TOP特許意匠商標
特許ウォッチ DM通知 Twitter
10個以上の画像は省略されています。
公開番号2022094354
公報種別公開特許公報(A)
公開日2022-06-24
出願番号2022020909,2020541576
出願日2022-02-15,2019-01-29
発明の名称マルウェア検出のためのコンテキストプロファイリング
出願人パロ アルト ネットワークス,インコーポレイテッド,Palo Alto Networks,Inc.
代理人個人,個人,個人
主分類G06F 21/55 20130101AFI20220617BHJP(計算;計数)
要約【課題】マルウェアを特定して軽減するシステムを提供する。
【解決手段】データアプライアンスにおいて、サンプルが実行され、サンプルの実行に関連する1以上のネットワーク活動が記録される。記録されたネットワーク活動は、マルウェアプロファイルと比較される。マルウェアプロファイルは、既知の悪意あるアプリケーションのコピーの実行に関連するネットワーク活動のセットを含む。記録されたネットワーク活動がマルウェアプロファイルと一致したとの判定に少なくとも部分的に基づいて、「悪意ある」との判定が、サンプルに割り当てられる。また、ログエントリのセットを解析して、マルウェアプロファイルに対応するエントリを探すことができる。マルウェアプロファイルと一致するエントリのセットを特定することに少なくとも部分的に基づいて、ホストが侵害されたとの判定がなされる。
【選択図】図6
特許請求の範囲【請求項1】
システムであって、
プロセッサであり、
マルウェアプロファイルを受信する工程であって、前記マルウェアプロファイルは、
前記マルウェアプロファイルに関連する既知の悪意あるアプリケーションのコピーを実行することに関連する1以上の活動のセットを含む、工程と、
前記マルウェアプロファイルと一致するエントリのセットに対する1以上のログのセットを解析する工程と、
前記エントリのセットを前記マルウェアプロファイルと一致するものとして特定することに少なくとも部分的に基づいて、ホストが侵害されたと判定する工程と、を実行するよう構成された、プロセッサと、
前記プロセッサに接続され、前記プロセッサに命令を提供するよう構成されたメモリと、
を備える、システム。
続きを表示(約 920 文字)【請求項2】
請求項1に記載のシステムであって、
前記ログのセットは、複数のホストに関連するエントリを含み、前記ログのセットを解析する工程は、前記複数のホストに含まれる各ホストについて、検索を実行する工程を含む、システム。
【請求項3】
請求項1に記載のシステムであって、
前記エントリのセットが前記マルウェアプロファイルと一致すると判定することは、サブシーケンス一致を判定することを含む、システム。
【請求項4】
請求項1に記載のシステムであって、
前記プロセッサは、さらに、解析のためにサンプルのコピーをセキュリティプラットフォームに送信するよう構成されている、システム。
【請求項5】
請求項1に記載のシステムであって、
前記プロセッサは、さらに、解析のためにサンプルのコピーをセキュリティプラットフォームに送信するよう構成され、前記マルウェアプロファイルは、前記セキュリティプラットフォームから受信される、システム。
【請求項6】
請求項1に記載のシステムであって、
前記プロセッサは、さらに、解析のためにサンプルのコピーをセキュリティプラットフォームに送信するよう構成され、前記マルウェアプロファイルは、前記セキュリティプラットフォームから受信され、前記マルウェアプロファイルは、前記サンプルが悪意あるものであると前記セキュリティプラットフォームが判定したことに応答して受信される、システム。
【請求項7】
請求項1に記載のシステムであって、
前記プロセッサは、さらに、前記ホストが侵害されたとの判定に応答して、是正動作を取るよう構成されている、システム。
【請求項8】
請求項1に記載のシステムであって、
前記1以上のログのセットを解析する工程は、定期的に実行される、システム。
【請求項9】
請求項1に記載のシステムであって、
前記1以上のログのセットを解析する工程は、前記マルウェアプロファイルの受信に応答して実行される、システム。

発明の詳細な説明【背景技術】
【0001】
マルウェアとは、悪意あるソフトウェア(例えば、様々な敵意のある、侵入的な、および/または、望まれないソフトウェア)に言及するために一般的に用いられる一般用語である。マルウェアは、コード、スクリプト、アクティブコンテンツ、および/または、その他のソフトウェアの形態でありうる。マルウェアの利用例は、コンピュータおよび/またはネットワークの動作を妨害すること、専有情報(例えば、識別情報、金融情報、および/または、知的財産関連情報などの機密情報)を盗むこと、ならびに/もしくは、個人用/専有のコンピュータシステムおよび/またはコンピュータネットワークにアクセスすること、を含む。残念ながら、マルウェアの検出および軽減に役立つ技術が開発される一方で、不正な開発者が、かかる努力を回避する方法を探している。したがって、マルウェアを特定して軽減するための技術の改善が求められ続けている。
続きを表示(約 3,600 文字)【図面の簡単な説明】
【0002】
以下の詳細な説明と添付の図面において、本発明の様々な実施形態を開示する。
悪意あるアプリケーション(「マルウェア」)が検出され、害を及ぼすことを防止される環境の一例を示す図。
データアプライアンスの一実施形態を示す図。
サンプルを解析するためのシステムに備えられうる論理コンポーネントの一例を示す図。
マルウェアプロファイルの例を示す図。
マルウェアプロファイルの例を示す図。
マルウェアプロファイルの例を示す図。
マルウェアプロファイルを構築するための処理の一例を示す図。
サンプルが悪意あるものであるか否かを判定するための処理の一例を示す図。
データアプライアンスによって記録されたデータのイベントシーケンスを示す図。
図7Aに示したイベントシーケンスを表現した図。
マルウェアプロファイルを用いて、侵害されたホストを識別するための処理の一例を示す図。
【発明を実施するための形態】
【0003】
本発明は、処理、装置、システム、物質の組成、コンピュータ読み取り可能な格納媒体上に具現化されたコンピュータプログラム製品、および/または、プロセッサ(プロセッサに接続されたメモリに格納および/またはそのメモリによって提供される命令を実行するよう構成されたプロセッサ)を含め、様々な形態で実装されうる。本明細書では、これらの実装または本発明が取りうる任意の他の形態を、技術と呼ぶ。一般に、開示された処理の工程の順序は、本発明の範囲内で変更されてもよい。特に言及しない限り、タスクを実行するよう構成されるものとして記載されたプロセッサまたはメモリなどの構成要素は、ある時間にタスクを実行するよう一時的に構成された一般的な構成要素として、または、タスクを実行するよう製造された特定の構成要素として実装されてよい。本明細書では、「プロセッサ」という用語は、1または複数のデバイス、回路、および/または、コンピュータプログラム命令などのデータを処理するよう構成された処理コアを指すものとする。
【0004】
以下では、本発明の原理を示す図面を参照しつつ、本発明の1または複数の実施形態の詳細な説明を行う。本発明は、かかる実施形態に関連して説明されているが、どの実施形態にも限定されない。本発明の範囲は、特許請求の範囲によってのみ限定されるものであり、本発明は、多くの代替物、変形物、および、等価物を含む。以下の説明では、本発明の完全な理解を提供するために、多くの具体的な詳細事項が記載されている。これらの詳細事項は、例示を目的としたものであり、本発明は、これらの具体的な詳細事項の一部または全てがなくとも特許請求の範囲に従って実施可能である。簡単のために、本発明に関連する技術分野で周知の技術事項については、本発明が必要以上にわかりにくくならないように、詳細には説明していない。
【0005】
ファイアウォールは、一般に、不正アクセスからネットワークを保護しつつ、承認され
た通信がファイアウォールを通過することを許可する。ファイアウォールは、通例、ネットワークアクセスに対するファイアウォール機能を提供するデバイス、デバイスセット、または、デバイス上で実行されるソフトウェアである。例えば、ファイアウォールは、デバイス(例えば、コンピュータ、スマートフォン、または、その他のタイプのネットワーク通信可能なデバイス)のオペレーティングシステムに統合されうる。ファイアウォールは、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティングデバイス(例えば、ネットワークルータ)、および、データアプライアンス(例えば、セキュリティアプライアンスまたはその他のタイプの専用デバイス)など、様々なタイプのデバイス上の1以上のソフトウェアアプリケーションに統合されるか、もしくは、かかるアプリケーションとして実行されることが可能であり、様々な実装例において、専用ハードウェア(ASICまたはFPGAなど)に実装される場合もある。
【0006】
ファイアウォールは、通例、ルールのセットに基づいてネットワーク伝送を拒否または許可する。これらのルールのセットは、しばしば、ポリシー(例えば、ネットワークポリシーまたはネットワークセキュリティポリシー)と呼ばれる。例えば、ファイアウォールは、望ましくない外部のトラフィックが保護されたデバイスに到達するのを防ぐために、ルールまたはポリシーのセットを適用することによってインバウンドトラフィックをフィルタリングできる。また、ファイアウォールは、ルールまたはポリシーのセットを適用することによってアウトバウンドトラフィックをフィルタリングできる(例えば、許可、ブロック、監視、通知、または、記録、および/または、その他の動作を、ファイアウォールルールまたはファイアウォールポリシー内に記述できる。ルールまたはポリシーは、本明細書に記載したような様々な規準に基づいてトリガされうる)。ファイアウォールは、ルールまたはポリシーのセットを単に適用することによって、ローカルネットワーク(例えば、イントラネット)トラフィックもフィルタリングできる。
【0007】
セキュリティデバイス(例えば、セキュリティアプライアンス、セキュリティゲートウェイ、セキュリティサービス、および/または、その他のセキュリティデバイス)は、様々なセキュリティ機能(例えば、ファイアウォール、マルウェア対策、侵入防止/検出、情報漏洩対策(DLP)、および/または、その他のセキュリティ機能)、ネットワーク機能(例えば、ルーティング、クオリティオブサービス(QoS)、ネットワーク関連リソースの負荷バランシング、および/または、その他のネットワーク機能)、ならびに/、もしくは、その他の機能を備えうる。例えば、ルーティング機能は、送信元情報(例えば、IPアドレスおよびポート)、宛先情報(例えば、IPアドレスおよびポート)、ならびに、プロトコル情報に基づきうる。
【0008】
基本的なパケットフィルタリング・ファイアウォールは、ネットワークを介して伝送された個々のパケットを調べることによってネットワーク通信トラフィックをフィルタリングする(例えば、ステートレスパケットフィルタリング・ファイアウォールであるパケットフィルタリング・ファイアウォールまたは第1世代のファイアウォール)。ステートレスパケットフィルタリング・ファイアウォールは、通例、個々のパケット自体を調べ、調べたパケットに基づいて(例えば、パケットの送信元および宛先アドレス情報、プロトコル情報、ならびに、ポート番号の組み合わせを用いて)ルールを適用する。
【0009】
また、アプリケーション・ファイアウォールは、アプリケーションレイヤフィルタリングを実行できる(例えば、TCP/IPスタックのアプリケーションレベルで機能するアプリケーションレイヤフィルタリング・ファイアウォールまたは第2世代のファイアウォール)。アプリケーションレイヤフィルタリング・ファイアウォールまたはアプリケーション・ファイアウォールは、一般に、特定のアプリケーションおよびプロトコルを識別できる(例えば、ハイパーテキストトランスファープロトコル(HTTP)、ドメインネームシステム(DNS)要求、ファイルトランスファープロトコル(FTP)を用いたファ
イル転送、ならびに、様々なその他のタイプのアプリケーションおよびその他のプロトコル(Telnet、DHCP、TCP、UDP、および、TFTP(GSS)など))。例えば、アプリケーション・ファイアウォールは、標準ポートで通信を試みる無許可プロトコルをブロックできる(例えば、プロトコルに非標準ポートを用いて忍び込もうとする無許可/ポリシー外のプロトコルが、一般に、アプリケーション・ファイアウォールを用いて識別されうる)。
【0010】
また、ステートフル・ファイアウォールは、各パケットがネットワーク伝送のパケットのフローに関連する一連のパケットのコンテキスト内で検査されるステートフルベースのパケット検査を実行できる。このファイアウォール技術は、一般に、ファイアウォールを通過するすべての接続の記録を維持するのでステートフルパケット検査と呼ばれており、パケットが新しい接続の開始であるのか、既存の接続の一部であるのか、または、無効なパケットであるのかを判定できる。例えば、接続の状態自体が、ポリシー内のルールをトリガする基準の1つでありうる。
(【0011】以降は省略されています)

特許ウォッチbot のツイート
この特許をJ-PlatPatで参照する

関連特許

個人
データ構造
1日前
個人
電子旅程システム
26日前
個人
マルチ集計シート
1か月前
株式会社理研
演算装置
14日前
個人
保険契約管理方法
29日前
個人
喋るハイテク家電
19日前
個人
回覧支援システム
26日前
個人
ライフ情報提供装置
26日前
個人
家系図作成システム
27日前
個人
遺言書作成システム
27日前
個人
曲目音声入力システム
19日前
株式会社鶴
管理サーバ
26日前
凸版印刷株式会社
メタルカード
7日前
日本精機株式会社
車載表示装置
4日前
個人
結婚活動支援システム
12日前
個人
災害管理サーバ
29日前
個人
ゴーグル表示システム
26日前
HENNGE株式会社
サーバ
22日前
東レ株式会社
シミュレーション方法
22日前
個人
情報提供システム
19日前
個人
統計モデルによる勤務時間の推定
15日前
シャープ株式会社
家電システム
19日前
株式会社ノーリツ
給湯装置
5日前
凸版印刷株式会社
非接触通信ICシート
4日前
ヤマキ有限会社
値引き管理システム
21日前
テルモ株式会社
表示装置
22日前
三菱電機株式会社
映像表示装置
27日前
オグラ金属株式会社
食品カウンタ装置
6日前
東洋計器株式会社
ガスの集中監視方法
20日前
アンサー株式会社
勤務状況共有システム
今日
中国電力株式会社
業務時間管理システム
8日前
積水ハウス株式会社
情報処理装置
29日前
積水ハウス株式会社
地図生成装置
29日前
株式会社リコー
情報処理装置および方法
26日前
ビィデザイン株式会社
仮想空間システム
19日前
トヨタ自動車株式会社
情報処理装置
15日前
続きを見る