特許

J-GLOBAL ID：201703003442566000

仮想スタックマシンで実行可能な有害なファイルを検出するためのシステムおよび方法

発明者： アントン エム. イワノフ ,  アレクサンダー ブイ. リスキン
出願人/特許権者： エーオー カスペルスキー ラボ
代理人 (3件)： SK特許業務法人 ,  奥野 彰彦 ,  伊藤 寛之
公報種別：公開公報
出願番号（国際出願番号）：特願2016-093094
公開番号（公開出願番号）：特開2017-021777
出願日： 2016年05月06日
公開日（公表日）： 2017年01月26日
要約：

【課題】仮想スタックマシンで実行可能である有害なファイルを検出する。【解決手段】ファイルのファイル・セクションにおけるパラメータ及び仮想スタックマシンで実行可能なファイルの関数におけるパラメータを含むデータを識別する210。データベースにおいて、第一閾値を超えるファイル・セクションの1つのパラメータの値、及び、第二閾値を越える上記関数のパラメータの値を含む安全なファイルのクラスタを検索する220。安全なファイルにおける識別されたクラスタに基づいて、仮想スタックマシンで実行可能なファイルにおけるデータのクラスタを生成する230。仮想スタックマシンで実行可能なファイルのデータにおける生成されたクラスタのチェックサムを計算する240。データベースにアクセスし計算されたチェックサムが、有害なファイルのチェックサムのデータベースでのチェックサムと一致する場合、有害なファイルであると判断する260。【選択図】図2

請求項（抜粋）：

ハードウェアプロセッサによって、仮想スタックマシンで実行可能なファイルからのデータであって、前記ファイルのファイル・セクションにおけるパラメータ及び前記仮想スタックマシンで実行可能なファイルの関数におけるパラメータのうち少なくとも1つを含むデータ、を識別する工程と、 前記ハードウェアプロセッサによって、前記識別されたデータに基づいて、データベースにおいて、第一閾値を超える前記ファイル・セクションの1つのパラメータの値、及び、第二閾値を越える前記関数の1つのパラメータの値、のうちの少なくとも1つを含む、安全なファイルにおける少なくとも1つのクラスタを検索する工程と、 前記ハードウェアプロセッサによって、前記安全なファイルにおける識別された少なくとも1つのクラスタに少なくとも部分的に基づいて、前記仮想スタックマシンで実行可能なファイルにおけるデータのクラスタを生成する工程と、 前記ハードウェアプロセッサによって、前記仮想スタックマシンで実行可能なファイルのデータにおける生成されたクラスタの少なくとも1つのチェックサムを計算する工程と、 前記ハードウェアプロセッサによって、有害なファイルのチェックサムのデータベースにアクセスする工程と、 前記計算された少なくとも1つのチェックサムが、有害なファイルのチェックサムの前記データベースでのチェックサムと一致する場合、前記ハードウェアプロセッサによって、前記仮想スタックマシンで実行可能なファイルが有害なファイルであると判断する工程と、 を備える、仮想スタックマシンで実行可能である有害なファイルを検出する方法。

IPC (1件)：

G06F 21/56

FI (1件)：

G06F21/56

引用特許：

出願人引用 (1件)

• 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法
  公報種別：公表公報   出願番号：特願2013-542187   出願人：ソースファイアインコーポレイテッド

審査官引用 (1件)

• 文脈上の確からしさ、ジェネリックシグネチャ、および機械学習法を用いて悪意のあるソフトウェアを検出する方法
  公報種別：公表公報   出願番号：特願2013-542187   出願人：ソースファイアインコーポレイテッド