CN103842965B - 恶意软件分析系统 - Google Patents

恶意软件分析系统 Download PDF

Info

Publication number
CN103842965B
CN103842965B CN201280036352.1A CN201280036352A CN103842965B CN 103842965 B CN103842965 B CN 103842965B CN 201280036352 A CN201280036352 A CN 201280036352A CN 103842965 B CN103842965 B CN 103842965B
Authority
CN
China
Prior art keywords
malware
virtual machine
sample
malware sample
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280036352.1A
Other languages
English (en)
Other versions
CN103842965A (zh
Inventor
H.谢
X.王
J.刘
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Priority to CN201710778943.0A priority Critical patent/CN107526965A/zh
Publication of CN103842965A publication Critical patent/CN103842965A/zh
Application granted granted Critical
Publication of CN103842965B publication Critical patent/CN103842965B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

在一些实施例中,一种恶意软件分析系统包括:从防火墙接收可能的恶意软件样本;使用虚拟机来分析可能的恶意软件样本以确定可能的恶意软件样本是否是恶意软件;以及如果可能的恶意软件样本被确定为恶意软件,则自动生成签名。在一些实施例中,可能的恶意软件样本不匹配于预先存在的签名,并且所述恶意软件是零日攻击。

Description

恶意软件分析系统
背景技术
防火墙通常在准许授权的通信穿过防火墙的同时保护网络免于未授权的访问。防火墙通常是设备或设备集合、或者提供针对网络访问的防火墙功能的在设备(诸如,计算机)上执行的软件。例如,防火墙能够被集成到设备(例如,计算机、智能电话或其他类型的有网络通信能力的设备)的操作系统中。防火墙还能够被集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)、或者数据装置(例如,安全装置或其他类型的专用设备)中或者作为软件在其上执行。
防火墙通常基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙能够通过应用规则集或策略来过滤入站(inbound)业务。防火墙还能够通过应用规则集或策略来过滤出站(outbound)业务。防火墙还可能能够执行基本路由功能。
附图说明
本发明的各种实施例在下面的具体实施方式和附图中公开。
图1是根据一些实施例的恶意软件分析系统的功能图。
图2是图示根据一些实施例的恶意软件分析系统的架构的框图。
图3是根据一些实施例的恶意软件分析系统的数据装置的硬件组件的功能图。
图4是根据一些实施例的恶意软件分析系统的数据装置的逻辑组件的功能图。
图5是根据一些实施例的恶意软件分析系统的流程图。
图6是根据一些实施例的恶意软件分析系统的另一个流程图。
图7是根据一些实施例的恶意软件分析系统的另一个流程图。
图8是根据一些实施例的恶意软件分析系统的另一个流程图。
图9是根据一些实施例的恶意软件分析系统的另一个流程图。
图10是根据一些实施例的恶意软件分析系统的另一个流程图。
具体实施方式
本发明可以以多种方式实现,包括被实现为:过程;设备;系统;物质组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实施方式或本发明可采用的任何其他形式可以被称为技术。一般来说,公开过程的步骤的顺序可以在本发明的范围内变更。除非以其他方式声明,诸如被描述为被配置成执行任务的处理器或存储器之类的组件可以被实现为在给定时间被临时配置为执行任务的一般组件或被制造为执行任务的具体组件。如在本文中使用的那样,术语“处理器”指代一个或多个设备、电路、和/或被配置为处理数据(诸如计算机程序指令)的处理核心。
下面与图示本发明原理的附图一起提供了本发明的一个或多个实施例的详细描述。结合这些实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限定,并且本发明包含多个替换、修改和等同物。在下面的描述中阐述了多个特定细节以提供对本发明的透彻理解。出于示例的目的提供了这些细节,并且在不具有一些或所有这些特定细节的情况下可以根据权利要求来实践本发明。为了清楚的目的,没有详细描述与本发明有关的技术领域中已知的技术材料,使得不会不必要地使本发明模糊。
防火墙通常在准许授权的通信穿过防火墙的同时保护网络免于未授权的访问。防火墙通常是设备、设备集合、或者提供针对网络访问的防火墙功能的在设备上执行的软件。例如,防火墙能够被集成到设备(例如,计算机、智能电话或其他类型的有网络通信能力的设备)的操作系统中。防火墙还能够被集成到诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)、或者数据装置(例如,安全装置或其他类型的专用设备)之类的各种类型的设备中或者作为软件应用在其上执行。
防火墙通常基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙能够通过应用规则集或策略来过滤入站业务以防止不期望的外部业务到达受保护的设备。防火墙还能够通过应用规则集或策略(例如,在防火墙规则或防火墙策略中能够规定允许、阻塞、监测、通知或记入日志、和/或其他动作,所述防火墙规则或防火墙策略能够基于诸如本文所述的各种准则而被触发)来过滤出站业务。防火墙还可能能够执行基本路由功能。
基本分组过滤防火墙通过检查通过网络传输的各个分组来过滤网络通信业务(例如,分组过滤防火墙或第一代防火墙,其为无状态(stateless)分组过滤防火墙)。无状态分组过滤防火墙通常检查各个分组本身并基于检查过的分组来应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还能够执行应用层过滤(例如,应用层过滤防火墙或第二代防火墙,其在TCP/IP栈的应用级上工作)。应用层过滤防火墙或应用防火墙一般能够识别某些应用和协议(例如,使用超文本传输协议(HTTP)的网页浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙能够阻塞尝试通过标准端口进行通信的未授权的协议(例如,尝试通过使用针对该协议的非标准端口而潜入(sneak through)的未授权的/策略外的(out of policy)协议一般能够使用应用防火墙而识别)。
有状态(stateful)防火墙也能够执行基于有状态的分组检查,其中在与该网络传输的一个或多个分组的流关联的一系列分组的上下文内检查每个分组(例如,有状态防火墙或第三代防火墙)。该防火墙技术一般被称为有状态分组检查,由于其维护穿过该防火墙的所有连接的记录并能够确定分组是新连接的开始、现有连接的一部分、还是无效分组。例如,连接的状态本身可以是各准则中触发策略内的规则的一个准则。
高级或下一代防火墙能够执行无状态和有状态分组过滤以及应用层过滤,如上所讨论。下一代防火墙还能够执行附加的防火墙技术。例如,某些较新的防火墙(有时被称为高级或下一代防火墙)还能够识别用户和内容(例如,下一代防火墙)。特别地,某些下一代防火墙正在将这些防火墙能够自动识别的应用的列表扩充到数千个应用。这种下一代防火墙的示例可从Palo Alto Networks, Inc.商售(例如,Palo Alto Networks的PA系列防火墙)。例如,Palo Alto Networks的下一代防火墙使企业能够使用各种识别技术来识别和控制应用、用户和内容(不仅是端口、IP地址和分组),识别技术诸如是下述各项:用于准确应用识别的APP-ID、用于用户识别的User-ID(用户ID)(例如,通过用户或用户组)、以及用于实时内容扫描的Content-ID(内容ID)(例如,控制web冲浪并限制数据和文件传输)。这些识别技术允许企业使用商业相关概念而不是遵照由传统端口阻塞防火墙提供的传统方法来安全地实现应用使用。此外,被实现为例如专用装置的用于下一代防火墙的专用硬件一般比在通用硬件(例如,诸如由Palo Alto Networks, Inc提供的安全装置,其利用与单程(single-pass)软件引擎紧密集成的专用、功能特定的处理,以在最小化等待时间的同时最大化网络吞吐量)上执行的软件提供应用检查的更高性能级别。
当前的防火墙通常基于签名和/或启发法(heuristic)而施行。由此,为了检测恶意软件,防火墙一般必须具有能够检测恶意软件的现有签名或现有启发法(例如,预定义的签名和/或预定义的启发法)。
然而,零日(zero-day)攻击(有时也被称为零时(zero-hour)攻击或零天攻击)是试图利用(例如,操作系统、应用软件、安全软件和/或计算/网络平台的其他方面中的)对于其他人或软件开发者来说新的和/或先前未识别出或未知的脆弱性的恶意软件威胁或攻击。零日利用(exploit)一般指代利用安全漏洞以执行攻击的软件。在目标软件/平台的开发者知道脆弱性之前和/或在目标软件/平台提供者提供对脆弱性的修补(例如,分发更新以给安全漏洞打补丁)之前和/或在安全提供者提供能够检测恶意软件的更新(例如,分发能够检测试图利用脆弱性的(一个或多个)攻击的签名和/或启发法)之前,零日利用被黑客或攻击者所使用或共享。
用于解决零日利用的各种方法存在,但各自具有不同的缺陷。例如,脆弱性评估软件试图识别软件平台和/或应用中的脆弱性。然而,脆弱性评估技术无法将所有可能的新的脆弱性都识别。作为另一个示例,白名单技术(例如,由防火墙和/或入侵检测/防御系统实现)能够基于已知的良好应用来限制访问。然而,这种方法可能是严格限制性的,并且一些已知的良好应用可能随后被发现为具有先前未在测试期间或者通过脆弱性评估技术而识别出的脆弱性。与黑名单技术结合的白名单(例如,使用基于签名的技术来阻塞已知的较差应用或者带有已知脆弱性的应用)也能够被用于限制对已知的良好应用的访问和/或防止对已知的较差应用的访问。然而,该方法遭受上述方法的类似缺陷,并例如可能类似地对于用户和网络/计算环境来说是非常限制性的。其他当前方法能够潜在地确定主机已经被感染(例如,下载恶意文件)并隔离(quarantine)已感染的主机,但这种方法未能防止该主机的感染,并且这种方法一般不能防止其他主机未来被相同恶意文件所感染。
进一步保护在网络上通信的设备所需的是用于检测现有签名未检测到的恶意软件的恶意软件分析系统(例如,这然后能够有效防止新的零日利用)。相应地,公开了恶意软件分析系统。特别地,提供了恶意软件分析,使用本文所述的各种技术能够提供零日保护,该恶意软件分析通过检测不存在预先存在的签名的新恶意软件威胁并实时地针对该新恶意软件威胁自动生成新签名来保护免受零日利用。例如,虚拟机(VM)能够被用于使用能够在文件传输期间(例如,在文件下载期间)实时执行的各种基于启发法的分析技术来执行行为剖析(behavior profiling)(例如,在VM沙盒环境中),并且如果被下载的文件被确定为恶意,那么防火墙能够基于分析结果来自动阻塞文件下载,并且新签名能够被生成和分发以自动阻塞针对下载被确定为恶意的文件的未来文件传输请求。在一些实施例中,各种启发法技术被恶意软件分析系统执行,所述恶意软件分析系统使用VM来模拟(emulate)文件的行为(例如,该文件能够包括可执行代码,诸如JavaScript)、网站内容和/或其他行为以分析可能的恶意软件样本。例如,访问特定网站且从该网站下载某个内容的VM模拟能够指示某个可疑行为,诸如对某个平台、软件或注册设置的改变。本文关于各种实施例来描述用于使用VM环境进行恶意软件分析的各种其他基于启发法的分析技术。
在一些实施例中,恶意软件分析系统包括:从防火墙接收可能的恶意软件样本;使用虚拟机来分析可能的恶意软件样本以确定可能的恶意软件样本是否是恶意软件;以及如果可能的恶意软件样本被确定为恶意软件,则自动生成签名(例如,用于文件的基于散列的签名和/或如本文所述的其他类型的签名)。在一些实施例中,签名被分发到多个网络设备/功能(例如,路由器和网关)和/或安全设备/功能(例如,安全/防火墙装置、安全/防火墙网关、基于主机的防火墙、基于主机的安全套件、和安全云服务)。在一些实施例中,可能的恶意软件样本不匹配于预先存在的签名。在一些实施例中,可能的恶意软件样本不匹配于预先存在的签名,并且恶意软件是零日攻击。
在一些实施例中,在第一设备上执行防火墙,并且虚拟机由第二设备执行。在一些实施例中,防火墙由安全装置(例如,防火墙装置)实现,并且虚拟机由虚拟机(VM)装置实现。在一些实施例中,防火墙是在第一设备上执行的基于主机的防火墙,并且虚拟机由虚拟机装置实现。在一些实施例中,虚拟机由安全云服务实现。在一些实施例中,防火墙对网络业务流进行解密,以生成可能的恶意软件样本以用于使用虚拟机而分析。
在一些实施例中,恶意软件分析系统进一步包括将签名发送到防火墙,其中防火墙将签名包括在一个或多个防火墙策略中。在一些实施例中,恶意软件分析系统进一步包括将签名发送到防火墙,其中防火墙被实现在网关安全设备、安全装置、网络路由设备、或执行基于主机的防火墙的通用计算机中。在一些实施例中,恶意软件分析系统进一步包括将签名发送到云安全服务。
在一些实施例中,恶意软件分析系统进一步包括在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件。例如,如本文所述的各种基于启发法的技术能够被用于确定可能的恶意软件样本被确定为或应该被确定为恶意软件(例如,使用URL、DNS、协议、和/或文件或者其他信息或活动或行为剖析技术)。
在一些实施例中,恶意软件分析系统进一步包括将与可能的恶意软件相关的日志信息发送到虚拟机。例如,日志信息能够包括会话信息、应用识别信息、URL类别信息和/或脆弱性警报信息。在一些实施例中,虚拟机使用所述日志信息来执行事后分析以确定可能的恶意软件是否是恶意软件。
在一些实施例中,恶意软件分析系统包括:监测多个网络业务流;对已加密的网络业务流进行解密以生成可能的恶意软件样本,其中预先存在的签名不匹配于可能的恶意软件样本;将可能的恶意软件样本发送到恶意软件分析设备,其中恶意软件分析设备执行虚拟机,以使用该虚拟机来分析可能的恶意软件样本,以便确定可能的恶意软件样本是否是恶意软件;从恶意软件分析设备接收可能的恶意软件样本的分析结果;如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;以及基于所述签名来施行用于网络访问的安全策略。
在一些实施例中,恶意软件分析系统包括使用虚拟机来分析可能的恶意软件样本以确定可能的恶意软件样本是否是恶意软件,其中对于可能的恶意软件样本来说不存在签名;如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;添加基于所述签名的防火墙规则;以及使用所述签名来施行防火墙。
图1是根据一些实施例的恶意软件分析系统的功能图。如图1中所示,在防火墙100处监测网络业务。在一些实施例中,使用数据装置(例如,包括安全功能的数据装置,诸如包括防火墙的安全装置)来监测网络业务。在一些实施例中,使用网关(例如,包括安全功能的网关,诸如安全网关)来监测网络业务。在一些实施例中,使用主机(例如,在主机设备上执行的安全软件,诸如网络服务器或客户端计算设备,诸如个人计算机、膝上型电脑、平板电脑或智能电话)来监测网络业务。在一些实施例中,使用在线监测技术来监测网络业务。在一些实施例中,网络业务被采集和/或监测(例如,能够使用在线监测技术来监测网络业务中的一些和/或能够采集和分析网络业务中的一些以用于离线监测网络业务,诸如在网络业务的日志中)。
在一些实施例中,使用基于状态的防火墙来监测网络业务。在一些实施例中,基于状态的防火墙能够使用APP-ID引擎(例如,应用签名校验108)来监测业务流。例如,被监测的网络业务能够包括HTTP业务、FTP业务、DNS请求、未分类的应用业务(例如,未知应用业务)、和/或其他类型的业务(例如,使用其他类型的已知或未知协议的业务)。
如图1中所示,网络业务监测开始于102处。IP地址和端口引擎104基于分组分析来确定被监测的业务流(例如,会话)的IP地址和端口号。在一些实施例中,然后确定用户识别(例如,能够基于源IP地址来推断出用户ID)。策略校验引擎106基于IP地址和端口号来确定是否任何策略能够被应用。应用签名校验引擎108识别应用(例如,使用APP-ID引擎,所述APP-ID引擎将各种应用签名用于基于分组流分析来识别应用)。例如,APP-ID引擎108能够被配置成确定会话涉及何种类型的业务,诸如HTTP业务、FTP业务、DNS请求、未知业务和各种其他类型的业务,并且这种分类的业务能够被引导到适当的解码器(诸如解码器112、114和116)以针对每个被监测的会话的业务流对分类的业务进行解码。如果被监测的业务被加密(例如,使用SSL、SSH或另一已知加密协议来加密),那么能够使用解密引擎110来解密被监测的业务(例如,应用使用自签名(self-signed)证书的中间人(man in the middle)技术)。已知协议解码器引擎112使用已知协议(例如,应用用于已知协议的各种签名)来解码和分析业务流,并将被监测业务分析报告给报告和施行策略引擎120。识别出业务(无需解码)引擎114将所识别出的业务报告给报告和施行策略引擎120。未知协议解码器引擎116解码和分析业务流(例如,应用各种启发法),并将被监测业务分析报告给报告和施行策略引擎120。
在一些实施例中,上述使用已知协议解码器引擎112、识别出业务引擎114和未知协议解码器引擎116的各种业务监测技术的结果被提供给报告和施行策略引擎120(例如,网络/路由策略、安全策略和/或防火墙策略)。例如,使用应用识别、用户识别和/或其他信息来匹配预先存在的签名(例如,用于检测恶意软件或可疑行为的基于文件的、基于协议的和/或其他类型/形式的签名),能够将防火墙策略应用于被监测的网络业务。
同样如图1中所示,VM恶意软件分析引擎118从防火墙接收可能的恶意软件样本。在一些实施例中,上述使用已知协议解码器引擎112、识别出业务引擎114和未知协议解码器引擎116的各种业务监测技术的结果被提供给报告和施行策略引擎120(例如,网络/路由策略、安全策略和/或防火墙策略),不匹配于任何预先存在的签名。在一些实施例中,如果预先存在的签名不匹配,则可能的恶意软件样本能够被选择以供进一步分析,并被转发给VM恶意软件分析引擎以用于执行该进一步分析(例如,用于使用虚拟机提供沙盒环境以检测恶意软件的实时行为剖析分析和/或用于使用日志信息的事后分析,如本文关于各种实施例所描述),以便确定可能的恶意软件样本是否是恶意软件。在一些实施例中,各种规则/策略被应用以确定这种可能的恶意软件样本是否应该被提供给虚拟机引擎以供进一步分析,并且这种规则/策略能够基于地理(例如,内容的源国家/地理)、基于URL类别、基于文件类型(例如,PDF或另一种文件类型)、文件大小(例如,针对实时VM模拟分析而转发的文件大小能够被限制于最大大小(诸如1GB)或者另一个文件大小,以避免文件太大而不能使用VM技术实时模拟)、令人混淆的(obfuscated)JavaScript(例如,非常长的变量、包括使用eval函数而打包的代码的长变量、和/或其他混淆技术)、和/或用于选择对实时VM模拟恶意软件分析来说适当的可能可疑的恶意软件的各种其他规则/策略。
在一些实施例中,如果可能的恶意软件样本被确定为恶意软件,那么使用本文所述的各种技术来生成新签名。在一些实施例中,新签名由另一个设备或另一个函数生成。例如,防火墙能够生成新签名。
在一些实施例中,防火墙100还包括内容ID引擎(未示出),并且在一些实施例中,内容-ID引擎的所识别出的内容也被报告和施行策略引擎120使用(可能以与其他信息(诸如应用、用户和/或其他信息)的各种组合的方式)以施行各种安全/防火墙策略/规则。
在一些实施例中,各种其他功能性架构和流程被提供以使用本文所述的主机信息剖析技术来实现策略施行。例如,这些功能中的一些能够以在通用处理器上执行的软件实现和/或这些功能中的一些能够使用用于网络业务的更快分组处理的硬件加速技术实现。
图2是图示根据一些实施例的恶意软件分析系统的架构的框图。如图2中所示,客户端设备204A、204B和204C经由安全设备202与因特网206进行通信。在一些实施例中,安全设备202包括防火墙212,如所示。在一些实施例中,客户端设备204A-204C中的一个或多个包括防火墙214(例如,基于主机的防火墙),如所示。在一些实施例中,安全设备202包括数据装置(例如,安全装置)、网关(例如,安全服务器)、服务器(例如,执行包括防火墙212的安全软件的服务器)和/或某其他安全设备,所述其他安全设备例如能够使用计算硬件、软件或其各种组合实现。在一些实施例中,防火墙212和/或防火墙214执行上文关于图1描述的一些或所有功能。例如,客户端设备204A-C能够包括能够经由有线和/或无线通信访问因特网的各种计算设备,诸如,有网络通信能力的计算机、膝上型电脑、平板电脑、智能电话和/或各种其他类型的计算设备)。同样如所示,服务器208A和208B与因特网进行通信。例如,客户端设备能够经由因特网来访问由服务器提供的服务,诸如web相关服务(例如,网站、基于云的服务、流传输服务或电子邮件服务)、对等相关服务(例如,文件共享)、IRC服务(例如,聊天服务)和/或能够经由因特网递送的任何其他服务。
同样如图2中所示,提供了虚拟机(VM)装置/服务器216。例如,VM装置/服务器216能够包括VMware®或XEN®虚拟机/虚拟化软件(例如,执行Microsoft Windows®或被监测的客户端设备OS作为客主机)以及对于合适性能或高性能的任何所需/所推荐的硬件和其他软件/平台需求。例如,对于用于执行虚拟机/虚拟化软件的计算需求来说,硬件需求通常更高,并且因而通过在另一个专用装置或服务器上提供VM功能,其他的安全装置/设备不需要这种硬件,并从而能够使用较低成本的硬件而提供。VM装置/服务器216与防火墙212进行通信。例如,防火墙212能够将对其来说没有预先存在的签名匹配的可能的恶意软件样本发送到VM装置/服务器216以用于使用本文所述的技术进一步分析。如果可能的恶意软件样本被确定为恶意软件,那么VM装置服务器216(例如,或另一个功能/设备)能够自动生成针对恶意软件的新签名,所述新签名然后能够被发送到防火墙212以用于更新防火墙212的签名/数据和/或规则/策略,使得恶意软件能够被检测到并且适当的动作能够被防火墙212采取(诸如,阻塞恶意软件)。因而,使用这些技术,甚至能够检测并阻塞零日攻击。在一些实施例中,虚拟机装置/服务器216与一个或多个客户端设备(例如,客户端204B的防火墙214)和/或安全云服务210进行通信,以及可能与其他功能进行通信。
在一些实施例中,VM装置/服务器216被实现在安全装置/网关/服务器202上或者被集成到安全装置/网关/服务器202中。在一些实施例中,VM装置/服务器216被实现在安全云服务210上或者被集成到安全云服务210中。
例如,安全设备202(例如,集成的安全装置/网关/服务器)能够与安全云服务210进行通信(例如,使用安全通信,诸如加密的通信技术)以接收安全相关的内容更新(例如,签名、启发法、应用ID相关信息、用户ID相关信息、内容ID相关信息、信任/不信任区域信息、和/或策略/规则)。作为另一个示例,安全设备202(例如,集成的安全装置/网关/服务器)能够与安全云服务210进行通信(例如,使用安全通信,诸如加密的通信技术)以提供被监测业务信息(例如,可能的恶意软件样本,诸如以这种被监测业务信息的子集的形式,诸如分组流的部分、被监测的URL/DNS信息、针对上载/下载/访问而请求的被监测的文件和/或其他信息,可能连同其他信息一起,诸如与业务流关联的用于客户端设备的内容信息以及可能地还有用户识别和/或应用识别信息),并且安全云服务210能够执行附加的实时和/或事后分析(例如,如本文关于各种实施例描述的用于检测恶意软件(包括新恶意软件威胁和零日攻击)的附加的启发法分析,和/或与针对安全云服务的其他客户而接收和分析的其他样本进行比较)。如现在将显而易见的是,上文关于图1描述的一些或所有功能能够被安全云服务协助或者整体或部分由安全云服务来实现。安全云服务能够允许通过执行这些功能中的一些来减少客户端设备(例如,204B)、安全设备202和/或VM装置/服务器216上的处理。安全云服务还能够通过已接收到信息的多得多的网络业务流(例如,包括网络业务行为和/或URL)来提供附加的基于启发法的分析和/或使用附加的信息,并能够聚合这种信息以提供用于可能(尚)未被安全设备202所知(例如,对于该安全设备202来说,签名尚不存在)的某些应用业务流和/或URL的更多信息。
在一些实施例中,使用本文所述的各种技术而自动生成的新签名被分发到各种其他安全功能/设备和/或服务,诸如基于主机的防火墙、安全装置、网络设备和/或安全云服务。在一些实施例中,用于检测对其来说预先存在的签名不存在的恶意软件的虚拟机(VM)功能被集成到安全装置、防火墙装置、网络/数据装置中和/或在主机设备(诸如安全服务器、网络服务器或网关、和/或客户端设备(例如,具有用于执行虚拟机的足够处理器和存储器的个人计算机、膝上型电脑、平板电脑和/或其他通用客户端设备))上被执行。在一些实施例中,用于检测对其来说预先存在的签名不存在的恶意软件的VM功能被提供为安全云服务。在一些实施例中,主机设备(诸如,客户端设备和/或服务,诸如网关或安全服务器)给VM功能/设备提供可能的恶意软件样本。
图3是根据一些实施例的恶意软件分析系统的数据装置的硬件组件的功能图。所示的示例是能够被包括在数据装置202(例如,数据装置或网关)中的物理组件的表示。具体地,数据装置202包括高性能多核CPU 302和RAM 304。数据装置202还包括存储装置310(例如,一个或多个硬盘或固态存储单元),所述存储装置被用于存储策略和其他配置信息以及预先存在的签名。数据装置202还能够包括一个或多个可选的硬件加速器。例如,数据装置202能够包括被配置成执行加密和解密操作的密码引擎306以及被配置成执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个FPGA 308。
图4是根据一些实施例的恶意软件分析系统的数据装置的逻辑组件的功能图。所示的示例是能够被包括在数据装置202中的逻辑组件的表示。如所示,数据装置202包括管理平面402和数据平面404。在一些实施例中,管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户接口。数据平面负责管理数据,诸如通过执行分组处理和会话处理。
假定客户端204A试图使用加密的会话协议(诸如,SSL)来访问服务器208B。网络处理器406被配置成从客户端204A接收分组,并将所述分组提供到数据平面404以供处理。流408将分组识别为新会话的一部分并创建新会话流。后续的分组将基于流查找而被识别为属于该会话。如果适用的话,SSL解密被SSL解密器410应用。否则,由SSL解密器410进行的处理被省略。应用识别模块412被配置成确定会话涉及何种类型的业务并识别与业务流关联的用户。例如,应用识别模块412能够辨认出接收到的数据中的GET(获取)请求并推断出会话需要HTTP解码器。对于每种类型的协议来说,存在对应的解码器414。在一些实施例中,应用识别由应用识别模块(例如,APP-ID引擎)执行,并且用户识别由另一个功能/引擎执行。基于由应用识别模块412做出的确定,将分组发送到适当的解码器414。解码器414被配置成将分组(例如,其可能是不按顺序接收的)组装成正确的顺序、执行令牌化(tokenization)、并提取出信息。解码器414还执行签名匹配以确定什么应该对分组发生。同样如所示,在管理平面402中接收并存储签名418。在一些实施例中,基于被监测、所识别出和所解码出的会话业务流,如本文关于各种实施例所述的那样应用使用签名的策略施行(例如,策略能够包括一个或多个规则,并且规则能够应用一个或多个签名)。在一些实施例中,解码器414还能够使用由管理平面402使用本文关于各种实施例所描述的各种技术而提供的签名418来施行策略,所述签名418包括新生成的签名。
图5是根据一些实施例的恶意软件分析系统的流程图。在502处,从防火墙(例如,或另一个在线安全或网络设备/功能,诸如网络路由器或IDS/IPS功能/设备)接收可能的恶意软件样本。在504处,使用虚拟机来分析可能的恶意软件样本。
在506处,如果可能的恶意软件样本被确定为恶意软件,则自动生成新签名。在一些实施例中,新签名是新的基于文件的签名(例如,用于识别恶意软件文件的MD5基于散列的签名、来自基于用于识别恶意软件文件的文件类型的文件的报头信息的摘要(digest)、或者基于例如PDF文件的分析的基于启发法的文件签名生成技术,所述PDF文件包括可疑的JavaScript或者在PDF文件中附加新数据的最近添加的报头参考)。在一些实施例中,新签名是基于DNS的签名、基于URL的签名、基于IP的签名、基于协议的签名、基于端口的签名和/或其他类型的签名或其组合,其能够使用在线网络安全(例如,过滤或防火墙)技术而被有效地应用和施行。例如,能够针对被确定为包括恶意内容的PDF文件生成新签名。PDF文件能够被去混淆(de-obfuscate)(如果适当的话)并被解析。如果检测到包括脚本(例如,JavaScript)的PDF文件,则使用针对恶意JavaScript元素的恶意脚本检测引擎来对该PDF文件进行扫描。在一些情况下,能够使用在PDF文件的一个或多个脚本部分内识别出的模式来生成签名。如果未使用在PDF文件的一个或多个脚本部分内识别出的模式生成签名和/或不存在被包括在PDF文件中的脚本,那么能够使用与PDF文件的交叉引用表相关的PDF文件的部分来生成签名。然后能够使用所生成的签名来检测后续接收到的PDF文件是否包括恶意软件。
在508处,将新签名发送到防火墙。在一些实施例中,新签名被分发到其他安全功能/设备和/或安全云服务。
图6是根据一些实施例的恶意软件分析系统的另一个流程图。在602处,监测来自/去往客户端设备的网络业务流。在604处,对加密的网络业务流进行解密,并且如果预先存在的签名不匹配,则生成可能的恶意软件样本。在606处,将可能的恶意软件样本发送到恶意软件分析设备(例如,虚拟机(VM)装置或针对行为剖析分析而执行VM的服务器,如本文所述,使用用于恶意软件分析和检测的各种技术)。在608处,从恶意软件分析系统接收可能的恶意软件样本的分析结果。在610处,如果可能的恶意软件样本被确定为恶意软件,则自动生成新签名。在612处,基于新签名,针对网络访问/控制来施行安全策略(例如,安全策略能够包括可使用/应用新签名的各种防火墙规则或其他网络访问/控制规则)。
图7是根据一些实施例的恶意软件分析系统的另一个流程图。在702处,使用虚拟机(例如由安全/防火墙装置/设备/服务器执行)来分析可能的恶意软件样本。在704处,如果可能的恶意软件样本被确定为恶意软件,则自动生成新签名。在706处,添加新防火墙规则,其中该新防火墙规则基于或使用新签名。在708处,使用新签名来施行新防火墙规则。
在实施例中,各种启发法技术由恶意软件分析系统执行,所述恶意软件分析系统使用VM来模拟文件或网站内容的行为和/或用于在VM环境的受控/安全沙盒环境中分析可能的恶意软件样本的其他行为。例如,用于识别通常与恶意软件关联的可能可疑的行为的行为剖析技术能够包括以编程方式对安全应用/平台设置做出改变(例如,对Windows过滤平台(WFP)设置的改变、对Internet Explorer(IE)浏览器设置的改变、对自动启动注册的改变和/或对安装驱动器的改变)。下文关于图8、9和10来讨论用于恶意软件分析和识别的各种其他启发法技术。
图8是根据一些实施例的恶意软件分析系统的另一个流程图。在802处,执行监测在网络业务中指示的行为以识别恶意软件或可能的恶意软件(例如,使用VM来模拟和/或监测可能的恶意软件样本的行为)。在804处,执行监测在网络业务中指示的对于连接到用于HTTP业务的非标准HTTP端口的行为(例如,使用除用于HTTP业务的端口80外的端口)。在806处,执行监测在网络业务中指示的对于拜访不存在的域的行为。在808处,执行监测在网络业务中指示的对于下载具有非标准可执行文件扩展名(extension)的可执行文件的行为(例如,具有与常用“.exe”文件扩展名不同的文件扩展名的可执行文件)。在810处,执行监测在网络业务中指示的对于执行对电子邮件服务器的DNS查询的行为。在812处,执行监测在网络业务中指示的对于使用具有比常用长度更短的长度的HTTP报头进行通信的行为。例如,阈值能够被设置在3个HTTP报头字段处,这能够由下述示例触发:其中,存在仅两个HTTP报头字段“User-agent(用户代理)”和“host(主机)”:
GET/xin.rar HTTP/1.1
User-Agent: RookIE/1.0
Host: www.wc86.com。
在814处,执行监测在网络业务中指示的对于使用HTTP业务中的post(投递)方法进行通信的行为。在816处,执行监测在网络业务中指示的对于通过HTTP端口传送未分类业务(例如,未知的应用业务)的行为。在一些实施例中,能够针对网络业务行为监测执行各种其他启发法以用于识别可能的恶意软件。例如,能够监测网络业务以识别连接到用于IRC业务(例如,使用端口80的IRC协议业务,所述端口80通常仅被HTTP协议业务所使用)的非标准IRC端口的行为。作为另一个示例,还执行了监测在网络业务中指示的对于使用入侵防御系统规避技术进行通信的行为。作为示例,在HTTP post请求中,假定串“POST”是通过三个IP分组来发送的。第一分组是单个字符“P”,第二个是复写的“P”,并且第三个分组是“ost”。该技术将规避不重新组装TCP分组的任何防火墙/IPS功能,但是使用本文所述的技术(包括TCP分组的重新组装),这种类型的行为能够被检测到。在818处,执行将被监测且被分类的网络业务行为进行相关,并且基于被监测/分类的可疑行为来计算得分(例如,严重性得分和恶意软件得分)。
图9是根据一些实施例的恶意软件分析系统的另一个流程图。在902处,执行监测在网络业务中指示的行为以识别恶意软件(例如,使用VM来模拟和/或监测可能的恶意软件样本的行为)。在904处,执行监测在网络业务中指示的对于拜访具有比常用域名长度更长的域名的域的行为(例如,已知的恶意软件拜访域2.0.0.805.784286832.1595022578.128.4096.014a0d3f846ea4af889dd9d8bc8aa80bc65807eadd2dbb27f1.twothousands.com,其中阈值长度是90)。在906处,执行监测在网络业务中指示的对于拜访动态DNS域的行为。在908处,执行监测在网络业务中指示的对于拜访快速变动(fast-flux)域的行为。在910处,执行监测在网络业务中指示的对于拜访最近创建的域的行为。在912处,执行将被监测且被分类的网络业务行为进行相关,并且基于被监测/分类的可疑行为来计算得分(例如,严重性得分或恶意软件得分)。
图10是根据一些实施例的恶意软件分析系统的另一个流程图。在1002处,执行监测被拜访域相关行为以识别恶意的域(例如,使用VM来模拟和/或监测可能的恶意软件样本的行为)。在1004处,执行针对被拜访域的域名长度监测被拜访域相关行为。在1006处,执行针对被拜访域是否是动态DNS域监测被拜访域相关行为。在1008处,执行针对被拜访域是否是快速变动域监测被拜访域相关行为。在1010处,执行针对被拜访域是否是最近创建的域监测被拜访域相关行为。在1012处,执行将被监测且被分类的网络业务行为进行相关,并且基于被监测/分类的可疑行为来计算得分(例如,严重性得分或恶意软件得分)。
如现在将显而易见的是,能够使用根据本文所述的各种实施例的恶意软件分析系统来应用各种其他的基于启发法的恶意软件检测技术。此外,能够使用本文所述的各种技术来应用各种系统和网络架构。例如,如本文所述的用于恶意软件分析的各种技术能够被实现在集成的安全装置中,所述安全装置提供在线过滤功能并且还执行虚拟机分析技术,如本文所述。作为另一个示例,能够使用另一个装置或计算机服务器来实现虚拟机功能,所述另一个装置或计算机服务器能够将恶意软件分析结果(例如,新签名和/或便于另一个功能生成新签名的恶意软件分析结果)传送到各种其他安全功能(例如,安全装置、网络装置和/或基于主机的安全软件)。作为又一个示例,虚拟机功能能够使用安全云服务实现或者被安全云服务协助(例如,用于使用日志信息来执行某些事后分析技术,如本文所述),所述安全云服务能够将恶意软件分析结果(例如,新签名和/或便于另一个功能生成新签名的恶意软件分析结果)传送到各种其他安全功能(例如,安全装置、网络装置和/或基于主机的安全软件)和/或生成新的安全更新(例如,将(一个或多个)新签名推送到各种安全设备/软件,所述安全设备/软件订阅来自安全云服务供应商的签名更新)。
尽管已经出于理解清楚的目的而详细地描述前述实施例,但是本发明不限制于所提供的细节。存在实现本发明的许多可替代的方式。所公开的实施例是说明性而非限制性的。

Claims (21)

1.一种恶意软件分析系统,包括:
处理器,被配置成:
从防火墙接收可能的恶意软件样本,其中可能的恶意软件样本是通过对网络业务进行解密来生成的;
将与可能的恶意软件样本相关的日志信息发送到虚拟机,其中日志信息包括会话信息、应用识别信息、URL类别信息和脆弱性警报信息中的一个或多个;
通过将网络业务的被监测且被分类的行为进行相关并基于被监测且被分类的可疑行为计算恶意软件得分,使用虚拟机来分析可能的恶意软件样本;
使用虚拟机以使用日志信息来在可能的恶意软件样本上执行事后分析,以确定可能的恶意软件样本是否是恶意软件;以及
如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;以及
存储器,耦合到所述处理器并被配置成给所述处理器提供指令。
2.根据权利要求1所述的系统,其中可能的恶意软件样本不匹配于预先存在的签名。
3.根据权利要求1所述的系统,其中可能的恶意软件样本不匹配于预先存在的签名,且所述恶意软件是零日攻击。
4.根据权利要求1所述的系统,其中防火墙在第一设备上执行,且虚拟机由第二设备执行。
5.根据权利要求1所述的系统,其中防火墙由安全装置实现,且虚拟机由虚拟机装置实现。
6.根据权利要求1所述的系统,其中防火墙是在第一设备上执行的基于主机的防火墙,且虚拟机由虚拟机装置实现。
7.根据权利要求1所述的系统,其中虚拟机由安全云服务实现。
8.根据权利要求1所述的系统,其中防火墙对网络业务流进行解密以生成可能的恶意软件样本,以用于使用虚拟机而分析。
9.根据权利要求1所述的系统,其中所述处理器进一步被配置成:
将签名发送到防火墙,其中防火墙将签名包括在一个或多个防火墙策略中。
10.根据权利要求1所述的系统,其中所述处理器进一步被配置成:
将签名发送到防火墙,其中防火墙被实现在网关安全设备、安全装置、网络路由设备或执行基于主机的防火墙的通用计算机中。
11.根据权利要求1所述的系统,其中所述处理器进一步被配置成:
将签名发送到云安全服务。
12.根据权利要求1所述的系统,其中所述处理器进一步被配置成:
在模拟期间使用虚拟机来监测可能的恶意软件样本的行为,以基于启发法来识别恶意软件。
13.根据权利要求1所述的系统,其中所述存储器进一步被配置成给所述处理器提供指令,所述指令在被执行时使所述处理器执行下述操作:
在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件,其中指示可能的恶意软件的被监测的行为包括下述各项中的一个或多个:连接到用于HTTP业务的非标准HTTP端口、拜访不存在的域、下载具有非标准可执行文件扩展名的可执行文件、执行对电子邮件服务器的DNS查询、使用具有比常用长度更短的长度的HTTP报头进行通信、使用HTTP业务中的投递方法进行通信、连接到用于IRC业务的非标准IRC端口、使用入侵防御系统规避技术进行通信、以及通过HTTP端口传送未分类的业务。
14.根据权利要求1所述的系统,其中所述存储器进一步被配置成给所述处理器提供指令,所述指令在被执行时使所述处理器执行下述操作:
在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件,其中指示可能的恶意软件的被监测的行为包括下述各项中的一个或多个:拜访具有比常用域名长度更长的域名的域、拜访动态DNS域、拜访快速变动域、以及拜访最近创建的域。
15.根据权利要求1所述的系统,其中所述存储器进一步被配置成给所述处理器提供指令,所述指令在被执行时使所述处理器执行下述操作:
在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意的域,其中被监测的被拜访域相关行为基于下述各项中的一个或多个来指示可能恶意的域:被拜访域的超过阈值的域名长度、被拜访域是否是动态DNS域、被拜访域是否是快速变动域、以及被拜访域是否是最近创建的域。
16.根据权利要求1所述的系统,其中所述处理器进一步被配置成:
使用散列函数或文件报头信息的摘要来生成基于文件的签名。
17.一种恶意软件分析方法,包括:
从防火墙接收可能的恶意软件样本,其中可能的恶意软件样本是通过对网络业务进行解密来生成的;
将与可能的恶意软件样本相关的日志信息发送到虚拟机,其中日志信息包括会话信息、应用识别信息、URL类别信息和脆弱性警报信息中的一个或多个;
通过将网络业务的被监测且被分类的行为进行相关并基于被监测且被分类的可疑行为计算恶意软件得分,使用虚拟机来分析可能的恶意软件样本;
使用虚拟机以使用日志信息来在可能的恶意软件样本上执行事后分析,以确定可能的恶意软件样本是否是恶意软件;以及
如果可能的恶意软件样本被确定为恶意软件,则自动生成签名。
18.根据权利要求17所述的方法,进一步包括:
在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件。
19.一种恶意软件分析系统,包括:
处理器,被配置成:
从防火墙接收可能的恶意软件样本,其中可能的恶意软件样本是通过对网络业务进行解密来生成的;
将与可能的恶意软件样本相关的日志信息发送到虚拟机,其中日志信息包括会话信息、应用识别信息、URL类别信息和脆弱性警报信息中的一个或多个;
通过将网络业务的被监测且被分类的行为进行相关并基于被监测且被分类的可疑行为计算恶意软件得分,使用虚拟机来分析可能的恶意软件样本;
使用虚拟机以使用日志信息来在可能的恶意软件样本上执行事后分析,以确定可能的恶意软件样本是否是恶意软件;
如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;以及
将所述签名分发到多个安全设备;以及
存储器,耦合到所述处理器并被配置成给所述处理器提供指令。
20.一种恶意软件分析系统,包括:
处理器,被配置成:
监测多个网络业务流;
对加密的网络业务流进行解密以生成可能的恶意软件样本,其中预先存在的签名不匹配于可能的恶意软件样本;
将所述可能的恶意软件样本和与所述可能的恶意软件样本相关的日志信息发送到恶意软件分析设备,其中所述恶意软件分析设备执行虚拟机,以通过将网络业务流的被监测且被分类的行为进行相关并基于被监测且被分类的可疑行为计算恶意软件得分,使用所述虚拟机来分析可能的恶意软件样本,并且其中日志信息包括会话信息、应用识别信息、URL类别信息和脆弱性警报信息中的一个或多个;
使用所述虚拟机以使用日志信息来在可能的恶意软件样本上执行事后分析,以便确定可能的恶意软件样本是否是恶意软件;
从恶意软件分析设备接收可能的恶意软件样本的分析结果;
如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;以及
基于所述签名来施行用于网络访问的安全策略;以及
存储器,耦合到所述处理器并被配置成给所述处理器提供指令。
21.一种恶意软件分析系统,包括:
处理器,被配置成:
将与通过对网络业务进行解密而生成的可能的恶意软件样本相关的日志信息发送到虚拟机,其中日志信息包括会话信息、应用识别信息、URL类别信息和脆弱性警报信息中的一个或多个;
通过将网络业务的被监测且被分类的行为进行相关并基于被监测且被分类的可疑行为计算恶意软件得分,使用虚拟机来分析可能的恶意软件样本;
使用虚拟机以使用日志信息来在可能的恶意软件样本上执行事后分析,以确定可能的恶意软件样本是否是恶意软件,其中对于可能的恶意软件样本,签名不存在;
如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;
添加基于所述签名的防火墙规则;以及
使用所述签名来施行所述防火墙规则;以及
存储器,耦合到所述处理器并被配置成给所述处理器提供指令。
CN201280036352.1A 2011-05-24 2012-05-17 恶意软件分析系统 Active CN103842965B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710778943.0A CN107526965A (zh) 2011-05-24 2012-05-17 恶意软件分析系统

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US13/115,032 US9047441B2 (en) 2011-05-24 2011-05-24 Malware analysis system
US13/115032 2011-05-24
US13/115,032 2011-05-24
PCT/US2012/038439 WO2012162102A1 (en) 2011-05-24 2012-05-17 Malware analysis system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201710778943.0A Division CN107526965A (zh) 2011-05-24 2012-05-17 恶意软件分析系统

Publications (2)

Publication Number Publication Date
CN103842965A CN103842965A (zh) 2014-06-04
CN103842965B true CN103842965B (zh) 2017-09-08

Family

ID=47217632

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201280036352.1A Active CN103842965B (zh) 2011-05-24 2012-05-17 恶意软件分析系统
CN201710778943.0A Pending CN107526965A (zh) 2011-05-24 2012-05-17 恶意软件分析系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201710778943.0A Pending CN107526965A (zh) 2011-05-24 2012-05-17 恶意软件分析系统

Country Status (8)

Country Link
US (2) US9047441B2 (zh)
EP (1) EP2715540B1 (zh)
JP (2) JP2014519113A (zh)
CN (2) CN103842965B (zh)
AU (1) AU2012259113B2 (zh)
CA (1) CA2835954C (zh)
IL (2) IL229531A (zh)
WO (1) WO2012162102A1 (zh)

Families Citing this family (320)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515912B2 (en) 2010-07-15 2013-08-20 Palantir Technologies, Inc. Sharing and deconflicting data changes in a multimaster database system
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits
US9152789B2 (en) 2008-05-28 2015-10-06 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US9609015B2 (en) 2008-05-28 2017-03-28 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US10747952B2 (en) 2008-09-15 2020-08-18 Palantir Technologies, Inc. Automatic creation and server push of multiple distinct drafts
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8832835B1 (en) * 2010-10-28 2014-09-09 Symantec Corporation Detecting and remediating malware dropped by files
WO2011113386A2 (zh) * 2011-04-26 2011-09-22 华为技术有限公司 网络流量模拟方法及装置
US8997220B2 (en) * 2011-05-26 2015-03-31 Microsoft Technology Licensing, Llc Automatic detection of search results poisoning attacks
US9547693B1 (en) 2011-06-23 2017-01-17 Palantir Technologies Inc. Periodic database search manager for multiple data sources
US11201848B2 (en) 2011-07-06 2021-12-14 Akamai Technologies, Inc. DNS-based ranking of domain names
US10742591B2 (en) * 2011-07-06 2020-08-11 Akamai Technologies Inc. System for domain reputation scoring
US9843601B2 (en) 2011-07-06 2017-12-12 Nominum, Inc. Analyzing DNS requests for anomaly detection
US8843915B2 (en) * 2011-07-28 2014-09-23 Hewlett-Packard Development Company, L.P. Signature-based update management
US8887263B2 (en) * 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
US10025928B2 (en) * 2011-10-03 2018-07-17 Webroot Inc. Proactive browser content analysis
US9215245B1 (en) * 2011-11-10 2015-12-15 Google Inc. Exploration system and method for analyzing behavior of binary executable programs
US9081959B2 (en) * 2011-12-02 2015-07-14 Invincea, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
WO2013085717A1 (en) * 2011-12-06 2013-06-13 Avocent Huntsville Corp. Data center infrastructure management system incorporating security for managed infrastructure devices
US9213837B2 (en) * 2011-12-06 2015-12-15 Raytheon Cyber Products, Llc System and method for detecting malware in documents
KR101296716B1 (ko) * 2011-12-14 2013-08-20 한국인터넷진흥원 피디에프 문서형 악성코드 탐지 시스템 및 방법
US9367687B1 (en) * 2011-12-22 2016-06-14 Emc Corporation Method for malware detection using deep inspection and data discovery agents
US8949982B2 (en) * 2011-12-30 2015-02-03 Verisign, Inc. Method for administering a top-level domain
US9053348B2 (en) * 2012-03-26 2015-06-09 Microsoft Technology Licensing, Llc Secure cloud computing platform
IL219499B (en) 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
US9548962B2 (en) * 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
US8925074B1 (en) * 2012-05-22 2014-12-30 Trend Micro Incorporated Methods and apparatus for detecting abnormal computer files
CN102694820B (zh) * 2012-06-13 2015-01-21 华为技术有限公司 签名规则的处理方法、服务器及入侵防御系统
US9027138B2 (en) * 2012-06-29 2015-05-05 Centurylink Intellectual Property Llc Identification of infected devices in broadband environments
US10332005B1 (en) * 2012-09-25 2019-06-25 Narus, Inc. System and method for extracting signatures from controlled execution of applications and using them on traffic traces
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9081975B2 (en) 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
CN103810424B (zh) * 2012-11-05 2017-02-08 腾讯科技(深圳)有限公司 一种异常应用程序的识别方法及装置
US9501761B2 (en) 2012-11-05 2016-11-22 Palantir Technologies, Inc. System and method for sharing investigation results
IL224482B (en) 2013-01-29 2018-08-30 Verint Systems Ltd System and method for keyword spotting using representative dictionary
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US8935782B2 (en) * 2013-02-04 2015-01-13 International Business Machines Corporation Malware detection via network information flow theories
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US10152591B2 (en) 2013-02-10 2018-12-11 Paypal, Inc. Protecting against malware variants using reconstructed code of malware
EP3264313B1 (en) * 2013-02-10 2019-06-12 PayPal, Inc. Method and product for providing a predictive security product and evaluating existing security products
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
CN103150506B (zh) * 2013-02-17 2016-03-30 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US9239922B1 (en) * 2013-03-11 2016-01-19 Trend Micro Inc. Document exploit detection using baseline comparison
KR101400680B1 (ko) * 2013-03-12 2014-05-29 주식회사 윈스 악성코드 자동 수집 시스템
US8788405B1 (en) 2013-03-15 2014-07-22 Palantir Technologies, Inc. Generating data clusters with customizable analysis strategies
US9965937B2 (en) 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
CN104123494B (zh) * 2013-04-24 2017-12-29 贝壳网际(北京)安全技术有限公司 恶意软件动态行为分析系统的预警方法及装置
IL226747B (en) 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US10122722B2 (en) 2013-06-20 2018-11-06 Hewlett Packard Enterprise Development Lp Resource classification using resource requests
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9336025B2 (en) 2013-07-12 2016-05-10 The Boeing Company Systems and methods of analyzing a software component
US9852290B1 (en) 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9280369B1 (en) * 2013-07-12 2016-03-08 The Boeing Company Systems and methods of analyzing a software component
US9461967B2 (en) 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
CN103414758B (zh) * 2013-07-19 2017-04-05 北京奇虎科技有限公司 日志处理方法及装置
WO2015016901A1 (en) * 2013-07-31 2015-02-05 Hewlett-Packard Development Company, L.P. Signal tokens indicative of malware
US9335897B2 (en) 2013-08-08 2016-05-10 Palantir Technologies Inc. Long click display of a context menu
US9565152B2 (en) 2013-08-08 2017-02-07 Palantir Technologies Inc. Cable reader labeling
US8959643B1 (en) * 2013-08-09 2015-02-17 Narus, Inc. Detecting malware infestations in large-scale networks
US9058488B2 (en) 2013-08-14 2015-06-16 Bank Of America Corporation Malware detection and computer monitoring methods
US9185128B2 (en) * 2013-08-30 2015-11-10 Bank Of America Corporation Malware analysis methods and systems
US10084817B2 (en) * 2013-09-11 2018-09-25 NSS Labs, Inc. Malware and exploit campaign detection system and method
US20150089655A1 (en) * 2013-09-23 2015-03-26 Electronics And Telecommunications Research Institute System and method for detecting malware based on virtual host
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9479521B2 (en) 2013-09-30 2016-10-25 The Boeing Company Software network behavior analysis and identification system
US9563672B2 (en) 2013-09-30 2017-02-07 Verisign, Inc. NXD query monitor
US9460405B2 (en) * 2013-10-03 2016-10-04 Paypal, Inc. Systems and methods for cloud data loss prevention integration
US9386103B2 (en) 2013-10-04 2016-07-05 Breakingpoint Systems, Inc. Application identification and dynamic signature generation for managing network communications
US9116975B2 (en) 2013-10-18 2015-08-25 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores
CN103581185B (zh) 2013-11-01 2016-12-07 北京奇虎科技有限公司 对抗免杀测试的云查杀方法、装置及系统
CN104380686B (zh) * 2013-11-07 2018-08-21 华为技术有限公司 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器
US9355246B1 (en) * 2013-12-05 2016-05-31 Trend Micro Inc. Tuning sandbox behavior based on static characteristics of malware
US10579647B1 (en) 2013-12-16 2020-03-03 Palantir Technologies Inc. Methods and systems for analyzing entity performance
JP6329267B2 (ja) 2013-12-20 2018-05-23 マカフィー, エルエルシー インテリジェントファイアウォールアクセスルール
US9756074B2 (en) * 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US20150188893A1 (en) * 2013-12-30 2015-07-02 Arun Sood Secure Gateway
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9462055B1 (en) * 2014-01-24 2016-10-04 Emc Corporation Cloud tiering
US9363282B1 (en) * 2014-01-28 2016-06-07 Infoblox Inc. Platforms for implementing an analytics framework for DNS security
US10469510B2 (en) * 2014-01-31 2019-11-05 Juniper Networks, Inc. Intermediate responses for non-html downloads
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US11405410B2 (en) 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US10360271B2 (en) 2014-02-25 2019-07-23 Sap Se Mining security vulnerabilities available from social media
US9241010B1 (en) * 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US9591015B1 (en) * 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
CN103942076B (zh) * 2014-04-11 2017-05-24 珠海市君天电子科技有限公司 积分墙信息的获取方法及装置
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법
US10122753B2 (en) 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
KR101534566B1 (ko) * 2014-05-09 2015-07-24 한국전자통신연구원 클라우드 가상 데스크탑 보안 통제 장치 및 방법
US10474820B2 (en) 2014-06-17 2019-11-12 Hewlett Packard Enterprise Development Lp DNS based infection scores
KR101624326B1 (ko) 2014-06-24 2016-05-26 주식회사 안랩 악성 파일 진단 시스템 및 악성 파일 진단 방법
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9535974B1 (en) 2014-06-30 2017-01-03 Palantir Technologies Inc. Systems and methods for identifying key phrase clusters within documents
US9619557B2 (en) 2014-06-30 2017-04-11 Palantir Technologies, Inc. Systems and methods for key phrase characterization of documents
US11087006B2 (en) 2014-06-30 2021-08-10 Nicira, Inc. Method and apparatus for encrypting messages based on encryption group association
US9021260B1 (en) * 2014-07-03 2015-04-28 Palantir Technologies Inc. Malware data item analysis
US9202249B1 (en) 2014-07-03 2015-12-01 Palantir Technologies Inc. Data item clustering and analysis
CN104091124A (zh) * 2014-07-03 2014-10-08 利诚服装集团股份有限公司 一种数据安全处理方法
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
US9785773B2 (en) * 2014-07-03 2017-10-10 Palantir Technologies Inc. Malware data item analysis
US10719585B2 (en) * 2014-07-08 2020-07-21 Hewlett-Packard Development Company, L.P. Composite document access
US9659176B1 (en) * 2014-07-17 2017-05-23 Symantec Corporation Systems and methods for generating repair scripts that facilitate remediation of malware side-effects
US10652263B2 (en) * 2014-07-21 2020-05-12 David Paul Heilig Identifying malware-infected network devices through traffic monitoring
US9596266B1 (en) * 2014-07-23 2017-03-14 Lookingglass Cyber Solutions, Inc. Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism
IL233776B (en) 2014-07-24 2019-02-28 Verint Systems Ltd A system and method for adjusting domains
US9419992B2 (en) 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US9332023B1 (en) * 2014-08-25 2016-05-03 Symantec Corporation Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats
US9454281B2 (en) 2014-09-03 2016-09-27 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US9716727B1 (en) 2014-09-30 2017-07-25 Palo Alto Networks, Inc. Generating a honey network configuration to emulate a target network environment
US9882929B1 (en) 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US10044675B1 (en) 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
US9860208B1 (en) 2014-09-30 2018-01-02 Palo Alto Networks, Inc. Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network
US9495188B1 (en) * 2014-09-30 2016-11-15 Palo Alto Networks, Inc. Synchronizing a honey network configuration to reflect a target network environment
US9767172B2 (en) 2014-10-03 2017-09-19 Palantir Technologies Inc. Data aggregation and analysis system
US9501851B2 (en) 2014-10-03 2016-11-22 Palantir Technologies Inc. Time-series analysis system
US9984133B2 (en) 2014-10-16 2018-05-29 Palantir Technologies Inc. Schematic and database linking system
US20160164886A1 (en) * 2014-10-17 2016-06-09 Computer Sciences Corporation Systems and methods for threat analysis of computer data
US9413774B1 (en) * 2014-10-27 2016-08-09 Palo Alto Networks, Inc. Dynamic malware analysis of a URL using a browser executed in an instrumented virtual machine environment
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US10630698B2 (en) 2014-12-18 2020-04-21 Sophos Limited Method and system for network access control based on traffic monitoring and vulnerability detection using process related information
US10552994B2 (en) 2014-12-22 2020-02-04 Palantir Technologies Inc. Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9348920B1 (en) 2014-12-22 2016-05-24 Palantir Technologies Inc. Concept indexing among database of documents using machine learning techniques
US10075455B2 (en) * 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9817563B1 (en) 2014-12-29 2017-11-14 Palantir Technologies Inc. System and method of generating data points from one or more data stores of data items for chart creation and manipulation
US9467455B2 (en) 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9648036B2 (en) 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9335911B1 (en) 2014-12-29 2016-05-10 Palantir Technologies Inc. Interactive user interface for dynamic data analysis exploration and query processing
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
WO2016121255A1 (ja) * 2015-01-28 2016-08-04 日本電信電話株式会社 マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム
US10560842B2 (en) 2015-01-28 2020-02-11 Verint Systems Ltd. System and method for combined network-side and off-air monitoring of wireless networks
WO2016121348A1 (ja) 2015-01-29 2016-08-04 日本電気株式会社 マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体
TWI553502B (zh) * 2015-03-05 2016-10-11 緯創資通股份有限公司 用於應用程式層之防火牆裝置的保護方法與其電腦系統
US10116688B1 (en) 2015-03-24 2018-10-30 Symantec Corporation Systems and methods for detecting potentially malicious files
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
IL238001B (en) 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
US9798878B1 (en) 2015-03-31 2017-10-24 Symantec Corporation Systems and methods for detecting text display manipulation attacks
US9781131B2 (en) * 2015-04-22 2017-10-03 Aktiebolaget Skf Systems and methods for securing remote configuration
WO2016169623A1 (en) * 2015-04-24 2016-10-27 Nokia Solutions And Networks Oy Mitigation of malicious software in a mobile communications network
CN106295328B (zh) 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
WO2016186902A1 (en) * 2015-05-20 2016-11-24 Alibaba Group Holding Limited Detecting malicious files
US11363035B2 (en) * 2015-05-22 2022-06-14 Fisher-Rosemount Systems, Inc. Configurable robustness agent in a plant security system
JP2016224506A (ja) * 2015-05-27 2016-12-28 西日本電信電話株式会社 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム
US10701037B2 (en) 2015-05-27 2020-06-30 Ping Identity Corporation Scalable proxy clusters
US9703956B1 (en) * 2015-06-08 2017-07-11 Symantec Corporation Systems and methods for categorizing virtual-machine-aware applications for further analysis
US10176438B2 (en) * 2015-06-19 2019-01-08 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for data driven malware task identification
US9407652B1 (en) 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
US9697361B2 (en) * 2015-07-06 2017-07-04 AO Kaspersky Lab System and method of controlling opening of files by vulnerable applications
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
CN106341377A (zh) * 2015-07-15 2017-01-18 威海捷讯通信技术有限公司 一种Web服务器免受攻击的方法及装置
US10607011B1 (en) * 2015-07-21 2020-03-31 Fatih Orhan Method to detect zero-day malware applications using dynamic behaviors
US9705909B2 (en) * 2015-07-29 2017-07-11 Verizon Digital Media Services Inc. Automatic detection and mitigation of security weaknesses with a self-configuring firewall
US9667657B2 (en) * 2015-08-04 2017-05-30 AO Kaspersky Lab System and method of utilizing a dedicated computer security service
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US10489391B1 (en) 2015-08-17 2019-11-26 Palantir Technologies Inc. Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface
US9537880B1 (en) 2015-08-19 2017-01-03 Palantir Technologies Inc. Anomalous network monitoring, user behavior detection and database system
US10102369B2 (en) 2015-08-19 2018-10-16 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system
US10127385B2 (en) 2015-09-02 2018-11-13 Sap Se Automated security vulnerability exploit tracking on social media
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US9742796B1 (en) 2015-09-18 2017-08-22 Palo Alto Networks, Inc. Automatic repair of corrupt files for a detonation engine
US9853940B2 (en) * 2015-09-24 2017-12-26 Microsoft Technology Licensing, Llc Passive web application firewall
US10277612B2 (en) * 2015-09-28 2019-04-30 International Business Machines Corporation Autonomic exclusion in a tiered delivery network
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) * 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US10044745B1 (en) 2015-10-12 2018-08-07 Palantir Technologies, Inc. Systems for computer network security risk assessment including user compromise analysis associated with a network of devices
IL242219B (en) 2015-10-22 2020-11-30 Verint Systems Ltd System and method for keyword searching using both static and dynamic dictionaries
IL242218B (en) 2015-10-22 2020-11-30 Verint Systems Ltd A system and method for maintaining a dynamic dictionary
US10963565B1 (en) * 2015-10-29 2021-03-30 Palo Alto Networks, Inc. Integrated application analysis and endpoint protection
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US9819696B2 (en) * 2015-11-04 2017-11-14 Bitdefender IPR Management Ltd. Systems and methods for detecting domain generation algorithm (DGA) malware
US10015192B1 (en) * 2015-11-06 2018-07-03 Cisco Technology, Inc. Sample selection for data analysis for use in malware detection
CN108369542A (zh) * 2015-11-09 2018-08-03 西普霍特公司 用于检测横向运动和数据泄漏的系统和方法
US11159486B2 (en) 2015-11-17 2021-10-26 Zscaler, Inc. Stream scanner for identifying signature matches
US11277383B2 (en) 2015-11-17 2022-03-15 Zscaler, Inc. Cloud-based intrusion prevention system
US10594656B2 (en) * 2015-11-17 2020-03-17 Zscaler, Inc. Multi-tenant cloud-based firewall systems and methods
WO2017094519A1 (ja) 2015-11-30 2017-06-08 日本電気株式会社 ソフトウェア解析装置、ソフトウェア解析方法、及び、記録媒体
US9760556B1 (en) 2015-12-11 2017-09-12 Palantir Technologies Inc. Systems and methods for annotating and linking electronic documents
US10089289B2 (en) 2015-12-29 2018-10-02 Palantir Technologies Inc. Real-time document annotation
US9916465B1 (en) 2015-12-29 2018-03-13 Palantir Technologies Inc. Systems and methods for automatic and customizable data minimization of electronic data stores
US9996236B1 (en) 2015-12-29 2018-06-12 Palantir Technologies Inc. Simplified frontend processing and visualization of large datasets
US9992217B2 (en) * 2015-12-31 2018-06-05 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting malicious network traffic
CN105511944B (zh) * 2016-01-07 2018-09-28 上海海事大学 一种云系统内部虚拟机的异常检测方法
US10491611B2 (en) * 2016-01-08 2019-11-26 Belden, Inc. Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols
US10237286B2 (en) * 2016-01-29 2019-03-19 Zscaler, Inc. Content delivery network protection from malware and data leakage
US9928363B2 (en) 2016-02-26 2018-03-27 Cylance Inc. Isolating data for analysis to avoid malicious attacks
US10333948B2 (en) 2016-02-29 2019-06-25 Palo Alto Networks, Inc. Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US10230749B1 (en) * 2016-02-29 2019-03-12 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
US10200389B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Malware analysis platform for threat intelligence made actionable
US10200390B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
WO2017150003A1 (ja) 2016-02-29 2017-09-08 パナソニックIpマネジメント株式会社 検知システム、ウェブアプリケーション装置、ウェブアプリケーションファイアウォール装置、検知システムにおける検知方法、ウェブアプリケーション装置の検知方法及びウェブアプリケーションファイアウォール装置の検知方法
US9984234B2 (en) * 2016-03-11 2018-05-29 Hrb Innovations, Inc. Secure document importation via portable media
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
CN107306255A (zh) * 2016-04-21 2017-10-31 阿里巴巴集团控股有限公司 防御流量攻击方法、预设列表生成方法、装置及清洗设备
IL245299B (en) 2016-04-25 2021-05-31 Verint Systems Ltd A system and method for decoding communication transmitted in a wireless local communication network
US10891379B2 (en) 2016-04-26 2021-01-12 Nec Corporation Program analysis system, program analysis method and storage medium
CN105791323B (zh) * 2016-05-09 2019-02-26 国家电网公司 未知恶意软件的防御方法和设备
CN106682507B (zh) * 2016-05-19 2019-05-14 腾讯科技(深圳)有限公司 病毒库的获取方法及装置、设备、服务器、系统
RU2628923C1 (ru) * 2016-05-20 2017-08-22 Акционерное общество "Лаборатория Касперского" Система и способ распределения файлов между виртуальными машинами, входящими в распределённую систему виртуальных машин, для выполнения антивирусной проверки
CA3036007A1 (en) * 2016-06-16 2017-12-21 Beestripe Llc Method for identifying and removing malicious software
US10896254B2 (en) 2016-06-29 2021-01-19 Sophos Limited Sandbox environment for document preview and analysis
US10482239B1 (en) 2016-06-30 2019-11-19 Palo Alto Networks, Inc. Rendering an object using muliple versions of an application in a single process for dynamic malware analysis
US10187414B2 (en) * 2016-07-20 2019-01-22 Cisco Technology, Inc. Differential malware detection using network and endpoint sensors
US10719188B2 (en) 2016-07-21 2020-07-21 Palantir Technologies Inc. Cached database and synchronization system for providing dynamic linked panels in user interface
US10324609B2 (en) 2016-07-21 2019-06-18 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
US11349852B2 (en) 2016-08-31 2022-05-31 Wedge Networks Inc. Apparatus and methods for network-based line-rate detection of unknown malware
CN106503552A (zh) * 2016-09-19 2017-03-15 南京邮电大学 基于签名与数据流模式挖掘的Android恶意软件检测系统及方法
US11522901B2 (en) * 2016-09-23 2022-12-06 OPSWAT, Inc. Computer security vulnerability assessment
US10313366B1 (en) * 2016-09-23 2019-06-04 EMC IP Holding Company LLC Retroactive identification of previously unknown malware based on network traffic analysis from a sandbox environment
US10379894B1 (en) * 2016-09-27 2019-08-13 Amazon Technologies, Inc. Lineage-based trust for virtual machine images
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
US10505970B2 (en) 2016-10-05 2019-12-10 Cisco Technology, Inc. Identifying and using DNS contextual flows
IL248306B (en) 2016-10-10 2019-12-31 Verint Systems Ltd System and method for creating data sets for learning to recognize user actions
US10133588B1 (en) 2016-10-20 2018-11-20 Palantir Technologies Inc. Transforming instructions for collaborative updates
US11226612B2 (en) * 2016-10-24 2022-01-18 Panasonic Intellectual Property Management Co., Ltd. Product manufacturing system, malware detection system, product manufacturing method, and malware detection method
US10728113B2 (en) * 2016-10-26 2020-07-28 Zscaler, Inc. Systems and methods for troubleshooting and performance analysis of cloud based services
US11811623B2 (en) 2016-10-26 2023-11-07 Zscaler, Inc. Deep tracing of user experience
US10587580B2 (en) 2016-10-26 2020-03-10 Ping Identity Corporation Methods and systems for API deception environment and API traffic control and security
US10318630B1 (en) 2016-11-21 2019-06-11 Palantir Technologies Inc. Analysis of large bodies of textual data
US10268825B2 (en) * 2016-12-01 2019-04-23 International Business Machines Corporation Amalgamating code vulnerabilities across projects
US10484332B2 (en) * 2016-12-02 2019-11-19 Vmware, Inc. Application based network traffic management
US10044836B2 (en) 2016-12-19 2018-08-07 Palantir Technologies Inc. Conducting investigations under limited connectivity
WO2018122051A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Attack signature generation
WO2018122050A1 (en) * 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Historic data breach detection
EP3563543B1 (en) 2016-12-30 2022-04-06 British Telecommunications public limited company Data breach detection
US10216811B1 (en) 2017-01-05 2019-02-26 Palantir Technologies Inc. Collaborating using different object models
US10623358B2 (en) * 2017-02-14 2020-04-14 International Business Machines Corporation Facilitating message processing at a target endpoint
IL252041B (en) 2017-04-30 2020-09-30 Verint Systems Ltd System and method for tracking computer application users
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
US11074277B1 (en) 2017-05-01 2021-07-27 Palantir Technologies Inc. Secure resolution of canonical entities
US10855694B2 (en) * 2017-05-30 2020-12-01 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment
US10942947B2 (en) 2017-07-17 2021-03-09 Palantir Technologies Inc. Systems and methods for determining relationships between datasets
US10783239B2 (en) * 2017-08-01 2020-09-22 Pc Matic, Inc. System, method, and apparatus for computer security
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10903985B2 (en) 2017-08-25 2021-01-26 Keysight Technologies Singapore (Sales) Pte. Ltd. Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
US10992652B2 (en) 2017-08-25 2021-04-27 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US10432648B1 (en) 2017-08-28 2019-10-01 Palo Alto Networks, Inc. Automated malware family signature generation
US10645099B1 (en) * 2017-09-01 2020-05-05 Ca, Inc. Malware detection facilitated by copying a memory range from an emulator for analysis and signature generation
EP4020282A1 (en) 2017-10-13 2022-06-29 Ping Identity Corporation Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions
US10530788B1 (en) * 2017-11-01 2020-01-07 Trend Micro Incorporated Detection and prevention of malicious remote file operations
US10956508B2 (en) 2017-11-10 2021-03-23 Palantir Technologies Inc. Systems and methods for creating and managing a data integration workspace containing automatically updated data models
US10965654B2 (en) * 2017-11-28 2021-03-30 Viavi Solutions Inc. Cross-interface correlation of traffic
US10693891B2 (en) 2017-12-06 2020-06-23 Chicago Mercantile Exchange Inc. Electronic mail security system
US11061874B1 (en) 2017-12-14 2021-07-13 Palantir Technologies Inc. Systems and methods for resolving entity data across various data structures
US10958668B1 (en) 2017-12-21 2021-03-23 Palo Alto Networks, Inc. Finding malicious domains with DNS query pattern analysis
US10853352B1 (en) 2017-12-21 2020-12-01 Palantir Technologies Inc. Structured data collection, presentation, validation and workflow management
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
GB201800595D0 (en) 2018-01-15 2018-02-28 Palantir Technologies Inc Management of software bugs in a data processing system
CN112005234A (zh) * 2018-01-31 2020-11-27 帕洛阿尔托网络公司 恶意软件检测的上下文剖析
US10965697B2 (en) * 2018-01-31 2021-03-30 Micro Focus Llc Indicating malware generated domain names using digits
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11190487B2 (en) * 2018-02-28 2021-11-30 Palo Alto Networks, Inc. Identifying security risks and enforcing policies on encrypted/encoded network communications
US11599369B1 (en) 2018-03-08 2023-03-07 Palantir Technologies Inc. Graphical user interface configuration system
US11003773B1 (en) * 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10771436B2 (en) 2018-04-06 2020-09-08 Cisco Technology, Inc. Dynamic whitelist management
US10885021B1 (en) 2018-05-02 2021-01-05 Palantir Technologies Inc. Interactive interpreter and graphical user interface
US10979326B2 (en) 2018-05-11 2021-04-13 Viavi Solutions Inc. Detecting interference of a beam
US11061542B1 (en) 2018-06-01 2021-07-13 Palantir Technologies Inc. Systems and methods for determining and displaying optimal associations of data items
US10445272B2 (en) * 2018-07-05 2019-10-15 Intel Corporation Network function virtualization architecture with device isolation
US11157571B2 (en) 2018-07-12 2021-10-26 Bank Of America Corporation External network system for extracting external website data using generated polymorphic data
JP7003864B2 (ja) * 2018-07-24 2022-02-10 日本電信電話株式会社 振分装置、通信システムおよび振分方法
IL260986B (en) 2018-08-05 2021-09-30 Verint Systems Ltd A system and method for using a user action log to study encrypted traffic classification
US10893030B2 (en) 2018-08-10 2021-01-12 Keysight Technologies, Inc. Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
US10631263B2 (en) 2018-09-14 2020-04-21 Viavi Solutions Inc. Geolocating a user equipment
CN109218315B (zh) * 2018-09-20 2021-06-01 华为技术有限公司 一种安全管理方法和安全管理装置
US11188622B2 (en) * 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
CN110968862B (zh) * 2018-09-29 2022-03-29 福建省天奕网络科技有限公司 一种数据异常检测方法及终端
KR101990022B1 (ko) 2018-11-28 2019-06-17 한국인터넷진흥원 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
WO2020108760A1 (en) * 2018-11-29 2020-06-04 Huawei Technologies Co., Ltd. Apparatus and method for malware detection
US11070363B1 (en) * 2018-12-21 2021-07-20 Mcafee, Llc Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows
EP3678348A1 (en) 2019-01-04 2020-07-08 Ping Identity Corporation Methods and systems for data traffic based adpative security
WO2020188524A1 (en) 2019-03-20 2020-09-24 Verint Systems Ltd. System and method for de-anonymizing actions and messages on networks
US11720291B2 (en) * 2019-05-07 2023-08-08 Citrix Systems, Inc. Methods and systems for accessing remotely stored files using virtual applications
US11586728B2 (en) 2019-06-07 2023-02-21 Nxp B.V. Methods for detecting system-level trojans and an integrated circuit device with system-level trojan detection
KR102089417B1 (ko) * 2019-06-11 2020-03-17 한국인터넷진흥원 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
TWI726449B (zh) * 2019-10-18 2021-05-01 臺灣銀行股份有限公司 網路攻擊分析方法
EP4046337A1 (en) 2019-11-03 2022-08-24 Cognyte Technologies Israel Ltd System and method for identifying exchanges of encrypted communication traffic
JP7315023B2 (ja) * 2019-11-28 2023-07-26 日本電信電話株式会社 ルール生成装置およびルール生成プログラム
US11829467B2 (en) 2019-12-18 2023-11-28 Zscaler, Inc. Dynamic rules engine in a cloud-based sandbox
US11265346B2 (en) 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
US11271907B2 (en) 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
US11190417B2 (en) 2020-02-04 2021-11-30 Keysight Technologies, Inc. Methods, systems, and computer readable media for processing network flow metadata at a network packet broker
US11698965B2 (en) 2020-04-09 2023-07-11 International Business Machines Corporation Detection of encrypting malware attacks
US11263109B2 (en) 2020-04-16 2022-03-01 Bank Of America Corporation Virtual environment system for validating executable data using accelerated time-based process execution
US11528276B2 (en) 2020-04-16 2022-12-13 Bank Of America Corporation System for prevention of unauthorized access using authorized environment hash outputs
US11425123B2 (en) 2020-04-16 2022-08-23 Bank Of America Corporation System for network isolation of affected computing systems using environment hash outputs
US11423160B2 (en) 2020-04-16 2022-08-23 Bank Of America Corporation System for analysis and authorization for use of executable environment data in a computing system using hash outputs
US11481484B2 (en) 2020-04-16 2022-10-25 Bank Of America Corporation Virtual environment system for secure execution of program code using cryptographic hashes
US11372982B2 (en) 2020-07-02 2022-06-28 Bank Of America Corporation Centralized network environment for processing validated executable data based on authorized hash outputs
CN112180746A (zh) * 2020-09-02 2021-01-05 珠海格力电器股份有限公司 基于网关的家居设备控制方法、装置、存储介质及网关
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
US11363055B2 (en) 2020-11-02 2022-06-14 Bank Of America Corporation System and methods for dynamic controlled evaluation of cloud service vulnerabilities
US20220191217A1 (en) * 2020-12-15 2022-06-16 Raytheon Company Systems and methods for evasive resiliency countermeasures
US11758025B2 (en) 2021-01-14 2023-09-12 Zscaler, Inc. Adaptive tracing using one of a plurality of protocols
US11671438B2 (en) 2021-01-14 2023-06-06 Zscaler, Inc. Detection of latency, packet drops, and network hops through a tunnel by tracing hops therein
US11811633B2 (en) 2021-01-14 2023-11-07 Zscaler, Inc. Traceroutes through external proxies
US11863415B2 (en) 2021-01-14 2024-01-02 Zscaler, Inc. Determining endpoint and application behavior for monitoring user experience
US11637766B2 (en) 2021-01-14 2023-04-25 Zscaler, Inc. Detection of network hops and latency through an opaque tunnel and detection misconfiguration of tunnels
US11770319B2 (en) 2021-01-14 2023-09-26 Zscaler, Inc. TCP traceroute using RST and SYN-ACK to determine destination reachability
US11949578B2 (en) 2021-01-14 2024-04-02 Zscaler, Inc. Adaptive probing to discover a protocol for network tracing
US11784904B2 (en) 2021-01-14 2023-10-10 Zscaler, Inc. Adaptive tracing with a reduced number of probes to avoid firewall issues
US11425015B2 (en) 2021-01-14 2022-08-23 Zscaler, Inc. Accurate differential traceroute latency calculation between hops
US11228519B1 (en) 2021-01-21 2022-01-18 Zscaler, Inc. Detection of latency, packet drops, and network hops through a TCP tunnel using ICMP and UDP probes
US11546240B2 (en) 2021-03-01 2023-01-03 Zscaler, Inc. Proactively detecting failure points in a network
US11563665B2 (en) 2021-03-05 2023-01-24 Zscaler, Inc. Detecting web probes versus regular traffic through a proxy including encrypted traffic
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11895129B2 (en) * 2021-06-29 2024-02-06 Juniper Networks, Inc. Detecting and blocking a malicious file early in transit on a network
US20230079612A1 (en) * 2021-09-13 2023-03-16 Paul Maszy System and Method for Computer Security
WO2023112376A1 (ja) * 2021-12-17 2023-06-22 パナソニックIpマネジメント株式会社 セキュリティ対策方法、及び、セキュリティ対策システム
CN115412472A (zh) * 2022-08-30 2022-11-29 中国联合网络通信集团有限公司 网络故障的排查方法、装置及设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101971591A (zh) * 2006-12-01 2011-02-09 网圣公司 分析网址的系统及方法

Family Cites Families (115)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5440719A (en) 1992-10-27 1995-08-08 Cadence Design Systems, Inc. Method simulating data traffic on network in accordance with a client/sewer paradigm
US6147993A (en) 1997-10-14 2000-11-14 Cisco Technology, Inc. Method and apparatus for implementing forwarding decision shortcuts at a network switch
US6728885B1 (en) 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
US6701432B1 (en) 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US7107612B1 (en) 1999-04-01 2006-09-12 Juniper Networks, Inc. Method, apparatus and computer program product for a network firewall
US6553028B1 (en) 1999-04-30 2003-04-22 Cisco Technology, Inc. Method and apparatus for multicast switching using a centralized switching engine
US6944774B2 (en) 1999-06-18 2005-09-13 Zoom Telephonics, Inc. Data flow control unit
US7436830B2 (en) 2000-04-03 2008-10-14 P-Cube Ltd. Method and apparatus for wire-speed application layer classification of upstream and downstream data packets
JP2004531780A (ja) * 2000-06-22 2004-10-14 マイクロソフト コーポレーション 分散型コンピューティングサービスプラットフォーム
US7716367B1 (en) * 2000-07-20 2010-05-11 Akamai Technologies, Inc. Network performance monitoring in a content delivery service
US7089294B1 (en) 2000-08-24 2006-08-08 International Business Machines Corporation Methods, systems and computer program products for server based type of service classification of a communication request
JP3739260B2 (ja) 2000-08-24 2006-01-25 株式会社日立製作所 情報配信システムおよびゲートウェイ装置
CN1751473A (zh) * 2000-09-01 2006-03-22 Tut系统公司 用于实现基于策略的网络业务管理的方法和系统
US7277950B1 (en) * 2000-12-29 2007-10-02 Swarmcast, Inc. Packet transfer mechanism over a peer to peer network
US6912592B2 (en) 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7093280B2 (en) 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
CN1147795C (zh) * 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
US7657419B2 (en) * 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US7747943B2 (en) 2001-09-07 2010-06-29 Microsoft Corporation Robust anchoring of annotations to content
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7123581B2 (en) 2001-10-09 2006-10-17 Tellabs Operations, Inc. Method and apparatus to switch data flows using parallel switch fabrics
DE60222581T2 (de) * 2001-11-30 2008-06-19 British Telecommunications Public Ltd. Co. Datenübertragung
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
JP4088082B2 (ja) * 2002-02-15 2008-05-21 株式会社東芝 未知コンピュータウイルスの感染を防止する装置およびプログラム
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7177311B1 (en) 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US8140660B1 (en) 2002-07-19 2012-03-20 Fortinet, Inc. Content pattern recognition language processor and methods of using the same
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20060098649A1 (en) 2004-11-10 2006-05-11 Trusted Network Technologies, Inc. System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection
GB0227614D0 (en) 2002-11-27 2002-12-31 3Com Corp Packet-switched network and network switches having a network layer forwarding by data link switching
US20050216770A1 (en) 2003-01-24 2005-09-29 Mistletoe Technologies, Inc. Intrusion detection system
US7155572B2 (en) 2003-01-27 2006-12-26 Advanced Micro Devices, Inc. Method and apparatus for injecting write data into a cache
US7627479B2 (en) 2003-02-21 2009-12-01 Motionpoint Corporation Automation tool for web site content language translation
JP4581104B2 (ja) * 2003-03-28 2010-11-17 学校法人明治大学 ネットワークセキュリティシステム
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7735144B2 (en) 2003-05-16 2010-06-08 Adobe Systems Incorporated Document modification detection and prevention
JP4020018B2 (ja) 2003-05-29 2007-12-12 Kddi株式会社 パケット情報識別方法及びシステム
US7272746B2 (en) 2003-08-29 2007-09-18 Audiocodes Texas, Inc. Redundancy scheme for network processing systems
US7415719B2 (en) * 2003-09-26 2008-08-19 Tizor Systems, Inc. Policy specification framework for insider intrusions
US8301702B2 (en) * 2004-01-20 2012-10-30 Cloudmark, Inc. Method and an apparatus to screen electronic communications
KR100609170B1 (ko) 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US20050203919A1 (en) 2004-03-09 2005-09-15 Deutsch L. P. Method and apparatus for reordering an arbitrary order signal sequence into a streamable signal sequence
FR2868230B1 (fr) 2004-03-25 2012-06-08 Netasq Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique
US8566946B1 (en) * 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8171553B2 (en) * 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8549638B2 (en) * 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8375444B2 (en) * 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US9027135B1 (en) * 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US20050257263A1 (en) 2004-05-13 2005-11-17 International Business Machines Corporation Andromeda strain hacker analysis system and method
EP1630710B1 (en) * 2004-07-21 2019-11-06 Microsoft Technology Licensing, LLC Containment of worms
GB2418110B (en) 2004-09-14 2006-09-06 3Com Corp Method and apparatus for controlling traffic between different entities on a network
DE102004048167B4 (de) 2004-10-02 2007-01-04 Siemens Ag Verfahren zur inhaltsbezogenen Handhabung eines Datenstroms
EP1805961B1 (en) 2004-10-29 2012-12-05 Telefonaktiebolaget L M Ericsson (publ) Methods and nodes in a communication system for controlling the use of access resources
US7447796B2 (en) 2004-12-17 2008-11-04 International Business Machines Corporation System, method and program product to route message packets
US7894432B2 (en) 2005-04-09 2011-02-22 Audiocodes, Inc. Apparatus and method creating virtual routing domains in an internet protocol network
US7606147B2 (en) 2005-04-13 2009-10-20 Zeugma Systems Inc. Application aware traffic shaping service node positioned between the access and core networks
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
US7784094B2 (en) 2005-06-30 2010-08-24 Intel Corporation Stateful packet content matching mechanisms
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US7486673B2 (en) 2005-08-29 2009-02-03 Connect Technologies Corporation Method and system for reassembling packets prior to searching
US20070056038A1 (en) 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
US8270413B2 (en) 2005-11-28 2012-09-18 Cisco Technology, Inc. Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks
KR100791290B1 (ko) 2006-02-10 2008-01-04 삼성전자주식회사 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US7580974B2 (en) 2006-02-16 2009-08-25 Fortinet, Inc. Systems and methods for content type classification
WO2007100915A2 (en) * 2006-02-28 2007-09-07 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for outputting data based on anomaly detection
WO2007133178A2 (en) * 2006-04-21 2007-11-22 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US8488136B2 (en) 2006-05-12 2013-07-16 Kyocera Document Solutions Inc. Printing system and method, and recording medium
US20140373144A9 (en) * 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
JP4290179B2 (ja) 2006-06-15 2009-07-01 キヤノン株式会社 署名検証装置、及び、その制御方法、プログラム、記憶媒体
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8151352B1 (en) * 2006-07-14 2012-04-03 Bitdefender IPR Managament Ltd. Anti-malware emulation systems and methods
US20080025307A1 (en) 2006-07-27 2008-01-31 Research In Motion Limited System and method for pushing information from a source device to an available destination device
US20080183691A1 (en) 2007-01-30 2008-07-31 International Business Machines Corporation Method for a networked knowledge based document retrieval and ranking utilizing extracted document metadata and content
CA2714549A1 (en) 2007-02-09 2008-08-14 Smobile Systems, Inc. Off-line mms malware scanning system and method
US9021590B2 (en) 2007-02-28 2015-04-28 Microsoft Technology Licensing, Llc Spyware detection mechanism
US20080231885A1 (en) 2007-03-23 2008-09-25 Konica Minolta Systems Laboratory, Inc. Direct printing method using ram storage for spooled printer files
US20080222729A1 (en) * 2007-03-05 2008-09-11 Songqing Chen Containment of Unknown and Polymorphic Fast Spreading Worms
US8594085B2 (en) 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8875272B2 (en) 2007-05-15 2014-10-28 International Business Machines Corporation Firewall for controlling connections between a client machine and a network
US8321936B1 (en) * 2007-05-30 2012-11-27 M86 Security, Inc. System and method for malicious software detection in multiple protocols
US20090238071A1 (en) 2008-03-20 2009-09-24 Embarq Holdings Company, Llc System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller
US20090013405A1 (en) 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code
US20090031135A1 (en) * 2007-07-27 2009-01-29 Raghunathan Kothandaraman Tamper Proof Seal For An Electronic Document
US7706291B2 (en) 2007-08-01 2010-04-27 Zeugma Systems Inc. Monitoring quality of experience on a per subscriber, per session basis
CN101816148A (zh) * 2007-08-06 2010-08-25 伯纳德·德莫森纳特 用于验证、数据传送和防御网络钓鱼的系统和方法
US20090064337A1 (en) 2007-09-05 2009-03-05 Shih-Wei Chien Method and apparatus for preventing web page attacks
US8176477B2 (en) * 2007-09-14 2012-05-08 International Business Machines Corporation Method, system and program product for optimizing emulation of a suspected malware
US7559086B2 (en) * 2007-10-02 2009-07-07 Kaspersky Lab, Zao System and method for detecting multi-component malware
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US9100268B2 (en) 2008-02-27 2015-08-04 Alcatel Lucent Application-aware MPLS tunnel selection
US8291496B2 (en) * 2008-05-12 2012-10-16 Enpulz, L.L.C. Server based malware screening
US8255993B2 (en) * 2008-06-23 2012-08-28 Symantec Corporation Methods and systems for determining file classifications
US8667583B2 (en) 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8370932B2 (en) * 2008-09-23 2013-02-05 Webroot Inc. Method and apparatus for detecting malware in network traffic
US8176556B1 (en) 2008-10-31 2012-05-08 Symantec Corporation Methods and systems for tracing web-based attacks
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8413239B2 (en) 2009-02-22 2013-04-02 Zscaler, Inc. Web security via response injection
JP5440973B2 (ja) * 2009-02-23 2014-03-12 独立行政法人情報通信研究機構 コンピュータ検査システム、コンピュータ検査方法
US8307351B2 (en) 2009-03-18 2012-11-06 Oracle International Corporation System and method for performing code provenance review in a software due diligence system
US20110035804A1 (en) * 2009-04-07 2011-02-10 Pratyush Moghe Appliance-based parallelized analytics of data auditing events
US8683584B1 (en) * 2009-04-25 2014-03-25 Dasient, Inc. Risk assessment
JP5225942B2 (ja) * 2009-07-01 2013-07-03 日本電信電話株式会社 解析システム、解析方法、及び解析プログラム
US20110041179A1 (en) 2009-08-11 2011-02-17 F-Secure Oyj Malware detection
US8832829B2 (en) * 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US20110154493A1 (en) * 2009-12-18 2011-06-23 Assured Information Security, Inc. Methods for inspecting data and devices thereof
CN101841523B (zh) * 2010-02-05 2013-05-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
US8813232B2 (en) * 2010-03-04 2014-08-19 Mcafee Inc. Systems and methods for risk rating and pro-actively detecting malicious online ads
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US9288137B2 (en) * 2010-05-09 2016-03-15 Citrix Systems, Inc. Systems and methods for allocation of classes of service to network connections corresponding to virtual channels
US8510829B2 (en) 2010-06-24 2013-08-13 Mcafee, Inc. Systems and methods to detect malicious media files
US8463797B2 (en) 2010-07-20 2013-06-11 Barracuda Networks Inc. Method for measuring similarity of diverse binary objects comprising bit patterns
US8621629B2 (en) * 2010-08-31 2013-12-31 General Electric Company System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101971591A (zh) * 2006-12-01 2011-02-09 网圣公司 分析网址的系统及方法

Also Published As

Publication number Publication date
CA2835954C (en) 2017-09-12
CN107526965A (zh) 2017-12-29
US20150319136A1 (en) 2015-11-05
JP2014519113A (ja) 2014-08-07
EP2715540A1 (en) 2014-04-09
IL229531A (en) 2017-11-30
EP2715540B1 (en) 2019-01-02
IL255724A (en) 2018-01-31
US9047441B2 (en) 2015-06-02
IL229531A0 (en) 2014-01-30
EP2715540A4 (en) 2014-10-01
IL255724B (en) 2019-08-29
US9491142B2 (en) 2016-11-08
AU2012259113B2 (en) 2015-12-03
WO2012162102A1 (en) 2012-11-29
CN103842965A (zh) 2014-06-04
CA2835954A1 (en) 2012-11-29
JP6106780B2 (ja) 2017-04-05
US20120304244A1 (en) 2012-11-29
JP2016146192A (ja) 2016-08-12

Similar Documents

Publication Publication Date Title
CN103842965B (zh) 恶意软件分析系统
US10298610B2 (en) Efficient and secure user credential store for credentials enforcement using a firewall
US10305927B2 (en) Sinkholing bad network domains by registering the bad network domains on the internet
US10425387B2 (en) Credentials enforcement using a firewall
US9832213B2 (en) System and method for network intrusion detection of covert channels based on off-line network traffic
AU2012259113A1 (en) Malware analysis system
Miller et al. Traffic classification for the detection of anonymous web proxy routing
Miller et al. Securing the internet through the detection of anonymous proxy usage
US20240039893A1 (en) Beacon and threat intelligence based apt detection
Reti et al. Honey Infiltrator: Injecting Honeytoken Using Netfilter
US11770361B1 (en) Cobalt strike beacon HTTP C2 heuristic detection
US20240039952A1 (en) Cobalt strike beacon https c2 heuristic detection
US20240039951A1 (en) Probing for cobalt strike teamserver detection
US20230344866A1 (en) Application identification for phishing detection
Falguni et al. 'E-SPY': DETECTION AND PREDICTION OF WEBSITE ATTACKS.
WO2024025705A1 (en) Cobalt strike beacon http c2 heuristic detection
Rahalkar et al. IDSes, Firewalls, and Honeypots
Luan Intrusion detection and management over the world wide web
Kumar Intrusions in Computer Networks-A Perspective
Thakur Conti Ransomware Practical Study of Static and Dynamic Methedologies

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant