情報保護方法およびシステム
コンピュータシステム内のオブジェクトをマルウェアから保護する方法が開示される。マルウェアに感染しているか決定するために、オブジェクトを解析し、感染していると決定される場合、該オブジェクトのバックアップ内から該オブジェクトのバックアップコピーの1つが位置決定される。感染オブジェクトは、該バックアップコピーと置き換えられる。一実施形態において、上記方法は、第一のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む。
【発明の詳細な説明】
【技術分野】
【0001】
(他の出願の参照)
本出願は、同時係属中の2005年8月16日に出願された米国仮特許出願第60/708,969号(代理人整理番号第EMC−05−285PRO)「METHOD AND SYSTEM FOR PROVIDING INFORMATION SECURITY」に対する優先権を主張し、該出願は本明細書において、全ての目的のために参照によって援用される。
【0002】
(発明の分野)
本発明は、概して、ウイルスからの情報保護に関し、特に、攻撃の検知、情報の保護、攻撃からの復旧のためのシステムおよび方法に関する。
【背景技術】
【0003】
(発明の背景)
本発明は、コンピュータファイルおよび/またはオブジェクトを、マルウェアを含むコンピュータウイルスから保護するためのシステムおよび方法に関する。コンピュータおよびマシンに関して言うと、ウイルスは、自身のコピーを他の実行可能コードまたはドキュメントに挿入することによって蔓延する自己再生/自己複製自動化プログラムである。用語「ウイルス」とは、マルウェア(悪質なソフトウェア)の一種として定義されうるが、一般には、「ウイルス」とは、ワーム、トロイの木馬、スパイウェア、アドウェア等を含むあらゆる種類のマルウェアを指すものとして使用される。
【0004】
コンピュータアンチウイルスプログラムは、一般には、データファイル等の感染オブジェクトから、コンピュータウイルスを検知、駆除および除去するために使用される。典型的に使用される一検知形態は、ホストコンピュータシステムの記憶装置(1つまたは複数)に常駐するオブジェクトのスキャンである。埋め込みウイルスが存在するかオブジェクトのスキャンを行うが、該スキャンは、シグネチャ方式またはヒューリスティクス(heuristic)(疑わしい動作の監視等)のいずれかであってもよい。しかしながら、シグネチャ方式によるウイルスのスキャンは、既に識別されたウイルスから取得したシグネチャに依存しており、未だ識別および解析されていないウイルスは検知されない(「デイ・ゼロ」または「ゼロ・デイ」攻撃)。これらは、既知のソリューションおよび/または検知シグネチャがない攻撃である。既存のヒューリスティクス方法は、誰にでも扱えるような簡単なものではなく、ウイルスの攻撃の検知に失敗する場合がある。従って、アンチウイルスプログラムは、オブジェクトが感染しているか検知できない可能性がある。
【0005】
これらの形態の攻撃は、システムオペレーションおよびデータ完全性に深刻な脅威をもたらす。IPS/IDS(侵入防止システム/侵入検知システム)は、異常動作を検知し、システムの対処を規定する方針を適用することによって、デイ・ゼロ攻撃から保護するために使用することができる。対処として、問題の管理者への通知、ポート使用の制限、帯域幅の制限、および影響を受けたコンピュータをネットワークから最終的に孤立させることを含み得る。その結果、問題の解決は管理者次第となる。そのような問題は、通常、本質的に解決されることはない。代わりに、アンチウイルスプロバイダに問題が転送されるか、あるいは攻撃を受ける前のある時点にシステムを復元するための試みがなされる。
【0006】
オブジェクト内でウイルスが検知された後、対処として、典型的には、感染オブジェクト(ウイルスを含むオブジェクト)の駆除または修復、感染オブジェクトの削除、あるいはさらなるアクセスをブロックするための感染オブジェクトを隔離が含まれる。感染オブジェクトの削除または隔離には、さらなる使用を不可能にするという不利点がある。従って、オブジェクトの駆除または修復が試みられる場合がある。しかしながら、時として、既存の方法を使用してオブジェクトを修復することが不可能とはいえないまでも困難であり、結果として生じるオブジェクトは、損傷している可能性があり、残りの選択肢として削除または隔離のみが残される。オブジェクトの駆除が成功した場合でも、そのプロセスにおいて、アーチファクトが残存し、非感染オブジェクトと一致しないオブジェクトが生じる可能性がある。アーチファクトは良性で、オブジェクトが使用可能な場合もあるが、金融機関等の一部の例においては、受け入れられないとみなされる可能性がある。駆除されたオブジェクトは、感染時期が不明のため、正確な日付およびタイムスタンプを有することはできない。
【0007】
管理者は感染が実際に生じた時を知らないので、攻撃を受ける前のある時点に復元することには問題があり得る。管理者が知っていることは、攻撃が有効になった時だけである。多くの攻撃は、時として数ヶ月または数年間休止状態にある場合もあり、従って、感染が生じた場合に容易に明らかとはならない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
そのため、コンピュータシステム上のウイルスから情報を保護するための改良方法、製造品、および設備が必要とされている。
【発明を実施するための最良の形態】
【0009】
本発明は、添付の図面を参照して記載される後述の詳細な説明から容易に理解されるであろう。ここで、同様の参照番号は、同様の構成要素を示す。
【0010】
本発明の1つ以上の実施形態の詳細な説明は、本発明の原理を示す添付図面とともに以下に提供される。本発明は、このような実施形態(1つまたは複数)と関連して説明されるが、本発明がいずれか1つの実施形態に限定されるわけでないことは理解されるべきである。一方、本発明の範囲は、特許請求の範囲によってのみ限定され、本発明は、多数の代替、修正および均等物を包含する。例示を目的として、本発明の完全な理解を提供するために、多数の特定の詳細が後述の説明において記載される。これらの詳細は、例示の目的のために提供されるものであり、本発明は、それら特定の詳細の一部または全てがなくても、特許請求の範囲に従って実践されうる。明確化の目的のため、本発明が不必要に不明瞭とならないように、本発明に関する技術分野で公知の技術材料は詳細に記載されない。
【0011】
本発明は、プロセス、設備、システム、装置、方法、またはコンピュータ可読記憶媒体等のコンピュータ可読媒体、あるいはプログラム命令が光通信回線または電子通信回線上で送信されるコンピュータネットワークを含む、多数の方法で実装することが可能であることは理解されるべきである。本明細書では、これらの実装、または本発明でとられる他のいかなる形態も、技術として称されうる。一般に、開示されるプロセスのステップの順番は、本発明の範囲内で変更されてもよい。
【0012】
本発明のある実施形態は、情報保護プログラムを実行するコンピュータシステムを参照して説明されるが、本発明の原理は、本特定の構成に限定されるものではないことは理解されるであろう。むしろ、ローカルまたは遠隔装置上のいずれかにファイルまたはオブジェクトが記憶されるいかなるシステムに適用してもよく、該装置は、1つ以上の記憶装置を備えてもよい。本明細書に記載される情報の方法は、ウイルスの攻撃から情報を保護するための用途の観点から記載されているが、オブジェクトの異常変化を検知すること、またはユーザにオブジェクトを異常変化前の時点に復元させることが望ましい他の場合にも等しく適用可能であることが、当業者には理解されるであろう。本明細書では、ウイルスの攻撃を検知し、感染オブジェクトを感染前の状態に復元するための方法およびシステムが開示される。ユーザは、デイ・ゼロのマルウェアを検知し根絶する能力と、障害が生じたオブジェクトを識別および位置決定し、損傷したオブジェクトを復元し、マルウェアに感染していると疑われるオブジェクトを企業内から一掃することが可能な対策ソリューションを提供される。侵入防止システム/侵入検知システム(「IPS/IDS」)は、本明細書に記載されるアーカイブおよび脅威解析と組み合わせてもよい。
【0013】
図1は、コンピュータシステム10上で実行するプログラムが、オブジェクトおよびそこに含まれる情報を使用して、専用のローカル記憶装置12、別のコンピュータシステム16と共有される記憶装置14、または別のコンピュータシステム20に関連づけられる記憶装置18上のウイルスから保護しうるいくつかの構成の可能性を示す。コンピュータシステム10は、ネットワークまたは他の通信手段を経由して、コンピュータシステム20または他のいかなる装置と通信させてもよい。コンピュータシステム10は、インターネットと通信して、ウイルス定義/アップデートをアンチウイルスベンダ22から受信するように構成され得、ウイルス定義/アップデートは、物理媒体等の他の手段によって受信され得ることが理解されるべきである。
【0014】
ネットワークベースのIPS/IDS24が使用され、コンピュータシステム10上で実行するプログラムと通信すると、例えば、疑わしいネットワークアクティビティとその発信元であるホストの識別に関する情報を提供するようにしてもよい。IPS/IDS24の機能性は、一実施形態においては、ネットワークに接続されている別のコンピュータシステムに提供され得、あるいはエージェントが、アクティビティを監視するためのコンピュータシステムのいずれかまたは全てに配置され得る。バックアップシステム26は、コンピュータシステムからデータをバックアップするために提供してもよい。バックアップシステム26は、ハードディスクドライブ、光学式ドライブ、テープライブラリ、および他の記憶装置(図示せず)を含めてもよく、コンピュータシステムからデータをバックアップするためのバックアッププログラムを実行し得、これは、バックアッププログラムと通信するバックアップクライアントを有してもよい。別のコンピュータシステム上でのバックアッププログラムの実行、SANまたはNAS装置(図示せず)、あるいはバックアップされたコンピュータシステムに接続されている記憶装置へのデータのバックアップ等、他の構成も可能である。ある構成においては、バックアップは、オンラインまたはニアライン記憶装置(ハードドライブ等)を使用するバックアッププール、およびオフライン記憶装置(テープ等)を使用するアーカイブ等のいくつかの種別の記憶装置グループを備えてもよい。本明細書で開示される原理は、バックアップのいかなる構成にも適用される。コンピュータシステム10は、ユーザとの対話用にディスプレイおよび入力装置を含めてもよく、あるいはユーザは、遠隔地からコンピュータシステム10と対話してもよい。
【0015】
ある実施形態では、オブジェクトにウイルスが検知された後の対処として、感染オブジェクトの駆除または修復、感染オブジェクトの削除、感染オブジェクトの隔離、あるいは感染オブジェクトとクリーンなオブジェクトとの置き換えを含めてもよい。これは、自動的またはユーザからの命令に応じて、実施されるようにしてもよい。オブジェクトが感染していると決定された後、感染オブジェクトと置き換えるためにオブジェクトのバックアップコピーが識別されるようにしてもよい。ユーザからの確認後または自動的に、感染オブジェクトをバックアップコピーと置き換えてもよい。
【0016】
ある実施形態では、複数のバックアップコピーが存在してもよい。「バックアップコピー」とは、完全なバックアップコピーと、定期的に実施され、ある時点に復元可能なバックアップコピーと結合可能なアップデートとを示すために使用されうることは理解されるべきである。つまり、バックアップは、現在のバックアップ時点と最後のバックアップとの変更点を把握するように実行してもよい(完全バックアップまたは以前のバックアップからの変更点の別のバックアップであってもよい)。「バックアップコピー」は、オブジェクトの復元時点であると考えられうる。従って、複数の復元時点がオブジェクトに対し利用可能となる。継続的データ保護が使用されている場合、いずれの時点にもオブジェクトを復元する能力を本システムは有することができる。オブジェクトのバックアップコピーは、攻撃ウイルスが確認され、感染される前に、生成されている可能性がある。複数のバックアップコピーによって、オブジェクトのクリーンなコピーを有する確率が高まる。
【0017】
バックアップコピーは、攻撃ウイルスが確認される前であるが、ウイルスの攻撃(つまり、「デイ・ゼロ」または「ゼロ・デイ」攻撃)後に生成されている可能性があるため、感染している可能性もある。ある実施形態では、オブジェクトのクリーンなコピーのバックアップを検索するように本システムを構成してもよい。クリーンなコピーが識別されると、クリーンであるか確認するためアンチウイルスエンジンに受け渡し、その後感染オブジェクトと置き換えるために使用してもよい。ユーザは、バックアップとの対話または検索する必要はなく、オブジェクトを復元するための選択肢メニューから単純に「置き換える」を選択するだけよく、むしろ置き換えオブジェクトの手動で検索あるいはITサポートからの支援を要求する必要はない。これは、ユーザのための復旧の簡素化、復旧時間の短縮、および復旧コストの削減という利点がある。迅速なオブジェクトの置き換えによって、復旧時間およびコストを低減し、用途および/またはユーザによる使用に対しオブジェクトの可用性が増す。
【0018】
図2は、一実施形態におけるプロセスの流れを大まかに示す。ステップ100では、オブジェクトがマルウェアに感染しているか決定する。この決定は、オブジェクト、システム動作、およびバックアップコピーの解析、あるいは本明細書に記載のアンチウイルスまたはマルウェアのスキャンを通して実施してもよい。オブジェクトが感染している場合、ステップ102において、オブジェクトのバックアップコピーがバックアップ内で位置決定される。このバックアップコピーは、感染のフラッグが設定されていない最新のバックアップコピーである可能性がある。ステップ104において、バックアップコピーは、マルウェアの点検を受け、感染されていない場合、ステップ108において、感染オブジェクトはバックアップコピーと置き換えられる。随意に、ステップ106において、感染オブジェクトをバックアップコピーと置き換えるかユーザに確認するようにしてもよく、ユーザが受諾する場合、ステップ108が実施される。バックアップコピーが感染していることが明らかになった場合、プロセスは、ステップ102に戻り、別のバックアップコピーを位置決定する。ある実施形態では、バックアップコピーが固有のものであるか確認してもよい。既に位置決定され、確認されたバックアップコピーと同じである場合は、省略してもよい。バックアップコピーのマルウェア点検は、一実施形態では、アンチウイルスエンジンへの受け渡しを含めてもよい。
【0019】
一実施形態では、システム10は、感染発生時(「感染時」)を決定し、感染時以前に生成されたバックアップコピーを位置決定し、感染オブジェクトをバックアップコピーと置き換えるようにしてもよい。バックアップコピーは、感染時以前の最新のバックアップコピーを選択するようにしてもよい。オブジェクトが感染しているかどうか、および感染時の決定は、本明細書に記載のように、オブジェクトおよびそのバックアップコピーの解析によって行われもよい。こうした決定から、感染時以前のバックアップコピーを選択し、感染オブジェクトの置き換えに使用することができる。
【0020】
アンチウイルスプログラムおよび/またはバックアッププログラムは、コンピュータシステム10で実行されるプログラム、別のプログラム、または別のコンピュータシステム上で実行されるプログラムの一部であってもよい。ユーザインターフェースは、システム10、システム20、またはプログラムと対話するための別のコンピュータシステム上に提供されてもよい。
【0021】
オブジェクトのクリーンなコピーを識別するため、攻撃の発生時を決定することは有益である。ある実施形態では、本システムを使用して、どのコンピュータシステムが障害を被ったのか、どのファイルが影響を受けたのかを識別し、推奨または自動的ソリューションを提供するようにしてもよい。本システムは、コンピュータシステムのネットワーク動作の監視等のコンピュータシステムによって異常動作を探す。これは、例えば、異常ネットワーク動作を検知するネットワークベースのIPS/IDS等のIPS/IDS、あるいは各監視されるコンピュータ上で起動するエージェントを備えたエージェントベースのIPS/IDSによって行ってもよい。コンピュータシステムによる異常動作が検知される場合、該システムのログを使用して、マルウェアの実行によって改ざんされたオブジェクト等、異常動作をもたらしたオブジェクト、または関連するオブジェクトを識別してもよい。検査は、ネイティブシステムログファイル、エージェントベースファイル(より頑健である可能性がある)、または異常動作に関連するオブジェクト(1つまたは複数)の識別に役立つ情報を提供しうる他のデータソース(プロセス等)上で行ってもよい。関連オブジェクトの識別後、本システムは、オブジェクトのコピーを検索し、推定されるマルウェアに感染していないオブジェクトのバージョンを検出するようにしてもよい。
【0022】
デイ・ゼロ攻撃には、マルウェアを識別するために使用されうる既知のシグネチャがない。ある実施形態では、本システムは、オブジェクトを監視し、異常変化用のオブジェクトのコピーをバックアップしてもよい。オブジェクト内の異常変化の検知および解析方法は、オブジェクトのサイズ変化からオブジェクトのバイナリパターンのパターン認識の実行に及ぶようにしてもよい。これは、オブジェクトにアクセスする前または後に実施してもよい。その評価に基づいて、本システムは、感染時である可能性が最も高い時点を識別することができる。この時点が識別されると、それ以前に生成されたバックアップコピーは、クリーンであり、感染オブジェクトとの置き換えに使用されうるとみなされる。バックアップコピーは、置き換え前にアンチウイルスエンジンでスキャンしてもよい。バックアップコピーの生成以来、ウイルスシグネチャは、ウイルス定義に加えられている可能性があり、そのバックアップコピーは、その時点で不明であったシグネチャのウイルスを有する場合がある。ある実施形態では、バックアップコピーは、各コピーに対し算出されるハッシュシグネチャを有し、そのハッシュ値は、固有のバージョンを迅速に識別するために使用してもよい。固有のバージョンのみ、マルウェアの解析を受け、またはアンチウイルスエンジンに受け渡され、複製物の処理が回避されることになる。オブジェクトの複製コピーは、完全バックアップを通してバックアップに表示されてもよく、その場合、最初に生じたコピーのみ処理される必要があることになる。一実施形態では、オブジェクトへのアクセスが実施される前に、異常変化の解析が行われてもよく、マルウェアを及ぼす可能性があるとみなされる場合、ブロックされる。
【0023】
図3は、異常を識別するための一実施形態におけるプロセスを示すフローチャートである。ステップ200において、オブジェクトのバックアップコピーは、本明細書に記載のように、使用パターン(傾向を含む)、サイズ等を決定するために解析される。ステップ202は、パターンからの逸脱の監視を含み、ステップ204において、その逸脱は、マルウェアによる感染を潜在的に示す異常としてフラッグが設定されるようにしてもよい。ステップ206において、感染発生時を決定するようにしてもよい。ステップ208において、異常方針に従って、対処を策定するようにしてもよい。方針として、例えば、感染が疑われるオブジェクトの隔離、管理者への通知、感染オブジェクトとクリーンなバックアップコピーとの置き換え、試行されるアクセスの拒否等を指定してもよい。
【0024】
ある実施形態では、アクセスログの解析は、異常アクティビティの検索のために行われてもよい。読み込みおよび書き込みは、タイムスタンプ、および随意で、発信元ID、アプリケーションID、ユーザ等の他のメタデータと一緒に記録されてもよい。このメタデータは、異常動作の検索に使用してもよい。例えば、予想外のユーザまたはアプリケーションがオブジェクトにアクセスした場合、異常とみなされるようにしてもよい。Microsoft Wordドキュメントは、典型的には、Microsoft Word以外のアプリケーションによって書き込みがされないため、別のアプリケーションによるWordドキュメントへの書き込みは、疑わしいとみなされうる。他の場合においては、オブジェクトを生成または修正したアプリケーションまたはユーザ以外によるオブジェクトの膨大な読み込みが含まれ、マルウェアがデータを盗み、ネットワーク上でそれを遠隔地へ伝送しようとしている疑いが生じうる。これは、異常動作のためのネットワークの監視、およびコンピュータが大容量のデータを異例の場所に伝送しようとしていないかの観察と組み合わせることも可能である。
【0025】
また、アクセスログは、感染時以前のある時点へ書き込みを逆行させるために使用してもよい。アクセスログは、バックアッププールと関連させてもよい。この方法は、単独、あるいは感染時以前の適切なコピーまたはオブジェクトのバージョンに逆行させるための他の方法と組み合わせて使用することができる。ある実施形態では、書き込みがマルウェアアクティビティの結果生じたものであると決定されうる場合、その書き込みは、選択的に除外され、その他の有効な書き込みは、オブジェクトを感染後の最新の状態にするために適用されうる。マルウェア書き込みのためのフィルタは、例えば、マルウェアに感染していると決定された発信元アプリケーション等の特定のメタデータに基づいてかけられ、および/または有効なアプリケーションによって発行された書き込みのみ適用されうる。バックアッププールは、最終的にアーカイブに移動されるため、以前にアーカイブされたバックアッププールに関連するアクセスログは、オブジェクトのマスターインデックスに統合および追加されてもよい。
【0026】
サイズ傾向を、一実施形態において、異常変化の指標とし使用してもよい。オブジェクトサイズが存続期間を通じて変化しないことが予想される場合、オブジェクトサイズの変化は、ある異常が生じている明白な指標となるであろう。ある実施例において、オブジェクトは感染を疑われており、現在サイズ256KBを有する。バックアッププールの検索は、オブジェクトサイズが、バックアッププール内に保有される全てのバージョンと一致していることを示す。しかしながら、検索がアーカイブまで及ぶ場合、120日前まで、全てのバージョンは168KBであり、オブジェクトが最初にアーカイブされて以来ずっと168KBであったことが明らかとなる。このことによって、オブジェクトの168KBバージョンは、感染されていないバージョンであるという結論に至る。168KBバージョンが6ヶ月前かつオブジェクトが80KBであった時以前に表示される場合、80KBオブジェクトはクリーンなバージョンであり、168KBオブジェクトはそうではないことが含意されることになる。バックアップに保存されるバージョンが上がる程、存在する場合に限り、クリーンなバージョンが検出される機会が増える。
【0027】
動的に変化するオブジェクトは、通常の使用において、可変サイズを有する可能性がある。経時的にオブジェクトのサイズ変化を解析することによって、サイズ変化の傾向を確立することができる。この情報の使用および統計解析の適用によって、異常変化を有するオブジェクトを識別し、感染時を決定してもよい。履歴情報がより大きければ、解析の正確度を向上することができる。さらに、サイズ変化が予想される時にオブジェクトのサイズ変化がない場合も、異常動作の指標となりうる。
【0028】
ある実施形態では、一時的傾向を、異常アクティビティの指標として使用してもよい。オブジェクトは、その存続期間にわたりサイズが変化することが予想されるか、あるいはそのデータが変更される可能性がある。その頻度、日付、および変更回数を、異常を識別するために使用することができる。例えば、オブジェクトは、通常、毎日サイズを変更しうる。バックアップの解析により、オブジェクトが1日1回常に変更されていたが、18ヶ月前は、オブジェクトは、日に2回変更されていたことが示される。これは、異常とみなされ、感染時としてフラッグを設定しうる。また、他の種別のアクセスも考えられうる。
【0029】
ある実施例において、月曜日から金曜日の午前8時から午後6時の毎日、オブジェクトは、開かれ、使用および変更される可能性がある。バックアップの解析によって、通常予想されるウィンドウ外の日付および回数で何回かオブジェクトが変更されたことが示される。可能性のある感染時は、予想されるウィンドウから外れる最も遠い(最も古い)変更を調べることによって確認することができる。
【0030】
オブジェクトは、パターン方式またはアドホック方式で変更される可能性がある。統計解析を履歴データに適用することによって、異常変化を識別し、疑わしい感染時の提示に役立ててもよい。また、予想される時間または間隔でオブジェクトに変化がない場合も、指標となりうる。
【0031】
ある実施形態では、変更(または変更回数)が生じるオブジェクト内の位置を決定することが解析に含まれる場合がある。例えば、あるオブジェクトは変更されることが予想され、オブジェクト内のその変更点(当初からのオフセット)は一定である。バックアップの解析によって、予想と異なるオフセットでの変更を有するオブジェクトを識別することができる。疑わしいオブジェクトの分類は、オブジェクト内の変更場所における単一の変更、またはいくつかの場所の変更に基づいて行われうる。変更が予想されるオブジェクトは、オブジェクトの最後に添付される変更データを常に有する場合がある。バックアップの検索によって、変更されたオブジェクトを識別しうるが、それは予想されるオブジェクトの最後ではない場合がある。これらのオブジェクトは、疑わしいとみなされうる。
【0032】
変更は、オブジェクト内の複数の場所(オフセット)で生じる場合があり、変更場所が一定であっても、全ての場所で一貫して変更されない場合がある(つまり、時として、ある場所では変更が行われるが、ある場所では行われない)。この情報は、検索基準として使用され、これら基準以外の変更を有するオブジェクトは、疑わしいとみなされうる。通常の変更パターンが決定され、異例のパターンは、疑わしいと識別されうる。
【0033】
ある実施形態では、本システムは、オブジェクトの毎回の使用あるいは特定の間隔で生じると予想されるオブジェクト内の特定の場所で、オブジェクト変更の欠如を検索してもよい。予想される変更が生じない場合、オブジェクトまたは複数のオブジェクトを疑わしいとしてフラッグを設定するために使用してもよい。
【0034】
オブジェクトのコンテンツ全てまたは一部が変更されるが、オブジェクトが同一のサイズを維持する場合がある。感染は、オリジナルと同一のサイズである悪質なオブジェクトを有するオブジェクト全体と置き換えることによって(オブジェクトの改名、上書き、または削除のいずれか、および新しいオブジェクトの書き込み等)、既知のクリーンかつ無害のオブジェクトを改ざんしうる。これは、悪質なオブジェクトそのもののサイズと一致するオブジェクトのみ置き換える、あるいは悪質なオブジェクトを有するより大きいオブジェクトと置き換え、単純に悪質なオブジェクトを詰め込み、より大きいオブジェクトのサイズと一致させるためにサイズを増やすことによって達成されうる。これは、サイズに基づく解析から逃れうることになる。
【0035】
バイナリプロファイル傾向を、一実施形態では、オブジェクトサイズが変更されない場合も、オブジェクトそのもののバイナリパターンを解析することによって、異常アクティビティと識別するために使用してもよい。固定サイズオブジェクトには、経時的オブジェクトのバイナリパターンを解析することが可能であり、パターンの異常変化が識別される。一実施形態では、オブジェクトの各コピーは、ハッシュ値を計算し、そのハッシュ値を比較してもよい。ハッシュ値の不一致は、オブジェクトの違いを示し、一致しないハッシュ値に関連するオブジェクトは改ざんされた疑いが生じる。また、オブジェクトのビット(あるいはバイト、または他のデータブロック)間の単純な比較を、一実施形態では行ってもよい。
【0036】
パターン認識および/または傾向解析を、オブジェクトまたはオブジェクトの一部、および逸脱を識別するためのバックアップとの比較結果で実施してもよい。パラメータを使用して、許容可能な変更を含むオブジェクトは通過させ、許容不可能な可能性のある変更を含むオブジェクトにフラッグを設定するために、変更の許容範囲を設定することができる。許容不可能な変更を含むと識別されたオブジェクトは、疑わしいとみなされうる。
【0037】
ある実施形態では、本システムは、オブジェクト内の変更の程度を決定、測定および追跡してもよい。例えば、種々の場所での無作為な量のオブジェクト変更が予想されうるが、決して変更が予想されないオブジェクトの一部がある。その一部への変更を識別することによって、疑わしいオブジェクトが検出されうる。別の実施例では、オブジェクトの全体サイズの変更は無作為でありうるが、変更が予想されるが特定の制限内であるオブジェクトの領域がある場合がある。予想される制限外の変更を識別することによって、疑わしいオブジェクトが識別される。また、オブジェクトの毎回の使用(一部は、読み込みまたは書き込み等の異なる種別の使用に関連する場合がある)、あるいは一定間隔で定期的に変更が生じると予想されるオブジェクトの一部がある場合がある。予想される変更の欠如は、異常アクティビティを有するオブジェクトを識別するために使用してもよい。
【0038】
変更エージェントの追跡は、一実施形態では、異常アクティビティを有するオブジェクトの識別に使用してもよい。例えば、オブジェクトへの変更および/または書き込み元が、不明あるいは予想外である場合、アクティビティは異常であるとみなされうる。オブジェクトの変更/書き込み元を追跡することによって、変更/書き込み元が予想外または許容不可能であるかどうかを決定することができる。従って、オブジェクトの変更または書き込みが認証されたもの、あるいは通常の(履歴に基づく)プログラム/プロセスではないプログラムまたはプロセスに由来する場合、オブジェクトは、疑わしいとしてフラッグが設定される。
【0039】
明確化のため、本明細書のプロセスおよび方法は、特定の流れに従って図示されるが、他の順序でも可能であり、本発明の精神から逸脱せずに、一部は並行して実行されうることは理解されるであろう。また、ステップは、細分化または組み合わせることも可能である本明細書に記載のように、本発明に従って書かれたソフトウェアは、メモリまたはCD−ROM等のコンピュータ可読媒体の形態で格納され、あるいはネットワーク上で伝送され、プロセッサによって実行されてもよい。
【0040】
本明細書に引用した参考文献は全て、参照することによって本明細書に援用されることを意図する。本発明は、特定の実施形態の観点から上記において説明されているが、本発明の変更および修正は当業者には明らかであり、添付の特許請求の範囲の範囲および均等物内で実践されうることが予想される。全体として、本明細書で識別される構成部品の機能を実践することができるように、例えば、複数のコンピュータを並行または負荷分散配列を使用して、あるいは複数のコンピュータにタスクを分配することによって、1つ以上のコンピュータを使用してもよい。つまり、これは、単一コンピュータの代わりとなる。上述の種々の機能は、単一のコンピュータ上で単一のプロセスまたはプロセス群によって実践されてもよく、あるいはいくつかのコンピュータに分配されてもよい。プロセスは、特定のタスクを処理する他のプロセスを起動してもよい。単一の記憶装置を使用してもよく、あるいはいくつかを単一の記憶装置の代わりとして使用してもよい。開示される実施形態は例示であって、制限的なものではなく、本発明は、本明細書に記載の詳細に限定されるものではない。本発明を実装するための多くの代替方法が存在する。従って、本開示および後述の請求項は、本発明の真の精神および範囲内でかかる全ての改良および修正を網羅するものとして解釈されることが意図される。
【図面の簡単な説明】
【0041】
【図1】図1は、本発明によるシステムの実施形態の図式である。
【図2】図2は、感染オブジェクトを置き換えるプロセスの実施形態を示すフローチャートである。
【図3】図3は、感染オブジェクトを識別するためのパターンを解析するプロセスの実施形態を示すフローチャートである。
【技術分野】
【0001】
(他の出願の参照)
本出願は、同時係属中の2005年8月16日に出願された米国仮特許出願第60/708,969号(代理人整理番号第EMC−05−285PRO)「METHOD AND SYSTEM FOR PROVIDING INFORMATION SECURITY」に対する優先権を主張し、該出願は本明細書において、全ての目的のために参照によって援用される。
【0002】
(発明の分野)
本発明は、概して、ウイルスからの情報保護に関し、特に、攻撃の検知、情報の保護、攻撃からの復旧のためのシステムおよび方法に関する。
【背景技術】
【0003】
(発明の背景)
本発明は、コンピュータファイルおよび/またはオブジェクトを、マルウェアを含むコンピュータウイルスから保護するためのシステムおよび方法に関する。コンピュータおよびマシンに関して言うと、ウイルスは、自身のコピーを他の実行可能コードまたはドキュメントに挿入することによって蔓延する自己再生/自己複製自動化プログラムである。用語「ウイルス」とは、マルウェア(悪質なソフトウェア)の一種として定義されうるが、一般には、「ウイルス」とは、ワーム、トロイの木馬、スパイウェア、アドウェア等を含むあらゆる種類のマルウェアを指すものとして使用される。
【0004】
コンピュータアンチウイルスプログラムは、一般には、データファイル等の感染オブジェクトから、コンピュータウイルスを検知、駆除および除去するために使用される。典型的に使用される一検知形態は、ホストコンピュータシステムの記憶装置(1つまたは複数)に常駐するオブジェクトのスキャンである。埋め込みウイルスが存在するかオブジェクトのスキャンを行うが、該スキャンは、シグネチャ方式またはヒューリスティクス(heuristic)(疑わしい動作の監視等)のいずれかであってもよい。しかしながら、シグネチャ方式によるウイルスのスキャンは、既に識別されたウイルスから取得したシグネチャに依存しており、未だ識別および解析されていないウイルスは検知されない(「デイ・ゼロ」または「ゼロ・デイ」攻撃)。これらは、既知のソリューションおよび/または検知シグネチャがない攻撃である。既存のヒューリスティクス方法は、誰にでも扱えるような簡単なものではなく、ウイルスの攻撃の検知に失敗する場合がある。従って、アンチウイルスプログラムは、オブジェクトが感染しているか検知できない可能性がある。
【0005】
これらの形態の攻撃は、システムオペレーションおよびデータ完全性に深刻な脅威をもたらす。IPS/IDS(侵入防止システム/侵入検知システム)は、異常動作を検知し、システムの対処を規定する方針を適用することによって、デイ・ゼロ攻撃から保護するために使用することができる。対処として、問題の管理者への通知、ポート使用の制限、帯域幅の制限、および影響を受けたコンピュータをネットワークから最終的に孤立させることを含み得る。その結果、問題の解決は管理者次第となる。そのような問題は、通常、本質的に解決されることはない。代わりに、アンチウイルスプロバイダに問題が転送されるか、あるいは攻撃を受ける前のある時点にシステムを復元するための試みがなされる。
【0006】
オブジェクト内でウイルスが検知された後、対処として、典型的には、感染オブジェクト(ウイルスを含むオブジェクト)の駆除または修復、感染オブジェクトの削除、あるいはさらなるアクセスをブロックするための感染オブジェクトを隔離が含まれる。感染オブジェクトの削除または隔離には、さらなる使用を不可能にするという不利点がある。従って、オブジェクトの駆除または修復が試みられる場合がある。しかしながら、時として、既存の方法を使用してオブジェクトを修復することが不可能とはいえないまでも困難であり、結果として生じるオブジェクトは、損傷している可能性があり、残りの選択肢として削除または隔離のみが残される。オブジェクトの駆除が成功した場合でも、そのプロセスにおいて、アーチファクトが残存し、非感染オブジェクトと一致しないオブジェクトが生じる可能性がある。アーチファクトは良性で、オブジェクトが使用可能な場合もあるが、金融機関等の一部の例においては、受け入れられないとみなされる可能性がある。駆除されたオブジェクトは、感染時期が不明のため、正確な日付およびタイムスタンプを有することはできない。
【0007】
管理者は感染が実際に生じた時を知らないので、攻撃を受ける前のある時点に復元することには問題があり得る。管理者が知っていることは、攻撃が有効になった時だけである。多くの攻撃は、時として数ヶ月または数年間休止状態にある場合もあり、従って、感染が生じた場合に容易に明らかとはならない。
【発明の開示】
【発明が解決しようとする課題】
【0008】
そのため、コンピュータシステム上のウイルスから情報を保護するための改良方法、製造品、および設備が必要とされている。
【発明を実施するための最良の形態】
【0009】
本発明は、添付の図面を参照して記載される後述の詳細な説明から容易に理解されるであろう。ここで、同様の参照番号は、同様の構成要素を示す。
【0010】
本発明の1つ以上の実施形態の詳細な説明は、本発明の原理を示す添付図面とともに以下に提供される。本発明は、このような実施形態(1つまたは複数)と関連して説明されるが、本発明がいずれか1つの実施形態に限定されるわけでないことは理解されるべきである。一方、本発明の範囲は、特許請求の範囲によってのみ限定され、本発明は、多数の代替、修正および均等物を包含する。例示を目的として、本発明の完全な理解を提供するために、多数の特定の詳細が後述の説明において記載される。これらの詳細は、例示の目的のために提供されるものであり、本発明は、それら特定の詳細の一部または全てがなくても、特許請求の範囲に従って実践されうる。明確化の目的のため、本発明が不必要に不明瞭とならないように、本発明に関する技術分野で公知の技術材料は詳細に記載されない。
【0011】
本発明は、プロセス、設備、システム、装置、方法、またはコンピュータ可読記憶媒体等のコンピュータ可読媒体、あるいはプログラム命令が光通信回線または電子通信回線上で送信されるコンピュータネットワークを含む、多数の方法で実装することが可能であることは理解されるべきである。本明細書では、これらの実装、または本発明でとられる他のいかなる形態も、技術として称されうる。一般に、開示されるプロセスのステップの順番は、本発明の範囲内で変更されてもよい。
【0012】
本発明のある実施形態は、情報保護プログラムを実行するコンピュータシステムを参照して説明されるが、本発明の原理は、本特定の構成に限定されるものではないことは理解されるであろう。むしろ、ローカルまたは遠隔装置上のいずれかにファイルまたはオブジェクトが記憶されるいかなるシステムに適用してもよく、該装置は、1つ以上の記憶装置を備えてもよい。本明細書に記載される情報の方法は、ウイルスの攻撃から情報を保護するための用途の観点から記載されているが、オブジェクトの異常変化を検知すること、またはユーザにオブジェクトを異常変化前の時点に復元させることが望ましい他の場合にも等しく適用可能であることが、当業者には理解されるであろう。本明細書では、ウイルスの攻撃を検知し、感染オブジェクトを感染前の状態に復元するための方法およびシステムが開示される。ユーザは、デイ・ゼロのマルウェアを検知し根絶する能力と、障害が生じたオブジェクトを識別および位置決定し、損傷したオブジェクトを復元し、マルウェアに感染していると疑われるオブジェクトを企業内から一掃することが可能な対策ソリューションを提供される。侵入防止システム/侵入検知システム(「IPS/IDS」)は、本明細書に記載されるアーカイブおよび脅威解析と組み合わせてもよい。
【0013】
図1は、コンピュータシステム10上で実行するプログラムが、オブジェクトおよびそこに含まれる情報を使用して、専用のローカル記憶装置12、別のコンピュータシステム16と共有される記憶装置14、または別のコンピュータシステム20に関連づけられる記憶装置18上のウイルスから保護しうるいくつかの構成の可能性を示す。コンピュータシステム10は、ネットワークまたは他の通信手段を経由して、コンピュータシステム20または他のいかなる装置と通信させてもよい。コンピュータシステム10は、インターネットと通信して、ウイルス定義/アップデートをアンチウイルスベンダ22から受信するように構成され得、ウイルス定義/アップデートは、物理媒体等の他の手段によって受信され得ることが理解されるべきである。
【0014】
ネットワークベースのIPS/IDS24が使用され、コンピュータシステム10上で実行するプログラムと通信すると、例えば、疑わしいネットワークアクティビティとその発信元であるホストの識別に関する情報を提供するようにしてもよい。IPS/IDS24の機能性は、一実施形態においては、ネットワークに接続されている別のコンピュータシステムに提供され得、あるいはエージェントが、アクティビティを監視するためのコンピュータシステムのいずれかまたは全てに配置され得る。バックアップシステム26は、コンピュータシステムからデータをバックアップするために提供してもよい。バックアップシステム26は、ハードディスクドライブ、光学式ドライブ、テープライブラリ、および他の記憶装置(図示せず)を含めてもよく、コンピュータシステムからデータをバックアップするためのバックアッププログラムを実行し得、これは、バックアッププログラムと通信するバックアップクライアントを有してもよい。別のコンピュータシステム上でのバックアッププログラムの実行、SANまたはNAS装置(図示せず)、あるいはバックアップされたコンピュータシステムに接続されている記憶装置へのデータのバックアップ等、他の構成も可能である。ある構成においては、バックアップは、オンラインまたはニアライン記憶装置(ハードドライブ等)を使用するバックアッププール、およびオフライン記憶装置(テープ等)を使用するアーカイブ等のいくつかの種別の記憶装置グループを備えてもよい。本明細書で開示される原理は、バックアップのいかなる構成にも適用される。コンピュータシステム10は、ユーザとの対話用にディスプレイおよび入力装置を含めてもよく、あるいはユーザは、遠隔地からコンピュータシステム10と対話してもよい。
【0015】
ある実施形態では、オブジェクトにウイルスが検知された後の対処として、感染オブジェクトの駆除または修復、感染オブジェクトの削除、感染オブジェクトの隔離、あるいは感染オブジェクトとクリーンなオブジェクトとの置き換えを含めてもよい。これは、自動的またはユーザからの命令に応じて、実施されるようにしてもよい。オブジェクトが感染していると決定された後、感染オブジェクトと置き換えるためにオブジェクトのバックアップコピーが識別されるようにしてもよい。ユーザからの確認後または自動的に、感染オブジェクトをバックアップコピーと置き換えてもよい。
【0016】
ある実施形態では、複数のバックアップコピーが存在してもよい。「バックアップコピー」とは、完全なバックアップコピーと、定期的に実施され、ある時点に復元可能なバックアップコピーと結合可能なアップデートとを示すために使用されうることは理解されるべきである。つまり、バックアップは、現在のバックアップ時点と最後のバックアップとの変更点を把握するように実行してもよい(完全バックアップまたは以前のバックアップからの変更点の別のバックアップであってもよい)。「バックアップコピー」は、オブジェクトの復元時点であると考えられうる。従って、複数の復元時点がオブジェクトに対し利用可能となる。継続的データ保護が使用されている場合、いずれの時点にもオブジェクトを復元する能力を本システムは有することができる。オブジェクトのバックアップコピーは、攻撃ウイルスが確認され、感染される前に、生成されている可能性がある。複数のバックアップコピーによって、オブジェクトのクリーンなコピーを有する確率が高まる。
【0017】
バックアップコピーは、攻撃ウイルスが確認される前であるが、ウイルスの攻撃(つまり、「デイ・ゼロ」または「ゼロ・デイ」攻撃)後に生成されている可能性があるため、感染している可能性もある。ある実施形態では、オブジェクトのクリーンなコピーのバックアップを検索するように本システムを構成してもよい。クリーンなコピーが識別されると、クリーンであるか確認するためアンチウイルスエンジンに受け渡し、その後感染オブジェクトと置き換えるために使用してもよい。ユーザは、バックアップとの対話または検索する必要はなく、オブジェクトを復元するための選択肢メニューから単純に「置き換える」を選択するだけよく、むしろ置き換えオブジェクトの手動で検索あるいはITサポートからの支援を要求する必要はない。これは、ユーザのための復旧の簡素化、復旧時間の短縮、および復旧コストの削減という利点がある。迅速なオブジェクトの置き換えによって、復旧時間およびコストを低減し、用途および/またはユーザによる使用に対しオブジェクトの可用性が増す。
【0018】
図2は、一実施形態におけるプロセスの流れを大まかに示す。ステップ100では、オブジェクトがマルウェアに感染しているか決定する。この決定は、オブジェクト、システム動作、およびバックアップコピーの解析、あるいは本明細書に記載のアンチウイルスまたはマルウェアのスキャンを通して実施してもよい。オブジェクトが感染している場合、ステップ102において、オブジェクトのバックアップコピーがバックアップ内で位置決定される。このバックアップコピーは、感染のフラッグが設定されていない最新のバックアップコピーである可能性がある。ステップ104において、バックアップコピーは、マルウェアの点検を受け、感染されていない場合、ステップ108において、感染オブジェクトはバックアップコピーと置き換えられる。随意に、ステップ106において、感染オブジェクトをバックアップコピーと置き換えるかユーザに確認するようにしてもよく、ユーザが受諾する場合、ステップ108が実施される。バックアップコピーが感染していることが明らかになった場合、プロセスは、ステップ102に戻り、別のバックアップコピーを位置決定する。ある実施形態では、バックアップコピーが固有のものであるか確認してもよい。既に位置決定され、確認されたバックアップコピーと同じである場合は、省略してもよい。バックアップコピーのマルウェア点検は、一実施形態では、アンチウイルスエンジンへの受け渡しを含めてもよい。
【0019】
一実施形態では、システム10は、感染発生時(「感染時」)を決定し、感染時以前に生成されたバックアップコピーを位置決定し、感染オブジェクトをバックアップコピーと置き換えるようにしてもよい。バックアップコピーは、感染時以前の最新のバックアップコピーを選択するようにしてもよい。オブジェクトが感染しているかどうか、および感染時の決定は、本明細書に記載のように、オブジェクトおよびそのバックアップコピーの解析によって行われもよい。こうした決定から、感染時以前のバックアップコピーを選択し、感染オブジェクトの置き換えに使用することができる。
【0020】
アンチウイルスプログラムおよび/またはバックアッププログラムは、コンピュータシステム10で実行されるプログラム、別のプログラム、または別のコンピュータシステム上で実行されるプログラムの一部であってもよい。ユーザインターフェースは、システム10、システム20、またはプログラムと対話するための別のコンピュータシステム上に提供されてもよい。
【0021】
オブジェクトのクリーンなコピーを識別するため、攻撃の発生時を決定することは有益である。ある実施形態では、本システムを使用して、どのコンピュータシステムが障害を被ったのか、どのファイルが影響を受けたのかを識別し、推奨または自動的ソリューションを提供するようにしてもよい。本システムは、コンピュータシステムのネットワーク動作の監視等のコンピュータシステムによって異常動作を探す。これは、例えば、異常ネットワーク動作を検知するネットワークベースのIPS/IDS等のIPS/IDS、あるいは各監視されるコンピュータ上で起動するエージェントを備えたエージェントベースのIPS/IDSによって行ってもよい。コンピュータシステムによる異常動作が検知される場合、該システムのログを使用して、マルウェアの実行によって改ざんされたオブジェクト等、異常動作をもたらしたオブジェクト、または関連するオブジェクトを識別してもよい。検査は、ネイティブシステムログファイル、エージェントベースファイル(より頑健である可能性がある)、または異常動作に関連するオブジェクト(1つまたは複数)の識別に役立つ情報を提供しうる他のデータソース(プロセス等)上で行ってもよい。関連オブジェクトの識別後、本システムは、オブジェクトのコピーを検索し、推定されるマルウェアに感染していないオブジェクトのバージョンを検出するようにしてもよい。
【0022】
デイ・ゼロ攻撃には、マルウェアを識別するために使用されうる既知のシグネチャがない。ある実施形態では、本システムは、オブジェクトを監視し、異常変化用のオブジェクトのコピーをバックアップしてもよい。オブジェクト内の異常変化の検知および解析方法は、オブジェクトのサイズ変化からオブジェクトのバイナリパターンのパターン認識の実行に及ぶようにしてもよい。これは、オブジェクトにアクセスする前または後に実施してもよい。その評価に基づいて、本システムは、感染時である可能性が最も高い時点を識別することができる。この時点が識別されると、それ以前に生成されたバックアップコピーは、クリーンであり、感染オブジェクトとの置き換えに使用されうるとみなされる。バックアップコピーは、置き換え前にアンチウイルスエンジンでスキャンしてもよい。バックアップコピーの生成以来、ウイルスシグネチャは、ウイルス定義に加えられている可能性があり、そのバックアップコピーは、その時点で不明であったシグネチャのウイルスを有する場合がある。ある実施形態では、バックアップコピーは、各コピーに対し算出されるハッシュシグネチャを有し、そのハッシュ値は、固有のバージョンを迅速に識別するために使用してもよい。固有のバージョンのみ、マルウェアの解析を受け、またはアンチウイルスエンジンに受け渡され、複製物の処理が回避されることになる。オブジェクトの複製コピーは、完全バックアップを通してバックアップに表示されてもよく、その場合、最初に生じたコピーのみ処理される必要があることになる。一実施形態では、オブジェクトへのアクセスが実施される前に、異常変化の解析が行われてもよく、マルウェアを及ぼす可能性があるとみなされる場合、ブロックされる。
【0023】
図3は、異常を識別するための一実施形態におけるプロセスを示すフローチャートである。ステップ200において、オブジェクトのバックアップコピーは、本明細書に記載のように、使用パターン(傾向を含む)、サイズ等を決定するために解析される。ステップ202は、パターンからの逸脱の監視を含み、ステップ204において、その逸脱は、マルウェアによる感染を潜在的に示す異常としてフラッグが設定されるようにしてもよい。ステップ206において、感染発生時を決定するようにしてもよい。ステップ208において、異常方針に従って、対処を策定するようにしてもよい。方針として、例えば、感染が疑われるオブジェクトの隔離、管理者への通知、感染オブジェクトとクリーンなバックアップコピーとの置き換え、試行されるアクセスの拒否等を指定してもよい。
【0024】
ある実施形態では、アクセスログの解析は、異常アクティビティの検索のために行われてもよい。読み込みおよび書き込みは、タイムスタンプ、および随意で、発信元ID、アプリケーションID、ユーザ等の他のメタデータと一緒に記録されてもよい。このメタデータは、異常動作の検索に使用してもよい。例えば、予想外のユーザまたはアプリケーションがオブジェクトにアクセスした場合、異常とみなされるようにしてもよい。Microsoft Wordドキュメントは、典型的には、Microsoft Word以外のアプリケーションによって書き込みがされないため、別のアプリケーションによるWordドキュメントへの書き込みは、疑わしいとみなされうる。他の場合においては、オブジェクトを生成または修正したアプリケーションまたはユーザ以外によるオブジェクトの膨大な読み込みが含まれ、マルウェアがデータを盗み、ネットワーク上でそれを遠隔地へ伝送しようとしている疑いが生じうる。これは、異常動作のためのネットワークの監視、およびコンピュータが大容量のデータを異例の場所に伝送しようとしていないかの観察と組み合わせることも可能である。
【0025】
また、アクセスログは、感染時以前のある時点へ書き込みを逆行させるために使用してもよい。アクセスログは、バックアッププールと関連させてもよい。この方法は、単独、あるいは感染時以前の適切なコピーまたはオブジェクトのバージョンに逆行させるための他の方法と組み合わせて使用することができる。ある実施形態では、書き込みがマルウェアアクティビティの結果生じたものであると決定されうる場合、その書き込みは、選択的に除外され、その他の有効な書き込みは、オブジェクトを感染後の最新の状態にするために適用されうる。マルウェア書き込みのためのフィルタは、例えば、マルウェアに感染していると決定された発信元アプリケーション等の特定のメタデータに基づいてかけられ、および/または有効なアプリケーションによって発行された書き込みのみ適用されうる。バックアッププールは、最終的にアーカイブに移動されるため、以前にアーカイブされたバックアッププールに関連するアクセスログは、オブジェクトのマスターインデックスに統合および追加されてもよい。
【0026】
サイズ傾向を、一実施形態において、異常変化の指標とし使用してもよい。オブジェクトサイズが存続期間を通じて変化しないことが予想される場合、オブジェクトサイズの変化は、ある異常が生じている明白な指標となるであろう。ある実施例において、オブジェクトは感染を疑われており、現在サイズ256KBを有する。バックアッププールの検索は、オブジェクトサイズが、バックアッププール内に保有される全てのバージョンと一致していることを示す。しかしながら、検索がアーカイブまで及ぶ場合、120日前まで、全てのバージョンは168KBであり、オブジェクトが最初にアーカイブされて以来ずっと168KBであったことが明らかとなる。このことによって、オブジェクトの168KBバージョンは、感染されていないバージョンであるという結論に至る。168KBバージョンが6ヶ月前かつオブジェクトが80KBであった時以前に表示される場合、80KBオブジェクトはクリーンなバージョンであり、168KBオブジェクトはそうではないことが含意されることになる。バックアップに保存されるバージョンが上がる程、存在する場合に限り、クリーンなバージョンが検出される機会が増える。
【0027】
動的に変化するオブジェクトは、通常の使用において、可変サイズを有する可能性がある。経時的にオブジェクトのサイズ変化を解析することによって、サイズ変化の傾向を確立することができる。この情報の使用および統計解析の適用によって、異常変化を有するオブジェクトを識別し、感染時を決定してもよい。履歴情報がより大きければ、解析の正確度を向上することができる。さらに、サイズ変化が予想される時にオブジェクトのサイズ変化がない場合も、異常動作の指標となりうる。
【0028】
ある実施形態では、一時的傾向を、異常アクティビティの指標として使用してもよい。オブジェクトは、その存続期間にわたりサイズが変化することが予想されるか、あるいはそのデータが変更される可能性がある。その頻度、日付、および変更回数を、異常を識別するために使用することができる。例えば、オブジェクトは、通常、毎日サイズを変更しうる。バックアップの解析により、オブジェクトが1日1回常に変更されていたが、18ヶ月前は、オブジェクトは、日に2回変更されていたことが示される。これは、異常とみなされ、感染時としてフラッグを設定しうる。また、他の種別のアクセスも考えられうる。
【0029】
ある実施例において、月曜日から金曜日の午前8時から午後6時の毎日、オブジェクトは、開かれ、使用および変更される可能性がある。バックアップの解析によって、通常予想されるウィンドウ外の日付および回数で何回かオブジェクトが変更されたことが示される。可能性のある感染時は、予想されるウィンドウから外れる最も遠い(最も古い)変更を調べることによって確認することができる。
【0030】
オブジェクトは、パターン方式またはアドホック方式で変更される可能性がある。統計解析を履歴データに適用することによって、異常変化を識別し、疑わしい感染時の提示に役立ててもよい。また、予想される時間または間隔でオブジェクトに変化がない場合も、指標となりうる。
【0031】
ある実施形態では、変更(または変更回数)が生じるオブジェクト内の位置を決定することが解析に含まれる場合がある。例えば、あるオブジェクトは変更されることが予想され、オブジェクト内のその変更点(当初からのオフセット)は一定である。バックアップの解析によって、予想と異なるオフセットでの変更を有するオブジェクトを識別することができる。疑わしいオブジェクトの分類は、オブジェクト内の変更場所における単一の変更、またはいくつかの場所の変更に基づいて行われうる。変更が予想されるオブジェクトは、オブジェクトの最後に添付される変更データを常に有する場合がある。バックアップの検索によって、変更されたオブジェクトを識別しうるが、それは予想されるオブジェクトの最後ではない場合がある。これらのオブジェクトは、疑わしいとみなされうる。
【0032】
変更は、オブジェクト内の複数の場所(オフセット)で生じる場合があり、変更場所が一定であっても、全ての場所で一貫して変更されない場合がある(つまり、時として、ある場所では変更が行われるが、ある場所では行われない)。この情報は、検索基準として使用され、これら基準以外の変更を有するオブジェクトは、疑わしいとみなされうる。通常の変更パターンが決定され、異例のパターンは、疑わしいと識別されうる。
【0033】
ある実施形態では、本システムは、オブジェクトの毎回の使用あるいは特定の間隔で生じると予想されるオブジェクト内の特定の場所で、オブジェクト変更の欠如を検索してもよい。予想される変更が生じない場合、オブジェクトまたは複数のオブジェクトを疑わしいとしてフラッグを設定するために使用してもよい。
【0034】
オブジェクトのコンテンツ全てまたは一部が変更されるが、オブジェクトが同一のサイズを維持する場合がある。感染は、オリジナルと同一のサイズである悪質なオブジェクトを有するオブジェクト全体と置き換えることによって(オブジェクトの改名、上書き、または削除のいずれか、および新しいオブジェクトの書き込み等)、既知のクリーンかつ無害のオブジェクトを改ざんしうる。これは、悪質なオブジェクトそのもののサイズと一致するオブジェクトのみ置き換える、あるいは悪質なオブジェクトを有するより大きいオブジェクトと置き換え、単純に悪質なオブジェクトを詰め込み、より大きいオブジェクトのサイズと一致させるためにサイズを増やすことによって達成されうる。これは、サイズに基づく解析から逃れうることになる。
【0035】
バイナリプロファイル傾向を、一実施形態では、オブジェクトサイズが変更されない場合も、オブジェクトそのもののバイナリパターンを解析することによって、異常アクティビティと識別するために使用してもよい。固定サイズオブジェクトには、経時的オブジェクトのバイナリパターンを解析することが可能であり、パターンの異常変化が識別される。一実施形態では、オブジェクトの各コピーは、ハッシュ値を計算し、そのハッシュ値を比較してもよい。ハッシュ値の不一致は、オブジェクトの違いを示し、一致しないハッシュ値に関連するオブジェクトは改ざんされた疑いが生じる。また、オブジェクトのビット(あるいはバイト、または他のデータブロック)間の単純な比較を、一実施形態では行ってもよい。
【0036】
パターン認識および/または傾向解析を、オブジェクトまたはオブジェクトの一部、および逸脱を識別するためのバックアップとの比較結果で実施してもよい。パラメータを使用して、許容可能な変更を含むオブジェクトは通過させ、許容不可能な可能性のある変更を含むオブジェクトにフラッグを設定するために、変更の許容範囲を設定することができる。許容不可能な変更を含むと識別されたオブジェクトは、疑わしいとみなされうる。
【0037】
ある実施形態では、本システムは、オブジェクト内の変更の程度を決定、測定および追跡してもよい。例えば、種々の場所での無作為な量のオブジェクト変更が予想されうるが、決して変更が予想されないオブジェクトの一部がある。その一部への変更を識別することによって、疑わしいオブジェクトが検出されうる。別の実施例では、オブジェクトの全体サイズの変更は無作為でありうるが、変更が予想されるが特定の制限内であるオブジェクトの領域がある場合がある。予想される制限外の変更を識別することによって、疑わしいオブジェクトが識別される。また、オブジェクトの毎回の使用(一部は、読み込みまたは書き込み等の異なる種別の使用に関連する場合がある)、あるいは一定間隔で定期的に変更が生じると予想されるオブジェクトの一部がある場合がある。予想される変更の欠如は、異常アクティビティを有するオブジェクトを識別するために使用してもよい。
【0038】
変更エージェントの追跡は、一実施形態では、異常アクティビティを有するオブジェクトの識別に使用してもよい。例えば、オブジェクトへの変更および/または書き込み元が、不明あるいは予想外である場合、アクティビティは異常であるとみなされうる。オブジェクトの変更/書き込み元を追跡することによって、変更/書き込み元が予想外または許容不可能であるかどうかを決定することができる。従って、オブジェクトの変更または書き込みが認証されたもの、あるいは通常の(履歴に基づく)プログラム/プロセスではないプログラムまたはプロセスに由来する場合、オブジェクトは、疑わしいとしてフラッグが設定される。
【0039】
明確化のため、本明細書のプロセスおよび方法は、特定の流れに従って図示されるが、他の順序でも可能であり、本発明の精神から逸脱せずに、一部は並行して実行されうることは理解されるであろう。また、ステップは、細分化または組み合わせることも可能である本明細書に記載のように、本発明に従って書かれたソフトウェアは、メモリまたはCD−ROM等のコンピュータ可読媒体の形態で格納され、あるいはネットワーク上で伝送され、プロセッサによって実行されてもよい。
【0040】
本明細書に引用した参考文献は全て、参照することによって本明細書に援用されることを意図する。本発明は、特定の実施形態の観点から上記において説明されているが、本発明の変更および修正は当業者には明らかであり、添付の特許請求の範囲の範囲および均等物内で実践されうることが予想される。全体として、本明細書で識別される構成部品の機能を実践することができるように、例えば、複数のコンピュータを並行または負荷分散配列を使用して、あるいは複数のコンピュータにタスクを分配することによって、1つ以上のコンピュータを使用してもよい。つまり、これは、単一コンピュータの代わりとなる。上述の種々の機能は、単一のコンピュータ上で単一のプロセスまたはプロセス群によって実践されてもよく、あるいはいくつかのコンピュータに分配されてもよい。プロセスは、特定のタスクを処理する他のプロセスを起動してもよい。単一の記憶装置を使用してもよく、あるいはいくつかを単一の記憶装置の代わりとして使用してもよい。開示される実施形態は例示であって、制限的なものではなく、本発明は、本明細書に記載の詳細に限定されるものではない。本発明を実装するための多くの代替方法が存在する。従って、本開示および後述の請求項は、本発明の真の精神および範囲内でかかる全ての改良および修正を網羅するものとして解釈されることが意図される。
【図面の簡単な説明】
【0041】
【図1】図1は、本発明によるシステムの実施形態の図式である。
【図2】図2は、感染オブジェクトを置き換えるプロセスの実施形態を示すフローチャートである。
【図3】図3は、感染オブジェクトを識別するためのパターンを解析するプロセスの実施形態を示すフローチャートである。
【特許請求の範囲】
【請求項1】
コンピュータシステム内のオブジェクトを保護するための方法であって、
オブジェクトがマルウェアに感染しているか決定するステップを含み、該オブジェクトが感染している場合、
該オブジェクトのバックアップ内の該オブジェクトの第一のバックアップコピーを位置決定するステップと、
該オブジェクトを該第一のバックアップコピーと置き換えるステップと、
を含む、方法。
【請求項2】
前記第一のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む、請求項1に記載の方法。
【請求項3】
前記第一のバックアップコピーが感染している場合、第二のバックアップコピーを位置決定するステップをさらに含む、請求項2に記載の方法。
【請求項4】
前記第二のバックアップコピーを位置決定するステップは、前記第一のバックアップコピーより古いバックアップコピーを識別するステップを含む、請求項3に記載の方法。
【請求項5】
前記第二のバックアップコピーを識別するステップは、該第二のバックアップコピーが前記第一のバックアップコピーと異なるか決定するために、候補バックアップコピーを該第一のバックアップコピーと比較するステップを含む、請求項4に記載の方法。
【請求項6】
前記候補バックアップコピーを前記第一のバックアップコピーと比較するステップは、該候補バックアップコピーのハッシュ値と該第一のバックアップコピーのハッシュ値を比較するステップを含む、請求項5に記載の方法。
【請求項7】
前記第二のバックアップコピーが前記第一のバックアップコピーと異なる場合のみ、該第二のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む、請求項5に記載の方法。
【請求項8】
前記バックアップは、オンラインバックアップ記憶装置およびオフラインバックアップ記憶装置を含み、前記第一のバックアップコピーを位置決定するステップは、該オンラインバックアップ記憶装置を検索するステップを含む、請求項1に記載の方法。
【請求項9】
前記第一のバックアップコピーを位置決定するステップは、前記オンラインバックアップ記憶装置を検索後、前記オフラインバックアップ記憶装置を検索するステップをさらに含む、請求項8に記載の方法。
【請求項10】
オブジェクトが感染した時間における感染点を決定するステップをさらに含む、請求項1に記載の方法。
【請求項11】
前記第一のバックアップコピーを選択するために、前記感染点を使用するステップをさらに含む、請求項10に記載の方法。
【請求項12】
前記第一のバックアップコピーを選択するステップは、感染時点より前に生成されたバックアップコピーを選択するステップを含む、請求項11に記載の方法。
【請求項13】
前記第一のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む、請求項12に記載の方法。
【請求項14】
前記第一のバックアップコピーが感染しているか決定するステップは、該第一のバックアップコピーをアンチウイルスエンジンに受け渡すステップを含む、請求項13に記載の方法。
【請求項15】
前記感染されたオブジェクトをバックアップコピーと置き換えるかユーザに問い合わせるステップをさらに含む、請求項1に記載の方法。
【請求項16】
オブジェクトのバックアップコピーを含むバックアップを含むシステム内で、該オブジェクトを保護するための方法であって、
該オブジェクトの少なくとも1つのバックアップコピーを使用して、オブジェクトに関連するパターンを決定するステップと、
前記オブジェクトがマルウェアに感染していることを示す異常を識別するために、該パターンからの逸脱を検知するステップと、
を含む、方法。
【請求項17】
前記パターンを決定するステップは、オブジェクトサイズ、前記オブジェクトへのアクセス回数、該オブジェクトへのアクセス位置、または前記オブジェクトへの変更元を含むグループから選択された少なくとも1つを解析するステップを含む、請求項16に記載の方法。
【請求項18】
前記パターンからの逸脱を検知するステップは、前記オブジェクトのアクセスログを監視するステップ、または該パターンから逸脱するコピーに対し前記バックアップコピーを解析するステップを含む、請求項16に記載の方法。
【請求項19】
前記オブジェクトがマルウェアに感染した時間における感染点を識別するステップをさらに含む、請求項16に記載の方法。
【請求項20】
前記感染時より前に生成されたバックアップコピーを引き出すステップをさらに含む、請求項19に記載の方法。
【請求項1】
コンピュータシステム内のオブジェクトを保護するための方法であって、
オブジェクトがマルウェアに感染しているか決定するステップを含み、該オブジェクトが感染している場合、
該オブジェクトのバックアップ内の該オブジェクトの第一のバックアップコピーを位置決定するステップと、
該オブジェクトを該第一のバックアップコピーと置き換えるステップと、
を含む、方法。
【請求項2】
前記第一のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む、請求項1に記載の方法。
【請求項3】
前記第一のバックアップコピーが感染している場合、第二のバックアップコピーを位置決定するステップをさらに含む、請求項2に記載の方法。
【請求項4】
前記第二のバックアップコピーを位置決定するステップは、前記第一のバックアップコピーより古いバックアップコピーを識別するステップを含む、請求項3に記載の方法。
【請求項5】
前記第二のバックアップコピーを識別するステップは、該第二のバックアップコピーが前記第一のバックアップコピーと異なるか決定するために、候補バックアップコピーを該第一のバックアップコピーと比較するステップを含む、請求項4に記載の方法。
【請求項6】
前記候補バックアップコピーを前記第一のバックアップコピーと比較するステップは、該候補バックアップコピーのハッシュ値と該第一のバックアップコピーのハッシュ値を比較するステップを含む、請求項5に記載の方法。
【請求項7】
前記第二のバックアップコピーが前記第一のバックアップコピーと異なる場合のみ、該第二のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む、請求項5に記載の方法。
【請求項8】
前記バックアップは、オンラインバックアップ記憶装置およびオフラインバックアップ記憶装置を含み、前記第一のバックアップコピーを位置決定するステップは、該オンラインバックアップ記憶装置を検索するステップを含む、請求項1に記載の方法。
【請求項9】
前記第一のバックアップコピーを位置決定するステップは、前記オンラインバックアップ記憶装置を検索後、前記オフラインバックアップ記憶装置を検索するステップをさらに含む、請求項8に記載の方法。
【請求項10】
オブジェクトが感染した時間における感染点を決定するステップをさらに含む、請求項1に記載の方法。
【請求項11】
前記第一のバックアップコピーを選択するために、前記感染点を使用するステップをさらに含む、請求項10に記載の方法。
【請求項12】
前記第一のバックアップコピーを選択するステップは、感染時点より前に生成されたバックアップコピーを選択するステップを含む、請求項11に記載の方法。
【請求項13】
前記第一のバックアップコピーがマルウェアに感染しているか決定するステップをさらに含む、請求項12に記載の方法。
【請求項14】
前記第一のバックアップコピーが感染しているか決定するステップは、該第一のバックアップコピーをアンチウイルスエンジンに受け渡すステップを含む、請求項13に記載の方法。
【請求項15】
前記感染されたオブジェクトをバックアップコピーと置き換えるかユーザに問い合わせるステップをさらに含む、請求項1に記載の方法。
【請求項16】
オブジェクトのバックアップコピーを含むバックアップを含むシステム内で、該オブジェクトを保護するための方法であって、
該オブジェクトの少なくとも1つのバックアップコピーを使用して、オブジェクトに関連するパターンを決定するステップと、
前記オブジェクトがマルウェアに感染していることを示す異常を識別するために、該パターンからの逸脱を検知するステップと、
を含む、方法。
【請求項17】
前記パターンを決定するステップは、オブジェクトサイズ、前記オブジェクトへのアクセス回数、該オブジェクトへのアクセス位置、または前記オブジェクトへの変更元を含むグループから選択された少なくとも1つを解析するステップを含む、請求項16に記載の方法。
【請求項18】
前記パターンからの逸脱を検知するステップは、前記オブジェクトのアクセスログを監視するステップ、または該パターンから逸脱するコピーに対し前記バックアップコピーを解析するステップを含む、請求項16に記載の方法。
【請求項19】
前記オブジェクトがマルウェアに感染した時間における感染点を識別するステップをさらに含む、請求項16に記載の方法。
【請求項20】
前記感染時より前に生成されたバックアップコピーを引き出すステップをさらに含む、請求項19に記載の方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公表番号】特表2009−505295(P2009−505295A)
【公表日】平成21年2月5日(2009.2.5)
【国際特許分類】
【出願番号】特願2008−527153(P2008−527153)
【出願日】平成18年8月16日(2006.8.16)
【国際出願番号】PCT/US2006/032221
【国際公開番号】WO2007/022392
【国際公開日】平成19年2月22日(2007.2.22)
【出願人】(507024769)イーエムシー コーポレイション (13)
【Fターム(参考)】
【公表日】平成21年2月5日(2009.2.5)
【国際特許分類】
【出願日】平成18年8月16日(2006.8.16)
【国際出願番号】PCT/US2006/032221
【国際公開番号】WO2007/022392
【国際公開日】平成19年2月22日(2007.2.22)
【出願人】(507024769)イーエムシー コーポレイション (13)
【Fターム(参考)】
[ Back to top ]