[发明专利]确定装置、确定方法以及确定程序有效
| 申请号: | 201580012526.4 | 申请日: | 2015-03-05 |
| 公开(公告)号: | CN106133742B | 公开(公告)日: | 2019-05-07 |
| 发明(设计)人: | 几世知范;青木一史;针生刚男 | 申请(专利权)人: | 日本电信电话株式会社 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京三友知识产权代理有限公司 11127 | 代理人: | 李辉;黄纶伟 |
| 地址: | 日本*** | 国省代码: | 日本;JP |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 命令服务器确定装置(10)在恶意软件(11a)的执行时,针对该恶意软件(11a)接收到的数据,赋予能够唯一确定该数据的发送源的通信目的地信息的标签,且对被赋予了该标签的数据的传播进行跟踪。而且,命令服务器确定装置(10)取得所跟踪的数据中的恶意软件(11a)执行的转移指令所参照的数据的标签。而且,命令服务器确定装置(10)基于与所取得的标签对应的发送源的通信目的地信息,确定对恶意软件(11a)发出命令的命令服务器的通信目的地信息。 | ||
| 搜索关键词: | 确定 装置 方法 以及 程序 | ||
【主权项】:
1.一种确定装置,其特征在于,该确定装置具有:跟踪部,其在恶意软件的执行时,针对该恶意软件接收到的数据,赋予能够唯一确定该数据的发送源的通信目的地信息的标签,且对被赋予了该标签的数据的传播进行跟踪;监视部,其取得由所述跟踪部跟踪的数据中的作为标签的监视位置的转移指令所参照的数据的标签;以及确定部,其基于与由所述监视部取得的标签对应的发送源的通信目的地信息,确定对所述恶意软件发出命令的命令服务器的通信目的地信息。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于日本电信电话株式会社,未经日本电信电话株式会社许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201580012526.4/,转载请声明来源钻瓜专利网。
- 上一篇:家用电器
- 下一篇:硬化的光功率连接系统
- 同类专利
- 使用提供的配置信息进行触发扫描-201780088643.8
- 马修·克拉宁;蒂莫西·朱尼奥 - 浩瀚有限公司
- 2017-12-08 - 2019-11-12 - G06F21/56
- 事件驱动查询系统包括输入接口和处理器。输入接口被配置为从客户端系统接收标示。处理器被配置为至少部分地基于该标示来确定扫描查询;并执行该扫描查询。
- 补丁文件分析系统与分析方法-201580026121.6
- 裵桓国 - 软件营地株式会社
- 2015-03-23 - 2019-08-02 - G06F21/56
- 本发明涉及一种补丁文件分析系统与分析方法,其针对应用程序的补丁文件在动作样式及形态等处判断其和现有文件相似与否并且判断补丁文件是否进行高危险性行为而检测出伪装成补丁文件的文件,该系统包括:程序分析模块,收集应用程序的安装信息后设定为基准信息;基准信息DB,保存上述基准信息;补丁文件分析模块,分析上述应用程序的补丁文件后把该分析信息设定为补丁信息;及比较模块,在上述基准信息DB搜索对应于上述补丁信息的基准信息并且比较上述补丁信息与基准信息。
- 信息处理系统、控制方法-201580032199.9
- 岩村诚;几世知范;秋山满昭;青木一史;针生刚男 - 日本电信电话株式会社
- 2015-06-10 - 2019-06-25 - G06F21/56
- 信息处理装置(10)具有:虚拟机器(30),其对恶意软件的举动进行分析;及虚拟机器(40),其传送从虚拟机器(30)发送的发送信息。虚拟机器(30)具备影子存储器(34b)、影子盘(35b)、虚拟NIC(36),虚拟机器(40)具备客户OS(42)。影子存储器(34b)及影子盘(35b)将数据和对数据赋予的标签信息对应地进行存储。在恶意软件发送数据时,虚拟NIC(36)生成包括发送的数据和对所发送的数据赋予的标签信息的发送信息,向虚拟机器(40)发送发送信息。客户OS(42)从所接收到的发送信息提取标签信息。另外,客户OS(42)根据所提取的标签信息而决定发送信息的传送目的地,向所决定的传送目的地传送发送信息。
- 恶意软件判定器、恶意软件判定系统、恶意软件判定方法以及程序-201580030423.0
- 冈野靖;折原慎吾;安部哲哉;朝仓浩志;熊谷充敏 - 日本电信电话株式会社
- 2015-06-08 - 2019-06-11 - G06F21/56
- 在本发明的恶意软件判定器(10)中,当输入了执行文件的属性的属性名和属性值时,特征选择设定部(11)将该属性名的属性作为提取对象的属性登记于属性表中,且将该属性值作为删除对象登记于属性值表中。当输入了学习对象或者判定对象的执行文件时,特征提取部(13)从该执行文件中提取作为提取对象登记于属性表中的属性的属性值,生成包含所提取的属性值作为特征的特征向量,特征选择部(14)从特征向量中删除作为删除对象登记于属性值表中的属性值。
- 用于响应于检测可疑行为来扫描打包程序的系统和方法-201580006884.4
- S·佩雷拉 - 赛门铁克公司
- 2015-02-10 - 2019-06-07 - G06F21/56
- 本发明公开了一种用于响应于检测可疑行为来扫描打包程序的计算机实现的方法,所述方法可包括(1)执行打包程序,所述打包程序可包括(i)已经被混淆在所述打包程序内的恶意代码以及(ii)解包代码,当所述打包程序被执行时,所述解包代码去混淆并且执行所述恶意代码,(2)在所述打包程序正执行时监视所述打包程序如何运行,(3)在监视所述打包程序如何运行时,检测所述恶意代码的可疑行为,所述可疑行为指示所述解包代码已经去混淆并且执行所述恶意代码,以及(4)响应于检测所述恶意代码的所述可疑行为,对所述打包程序执行安全操作。还公开了各种其他方法、系统和计算机可读介质。
- 鉴识及移除恶意软件的方法-201780050520.5
- 亚伦·佛德·拉芙蕾丝;塞伦·赛尔瑞斯·汤普森;史蒂文·迈克尔·马克维茨 - 比斯垂普有限责任公司
- 2017-06-16 - 2019-05-21 - G06F21/56
- 本发明涉及一种鉴识及移除恶意软件的方法,其使用一个个人计算装置,而个人计算装置能够与一个远程服务器连接。远程服务器管理一个黑名单及一个白名单。黑名单记录已知具有恶意代码的程序。白名单记录已知没有恶意代码的程序。当收到一个扫描要求时,本发明的方法就开始启动。扫描要求是一个命令,其指示个人计算装置与远程服务器共同合作,执行一系列文件的扫描,以检测恶意代码。本发明的方法执行一个沙盒评估流程,以鉴识具有恶意代码的文件。沙盒评估流程是一个隔离的测试程序,其运作程序以找出恶意代码。如果找到恶意代码,本发明会执行一个威胁修复流程。
- 动态读入代码分析装置和动态读入代码分析方法-201580027969.0
- 名云孝昭;秋山满昭;八木毅 - 日本电信电话株式会社
- 2015-05-18 - 2019-05-21 - G06F21/56
- 动态读入代码分析装置具有存储部、提取部和确定部。存储部存储:动态读入代码信息,其按照经由网络取得的每个动态读入代码,表示动态读入代码的类结构;以及调用方法信息,其是将赋予给使用者信息的标签信息和针对使用者信息执行的代码的类结构对应起来而成的。提取部检测使用者信息向其他装置的发送,根据存储部所存储的调用方法信息,确定与该使用者信息上被赋予的标签信息一致的标签信息,并提取与该标签信息相对应的类结构。确定部从存储部中检索表示该类结构的动态读入代码信息,确定与该动态读入代码信息对应的动态读入代码。
- 确定装置、确定方法以及确定程序-201580012526.4
- 几世知范;青木一史;针生刚男 - 日本电信电话株式会社
- 2015-03-05 - 2019-05-07 - G06F21/56
- 命令服务器确定装置(10)在恶意软件(11a)的执行时,针对该恶意软件(11a)接收到的数据,赋予能够唯一确定该数据的发送源的通信目的地信息的标签,且对被赋予了该标签的数据的传播进行跟踪。而且,命令服务器确定装置(10)取得所跟踪的数据中的恶意软件(11a)执行的转移指令所参照的数据的标签。而且,命令服务器确定装置(10)基于与所取得的标签对应的发送源的通信目的地信息,确定对恶意软件(11a)发出命令的命令服务器的通信目的地信息。
- 用于把虚拟机分派给安全容器的方法、系统和装置-201480034454.9
- S·M·韦德亚;A·费罗泽;A·森谷普塔;J·C·维塞 - NICIRA股份有限公司
- 2014-04-11 - 2019-04-16 - G06F21/56
- 一种技术包括分别根据各自的安全容器操作一个或更多个虚拟机,其中各自的安全容器与基于一个或更多个标准指定虚拟机从各自的安全容器到隔离容器传送的各自的规则相关联。在一个或更多个虚拟机上操作一个或更多个安全服务,以识别与一个或更多个虚拟机相关联的一个或更多个安全威胁。获得由端点安全服务生成的一个或更多个标记,其中每个标记用于与识别出的安全威胁之一相关联的虚拟机。并且至少基于所获得的标记当中的一个或更多个以及一个或更多个标准来将虚拟机之一识别为需要传送到隔离容器。
- 信息处理装置以及活动判定方法-201480073245.5
- 小出和弘;道根庆治 - 株式会社PFU
- 2014-12-26 - 2019-04-05 - G06F21/56
- 本发明将降低恶意软件感染的错误检测或漏检的可能性作为技术问题。在信息处理装置(20)中,具备:比较部(251),其将连接到网络的终端的通信与预先保持的模式进行比较;确定部(254),其按照比较的结果,确定评价值和非法活动的阶段,该评价值表示被推测为终端进行非法活动的程度;保持部(255),其针对每个终端,保持评价值的各个阶段的最大值;和判定部(257),其基于评价值的各个阶段的最大值,判定终端是否进行非法活动。
- 病毒检测技术标杆-201780034952.7
- 塞缪尔·哈里森·哈顿 - 格拉斯沃(IP)有限公司
- 2017-06-06 - 2019-04-02 - G06F21/56
- 威胁情报云被公开。威胁情报云可包括机器。在机器上的接收器可接收包括由防病毒解决方案所检测到的威胁的电子文件。病毒总服务可从扫描电子文件的传统防病毒解决方案确定信息。数据库可储存来自病毒总服务的信息。报告生成器可由信息生成报告。
- 集成端点和网络检测并消除攻击的技术-201380081018.2
- O·本-沙洛姆;I·穆迪科;A·奈舒图特;Y·阿维丹 - 英特尔公司
- 2013-12-18 - 2019-03-29 - G06F21/56
- 各个实施例总体上涉及用于通过采用指示从端点设备和向端点设备提供网络服务的网络设备接收的恶意软件活动的信息检测并消除恶意软件攻击的技术。一种用于检测恶意软件的装置包括:处理器组件;分析组件,该分析组件由该处理器组件执行用于将分配给网络中的设备的信任等级用作分析从该设备接收的恶意软件的指示的因素;以及消除组件,该消除组件由该处理器组件执行用于确定通过该网络采取的行动以便基于该分析消除该恶意软件攻击。描述并要求保护其他实施例。
- 密钥生成源确定装置、密钥生成源确定方法和密钥生成源确定程序-201680086556.4
- 西川弘毅;祢宜知孝;河内清人 - 三菱电机株式会社
- 2016-06-16 - 2019-02-05 - G06F21/56
- 密钥生成源确定装置(10)具有:密钥确定部(11),其使恶意软件执行加密处理,取得表示加密处理的执行状况的执行轨迹,根据执行轨迹确定在加密处理中使用的加密密钥作为解析密钥;以及提取部(31),其从执行轨迹中提取解析密钥依存的命令的列表作为命令列表。并且,密钥生成源确定装置(10)具有取得部(32),该取得部(32)判定由命令列表中包含的调出命令调出的函数是否是取得动态变化的动态信息的动态取得函数,在是动态取得函数的情况下,取得命令列表作为在加密处理中生成了解析密钥的程序的至少一部分即密钥生成源的候选。
- 用于恶意软件检测的复杂评分-201480054678.6
- 山多尔·卢卡奇;劳尔-瓦西里·托萨;保罗-丹尼尔·博卡;格奥尔基-弗洛兰·哈嘉玛山;安德烈-弗拉德·卢察什 - 比特梵德知识产权管理有限公司
- 2014-09-25 - 2019-01-29 - G06F21/56
- 所描述系统及方法允许保护计算机系统免受例如病毒、特洛伊木马及间谍软件等恶意软件的影响。对于多个可执行实体(例如在所述计算机系统上执行的进程及线程)中的每一者,评分引擎记录多个评估分数,每一分数是根据相异评估准则确定的。每当实体满足评估准则(例如,执行行动)时,所述实体的所述相应分数便被更新。更新实体的分数可触发对与所述相应实体相关的实体的分数更新,甚至当所述相关实体被终止,即,不再作用时也如此。相关实体尤其包含所述相应实体的父代及/或将代码注入到所述相应实体中的实体。所述评分引擎根据实体的所述多个评估分数来确定所述相应实体是否为恶意的。
- 提供预测的安全产品以及评分现有安全产品的方法与产品-201480019991.6
- 施洛米·波拿鲁;利兰·坦客曼;麦可·马克宗 - 配拨股份有限公司
- 2014-02-10 - 2019-01-22 - G06F21/56
- 一种用于影响恶意软件的进化过程的方法、产品与计算器程序产品,所述方法包含步骤有:(a)接收一恶意软件标本;(b)产生所述恶意软件标本的变种;(c)评估所述变种并给予每个变种一体质分数;(d)选择具有至少一默认的体质分数的所述变种;以及(e)使用所述选择的变种当作步骤(a)中的恶意软件标本,以产生新一代变种。
- 二阶段过滤的计算机攻击阻挡方法以及使用该方法的装置-201580084236.0
- 江格 - 江格
- 2015-10-29 - 2018-12-21 - G06F21/56
- 本发明的实施例提出一种二阶段过滤的计算机攻击阻挡方法,由处理单元执行,包含以下步骤。从客户端系统接收一服务请求,用以向受防护计算机资产请求服务。执行第一阶段过滤,用以当从服务请求中发现白名单模板时,将服务请求转送至受防护计算机资产。于第一阶段过滤结束后,执行第二阶段过滤。
- 进程搜索装置和进程搜索程序-201680084161.0
- 片冈江利;松本光弘 - 三菱电机株式会社
- 2016-04-04 - 2018-12-21 - G06F21/56
- 动作进程列表(330)是将攻击种类标识符和动作进程标识符相互对应起来的列表。操作进程列表(340)是将操作方进程标识符和操作对象进程标识符相互对应起来的列表。间接进程搜索部(230)使用动作进程列表和操作进程列表搜索间接进程标识符的组,该间接进程标识符的组相当于与不同的攻击种类标识符对应的动作进程标识符的组,并且相当于操作方进程标识符与操作对象进程标识符的组。
- 即时的电子邮件内嵌URL的信誉确定-201380060594.9
- S·亨特;N·莱布曼;P·N·加特塞德;M·毕肖普;M·斯特切尔 - 迈克菲股份有限公司
- 2013-12-12 - 2018-11-09 - G06F21/56
- 一种系统允许即时检查关于内嵌有超链接的电子邮件的信息。一旦接收含有超链接的电子邮件,超链接的资源定位符被修改以允许一旦遍历超链接时检查电子邮件的信誉。在遍历超链接时,资源定位符的当前信誉和电子邮件的当前信誉均会被确定,并且响应于该确定执行一个或多个操作。
- 恶意软件检测-201680080044.7
- 拉梅什·阿德利 - 安移通网络公司
- 2016-01-26 - 2018-10-23 - G06F21/56
- 本技术的示例实现响应于用于下载资源的请求,确定资源先前是否已被确定为包括恶意软件。另外,如果资源先前已被确定为包括恶意软件,则确定自从先前的确定以来资源是否已改变。此外,如果资源未改变,则终止用于下载资源的请求。
- 基于信号标记确定恶意软件的方法、计算设备及存储介质-201380076192.8
- 弗兰克·C·赫聚;塞娅尔·P·卡马尼 - 安提特软件有限责任公司
- 2013-08-27 - 2018-10-09 - G06F21/56
- 这里公开的示例实施例涉及确定恶意软件。从处于测试中的应用程序生成标记集,从所述标记集生成信号标记集。基于所述信号标记和信号标记数据库,针对所述处于测试中的应用程序确定恶意软件的可能性。
- 用于在网络环境中检测恶意软件的分布式流量模式分析和熵预测-201480011241.4
- D·亨德尔;A·凡德万 - 英特尔公司
- 2014-03-27 - 2018-09-18 - G06F21/56
- 在实施例中提供了用于检测恶意软件的技术。这些实施例被配置成用于接收潜在受影响系统的熵率。这些实施例被进一步配置成用于将该熵率与平均熵率进行比较以及确定该潜在受影响系统感染恶意软件的概率。该概率至少部分地基于该比较的结果。更特定的实施例可包括接收至少部分地由基因程序生成的所接收的熵率。附加实施例可包括用于为该潜在受影响系统提供与该基因程序相关联的指定时间跨度的配置。该指定时间跨度指示观察该潜在受影响系统上的上下文信息的时间量。在至少某些实施例中,该比较的结果包括该熵率是与受感染系统还是与健康系统相关的指示符。
- 恶意软件的检测-201680037858.2
- J.L.爱德华兹;J.R.斯普尔洛克 - 迈克菲有限责任公司
- 2016-05-25 - 2018-08-28 - G06F21/56
- 在本文中描述的特定实施例提供了一种电子设备,所述电子设备可以被配置成监视进程、确定进程是否正在解析以寻找一个或多个系统功能、以及如果进程正在解析以寻找一个或多个系统系统功能则标记进程。在示例中,如果进程解析可移植的可执行的头部以找到和解释动态链接库表,则可以确定进程正在解析以寻找一个或多个系统功能。在另一个示例中,如果进程调用GetProcAddress,则可以确定进程正在解析以寻找一个或多个系统功能。
- 信息处理装置以及信息处理方法-201480028447.8
- 川古谷裕平;岩村诚;针生刚男 - 日本电信电话株式会社
- 2014-03-27 - 2018-04-13 - G06F21/56
- 监视恶意软件(程序)的举动,针对基于程序的库函数的每次调用,生成日志,该日志将表示所调用的库函数的识别信息、向库函数的输入数据和来自库函数的输出数据以及用于唯一确定输出数据的污点标签对应起来。并且,参照对来自信息处理装置的输出数据设定的污点标签和日志,追踪在库函数间输入输出的数据的依存关系,确定生成了来自信息处理装置的输出数据的库函数。
- 用于恶意软件检测的对应用的通用拆包-201480008695.6
- D·古普塔 - 迈克菲股份有限公司
- 2014-03-03 - 2018-02-06 - G06F21/56
- 用于检测可执行文件中的恶意软件的技术允许在判断该可执行文件是否是恶意软件之前就对经打包的可执行文件拆包。在具有硬件辅助的虚拟化的系统中,硬件虚拟化特征可以被用来不需要对打包技术的知晓就以受控方式迭代地对经打包的可执行文件拆包。一旦可执行文件被完全拆包,则可以采用诸如签名扫描之类的恶意软件检测技术来判断可执行文件是否包含恶意软件。硬件辅助的虚拟化可以被用来促进对存储器中的运行时可执行文件的扫描。
- 管理设备驱动器跨环访问-201380072915.7
- A.范德文;P.V.拜祖 - 英特尔公司
- 2013-03-13 - 2018-01-12 - G06F21/56
- 管理在计算设备上的设备驱动器的跨环存储器访问的技术包括将与设备驱动器相关联的存储器页表配置为禁用设备驱动器的跨环存储器访问;截获设备驱动器的试图的跨环存储器访问;以及如果判定设备驱动器是恶意的则拒绝试图的跨环存储器访问。如果判定设备驱动器不是恶意的,则更新存储器页表以允许试图的跨环存储器访问。可以通过将设备驱动器和试图的跨环存储器访问与安全数据(例如存储于计算设备上的设备驱动器指纹和/或跨环存储器访问启发法)进行比较来分析设备驱动器,以判定设备驱动器是否是恶意的。
- 识别应用程序是否是恶意程序的方法、系统及存储介质-201380050539.1
- O·特立普;R·绍兹曼;R·海;D·卡尔曼 - 国际商业机器公司
- 2013-09-20 - 2017-12-19 - G06F21/56
- 确定第一应用程序是恶意程序。第一应用程序可能被提供以在处理系统上安装。可以通过由处理器执行的静态分析扫描第一应用程序,以确定第一应用程序的用户界面布局疑似处理系统上安装的第二应用程的用户界面布局。如果第一应用程序的用户界面布局疑似处理系统上安装的第二应用程的用户界面布局,则可以生成表明第一应用程序是恶意程序的警报。
- 解码方法、解码系统及非暂时性计算机可读介质-201480016140.6
- J.N.王;C.黄 - 索尼电脑娱乐公司
- 2014-02-28 - 2017-12-12 - G06F21/56
- 本发明公开了一种软件安全层,其可以用于保护系统不受嵌入在已编码数字串流数据的一个或多个帧中的恶意数据对硬件解码器加速器的利用。它强调此摘要经提供以符合需要将允许搜索者或其它读者快速确认本技术公开的主题的摘要的规则。它被提交以理解其将不会被用于解译或限制权利要求书的范围或含义。
- 信息处理装置和确定方法-201480027875.9
- 岩村诚;川古谷裕平;针生刚男 - 日本电信电话株式会社
- 2014-03-26 - 2017-12-12 - G06F21/56
- 本申请公开的信息处理装置(10)具有赋予部(45b)和确定部(45d)。赋予部(45b)向由作为分析对象的程序从通信目标装置接收到的数据赋予能够识别该通信目标装置的标签。确定部(45d)在检测出新的程序的启动或启动预约时,在该新的程序执行的数据被赋予了所述标签的情况下,确定由该标签识别的通信目标装置。
- 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序-201680008361.8
- 神谷和宪;青木一史;中田健介;佐藤徹 - 日本电信电话株式会社
- 2016-02-03 - 2017-09-26 - G06F21/56
- 恶意通信模式提取装置(10)具备统计值计算部(132),其由通信量日志(31)和通信量日志(21)计算对于字段及值的组即每个通信模式的出现频度的统计值,该通信量日志(31)是恶意软件所产生的通信量获得的,该通信量日志(21)是由规定的通信环境中的通信量获得的;恶意列表候选提取部(134),其根据通过统计值计算部(132)而计算的统计值,针对每个通信模式,比较通信量日志(21)的出现频度和通信量日志(31)的出现频度,在两者的出现频度之差为规定的阈值以上的情况下,将该通信模式作为恶意通信模式而提取;及阈值设定部(135),其以如下方式设定所述阈值使错误地检测恶意软件所产生的通信量的概率即误检测率为一定值以下且使检测恶意软件所产生的通信量的概率即检测率为一定值以上。
- 检测并防止恶意移动应用程序的安装-201380016442.9
- S·达斯;J·迪瓦卡尔拉;P·夏尔马 - 迈克菲公司
- 2013-04-17 - 2017-09-22 - G06F21/56
- 一种垫片和后端服务器应用程序的组合,其可以用于识别和阻止恶意应用程序在移动设备上的安装。实际上,垫片应用程序向移动设备的操作系统进行注册以拦截应用程序安装操作。基于对尝试的安装操作进行拦截,所述垫片应用程序识别试图安装的应用程序,生成唯一地识别所述应用程序的键值,并且将所述键值通过网络连接传输至后端服务器。所述后端服务器可以被配置用于爬行互联网以识别恶意应用程序,并且编译和维护这样的应用程序的数据库。基于从所述垫片应用程序接收键值,所述后端服务器可以搜索其数据库以定位匹配的应用程序,并且如果找到所述匹配的应用程序,则利用所述应用程序的状态(例如,恶意或非恶意)向移动设备做出响应。所述垫片应用程序可以利用该信息来允许或阻止所述应用程序的安装。
- 专利分类
