ARRANGEMENT AND METHOD OF THREAT DETECTION IN COMPUTER OR COMPUTER NETWORK

SOLUTION: A method of threat detection to be implemented in a computer comprises: determining that an application is starting at a computer, such as a network node or an endpoint; intercepting the application start; identifying a risk rating of the application; on the basis of the identified risk rating of the application, creating a snapshot of the computer if the risk rating of the application is high, such as above a certain risk rating threshold value, and/or if the risk rating of the application is unknown; and allowing the application to run after the identification of the risk rating of the application. If the application is determined to be malware when the application is running, the application is stopped to remove the malware and the changes made to the computer is restored on the basis of the snapshot of the computer.SELECTED DRAWING: Figure 1 【解決手段】コンピュータで実施される脅威検出方法であって、ネットワークノード又はエンドポイントなどのコンピュータにおいてアプリケーションが始動していると判断し、アプリケーションの始動をインターセプトし、アプリケーションのリスクレーティングを識別し、アプリケーションの識別されたリスクレーティングに基づいて、特定のリスクレーティング閾値を上回りアプリケーションのリスクレーティングが高い場合、及び／又はアプリケーションのリスクレーティングが未知である場合、コンピュータのスナップショットを作成し、アプリケーションのリスクレーティングの識別後にアプリケーションを実行させる。アプリケーションの実行時にアプリケーションがマルウェアであると判断した場合、アプリケーションを停止してマルウェアを除去し、コンピュータの前記スナップショットに基づいて、コンピュータに対して行った変更を元に戻す。【選択図】図１