)である。
更に別の例示的な側面では、アンチウィルス記録の有効性は、以下の式を使用して計算することができる。

ここで、Kはアンチウィルス記録の有効性であり、Uは前述のアンチウィルス記録を用いてアンチウィルスアプリケーション121によって悪意あると認識されたファイル数(一例ではファイルデータベース123におけるもの)であり、fは係数であってアンチウィルス記録を用いてアンチウィルスアプリケーション121によって悪意あると認識されたファイルのうち、信頼できるファイルがある場合には値0をとり、そうでない場合には値1をとる係数である。
更に別の例示的な側面では、アンチウィルス記録の有効性は、以下の式を使用して計算することができる。

ここで、Kはアンチウィルス記録の有効性であり、nはアンチウィルス記録を用いて悪意あると認識されたファイルの総数であり、a_iは(i番目ファイルに対して)例えば以下の値を取ることができる係数である。
・悪意あるファイルの場合は値「2」
・信頼できるファイルの場合は値「−1000」
・信頼できないファイルの場合は値「0.5」。
上記の式で使用されている悪意あるファイル、信頼できるファイル又は信頼できないファイルの何れかの情報は、ファイルデータベース122における、アンチウィルス記録の使用についての統計情報からのファイル識別子を使用して取得することができる。
更に別の例示的な側面では、各ファイルに加えてファイルデータベース122は、その重み付け係数p−popularity(指定のファイルが見つかったコンピュータ上のユーザ数)を格納することができる。例示的な側面では、コンピュータセキュリティの専門家が各ファイルの重み係数をファイルデータベース122に追加することができる。かかる場合、アンチウィルス記録の有効性は、次の式を使用して計算することができる。

ここで、Kは、アンチウィルス記録の有効性であり、nはアンチウィルス記録を用いて悪意あると認識されたファイルの合計数であり、p_iは、i番目のファイルのポピュラリティ値であり、a_iは、次の値(ファイルi番目の場合)を取ることができる係数である。
・悪意あるファイルの場合は値「1」
・信頼できるファイルの場合は値「−100」
・信頼できないファイルの場合は値「0」。
上述の式で使用されるファイルが悪意あるか、信頼できるか、又は信頼できないか否かの情報、及び各ファイルの係数p_iは、ファイルデータベース122においてアンチウィルス記録の使用についての統計情報からのファイル識別子によって取得されうる。
例示的な側面では、アンチウィルス記録セット生成モジュール126は、ユーザのコンピュータ100に、特にアンチウィルス記録データベース102にアンチウィルス記録セットを送信するために、アンチウィルス記録セットを生成するように構成されている。アンチウィルス記録セットを生成するために、モジュール126は、アンチウィルス記録データベース122において上記各アンチウィルス記録の有効性とともにモジュール127によって提供されるアンチウィルス記録を利用することができる。アンチウィルス記録セットを生成する目的は、ファイルデータベース123における全ての悪意あるファイルが、上記アンチウィルス記録セットを利用するアンチウィルスアプリケーション121を利用して検出することができるように、アンチウィルス記録セットを生成することである。アンチウィルス記録セットは、最小限のアンチウィルス記録から構成される。換言すると、アンチウィルス記録データベース102に格納されるため、アンチウィルスアプリケーション101が使用するアンチウィルス記録によって占有されるはずのユーザのコンピュータ100のハードドライブ上のメモリ量を減らすことができる。
例示的な側面では、アンチウィルス記録セット生成モジュール126は、アンチウィルス記録セットを以下のように生成しうる。ファイルデータベース123における悪意あるファイルに対して、アンチウィルス記録データベース122におけるアンチウィルス記録中から、最も有効性の高いアンチウィルス記録が選択されうる。かかる記録を用いて(以前にアンチウィルスアプリケーション121によって収集されたアンチウィルス記録の使用についての統計情報に基づいて)、アンチウィルスアプリケーション121は、かかるファイルを悪意あるものとして認識する。選択された記録は、アンチウィルス記録セット生成モジュール126によってアンチウィルスセットに追加される。ファイルデータベース123における次のファイルに対しても同様に、アンチウィルス記録データベース122におけるこれらのアンチウィルス記録中から最も有効性の高いアンチウィルス記録が選択されうる。かかる記録を用いて、アンチウィルスアプリケーション121は、前述のファイルを悪意あるファイルであると認識する。なお、選択されたアンチウィルス記録がすでにモジュール126によって生成されたアンチウィルス記録セットに存在する場合は、アンチウィルス記録は再度追加されない(重複を排除するため)。一方、選択したアンチウィルス記録がアンチウィルス記録セットに存在しない場合は、アンチウィルス記録がモジュール126によってアンチウィルス記録セットに追加される。アンチウィルス記録セット生成モジュール126は、ファイルデータベース123における各悪意あるファイルに対する前述のアクションを実行する。このように生成されたアンチウィルス記録は、モジュール126によってユーザのコンピュータ100に、特にアンチウィルス記録データベース102に送信される。これにより、ユーザのコンピュータ100上の悪意あるファイルを検出するためのアンチウィルスプログラム101によって送信されるアンチウィルス記録セットにおけるアンチウィルス記録をその後も使用することができる。
図2は、本発明の側面に係り、ユーザのコンピュータ上の悪意のあるファイルを検出するために使用されるアンチウィルス記録セットを生成する方法の一例を示す図である。ステップ201では、アンチウィルス記録生成モジュール125は、ファイルデータベース123から各悪意あるファイルのアンチウィルス記録セットを生成し、当該セットにおける各アンチウィルス記録は、アンチウィルス記録を生成する上記の方法の何れかを使用して生成されうる。生成されたアンチウィルス記録は、モジュール125によってアンチウィルス記録データベース122に保存される。ステップ202では、アンチウィルスアプリケーション121は、アンチウィルス記録データベース122においてアンチウィルス記録の使用についての統計情報を収集する。アンチウィルスアプリケーション121は、ファイルデータベース123からのファイル(悪意あるものだけではなく全てのファイル)中の悪意あるファイルを検出するために、アンチウィルス記録データベース122におけるアンチウィルス記録を使用する。なお、アンチウィルスアプリケーション121による悪意あるファイルの検出とは、アンチウィルスアプリケーション121が使用するアンチウィルス記録に基づいてファイルに悪意あると認識されることを意味する。アンチウィルス記録の使用について収集された統計情報は、アンチウィルスアプリケーション121によって統計情報データベース124に保存される。次に、ステップ203では、アンチウィルス記録有効性評価モジュール127は、統計情報データベース124に含まれているアンチウィルス記録の使用についての統計情報に基づいて、アンチウィルス記録データベース122における各アンチウィルス記録の有効性を計算する。計算された各アンチウィルス記録の有効性は、モジュール127によってアンチウィルス記録セット生成モジュール126に送信される。ステップ204では、ファイルデータベース123における各悪意あるファイルに対して、全てのアンチウィルス記録の中から最も有効性の高いアンチウィルス記録が選択されるように、モジュール126は、アンチウィルス記録セットを生成する。かかる記録を使用して、アンチウィルスアプリケーション121は、そのファイルは悪意あるものとして認識する。選択されたアンチウィルス記録は、アンチウィルス記録セット生成モジュール126によって前述のアンチウィルス記録セット(生成中)に追加されます。アンチウィルス記録を使用してアンチウィルスアプリケーション121によってどのファイルに悪意あるかと認識されるかに関する情報が、統計情報データベースに格納される。この情報は、アンチウィルス記録セットを生成するために、アンチウィルス記録セット生成モジュール126によって必要とされる情報である。統計情報データベースは、アンチウィルス記録を使用したアンチウィルスアプリケーション121によって各アンチウィルス記録に対して悪意あると認識された各ファイルの識別子を保存している。ファイルデータベース123における各悪意あるファイルの識別子を使用して、
アンチウィルス記録セット生成モジュール126は、アンチウィルスアプリケーション121が悪意あると認識したファイルを用いて、アンチウィルス記録データベース122における全てアンチウィルス記録を判定します。ステップ205で生成されたアンチウィルス記録セットは、アンチウィルス記録セット生成モジュール126によってユーザのコンピュータ100上に存在するアンチウィルス記録データベース102に送信される。これにより、ユーザのコンピュータ100上の悪意あるファイルを検出するためにアンチウィルスアプリケーション101によるこのセットにおけるアンチウィルス記録を後からも使用できる。
図3は、実施形態に係り本発明のシステムと方法が実装できる汎用コンピュータ・システム(パーソナル・コンピュータやサーバ等)の例を示している。例えば、コンピュータ・システム20は、保護サーバ120又はシンクライアント110の1つ又は複数に対応し得る。図示の通り、コンピュータ・システム20は、CPU21と、システムメモリ22と、CPU21と関連付けられたメモリを含む様々なシステムコンポーネントを接続するシステムバス23とを含み得る。システムバス23は、バスメモリ又は、バスメモリコントローラ、周辺バス、及びローカルバスを次々含む従来から公知のあらゆるバス構造としても実現され得、これらはどのような他のバスアーキテクチャとも通信可能である。システムメモリは、リードオンリーメモリ(ROM)24及びランダムアクセスメモリ(RAM)25を含む。基本的な入出力システム(BIOS)26は、ROM24の使用によってオペレーティング・システムをロードする際等、パーソナル・コンピュータ20の要素間の情報の伝達を担う基本的な手順を含む。
パーソナル・コンピュータ20は、データの読み書きのためのハードディスク27、取り外し可能な磁気ディスク29の読み書きのための磁気ディスクドライブ28、及びCD−ROM、DVD−ROM、その他の光学メディア等の光学ディスク31の読み書きのための光学式ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、及び光学式ドライブ30は、ハードディスクインターフェース32、磁気ディスクインターフェース33、及び光学式ドライブインターフェース34それぞれを横切るシステムバス23と接続される。ドライブ及び対応するコンピュータ情報メディアは、コンピュータ命令、データ構造体、プログラムモジュール、及びパーソナル・コンピュータ20の他のデータのストレージのための電源依存のモジュールである。
本発明は、ハードディスク27、取り外し可能な磁気ディスク29及び取り外し可能な光学ディスク31を用いるシステムの実装を提供するものだが、コンピュータに読み込み可能な形式でデータを保存できるフラッシュメモリカード、デジタルのディスク、ランダムアクセスのメモリ(RAM)等の他のタイプのコンピュータ情報メディア56を使用してもよいことに留意されたし。また、これはコントローラ55を介してシステムバス23に接続される。
コンピュータ20は、ファイルシステム36を有し、記録されたオペレーティング・システム35を保持する。また追加のプログラムアプリケーション37、他のプログラムモジュール38、及びプログラムデータ39を有する。ユーザは、入力デバイス(キーボード40、マウス42)を用いてコマンドと情報をパーソナル・コンピュータ20に入力することができる。他の入力デバイス(不図示):マイクロフォン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることもできる。そのような入力デバイスは、通常、システムバスに次々接続しているシリアルポート46を通じてコンピュータ・システム20に差し込まれるが、それらは、他の方法例えばパラレル・ポート、ゲームポート、又は一般的なシリアルバス(USB)に接続される。ディスプレイ機器のモニタ47又は他のタイプは、また、ビデオアダプタ48等のインターフェースと交差するシステムバス23に接続している。モニタ47に加えて、パーソナル・コンピュータは、スピーカー、プリンタ等の他の周辺の出力デバイス(不図示)を接続できる。
パーソナル・コンピュータ20は、1つ又は複数のリモートコンピュータ49とのネットワーク接続を用いて、ネットワーク環境で操作することができる。リモートコンピュータ(又はコンピュータ)49は、図4に示すように、パーソナル・コンピュータ20の性質として説明した上述の要素全ての大多数を有するパーソナル・コンピュータ又はサーバでもある。ルータ、ネットワークステーション、ピア接続の機器、又は他のネットワークノード等の他の機器もまた、かかるコンピュータ・ネットワークで存在し得るものである。
ネットワーク接続は、ローカルエリアコンピュータ・ネットワーク(LAN)50及びワイドエリアコンピュータ・ネットワーク(WAN)を形成することができる。そのようなネットワークは、企業のコンピュータ・ネットワーク及び社内ネットワークで利用され、それらはたいていにインターネットにアクセスすることができる。LAN又はWANネットワークにおいて、パソコン20は、ネットワークアダプタ又はネットワークインターフェース51に交差するローカルエリアネットワーク50に接続されている。ネットワークが用いられる時には、パソコン20は、通信にインターネット等のワイドエリアコンピュータ・ネットワークを実現するために、モデム54又は他のモジュールを使用することができる。内部又は外部の機器であるモデム54は、シリアルポート46によりシステムバス23と接続される。かかるネットワーク接続は、単なる一例であり、ネットワークの正確な構成を示すものではない。すなわち、技術の通信モジュールによって、あるコンピュータから他のコンピュータへの接続を確立する他の方法もあることに留意されたい。
様々な実施形態において、ハードウェア、ソフトウェア、ファームウェア、又はこれらのあらゆる組み合わせにおいて、ここで説明されたシステム及びメソッドを実施し得る。ソフトウェアにおいて実装される場合は、メソッドは不揮発性コンピュータ可読メディアの1つ又は複数の指示又はコードとして保存され得る。コンピュータ可読メディアは、データストレージを含む。あくまでも例であり限定するものではないが、そのようなコンピュータ可読メディアは、RAM、ROM、EEPROM、CD−ROM、フラッシュメモリ、若しくは他のタイプの電気、磁気、光学式の記憶媒体、又はその他のメディアであってもよい。すなわち、これらによって指示又はデータ構造体という形で、要求されたプログラムコードを運ぶか又は保存することができ、汎用コンピュータのプロセッサによってアクセスすることができる。
様々な実施形態で、本発明のシステム及びメソッドが、モジュールとして実装され得る。ここで用語「モジュール」は、実世界の機器、コンポーネント、又はハードウェアを用いて実装されたコンポーネント配置であり、例えばASIC(Application Specific Integrated Circuit)、FPGA(Field−Programmable Gate Array)等の、又は例えばモジュールの機能を実行するマイクロプロセッサシステムや指示セットによる等、ハードウェアとソフトウェアの組み合わせとして実装され得る。これらは、実行中にマイクロプロセッサシステムを特定の機器に変換する。モジュールは、ハードウェア単体により促進される一定の機能とハードウェア及びソフトウェアの組み合わせによって促進される他の機能という2つの組み合わせとして実施されてもよい。モジュールの少なくとも一部又は全部は、汎用コンピュータのプロセッサにおいて実行できる(図6において詳述したもの等)。したがって、各モジュールは様々な適当な構成で実現することができて、ここに例示した特定の実装に限られるものではない。
なお、実施形態の通常の機能のうちの全てをここで開示しているわけではない。本発明の何れの実施形態を開発する場合においてでも、開発者の具体的な目標を達成するためには多くの実施に係る特別な決定が必要であり、これらの具体的な目標は実施形態及び開発者ごとに異なることに留意されたし。そのような開発努力は、複雑で時間を要するものであるが、本発明の利益を享受し得る当業者にとってはエンジニアリングの日常であると理解されたい。
更に、本明細書で使用される用語又は表現は、あくまでも説明のためであり、限定するものではない。つまり、関連技術の熟練の知識と組み合わせて、本明細書の用語又は表現は、ここに示される教示及び指針に照らして当業者によって解釈されるべきであると留意されたし。明示的な記載がない限り、明細書又は特許請求の範囲内における任意の用語に対して、珍しい又は特別な意味を帰することは意図されていない。
本明細書で開示された様々な側面は、例示のために本明細書に言及した既知のモジュールの、現在及び将来の既知の均等物を包含する。更に、側面及び用途を示し、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることが、この開示の利益を有する当業者には明らかであろう。

Claims (21)

  1. アンチウィルス記録セットを生成する方法であって、
    保持ステップと、第1生成ステップと、計算ステップと、第2生成ステップと、送信ステップとを備え、
    前記保持ステップでは、サーバが悪意あるファイルのデータベースを保持し、
    第1生成ステップでは、前記サーバが前記悪意あるファイルごとに少なくとも1つのアンチウィルス記録を生成し、
    前記少なくとも1つのアンチウィルス記録とは、対応する前記悪意あるファイルを検出するためにアンチウィルスアプリケーションによって使用される情報を含むもので、
    前記計算ステップでは、前記サーバが前記各アンチウィルス記録を使用して検出された悪意あるファイル数及び前記アンチウィルス記録による誤判定数に基づいて、前記各アンチウィルス記録の有効性を計算し、
    第2生成ステップは、前記サーバが最も有効性の高いアンチウィルス記録セットを生成するステップであって、選択ステップと、判定ステップと、追加ステップとを備え、
    前記選択ステップでは、前記悪意あるファイルの検出に使用される最も有効性の高いアンチウィルス記録を選択し、前記最も有効性の高いアンチウィルス記録とは、前記アンチウィルス記録によって検出された悪意あるファイル数及び前記誤判定数の関数として計算されるもので、
    前記判定ステップでは、前記選択されたアンチウィルス記録が既に前記セットにあるかどうかを判定し、
    ない場合には、前記追加ステップにおいて、前記セットに前記アンチウィルス記録を追加し、
    前記送信ステップでは、前記サーバが、最も有効性の高い前記アンチウィルス記録セットをクライアント・デバイスに送信する、
    方法。
  2. 前記アンチウィルス記録は、以下の1又は複数を含む、請求項1に記載の方法。
    ・悪意あるファイルの署名
    ・前記悪意あるファイルのエミュレーション中に前記悪意あるファイルを検出するために使用されるヒューリスティックルール
    ・事前検出の際に前記悪意あるファイルの検出に使用されるヒューリスティックルール
    ・前記悪意あるファイルの局所性鋭敏型ハッシュ
  3. 前記計算ステップは、前記サーバ上で動作する前記アンチウィルスアプリケーションが、前記各アンチウィルス記録を使用して検出した悪意のあるファイル数に関する統計情報を収集するステップを含む、
    請求項1に記載の方法。
  4. 各悪意あるファイルに対する前記アンチウィルス記録は、前記悪意あるファイルのファイル属性のセットから計算された局所性鋭敏型ハッシュを含む、
    請求項1に記載の方法。
  5. 各悪意あるファイルに対する前記アンチウィルス記録は、複数の局所性鋭敏型ハッシュを含み、前記複数の局所性鋭敏型ハッシュとは、前記悪意あるファイルのファイル属性の異なるセットから計算された少なくとも2つの局所性鋭敏型ハッシュを備える、
    請求項1に記載の方法。
  6. 前記アンチウィルス記録の有効性は、前記アンチウィルス記録によって検出された悪意あるファイル数と、前記アンチウィルス記録による誤判定数と、前記検出された悪意あるファイルそれぞれが属するカテゴリとの関数として計算される、
    請求項1に記載の方法。
  7. 前記アンチウィルス記録の有効性は、各検出された悪意あるファイルのポピュラリティ値の関数として更に計算され、前記ポピュラリティ値とは、各悪意あるファイルが検出されたコンピュータ上のユーザ数に基づく重み係数である、
    請求項6に記載の方法。
  8. アンチウィルス記録セットを生成するシステムであって、
    ハードウェア・プロセッサを備えるサーバを備え、
    前記ハードウェア・プロセッサは、保持ステップと、第1生成ステップと、計算ステップと、第2生成ステップと、送信ステップとを実行するように構成され、
    前記保持ステップでは、サーバが悪意あるファイルのデータベースを保持し、
    第1生成ステップでは、前記サーバが前記悪意あるファイルごとに少なくとも1つのアンチウィルス記録を生成し、
    前記少なくとも1つのアンチウィルス記録とは、対応する前記悪意あるファイルを検出するためにアンチウィルスアプリケーションによって使用される情報を含むもので、
    前記計算ステップでは、前記サーバが前記各アンチウィルス記録を使用して検出された悪意あるファイル数及び前記アンチウィルス記録による誤判定数に基づいて、前記各アンチウィルス記録の有効性を計算し、
    第2生成ステップは、前記サーバが最も有効性の高いアンチウィルス記録セットを生成するステップであって、選択ステップと、判定ステップと、追加ステップとを備え、
    前記選択ステップでは、前記悪意あるファイルの検出に使用される最も有効性の高いアンチウィルス記録を選択し、より有効性の高いアンチウィルス記録とは、前記アンチウィルス記録によって検出された悪意あるファイル数及び前記誤判定数の関数として計算されるもので、
    前記判定ステップでは、前記選択されたアンチウィルス記録が既に前記セットにあるかどうかを判定し、
    ない場合には、前記追加ステップにおいて、前記セットに前記アンチウィルス記録を追加し、
    前記送信ステップでは、前記サーバが、最も有効性の高い前記アンチウィルス記録セットをクライアント・デバイスに送信する、
    システム。
  9. 前記アンチウィルス記録は、以下の1又は複数を含む、請求項8に記載のシステム。
    ・悪意あるファイルの署名
    ・前記悪意あるファイルのエミュレーション中に前記悪意あるファイルを検出するために使用されるヒューリスティックルール
    ・事前検出の際に前記悪意あるファイルの検出に使用されるヒューリスティックルール
    ・前記悪意あるファイルの局所性鋭敏型ハッシュ
  10. 前記計算ステップは、前記サーバ上で動作する前記アンチウィルスアプリケーションが、前記各アンチウィルス記録を使用して検出した悪意のあるファイル数に関する統計情報を収集するステップを含む、
    請求項8に記載のシステム。
  11. 各悪意あるファイルに対する前記アンチウィルス記録は、前記悪意あるファイルのファイル属性のセットから計算された局所性鋭敏型ハッシュを含む、
    請求項8に記載のシステム。
  12. 各悪意あるファイルに対する前記アンチウィルス記録は、複数の局所性鋭敏型ハッシュを含み、前記複数の局所性鋭敏型ハッシュとは、前記悪意あるファイルのファイル属性の異なるセットから計算された少なくとも2つの局所性鋭敏型ハッシュを備える、
    請求項8に記載のシステム。
  13. 前記アンチウィルス記録の有効性は、前記アンチウィルス記録によって検出された悪意あるファイル数と、前記アンチウィルス記録による誤判定数と、前記検出された悪意あるファイルそれぞれが属するカテゴリとの関数として計算される、
    請求項8に記載のシステム。
  14. 前記アンチウィルス記録の有効性は、各検出された悪意あるファイルのポピュラリティ値の関数として更に計算され、前記ポピュラリティ値とは、各悪意あるファイルが検出されたコンピュータ上のユーザ数に基づく重み係数である、
    請求項13に記載のシステム。
  15. サーバとして実施されるコンピュータが実行可能な、アンチウィルス記録セットを生成する指示を記憶している不揮発性コンピュータ可読媒体であって、
    前記指示は、前記コンピュータに保持ステップと、第1生成ステップと、計算ステップと、第2生成ステップと、送信ステップとを実行させるもので、
    前記保持ステップでは、前記サーバが悪意あるファイルのデータベースを保持し、
    第1生成ステップでは、前記サーバが前記悪意あるファイルごとに少なくとも1つのアンチウィルス記録を生成し、
    前記少なくとも1つのアンチウィルス記録とは、対応する前記悪意あるファイルを検出するためにアンチウィルスアプリケーションによって使用される情報を含むもので、
    前記計算ステップでは、前記サーバが前記各アンチウィルス記録を使用して検出された悪意あるファイル数及び前記アンチウィルス記録による誤判定数に基づいて、前記各アンチウィルス記録の有効性を計算し、
    第2生成ステップは、前記サーバが最も有効性の高いアンチウィルス記録セットを生成するステップであって、選択ステップと、判定ステップと、追加ステップとを備え、
    前記選択ステップでは、前記悪意あるファイルの検出に使用される最も有効性の高いアンチウィルス記録を選択し、より有効性の高いアンチウィルス記録とは、前記アンチウィルス記録によって検出された悪意あるファイル数及び前記誤判定数の関数として計算されるもので、
    前記判定ステップでは、前記選択されたアンチウィルス記録が既に前記セットにあるかどうかを判定し、
    ない場合には、前記追加ステップにおいて、前記セットに前記アンチウィルス記録を追加し、
    前記送信ステップでは、前記サーバが、最も有効性の高い前記アンチウィルス記録セットをクライアント・デバイスに送信する、
    媒体。
  16. 前記アンチウィルス記録は、以下の1又は複数を含む、請求項15に記載の媒体。
    ・悪意あるファイルの署名
    ・前記悪意あるファイルのエミュレーション中に前記悪意あるファイルを検出するために使用されるヒューリスティックルール
    ・事前検出の際に前記悪意あるファイルの検出に使用されるヒューリスティックルール
    ・前記悪意あるファイルの局所性鋭敏型ハッシュ
  17. 前記計算ステップは、前記サーバ上で動作する前記アンチウィルスアプリケーションが、前記各アンチウィルス記録を使用して検出した悪意のあるファイル数に関する統計情報を収集するステップを含む、
    請求項15に記載の媒体。
  18. 各悪意あるファイルに対する前記アンチウィルス記録は、前記悪意あるファイルのファイル属性のセットから計算された局所性鋭敏型ハッシュを含む、
    請求項15に記載の媒体。
  19. 各悪意あるファイルに対する前記アンチウィルス記録は、複数の局所性鋭敏型ハッシュを含み、前記複数の局所性鋭敏型ハッシュとは、前記悪意あるファイルのファイル属性の異なるセットから計算された少なくとも2つの局所性鋭敏型ハッシュを備える、
    請求項15に記載の媒体。
  20. 前記アンチウィルス記録の有効性は、前記アンチウィルス記録によって検出された悪意あるファイル数と、前記アンチウィルス記録による誤判定数と、前記検出された悪意あるファイルそれぞれが属するカテゴリとの関数として計算される、
    請求項15に記載の媒体。
  21. 前記アンチウィルス記録の有効性は、各検出された悪意あるファイルのポピュラリティ値の関数として更に計算され、前記ポピュラリティ値とは、各悪意あるファイルが検出されたコンピュータ上のユーザ数に基づく重み係数である、
    請求項20に記載の媒体。
JP2016166894A 2015-09-30 2016-08-29 ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法 Active JP6353498B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2015141552A RU2617654C2 (ru) 2015-09-30 2015-09-30 Система и способ формирования набора антивирусных записей, используемых для обнаружения вредоносных файлов на компьютере пользователя
RU2015141552 2015-09-30
US15/044,435 2016-02-16
US15/044,435 US9654486B2 (en) 2015-09-30 2016-02-16 System and method for generating sets of antivirus records for detection of malware on user devices

Publications (2)

Publication Number Publication Date
JP2017123143A JP2017123143A (ja) 2017-07-13
JP6353498B2 true JP6353498B2 (ja) 2018-07-04

Family

ID=58409433

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016166894A Active JP6353498B2 (ja) 2015-09-30 2016-08-29 ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法

Country Status (4)

Country Link
US (1) US9654486B2 (ja)
JP (1) JP6353498B2 (ja)
CN (1) CN106557697B (ja)
RU (1) RU2617654C2 (ja)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860274B2 (en) 2006-09-13 2018-01-02 Sophos Limited Policy management
US10546117B1 (en) * 2016-11-15 2020-01-28 Symantec Corporation Systems and methods for managing security programs
US10885212B2 (en) 2017-09-12 2021-01-05 Sophos Limited Secure management of process properties
JP6731981B2 (ja) * 2017-10-18 2020-07-29 エーオー カスペルスキー ラボAO Kaspersky Lab 機械学習モデルに基づいた悪意のあるファイルの検出のための計算資源を管理するシステムおよび方法
RU2697954C2 (ru) 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ создания антивирусной записи
EP3522058B1 (en) * 2018-02-06 2021-08-11 AO Kaspersky Lab System and method of creating antivirus records
JP7013297B2 (ja) * 2018-03-22 2022-01-31 株式会社セキュアブレイン 不正検知装置、不正検知ネットワークシステム、及び不正検知方法
RU2702081C2 (ru) * 2018-03-30 2019-10-03 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения модификации веб-ресурса
CN109460660B (zh) * 2018-10-18 2022-04-08 广州市网欣计算机科技有限公司 一种移动设备安全管理***
US10893090B2 (en) 2019-02-14 2021-01-12 International Business Machines Corporation Monitoring a process on an IoT device
RU2726878C1 (ru) * 2019-04-15 2020-07-16 Акционерное общество "Лаборатория Касперского" Способ ускорения полной антивирусной проверки файлов на мобильном устройстве
US11425092B2 (en) * 2020-05-26 2022-08-23 Radware, Ltd. System and method for analytics based WAF service configuration
JP2022050219A (ja) * 2020-09-17 2022-03-30 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB9013849D0 (en) 1990-06-21 1990-08-15 Furigas Uk Ltd A gas burner
US5520536A (en) 1995-05-05 1996-05-28 Burner Systems International, Inc. Premixed gas burner
US7392543B2 (en) * 2003-06-30 2008-06-24 Symantec Corporation Signature extraction system and method
JP2005157650A (ja) * 2003-11-25 2005-06-16 Matsushita Electric Ind Co Ltd 不正アクセス検知システム
US8201244B2 (en) * 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
US8239944B1 (en) * 2008-03-28 2012-08-07 Symantec Corporation Reducing malware signature set size through server-side processing
US8239948B1 (en) * 2008-12-19 2012-08-07 Symantec Corporation Selecting malware signatures to reduce false-positive detections
US8321942B1 (en) * 2009-03-12 2012-11-27 Symantec Corporation Selecting malware signatures based on malware diversity
US8566943B2 (en) 2009-10-01 2013-10-22 Kaspersky Lab, Zao Asynchronous processing of events for malware detection
US8875292B1 (en) * 2010-04-05 2014-10-28 Symantec Corporation Systems and methods for managing malware signatures
US8776234B2 (en) 2011-04-20 2014-07-08 Kaspersky Lab, Zao System and method for dynamic generation of anti-virus databases
CN102255915A (zh) * 2011-07-20 2011-11-23 中兴通讯股份有限公司 一种互联网病毒检测方法、装置和***
RU2487405C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для исправления антивирусных записей
US8925085B2 (en) * 2012-11-15 2014-12-30 Microsoft Corporation Dynamic selection and loading of anti-malware signatures
US8826431B2 (en) * 2012-11-20 2014-09-02 Symantec Corporation Using telemetry to reduce malware definition package size
CN103902897A (zh) * 2012-12-26 2014-07-02 腾讯科技(深圳)有限公司 计算机病毒的判别方法及***
US9147073B2 (en) 2013-02-01 2015-09-29 Kaspersky Lab, Zao System and method for automatic generation of heuristic algorithms for malicious object identification
RU2580036C2 (ru) * 2013-06-28 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ создания гибкой свертки для обнаружения вредоносных программ
RU2568285C2 (ru) * 2013-09-30 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Способ и система анализа работы правил обнаружения программного обеспечения
EP2854065B1 (en) 2013-09-30 2018-06-06 AO Kaspersky Lab A system and method for evaluating malware detection rules
US9251261B2 (en) * 2013-09-30 2016-02-02 Symantec Corporation Method and system for metadata driven testing of malware signatures
KR20160090905A (ko) 2013-12-02 2016-08-01 인텔 코포레이션 보안 규칙 평가를 포함하는 보호 시스템
CN104243486B (zh) * 2014-09-28 2018-03-23 中国联合网络通信集团有限公司 一种病毒检测方法及***

Also Published As

Publication number Publication date
US20170093892A1 (en) 2017-03-30
US9654486B2 (en) 2017-05-16
CN106557697B (zh) 2020-08-18
CN106557697A (zh) 2017-04-05
RU2015141552A (ru) 2017-04-05
JP2017123143A (ja) 2017-07-13
RU2617654C2 (ru) 2017-04-25

Similar Documents

Publication Publication Date Title
JP6353498B2 (ja) ユーザ機器上でマルウェアを検出するためにアンチウィルス記録セットを生成するシステム及び方法
JP6636096B2 (ja) マルウェア検出モデルの機械学習のシステムおよび方法
US10242186B2 (en) System and method for detecting malicious code in address space of a process
CN109684836B (zh) 使用经训练的机器学习模型检测恶意文件的***和方法
RU2739865C2 (ru) Система и способ обнаружения вредоносного файла
RU2659737C1 (ru) Система и способ управления вычислительными ресурсами для обнаружения вредоносных файлов
RU2634178C1 (ru) Способ обнаружения вредоносных составных файлов
RU2624552C2 (ru) Способ обнаружения вредоносных файлов, исполняемых с помощью стековой виртуальной машины
JP2020009415A (ja) 悪意のあるファイルで訓練された学習モデルを使用して悪意のあるファイルを識別するシステムおよび方法
RU2654151C1 (ru) Система и способ обнаружения вредоносных файлов с использованием обученной модели обнаружения вредоносных файлов
RU2739830C1 (ru) Система и способ выбора средства обнаружения вредоносных файлов
US10372907B2 (en) System and method of detecting malicious computer systems
RU2706883C1 (ru) Система и способ снижения количества ложных срабатываний классифицирующих алгоритмов
US9838420B2 (en) System and method for distributing most effective antivirus records to user devices
JP6322240B2 (ja) フィッシング・スクリプトを検出するためのシステム及び方法
RU2673708C1 (ru) Система и способ машинного обучения модели обнаружения вредоносных файлов
RU2510530C1 (ru) Способ автоматического формирования эвристических алгоритмов поиска вредоносных объектов
EP3252645A1 (en) System and method of detecting malicious computer systems
EP3151148B1 (en) System and method for generating sets of antivirus records for detection of malware on user devices
RU2774042C1 (ru) Система и способ выявления потенциально вредоносных изменений в приложении
RU2757265C1 (ru) Система и способ оценки приложения на вредоносность
RU2659739C1 (ru) Способ контроля доступа к составным файлам

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180227

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180608

R150 Certificate of patent or registration of utility model

Ref document number: 6353498

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250