JPH09502550A - デジタル信号集合体に対する改変検出方法 - Google Patents

デジタル信号集合体に対する改変検出方法

Info

Publication number
JPH09502550A
JPH09502550A JP7504087A JP50408795A JPH09502550A JP H09502550 A JPH09502550 A JP H09502550A JP 7504087 A JP7504087 A JP 7504087A JP 50408795 A JP50408795 A JP 50408795A JP H09502550 A JPH09502550 A JP H09502550A
Authority
JP
Japan
Prior art keywords
string
test
digital signals
original
adjacent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP7504087A
Other languages
English (en)
Other versions
JP3686080B2 (ja
Inventor
スィー.、ザ サード アレン、ローレンス
フォレスト、スティファニー
エス. ペレルソン、アラン
Original Assignee
スィー.、ザ サード アレン、ローレンス
フォレスト、スティファニー
エス. ペレルソン、アラン
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by スィー.、ザ サード アレン、ローレンス, フォレスト、スティファニー, エス. ペレルソン、アラン filed Critical スィー.、ザ サード アレン、ローレンス
Publication of JPH09502550A publication Critical patent/JPH09502550A/ja
Application granted granted Critical
Publication of JP3686080B2 publication Critical patent/JP3686080B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 オリジナル・コンピュータ・ファイルを保護するための保護ファイル(図1A及び図2A)の作成方法、及び、オリジナル・コンピュータ・ファイルへのウイルス進入を検出する確率論的な方法が開示される。保護ファイル(16又は116)を作成するために、好適な実施例においては、ランダム・テスト・ストリング(12又は112)を発生させ、テスト・ストリングをオリジナル・ファイル(10又は110)と比べてマッチする場合にはテスト・ストリングを廃棄し、マッチしない場合には保持し、マッチしない複数のテスト・ストリングを格納して保護ファイルを形成することによって保護ファイルが作成される。コンピュータウイルス検出方法において、可能性のあるウイルス感染についてスクリーニングされるコンピュータ・ファイルは保護ファイルの各テスト・ストリングと比べられ、保護ファイルにおけるテスト・ストリング全てがスクリーニングされているコンピュータ・ファイルとマッチしていなければスクリーニングされているコンピュータ・ファイルはウイルス感染していないと決定される。しかし、テスト・ストリングとスクリーニングされているコンピュータ・ファイルとがマッチする場合には、スクリーニングされているファイルにおける変化が検出される。

Description

【発明の詳細な説明】 デジタル信号集合体に対する改変検出方法 技術分野 本発明は、コンピュータにおいて格納されもしくは使用されるようなデジタル 信号集合体に対する改変を検出する方法に関する。また、特に、本発明は、例え ば、ウイルスや他の形態による不当な改ざんにより生じたコンピュータファイル 内の改変を検出する方法に関する。 発明の背景 ハードウェアはネットワークを介して相互に関係付けられ、一方ソフトウェア はコンピュータプログラム及びデータの携帯性という面から相互に関係付けられ るというように、コンピュータシステムやソフトウェアが益々相互に関連してく るにつれて、例えばウイルスのような不当な利用者や不当な改ざん者による不当 な侵入から守ることは益々困難なものとなってきている。更に、コンピュータが 益々相互に関係付けられるにつれて、一旦コンピュータネットワークのあるノー ドでそのような侵入が起こるとその侵入から(他の装置を)離隔させるのは益々 困難になってきている。 この技術分野においては、ウイルス検出プログラムがよく知られている。典型 的な従来のウイルス検出プログラムにおいては、コンピュータの副構成要素であ る記憶 媒体(メモリ又はディスク)内に寄生する特定のウイルスを追跡してその存在を 判断することがプログラムにより行われている。しかしながら、かかる従来の対 ウイルス・プログラムは単に既知のウイルスを検出するにすぎない。新しいウイ ルスが創作されてコンピュータプログラムに侵入するような場合、その対ウイル ス・プログラムでは新しいウイルスは特定できないので、そのような新規に侵入 するウイルスの存在を検出することはできない。それ故、従来において対ウイル ス・プログラムが次々と出現してきた理由の一つとしては、新たに創作されたウ イルスを特定するために対ウイルス・プログラムは随時更新されなければならな かったからである。 同様に、従来の対ウイルス・プログラムの他の問題点としては次のようなもの がある。即ち、ネットワーク上のあるコンピュータのあるノードからあるウイル スが侵入し、対ウイルス・プログラムがそれを検出できなかった場合、ネットワ ーク上の他のすべてのコンピュータに同じ対ウイルス・プログラムが備わってい たとしても、そのウイルスは検出されないままネットワータ上の他のすべてのコ ンピュータに拡散してしまう。その結果、新しいウイルスであれば、コンピュー タネットワータ上のあるノードに一旦侵入すれば、全コンピュータネットワーク に侵入拡散できることが事実上確証される。 コンピュータ技術分野において、対ウイルス・プログラムと同じように、その 改変を検出するためにあるファ イルを他のファイルと比較するプログラムというのはよく知られている。加えて 、例えばチェックサムのようなファイル認証方法もこの技術分野においてはよく 知られている。 生物学の分野においては、免疫システム細胞というものがよく知られている。 T細胞がその免疫システムの一部を構成している。T細胞は抗原を検出する受容 体をその表面に有している。これらの受容体は疑似ランダム遺伝的過程を経て構 成され、いくつかの受容体は生体からの分子もしくは「自己分子」を検出するこ とができる高い可能性を有している。T細胞は胸腺において消極的選択と呼ばれ る検閲過程を経る。消極的選択において、自己分子もしくは生体にとって通常の 分子、又はペプチドである分子を認識したT細胞は、破壊され胸腺に抑留される 。自己ペプチドを検出しなかったT細胞は、胸腺を離れ、外部からの抗原に対す る免疫による保護についての一基礎を提供する。 発明の概要 本発明においては、オリジナル・コンピュータ・ファイルを保護するために、 複数の隣接デジタル信号を有するコンピュータ保護ファイルを生成する方法が開 示されている。その方法においては先ずテストファイルが生成される。テストフ ァイルは複数の隣接デジタル信号を有する。その方法においては、テストファイ ルにおける複数の隣接デジタル信号とオリジナル・コンピュータ・フ ァイルにおける複数の隣接デジタル信号とのマッチングが調べられる。そこで、 マッチしていた場合、そのテストファイルは破棄され、その手順はもとに戻って 前のテストファイルと異なる他のテストファイルを生成する。一方、マッチして いなかった場合、そのテストファイルは格納される。 本発明には、オリジナル・コンピュータ・ファイルに対する改変を検出する方 法も含まれており、その方法においてはオリジナル・コンピュータ・ファイルは 関連保護ファイルを有している。オリジナル・コンピュータ・ファイルは複数の 隣接デジタル信号を有している。関連コンピュータ保護ファイルも複数のテスト ファイルを有しており、それらのテストファイルの各々は複数の隣接デジタル信 号を有している。また、その複数の隣接デジタル信号は、オリジナル・コンピュ ータ保護ファイルが生成されたときにおいては、オリジナル・コンピュータ・フ ァイルにおける複数の隣接デジタル信号とはマッチしない信号である。そこで、 この方法においては、コンピュータ保護ファイルの1つのテストファイルの複数 の隣接デジタル信号とオリジナル・コンピュータ・ファイルにおける複数の隣接 デジタル信号とが比較される。非マッチの場合には、コンピュータ保護ファイル におけるすべてのテストファイルが検証されるまで、異なるテストファイルが選 択され、手順は比較のステップまで戻る。一方、テストファイルとオリジナル・ コンピュータ・フ ァイルがマッチした場合には、その手順は終了し、オリジナル・コンピュータ・ ファイルに改変が検出されたことになる。 図面の簡単な説明 図1a及び1bは、コンピュータ保護ファイルを生成し、そのコンピュータ保 護ファイルが生成された後のオリジナル・コンピュータ・ファイルに対する改変 を検出するという本発明の好適な実施例における2つの方法のそれぞれのフロー チャートである。 図2a及び2bは、それぞれ図1a及び1bに示された方法の他の実施例のフ ローチャートである。 図3は、コンピュータのネットワークの概略図であり、それぞれのコンピュー タは、ネットワークのあるノードからウイルスが侵入した場合にその拡散を防御 するためのオリジナル・コンピュータ・ファイルと関連した異なるコンピュータ 保護ファイルを有している。 図面の詳細な説明 本発明は、オリジナルのコンピュータ・ファイルを保護するため、コンピュー タ保護(protection)ファイルを生成する方法に関する。明細書中で、請求の範 囲を含めて、使われているように、「ファイル」という用語は、デジタル情報の 集まり(collection)を意味する。このようなデジタル情報の集まりには、コン ピュータのディスクドライブ等の、ある格納メディア(storage medium)上に物 理的に格納された物理的なファイルや、他の物理 的ファイルの一部である論理的ファイルが該当し得る。「ファイル」という用語 が示すものは、オリジナルのコンピュータ・ファイル内に含まれているコンピュ ータ保護ファイルのように、エンコードされ、他の「ファイル群」内に含まれる ことさえある。要するに、用語「ファイル」は、他の物理的集まりから分離され た物理的集まりに限定されず、単にデジタル情報の集まりが該当する。 図1aを参照すると、オリジナルのコンピュータ・ファイル10を保護するた めにコンピュータ保護ファイル16を生成する本発明の方法のフローチャートが 示されている。オリジナルのコンピュータ・ファイル10は、複数の隣接するデ ジタル信号を有するファイル又はストリングとして表されている。本発明の方法 は一般に、コンピュータ・システム内で保護されるデジタル情報の集まりに関す るので、オリジナルのストリング10は、バイナリ信号又は、バイトやキャラク タによってベースとされるより大きな信号であり得る。コンピュータは、テスト ・ストリング(R0)12として表されるテスト・ファイルをランダムに生成す る。テスト・ストリング12は、また、隣接するデジタル信号を複数有する。次 に、ランダムに生成されたテスト・ストリング12の、オリジナル・ストリング 10の一部に対する比較(match)が試みられる。これから詳細に説明されるよ うに、テスト・ストリングR0の複数の隣接するデジタル信号は、オリジナル・ ストリング10の複数の隣接するデジタル信号 と比較が試みられる。マッチ(以後、詳細に議論される基準)の場合、テスト・ ストリング12は、捨てられ(rejected)、そして、当該方法は続けて、別のラン ダム・テスト・ストリング12を生成し、前記のステップを続ける。マッチしな い(non-match)場合、テスト・ストリング12はコンピュータ保護ファイル1 6又は抗体セット(R)16内に保持される。好ましい実施の形態では、これま でに記載された方法が、複数の非マッチング(non-matching)・テスト・ファイ ル12が抗体セット(R)16内に、コンピュータ保護ファイルとして格納され るまで、続けられる。 ランダムに生成されたテスト・ストリング12の複数の隣接するデジタル信号 の、オリジナル・ストリング10の複数の隣接するデジタル信号への比較を試み るため、オリジナル・ストリング10はまず、それぞれが複数の隣接デジタル信 号から構成される、複数の隣接セグメントに構文解析され(parsed)、又は、論理 的に分解される。好ましい実施の形態では、オリジナル・ストリング10は、等 しいサイズのセグメントに、構文解析又は分解される。しかしながら、これは必 須の制限ではなく、単に便宜上のものである。例えば、オリジナル・ストリング 10が、 00101000100100000100001010010011 から成る32ビット・ストリングである場合、上記記載の32ビット・ストリン グは、以下のように、それぞれ 4つの隣接デジタル・ビットから構成される8つのセグメントに構文解析・分解 される。 0010|1000|1001|0000|0100|0010|1001|0011 オリジナル・ストリングが、それぞれ4つの隣接デジタル・ビットを有する8つ のセグメントに構文解析・分解されると、ランダムに生成されるテスト・ストリ ング12のそれぞれも、その長さが4つの隣接するデジタル・ビットになる。テ スト・ストリング12は、それから、テスト・ストリング12のデジタル信号の それぞれを、各セグメントのデジタル信号に対してテストすることによって、セ グメントのそれぞれと比較される。従って、テスト・ストリング12が隣接デジ タル信号「1000」を含む場合、テスト・ストリング12と第2セグメントと の間にマッチが見出される。その場合、当該方法は続いて、ランダムに異なるテ スト・ストリング12を生成し、そのテスト・ストリング12の、オリジナル・ ストリング10のセグメントのそれぞれに対する比較が試みられる。 ランダムに生成されたテスト・ストリング12が、オリジナル・ストリング1 0のセグメントのいずれにもマッチしないことが分かった場合、例えば、テスト ・ストリングが「0111」である場合、そのテスト・ストリング12は抗体セ ット(R)16内に格納される。好ましい実施の形態では、それぞれがオリジナ ル・ストリング10のセグメントのいずれにもマッチしない、複数の テスト・ストリング12が抗体セット(R)16内に格納されるまで、別のテス ト・ストリング12がランダムに生成され、オリジナル・ストリング10の各セ グメントに対してテストされる。 図1bを参照すると、本発明のもう一つの方法のフローチャートが示されてお り、ここでは、一旦、前記方法において判断されるように、マッチしない複数の テスト・ストリングが見出され、抗体セット(R)16内に格納されると、抗体 セット(R)16は、テストされるストリング18内に改変が生じているか否か を判断するのに使われる。テストされるストリング18は、テストされたオリジ ナル・ストリング10と関連を有する。オリジナル・ストリング又はオリジナル ・コンピュータ・ファイル10の許可されていない侵入又は侵略(unauthorized intrusion or invasion)が発生しなかった場合、テストされるストリング18 は、オリジナル・ストリング10と一致する。しかしながら、抗体セット(R) 16が生成されてから、オリジナル・ストリング10がウイルス等によって変更 、又は侵された場合、テストされるストリング18はオリジナル・ストリング1 0の変形物(variation)である。図1bに描かれた本発明の方法は、テストさ れるストリング18が、オリジナル・ストリング10である確率が高いのか、そ の変更された変形物であるかの判断をする。 好ましい実施の形態においては、テストされるストリ ング18も、それぞれ複数の隣接デジタル信号で構成される複数のセグメントに 構文解析又は分解される。再び、好ましい実施の形態においては、セグメントの 長さは等しく、かつ、抗体セット(R)16の生成に使われたセグメントの長さ に等しい。上の例で続けると、ストリング18は、それぞれ4ビット長の8つの セグメントに構文解析・分解される。4ビット長である、抗体セット(R)16 からのテスト・ストリングのそれぞれは、ストリング18のセグメントのそれぞ れに対して比較される。抗体セット(R)16からのテスト・ストリング12が ストリング18からのセグメントのいずれにもマッチしない場合、抗体セット( R)16から次のテスト・ストリング12が使われる。これは、抗体セット(R )16からのテスト・ストリングのすべてがテストされ、ストリング18がオリ ジナル・ストリング10と同じである確率が高いことが明らかにされるまで、続 く。 一方、抗体セット(R)16からのテスト・ストリングのいずれかが、ストリ ング18のセグメントのいずれかにマッチする場合は、ストリング18は、オリ ジナル・ストリング10と一致せず、オリジナル・ストリング10への変更が発 生したことが明らかにされる。 図3には、ネットワーク化された複数のコンピュータ20(A−D)の概略図 が示されている。本発明の前記方法による効果は、図3を参照することにより明 らかになる。もし、それぞれのコンピュータ20が各々のオリ ジナルのコンピュータ・プログラムあるいはストリング10を遂行すると仮定す るならば、図1aを用いて説明された方法により、各コンピュータ20(A−D )は連携されたコンピュータ保護ファイルあるいは他のコンピュータ20により 生成されたものとは異なる抗体セット(R)16を生成する。各保護ファイル1 6はランダムに生成されたテスト・ストリング12に基づいて作成されるため、 コンピュータ20Aと連携され、R1とラベルされた保護ファイル16は、コン ピュータ20Bにより生成されたオリジナルのストリング10と連携されたR2 とラベルされた保護ファイル16とは異なる。それゆえ、各コンピュータ20に とって、オリジナルファイル10と連携された保護ファイル16は別のものであ る。 ここで、コンピュータ・ノードの1つ、すなわちコンピュータ20Aに発生し たウイルスあるいは不許可の指令を想定してみよう。さらに、コンピュータ20 Aで動くオリジナルのコンピュータ・ファイル10と連携されたコンピュータ保 護ファイルR1は、ウイルスの指令を検出できないと仮定しよう。さらに、ウイ ルスは連結に沿ってコンピュータ20Bに伝播する。同じウイルスであるから、 コンピュータ20Aで動くオリジナルのストリング10を冒したのと同じように 、コンピュータ20Bで動くオリジナルのコンピュータ・ファイルあるいはオリ ジナルのストリング10を冒す。コンピュータ20Bのオリジナルのファイルと 連携されたコンピュータ保護 ファイルあるいは抗体セット16R2は、コンピュータ20Aのコンピュータ保 護ファイルとは異なるから、コンピュータ20Aのコンピュータ保護ファイルR1 がウイルスの指令を検出できなかったとしても、前述のテスト方法によればオ リジナルのコンピュータ・ファイル10の変化によりウイルスの存在を検出する かも知れない。それゆえ、ウイルスが全体のコンピュータネットワークに侵入す るためには、ウイルスはコンピュータ20Aのコンピュータ保護ファイルR1ば かりでなく、コンピュータ20Bの保護ファイルR2,コンピュータ20Cの保 護ファイルR3,コンピュータ20Dの保護ファイルR4にもまた打ち勝たねばな らない。お分かりのように、ネットワーク上のコンピュータの数が増えるにつれ 、増加するネットワーク上の異なる保護ファイルに対応して検出を避けるウイル スの能力も減少する。それゆえ、本発明の方法において、オリジナルのストリン グ10へのウイルスの指令の検出は、確率的根拠のある決定である。 検出の確率 検出は確率的なものであるため、次に保護ファイル16のテスト・ストリング およびオリジナルのストリング10の異なる構成に対する確率について説明する 。最初は、同じ長さの2つのストリング間の完全なマッチングは、ストリングの 各場所で、デジタル信号(バイナリ信号、あるいはバイト信号やキャラクタ信号 のようなバイナリ信号の集まり)が同一であることを意味することに 注意すべきである。1つの実施例においては、もし対応する場所におけるシンボ ルの隣接マッチングが起こるならば、マッチングが起こると思われる。さらに、 もしストリングの長さがlでありmがアルファベットのシンボルの数(シンボル がバイナリ1であり、104の順位にある場合、SPARCプロセッサからの指 令セットに対しm=2,そして中間値に対しm=50)であるならば,マッチン グの確率は次のように決定される。 もし、次の用語を定義するならば、 NR0=テスト・ストリングの最初の数(マッチングを行う前) NR =マッチングを行った後のテストストリングの数 Ns =オリジナルのストリングのセグメントの数 PM =2つのランダム・ストリングのマッチングの確率 f =Nsオリジナルのストリングのいずれもマッチングしないラン ダム・ストリングの確率 =(1−PMNS f =NR抗体が指令を検出しない確率 もし、PMが小さくNSが大きいならば、 そして、 上記をNRについて解くと、 あるいは、 であるから、 あるいは、 あるいは、 そこで、次の式を得る。 あるいは、 この式により、検出の確率(1−Pf)の関数として指令を検出することが求 められる最初のストリング(NR0)の数、保護されるオリジナルのストリングの セグメントの数(NS)、およびマッチングルール(PM)を予測することができ る。R0は、次式のようなマッチングルールを選択することにより最小化される 。 これは所望の検出の確率を選択することができ、NSの大きさ(保護されるべ きストリングの数)の関数として求められる抗体ストリングの数を概算すること ができることを示している。 検出の確率の増大はコンピュータ費用の増加に結び付くため(R0およびRの 大きさが増大するため)、(a) 1つの侵入行為がいかに致命的であるか、そして(b)システムにどれほど冗長 性が存在するか(すなわち、どれほど検出アルゴリズムのコピーが存在するか) を決定することにより所望の検出の確率を選択することができる。検出の確率は 独立の検出アルゴリズムの数により指数関数的に増加することに注意すべきであ る。もし、Nt=アルコリズムのコピーの数であるならば、 以下の表の値は、異なったアルファベットサイズ、すなわちmから対応するr およびlの値を求めたものである。 前述の表は、式に対して概算により求めたものである。結局、正確な式を用い て、以下の表の値を求めた。 他の実施例 図2aには、図1aに示された本願発明の方法の他の実施例のフローチャート が示されている。図2aのフローチャートでは、オリジナル・ストリングは11 0として記載されている。本願発明の方法を実行しているコンピュータは、ラン ダムなテスト・ストリング112を生成する。図1aに示されるオリジナル・ス トリング10と同様なオリジナル・ストリング110は、複数のセグメントとし て細かに調べられる。好ましい実施例では、セグメントのすべては複数の隣接デ ジタル信号からなる各々のセグメントと等価である。ついで、コンピュータはラ ンダムに生成させたテスト・ストリング112をオリジナル・ストリング110 の各々のセグメントとのマッチングを行う。結局、マッチしないと、テスト・ス トリング112は廃棄される。 結局、テスト・ストリング112がオリジナル・ストリング110のセグメン トとマッチすると、テスト・ストリング112は、抗体セット(R)116の一 部として保護ファイル116に保持される。抗体セット(R)116の生成は、 図1aで示され記述された抗体セット(R)16の正確に相補的なロジックとな る。しかしながら、テスト・ストリング112はオリジナル・ストリング110 のひとつ以上のセグメントとマッチするので、テスト・ストリング112がオリ ジナル・ストリング110とマッチする特定のひとつの場所かまたは複数の場 所もまた抗体セット(R)116に格納される。また、テスト・ストリング11 2がオリジナル・ストリング110のセグメントとマッチした回数に関するデー タも抗体セット(R)116に記録されなければならない。 図2aに示したフローチャートと同じように、図2bのフローチャートは、図 1bのフローチャートに示された方法の別の実施例である本願発明の方法を示し ている。一旦、抗体セット(R)ファイル116が作られると、抗体セット(R )ファイルはストリング118に対してテストされる。それは抗体セット116 からのテスト・ストリング112がストリング118に対してマッチすると仮定 される各々の場所で、抗体セット116からのテスト・ストリング112をテス トされるべきストリング118に対してマッチングを試みることになる。もし、 マッチしなければ、ストリング118はオリジナル・ストリング110と同一で はなく、オリジナル・ストリング110に対する変化が検出される。 もし抗体セット116からのテスト・ストリング112がストリング118の セグメントとマッチすれば、コンピュータはテスト・ストリング112をマッチ が起こると想定されているすべての場所がテストされるかまたは必要とされるマ ッチ数になるまで、残りのすべてのセグメントに対して比較を行う。これは、も し複数のマッチがあったり、オリジナル・ストリング110のセグメントのひと つのみにウィルスが感染したような場合、マ ッチングテストは抗体セット116からのテスト・ストリング112をオリジナ ル・ストリング110の想定されたマッチングセグメントのすべてに対して、変 更が生じていないことを確かめるため比較しなければならないため必要なことで ある。もし、抗体セット116からのテスト・ストリング112が、ストリング 118のセグメントの必須の回数や必須の場所でマッチすれば、第2のテスト・ ストリング112が抗体セット116から検索され、すべてのテスト・ストリン グ112がテストされるまで、別のマッチングテストが実行される。結局、すべ てのテスト・ストリング112が必須の場所および回数でストリング118のセ グメントとマッチし、ストリング118はオリジナル・ストリング110と同一 であるという高い信頼性を有するようになる。 図2aおよび2bに述べられ示されたオリジナル・ファイルでの変化を確実に 検知するという点における本発明の方法の有利な点は、同様に、図3に述べられ 示されるようなネットワークに適用することができる。ネットワークの各々のコ ンピュータ20(A−D)は他のコンピュータ20の抗体セット116とは異な るそれ自身の抗体セット116を生成するので、ウイルスを逃しコンピュータネ ットワーク全体に広がってしまう確率は、ネットワークにおけるコンピュータの 数が増加するにつれて減少するであろう。 その他の考察 前述において論じたように、本発明は物理的な”ファイル”の作成またはテス トに限定されない。用語”ファイル”の使用は、デジタル信号、キャラクタ信号 による又はバイトによるような2進数あるいはそれ以上のグループ化(grouping) の集合体を備え得るデジタル情報の集合を定義するには明かに手不足である。 更に、前述において論じたように、”マッチ”の概念は、各場所において完全 同一であるマッチに限定されない。上記において記載される一例は単に、”r< lとなるようなストリング長lにおいて、対応する位置における信号間での隣接 するr個のマッチ”である。他の実施例は単に、”r<lとなるようなストリン グ長lにおいて、対応する位置における信号間でのr個のマッチ”である。この 実施例は、対応する位置における信号間のマッチは隣接するマッチでなければな らないという要件を緩和する。他の形態のマッチには相補形態(complementary f orm)のような論理等価物が含められる。故に、例えば、2進法のストリング”0 111”は”1000”に対するマッチと考えられる。というのは、この2つは 論理的に相補的等価物であるからである。 更に、図1aに示され記載されるようなコンピュータ保護ファイル16の発生 において、オリジナル・ストリング10に”マッチしない”テスト・ストリング 12を保持することによって、対応する場所、例えば1つのシンボル、にマッチ がなければテスト・ストリング12は 拒絶される必要はない。言い換えれば、コンピュータ保護ファイル16は、複数 の”純粋な”テスト・ストリング12であってどのストリングもオリジナル・ス トリング10における対応するシンボルとマッチする単一シンボルは有しないよ うなものを備える必要はない。低レベルのマッチが許容され得る。 従って、テストされるストリング18に対してコンピュータ保護ファイル16 の各テスト・ストリング12をテストするに当たり、図1bに示され記載される ように対応する場所における単一シンボルのマッチのような低レベルのマッチは オリジナル・ストリング10が変更された旨の宣言に至る必要はない。 同様に、コンピュータ保護ファイル116の発生において、図2aに示され記 載されるように、オリジナル・ストリング110に”マッチする”テスト・スト リング112を保持することによって、対応する場所に例えば1つのシンボルが マッチしないならテスト・ストリング112は拒絶される必要はない。言い換え れば、コンピュータ保護ファイル116は、複数の”純粋な”テスト・ストリン グ112であってどのストリングもオリジナル・ストリング110における対応 するシンボルとマッチしない単一シンボルは有しないようなものを備える必要は ない。低レベルの非マッチングが許容され得る。 加えて、コンピュータ保護ファイル16の各テスト・ストリング12をテスト するに当り、図2bに示され記 載されるように、対応する場所における単一シンボルがマッチしないような低レ ベルの非マッチはオリジナル・ストリング10が変更された旨の宣誓に至る必要 はない。 故に、クレームを含めて、ここで用いるように、用語”マッチ”は、上述の方 法のいかなるものをも含むものであり、場合に応じて低レベルの”マッチ”又は ”非マッチ”を含むが、これらに限定されるものではない。 低レベルの”マッチ”又は”非マッチ”の許容の論拠は、単一シンボル(ビッ トまたはバイト)における変更のような幾つかの変更のみを生じるウイルスは蔓 延しないだろうということである。ウイルスが複写するならば、多くの変化が起 きウイルスが検出されるだろう。低レベルのウイルス攻撃を許容するための二律 背反性は、オリジナル・ストリングを保護するアルゴリズムが速く実行するだろ うが保護の低下を伴うということである。これは、人間の免疫系において低レベ ルのウイルス攻撃は必ずしも免疫応答を引き起こさないことと類似している。 最後に、テスト・ストリング12又は112の発生は、図1a及び図2bに示 され記載される方法においてランダムに発生しなくてもよい。次に発生するテス ト・ストリング12又は112が先に発生するテスト・ストリング12又は11 2と異なる限りにおいて、本発明の方法は同様に機能するだろう。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 アレン、ローレンス スィー.、ザ サー ド アメリカ合衆国 87059 ニューメキシコ 州 ティヘラス テソロテ ロード 56 (72)発明者 フォレスト、スティファニー アメリカ合衆国 87106 ニューメキシコ 州 アルバカーキ アムハースト エヌ. イー.440 (72)発明者 ペレルソン、アラン エス. アメリカ合衆国 87501 ニューメキシコ 州 サンタフェ ロス アルボレス レイ ン 820 【要約の続き】 スクリーニングされているコンピュータ・ファイルとが マッチする場合には、スクリーニングされているファイ ルにおける変化が検出される。

Claims (1)

  1. 【特許請求の範囲】 1.第2の複数の隣接デジタル信号(以下、オリジナル・ストリングという)を 保護するために、第1の複数の隣接デジタル信号(以下、保護ストリングという )を生成する方法にして、 a)試験的な複数の隣接デジタル信号(以下、テスト・ストリングという)を 生成し、 b)前記テスト・ストリングを前記オリジナル・ストリングとマッチせしめる べく試み、 c)(1)マッチする場合には、前記テスト・ストリングを捨てて、異なるテ スト・ストリングをもって前記ステップ(a)の方法へもどり、あるいは c)(2)マッチしない場合には、前記テスト・ストリングを前記保護ストリ ング内へ格納する、 各ステップを有する方法。 2.ステップ(c)(2)は、さらに、 ステップ(a)の手順へもどり、 複数の非マッチ・テスト・ストリングが前記保護ストリング内に格納された後 、この手順を終了する、 ステップを含む請求項1記載の方法。 3.さらに、前記オリジナル・ストリングを複数の隣接セグメントに分解し、こ の各セグメントは複数の隣接デジタル信号を有するステップを含む請求項1記載 の方法。 4.前記試みのステップは、前記試験的な複数の隣接デ ジタル信号の各々を、前記オリジナル・ストリング内の前記セグメントの各々の 前記複数の隣接デジタル信号とマッチせしめるべく試みるステップを含む請求項 3記載の方法。 5.前記テスト・ストリングはランダムに生成される請求項1記載の方法。 6.第1の複数の隣接デジタル信号(以下、オリジナル・ストリングという)に おける変化を検出する方法にして、前記第1の複数の隣接デジタル信号は、関連 する第2の複数の隣接デジタル信号(以下、保護ストリングという)を有し、前 記保護ストリングは複数のテスト・ストリングを有し、各テスト・ストリングは 、前記保護ストリングが作成されたときには前記オリジナル・ストリングとマッ チしなかった複数の隣接デジタル信号を有し、 (a)前記保護ストリングの内の一つのテスト・ストリングの複数の隣接デジ タル信号を、前記オリジナル・ストリングの複数の隣接デジタル信号と比較し、 (b)(1)非マッチの場合には、前記保護ストリング内のすべてのテスト・ ストリングが試験されるまで、前記ステップ(a)の手順へもどり、かつ、異な るテスト・ストリングを選択し、あるいは、 (b)(2)前記テスト・ストリングとオリジナル・ストリングとの間のマッ チがある場合には、前記手順を終了し、前記オリジナル・ストリングにおける変 化の存在を結論する という各ステップを有する方法。 7.前記保護ストリングは、複数の隣接セグメントに分解され、このセグメント の各々は複数のデジタル信号を有している請求項6記載の方法。 8.前記比較ステップは、前記保護ストリングの内の一つのテスト・ストリング の、複数の隣接デジタル信号を、前記オリジナル・ストリングの内の前記セグメ ントの各々の、複数の隣接デジタル信号と比較する請求項7記載の方法。 9.第1の複数の隣接デジタル信号(以下、オリジナル・ストリングという)を 保護するための方法にして、 a)第2の複数の隣接デジタル信号(以下、テスト・ストリングという)を生 成し、 b)前記テスト・ストリングの前記第2の複数の隣接デジタル信号を、前記オ リジナル・ストリングの前記複数の隣接デジタル信号と比較し、 c)(1)前記比較の結果、前記テスト・ストリングの前記第2の複数の隣接 デジタル信号と、前記オリジナル・ストリングの前記第1の複数の隣接デジタル 信号とがマッチする場合には、異なるテスト・ストリングをもって、前記ステッ プ(a)の手順へもどり、あるいは、 c)(2)非マッチの場合は、前記保護ストリング内に前記テスト・ストリン グを格納し、かつ、複数の非マッチ・テスト・ストリングが前記保護ストリング 内に格納されるまで前記ステップ(a)の手順へもどり、 d)前記保護ストリングの内の一つのテスト・ストリングの前記第2の複数の 隣接デジタル信号を、前記オリジナル・ストリングの複数の隣接デジタル信号と 比較し、 e)(1)非マッチの場合は、前記保護ストリング内のすべてのテスト・スト リングが試験されるまで、前記ステップ(d)の手順へ戻り、かつ、異なるテス ト・ストリングを選択し、或いは e)(2)テスト・ストリングとオリジナル・ストリングとの間のマッチがあ る場合は、この手順を終了し、前記オリジナル・ストリングにおける変化の存在 を結論する、 各ステップを有する方法。 10.さらに、前記オリジナル・ストリングを複数の隣接セグメントに分解し、 各セグメントは複数の隣接デジタル信号を含むステップを有する請求項9記載の 方法。 11.前記比較ステップ(b)は、前記テスト・ストリングの、前記第2の複数 の隣接デジタル信号を、前記オリジナル・ストリングの前記セグメントの各々の 、前記複数の隣接デジタル信号とマッチせしめるべく試みることを有する請求項 10記載の方法。 12.前記比較ステップ(d)は、前記テスト・ストリングの前記第2の複数の 隣接デジタル信号を、前記オリジナル・ストリング内の前記セグメントの各々の 、前記複数の隣接デジタル信号とマッチせしめるべく試みることを有する請求項 10記載の方法。 13.前記テスト・ストリングはランダムに生成される請求項9記載の方法。 14. 複数のコンピュータに格納される、複数の同一のオリジナル・コンピュ ータ・ファイルを保護する方法であって、前記各コンピュータ・ファイルが複数 の隣接デジタル信号を有し、各コンピュータにおいて、 a)テスト用の複数の隣接デジタル信号(以下「テスト・ストリング」という )をランダムに生成させるステップと、 b)前記テスト・ストリングの前記テスト用の複数の隣接デジタル信号を前記 オリジナル・コンピュータ・ファイルの前記複数の隣接デジタル信号と比較する ステップと、 c)(1)前記の比較ステップが、前記テスト・ストリングの前記複数の隣接 デジタル信号が、前記オリジナル・コンピュータ・ファイルの前記複数の隣接デ ジタル信号に対してマッチする場合には、前記a)のステップの手順に戻るステ ップ、または、 c)(2)マッチしない場合には、前記テスト・ストリングをコンピュータ保 護ファイルに格納し、複数の、マッチしなかったテスト・ストリングが前記コン ピュータ保護ファイルに格納されるまで前記a)のステップの手順に戻るステッ プと、 d)前記コンピュータ保護ファイルの1つのテスト・ストリングの複数の隣接 デジタル信号をオリジナル・コ ンピュータ・ファイルの複数の隣接デジタル信号と比較するステップと、 e)(1)マッチしない場合には、前記コンピュータ保護ファイル中のすべて のテスト・ストリングがテストされるまで、前記(d)の手順に戻り、別のテス ト・ストリングを選択するステップ、または、 e)(2)テスト・ストリングとオリジナル・コンピュータ・ファイルとがマ ッチした場合には、前記手順を終了し、前記オリジナル・コンピュータ・ファイ ル中の変更の有無を決定するステップと、 から成る方法。 15.さらに、前記オリジナル・コンピュータ・ファイルを、各セグメントが複 数の隣接デジタル信号からなる、複数の隣接セグメントに分解するステップから 成る請求項14記載の方法。 16.前記比較ステップ(b)が、前記テスト・ストリングのテスト用の複数の 隣接デジタル信号を、前記オリジナル・コンピュータ・ファイルの前記セグメン トのそれぞれの前記複数の隣接デジタル信号にマッチさせようと試みることから 成る請求項15記載の方法。 17.前記比較ステップ(d)が、前記コンピュータ保護ファイルの1つのテス ト・ストリングのテスト用の隣接デジタル信号を、前記オリジナル・コンピュー タ・ファイルのセグメントのそれぞれの複数の隣接デジタル信号と比較する請求 項15記載の方法。 18.前記複数のコンピュータがネットワークに相互接続されている請求項14 記載の方法。 19.第2の複数の隣接デジタル信号(以下「オリジナル・ストリング」という )を保護するための第1の複数の隣接デジタル信号(以下「保護ストリング」と いう)を生成させるための方法であって、 a)前記オリジナル・ストリングの前記複数の隣接信号よりも数において少な い複数のテスト用の複数の隣接デジタル信号(以下「テスト・ストリング」とい う)を生成させるステップと、 b)前記テスト・ストリングの前記テスト用の複数の隣接デジタル信号を、前 記オリジナル・ストリングの前記第2の複数の隣接デジタル信号にマッチさせよ うと試みるステップと、 c)(1)マッチしない場合には、前記テスト・ストリングを廃棄し、別のテ スト・ストリングとともにステップ(a)の前記手順に戻るステップ、または c)(2)マッチした場合には、前記保護ストリングに前記テスト・ストリン グを格納するステップと、 から成る方法。 20.ステップ(c)(2)は、さらに、ステップ(a)の前記手順に戻り、複 数のマッチしたテスト・ストリングが前記保護ストリングに格納された後に前記 手順を終了するステップから成る請求項19記載の方法。 21.さらに、前記オリジナル・ストリングを、各セグ メントが複数の隣接デジタル信号からなる、複数の隣接セグメントに分解するス テップからなる請求項19記載の方法。 22.前記マッチさせようと試みるステップが、前記テスト・ストリングの前記 テスト用の複数の隣接デジタル信号を、前記オリジナルの前記セグメントのぞれ ぞれの前記複数の隣接デジタル信号にマッチさせようと試みるステップより成る 請求項21記載の方法。 23.前記(c)(2)の格納ステップが、さらに、前記テスト・ストリングが 前記オリジナル・ストリングにマッチする、前記オリジナル・ストリングの前記 第2の複数の連続デジタル信号における位置のロケーションを格納することから 成る請求項19記載の方法。 24.テスト・ストリングがランダムに生成される請求項19記載の方法。 25.第1の複数の隣接デジタル信号(以下「オリジナル・ストリング」という )への変更を探知する方法であって、関連する第2の複数の隣接デジタル信号( 以下「保護ストリング」という)を有し、前記保護ストリングは複数のテスト・ ストリングを有しており、前記各テスト・ストリングは複数の隣接デジタル信号 を有し、前記保護ストリングが生成された時に前記オリジナル・ストリングの複 数の隣接デジタル信号の一部分にマッチする方法であって、 a)前記保護ストリングの一のテスト・ストリングの 前記第1の複数の隣接デジタル信号を、前記オリジナル・ストリングの複数の隣 接デジタル信号と比較するステップと、 b)(1)マッチした場合には、ステップa)の前記手順に戻り、前記保護ス トリングにおける全てのテスト・ストリングがテストされるまで、別のテスト・ ストリングを選択するステップ、または、 b)(2)テスト・ストリングと前記オリジナル・ストリングとがマッチしな い場合には、前記手順を終了し、前記オリジナル・ストリングにおける変更の有 無を決定するステップと、 から成る方法。 26.前記保護ストリングが、各セグメントが複数のデジタル信号よりなる、複 数の隣接セグメントに分解される、請求項25記載の方法。 27.前記比較ステップが、前記保護ストリングの1つのテスト・ストリングの 複数の隣接デジタル信号を、前記オリジナル・ストリングのセグメントのぞれぞ れの複数の隣接デジタル信号と比較するステップから成る請求項26記載の方法 。 28.複数の隣接デジタル信号を有するオリジナル・コンピュータ・ファイルを 保護するための方法であって、 a)複数の隣接デジタル信号を有するが、その数は前記オリジナル・コンピュ ータ・ファイルの前記複数の隣接信号よりも少ないテスト・ストリングを生成す るステ ップと、 b)前記テスト・ストリングの前記複数の隣接デジタル信号を前記オリジナル ・コンピュータ・ファイルの前記複数の隣接デジタル信号と比較するステップと 、 c)(1)前記比較ステップにおいて、前記テスト・ストリングの前記複数の 隣接デジタル信号と前記オリジナル・コンピュータ・ファイルの複数の隣接デジ タル信号とがマッチしない場合に、異なるテスト・ストリングで前記ステップa )の手順に戻るステップ、または、 c)(2)マッチした場合には、保護ファイルにテスト・ストリングを格納し 、複数のマッチ・テスト・ストリングが前記保護ファイルに格納されるまで前記 ステップa)に戻るステップと、 d)前記保護ファイルの1つのテスト・ストリングの複数の隣接デジタル信号 を前記オリジナル・コンピュータ・ファイルの複数の隣接デジタル信号と比較す るステップと、 e)(1)マッチした場合に、前記保護ファイルにおける前記テスト・ストリ ングの全てがテストされるまで、前記ステップd)の手順に戻り、異なるテスト ・ストリングを選択するステップ、または、 e)(2)テスト・ストリングとオリジナル・コンピュータ・ファイルとがマ ッチしない場合に、前記手順を終了し、前記オリジナル・コンピュータ・ファイ ルにおける変更の有無を決定するステップと、 から成る方法。 29.さらに、前記オリジナル・コンピュータ・ファイルを複数の隣接セグメン トに分解するステップから成り、各セグメントは複数の隣接デジタル信号から成 る請求項28記載の方法。 30.前記比較ステップb)は、前記テスト・ストリングの複数の隣接デジタル 信号を前記オリジナル・コンピュータ・ファイルの各セグメントの前記複数の隣 接デジタル信号とマッチさせようと試みることから成る請求項29記載の方法。 31.前記比較ステップd)は、前記テスト・ストリングの複数の隣接デジタル 信号を前記オリジナル・コンピュータ・ファイルの各セグメントの前記複数の隣 接デジタル信号とマッチさせようと試みることから成る請求項29記載の方法。 32.前記格納ステップc)(2)は、さらに、前記テスト・ストリングが前記 オリジナル・コンピュータ・ファイルとマッチする前記オリジナル・コンピュー タ・ファイルの前記複数の隣接デジタル信号における位置のロケーションを格納 することから成る請求項28記載の方法。 33.前記テスト・ストリングはランダムに生成される請求項28記載の方法。 34.複数のコンピュータに格納された複数の同一オリジナル・コンピュータ・ ファイルを保護するための方法 であって、前記オリジナル・コンピュータ・ファイルの各々は複数の隣接デジタ ル信号を有し、各コンピュータにおいて、 a)複数の隣接デジタル信号を有するが、その数は前記オリジナル・コンピュ ータ・ファイルの前記複数の隣接信号よりも少ないテスト・ストリングをランダ ムに生成するステップと、 b)前記テスト・ストリングの前記複数の隣接デジタル信号を前記オリジナル ・コンピュータ・ファイルの前記複数の隣接デジタル信号と比較するステップと 、 c)(1)前記比較ステップにおいて、前記テスト・ストリングの前記複数の 隣接デジタル信号と前記オリジナル・コンピュータ・ファイルの前記複数の隣接 デジタル信号とがマッチしない場合に、前記ステップa)の手順に戻るステップ 、または、 c)(2)マッチした場合には、コンピュータ保護ファイルに前記テスト・ス トリングを格納し、複数のマッチ・テスト・ストリングが前記コンピュータ保護 ファイルに格納されるまで前記ステップa)の手順に戻るステップと、 d)前記コンピュータ保護ファイルの1つのテスト・ストリングの複数の隣接 デジタル信号を前記オリジナル・コンピュータ・ファイルの複数の隣接デジタル 信号と比較するステップと、 e)(1)マッチした場合に、前記コンピュータ保護 ファイルにおける前記テスト・ストリングの全てがテストされるまで、前記ステ ップd)の手順に戻り、異なるテスト・ストリングを選択するステップ、または 、 e)(2)テスト・ストリングと前記オリジナル・コンピュータ・ファイルと がマッチしない場合に、前記手順を終了し、前記オリジナル・コンピュータ・フ ァイルにおける変更の有無を決定するステップと、 から成る方法。 35.さらに、前記オリジナル・コンピュータ・ファイルを複数の隣接セグメン トに分解するステップから成り、各セグメントは複数の隣接デジタル信号から成 る請求項34記載の方法。 36.前記比較ステップb)は、前記テスト・ストリングの複数の隣接デジタル 信号を前記オリジナル・コンピュータ・ファイルの各セグメントの複数の隣接デ ジタル信号とマッチさせよう試みることから成る請求項35記載の方法。 37.前記比較ステップd)は、前記コンピュータ保護ファイルの1つのテスト ・ストリングの複数の隣接デジタル信号を前記オリジナル・コンピュータ・ファ イルの各セグメントの複数の隣接デジタル信号と比較することから成る請求項3 5記載の方法。 38.前記複数のコンピュータはネットワークにおいて相互接続された請求項3 4記載の方法。 39.前記格納ステップc)(2)は、さらに、前記テ スト・ストリングが前記オリジナル・コンピュータ・ファイルとマッチする前記 オリジナル・コンピュータ・ファイルの前記複数の隣接デジタル信号における位 置のロケーションを格納することから成る請求項34記載の方法。
JP50408795A 1993-07-08 1994-07-01 デジタル信号集合体に対する改変検出方法 Expired - Lifetime JP3686080B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/089,014 1993-07-08
US08/089,014 US5448668A (en) 1993-07-08 1993-07-08 Method of detecting changes to a collection of digital signals
PCT/US1994/007480 WO1995002293A1 (en) 1993-07-08 1994-07-01 A method of detecting changes to a collection of digital signals

Publications (2)

Publication Number Publication Date
JPH09502550A true JPH09502550A (ja) 1997-03-11
JP3686080B2 JP3686080B2 (ja) 2005-08-24

Family

ID=22214930

Family Applications (1)

Application Number Title Priority Date Filing Date
JP50408795A Expired - Lifetime JP3686080B2 (ja) 1993-07-08 1994-07-01 デジタル信号集合体に対する改変検出方法

Country Status (5)

Country Link
US (2) US5448668A (ja)
EP (1) EP0707765A4 (ja)
JP (1) JP3686080B2 (ja)
TW (1) TW274594B (ja)
WO (1) WO1995002293A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008192127A (ja) * 2007-01-31 2008-08-21 Samsung Electronics Co Ltd 侵入コード探知装置およびその方法
US8245299B2 (en) 2005-12-30 2012-08-14 Samsung Electronics Co., Ltd. Method of and apparatus for monitoring code to detect intrusion code

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5572590A (en) * 1994-04-12 1996-11-05 International Business Machines Corporation Discrimination of malicious changes to digital information using multiple signatures
JP3865775B2 (ja) * 1995-04-11 2007-01-10 キネテック インコーポレイテッド データ処理システムにおけるデータの識別
JP4162099B2 (ja) 1995-06-02 2008-10-08 富士通株式会社 ウィルス感染に対処する機能を持つ装置及びその記憶装置
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
EP0815510B1 (en) * 1995-12-28 2000-11-08 InDefense, Inc. Method for protecting executable software programs against infection by software viruses
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US5951698A (en) * 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US6466923B1 (en) 1997-05-12 2002-10-15 Chroma Graphics, Inc. Method and apparatus for biomathematical pattern recognition
US6178536B1 (en) * 1997-08-14 2001-01-23 International Business Machines Corporation Coding scheme for file backup and systems based thereon
US7210041B1 (en) * 2001-04-30 2007-04-24 Mcafee, Inc. System and method for identifying a macro virus family using a macro virus definitions database
US20030009687A1 (en) * 2001-07-05 2003-01-09 Ferchau Joerg U. Method and apparatus for validating integrity of software
US7320142B1 (en) * 2001-11-09 2008-01-15 Cisco Technology, Inc. Method and system for configurable network intrusion detection
US20030204731A1 (en) * 2002-04-29 2003-10-30 Pochuev Denis A. Method and apparatus to enhance the security of data
US7269757B2 (en) * 2003-07-11 2007-09-11 Reflectent Software, Inc. Distributed computer monitoring system and methods for autonomous computer management
KR100544478B1 (ko) 2003-12-01 2006-01-24 삼성전자주식회사 정보의 보안등급에 따라 인쇄권한을 제한할 수 있는인쇄장치, 이를 이용한 인쇄시스템 및 이들의 인쇄방법
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8185576B2 (en) 2006-03-14 2012-05-22 Altnet, Inc. Filter for a distributed network
GB0822619D0 (en) * 2008-12-11 2009-01-21 Scansafe Ltd Malware detection
WO2013128428A2 (en) 2012-03-02 2013-09-06 Universidade De Aveiro Method and system for the detection of anomalous sequences in a digital signal

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0218830B1 (en) * 1985-09-09 1992-04-29 Hitachi, Ltd. A memory test apparatus
JP2527935B2 (ja) * 1986-05-19 1996-08-28 株式会社 アドバンテスト 半導体メモリ試験装置
US5212697A (en) * 1988-09-13 1993-05-18 Ricoh Company, Ltd. Variable length character string detection apparatus
US5121345A (en) * 1988-11-03 1992-06-09 Lentz Stephen A System and method for protecting integrity of computer data and software
DE3912660C1 (ja) * 1989-04-18 1990-08-30 Wandel & Goltermann Gmbh & Co, 7412 Eningen, De
US5054035A (en) * 1989-12-21 1991-10-01 At&T Bell Laboratories Digital signal quality evaluation circuit using synchronization patterns
US5319776A (en) * 1990-04-19 1994-06-07 Hilgraeve Corporation In transit detection of computer virus with safeguard
JPH0440125A (ja) * 1990-06-06 1992-02-10 Advantest Corp パターン同期回路
US5408642A (en) * 1991-05-24 1995-04-18 Symantec Corporation Method for recovery of a computer program infected by a computer virus
NL9101181A (nl) * 1991-07-05 1993-02-01 Nederland Ptt Werkwijze en inrichting voor het detecteren van een of meer bekende karakterstrings in een verzameling karakters.
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
WO1993025024A1 (en) * 1992-05-26 1993-12-09 Cyberlock Data Intelligence, Inc. Computer virus monitoring system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8245299B2 (en) 2005-12-30 2012-08-14 Samsung Electronics Co., Ltd. Method of and apparatus for monitoring code to detect intrusion code
JP2008192127A (ja) * 2007-01-31 2008-08-21 Samsung Electronics Co Ltd 侵入コード探知装置およびその方法
JP4699438B2 (ja) * 2007-01-31 2011-06-08 三星電子株式会社 侵入コード探知装置およびその方法
US8205256B2 (en) 2007-01-31 2012-06-19 Samsung Electronics Co., Ltd. Apparatus for detecting intrusion code and method using the same

Also Published As

Publication number Publication date
EP0707765A4 (en) 1999-12-29
USRE36417E (en) 1999-11-30
EP0707765A1 (en) 1996-04-24
JP3686080B2 (ja) 2005-08-24
WO1995002293A1 (en) 1995-01-19
US5448668A (en) 1995-09-05
TW274594B (ja) 1996-04-21

Similar Documents

Publication Publication Date Title
JPH09502550A (ja) デジタル信号集合体に対する改変検出方法
US10949641B2 (en) Fast signature scan
JP4855400B2 (ja) マルチパターン検索のための方法およびシステム
US5822517A (en) Method for detecting infection of software programs by memory resident software viruses
RU2706896C1 (ru) Система и способ выявления вредоносных файлов с использованием модели обучения, обученной на одном вредоносном файле
Thimbleby et al. A framework for modelling trojans and computer virus infection
US7779472B1 (en) Application behavior based malware detection
US6073239A (en) Method for protecting executable software programs against infection by software viruses
US6980992B1 (en) Tree pattern system and method for multiple virus signature recognition
US20080033913A1 (en) Techniques for Preventing Insider Theft of Electronic Documents
US20140298460A1 (en) Malicious uniform resource locator detection
EP2080312A2 (en) Virus localization using cryptographic hashing
US20050262567A1 (en) Systems and methods for computer security
US20090235357A1 (en) Method and System for Generating a Malware Sequence File
US11847223B2 (en) Method and system for generating a list of indicators of compromise
Naik et al. Fuzzy-import hashing: A static analysis technique for malware detection
US11354409B1 (en) Malware detection using locality sensitive hashing of API call sequences
US8812480B1 (en) Targeted search system with de-obfuscating functionality
CN113067792A (zh) 一种xss攻击识别方法、装置、设备及介质
EP3798885A1 (en) System and method for detection of malicious files
Alosefer et al. Predicting client-side attacks via behaviour analysis using honeypot data
Chen et al. A learning-based static malware detection system with integrated feature
Almarshad et al. Detecting zero-day polymorphic worms with jaccard similarity algorithm
Pungila Hybrid compression of the aho-corasick automaton for static analysis in intrusion detection systems
Hao et al. AutoMal: automatic clustering and signature generation for malwares based on the network flow

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20041130

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20050228

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050310

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20050411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050602

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090610

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100610

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110610

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110610

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120610

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120610

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130610

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term