JP6371790B2 - 変更されたウェブページを判定するためのシステム及び方法 - Google Patents

変更されたウェブページを判定するためのシステム及び方法 Download PDF

Info

Publication number
JP6371790B2
JP6371790B2 JP2016093198A JP2016093198A JP6371790B2 JP 6371790 B2 JP6371790 B2 JP 6371790B2 JP 2016093198 A JP2016093198 A JP 2016093198A JP 2016093198 A JP2016093198 A JP 2016093198A JP 6371790 B2 JP6371790 B2 JP 6371790B2
Authority
JP
Japan
Prior art keywords
web page
verification
verification web
code
configuration file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016093198A
Other languages
English (en)
Other versions
JP2017021778A (ja
Inventor
エー. キュスコヴ ウラジーミル
エー. キュスコヴ ウラジーミル
エー. ロマネンコ アレクサンダー
エー. ロマネンコ アレクサンダー
ブイ. キュプリーヴ オレグ
ブイ. キュプリーヴ オレグ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2017021778A publication Critical patent/JP2017021778A/ja
Application granted granted Critical
Publication of JP6371790B2 publication Critical patent/JP6371790B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Description

本開示は、一般的にコンピュータセキュリティの分野に関し、特に変更されたウェブページを判定するためのシステム及び方法に関する。
関連出願の相互参照
本開示は、2015年6月30日に出願されたロシア特許出願第2015125971の関連出願であり、米国特許法第119条でこの出願に基づく優先権を主張し、本明細書中に参考として援用する。
現在、パーソナルコンピューティングデバイスの数が増加している。コンピュータおよびモバイルデバイスは、様々なオペレーティング・システムの制御下で動作し、さまざまな問題を解決している。多くのユーザは、インターネットブラウジングのためのこれらのデバイスを使用している。
また、新しい悪意のあるソフトウェア(マルウェア)が絶えず開発されており、例えばトロイの木馬、インターネットワームなどのコンピュータウイルスを含む。このようなマルウェアの大部分は、インターネット上で作業するユーザを攻撃することを目的としている。インターネットユーザへの攻撃の一般的なタイプは、ユーザに表示されるウェブページの内容を悪意のあるソフトウェアによって置き換える攻撃である。上記の悪意のあるソフトウェアは、ウェブページへのHTMLコードの挿入を実行する。多くの場合、この攻撃は、「マン・イン・ザ・ブラウザ」または「ウェブ・コード・インジェクション」として知られている。上記攻撃は、被害者のWebブラウザにブラウザを再起動したときに起動される悪質な拡張機能やプラグインをインストールする、例えば、トロイの木馬アプリケーションの使用によって開始されることがある。そして、特定のウェブサイト(ほとんどの場合バンキングサイト)向けのユーザのトラフィックが傍受されるようになる。次に、ユーザに表示されるウェブページは、ダウンロード又は開いたの段階で変更されており、ウェブページの特定の要素の外観を変更することが可能となり、入力された被害者の認証データを盗むか、あるいはユーザによって送金される資金を別の口座宛の送金とする。
インターネット上のユーザの作業の安全性を高めることを目的とした現在の技術的解決策は、ウェブページに悪意のあるコードを挿入する攻撃を問題としている。しかしながら、ウェブページが悪意のあるソフトウェアによって変更されているかどうかを判定するための効果的な解決策は提供されていない。
変更されたウェブページを判定するためのシステム及び方法が開示される。例示的な一態様によれば、複数のマルウェア・トリガー・コードのフラグメントを悪意のあるソフトウェアの少なくとも1つ構成ファイルから抽出する工程と、複数のマルウェア・トリガー・コードのフラグメントをテンプレートページへ加え検証ウェブページを作成する工程と、検証ウェブページの初期状態に関連するデータをデータベースに格納する工程と、検証ウェブページを開き、検証ウェブページの開かれた状態に関連するデータを確認する工程と、初期状態に関連するデータと検証ウェブページの開かれた状態に関連するデータを比較する工程と、初期状態に関連するデータ及び検証ウェブページの開かれた状態に関連するデータの検出差異に基づき、検証ウェブページの少なくとも1つの変更されたコードのフラグメントを特定する工程とを含む。
一態様によれば、上記方法において、検証ウェブページを開く工程は、ウェブブラウザによって検証ウェブページを開くことによって行われる。
一態様によれば、検証ウェブページの作成工程は、ページの最大数の制限、全ページを合わせた場合の最大サイズの制限、1ページの最大サイズの制限、及び1500以下の文字を含むURLの長さの制限のうち少なくとも一つ以上に基づいて検証ウェブページを作成する工程を含む。
一態様によれば、上記方法は、悪意のあるソフトウェア構成ファイルのデータベースに、悪意のあるソフトウェアの少なくとも1つの構成ファイルを格納する工程を含む。
一態様によれば、上記方法は、ハードウェアプロセッサによって、検証ウェブページを作成するための少なくとも1つの構成ファイルを複数の基準に基づいて選択する工程を含む。
一態様によれば、複数の基準は、挿入コードの時間間隔および少なくとも1つの構成ファイルにおける頻度を含む。
一態様によれば、上記方法は、最も頻度の高い挿入コードを有する悪意のあるソフトウェアの少なくとも1つの構成ファイルからN個のフラグメントを選択することによって検証ウェブページを作成するために、複数のコードフラグメントを選択する工程を含み、数Nは検証ウェブページのサイズ制限に基づいて決定される。
一態様によれば、上記方法は、少なくとも1つの変更されたコードのフラグメント中のコードを、悪意のあるソフトウェアの挙動を分析するために、バーチャルマシンによって実行する工程を含む。
一態様によれば、上記方法は、検証ウェブページの少なくとも1つの変更されたコードのフラグメント中のURLコードをハードウェアプロセッサによって分析する工程と、ハードウェアプロセッサによって、少なくとも1つのフィッシングリソースへのリンクを特定する工程を含む。
別の例示的な態様によれば、システムは、悪意のあるソフトウェアによって変更されたウェブページを判定するために開示される。このような態様によれば、上記システムは、少なくとも1つのデータベースと、ハードウェアプロセッサを備える。上記少なくとも1つのデータベースは悪意のあるソフトウェアの少なくとも1つの構成ファイルを格納するように構成される。上記ハードウェアプロセッサは、複数のマルウェア・トリガー・コードのフラグメントを悪意のあるソフトウェアの少なくとも1つの構成ファイルから抽出し、複数のマルウェア・トリガー・コードのフラグメントをテンプレートページへ加えることによって検証ウェブページを作成し、検証ウェブページの初期状態に関連するデータを少なくとも1つのデータベースに格納し、検証ウェブページを開き検証ウェブページの開かれた状態に関連するデータを確認し、初期状態に関連するデータと検証ウェブページの開かれた状態に関連するデータを比較し、初期状態に関連するデータ及び検証ウェブページの開かれた状態に関連するデータの検出差異に基づき、検証ウェブページの少なくとも1つの変更されたコードのフラグメントを特定するように構成されている。
別の例示的な態様によれば、悪意のあるソフトウェアによって変更されたウェブページを判定するためのコンピュータ実行可能命令を格納する非一過性の記録媒体が開示される。このような態様によれば、複数のマルウェア・トリガー・コードのフラグメントを悪意のあるソフトウェアの少なくとも1つの構成ファイルから抽出する命令と、複数のマルウェア・トリガー・コードのフラグメントをテンプレートページへ加えることによって検証ウェブページを作成する命令と、検証ウェブページの初期状態に関連するデータをデータベースに格納する命令と、検証ウェブページを開き検証ウェブページの開かれた状態に関連するデータを確認する命令と、初期状態に関連するデータと検証ウェブページの開かれた状態に関連するデータを比較する命令と、初期状態に関連するデータ及び検証ウェブページの開かれた状態に関連するデータの検出差異に基づき、検証ウェブページの少なくとも1つの変更されたコードのフラグメントを特定する命令とが含まれる。
例示的態様における上記の簡単な概要は、本開示の基本的な理解を提供するのに役立つ。本概要は、すべての企図される態様の広範な概観ではなく、すべての態様の主要または重大な要素を特定することも意図しておらず、本開示における、任意又は全ての態様の範囲を線引きもしないということが意図される。その唯一の目的は、以下の開示のより詳細な説明の前置きとして簡略化された形式で1または複数の態様を提示することである。前述の達成のために、本開示の1つまたは複数の態様について、説明され、例示的に特許請求の範囲に示してある特徴を含む。
添付図面は、詳細な説明と共に、本明細書に組み込まれ、その一部を構成し、本開示における1つまたは複数の実施態様を示しており、それらの原理及び実装を説明するのに役立つ。
図1は、ウェブブラウザを利用するネットワークにおけるユーザの作業の一例を示す。 図2は、典型的な態様による、変更されたウェブページを判定するためのシステムのブロック図を示す。 図3は、典型的な態様による、変更されたウェブページを判定するための方法のフローチャートを示す。 図4は、例示的な一態様による、本開示のシステム及び方法を実施することが可能な汎用コンピュータシステムを表す。
詳細な説明
例示的な態様は、変更されたウェブページを判定するために、システム、方法、及びコンピュータプログラム製品に関連して本明細書に開示される。当業者は、以下の説明は単なる例示であり、決して限定であることを意図するものではないことを理解するであろう。他の態様は、本開示の利益を有する当業者にとって、容易に示唆となりえる。参照は、添付の図面に示されるように、現在の例示の態様の実装について詳細に説明するものである。同じ参照指標は、同一または同様の項目を参照するため、図面及び以下の説明の全体を通じて、可能な限り使用される。
以下の開示は、開示されるシステム及び方法の様々な態様を説明する際に用いられる定義及び概念である。
悪意のあるソフトウェアの「構成ファイル」は、悪意のあるソフトウェアの設定を格納するバイナリファイル(例えば、テキスト、XML、JSONなど)であり、該設定は、特にコマンド・サーバーのアドレス、攻撃対象のURLアドレス(または、それらのフラグメントやマスク)、実際のウェブページ挿入コードなどである。
「ウェブページ挿入コード」は、ユーザに表示されるウェブページへ悪意のあるソフトウェアによって挿入されるコードである。該コードは、ユーザデータの機密性に害(例えば、結果としてユーザが自身の口座のコントロールを失う可能性のあるフィッシング攻撃)、あるいはユーザへ金融上の害(例えば、オンライン決済を行う際に、振込先を置き換える)を与える可能性がある機能を通常備える。
図1は、ウェブブラウザを利用するネットワークにおけるユーザの作業の一例を示す。図示するように、コンピューティングデバイス120(パーソナルコンピュータ、携帯電話、ノートブックなど)上で作業するユーザ110は、サーバ130を利用し得る。サーバ130は、様々なウェブページを含むウェブサーバ、Eメールサーバ、及びデータベースサーバであってよい。一般に、ユーザ110は、Internet Explorer(登録商標)などのブラウザ140によってサーバ130にアクセスする。
上述のように、悪意のあるソフトウェア150は、ユーザ110のコンピューティングデバイス120上に存在し得る。悪意のあるソフトウェア150は、サーバ130から受信し、ブラウザ140上で開かれたウェブページに悪意あるコードを挿入し得る。
ユーザ110のコンピューティングデバイス120上に存在する悪意のあるソフトウェア150を検出するために、悪意のあるソフトウェア150の攻撃対象となり得るサイト及びネットワークリソースへリンクしているHTMLフラグメントを含むウェブページを利用することが可能である。一般に、ユーザ110のコンピューティングデバイス120上でウェブページを開いた後、悪意のあるソフトウェア150は挿入コードを追加してウェブページを変更する。開いた後にウェブページの状態は保存され、そしてその中の変更されたコードフラグメントが特定され得る。そのようなコードフラグメントが見つかった場合には、ユーザ110のコンピューティングデバイス120上に悪意のあるソフトウェア150が存在することを示唆している。ウェブページの変更についてより詳細な分析を行った後、悪意のあるソフトウェア150が存在するという決定が行われる。
図2は、典型的な態様による、変更されたウェブページを判定するためのシステムのブロック図を示す。典型的な態様においては、検証ウェブページ作成モジュール210は、テンプレートページ(例えば、標準のHTMLヘッダおよび種々の標準的なHTMLコードとテキスト要素を含むページ)から検証ウェブページを作成する。通常、検証ウェブページは、既知のウェブコード挿入マルウェアのアクティベーションを起動するものとして知られている典型的なコードである「<head><body input type="password">」などのテンプレートページのHTMLコードフラグメントを、モジュール210によって追加することにより作成される。
例示的な一態様において、HTMLコードフラグメントは、検証ウェブページ作成モジュール210によって、既知の悪意のあるソフトウェア150の構成ファイルから抽出され、以下でより詳細に説明するように検証ウェブページに追加され得る。続いて、ユーザのコンピュータ上で検証ウェブページが開かれている間に、ユーザのコンピュータ上に存在する悪意のあるソフトウェア150は、検証ウェブページへ自身のコードを挿入することによって検証ウェブページを変更し得る。
悪意のあるソフトウェアを起動し検証ウェブページを変更するために、悪意のあるソフトウェアは、URLアドレス中の必要なフラグメントおよび検証ウェブページ中の必要なフラグメントを見つけ出すことが必要である。そのため、ページフラグメントのそれぞれについて、アドレスフラグメントが、URLに追加され得る。例示的な一態様において、ウェブサイトアドレスおよびそのフラグメントは、既知のマルウェアの構成ファイルから検索することができる。アドレスフラグメントのいくつかの例は、制限されないが、銀行のウェブサイトを攻撃することが知られているマルウェアの構成ファイルに現れる銀行ウェブサイトのURL、または悪意のあるソフトウェアの構成ファイル中で示されているワード(例えば、ログイン、パスワードや認証データ)を含むURLである。
例示的な一態様において、検証ウェブページは、検証ウェブページ作成モジュール210によって作成されたいくつかのウェブページによって構成され得る。例示的な一態様において、検証ウェブページは、一定基準に基づき作成され得るものであり、該基準は、ウェブページ(テンプレート)の最大数の制限、全ページを合わせた場合の最大サイズの制限、1ページの最大サイズの制限、1500以下の文字を含むURLの長さの制限などである。
一態様によれば、悪意のあるソフトウェアの構成ファイルは、悪意のあるソフトウェア構成ファイルのデータベース215に格納され得る。検証ウェブページ作成モジュール210は、悪意のあるソフトウェア構成ファイルを選択するための基準を決定することが可能である。一態様によれば、該基準は、例えば、時間間隔(例えば、現在の日から6ヶ月)や、挿入コードの一般性(どのくらいの頻度で、マルウェア構成ファイルにおいてその特定の挿入コードに遭遇するか)といった1つ以上の基準であってよい。
例示的な一態様において、検証ウェブページ作成モジュール210は、最も頻度の高い挿入コードを有する悪意のあるソフトウェア構成ファイルからN個のフラグメントを選択する(数Nは、検証ウェブページのサイズの制限によって決定される)。例えば、基準「1ページの最大サイズの制限」がX(例えば、1024バイト)である基準に基づいて検証ウェブページを作成した場合には、フラグメントは、最も頻度の高い挿入コードを有する悪意のあるソフトウェア構成ファイルから選択され、基準によって指定されたサイズXを超えるまで検証ウェブページに追加される。挿入コードの一般性についてのデータは、悪意のあるソフトウェア構成ファイルのデータベース215に保存され得る。
例示的な一態様において、検証ウェブページ作成モジュール210は、検証ウェブページの作成時にユーザが作業しているサイトを確認する。例えば、特定の銀行のサイトを訪問した場合、検証ウェブページ作成モジュール210は、悪意のあるソフトウェア構成ファイルのデータベース215から、その銀行のユーザへの攻撃として使用されることが知られている既知の悪意のあるソフトウェアの構成ファイルを選択することができる。そして、例示的な一態様において、検証ウェブページは、悪意のあるソフトウェアの構成ファイルからさきほど選択されたフラグメントを用いて、モジュール210によって作成される。別の例示的な態様では、検証ウェブページの作成時に、最も一般的な/頻度の高い挿入コードを有する悪意のあるソフトウェアの構成ファイルからのフラグメントと同様に、悪意のあるソフトウェアの構成ファイルから選択されたフラグメントが用いられる。
例示的な一態様において、検証ウェブページの構成のために、検証ウェブページ作成時にモジュール210はユニークフラグメントのみが追加され得る(すなわち、2つの同一フラグメントは作成されるウェブページ上に存在するべきではない)。しかしながら、2つの同一フラグメントが同じ検証ウェブページ上に存在することは、例示的な本態様によるシステムの働きを妨げるものではないことは理解されるべきである。
また、基準の変更に応じて、検証ウェブページはモジュール210によって任意(ランダム)に変更され得るが、その最終的な外観は重要ではない。検証ウェブページが、マルウェア・トリガー・コードのフラグメントを含むことのみが重要である。例示的な本態様においては、これらのフラグメントの順番および書式(例えば、スペース、引用符、コメント)は重要ではない。
また、例示的な本態様においては、作成された検証ウェブページは、検証ウェブページ作成モジュール210によって、検証ウェブページ処理モジュール220および検証ウェブページ分析モジュール230に送信され得る。
例示的な一態様において、検証ウェブページ処理モジュール220は、検証ウェブページを検証ウェブページ作成モジュール210から受信し開く。一態様では、ウェブページは、ウェブブラウザを用いて開かれ得る。さらに別の態様では、検証ウェブページ処理モジュール220自身が検証ウェブページを開く。
一態様によれば、検証ウェブページ処理モジュール220は、ページをユーザに表示しない。別の態様においては、検証ウェブページは、例えば、AJAX(非同期JavascriptおよびXML)などの手段によって非同期的に送信される。検証ウェブページの正しい書式が保証されていないため、ページをユーザに表示することは重要ではない。
例示的な一態様において、検証ウェブページ処理モジュール220は、ユーザのウェブサイトへのアクセスを遮断し、アクセスウェブサイトのURLアドレスを検証ウェブページ作成モジュール210へ送信する。
また、検証ウェブページ処理モジュール220は、ユーザに警告およびユーザとの相互作用する様々なメカニズム、例えば、ユーザにテキストや音声メッセージを送信するメカニズムや、ユーザのデータ入力を遮断するメカニズムを備えていてよい。
悪意のあるソフトウェアは、ユーザのコンピュータ上でのウェブページの読込み中、およびユーザのコンピュータのブラウザでウェブページを開く瞬間にコードを挿入することが多い。そのため、検証ウェブページを開いた後、検証ウェブページ処理モジュール220は、開いたあとの検証ウェブページの状態を保存し、検証ウェブページ分析モジュール230にそのコードを送信してもよい。例示的な一態様において、状態データは、クライアント側のブラウザがページ外観を作成するために使用するHTMLやJavaScriptなどの検証ウェブページのコードを含み得る。別の例示的な態様では、状態データは、ページ上に存在する様々なリソース(例えば、画像、ビデオ、オーディオ、およびその他のコンテンツ)と同様に、検証ウェブページのコードを含んでよい。
検証ウェブページ分析モジュール230は、検証ウェブページ作成モジュール210から受信した元の(最初の)ウェブページと、検証ウェブページ処理モジュール220から受信したページを比較し、検証ウェブページの状態の変更を特定するように構成されている。例えば、検証ウェブページは、ブラウザでウェブページを開く瞬間に変更され(例えば、GoogleChrome(登録商標)でのコンテンツターゲット広告)、その変更は、ブラウザ拡張機能(広告ブロッキングモジュール)、セキュリティアプリケーション(ペアレンタルコントロールルールに従った一定フラグメントのブロッキング)、もしくはその他によるものであってもよい。
ウェブページの変更を確認後、検証ウェブページ分析モジュール230は、その変更が検証ウェブページ作成モジュール210によって検証ウェブページに以前追加されたフラグメントに関するものであるかを判定する。例示的な一態様において、検証ウェブページ分析モジュール230は、ハッシュのターム中のフラグメントのコード(例えば、SHA1)を比較する。例えば、ハッシュは、算出され、検証ウェブページ処理モジュール220から受信したページのフラグメント用ハッシュであって、検証ウェブページ作成モジュール210から受信した検証ウェブページの各フラグメントについて比較される。検証ウェブページ分析モジュール230がそのようなフラグメントの変更を検出した場合、検証ウェブページは疑わしいとみなされ、マルウェア分析のために悪意のあるソフトウェア識別モジュール240に送信され得る。
例示的な一態様において、悪意のあるソフトウェア識別モジュール240は、検証ウェブページが悪意のあるソフトウェアによって変更されているか判定するように構成される。例示的な一態様において、ページは、悪意のあるソフトウェア挿入コードの検出を可能にするための助けとして、アンチウイルスデータベース250と照合され得る。一般に、アンチウイルスデータベース250は、例示的な一態様において悪意のあるソフトウェア識別モジュール240によるファイルのシグネチャベースおよび/またはヒューリスティック分析によって使用されたデータを格納する。状況はウェブページが変更されていた場合に生じ得るが、この変更の原因は不明である(おそらく、新しいマルウェア)。決定的な結論を出すのは難しいが、疑わしいウェブページについてユーザに警告することが可能であり、ページの状態データ(例えば、そのコードとリソース)をモジュール240又はリモートアンチウイルスサーバによるマルウェアの詳細分析のために送信することも可能である。悪意のあるソフトウェア識別モジュール240が検証ウェブページの変更を検出した場合、検証ウェブページがモジュール220によって開かれたコンピュータ上に悪意のあるソフトウェアが存在すると結論付けることが可能である。別の態様においては、検証ウェブページはセキュリティの専門家245によって分析されてもよい。
例示的な一態様において、悪意のあるソフトウェア識別モジュール240は、挿入コードの挙動分析のために、保護された環境、エミュレータまたはバーチャルマシン260を使用することが可能である。例えば、追加のコードが変更されたフラグメント中に見出された場合(例えば、JavaScript言語で)、このコードは、悪意のあるソフトウェア識別モジュール240による挙動分析のためにバーチャルマシン内で実行される。
例示的な一態様において、悪意のあるソフトウェア識別モジュール240は、変更されたフラグメントに追加されたURLアドレスを分析し、フィッシングリソースへのリンクを見つけ出すことが可能である。さらに別の態様では、悪意のあるソフトウェアによって実行された変更であると判明した場合、悪意のあるソフトウェア識別モジュール240は、検証ウェブページ処理モジュール220にページ上の判明した変更を報告する。検証ウェブページ処理モジュール220は、例えば、ユーザのデータを保護するために、次にユーザにその変更について報告するか、キーボード入力を遮断する。
図3は、典型的な態様による、変更されたウェブページを判定するための方法のフローチャートを示す。図示するように、初期の工程310において、検証ウェブページは、テンプレートページにマルウェアトリガーHTMLコードフラグメントを追加する検証ウェブページ作成モジュール210によって作成される。コードフラグメントは、例えば、図2に関しての記載における基準に基づき追加される。検証ウェブページ作成時、データベース215に格納されていた悪意のあるソフトウェアの構成ファイルが例えば、一般的挿入コードおよびそのトリガーであるかを識別するために用いられる。
次に、工程315において、検証ウェブページの初期状態が保存され、検証ウェブページ分析モジュール230に送信される。そして、工程320において、検証ウェブページが検証ウェブページ処理モジュール220によって開かれる。例示的な一態様において、検証ウェブページはウェブブラウザを使用して開かれる。別の例示的な態様では、検証ウェブページ処理モジュール220が検証ウェブページを開く。次に、工程330では、検証ウェブページ処理モジュール220の助けによって、検証ウェブページの開かれた状態が保存され、検証ウェブページ分析モジュール230に送信される。
そして、工程340においては、変更されたウェブページフラグメントを確認するために、保存された検証ウェブページの状態が検証ウェブページ分析モジュール230によって分析される。この処理中に、検証ウェブページの初期状態のコードは開かれた後の検証ウェブページの状態のコードと比較される。変更されたコードのフラグメントが検出された場合、工程350においては、悪意のあるソフトウェア識別モジュール240は、検証ウェブページが悪意のあるソフトウェアによって変更されたのかを判定する。例示的な一態様において、検証ウェブページは、悪意のあるソフトウェア挿入コードを検出することが可能な特別なデータベース250を用いて確認される。
別の例示的な態様おいては、検証ウェブページはセキュリティの専門家245によって分析されてよい。さらに別の例示的な態様においては、検証ウェブページに挿入されたコードの挙動分析のために保護された環境、エミュレータ又はバーチャルマシン260が用いられる。例示的な一態様において、変更されたフラグメントに追加されたURLコードは分析され、フィッシングリソースへのリンクが特定される。検出された場合には、検証ウェブページ処理モジュール220によってテンプレートページを開くのに用いられたコンピュータ上に悪意のあるソフトウェアが存在すると結論付けられる。
図4は、例示的な一態様による、本開示のシステム及び方法を実施することが可能な汎用コンピュータシステム(パーソナルコンピュータまたはサーバであってよい)を表す。示されているように、コンピュータシステムは、中央処理装置21と、システムメモリ22と、中央処理装置21と関連するメモリを含む様々なシステムコンポーネントに接続しているシステムバス23とを備える。システムバス23は、先行技術から知られている任意のバス構造に類似であってよく、他のバスアーキテクチャと相互作用することが可能なバスメモリまたはバスメモリコントローラ、周辺バス、ローカルバスを含んでよい。システムメモリは、固定メモリ(ROM)24及びランダムアクセスメモリ(RAM)25を含む.基本入力/出力システム(BIOS)26は、ROM24を使用したオペレーティングシステムの読み込み時などのパーソナルコンピュータ20の要素間の情報伝達を保証する基本的手順を含む。
パーソナルコンピュータ20は、同様に、データを読み込み及び書き込むためにハードディスク27、リムーバル磁気ディスク29に読み取り及び書き込みするために磁気ディスクドライブ28及びリムーバル光学ディスクドライブ31(CD−ROM、DVD−ROM及び別の光学情報メディア)を読み取り及び書き込みするために光学ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28及び光学ドライブ30は、ハードディスクインターフェース32、磁気ディスクインターフェース33及び光学ドライブインターフェース34それぞれを介して、システムバス23に接続されている。ドライブ及び対応するコンピュータ情報メディアは、パーソナルコンピュータ20における、コンピュータ命令、データ構造、プログラムモジュール及び別のデータを記憶するために、電力的に独立しているモジュールである。
本開示は、ハードディスク27、リムーバブル磁気ディスク29及びリムーバブル光学ディスク31を使用するシステムの実装を提供するが、別のタイプのコンピュータ情報媒体56の採用が可能であることが理解されるべきであり、それは、コンピュータによって読み取り可能な形式でデータを格納することができるもの(半導体ドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)など)であり、それは、コントローラ55を介してシステムバス23に接続されている。
コンピュータ20は、ファイルシステム36(記録されるシステム35はここに保持される)、さらに、追加プログラム・アプリケーション37、他のプログラムモジュール38及びプログラムデータ39を備える。ユーザは、入力デバイス(キーボード40、マウス42)を用いて、パーソナルコンピュータ20にコマンドと情報を入力することが可能である。他の入力デバイス(図示せず)は、マイクロフォン、ジョイスティック、ゲームコントローラ、スキャナ、等を用いることができる。そのような入力デバイスは、通常コンピュータシステム20に、シリアルポート46を介して、接続され、それは、順に、システムバスに接続されるが、それらは、他の方法で、例えば、パラレルポート、ゲームポート及びユニバーサルシリアルバス(USB)の助けを借りて、接続される。モニター47又は他の種類のディスプレイデバイスも、ビデオアダプター48等のインターフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンタ等他の周辺外部デバイス(図示せず)に備えてもよい。
パーソナルコンピュータ20は、1つ又は複数のリモートコンピュータ49とのネットワーク接続を用いて、ネットワーク環境で操作できる。リモートコンピュータ(またはコンピュータ)49も、図4に示すように、前述の要素(パーソナルコンピュータ20の特質を説明したもの)の大部分又は全てを有するパーソナルコンピュータ又はサーバである。他のデバイスも、ルータ、ネットワーク局、ピアデバイス又は他のネットワークノード等、コンピュータネットワークに存在してもよい。
ネットワーク接続は、ローカル・エリア・コンピュータ・ネットワーク(LAN)50、及びワイドエリア・コンピュータ・ネットワーク(WAN)を形成することができる。そのようなネットワークは、企業コンピュータネットワーク又は社内ネットワークで使用され、それらは、概してインターネットアクセスを有している。LAN又はWANネットワークで、パーソナルコンピュータ20は、ネットワークアダプター又はネットワークインターフェース51を介して、ローカル・エリア・ネットワーク50に接続される。ネットワークが用いられる場合、パーソナルコンピュータ20は、インターネット等のワイド・エリア・ネットワークでのコミュニケーションを提供するために、モデム54又は他のモジュールを採用する。モデム54は、内部的又は外部的デバイスであり、シリアルポート46によって、システムバス23と接続される。ネットワーク接続は、一例であり、ネットワークの正確な構成を示す必要はないことを留意されたい。すなわち、実際には、技術的な通信モジュールによる、あるコンピュータと他のコンピュータとの接続を確立する他の方法がある。
様々な態様において、本明細書で説明するシステム及び方法は、ハードウェア、ソフトウェア、ファームウェア、又はそれらの任意の組み合わせで実現されてもよい。ソフトウェアで実装される場合、本方法は、非一時的なコンピュータ可読媒体の1つ又は複数の命令又はコードとして格納されてもよい。コンピュータ可読媒体は、データ記憶装置を含む。例として、限定するものではないが、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROM、フラッシュメモリ、又は、電気的、磁気的、又は他の種類の光学記憶媒体を備えてもよい。それは、命令又はデータ構造の形式で、所望のプログラムコードを搬送又は格納されてもよく、且つ、汎用コンピュータのプロセッサにアクセスできる。
様々な側面で、本開示に記載されたシステム及び方法はモジュールの観点から理解することが可能である。本明細書で使用される用語"モジュール"は、特定用途向け集積回路(ASIC)又はフィールド・プログラマブル・ゲート・アレイ(FPGA)(例えば、ハードウェアとソフトウェアの組み合わせ)などによって、ハードウェアを用いて実装される、実世界のデバイス、構成要素、又は構成要素の配置を意味している。例えば、マイクロプロセッサシステム及びジュールの機能を実装するための命令セットによって、それは、(実行時)マイクロプロセッサシステムを専用機に変換する。モジュールも、これらの組み合わせとして実装されてもよく、ハードウェア単体で容易である特定の機能で、及び、ハードウェアとソフトウェアの組み合わせによって容易である他の機能で実装されてもよい。ある実施態様で、モジュールの少なくとも一部、及び、場合によっては、全てが、汎用コンピュータ(上記、図4により詳細に説明したもの等)のプロセッサで実行することができる。したがって、各モジュールは、様々な適切である構成で実現することができ、本明細書において例示される任意の特定の実装に限定されるものではない。
明瞭にするために、本態様における繰り返される機能の全てが、本明細書に開示されるわけではない。本開示の任意で実際の実装における開発で、多数の実装固有の決定が、開発者の特定の目標を達成するために、成されなければならないことが理解されるであろう。これらの具体的な目標は、実装及び開発者ごとに変化するであろう。そのような開発努力は複雑で時間がかかるかもしれないことが、それにもかかわらず、本開示の利益を有する当業者にとっては、エンジニアにとっては日常の仕事であることが、理解されるであろう。
さらに、本明細書で使用される表現又は用語は、説明の目的のためであり、制限を目的としていないことを理解すべきである。本明細書の用語又は表現は、関連技術での熟練の知識と組み合わせて、本明細書に提示される教示及び指針に照らして当業者によって解釈されるべきである。さらに、明示的記載がない限り、本明細書又は特許請求の範囲における任意の用語に対して、一般的でない又は特別な意味を帰することは意図されていない。
本明細書に開示される様々な態様は、例示により本明細書に言及される既知のモジュールに、現在及び将来の既知の均等物を包含する。さらに、態様及び用途を図示し、且つ、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることは、この開示の利益を有する当業者には明らかであろう。

Claims (14)

  1. 変更されたウェブページを判定する方法であって、
    複数のマルウェア・トリガー・コードのフラグメントを悪意のあるソフトウェアの少なくとも1つの構成ファイルからハードウェアプロセッサによって抽出する工程と、
    前記複数のマルウェア・トリガー・コードのフラグメントをテンプレートページへ加え、検証ウェブページを前記ハードウェアプロセッサによって作成する工程と、
    前記検証ウェブページの初期状態に関連するデータをデータベースに格納する工程と、
    前記検証ウェブページを開く工程と、
    前記検証ウェブページの開かれた状態に関連するデータを確認する工程と、
    前記初期状態に関連するデータと前記検証ウェブページの開かれた状態に関連するデータを前記ハードウェアプロセッサによって比較する工程と、
    前記初期状態に関連するデータ及び前記検証ウェブページの開かれた状態に関連するデータの検出差異に基づき、前記検証ウェブページの少なくとも1つの変更されたコードのフラグメントを特定する工程と、
    悪意のあるソフトウェア構成ファイルのデータベースに、前記悪意のあるソフトウェアの少なくとも1つの構成ファイルを格納する工程と、
    前記ハードウェアプロセッサによって、前記検証ウェブページを作成するための前記少なくとも1つの構成ファイルを複数の基準に基づいて選択する工程と
    を含み、
    前記複数の基準は、一定期間内における前記少なくとも1つの構成ファイル内における挿入コードの検出頻度を含む、方法。
  2. 前記検証ウェブページを開く工程は、ウェブブラウザによって検証ウェブページを開く工程を含む、請求項1に記載の方法。
  3. 前記検証ウェブページの作成工程は、ページの最大数の制限、全ページを合わせた場合の最大サイズの制限、1ページの最大サイズの制限、及び1500以下の文字を含むURLの長さの制限のうち少なくとも一つ以上に基づいて前記検証ウェブページを作成する工程を含む、請求項1に記載の方法。
  4. 最も検出頻度の高い挿入コードを有する悪意のあるソフトウェアの少なくとも1つの構成ファイルからN個のフラグメントを選択することによって前記検証ウェブページを作成するために、前記複数のコードフラグメントを選択する工程をさらに含み、数Nは前記検証ウェブページのサイズ制限に基づいて決定される、請求項1に記載の方法。
  5. 前記少なくとも1つの変更されたコードのフラグメント中のコードを、前記悪意のあるソフトウェアの挙動を分析するために、バーチャルマシンによって実行する工程をさらに含む、請求項1に記載の方法。
  6. 前記検証ウェブページの前記少なくとも1つの変更されたコードのフラグメント中のURLコードを前記ハードウェアプロセッサによって分析する工程と、
    少なくとも1つのフィッシングリソースへのリンクを前記ハードウェアプロセッサによって特定する工程と、
    をさらに含む、請求項1に記載の方法。
  7. 変更されたウェブページを判定するシステムであって、
    少なくとも1つのデータベースと、ハードウェアプロセッサを備え、
    前記少なくとも1つのデータベースは、悪意のあるソフトウェアの少なくとも1つの構成ファイルを格納するように構成され、
    前記ハードウェアプロセッサは、
    複数のマルウェア・トリガー・コードのフラグメントを前記悪意のあるソフトウェアの少なくとも1つの構成ファイルから抽出し、
    前記複数のマルウェア・トリガー・コードのフラグメントをテンプレートページへ加えることによって検証ウェブページを作成し、
    前記検証ウェブページの初期状態に関連するデータを前記少なくとも1つのデータベースに格納し、
    前記検証ウェブページを開き、
    前記検証ウェブページの開かれた状態に関連するデータを確認し、
    前記初期状態に関連するデータ及び前記検証ウェブページの開かれた状態に関連するデータの検出差異に基づき、検証ウェブページの少なくとも1つの変更されたコードのフラグメントを特定し、
    前記少なくとも1つのデータベースは、前記悪意のあるソフトウェアの少なくとも1つの構成ファイルを格納し、
    前記ハードウェアプロセッサは、複数の基準に基づいて前記検証ウェブページを作成するために前記少なくとも1つの構成ファイルを選択するように構成され、
    前記複数の基準は、一定期間内における前記少なくとも1つの構成ファイル内における挿入コードの検出頻度を含む、システム。
  8. 前記ハードウェアプロセッサは、ウェブブラウザによって前記検証ウェブページを開くようにさらに構成されている、請求項に記載のシステム。
  9. 前記ハードウェアプロセッサは、ページの最大数の制限、全ページを合わせた場合の最大サイズの制限、1ページの最大サイズの制限、及び1500以下の文字を含むURLの長さの制限のうち少なくとも一つ以上に基づいて前記検証ウェブページを作成するようにさらに構成されている、請求項に記載のシステム。
  10. 前記ハードウェアプロセッサは、最も検出頻度の高い挿入コードを有する悪意のあるソフトウェアの少なくとも1つの構成ファイルからN個のフラグメントを選択することによって前記検証ウェブページを作成するために、前記複数のコードフラグメントを選択するようにさらに構成されており、数Nは前記検証ウェブページのサイズ制限に基づいて決定される、請求項に記載のシステム。
  11. 前記ハードウェアプロセッサは、前記少なくとも1つの変更されたコードのフラグメント中のコードを、前記悪意のあるソフトウェアの挙動を分析するために、バーチャルマシンを作動させるようにさらに構成されている、請求項に記載のシステム。
  12. 前記ハードウェアプロセッサは、前記検証ウェブページの前記少なくとも1つの変更されたコードのフラグメント中のURLコードを前記ハードウェアプロセッサによって分析し、少なくとも1つのフィッシングリソースへのリンクを前記ハードウェアプロセッサによって特定するようにさらに構成されている、請求項に記載のシステム。
  13. 変更されたウェブページを判定するためのコンピュータ実行可能命令を格納する非一過性の記録媒体であって、前記命令は、
    複数のマルウェア・トリガー・コードのフラグメントを悪意のあるソフトウェアの少なくとも1つの構成ファイルから抽出する命令と、
    前記複数のマルウェア・トリガー・コードのフラグメントをテンプレートページへ加えることによって検証ウェブページを作成する命令と、
    前記検証ウェブページの初期状態に関連するデータをデータベースに格納する命令と、
    前記検証ウェブページを開き、前記検証ウェブページの開かれた状態に関連するデータを確認する命令と、
    前記初期状態に関連するデータと前記検証ウェブページの開かれた状態に関連するデータを比較する命令と、
    前記初期状態に関連するデータ及び前記検証ウェブページの開かれた状態に関連するデータの検出差異に基づき、前記検証ウェブページの少なくとも1つの変更されたコードのフラグメントを特定する命令と、
    悪意のあるソフトウェア構成ファイルのデータベースに、前記悪意のあるソフトウェアの少なくとも1つの構成ファイルを格納する命令と、
    ードウェアプロセッサによって、前記検証ウェブページを作成するための前記少なくとも1つの構成ファイルを複数の基準に基づいて選択する命令と、
    を含み、
    前記複数の基準は、一定期間内における前記少なくとも1つの構成ファイル内における挿入コードの検出頻度を含む、記録媒体。
  14. 前記検証ウェブページを開くことは、ウェブブラウザによって前記検証ウェブページを開くことによって行われる、請求項13に記載の非一過性の記録媒体。
JP2016093198A 2015-06-30 2016-05-06 変更されたウェブページを判定するためのシステム及び方法 Active JP6371790B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2015125971A RU2610254C2 (ru) 2015-06-30 2015-06-30 Система и способ определения измененных веб-страниц
RU2015125971 2015-06-30
US14/834,853 2015-08-25
US14/834,853 US9407658B1 (en) 2015-06-30 2015-08-25 System and method for determining modified web pages

Publications (2)

Publication Number Publication Date
JP2017021778A JP2017021778A (ja) 2017-01-26
JP6371790B2 true JP6371790B2 (ja) 2018-08-08

Family

ID=56507345

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016093198A Active JP6371790B2 (ja) 2015-06-30 2016-05-06 変更されたウェブページを判定するためのシステム及び方法

Country Status (5)

Country Link
US (2) US9407658B1 (ja)
EP (1) EP3113064B1 (ja)
JP (1) JP6371790B2 (ja)
CN (1) CN106326742B (ja)
RU (1) RU2610254C2 (ja)

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
EP3335148B1 (en) * 2016-02-01 2019-07-10 Google LLC Systems and methods for deploying countermeasures against unauthorized scripts interfering with the rendering of content elements on information resources
EP3335395B1 (en) 2016-02-01 2021-03-24 Google LLC Systems and methods for dynamically restricting the rendering of unauthorized content included in information resources
US11182720B2 (en) 2016-02-16 2021-11-23 BitSight Technologies, Inc. Relationships among technology assets and services and the entities responsible for them
US10990507B2 (en) * 2016-02-25 2021-04-27 Dell Products L.P. System and method for provisioning a virtual machine test environment
US10013557B1 (en) 2017-01-05 2018-07-03 Votiro Cybersec Ltd. System and method for disarming malicious code
CN107016282B (zh) * 2017-02-06 2020-01-31 阿里巴巴集团控股有限公司 一种信息处理方法及装置
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
CN107749835B (zh) * 2017-09-11 2020-11-20 哈尔滨工程大学 一种基于预测的点击劫持攻击的渗透测试方法
CN107592322B (zh) * 2017-11-01 2020-01-21 北京知道创宇信息技术股份有限公司 网址拦截方法及装置
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
US10831856B1 (en) 2018-04-10 2020-11-10 Amdocs Development Limited System, method, and computer program for implementing trustable, unobtrusive webpage monitoring and correcting based on validation rules
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
CN109446056B (zh) * 2018-09-11 2023-03-21 平安科技(深圳)有限公司 代码验证方法、装置、电子设备及介质
TWI669624B (zh) * 2018-09-19 2019-08-21 宏碁股份有限公司 網頁內容自我保護方法以及伺服器
US11200323B2 (en) 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US10521583B1 (en) * 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
US11017119B2 (en) 2018-12-14 2021-05-25 Synergex Group Methods, systems, and media for detecting alteration of a web page
CA3120788C (en) 2018-12-27 2022-06-28 Citrix Systems, Inc. Systems and methods for development of web products
US11188647B2 (en) * 2019-02-20 2021-11-30 Paypal, Inc. Security via web browser tampering detection
US10498760B1 (en) * 2019-07-16 2019-12-03 ALSCO Software LLC Monitoring system for detecting and preventing a malicious program code from being uploaded from a client computer to a webpage computer server
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US11392721B2 (en) * 2019-12-13 2022-07-19 At&T Intellectual Property I, L.P. Virtual machine formjacking protection
US10791140B1 (en) 2020-01-29 2020-09-29 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity state of entities based on computer network characterization
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US10764298B1 (en) 2020-02-26 2020-09-01 BitSight Technologies, Inc. Systems and methods for improving a security profile of an entity based on peer security profiles
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management
US11824878B2 (en) 2021-01-05 2023-11-21 Bank Of America Corporation Malware detection at endpoint devices
US11989294B2 (en) 2021-01-07 2024-05-21 Bank Of America Corporation Detecting and preventing installation and execution of malicious browser extensions
US11632395B2 (en) * 2021-04-07 2023-04-18 ArmorBlox, Inc. Method for detecting webpage spoofing attacks

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7962756B2 (en) * 2006-10-31 2011-06-14 At&T Intellectual Property Ii, L.P. Method and apparatus for providing automatic generation of webpages
US8434149B1 (en) * 2007-12-21 2013-04-30 Symantec Corporation Method and apparatus for identifying web attacks
US8677481B1 (en) * 2008-09-30 2014-03-18 Trend Micro Incorporated Verification of web page integrity
US8225401B2 (en) 2008-12-18 2012-07-17 Symantec Corporation Methods and systems for detecting man-in-the-browser attacks
US8381300B2 (en) * 2009-01-26 2013-02-19 Microsoft Corporation Offline extraction of configuration data
BR112012018643B1 (pt) 2010-01-26 2021-12-07 EMC IP Holding Company LLC Método para detecção de acessos não autorizados de recursos online seguros, sistema de segurança de rede para detectar acessos não autorizados de recursos online seguros e mídia de armazenamento legível por computador
US8813232B2 (en) * 2010-03-04 2014-08-19 Mcafee Inc. Systems and methods for risk rating and pro-actively detecting malicious online ads
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
IL217279A0 (en) 2011-12-29 2012-02-29 Israel Ragutski Method and system for ensuring authenticity of ip data served by a service provider
US20130347104A1 (en) * 2012-02-10 2013-12-26 Riverside Research Institute Analyzing executable binary code without detection
EP2642715A1 (en) 2012-03-20 2013-09-25 British Telecommunications public limited company Method and system for malicious code detection
CN102663285B (zh) * 2012-03-21 2015-06-10 北京奇虎科技有限公司 一种apk病毒特征码的提取方法及装置
RU2523114C2 (ru) * 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
KR101400680B1 (ko) 2013-03-12 2014-05-29 주식회사 윈스 악성코드 자동 수집 시스템
US9225737B2 (en) 2013-03-15 2015-12-29 Shape Security, Inc. Detecting the introduction of alien content
US11386181B2 (en) * 2013-03-15 2022-07-12 Webroot, Inc. Detecting a change to the content of information displayed to a user of a website
US9424424B2 (en) * 2013-04-08 2016-08-23 Trusteer, Ltd. Client based local malware detection method
US10033761B2 (en) * 2013-07-05 2018-07-24 Nippon Telegraph And Telephone Corporation System and method for monitoring falsification of content after detection of unauthorized access
US8959643B1 (en) * 2013-08-09 2015-02-17 Narus, Inc. Detecting malware infestations in large-scale networks
US8893294B1 (en) * 2014-01-21 2014-11-18 Shape Security, Inc. Flexible caching

Also Published As

Publication number Publication date
RU2610254C2 (ru) 2017-02-08
CN106326742A (zh) 2017-01-11
RU2015125971A (ru) 2017-01-10
US9860270B2 (en) 2018-01-02
US20170006046A1 (en) 2017-01-05
CN106326742B (zh) 2019-03-29
JP2017021778A (ja) 2017-01-26
EP3113064B1 (en) 2017-11-29
US9407658B1 (en) 2016-08-02
EP3113064A1 (en) 2017-01-04

Similar Documents

Publication Publication Date Title
JP6371790B2 (ja) 変更されたウェブページを判定するためのシステム及び方法
US10140451B2 (en) Detection of malicious scripting language code in a network environment
JP6670907B2 (ja) スクリプトの実行をブロックするシステム及び方法
JP6346632B2 (ja) モバイルデバイスでの悪質なファイルを検出するシステム及び方法
RU2637477C1 (ru) Система и способ обнаружения фишинговых веб-страниц
US10013555B2 (en) System and method for detecting harmful files executable on a virtual stack machine based on parameters of the files and the virtual stack machine
JP2019091435A (ja) 訓練された機械学習モデルを使用することで悪意のあるファイルを検出するシステムおよび方法
JP2019003596A (ja) 静的分析の要素を用いた悪質なファイルを検出するためのシステム及び方法
CN110445769B (zh) 业务***的访问方法及装置
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
KR101917996B1 (ko) 악성 스크립트 탐지 방법 및 장치
JP7320462B2 (ja) アクセス権に基づいてコンピューティングデバイス上でタスクを実行するシステムおよび方法
JP6840708B2 (ja) ウェブリソースの変更を検出するシステムおよび方法
KR101434179B1 (ko) 이메일 기반 문서형 악성코드 고속탐지 시스템 및 방법
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US11816213B2 (en) System and method for improved protection against malicious code elements
RU2774042C1 (ru) Система и способ выявления потенциально вредоносных изменений в приложении
CN110347941B (zh) 用于标识网页数据片段的未知属性的***和方法
RU2757330C1 (ru) Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя
JP6498413B2 (ja) 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム
EP3151149B1 (en) System and method for blocking execution of scripts
EP3261009A1 (en) System and method for secure online authentication
CN114499968A (zh) 一种xss攻击检测方法及装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170817

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180109

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180328

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180626

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180713

R150 Certificate of patent or registration of utility model

Ref document number: 6371790

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250