JP6639588B2 - 悪意あるファイルを検出するシステムおよび方法 - Google Patents
悪意あるファイルを検出するシステムおよび方法 Download PDFInfo
- Publication number
- JP6639588B2 JP6639588B2 JP2018157019A JP2018157019A JP6639588B2 JP 6639588 B2 JP6639588 B2 JP 6639588B2 JP 2018157019 A JP2018157019 A JP 2018157019A JP 2018157019 A JP2018157019 A JP 2018157019A JP 6639588 B2 JP6639588 B2 JP 6639588B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- computer
- call log
- computers
- remote server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 64
- 230000006870 function Effects 0.000 claims description 58
- 238000001514 detection method Methods 0.000 claims description 27
- 241000700605 Viruses Species 0.000 claims description 24
- 230000008569 process Effects 0.000 claims description 21
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims 2
- 230000006399 behavior Effects 0.000 description 53
- 244000035744 Hura crepitans Species 0.000 description 18
- 230000009471 action Effects 0.000 description 11
- 230000002155 anti-virotic effect Effects 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 241001377938 Yara Species 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000007630 basic procedure Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000012407 engineering method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
Description
・OpenIOC (https://community.rsa.com/docs/DOC-62341, https://web.archive.org/web/20160401023434/, http://blogs.rsa.com/understanding-indicators-of-compromise-ioc-part-i/, http://openioc.org/)、
・STIX (https://stix.mitre.org/)、
・CybOX (https://cybox.mitre.org)、等。
・侵入の痕跡、
・セキュリティ判定(例えば、サンドボックス、侵入検知システム(IDS)の判定)、
・ファイルのチェックサム、または、ファイルの一部のチェックサム、
・コンピューティングデバイス101へのファイルアップロードの送信元(例えば、ソースIPアドレス、コンピュータに対するファイルのダウンロード元のフラッシュドライブ、等)、
・ファイルがネットワークを介して送信しているデータ(例えば、どのIPアドレスがアクセスされているか、どのパケットが送信されているか、等)、
・ファイルがネットワークを介して受信しているデータ(例えば、どのIPアドレスから送信されているか、どのパケットが送信されているか、等)、
・コンピュータ上でのドメインネームシステム(DNS)サーバの交換。
また、標的型攻撃保護モジュール103はローカル呼び出しログ109を検出モジュール110に送信するように構成されてもよい。
・呼ばれた関数の名前、
・上記ファイルから起動されたプロセスの一意的なプロセス識別子(PID)、
・プロセスのアドレス空間の命令を実行しているスレッドの一意的なスレッド識別子(TID)、
・上記関数の一組の引数、
・関数呼び出しの時刻。
・疑わしいAPI関数のリストにあるAPI関数の呼び出し(例えば、リストは以下のAPI関数を含んでいてもよい:WinExec、CreateProcess、GetFileSize、CreateFile)、
・API関数GetFileSizeが10回呼び出された、
・API関数WriteFileの呼び出しに続く、API関数WinExecの呼び出し(実行用ファイルの起動)、
・コンピュータ上のDNSサーバの交換、
・オペレーティングシステム自動更新の停止、
・ネットワークファイアウォールの停止、
・保護モジュールの停止、
・ユーザアカウント制御(UAC:ウィンドウズ(登録商標)OSのコンポーネント)の停止。
・API関数からのリターンアドレスへの制御の移管手順、
・ウィンドウズ(登録商標)NTネイティブAPI関数の直接呼び出し、
・ウィンドウズ(登録商標)NTネイティブAPI関数からのリターン、
・コンピュータシステムの切断または過負荷の事象、
・オペレーティングシステムのシステムイベント、
・侵入の痕跡、
・システムコール(fopen()、create()、等)、
・保護モジュールの判定(ウィルス、ワーム、トロイの木馬、あるいは、条件によっては望ましくないソフトウェア等)、
・ファイルまたはその一部のチェックサム、
・コンピューティングデバイス101へのファイルのダウンロードのソース(例えば、ソースのIPアドレス、コンピュータに対するファイルのロード元のフラッシュドライブ、等)、
・ファイルの実行のエミュレーション結果(エミュレータの判定)、
・ファイルがコンピューティングデバイス上に出現した時刻、
・ファイルがネットワークを介して送信しているデータ(例えば、どのIPアドレスがアクセスされているか、どのパケットが送信されているか、等)、
・ファイルがネットワークを介して取得しているデータ(例えば、どのIPアドレスがアクセスされているか、どのパケットが送信されているか、等)。
・コンピュータ上におけるDNSサーバの置換、
・オペレーティングシステム自動更新の無効化、
・ネットワークファイアウォールの無効化、
・保護モジュールの無効化、
・ユーザアカウント制御コンポーネントの無効化、
・オペレーティングシステムのシステム復元コンポーネントの無効化。
・ファイルマネージャ内の「隠しファイル、隠しフォルダー、および隠しドライブを表示する」の停止、
・ネットワークファイアウォールのルールの変更、
・hostsファイルの変更、
・ファイル自体の削除(例えば、プロセスが悪意あるファイルから実行されると、悪意あるコードをシステムプロセス"svchost.exe"の文脈に埋め込み、その後、元の悪意あるファイルを削除する)、
・コンピュータシステムの切断または過負荷の事象、
・プロセス中で発生した例外的状況、
・システムライブラリ(kernel32.dll、ntdll.dll、等)の記述子のアドレスの取得、
・メモリ割り当て、
・システム構造体(プロセス環境ブロック(PEB))の読み込み、
・ファイル記述子の連続取得。
・侵入の痕跡、
・セキュリティ判定(例えば、サンドボックス、IDSの判定)、
・実行ファイルのチェックサム、または、ファイルの一部のチェックサム、
・コンピューティングデバイス101へのファイルアップロードの送信元(例えば、ソースIPアドレス、コンピュータに対するファイルのダウンロード元のフラッシュドライブ、等)、
・ファイルがネットワーク越しに送信しているデータ(例えば、どのIPアドレスがアクセスされているか、どのパケットが送信されているか、等)、
・ファイルがネットワーク越しに受信しているデータ(例えば、どのIPアドレスから送信されているか、どのパケットが送信されているか、等)、
・コンピュータ上におけるDNSサーバの置換。
Claims (24)
- コンピュータが実行する、悪意あるファイルを検出するための方法であって、
1台以上のコンピュータから、各コンピュータ上で実行中のファイルから実行された関数呼び出しを含む1つ以上の呼び出しログを受信することと、
前記1つ以上の呼び出しログを結合して、リモートサーバ上に位置する結合呼び出しログとすることと、
前記リモートサーバ上に位置する前記結合呼び出しログを検索して、脅威データベースに記憶されている1つ以上の挙動ルールに対する適合性を発見することと、
前記1つ以上の挙動ルールが前記リモートサーバ上に位置する前記呼び出しログの中に発見された場合、実行されている前記ファイルに関する判定を下すことと、
前記判定に関する情報を前記1台以上のコンピュータに送信することと、を含む各処理を前記コンピュータが実行することを特徴とする、方法。 - 前記1つ以上の挙動ルールを検索済みの前記1つ以上の呼び出しログを受信することをさらに含み、前記1つ以上の挙動ルールは、前記各コンピュータ上で実行中の前記ファイルが、悪意あるソフトウェア、および、条件によっては望ましくないソフトウェアのうちの少なくとも一方であることを示すことを特徴とする、請求項1に記載の方法。
- 前記リモートサーバ上に位置する前記結合呼び出しログが、前記1台以上のコンピュータのうちの1台のコンピュータの呼び出しログから取得した少なくとも1つのレコードであって、前記各コンピュータの呼び出しログには存在しない少なくとも1つのレコードを含む場合に限って、前記1つ以上の呼び出しログを結合することをさらに含むことを特徴とする、請求項1に記載の方法。
- 前記リモートサーバ上に位置する前記結合呼び出しログは、実行中の前記ファイルから起動されたプロセスの制御フローグラフを含むことを特徴とする、請求項1に記載の方法。
- 前記判定はウィルス、ワーム、トロイの木馬、および、条件によっては望ましくないソフトウェアのうちの少なくとも1つであることを特徴とする、請求項1に記載の方法。
- 前記1つ以上の挙動ルールは、疑わしい関数のリストにあるAPI関数の呼び出し、特定の関数の指定回数呼び出し、関数呼び出しの順序、前記コンピュータ上のドメインネームシステム(DNS)サーバ情報の交換、オペレーティングシステム更新の無効化、および、ネットワークファイアウォールの無効化のうちの少なくとも1つを含むことを特徴とする、請求項1に記載の方法。
- 前記ファイルに対するウィルスシグネチャを作成することと、前記ウィルスシグネチャを前記1台以上のコンピュータに送信することとをさらに含むことを特徴とする、請求項1に記載の方法。
- 前記実行中のファイルに関する情報を前記1つ以上の呼び出しログに記録することをさらに含むことを特徴とする、請求項1に記載の方法。
- 前記情報は、侵入の痕跡、セキュリティ判定、前記実行中のファイルのチェックサム、または前記実行中のファイルの一部のチェックサム、前記各コンピュータに対する前記実行中のファイルのアップロードの送信元、前記実行中のファイルによる送信データと受信データのうち少なくとも一方、および、DNSサーバ情報が前記各コンピュータ上で交換されたかどうか、のうちの少なくとも1つを含むことを特徴とする、請求項8に記載の方法。
- 悪意あるファイルを検出するためのシステムであって、
複数のコンピュータを含む情報システムを備え、
前記複数のコンピュータのそれぞれは、
各コンピュータ上のファイルの実行中にアプリケーションプログラミングインターフェース(API)呼び出しを記録し、
ローカル呼び出しログの中から、ローカル脅威データベースから得られた1つ以上の挙動ルールを検索し、
前記1つ以上の挙動ルールが前記ローカル呼び出しログの中から発見された場合、前記ファイルが悪意あるものであると判定し、かつ、前記各コンピュータ上の前記ファイルの実行を停止し、
前記1つ以上の挙動ルールが前記ローカル呼び出しログの中から発見されなかった場合、前記ローカル呼び出しログを検出モジュールに送信する、
コンピュータ保護モジュールを備え、
前記情報システムと接続され、リモートサーバ上に位置する前記検出モジュールは、
前記複数のコンピュータのそれぞれの前記コンピュータ保護モジュールから受信した前記ローカル呼び出しログを結合して、前記リモートサーバ上に位置する結合呼び出しログとし、
前記リモートサーバ上に位置する前記結合呼び出しログの中から、第2の脅威データベースから得た前記1つ以上の挙動ルールを検索し、
前記1つ以上の挙動ルールが前記リモートサーバ上に位置する前記結合呼び出しログの中に発見された場合、前記ファイルが悪意あるものであることを示す判定を下し、前記ファイルに対するウィルスシグネチャを作成し、前記ウィルスシグネチャを各コンピュータの前記コンピュータ保護モジュールに送信することを特徴とする、システム。 - 前記検出モジュールは、さらに、前記1つ以上の挙動ルールを検索済みの前記1つ以上の呼び出しログを受信し、前記1つ以上の挙動ルールは、前記各コンピュータ上で実行中の前記ファイルが、悪意あるソフトウェア、および、条件によっては望ましくないソフトウェアのうちの少なくとも一方であることを示すことを特徴とする、請求項10に記載のシステム。
- 前記検出モジュールは、前記リモートサーバ上に位置する前記結合呼び出しログが、前記複数のコンピュータのうちの1台のコンピュータの呼び出しログから取得した少なくとも1つのレコードであって、前記各コンピュータの呼び出しログには存在しない少なくとも1つのレコードを含む場合に限って、前記1つ以上の呼び出しログを結合することを特徴とする、請求項10に記載のシステム。
- 前記リモートサーバ上に位置する前記結合呼び出しログは、実行中の前記ファイルから起動されたプロセスの制御フローグラフを含むことを特徴とする、請求項10に記載のシステム。
- 前記判定はウィルス、ワーム、トロイの木馬、および、条件によっては望ましくないソフトウェアのうちの少なくとも1つであることを特徴とする、請求項10に記載のシステム。
- 前記1つ以上の挙動ルールは、疑わしい関数のリストにあるAPI関数の呼び出し、特定の関数の指定回数呼び出し、関数呼び出しの順序、前記コンピュータ上のドメインネームシステム(DNS)サーバ情報の交換、オペレーティングシステム更新の無効化、および、ネットワークファイアウォールの停止のうちの少なくとも1つを含むことを特徴とする、請求項10に記載のシステム。
- 前記ローカル呼び出しログの中の前記実行中のファイルに関する情報を記録する標的型攻撃保護モジュールをさらに含むことを特徴とする、請求項10に記載のシステム。
- 前記情報は、侵入の痕跡、セキュリティ判定、前記実行中のファイルのチェックサム、または前記実行中のファイルの一部のチェックサム、前記各コンピュータに対する前記実行中のファイルのアップロードの送信元、前記実行中のファイルによる送信データと受信データのうち少なくとも一方、および、DNSサーバ情報が前記各コンピュータ上で交換されたかどうか、のうちの少なくとも1つを含むことを特徴とする、請求項16に記載のシステム。
- プロセッサによって実行されたときに悪意あるファイルを検出するための方法を実行する命令を記憶した非一時的なコンピュータ読み取り可能な媒体であって、前記方法は、
1台以上のコンピュータから、各コンピュータ上で実行中のファイルから実行された関数呼び出しを含む1つ以上の呼び出しログを受信することと、
前記1つ以上の呼び出しログを結合して、リモートサーバ上に位置する結合呼び出しログとすることと、
前記リモートサーバ上に位置する前記結合呼び出しログを検索して、脅威データベースに記憶されている1つ以上の挙動ルールに対する適合性を発見することと、
挙動ルールが前記リモートサーバ上に位置する前記呼び出しログの中に発見された場合、実行されている前記ファイルに関する判定を下すことと、
前記判定に関する情報を前記1台以上のコンピュータに送信することと、
を含むことを特徴とする、コンピュータ読み取り可能な媒体。 - 前記1つ以上の挙動ルールを検索済みの前記1つ以上の呼び出しログを受信することをさらに含み、前記1つ以上の挙動ルールは、前記実行中のファイルが、悪意あるソフトウェア、および、条件によっては望ましくないソフトウェアのうちの少なくとも一方であることを示すことを特徴とする、請求項18に記載の媒体。
- 前記リモートサーバ上に位置する前記結合呼び出しログが、前記1台以上のコンピュータのうちの1台のコンピュータの呼び出しログから取得した少なくとも1つのレコードであって、前記各コンピュータの呼び出しログには存在しない少なくとも1つのレコードを含む場合に限って、前記1つ以上の呼び出しログを結合することをさらに含むことを特徴とする、請求項18に記載の媒体。
- 前記リモートサーバ上に位置する前記結合呼び出しログは、実行中の前記ファイルから起動されたプロセスの制御フローグラフを含むことを特徴とする、請求項18に記載の媒体。
- 前記判定はウィルス、ワーム、トロイの木馬、および、条件によっては望ましくないソフトウェアのうちの少なくとも1つであることを特徴とする、請求項18に記載の媒体。
- 前記1つ以上の挙動ルールは、疑わしい関数のリストにあるAPI関数の呼び出し、特定の関数の指定回数呼び出し、関数呼び出しの順序、前記コンピュータ上のドメインネームシステム(DNS)サーバ情報の交換、オペレーティングシステム更新の無効化、および、ネットワークファイアウォールの停止のうちの少なくとも1つを含むことを特徴とする、請求項18に記載の媒体。
- 前記ファイルに対するウィルスシグネチャを作成することと、前記ウィルスシグネチャを前記1台以上のコンピュータに送信することとをさらに含むことを特徴とする、請求項18に記載の媒体。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201762574248P | 2017-10-19 | 2017-10-19 | |
US62/574,248 | 2017-10-19 | ||
US16/011,822 US10867039B2 (en) | 2017-10-19 | 2018-06-19 | System and method of detecting a malicious file |
US16/011,822 | 2018-06-19 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019079500A JP2019079500A (ja) | 2019-05-23 |
JP6639588B2 true JP6639588B2 (ja) | 2020-02-05 |
Family
ID=63449327
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018157019A Active JP6639588B2 (ja) | 2017-10-19 | 2018-08-24 | 悪意あるファイルを検出するシステムおよび方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US10867039B2 (ja) |
EP (1) | EP3474176B1 (ja) |
JP (1) | JP6639588B2 (ja) |
CN (1) | CN109684832B (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10911472B2 (en) * | 2016-02-25 | 2021-02-02 | Imperva, Inc. | Techniques for targeted botnet protection |
US10855711B2 (en) | 2018-06-06 | 2020-12-01 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
RU2708355C1 (ru) * | 2018-06-29 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных файлов, противодействующих анализу в изолированной среде |
US11200317B2 (en) * | 2018-07-22 | 2021-12-14 | Minerva Labs Ltd. | Systems and methods for protecting a computing device against malicious code |
US10812507B2 (en) | 2018-12-15 | 2020-10-20 | KnowBe4, Inc. | System and methods for efficient combining of malware detection rules |
FI3823322T3 (fi) * | 2018-12-20 | 2023-04-27 | Merck Patent Gmbh | Menetelmiä ja järjestelmiä esineen todennuksen valmisteluun ja suorittamiseen |
CN110135160B (zh) * | 2019-04-29 | 2021-11-30 | 北京邮电大学 | 软件检测的方法、装置及*** |
US11516228B2 (en) * | 2019-05-29 | 2022-11-29 | Kyndryl, Inc. | System and method for SIEM rule sorting and conditional execution |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
CN112149126A (zh) * | 2019-06-28 | 2020-12-29 | 卡巴斯基实验室股份制公司 | 确定文件的信任级别的***和方法 |
US11238154B2 (en) * | 2019-07-05 | 2022-02-01 | Mcafee, Llc | Multi-lateral process trees for malware remediation |
KR102317833B1 (ko) * | 2019-10-31 | 2021-10-25 | 삼성에스디에스 주식회사 | 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법 |
CN111241546B (zh) * | 2020-01-12 | 2022-06-21 | 苏州浪潮智能科技有限公司 | 一种恶意软件行为检测方法和装置 |
CN113626296A (zh) * | 2020-05-09 | 2021-11-09 | 深圳云天励飞技术有限公司 | 一种***稳定性的检测方法、装置和终端 |
GB2597096B (en) * | 2020-07-15 | 2022-10-05 | British Telecomm | Computer-implemented automatic security methods and systems |
CN112182561B (zh) * | 2020-09-24 | 2024-04-30 | 百度在线网络技术(北京)有限公司 | 一种后门的检测方法、装置、电子设备和介质 |
CN113032779B (zh) * | 2021-02-04 | 2024-01-02 | 中国科学院软件研究所 | 一种基于行为参数布尔表达式规则的多行为联合匹配方法和装置 |
US20230076376A1 (en) * | 2021-09-09 | 2023-03-09 | Texas Instruments Incorporated | Resource access in a microcontroller |
US20230350782A1 (en) * | 2022-04-28 | 2023-11-02 | Twilio Inc. | Data logging for api usage analytics |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060161816A1 (en) * | 2004-12-22 | 2006-07-20 | Gula Ronald J | System and method for managing events |
US8181248B2 (en) * | 2006-11-23 | 2012-05-15 | Electronics And Telecommunications Research Institute | System and method of detecting anomaly malicious code by using process behavior prediction technique |
US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
US8635694B2 (en) * | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
KR20120096983A (ko) * | 2011-02-24 | 2012-09-03 | 삼성전자주식회사 | 악성 프로그램 검출 방법 및 이를 구현하는 휴대 단말기 |
US8555385B1 (en) | 2011-03-14 | 2013-10-08 | Symantec Corporation | Techniques for behavior based malware analysis |
US8955114B2 (en) * | 2011-12-14 | 2015-02-10 | Microsoft Corporation | Application monitoring through collective record and replay |
IL219499B (en) * | 2012-04-30 | 2019-02-28 | Verint Systems Ltd | A system and method for detecting malicious software |
IL219597A0 (en) | 2012-05-03 | 2012-10-31 | Syndrome X Ltd | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention |
CA2874489A1 (en) * | 2012-05-09 | 2013-11-14 | SunStone Information Defense Inc. | Methods and apparatus for identifying and removing malicious applications |
US9146767B2 (en) * | 2012-06-19 | 2015-09-29 | Raytheon Company | Secure cloud hypervisor monitor |
US9754105B1 (en) * | 2012-09-25 | 2017-09-05 | Malwarebytes Corporation | Preventing the successful exploitation of software application vulnerability for malicious purposes |
JP2014071796A (ja) | 2012-10-01 | 2014-04-21 | Nec Corp | マルウェア検知装置、マルウェア検知システム、マルウェア検知方法、及びプログラム |
JP6326502B2 (ja) * | 2013-12-27 | 2018-05-16 | マカフィー, エルエルシー | 頻度に基づくレピュテーション |
CN104133691B (zh) | 2014-05-05 | 2016-08-31 | 腾讯科技(深圳)有限公司 | 加速启动的方法及装置 |
US9329974B2 (en) * | 2014-06-26 | 2016-05-03 | Intel Corporation | Technologies for determining binary loop trip count using dynamic binary instrumentation |
CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
US9332029B1 (en) | 2014-12-24 | 2016-05-03 | AO Kaspersky Lab | System and method for malware detection in a distributed network of computer nodes |
JP2016143320A (ja) | 2015-02-04 | 2016-08-08 | 富士通株式会社 | ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム |
US9483643B1 (en) | 2015-03-13 | 2016-11-01 | Symantec Corporation | Systems and methods for creating behavioral signatures used to detect malware |
US20170134405A1 (en) * | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
RU2628921C1 (ru) * | 2016-03-18 | 2017-08-22 | Акционерное общество "Лаборатория Касперского" | Система и способ выполнения антивирусной проверки файла на виртуальной машине |
-
2018
- 2018-06-19 US US16/011,822 patent/US10867039B2/en active Active
- 2018-08-24 JP JP2018157019A patent/JP6639588B2/ja active Active
- 2018-08-30 EP EP18191630.5A patent/EP3474176B1/en active Active
- 2018-09-11 CN CN201811056891.7A patent/CN109684832B/zh active Active
-
2020
- 2020-11-16 US US17/098,706 patent/US11829473B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3474176B1 (en) | 2021-03-24 |
US20190121977A1 (en) | 2019-04-25 |
EP3474176A1 (en) | 2019-04-24 |
CN109684832A (zh) | 2019-04-26 |
JP2019079500A (ja) | 2019-05-23 |
US20210064748A1 (en) | 2021-03-04 |
US11829473B2 (en) | 2023-11-28 |
CN109684832B (zh) | 2023-06-30 |
US10867039B2 (en) | 2020-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6639588B2 (ja) | 悪意あるファイルを検出するシステムおよび方法 | |
JP7084778B2 (ja) | 標的型攻撃をクラウド型検出、探索および除去するシステムおよび方法 | |
US10599841B2 (en) | System and method for reverse command shell detection | |
US10242186B2 (en) | System and method for detecting malicious code in address space of a process | |
CN110119619B (zh) | 创建防病毒记录的***和方法 | |
US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
JP2019067372A (ja) | プロセスのアドレス空間内の悪意のあるコードの検出のためのシステムおよび方法 | |
Qbeitah et al. | Dynamic malware analysis of phishing emails | |
Hassan et al. | Endpoint Defense Strategies: How to Protect Endpoints from Ransomware Attacks | |
RU2673407C1 (ru) | Система и способ определения вредоносного файла | |
EP3522058B1 (en) | System and method of creating antivirus records | |
Major | A Taxonomic Evaluation of Rootkit Deployment, Behavior and Detection | |
Pektaş | Classification des logiciels malveillants basée sur le comportement à l'aide de l'apprentissage automatique en ligne | |
Corregedor | An Architecture for Anti-Malware Protection Based on Collaboration |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20181205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190814 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190910 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191206 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191217 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191224 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6639588 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |