CN107526965A - 恶意软件分析系统 - Google Patents
恶意软件分析系统 Download PDFInfo
- Publication number
- CN107526965A CN107526965A CN201710778943.0A CN201710778943A CN107526965A CN 107526965 A CN107526965 A CN 107526965A CN 201710778943 A CN201710778943 A CN 201710778943A CN 107526965 A CN107526965 A CN 107526965A
- Authority
- CN
- China
- Prior art keywords
- domain
- malware
- signature
- virtual machine
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在一些实施例中,一种恶意软件分析系统包括:从防火墙接收可能的恶意软件样本;使用虚拟机来分析可能的恶意软件样本以确定可能的恶意软件样本是否是恶意软件;以及如果可能的恶意软件样本被确定为恶意软件,则自动生成签名。在一些实施例中,可能的恶意软件样本不匹配于预先存在的签名,并且所述恶意软件是零日攻击。
Description
本申请为分案申请,其母案的发明名称为“恶意软件分析系统”,申请日为2012年5月17日,申请号为201280036352.1。
背景技术
防火墙通常在准许授权的通信穿过防火墙的同时保护网络免于未授权的访问。防火墙通常是设备或设备集合、或者提供针对网络访问的防火墙功能的在设备(诸如,计算机)上执行的软件。例如,防火墙能够被集成到设备(例如,计算机、智能电话或其他类型的有网络通信能力的设备)的操作系统中。防火墙还能够被集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)、或者数据装置(例如,安全装置或其他类型的专用设备)中或者作为软件在其上执行。
防火墙通常基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙能够通过应用规则集或策略来过滤入站(inbound)业务。防火墙还能够通过应用规则集或策略来过滤出站(outbound)业务。防火墙还可能能够执行基本路由功能。
附图说明
本发明的各种实施例在下面的具体实施方式和附图中公开。
图1是根据一些实施例的恶意软件分析系统的功能图。
图2是图示根据一些实施例的恶意软件分析系统的架构的框图。
图3是根据一些实施例的恶意软件分析系统的数据装置的硬件组件的功能图。
图4是根据一些实施例的恶意软件分析系统的数据装置的逻辑组件的功能图。
图5是根据一些实施例的恶意软件分析系统的流程图。
图6是根据一些实施例的恶意软件分析系统的另一个流程图。
图7是根据一些实施例的恶意软件分析系统的另一个流程图。
图8是根据一些实施例的恶意软件分析系统的另一个流程图。
图9是根据一些实施例的恶意软件分析系统的另一个流程图。
图10是根据一些实施例的恶意软件分析系统的另一个流程图。
具体实施方式
本发明可以以多种方式实现,包括被实现为:过程;设备;系统;物质组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实施方式或本发明可采用的任何其他形式可以被称为技术。一般来说,公开过程的步骤的顺序可以在本发明的范围内变更。除非以其他方式声明,诸如被描述为被配置成执行任务的处理器或存储器之类的组件可以被实现为在给定时间被临时配置为执行任务的一般组件或被制造为执行任务的具体组件。如在本文中使用的那样,术语“处理器”指代一个或多个设备、电路、和/或被配置为处理数据(诸如计算机程序指令)的处理核心。
下面与图示本发明原理的附图一起提供了本发明的一个或多个实施例的详细描述。结合这些实施例描述了本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求限定,并且本发明包含多个替换、修改和等同物。在下面的描述中阐述了多个特定细节以提供对本发明的透彻理解。出于示例的目的提供了这些细节,并且在不具有一些或所有这些特定细节的情况下可以根据权利要求来实践本发明。为了清楚的目的,没有详细描述与本发明有关的技术领域中已知的技术材料,使得不会不必要地使本发明模糊。
防火墙通常在准许授权的通信穿过防火墙的同时保护网络免于未授权的访问。防火墙通常是设备、设备集合、或者提供针对网络访问的防火墙功能的在设备上执行的软件。例如,防火墙能够被集成到设备(例如,计算机、智能电话或其他类型的有网络通信能力的设备)的操作系统中。防火墙还能够被集成到诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)、或者数据装置(例如,安全装置或其他类型的专用设备)之类的各种类型的设备中或者作为软件应用在其上执行。
防火墙通常基于规则集来拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙能够通过应用规则集或策略来过滤入站业务以防止不期望的外部业务到达受保护的设备。防火墙还能够通过应用规则集或策略(例如,在防火墙规则或防火墙策略中能够规定允许、阻塞、监测、通知或记入日志、和/或其他动作,所述防火墙规则或防火墙策略能够基于诸如本文所述的各种准则而被触发)来过滤出站业务。防火墙还可能能够执行基本路由功能。
基本分组过滤防火墙通过检查通过网络传输的各个分组来过滤网络通信业务(例如,分组过滤防火墙或第一代防火墙,其为无状态(stateless)分组过滤防火墙)。无状态分组过滤防火墙通常检查各个分组本身并基于检查过的分组来应用规则(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)。
应用防火墙还能够执行应用层过滤(例如,应用层过滤防火墙或第二代防火墙,其在TCP/IP栈的应用级上工作)。应用层过滤防火墙或应用防火墙一般能够识别某些应用和协议(例如,使用超文本传输协议(HTTP)的网页浏览、域名系统(DNS)请求、使用文件传输协议(FTP)的文件传输、以及各种其他类型的应用和其他协议,诸如Telnet、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙能够阻塞尝试通过标准端口进行通信的未授权的协议(例如,尝试通过使用针对该协议的非标准端口而潜入(sneak through)的未授权的/策略外的(out of policy)协议一般能够使用应用防火墙而识别)。
有状态(stateful)防火墙也能够执行基于有状态的分组检查,其中在与该网络传输的一个或多个分组的流关联的一系列分组的上下文内检查每个分组(例如,有状态防火墙或第三代防火墙)。该防火墙技术一般被称为有状态分组检查,由于其维护穿过该防火墙的所有连接的记录并能够确定分组是新连接的开始、现有连接的一部分、还是无效分组。例如,连接的状态本身可以是各准则中触发策略内的规则的一个准则。
高级或下一代防火墙能够执行无状态和有状态分组过滤以及应用层过滤,如上所讨论。下一代防火墙还能够执行附加的防火墙技术。例如,某些较新的防火墙(有时被称为高级或下一代防火墙)还能够识别用户和内容(例如,下一代防火墙)。特别地,某些下一代防火墙正在将这些防火墙能够自动识别的应用的列表扩充到数千个应用。这种下一代防火墙的示例可从Palo Alto Networks, Inc.商售(例如,Palo Alto Networks的PA系列防火墙)。例如,Palo Alto Networks的下一代防火墙使企业能够使用各种识别技术来识别和控制应用、用户和内容(不仅是端口、IP地址和分组),识别技术诸如是下述各项:用于准确应用识别的APP-ID、用于用户识别的User-ID(用户ID)(例如,通过用户或用户组)、以及用于实时内容扫描的Content-ID(内容ID)(例如,控制web冲浪并限制数据和文件传输)。这些识别技术允许企业使用商业相关概念而不是遵照由传统端口阻塞防火墙提供的传统方法来安全地实现应用使用。此外,被实现为例如专用装置的用于下一代防火墙的专用硬件一般比在通用硬件(例如,诸如由Palo Alto Networks, Inc提供的安全装置,其利用与单程(single-pass)软件引擎紧密集成的专用、功能特定的处理,以在最小化等待时间的同时最大化网络吞吐量)上执行的软件提供应用检查的更高性能级别。
当前的防火墙通常基于签名和/或启发法(heuristic)而施行。由此,为了检测恶意软件,防火墙一般必须具有能够检测恶意软件的现有签名或现有启发法(例如,预定义的签名和/或预定义的启发法)。
然而,零日(zero-day)攻击(有时也被称为零时(zero-hour)攻击或零天攻击)是试图利用(例如,操作系统、应用软件、安全软件和/或计算/网络平台的其他方面中的)对于其他人或软件开发者来说新的和/或先前未识别出或未知的脆弱性的恶意软件威胁或攻击。零日利用(exploit)一般指代利用安全漏洞以执行攻击的软件。在目标软件/平台的开发者知道脆弱性之前和/或在目标软件/平台提供者提供对脆弱性的修补(例如,分发更新以给安全漏洞打补丁)之前和/或在安全提供者提供能够检测恶意软件的更新(例如,分发能够检测试图利用脆弱性的(一个或多个)攻击的签名和/或启发法)之前,零日利用被黑客或攻击者所使用或共享。
用于解决零日利用的各种方法存在,但各自具有不同的缺陷。例如,脆弱性评估软件试图识别软件平台和/或应用中的脆弱性。然而,脆弱性评估技术无法将所有可能的新的脆弱性都识别。作为另一个示例,白名单技术(例如,由防火墙和/或入侵检测/防御系统实现)能够基于已知的良好应用来限制访问。然而,这种方法可能是严格限制性的,并且一些已知的良好应用可能随后被发现为具有先前未在测试期间或者通过脆弱性评估技术而识别出的脆弱性。与黑名单技术结合的白名单(例如,使用基于签名的技术来阻塞已知的较差应用或者带有已知脆弱性的应用)也能够被用于限制对已知的良好应用的访问和/或防止对已知的较差应用的访问。然而,该方法遭受上述方法的类似缺陷,并例如可能类似地对于用户和网络/计算环境来说是非常限制性的。其他当前方法能够潜在地确定主机已经被感染(例如,下载恶意文件)并隔离(quarantine)已感染的主机,但这种方法未能防止该主机的感染,并且这种方法一般不能防止其他主机未来被相同恶意文件所感染。
进一步保护在网络上通信的设备所需的是用于检测现有签名未检测到的恶意软件的恶意软件分析系统(例如,这然后能够有效防止新的零日利用)。相应地,公开了恶意软件分析系统。特别地,提供了恶意软件分析,使用本文所述的各种技术能够提供零日保护,该恶意软件分析通过检测不存在预先存在的签名的新恶意软件威胁并实时地针对该新恶意软件威胁自动生成新签名来保护免受零日利用。例如,虚拟机(VM)能够被用于使用能够在文件传输期间(例如,在文件下载期间)实时执行的各种基于启发法的分析技术来执行行为剖析(behavior profiling)(例如,在VM沙盒环境中),并且如果被下载的文件被确定为恶意,那么防火墙能够基于分析结果来自动阻塞文件下载,并且新签名能够被生成和分发以自动阻塞针对下载被确定为恶意的文件的未来文件传输请求。在一些实施例中,各种启发法技术被恶意软件分析系统执行,所述恶意软件分析系统使用VM来模拟(emulate)文件的行为(例如,该文件能够包括可执行代码,诸如JavaScript)、网站内容和/或其他行为以分析可能的恶意软件样本。例如,访问特定网站且从该网站下载某个内容的VM模拟能够指示某个可疑行为,诸如对某个平台、软件或注册设置的改变。本文关于各种实施例来描述用于使用VM环境进行恶意软件分析的各种其他基于启发法的分析技术。
在一些实施例中,恶意软件分析系统包括:从防火墙接收可能的恶意软件样本;使用虚拟机来分析可能的恶意软件样本以确定可能的恶意软件样本是否是恶意软件;以及如果可能的恶意软件样本被确定为恶意软件,则自动生成签名(例如,用于文件的基于散列的签名和/或如本文所述的其他类型的签名)。在一些实施例中,签名被分发到多个网络设备/功能(例如,路由器和网关)和/或安全设备/功能(例如,安全/防火墙装置、安全/防火墙网关、基于主机的防火墙、基于主机的安全套件、和安全云服务)。在一些实施例中,可能的恶意软件样本不匹配于预先存在的签名。在一些实施例中,可能的恶意软件样本不匹配于预先存在的签名,并且恶意软件是零日攻击。
在一些实施例中,在第一设备上执行防火墙,并且虚拟机由第二设备执行。在一些实施例中,防火墙由安全装置(例如,防火墙装置)实现,并且虚拟机由虚拟机(VM)装置实现。在一些实施例中,防火墙是在第一设备上执行的基于主机的防火墙,并且虚拟机由虚拟机装置实现。在一些实施例中,虚拟机由安全云服务实现。在一些实施例中,防火墙对网络业务流进行解密,以生成可能的恶意软件样本以用于使用虚拟机而分析。
在一些实施例中,恶意软件分析系统进一步包括将签名发送到防火墙,其中防火墙将签名包括在一个或多个防火墙策略中。在一些实施例中,恶意软件分析系统进一步包括将签名发送到防火墙,其中防火墙被实现在网关安全设备、安全装置、网络路由设备、或执行基于主机的防火墙的通用计算机中。在一些实施例中,恶意软件分析系统进一步包括将签名发送到云安全服务。
在一些实施例中,恶意软件分析系统进一步包括在模拟期间使用虚拟机来监测可能的恶意软件样本的行为以识别恶意软件。例如,如本文所述的各种基于启发法的技术能够被用于确定可能的恶意软件样本被确定为或应该被确定为恶意软件(例如,使用URL、DNS、协议、和/或文件或者其他信息或活动或行为剖析技术)。
在一些实施例中,恶意软件分析系统进一步包括将与可能的恶意软件相关的日志信息发送到虚拟机。例如,日志信息能够包括会话信息、应用识别信息、URL类别信息和/或脆弱性警报信息。在一些实施例中,虚拟机使用所述日志信息来执行事后分析以确定可能的恶意软件是否是恶意软件。
在一些实施例中,恶意软件分析系统包括:监测多个网络业务流;对已加密的网络业务流进行解密以生成可能的恶意软件样本,其中预先存在的签名不匹配于可能的恶意软件样本;将可能的恶意软件样本发送到恶意软件分析设备,其中恶意软件分析设备执行虚拟机,以使用该虚拟机来分析可能的恶意软件样本,以便确定可能的恶意软件样本是否是恶意软件;从恶意软件分析设备接收可能的恶意软件样本的分析结果;如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;以及基于所述签名来施行用于网络访问的安全策略。
在一些实施例中,恶意软件分析系统包括使用虚拟机来分析可能的恶意软件样本以确定可能的恶意软件样本是否是恶意软件,其中对于可能的恶意软件样本来说不存在签名;如果可能的恶意软件样本被确定为恶意软件,则自动生成签名;添加基于所述签名的防火墙规则;以及使用所述签名来施行防火墙。
图1是根据一些实施例的恶意软件分析系统的功能图。如图1中所示,在防火墙100处监测网络业务。在一些实施例中,使用数据装置(例如,包括安全功能的数据装置,诸如包括防火墙的安全装置)来监测网络业务。在一些实施例中,使用网关(例如,包括安全功能的网关,诸如安全网关)来监测网络业务。在一些实施例中,使用主机(例如,在主机设备上执行的安全软件,诸如网络服务器或客户端计算设备,诸如个人计算机、膝上型电脑、平板电脑或智能电话)来监测网络业务。在一些实施例中,使用在线监测技术来监测网络业务。在一些实施例中,网络业务被采集和/或监测(例如,能够使用在线监测技术来监测网络业务中的一些和/或能够采集和分析网络业务中的一些以用于离线监测网络业务,诸如在网络业务的日志中)。
在一些实施例中,使用基于状态的防火墙来监测网络业务。在一些实施例中,基于状态的防火墙能够使用APP-ID引擎(例如,应用签名校验108)来监测业务流。例如,被监测的网络业务能够包括HTTP业务、FTP业务、DNS请求、未分类的应用业务(例如,未知应用业务)、和/或其他类型的业务(例如,使用其他类型的已知或未知协议的业务)。
如图1中所示,网络业务监测开始于102处。IP地址和端口引擎104基于分组分析来确定被监测的业务流(例如,会话)的IP地址和端口号。在一些实施例中,然后确定用户识别(例如,能够基于源IP地址来推断出用户ID)。策略校验引擎106基于IP地址和端口号来确定是否任何策略能够被应用。应用签名校验引擎108识别应用(例如,使用APP-ID引擎,所述APP-ID引擎将各种应用签名用于基于分组流分析来识别应用)。例如,APP-ID引擎108能够被配置成确定会话涉及何种类型的业务,诸如HTTP业务、FTP业务、DNS请求、未知业务和各种其他类型的业务,并且这种分类的业务能够被引导到适当的解码器(诸如解码器112、114和116)以针对每个被监测的会话的业务流对分类的业务进行解码。如果被监测的业务被加密(例如,使用SSL、SSH或另一已知加密协议来加密),那么能够使用解密引擎110来解密被监测的业务(例如,应用使用自签名(self-signed)证书的中间人(man in the middle)技术)。已知协议解码器引擎112使用已知协议(例如,应用用于已知协议的各种签名)来解码和分析业务流,并将被监测业务分析报告给报告和施行策略引擎120。识别出业务(无需解码)引擎114将所识别出的业务报告给报告和施行策略引擎120。未知协议解码器引擎116解码和分析业务流(例如,应用各种启发法),并将被监测业务分析报告给报告和施行策略引擎120。
在一些实施例中,上述使用已知协议解码器引擎112、识别出业务引擎114和未知协议解码器引擎116的各种业务监测技术的结果被提供给报告和施行策略引擎120(例如,网络/路由策略、安全策略和/或防火墙策略)。例如,使用应用识别、用户识别和/或其他信息来匹配预先存在的签名(例如,用于检测恶意软件或可疑行为的基于文件的、基于协议的和/或其他类型/形式的签名),能够将防火墙策略应用于被监测的网络业务。
同样如图1中所示,VM恶意软件分析引擎118从防火墙接收可能的恶意软件样本。在一些实施例中,上述使用已知协议解码器引擎112、识别出业务引擎114和未知协议解码器引擎116的各种业务监测技术的结果被提供给报告和施行策略引擎120(例如,网络/路由策略、安全策略和/或防火墙策略),不匹配于任何预先存在的签名。在一些实施例中,如果预先存在的签名不匹配,则可能的恶意软件样本能够被选择以供进一步分析,并被转发给VM恶意软件分析引擎以用于执行该进一步分析(例如,用于使用虚拟机提供沙盒环境以检测恶意软件的实时行为剖析分析和/或用于使用日志信息的事后分析,如本文关于各种实施例所描述),以便确定可能的恶意软件样本是否是恶意软件。在一些实施例中,各种规则/策略被应用以确定这种可能的恶意软件样本是否应该被提供给虚拟机引擎以供进一步分析,并且这种规则/策略能够基于地理(例如,内容的源国家/地理)、基于URL类别、基于文件类型(例如,PDF或另一种文件类型)、文件大小(例如,针对实时VM模拟分析而转发的文件大小能够被限制于最大大小(诸如1GB)或者另一个文件大小,以避免文件太大而不能使用VM技术实时模拟)、令人混淆的(obfuscated)JavaScript(例如,非常长的变量、包括使用eval函数而打包的代码的长变量、和/或其他混淆技术)、和/或用于选择对实时VM模拟恶意软件分析来说适当的可能可疑的恶意软件的各种其他规则/策略。
在一些实施例中,如果可能的恶意软件样本被确定为恶意软件,那么使用本文所述的各种技术来生成新签名。在一些实施例中,新签名由另一个设备或另一个函数生成。例如,防火墙能够生成新签名。
在一些实施例中,防火墙100还包括内容ID引擎(未示出),并且在一些实施例中,内容-ID引擎的所识别出的内容也被报告和施行策略引擎120使用(可能以与其他信息(诸如应用、用户和/或其他信息)的各种组合的方式)以施行各种安全/防火墙策略/规则。
在一些实施例中,各种其他功能性架构和流程被提供以使用本文所述的主机信息剖析技术来实现策略施行。例如,这些功能中的一些能够以在通用处理器上执行的软件实现和/或这些功能中的一些能够使用用于网络业务的更快分组处理的硬件加速技术实现。
图2是图示根据一些实施例的恶意软件分析系统的架构的框图。如图2中所示,客户端设备204A、204B和204C经由安全设备202与因特网206进行通信。在一些实施例中,安全设备202包括防火墙212,如所示。在一些实施例中,客户端设备204A-204C中的一个或多个包括防火墙214(例如,基于主机的防火墙),如所示。在一些实施例中,安全设备202包括数据装置(例如,安全装置)、网关(例如,安全服务器)、服务器(例如,执行包括防火墙212的安全软件的服务器)和/或某其他安全设备,所述其他安全设备例如能够使用计算硬件、软件或其各种组合实现。在一些实施例中,防火墙212和/或防火墙214执行上文关于图1描述的一些或所有功能。例如,客户端设备204A-C能够包括能够经由有线和/或无线通信访问因特网的各种计算设备,诸如,有网络通信能力的计算机、膝上型电脑、平板电脑、智能电话和/或各种其他类型的计算设备)。同样如所示,服务器208A和208B与因特网进行通信。例如,客户端设备能够经由因特网来访问由服务器提供的服务,诸如web相关服务(例如,网站、基于云的服务、流传输服务或电子邮件服务)、对等相关服务(例如,文件共享)、IRC服务(例如,聊天服务)和/或能够经由因特网递送的任何其他服务。
同样如图2中所示,提供了虚拟机(VM)装置/服务器216。例如,VM装置/服务器216能够包括VMware®或XEN®虚拟机/虚拟化软件(例如,执行Microsoft Windows®或被监测的客户端设备OS作为客主机)以及对于合适性能或高性能的任何所需/所推荐的硬件和其他软件/平台需求。例如,对于用于执行虚拟机/虚拟化软件的计算需求来说,硬件需求通常更高,并且因而通过在另一个专用装置或服务器上提供VM功能,其他的安全装置/设备不需要这种硬件,并从而能够使用较低成本的硬件而提供。VM装置/服务器216与防火墙212进行通信。例如,防火墙212能够将对其来说没有预先存在的签名匹配的可能的恶意软件样本发送到VM装置/服务器216以用于使用本文所述的技术进一步分析。如果可能的恶意软件样本被确定为恶意软件,那么VM装置服务器216(例如,或另一个功能/设备)能够自动生成针对恶意软件的新签名,所述新签名然后能够被发送到防火墙212以用于更新防火墙212的签名/数据和/或规则/策略,使得恶意软件能够被检测到并且适当的动作能够被防火墙212采取(诸如,阻塞恶意软件)。因而,使用这些技术,甚至能够检测并阻塞零日攻击。在一些实施例中,虚拟机装置/服务器216与一个或多个客户端设备(例如,客户端204B的防火墙214)和/或安全云服务210进行通信,以及可能与其他功能进行通信。
在一些实施例中,VM装置/服务器216被实现在安全装置/网关/服务器202上或者被集成到安全装置/网关/服务器202中。在一些实施例中,VM装置/服务器216被实现在安全云服务210上或者被集成到安全云服务210中。
例如,安全设备202(例如,集成的安全装置/网关/服务器)能够与安全云服务210进行通信(例如,使用安全通信,诸如加密的通信技术)以接收安全相关的内容更新(例如,签名、启发法、应用ID相关信息、用户ID相关信息、内容ID相关信息、信任/不信任区域信息、和/或策略/规则)。作为另一个示例,安全设备202(例如,集成的安全装置/网关/服务器)能够与安全云服务210进行通信(例如,使用安全通信,诸如加密的通信技术)以提供被监测业务信息(例如,可能的恶意软件样本,诸如以这种被监测业务信息的子集的形式,诸如分组流的部分、被监测的URL/DNS信息、针对上载/下载/访问而请求的被监测的文件和/或其他信息,可能连同其他信息一起,诸如与业务流关联的用于客户端设备的内容信息以及可能地还有用户识别和/或应用识别信息),并且安全云服务210能够执行附加的实时和/或事后分析(例如,如本文关于各种实施例描述的用于检测恶意软件(包括新恶意软件威胁和零日攻击)的附加的启发法分析,和/或与针对安全云服务的其他客户而接收和分析的其他样本进行比较)。如现在将显而易见的是,上文关于图1描述的一些或所有功能能够被安全云服务协助或者整体或部分由安全云服务来实现。安全云服务能够允许通过执行这些功能中的一些来减少客户端设备(例如,204B)、安全设备202和/或VM装置/服务器216上的处理。安全云服务还能够通过已接收到信息的多得多的网络业务流(例如,包括网络业务行为和/或URL)来提供附加的基于启发法的分析和/或使用附加的信息,并能够聚合这种信息以提供用于可能(尚)未被安全设备202所知(例如,对于该安全设备202来说,签名尚不存在)的某些应用业务流和/或URL的更多信息。
在一些实施例中,使用本文所述的各种技术而自动生成的新签名被分发到各种其他安全功能/设备和/或服务,诸如基于主机的防火墙、安全装置、网络设备和/或安全云服务。在一些实施例中,用于检测对其来说预先存在的签名不存在的恶意软件的虚拟机(VM)功能被集成到安全装置、防火墙装置、网络/数据装置中和/或在主机设备(诸如安全服务器、网络服务器或网关、和/或客户端设备(例如,具有用于执行虚拟机的足够处理器和存储器的个人计算机、膝上型电脑、平板电脑和/或其他通用客户端设备))上被执行。在一些实施例中,用于检测对其来说预先存在的签名不存在的恶意软件的VM功能被提供为安全云服务。在一些实施例中,主机设备(诸如,客户端设备和/或服务,诸如网关或安全服务器)给VM功能/设备提供可能的恶意软件样本。
图3是根据一些实施例的恶意软件分析系统的数据装置的硬件组件的功能图。所示的示例是能够被包括在数据装置202(例如,数据装置或网关)中的物理组件的表示。具体地,数据装置202包括高性能多核CPU 302和RAM 304。数据装置202还包括存储装置310(例如,一个或多个硬盘或固态存储单元),所述存储装置被用于存储策略和其他配置信息以及预先存在的签名。数据装置202还能够包括一个或多个可选的硬件加速器。例如,数据装置202能够包括被配置成执行加密和解密操作的密码引擎306以及被配置成执行签名匹配、充当网络处理器和/或执行其他任务的一个或多个FPGA 308。
图4是根据一些实施例的恶意软件分析系统的数据装置的逻辑组件的功能图。所示的示例是能够被包括在数据装置202中的逻辑组件的表示。如所示,数据装置202包括管理平面403和数据平面404。在一些实施例中,管理平面负责管理用户交互,诸如通过提供用于配置策略和查看日志数据的用户接口。数据平面负责管理数据,诸如通过执行分组处理和会话处理。
假定客户端204A试图使用加密的会话协议(诸如,SSL)来访问服务器208B。网络处理器406被配置成从客户端204A接收分组,并将所述分组提供到数据平面404以供处理。流408将分组识别为新会话的一部分并创建新会话流。后续的分组将基于流查找而被识别为属于该会话。如果适用的话,SSL解密被SSL解密器410应用。否则,由SSL解密器410进行的处理被省略。应用识别模块412被配置成确定会话涉及何种类型的业务并识别与业务流关联的用户。例如,应用识别模块412能够辨认出接收到的数据中的GET(获取)请求并推断出会话需要HTTP解码器。对于每种类型的协议来说,存在对应的解码器414。在一些实施例中,应用识别由应用识别模块(例如,APP-ID引擎)执行,并且用户识别由另一个功能/引擎执行。基于由应用识别模块412做出的确定,将分组发送到适当的解码器414。解码器414被配置成将分组(例如,其可能是不按顺序接收的)组装成正确的顺序、执行令牌化(tokenization)、并提取出信息。解码器414还执行签名匹配以确定什么应该对分组发生。同样如所示,在管理平面402中接收并存储签名418。在一些实施例中,基于被监测、所识别出和所解码出的会话业务流,如本文关于各种实施例所述的那样应用使用签名的策略施行(例如,策略能够包括一个或多个规则,并且规则能够应用一个或多个签名)。在一些实施例中,解码器414还能够使用由管理平面402使用本文关于各种实施例所描述的各种技术而提供的签名418来施行策略416,所述签名418包括新生成的签名。
图5是根据一些实施例的恶意软件分析系统的流程图。在502处,从防火墙(例如,或另一个在线安全或网络设备/功能,诸如网络路由器或IDS/IPS功能/设备)接收可能的恶意软件样本。在504处,使用虚拟机来分析可能的恶意软件样本。
在506处,如果可能的恶意软件样本被确定为恶意软件,则自动生成新签名。在一些实施例中,新签名是新的基于文件的签名(例如,用于识别恶意软件文件的MD5基于散列的签名、来自基于用于识别恶意软件文件的文件类型的文件的报头信息的摘要(digest)、或者基于例如PDF文件的分析的基于启发法的文件签名生成技术,所述PDF文件包括可疑的JavaScript或者在PDF文件中附加新数据的最近添加的报头参考)。在一些实施例中,新签名是基于DNS的签名、基于URL的签名、基于IP的签名、基于协议的签名、基于端口的签名和/或其他类型的签名或其组合,其能够使用在线网络安全(例如,过滤或防火墙)技术而被有效地应用和施行。例如,能够针对被确定为包括恶意内容的PDF文件生成新签名。PDF文件能够被去混淆(de-obfuscate)(如果适当的话)并被解析。如果检测到包括脚本(例如,JavaScript)的PDF文件,则使用针对恶意JavaScript元素的恶意脚本检测引擎来对该PDF文件进行扫描。在一些情况下,能够使用在PDF文件的一个或多个脚本部分内识别出的模式来生成签名。如果未使用在PDF文件的一个或多个脚本部分内识别出的模式生成签名和/或不存在被包括在PDF文件中的脚本,那么能够使用与PDF文件的交叉引用表相关的PDF文件的部分来生成签名。然后能够使用所生成的签名来检测后续接收到的PDF文件是否包括恶意软件。
在508处,将新签名发送到防火墙。在一些实施例中,新签名被分发到其他安全功能/设备和/或安全云服务。
图6是根据一些实施例的恶意软件分析系统的另一个流程图。在602处,监测来自/去往客户端设备的网络业务流。在604处,对加密的网络业务流进行解密,并且如果预先存在的签名不匹配,则生成可能的恶意软件样本。在606处,将可能的恶意软件样本发送到恶意软件分析设备(例如,虚拟机(VM)装置或针对行为剖析分析而执行VM的服务器,如本文所述,使用用于恶意软件分析和检测的各种技术)。在608处,从恶意软件分析系统接收可能的恶意软件样本的分析结果。在610处,如果可能的恶意软件样本被确定为恶意软件,则自动生成新签名。在612处,基于新签名,针对网络访问/控制来施行安全策略(例如,安全策略能够包括可使用/应用新签名的各种防火墙规则或其他网络访问/控制规则)。
图7是根据一些实施例的恶意软件分析系统的另一个流程图。在702处,使用虚拟机(例如由安全/防火墙装置/设备/服务器执行)来分析可能的恶意软件样本。在704处,如果可能的恶意软件样本被确定为恶意软件,则自动生成新签名。在706处,添加新防火墙规则,其中该新防火墙规则基于或使用新签名。在708处,使用新签名来施行新防火墙规则。
在实施例中,各种启发法技术由恶意软件分析系统执行,所述恶意软件分析系统使用VM来模拟文件或网站内容的行为和/或用于在VM环境的受控/安全沙盒环境中分析可能的恶意软件样本的其他行为。例如,用于识别通常与恶意软件关联的可能可疑的行为的行为剖析技术能够包括以编程方式对安全应用/平台设置做出改变(例如,对Windows过滤平台(WFP)设置的改变、对Internet Explorer(IE)浏览器设置的改变、对自动启动注册的改变和/或对安装驱动器的改变)。下文关于图8、9和10来讨论用于恶意软件分析和识别的各种其他启发法技术。
图8是根据一些实施例的恶意软件分析系统的另一个流程图。在802处,执行监测在网络业务中指示的行为以识别恶意软件或可能的恶意软件(例如,使用VM来模拟和/或监测可能的恶意软件样本的行为)。在804处,执行监测在网络业务中指示的对于连接到用于HTTP业务的非标准HTTP端口的行为(例如,使用除用于HTTP业务的端口80外的端口)。在806处,执行监测在网络业务中指示的对于拜访不存在的域的行为。在808处,执行监测在网络业务中指示的对于下载具有非标准可执行文件扩展名(extension)的可执行文件的行为(例如,具有与常用“.exe”文件扩展名不同的文件扩展名的可执行文件)。在810处,执行监测在网络业务中指示的对于执行对电子邮件服务器的DNS查询的行为。在812处,执行监测在网络业务中指示的对于使用具有比常用长度更短的长度的HTTP报头进行通信的行为。例如,阈值能够被设置在3个HTTP报头字段处,这能够由下述示例触发:其中,存在仅两个HTTP报头字段“User-agent(用户代理)”和“host(主机)”:
GET/xin.rar HTTP/1.1
User-Agent: RookIE/1.0
Host: www.wc86.com。
在814处,执行监测在网络业务中指示的对于使用HTTP业务中的post(投递)方法进行通信的行为。在816处,执行监测在网络业务中指示的对于通过HTTP端口传送未分类业务(例如,未知的应用业务)的行为。在一些实施例中,能够针对网络业务行为监测执行各种其他启发法以用于识别可能的恶意软件。例如,能够监测网络业务以识别连接到用于IRC业务(例如,使用端口80的IRC协议业务,所述端口80通常仅被HTTP协议业务所使用)的非标准IRC端口的行为。作为另一个示例,还执行了监测在网络业务中指示的对于使用入侵防御系统规避技术进行通信的行为。作为示例,在HTTP post请求中,假定串“POST”是通过三个IP分组来发送的。第一分组是单个字符“P”,第二个是复写的“P”,并且第三个分组是“ost”。该技术将规避不重新组装TCP分组的任何防火墙/IPS功能,但是使用本文所述的技术(包括TCP分组的重新组装),这种类型的行为能够被检测到。在818处,执行将被监测且被分类的网络业务行为进行相关,并且基于被监测/分类的可疑行为来计算得分(例如,严重性得分和恶意软件得分)。
图9是根据一些实施例的恶意软件分析系统的另一个流程图。在902处,执行监测在网络业务中指示的行为以识别恶意软件(例如,使用VM来模拟和/或监测可能的恶意软件样本的行为)。在904处,执行监测在网络业务中指示的对于拜访具有比常用域名长度更长的域名的域的行为(例如,已知的恶意软件拜访域2.0.0.805.784286832.1595022578.128.4096.014a0d3f846ea4af889dd9d8bc8aa80bc65807eadd2dbb27f1.twothousands.com,其中阈值长度是90)。在906处,执行监测在网络业务中指示的对于拜访动态DNS域的行为。在908处,执行监测在网络业务中指示的对于拜访快速变动(fast-flux)域的行为。在910处,执行监测在网络业务中指示的对于拜访最近创建的域的行为。在912处,执行将被监测且被分类的网络业务行为进行相关,并且基于被监测/分类的可疑行为来计算得分(例如,严重性得分或恶意软件得分)。
图10是根据一些实施例的恶意软件分析系统的另一个流程图。在1002处,执行监测被拜访域相关行为以识别恶意的域(例如,使用VM来模拟和/或监测可能的恶意软件样本的行为)。在1004处,执行针对被拜访域的域名长度监测被拜访域相关行为。在1006处,执行针对被拜访域是否是动态DNS域监测被拜访域相关行为。在1008处,执行针对被拜访域是否是快速变动域监测被拜访域相关行为。在1010处,执行针对被拜访域是否是最近创建的域监测被拜访域相关行为。在1012处,执行将被监测且被分类的网络业务行为进行相关,并且基于被监测/分类的可疑行为来计算得分(例如,严重性得分或恶意软件得分)。
如现在将显而易见的是,能够使用根据本文所述的各种实施例的恶意软件分析系统来应用各种其他的基于启发法的恶意软件检测技术。此外,能够使用本文所述的各种技术来应用各种系统和网络架构。例如,如本文所述的用于恶意软件分析的各种技术能够被实现在集成的安全装置中,所述安全装置提供在线过滤功能并且还执行虚拟机分析技术,如本文所述。作为另一个示例,能够使用另一个装置或计算机服务器来实现虚拟机功能,所述另一个装置或计算机服务器能够将恶意软件分析结果(例如,新签名和/或便于另一个功能生成新签名的恶意软件分析结果)传送到各种其他安全功能(例如,安全装置、网络装置和/或基于主机的安全软件)。作为又一个示例,虚拟机功能能够使用安全云服务实现或者被安全云服务协助(例如,用于使用日志信息来执行某些事后分析技术,如本文所述),所述安全云服务能够将恶意软件分析结果(例如,新签名和/或便于另一个功能生成新签名的恶意软件分析结果)传送到各种其他安全功能(例如,安全装置、网络装置和/或基于主机的安全软件)和/或生成新的安全更新(例如,将(一个或多个)新签名推送到各种安全设备/软件,所述安全设备/软件订阅来自安全云服务供应商的签名更新)。
尽管已经出于理解清楚的目的而详细地描述前述实施例,但是本发明不限制于所提供的细节。存在实现本发明的许多可替代的方式。所公开的实施例是说明性而非限制性的。
Claims (19)
1.一种系统,包括:
包括被配置成执行防火墙的第一处理器的第一设备,以及包括被配置成执行虚拟机的第二处理器的第二设备,
其中使用所述第一设备的所述第一处理器执行所述防火墙包括:
使用所述防火墙来从网络业务流的至少部分生成可能的恶意软件样本;
确定所述可能的恶意软件样本不匹配于预先存在的签名;以及
将所述可能的恶意软件样本从所述防火墙发送到所述虚拟机;以及
其中使用所述第二设备的所述第二处理器执行所述虚拟机包括:
在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件;
响应于确定所述可能的恶意软件样本被确定为恶意软件,使用所述虚拟机来自动生成签名;以及
将所述签名从所述虚拟机发送到所述防火墙,其中所述防火墙被配置成至少部分地基于所述签名来施行用于网络访问的安全策略。
2.根据权利要求1所述的系统,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括:识别对安全应用设置和平台设置中的至少一个做出的编程改变。
3.根据权利要求1所述的系统,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括识别以下行为中的一个或多个:连接到用于HTTP业务的非标准HTTP端口;拜访不存在的域;下载具有非标准可执行文件扩展名的可执行文件;执行对电子邮件服务器的DNS查询;使用具有比常用长度更短的长度的HTTP报头进行通信;使用HTTP业务中的投递方法进行通信;连接到用于IRC业务的非标准IRC端口;使用入侵防御系统规避技术进行通信;以及通过HTTP端口传送未分类业务。
4.根据权利要求1所述的系统,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括识别以下行为中的一个或多个:拜访具有比常用域名长度更长的域名的域;拜访动态DNS域;拜访快速变动域;以及拜访最近创建的域。
5.根据权利要求1所述的系统,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括识别恶意的域,其中被监测的被拜访域基于下述各项中的一个或多个来指示可能恶意的域:被拜访域的超过阈值的域名长度;被拜访域是动态DNS域;被拜访域是快速变动域;以及被拜访域是最近创建的域。
6.根据权利要求1所述的系统,其中使用所述第一设备的所述第一处理器执行所述防火墙进一步包括:
将与所述可能的恶意软件样本相关的日志信息发送到所述虚拟机,其中所述日志信息包括下述各项中的一个或多个:会话信息、应用识别信息、URL类别信息、和脆弱性警报信息。
7.根据权利要求1所述的系统,其中所述签名包括下述各项中的一个或多个:MD5基于散列的签名、来自基于文件类型的文件的报头信息的摘要、和基于启发法的文件签名。
8.根据权利要求1所述的系统,其中所述签名包括下述各项中的一个或多个:基于DNS的签名、基于URL的签名、基于IP的签名、基于协议的签名、和基于端口的签名。
9.根据权利要求1所述的系统,其中所述网络业务流包括PDF文件,并且其中所述签名是至少部分地基于所述PDF文件中包括的一个或多个脚本来生成的。
10.根据权利要求1所述的系统,其中所述网络业务流包括PDF文件,并且其中所述签名是至少部分地基于所述PDF文件中包括的交叉引用表来生成的。
11.根据权利要求1所述的系统,其中使用所述防火墙来从所述网络业务流的所述至少部分生成所述可能的恶意软件样本包括:对所述网络业务流进行解密。
12.根据权利要求1所述的系统,其中使用所述第二设备的所述第二处理器执行所述虚拟机进一步包括:将所述签名从所述虚拟机发送到除所述第一设备外的一个或多个安全设备。
13.一种方法,包括:
使用防火墙来从网络业务流的至少部分生成可能的恶意软件样本,其中所述防火墙由第一设备执行;
使用所述防火墙来确定所述可能的恶意软件样本不匹配于预先存在的签名;
将所述可能的恶意软件样本从所述防火墙发送到虚拟机,其中所述虚拟机由第二设备执行;
在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件;
响应于确定所述可能的恶意软件样本被确定为恶意软件,使用所述虚拟机来自动生成签名;以及
将所述签名从所述虚拟机发送到所述防火墙,其中所述防火墙被配置成至少部分地基于所述签名来施行用于网络访问的安全策略。
14.根据权利要求13所述的方法,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括:识别对安全应用设置和平台设置中的至少一个做出的编程改变。
15.根据权利要求13所述的方法,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括识别以下行为中的一个或多个:连接到用于HTTP业务的非标准HTTP端口;拜访不存在的域;下载具有非标准可执行文件扩展名的可执行文件;执行对电子邮件服务器的DNS查询;使用具有比常用长度更短的长度的HTTP报头进行通信;使用HTTP业务中的投递方法进行通信;连接到用于IRC业务的非标准IRC端口;使用入侵防御系统规避技术进行通信;以及通过HTTP端口传送未分类业务。
16.根据权利要求13所述的方法,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括识别以下行为中的一个或多个:拜访具有比常用域名长度更长的域名的域;拜访动态DNS域;拜访快速变动域;以及拜访最近创建的域。
17.根据权利要求13所述的方法,其中在模拟期间使用所述虚拟机来监测所述可能的恶意软件样本的行为以识别恶意软件包括识别恶意的域,其中被监测的被拜访域基于下述各项中的一个或多个来指示可能恶意的域:被拜访域的超过阈值的域名长度;被拜访域是动态DNS域;被拜访域是快速变动域;以及被拜访域是最近创建的域。
18.根据权利要求13所述的方法,进一步包括:
将与所述可能的恶意软件样本相关的日志信息发送到所述虚拟机,其中所述日志信息包括下述各项中的一个或多个:会话信息、应用识别信息、URL类别信息、和脆弱性警报信息。
19.根据权利要求13所述的方法,其中使用所述防火墙来从所述网络业务流的所述至少部分生成所述可能的恶意软件样本包括:对所述网络业务流进行解密。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/115032 | 2011-05-24 | ||
US13/115,032 US9047441B2 (en) | 2011-05-24 | 2011-05-24 | Malware analysis system |
CN201280036352.1A CN103842965B (zh) | 2011-05-24 | 2012-05-17 | 恶意软件分析系统 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280036352.1A Division CN103842965B (zh) | 2011-05-24 | 2012-05-17 | 恶意软件分析系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107526965A true CN107526965A (zh) | 2017-12-29 |
Family
ID=47217632
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710778943.0A Pending CN107526965A (zh) | 2011-05-24 | 2012-05-17 | 恶意软件分析系统 |
CN201280036352.1A Active CN103842965B (zh) | 2011-05-24 | 2012-05-17 | 恶意软件分析系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280036352.1A Active CN103842965B (zh) | 2011-05-24 | 2012-05-17 | 恶意软件分析系统 |
Country Status (8)
Country | Link |
---|---|
US (2) | US9047441B2 (zh) |
EP (1) | EP2715540B1 (zh) |
JP (2) | JP2014519113A (zh) |
CN (2) | CN107526965A (zh) |
AU (1) | AU2012259113B2 (zh) |
CA (1) | CA2835954C (zh) |
IL (2) | IL229531A (zh) |
WO (1) | WO2012162102A1 (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112005234A (zh) * | 2018-01-31 | 2020-11-27 | 帕洛阿尔托网络公司 | 恶意软件检测的上下文剖析 |
CN115412472A (zh) * | 2022-08-30 | 2022-11-29 | 中国联合网络通信集团有限公司 | 网络故障的排查方法、装置及设备 |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
CN115412472B (zh) * | 2022-08-30 | 2024-04-30 | 中国联合网络通信集团有限公司 | 网络故障的排查方法、装置及设备 |
Families Citing this family (317)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8515912B2 (en) | 2010-07-15 | 2013-08-20 | Palantir Technologies, Inc. | Sharing and deconflicting data changes in a multimaster database system |
US8856782B2 (en) | 2007-03-01 | 2014-10-07 | George Mason Research Foundation, Inc. | On-demand disposable virtual work system |
US9264441B2 (en) * | 2008-03-24 | 2016-02-16 | Hewlett Packard Enterprise Development Lp | System and method for securing a network from zero-day vulnerability exploits |
US9609015B2 (en) | 2008-05-28 | 2017-03-28 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
US9152789B2 (en) | 2008-05-28 | 2015-10-06 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
US9098698B2 (en) | 2008-09-12 | 2015-08-04 | George Mason Research Foundation, Inc. | Methods and apparatus for application isolation |
US10747952B2 (en) | 2008-09-15 | 2020-08-18 | Palantir Technologies, Inc. | Automatic creation and server push of multiple distinct drafts |
US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US8832835B1 (en) * | 2010-10-28 | 2014-09-09 | Symantec Corporation | Detecting and remediating malware dropped by files |
WO2011113386A2 (zh) * | 2011-04-26 | 2011-09-22 | 华为技术有限公司 | 网络流量模拟方法及装置 |
US8997220B2 (en) * | 2011-05-26 | 2015-03-31 | Microsoft Technology Licensing, Llc | Automatic detection of search results poisoning attacks |
US9547693B1 (en) | 2011-06-23 | 2017-01-17 | Palantir Technologies Inc. | Periodic database search manager for multiple data sources |
US10742591B2 (en) * | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
US11201848B2 (en) | 2011-07-06 | 2021-12-14 | Akamai Technologies, Inc. | DNS-based ranking of domain names |
US9843601B2 (en) | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US8843915B2 (en) * | 2011-07-28 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Signature-based update management |
US8887263B2 (en) * | 2011-09-08 | 2014-11-11 | Mcafee, Inc. | Authentication sharing in a firewall cluster |
US8516586B1 (en) * | 2011-09-20 | 2013-08-20 | Trend Micro Incorporated | Classification of unknown computer network traffic |
US10025928B2 (en) * | 2011-10-03 | 2018-07-17 | Webroot Inc. | Proactive browser content analysis |
US9215245B1 (en) * | 2011-11-10 | 2015-12-15 | Google Inc. | Exploration system and method for analyzing behavior of binary executable programs |
US9081959B2 (en) * | 2011-12-02 | 2015-07-14 | Invincea, Inc. | Methods and apparatus for control and detection of malicious content using a sandbox environment |
US9661016B2 (en) * | 2011-12-06 | 2017-05-23 | Avocent Huntsville Corp. | Data center infrastructure management system incorporating security for managed infrastructure devices |
US9213837B2 (en) * | 2011-12-06 | 2015-12-15 | Raytheon Cyber Products, Llc | System and method for detecting malware in documents |
KR101296716B1 (ko) * | 2011-12-14 | 2013-08-20 | 한국인터넷진흥원 | 피디에프 문서형 악성코드 탐지 시스템 및 방법 |
US9367687B1 (en) * | 2011-12-22 | 2016-06-14 | Emc Corporation | Method for malware detection using deep inspection and data discovery agents |
US8949982B2 (en) * | 2011-12-30 | 2015-02-03 | Verisign, Inc. | Method for administering a top-level domain |
US9053348B2 (en) * | 2012-03-26 | 2015-06-09 | Microsoft Technology Licensing, Llc | Secure cloud computing platform |
IL219499B (en) * | 2012-04-30 | 2019-02-28 | Verint Systems Ltd | A system and method for detecting malicious software |
US9548962B2 (en) * | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
US8925074B1 (en) * | 2012-05-22 | 2014-12-30 | Trend Micro Incorporated | Methods and apparatus for detecting abnormal computer files |
CN102694820B (zh) * | 2012-06-13 | 2015-01-21 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
US9027138B2 (en) * | 2012-06-29 | 2015-05-05 | Centurylink Intellectual Property Llc | Identification of infected devices in broadband environments |
US10332005B1 (en) * | 2012-09-25 | 2019-06-25 | Narus, Inc. | System and method for extracting signatures from controlled execution of applications and using them on traffic traces |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9081975B2 (en) | 2012-10-22 | 2015-07-14 | Palantir Technologies, Inc. | Sharing information between nexuses that use different classification schemes for information access control |
CN103810424B (zh) * | 2012-11-05 | 2017-02-08 | 腾讯科技(深圳)有限公司 | 一种异常应用程序的识别方法及装置 |
US9501761B2 (en) | 2012-11-05 | 2016-11-22 | Palantir Technologies, Inc. | System and method for sharing investigation results |
IL224482B (en) | 2013-01-29 | 2018-08-30 | Verint Systems Ltd | System and method for keyword spotting using representative dictionary |
US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
US8935782B2 (en) * | 2013-02-04 | 2015-01-13 | International Business Machines Corporation | Malware detection via network information flow theories |
US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
AU2014213584B2 (en) | 2013-02-10 | 2018-01-18 | Paypal, Inc. | Method and product for providing a predictive security product and evaluating existing security products |
US10152591B2 (en) | 2013-02-10 | 2018-12-11 | Paypal, Inc. | Protecting against malware variants using reconstructed code of malware |
US9930066B2 (en) | 2013-02-12 | 2018-03-27 | Nicira, Inc. | Infrastructure level LAN security |
CN103150506B (zh) * | 2013-02-17 | 2016-03-30 | 北京奇虎科技有限公司 | 一种恶意程序检测的方法和装置 |
US9239922B1 (en) * | 2013-03-11 | 2016-01-19 | Trend Micro Inc. | Document exploit detection using baseline comparison |
KR101400680B1 (ko) * | 2013-03-12 | 2014-05-29 | 주식회사 윈스 | 악성코드 자동 수집 시스템 |
US9965937B2 (en) | 2013-03-15 | 2018-05-08 | Palantir Technologies Inc. | External malware data item clustering and analysis |
US8818892B1 (en) | 2013-03-15 | 2014-08-26 | Palantir Technologies, Inc. | Prioritizing data clusters with customizable scoring strategies |
CN104123494B (zh) * | 2013-04-24 | 2017-12-29 | 贝壳网际(北京)安全技术有限公司 | 恶意软件动态行为分析系统的预警方法及装置 |
IL226747B (en) | 2013-06-04 | 2019-01-31 | Verint Systems Ltd | A system and method for studying malware detection |
WO2015099635A2 (en) | 2013-06-20 | 2015-07-02 | Hewlett-Packard Development Company, L.P. | Resource classification using resource requests |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9852290B1 (en) | 2013-07-12 | 2017-12-26 | The Boeing Company | Systems and methods of analyzing a software component |
US9280369B1 (en) * | 2013-07-12 | 2016-03-08 | The Boeing Company | Systems and methods of analyzing a software component |
US9336025B2 (en) | 2013-07-12 | 2016-05-10 | The Boeing Company | Systems and methods of analyzing a software component |
US9396082B2 (en) | 2013-07-12 | 2016-07-19 | The Boeing Company | Systems and methods of analyzing a software component |
US9461967B2 (en) | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
CN103414758B (zh) * | 2013-07-19 | 2017-04-05 | 北京奇虎科技有限公司 | 日志处理方法及装置 |
CN105431859A (zh) | 2013-07-31 | 2016-03-23 | 惠普发展公司,有限责任合伙企业 | 指示恶意软件的信号标记 |
US9335897B2 (en) | 2013-08-08 | 2016-05-10 | Palantir Technologies Inc. | Long click display of a context menu |
US9565152B2 (en) | 2013-08-08 | 2017-02-07 | Palantir Technologies Inc. | Cable reader labeling |
US8959643B1 (en) * | 2013-08-09 | 2015-02-17 | Narus, Inc. | Detecting malware infestations in large-scale networks |
US9058488B2 (en) | 2013-08-14 | 2015-06-16 | Bank Of America Corporation | Malware detection and computer monitoring methods |
US9185128B2 (en) * | 2013-08-30 | 2015-11-10 | Bank Of America Corporation | Malware analysis methods and systems |
US10084817B2 (en) * | 2013-09-11 | 2018-09-25 | NSS Labs, Inc. | Malware and exploit campaign detection system and method |
US20150089655A1 (en) * | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
US9690936B1 (en) * | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9563672B2 (en) | 2013-09-30 | 2017-02-07 | Verisign, Inc. | NXD query monitor |
US9479521B2 (en) | 2013-09-30 | 2016-10-25 | The Boeing Company | Software network behavior analysis and identification system |
US9460405B2 (en) * | 2013-10-03 | 2016-10-04 | Paypal, Inc. | Systems and methods for cloud data loss prevention integration |
US9386103B2 (en) | 2013-10-04 | 2016-07-05 | Breakingpoint Systems, Inc. | Application identification and dynamic signature generation for managing network communications |
US9116975B2 (en) | 2013-10-18 | 2015-08-25 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores |
CN103581185B (zh) | 2013-11-01 | 2016-12-07 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
CN104380686B (zh) * | 2013-11-07 | 2018-08-21 | 华为技术有限公司 | 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器 |
US9355246B1 (en) * | 2013-12-05 | 2016-05-31 | Trend Micro Inc. | Tuning sandbox behavior based on static characteristics of malware |
US10579647B1 (en) | 2013-12-16 | 2020-03-03 | Palantir Technologies Inc. | Methods and systems for analyzing entity performance |
JP6329267B2 (ja) * | 2013-12-20 | 2018-05-23 | マカフィー, エルエルシー | インテリジェントファイアウォールアクセスルール |
US9756074B2 (en) * | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US20150188893A1 (en) * | 2013-12-30 | 2015-07-02 | Arun Sood | Secure Gateway |
US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
US9740759B1 (en) * | 2014-01-24 | 2017-08-22 | EMC IP Holding Company LLC | Cloud migrator |
US9363282B1 (en) * | 2014-01-28 | 2016-06-07 | Infoblox Inc. | Platforms for implementing an analytics framework for DNS security |
US10469510B2 (en) * | 2014-01-31 | 2019-11-05 | Juniper Networks, Inc. | Intermediate responses for non-html downloads |
US9009827B1 (en) | 2014-02-20 | 2015-04-14 | Palantir Technologies Inc. | Security sharing system |
US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
US10360271B2 (en) | 2014-02-25 | 2019-07-23 | Sap Se | Mining security vulnerabilities available from social media |
US9241010B1 (en) * | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US9591015B1 (en) * | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
CN103942076B (zh) * | 2014-04-11 | 2017-05-24 | 珠海市君天电子科技有限公司 | 积分墙信息的获取方法及装置 |
KR101535502B1 (ko) * | 2014-04-22 | 2015-07-09 | 한국인터넷진흥원 | 보안 내재형 가상 네트워크 제어 시스템 및 방법 |
US10122753B2 (en) * | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
KR101534566B1 (ko) * | 2014-05-09 | 2015-07-24 | 한국전자통신연구원 | 클라우드 가상 데스크탑 보안 통제 장치 및 방법 |
WO2015195093A1 (en) | 2014-06-17 | 2015-12-23 | Hewlett-Packard Development Company, L. P. | Dns based infection scores |
KR101624326B1 (ko) | 2014-06-24 | 2016-05-26 | 주식회사 안랩 | 악성 파일 진단 시스템 및 악성 파일 진단 방법 |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9619557B2 (en) | 2014-06-30 | 2017-04-11 | Palantir Technologies, Inc. | Systems and methods for key phrase characterization of documents |
US9613218B2 (en) | 2014-06-30 | 2017-04-04 | Nicira, Inc. | Encryption system in a virtualized environment |
US9535974B1 (en) | 2014-06-30 | 2017-01-03 | Palantir Technologies Inc. | Systems and methods for identifying key phrase clusters within documents |
US9202249B1 (en) | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
US9785773B2 (en) * | 2014-07-03 | 2017-10-10 | Palantir Technologies Inc. | Malware data item analysis |
US9021260B1 (en) * | 2014-07-03 | 2015-04-28 | Palantir Technologies Inc. | Malware data item analysis |
CN104091124A (zh) * | 2014-07-03 | 2014-10-08 | 利诚服装集团股份有限公司 | 一种数据安全处理方法 |
US10572496B1 (en) | 2014-07-03 | 2020-02-25 | Palantir Technologies Inc. | Distributed workflow system and database with access controls for city resiliency |
US10719585B2 (en) * | 2014-07-08 | 2020-07-21 | Hewlett-Packard Development Company, L.P. | Composite document access |
US9659176B1 (en) * | 2014-07-17 | 2017-05-23 | Symantec Corporation | Systems and methods for generating repair scripts that facilitate remediation of malware side-effects |
US10652263B2 (en) * | 2014-07-21 | 2020-05-12 | David Paul Heilig | Identifying malware-infected network devices through traffic monitoring |
US9596266B1 (en) * | 2014-07-23 | 2017-03-14 | Lookingglass Cyber Solutions, Inc. | Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism |
IL233776B (en) | 2014-07-24 | 2019-02-28 | Verint Systems Ltd | A system and method for adjusting domains |
US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
US9332023B1 (en) * | 2014-08-25 | 2016-05-03 | Symantec Corporation | Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats |
US9454281B2 (en) | 2014-09-03 | 2016-09-27 | Palantir Technologies Inc. | System for providing dynamic linked panels in user interface |
US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
US9860208B1 (en) | 2014-09-30 | 2018-01-02 | Palo Alto Networks, Inc. | Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network |
US9882929B1 (en) | 2014-09-30 | 2018-01-30 | Palo Alto Networks, Inc. | Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network |
US9716727B1 (en) | 2014-09-30 | 2017-07-25 | Palo Alto Networks, Inc. | Generating a honey network configuration to emulate a target network environment |
US10044675B1 (en) | 2014-09-30 | 2018-08-07 | Palo Alto Networks, Inc. | Integrating a honey network with a target network to counter IP and peer-checking evasion techniques |
US9501851B2 (en) | 2014-10-03 | 2016-11-22 | Palantir Technologies Inc. | Time-series analysis system |
US9767172B2 (en) | 2014-10-03 | 2017-09-19 | Palantir Technologies Inc. | Data aggregation and analysis system |
US9984133B2 (en) | 2014-10-16 | 2018-05-29 | Palantir Technologies Inc. | Schematic and database linking system |
US20160164886A1 (en) * | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
US9413774B1 (en) * | 2014-10-27 | 2016-08-09 | Palo Alto Networks, Inc. | Dynamic malware analysis of a URL using a browser executed in an instrumented virtual machine environment |
US9043894B1 (en) | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
IN2014MU04068A (zh) | 2014-12-18 | 2015-06-05 | Cyberoam Technologies Pvt Ltd | |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US9348920B1 (en) | 2014-12-22 | 2016-05-24 | Palantir Technologies Inc. | Concept indexing among database of documents using machine learning techniques |
US10552994B2 (en) | 2014-12-22 | 2020-02-04 | Palantir Technologies Inc. | Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items |
US9367872B1 (en) | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
US10075455B2 (en) * | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
US9817563B1 (en) | 2014-12-29 | 2017-11-14 | Palantir Technologies Inc. | System and method of generating data points from one or more data stores of data items for chart creation and manipulation |
US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
US9335911B1 (en) | 2014-12-29 | 2016-05-10 | Palantir Technologies Inc. | Interactive user interface for dynamic data analysis exploration and query processing |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
WO2016121255A1 (ja) * | 2015-01-28 | 2016-08-04 | 日本電信電話株式会社 | マルウェア解析システム、マルウェア解析方法およびマルウェア解析プログラム |
US10560842B2 (en) | 2015-01-28 | 2020-02-11 | Verint Systems Ltd. | System and method for combined network-side and off-air monitoring of wireless networks |
JP6717206B2 (ja) | 2015-01-29 | 2020-07-01 | 日本電気株式会社 | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム |
TWI553502B (zh) * | 2015-03-05 | 2016-10-11 | 緯創資通股份有限公司 | 用於應用程式層之防火牆裝置的保護方法與其電腦系統 |
US10116688B1 (en) | 2015-03-24 | 2018-10-30 | Symantec Corporation | Systems and methods for detecting potentially malicious files |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
IL238001B (en) | 2015-03-29 | 2020-05-31 | Verint Systems Ltd | System and method for identifying communication conversation participants based on communication traffic patterns |
US9798878B1 (en) | 2015-03-31 | 2017-10-24 | Symantec Corporation | Systems and methods for detecting text display manipulation attacks |
US9781131B2 (en) * | 2015-04-22 | 2017-10-03 | Aktiebolaget Skf | Systems and methods for securing remote configuration |
WO2016169623A1 (en) * | 2015-04-24 | 2016-10-27 | Nokia Solutions And Networks Oy | Mitigation of malicious software in a mobile communications network |
WO2016186902A1 (en) * | 2015-05-20 | 2016-11-24 | Alibaba Group Holding Limited | Detecting malicious files |
CN106295328B (zh) | 2015-05-20 | 2019-06-18 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
US11363035B2 (en) * | 2015-05-22 | 2022-06-14 | Fisher-Rosemount Systems, Inc. | Configurable robustness agent in a plant security system |
US10193867B2 (en) * | 2015-05-27 | 2019-01-29 | Ping Identity Corporation | Methods and systems for API proxy based adaptive security |
JP2016224506A (ja) * | 2015-05-27 | 2016-12-28 | 西日本電信電話株式会社 | 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム |
US9703956B1 (en) * | 2015-06-08 | 2017-07-11 | Symantec Corporation | Systems and methods for categorizing virtual-machine-aware applications for further analysis |
US10176438B2 (en) * | 2015-06-19 | 2019-01-08 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and methods for data driven malware task identification |
US9407652B1 (en) | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
RU2618947C2 (ru) * | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
US9697361B2 (en) * | 2015-07-06 | 2017-07-04 | AO Kaspersky Lab | System and method of controlling opening of files by vulnerable applications |
US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
CN106341377A (zh) * | 2015-07-15 | 2017-01-18 | 威海捷讯通信技术有限公司 | 一种Web服务器免受攻击的方法及装置 |
US10607011B1 (en) * | 2015-07-21 | 2020-03-31 | Fatih Orhan | Method to detect zero-day malware applications using dynamic behaviors |
US9705909B2 (en) * | 2015-07-29 | 2017-07-11 | Verizon Digital Media Services Inc. | Automatic detection and mitigation of security weaknesses with a self-configuring firewall |
US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
US10489391B1 (en) | 2015-08-17 | 2019-11-26 | Palantir Technologies Inc. | Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface |
US9537880B1 (en) | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
US10102369B2 (en) | 2015-08-19 | 2018-10-16 | Palantir Technologies Inc. | Checkout system executable code monitoring, and user account compromise determination system |
US10127385B2 (en) | 2015-09-02 | 2018-11-13 | Sap Se | Automated security vulnerability exploit tracking on social media |
US9749294B1 (en) | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
US9742796B1 (en) | 2015-09-18 | 2017-08-22 | Palo Alto Networks, Inc. | Automatic repair of corrupt files for a detonation engine |
US9853940B2 (en) | 2015-09-24 | 2017-12-26 | Microsoft Technology Licensing, Llc | Passive web application firewall |
US10277612B2 (en) * | 2015-09-28 | 2019-04-30 | International Business Machines Corporation | Autonomic exclusion in a tiered delivery network |
US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
US9811686B1 (en) * | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
US10044745B1 (en) | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
IL242219B (en) | 2015-10-22 | 2020-11-30 | Verint Systems Ltd | System and method for keyword searching using both static and dynamic dictionaries |
IL242218B (en) | 2015-10-22 | 2020-11-30 | Verint Systems Ltd | A system and method for maintaining a dynamic dictionary |
US10963565B1 (en) * | 2015-10-29 | 2021-03-30 | Palo Alto Networks, Inc. | Integrated application analysis and endpoint protection |
US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
US9819696B2 (en) * | 2015-11-04 | 2017-11-14 | Bitdefender IPR Management Ltd. | Systems and methods for detecting domain generation algorithm (DGA) malware |
US10015192B1 (en) * | 2015-11-06 | 2018-07-03 | Cisco Technology, Inc. | Sample selection for data analysis for use in malware detection |
CN108369542A (zh) * | 2015-11-09 | 2018-08-03 | 西普霍特公司 | 用于检测横向运动和数据泄漏的系统和方法 |
US11159486B2 (en) | 2015-11-17 | 2021-10-26 | Zscaler, Inc. | Stream scanner for identifying signature matches |
US11277383B2 (en) | 2015-11-17 | 2022-03-15 | Zscaler, Inc. | Cloud-based intrusion prevention system |
US10594656B2 (en) | 2015-11-17 | 2020-03-17 | Zscaler, Inc. | Multi-tenant cloud-based firewall systems and methods |
JP6919570B2 (ja) | 2015-11-30 | 2021-08-18 | 日本電気株式会社 | ソフトウェア解析装置、ソフトウェア解析方法、及び、ソフトウェア解析プログラム |
US9760556B1 (en) | 2015-12-11 | 2017-09-12 | Palantir Technologies Inc. | Systems and methods for annotating and linking electronic documents |
US9916465B1 (en) | 2015-12-29 | 2018-03-13 | Palantir Technologies Inc. | Systems and methods for automatic and customizable data minimization of electronic data stores |
US10089289B2 (en) | 2015-12-29 | 2018-10-02 | Palantir Technologies Inc. | Real-time document annotation |
US9996236B1 (en) | 2015-12-29 | 2018-06-12 | Palantir Technologies Inc. | Simplified frontend processing and visualization of large datasets |
US9992217B2 (en) * | 2015-12-31 | 2018-06-05 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for detecting malicious network traffic |
CN105511944B (zh) * | 2016-01-07 | 2018-09-28 | 上海海事大学 | 一种云系统内部虚拟机的异常检测方法 |
CN108886515B (zh) | 2016-01-08 | 2021-06-15 | 百通股份有限公司 | 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 |
US10237286B2 (en) * | 2016-01-29 | 2019-03-19 | Zscaler, Inc. | Content delivery network protection from malware and data leakage |
US9928363B2 (en) | 2016-02-26 | 2018-03-27 | Cylance Inc. | Isolating data for analysis to avoid malicious attacks |
US10200389B2 (en) * | 2016-02-29 | 2019-02-05 | Palo Alto Networks, Inc. | Malware analysis platform for threat intelligence made actionable |
DE112017001052T5 (de) | 2016-02-29 | 2018-11-29 | Panasonic Intellectual Property Management Co., Ltd. | Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung |
US10230749B1 (en) * | 2016-02-29 | 2019-03-12 | Palo Alto Networks, Inc. | Automatically grouping malware based on artifacts |
US10333948B2 (en) * | 2016-02-29 | 2019-06-25 | Palo Alto Networks, Inc. | Alerting and tagging using a malware analysis platform for threat intelligence made actionable |
US10200390B2 (en) * | 2016-02-29 | 2019-02-05 | Palo Alto Networks, Inc. | Automatically determining whether malware samples are similar |
US9984234B2 (en) * | 2016-03-11 | 2018-05-29 | Hrb Innovations, Inc. | Secure document importation via portable media |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
CN107306255A (zh) * | 2016-04-21 | 2017-10-31 | 阿里巴巴集团控股有限公司 | 防御流量攻击方法、预设列表生成方法、装置及清洗设备 |
IL245299B (en) | 2016-04-25 | 2021-05-31 | Verint Systems Ltd | A system and method for decoding communication transmitted in a wireless local communication network |
US10891379B2 (en) | 2016-04-26 | 2021-01-12 | Nec Corporation | Program analysis system, program analysis method and storage medium |
CN105791323B (zh) * | 2016-05-09 | 2019-02-26 | 国家电网公司 | 未知恶意软件的防御方法和设备 |
CN106682507B (zh) * | 2016-05-19 | 2019-05-14 | 腾讯科技(深圳)有限公司 | 病毒库的获取方法及装置、设备、服务器、系统 |
RU2628923C1 (ru) * | 2016-05-20 | 2017-08-22 | Акционерное общество "Лаборатория Касперского" | Система и способ распределения файлов между виртуальными машинами, входящими в распределённую систему виртуальных машин, для выполнения антивирусной проверки |
CN109791586A (zh) * | 2016-06-16 | 2019-05-21 | 比斯垂普有限责任公司 | 鉴识及移除恶意软件的方法 |
US10896254B2 (en) | 2016-06-29 | 2021-01-19 | Sophos Limited | Sandbox environment for document preview and analysis |
US10482239B1 (en) * | 2016-06-30 | 2019-11-19 | Palo Alto Networks, Inc. | Rendering an object using muliple versions of an application in a single process for dynamic malware analysis |
US10187414B2 (en) * | 2016-07-20 | 2019-01-22 | Cisco Technology, Inc. | Differential malware detection using network and endpoint sensors |
US10719188B2 (en) | 2016-07-21 | 2020-07-21 | Palantir Technologies Inc. | Cached database and synchronization system for providing dynamic linked panels in user interface |
US10324609B2 (en) | 2016-07-21 | 2019-06-18 | Palantir Technologies Inc. | System for providing dynamic linked panels in user interface |
US10798073B2 (en) | 2016-08-26 | 2020-10-06 | Nicira, Inc. | Secure key management protocol for distributed network encryption |
US11349852B2 (en) | 2016-08-31 | 2022-05-31 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
CN106503552A (zh) * | 2016-09-19 | 2017-03-15 | 南京邮电大学 | 基于签名与数据流模式挖掘的Android恶意软件检测系统及方法 |
US11522901B2 (en) * | 2016-09-23 | 2022-12-06 | OPSWAT, Inc. | Computer security vulnerability assessment |
US10313366B1 (en) * | 2016-09-23 | 2019-06-04 | EMC IP Holding Company LLC | Retroactive identification of previously unknown malware based on network traffic analysis from a sandbox environment |
US10379894B1 (en) * | 2016-09-27 | 2019-08-13 | Amazon Technologies, Inc. | Lineage-based trust for virtual machine images |
US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
US10505970B2 (en) | 2016-10-05 | 2019-12-10 | Cisco Technology, Inc. | Identifying and using DNS contextual flows |
IL248306B (en) | 2016-10-10 | 2019-12-31 | Verint Systems Ltd | System and method for creating data sets for learning to recognize user actions |
US10133588B1 (en) | 2016-10-20 | 2018-11-20 | Palantir Technologies Inc. | Transforming instructions for collaborative updates |
WO2018079424A1 (ja) * | 2016-10-24 | 2018-05-03 | パナソニックIpマネジメント株式会社 | 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法 |
US10728113B2 (en) * | 2016-10-26 | 2020-07-28 | Zscaler, Inc. | Systems and methods for troubleshooting and performance analysis of cloud based services |
US11811623B2 (en) | 2016-10-26 | 2023-11-07 | Zscaler, Inc. | Deep tracing of user experience |
US10587580B2 (en) | 2016-10-26 | 2020-03-10 | Ping Identity Corporation | Methods and systems for API deception environment and API traffic control and security |
US10318630B1 (en) | 2016-11-21 | 2019-06-11 | Palantir Technologies Inc. | Analysis of large bodies of textual data |
US10268825B2 (en) * | 2016-12-01 | 2019-04-23 | International Business Machines Corporation | Amalgamating code vulnerabilities across projects |
US10484332B2 (en) * | 2016-12-02 | 2019-11-19 | Vmware, Inc. | Application based network traffic management |
US10044836B2 (en) | 2016-12-19 | 2018-08-07 | Palantir Technologies Inc. | Conducting investigations under limited connectivity |
US11611570B2 (en) * | 2016-12-30 | 2023-03-21 | British Telecommunications Public Limited Company | Attack signature generation |
US11658996B2 (en) * | 2016-12-30 | 2023-05-23 | British Telecommunications Public Limited Company | Historic data breach detection |
EP3563543B1 (en) | 2016-12-30 | 2022-04-06 | British Telecommunications public limited company | Data breach detection |
US10216811B1 (en) | 2017-01-05 | 2019-02-26 | Palantir Technologies Inc. | Collaborating using different object models |
US10623358B2 (en) * | 2017-02-14 | 2020-04-14 | International Business Machines Corporation | Facilitating message processing at a target endpoint |
IL252041B (en) | 2017-04-30 | 2020-09-30 | Verint Systems Ltd | System and method for tracking computer application users |
IL252037B (en) | 2017-04-30 | 2021-12-01 | Verint Systems Ltd | System and method for identifying relationships between computer application users |
US11074277B1 (en) | 2017-05-01 | 2021-07-27 | Palantir Technologies Inc. | Secure resolution of canonical entities |
US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
US10942947B2 (en) | 2017-07-17 | 2021-03-09 | Palantir Technologies Inc. | Systems and methods for determining relationships between datasets |
US10783239B2 (en) * | 2017-08-01 | 2020-09-22 | Pc Matic, Inc. | System, method, and apparatus for computer security |
US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
US10992652B2 (en) | 2017-08-25 | 2021-04-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted network traffic flows |
US10903985B2 (en) | 2017-08-25 | 2021-01-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques |
US10432648B1 (en) | 2017-08-28 | 2019-10-01 | Palo Alto Networks, Inc. | Automated malware family signature generation |
US10645099B1 (en) * | 2017-09-01 | 2020-05-05 | Ca, Inc. | Malware detection facilitated by copying a memory range from an emulator for analysis and signature generation |
US10699010B2 (en) | 2017-10-13 | 2020-06-30 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
US10530788B1 (en) * | 2017-11-01 | 2020-01-07 | Trend Micro Incorporated | Detection and prevention of malicious remote file operations |
US10956508B2 (en) | 2017-11-10 | 2021-03-23 | Palantir Technologies Inc. | Systems and methods for creating and managing a data integration workspace containing automatically updated data models |
US10965654B2 (en) * | 2017-11-28 | 2021-03-30 | Viavi Solutions Inc. | Cross-interface correlation of traffic |
US10693891B2 (en) | 2017-12-06 | 2020-06-23 | Chicago Mercantile Exchange Inc. | Electronic mail security system |
US11061874B1 (en) | 2017-12-14 | 2021-07-13 | Palantir Technologies Inc. | Systems and methods for resolving entity data across various data structures |
US10958668B1 (en) | 2017-12-21 | 2021-03-23 | Palo Alto Networks, Inc. | Finding malicious domains with DNS query pattern analysis |
US10853352B1 (en) | 2017-12-21 | 2020-12-01 | Palantir Technologies Inc. | Structured data collection, presentation, validation and workflow management |
IL256690B (en) | 2018-01-01 | 2022-02-01 | Cognyte Tech Israel Ltd | System and method for identifying pairs of related application users |
GB201800595D0 (en) | 2018-01-15 | 2018-02-28 | Palantir Technologies Inc | Management of software bugs in a data processing system |
US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US10965697B2 (en) * | 2018-01-31 | 2021-03-30 | Micro Focus Llc | Indicating malware generated domain names using digits |
US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11190487B2 (en) * | 2018-02-28 | 2021-11-30 | Palo Alto Networks, Inc. | Identifying security risks and enforcing policies on encrypted/encoded network communications |
US11599369B1 (en) | 2018-03-08 | 2023-03-07 | Palantir Technologies Inc. | Graphical user interface configuration system |
US11003773B1 (en) * | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US10771436B2 (en) | 2018-04-06 | 2020-09-08 | Cisco Technology, Inc. | Dynamic whitelist management |
US10885021B1 (en) | 2018-05-02 | 2021-01-05 | Palantir Technologies Inc. | Interactive interpreter and graphical user interface |
US10979326B2 (en) | 2018-05-11 | 2021-04-13 | Viavi Solutions Inc. | Detecting interference of a beam |
US11061542B1 (en) | 2018-06-01 | 2021-07-13 | Palantir Technologies Inc. | Systems and methods for determining and displaying optimal associations of data items |
US10445272B2 (en) * | 2018-07-05 | 2019-10-15 | Intel Corporation | Network function virtualization architecture with device isolation |
US11157571B2 (en) | 2018-07-12 | 2021-10-26 | Bank Of America Corporation | External network system for extracting external website data using generated polymorphic data |
JP7003864B2 (ja) * | 2018-07-24 | 2022-02-10 | 日本電信電話株式会社 | 振分装置、通信システムおよび振分方法 |
IL260986B (en) | 2018-08-05 | 2021-09-30 | Verint Systems Ltd | A system and method for using a user action log to study encrypted traffic classification |
US10893030B2 (en) | 2018-08-10 | 2021-01-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element |
US10631263B2 (en) | 2018-09-14 | 2020-04-21 | Viavi Solutions Inc. | Geolocating a user equipment |
CN109218315B (zh) * | 2018-09-20 | 2021-06-01 | 华为技术有限公司 | 一种安全管理方法和安全管理装置 |
US11188622B2 (en) * | 2018-09-28 | 2021-11-30 | Daniel Chien | Systems and methods for computer security |
CN110968862B (zh) * | 2018-09-29 | 2022-03-29 | 福建省天奕网络科技有限公司 | 一种数据异常检测方法及终端 |
KR101990022B1 (ko) | 2018-11-28 | 2019-06-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
WO2020108760A1 (en) * | 2018-11-29 | 2020-06-04 | Huawei Technologies Co., Ltd. | Apparatus and method for malware detection |
US11070363B1 (en) * | 2018-12-21 | 2021-07-20 | Mcafee, Llc | Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows |
EP3678348A1 (en) * | 2019-01-04 | 2020-07-08 | Ping Identity Corporation | Methods and systems for data traffic based adpative security |
US10999295B2 (en) | 2019-03-20 | 2021-05-04 | Verint Systems Ltd. | System and method for de-anonymizing actions and messages on networks |
US11720291B2 (en) * | 2019-05-07 | 2023-08-08 | Citrix Systems, Inc. | Methods and systems for accessing remotely stored files using virtual applications |
US11586728B2 (en) | 2019-06-07 | 2023-02-21 | Nxp B.V. | Methods for detecting system-level trojans and an integrated circuit device with system-level trojan detection |
KR102089417B1 (ko) * | 2019-06-11 | 2020-03-17 | 한국인터넷진흥원 | 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치 |
TWI726449B (zh) * | 2019-10-18 | 2021-05-01 | 臺灣銀行股份有限公司 | 網路攻擊分析方法 |
US11399016B2 (en) | 2019-11-03 | 2022-07-26 | Cognyte Technologies Israel Ltd. | System and method for identifying exchanges of encrypted communication traffic |
JP7315023B2 (ja) * | 2019-11-28 | 2023-07-26 | 日本電信電話株式会社 | ルール生成装置およびルール生成プログラム |
US11829467B2 (en) | 2019-12-18 | 2023-11-28 | Zscaler, Inc. | Dynamic rules engine in a cloud-based sandbox |
US11271907B2 (en) | 2019-12-19 | 2022-03-08 | Palo Alto Networks, Inc. | Smart proxy for a large scale high-interaction honeypot farm |
US11265346B2 (en) | 2019-12-19 | 2022-03-01 | Palo Alto Networks, Inc. | Large scale high-interactive honeypot farm |
US11190417B2 (en) | 2020-02-04 | 2021-11-30 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker |
US11698965B2 (en) | 2020-04-09 | 2023-07-11 | International Business Machines Corporation | Detection of encrypting malware attacks |
US11263109B2 (en) | 2020-04-16 | 2022-03-01 | Bank Of America Corporation | Virtual environment system for validating executable data using accelerated time-based process execution |
US11528276B2 (en) | 2020-04-16 | 2022-12-13 | Bank Of America Corporation | System for prevention of unauthorized access using authorized environment hash outputs |
US11423160B2 (en) | 2020-04-16 | 2022-08-23 | Bank Of America Corporation | System for analysis and authorization for use of executable environment data in a computing system using hash outputs |
US11425123B2 (en) | 2020-04-16 | 2022-08-23 | Bank Of America Corporation | System for network isolation of affected computing systems using environment hash outputs |
US11481484B2 (en) | 2020-04-16 | 2022-10-25 | Bank Of America Corporation | Virtual environment system for secure execution of program code using cryptographic hashes |
US11372982B2 (en) | 2020-07-02 | 2022-06-28 | Bank Of America Corporation | Centralized network environment for processing validated executable data based on authorized hash outputs |
CN112180746A (zh) * | 2020-09-02 | 2021-01-05 | 珠海格力电器股份有限公司 | 基于网关的家居设备控制方法、装置、存储介质及网关 |
US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
US11363055B2 (en) | 2020-11-02 | 2022-06-14 | Bank Of America Corporation | System and methods for dynamic controlled evaluation of cloud service vulnerabilities |
US20220191217A1 (en) * | 2020-12-15 | 2022-06-16 | Raytheon Company | Systems and methods for evasive resiliency countermeasures |
US11770319B2 (en) | 2021-01-14 | 2023-09-26 | Zscaler, Inc. | TCP traceroute using RST and SYN-ACK to determine destination reachability |
US11425015B2 (en) | 2021-01-14 | 2022-08-23 | Zscaler, Inc. | Accurate differential traceroute latency calculation between hops |
US11758025B2 (en) | 2021-01-14 | 2023-09-12 | Zscaler, Inc. | Adaptive tracing using one of a plurality of protocols |
US11671438B2 (en) | 2021-01-14 | 2023-06-06 | Zscaler, Inc. | Detection of latency, packet drops, and network hops through a tunnel by tracing hops therein |
US11863415B2 (en) | 2021-01-14 | 2024-01-02 | Zscaler, Inc. | Determining endpoint and application behavior for monitoring user experience |
US11811633B2 (en) | 2021-01-14 | 2023-11-07 | Zscaler, Inc. | Traceroutes through external proxies |
US11949578B2 (en) | 2021-01-14 | 2024-04-02 | Zscaler, Inc. | Adaptive probing to discover a protocol for network tracing |
US11784904B2 (en) | 2021-01-14 | 2023-10-10 | Zscaler, Inc. | Adaptive tracing with a reduced number of probes to avoid firewall issues |
US11637766B2 (en) | 2021-01-14 | 2023-04-25 | Zscaler, Inc. | Detection of network hops and latency through an opaque tunnel and detection misconfiguration of tunnels |
US11228519B1 (en) | 2021-01-21 | 2022-01-18 | Zscaler, Inc. | Detection of latency, packet drops, and network hops through a TCP tunnel using ICMP and UDP probes |
US11546240B2 (en) | 2021-03-01 | 2023-01-03 | Zscaler, Inc. | Proactively detecting failure points in a network |
US11563665B2 (en) | 2021-03-05 | 2023-01-24 | Zscaler, Inc. | Detecting web probes versus regular traffic through a proxy including encrypted traffic |
US11895129B2 (en) * | 2021-06-29 | 2024-02-06 | Juniper Networks, Inc. | Detecting and blocking a malicious file early in transit on a network |
US20230079612A1 (en) * | 2021-09-13 | 2023-03-16 | Paul Maszy | System and Method for Computer Security |
WO2023112376A1 (ja) * | 2021-12-17 | 2023-06-22 | パナソニックIpマネジメント株式会社 | セキュリティ対策方法、及び、セキュリティ対策システム |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725759A (zh) * | 2004-07-21 | 2006-01-25 | 微软公司 | 蠕虫遏制 |
US20080289028A1 (en) * | 2007-05-15 | 2008-11-20 | Bernhard Jansen | Firewall for controlling connections between a client machine and a network |
US20090282483A1 (en) * | 2008-05-12 | 2009-11-12 | Bennett James D | Server based malware screening |
CN101816148A (zh) * | 2007-08-06 | 2010-08-25 | 伯纳德·德莫森纳特 | 用于验证、数据传送和防御网络钓鱼的系统和方法 |
CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
US20110078794A1 (en) * | 2009-09-30 | 2011-03-31 | Jayaraman Manni | Network-Based Binary File Extraction and Analysis for Malware Detection |
Family Cites Families (110)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5440719A (en) | 1992-10-27 | 1995-08-08 | Cadence Design Systems, Inc. | Method simulating data traffic on network in accordance with a client/sewer paradigm |
US6147993A (en) | 1997-10-14 | 2000-11-14 | Cisco Technology, Inc. | Method and apparatus for implementing forwarding decision shortcuts at a network switch |
US6728885B1 (en) | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
US7107612B1 (en) | 1999-04-01 | 2006-09-12 | Juniper Networks, Inc. | Method, apparatus and computer program product for a network firewall |
US6701432B1 (en) | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
US6553028B1 (en) | 1999-04-30 | 2003-04-22 | Cisco Technology, Inc. | Method and apparatus for multicast switching using a centralized switching engine |
US6944774B2 (en) | 1999-06-18 | 2005-09-13 | Zoom Telephonics, Inc. | Data flow control unit |
US7436830B2 (en) | 2000-04-03 | 2008-10-14 | P-Cube Ltd. | Method and apparatus for wire-speed application layer classification of upstream and downstream data packets |
CN1300677C (zh) * | 2000-06-22 | 2007-02-14 | 微软公司 | 分布式计算服务平台 |
US7716367B1 (en) * | 2000-07-20 | 2010-05-11 | Akamai Technologies, Inc. | Network performance monitoring in a content delivery service |
US7089294B1 (en) | 2000-08-24 | 2006-08-08 | International Business Machines Corporation | Methods, systems and computer program products for server based type of service classification of a communication request |
JP3739260B2 (ja) | 2000-08-24 | 2006-01-25 | 株式会社日立製作所 | 情報配信システムおよびゲートウェイ装置 |
KR20030061794A (ko) * | 2000-09-01 | 2003-07-22 | 터트 시스템즈 인코포레이티드 | 폴리시 기반 네트워크 트래픽 관리를 구현하기 위한 방법및 시스템 |
US7277950B1 (en) * | 2000-12-29 | 2007-10-02 | Swarmcast, Inc. | Packet transfer mechanism over a peer to peer network |
US6912592B2 (en) | 2001-01-05 | 2005-06-28 | Extreme Networks, Inc. | Method and system of aggregate multiple VLANs in a metropolitan area network |
US7093280B2 (en) | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
CN1147795C (zh) * | 2001-04-29 | 2004-04-28 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统 |
US7657419B2 (en) * | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
US7747943B2 (en) | 2001-09-07 | 2010-06-29 | Microsoft Corporation | Robust anchoring of annotations to content |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7123581B2 (en) | 2001-10-09 | 2006-10-17 | Tellabs Operations, Inc. | Method and apparatus to switch data flows using parallel switch fabrics |
AU2002365821A1 (en) * | 2001-11-30 | 2003-06-17 | British Telecommunications Public Limited Company | Data transmission |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
JP4088082B2 (ja) * | 2002-02-15 | 2008-05-21 | 株式会社東芝 | 未知コンピュータウイルスの感染を防止する装置およびプログラム |
US7376125B1 (en) | 2002-06-04 | 2008-05-20 | Fortinet, Inc. | Service processing switch |
US7177311B1 (en) | 2002-06-04 | 2007-02-13 | Fortinet, Inc. | System and method for routing traffic through a virtual router-based network switch |
US7519990B1 (en) | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US20060098649A1 (en) | 2004-11-10 | 2006-05-11 | Trusted Network Technologies, Inc. | System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection |
GB0227614D0 (en) | 2002-11-27 | 2002-12-31 | 3Com Corp | Packet-switched network and network switches having a network layer forwarding by data link switching |
US20050216770A1 (en) | 2003-01-24 | 2005-09-29 | Mistletoe Technologies, Inc. | Intrusion detection system |
US7155572B2 (en) | 2003-01-27 | 2006-12-26 | Advanced Micro Devices, Inc. | Method and apparatus for injecting write data into a cache |
US7584216B2 (en) | 2003-02-21 | 2009-09-01 | Motionpoint Corporation | Dynamic language translation of web site content |
JP4581104B2 (ja) * | 2003-03-28 | 2010-11-17 | 学校法人明治大学 | ネットワークセキュリティシステム |
US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US7735144B2 (en) | 2003-05-16 | 2010-06-08 | Adobe Systems Incorporated | Document modification detection and prevention |
JP4020018B2 (ja) | 2003-05-29 | 2007-12-12 | Kddi株式会社 | パケット情報識別方法及びシステム |
US7272746B2 (en) | 2003-08-29 | 2007-09-18 | Audiocodes Texas, Inc. | Redundancy scheme for network processing systems |
US7415719B2 (en) * | 2003-09-26 | 2008-08-19 | Tizor Systems, Inc. | Policy specification framework for insider intrusions |
US8301702B2 (en) * | 2004-01-20 | 2012-10-30 | Cloudmark, Inc. | Method and an apparatus to screen electronic communications |
KR100609170B1 (ko) | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US20050203919A1 (en) | 2004-03-09 | 2005-09-15 | Deutsch L. P. | Method and apparatus for reordering an arbitrary order signal sequence into a streamable signal sequence |
FR2868230B1 (fr) | 2004-03-25 | 2012-06-08 | Netasq | Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique |
US8566946B1 (en) * | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8549638B2 (en) * | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US8375444B2 (en) * | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
US8171553B2 (en) * | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US9027135B1 (en) * | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US20050257263A1 (en) | 2004-05-13 | 2005-11-17 | International Business Machines Corporation | Andromeda strain hacker analysis system and method |
GB2418110B (en) | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
DE102004048167B4 (de) | 2004-10-02 | 2007-01-04 | Siemens Ag | Verfahren zur inhaltsbezogenen Handhabung eines Datenstroms |
WO2006046896A1 (en) | 2004-10-29 | 2006-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes in a communication system for controlling the use of access resources |
US7447796B2 (en) | 2004-12-17 | 2008-11-04 | International Business Machines Corporation | System, method and program product to route message packets |
US7894432B2 (en) | 2005-04-09 | 2011-02-22 | Audiocodes, Inc. | Apparatus and method creating virtual routing domains in an internet protocol network |
US7606147B2 (en) | 2005-04-13 | 2009-10-20 | Zeugma Systems Inc. | Application aware traffic shaping service node positioned between the access and core networks |
GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
US7784094B2 (en) | 2005-06-30 | 2010-08-24 | Intel Corporation | Stateful packet content matching mechanisms |
GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US7486673B2 (en) | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
US20070056038A1 (en) | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
US8270413B2 (en) | 2005-11-28 | 2012-09-18 | Cisco Technology, Inc. | Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks |
KR100791290B1 (ko) | 2006-02-10 | 2008-01-04 | 삼성전자주식회사 | 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법 |
US7580974B2 (en) | 2006-02-16 | 2009-08-25 | Fortinet, Inc. | Systems and methods for content type classification |
US8448242B2 (en) * | 2006-02-28 | 2013-05-21 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based upon anomaly detection |
US8763103B2 (en) * | 2006-04-21 | 2014-06-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for inhibiting attacks on applications |
US8488136B2 (en) | 2006-05-12 | 2013-07-16 | Kyocera Document Solutions Inc. | Printing system and method, and recording medium |
US20140373144A9 (en) * | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
JP4290179B2 (ja) | 2006-06-15 | 2009-07-01 | キヤノン株式会社 | 署名検証装置、及び、その制御方法、プログラム、記憶媒体 |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8151352B1 (en) * | 2006-07-14 | 2012-04-03 | Bitdefender IPR Managament Ltd. | Anti-malware emulation systems and methods |
US20080025307A1 (en) | 2006-07-27 | 2008-01-31 | Research In Motion Limited | System and method for pushing information from a source device to an available destination device |
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
US20080183691A1 (en) | 2007-01-30 | 2008-07-31 | International Business Machines Corporation | Method for a networked knowledge based document retrieval and ranking utilizing extracted document metadata and content |
US20080196104A1 (en) | 2007-02-09 | 2008-08-14 | George Tuvell | Off-line mms malware scanning system and method |
US9021590B2 (en) | 2007-02-28 | 2015-04-28 | Microsoft Technology Licensing, Llc | Spyware detection mechanism |
US20080231885A1 (en) | 2007-03-23 | 2008-09-25 | Konica Minolta Systems Laboratory, Inc. | Direct printing method using ram storage for spooled printer files |
US20080222729A1 (en) * | 2007-03-05 | 2008-09-11 | Songqing Chen | Containment of Unknown and Polymorphic Fast Spreading Worms |
US8594085B2 (en) | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
US8321936B1 (en) * | 2007-05-30 | 2012-11-27 | M86 Security, Inc. | System and method for malicious software detection in multiple protocols |
US20090238071A1 (en) | 2008-03-20 | 2009-09-24 | Embarq Holdings Company, Llc | System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller |
US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
US20090031135A1 (en) * | 2007-07-27 | 2009-01-29 | Raghunathan Kothandaraman | Tamper Proof Seal For An Electronic Document |
US7706291B2 (en) | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
US20090064337A1 (en) | 2007-09-05 | 2009-03-05 | Shih-Wei Chien | Method and apparatus for preventing web page attacks |
US8176477B2 (en) * | 2007-09-14 | 2012-05-08 | International Business Machines Corporation | Method, system and program product for optimizing emulation of a suspected malware |
US7614084B2 (en) * | 2007-10-02 | 2009-11-03 | Kaspersky Lab Zao | System and method for detecting multi-component malware |
US8019700B2 (en) * | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
US9100268B2 (en) | 2008-02-27 | 2015-08-04 | Alcatel Lucent | Application-aware MPLS tunnel selection |
US8255993B2 (en) * | 2008-06-23 | 2012-08-28 | Symantec Corporation | Methods and systems for determining file classifications |
US8667583B2 (en) | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
US8370932B2 (en) * | 2008-09-23 | 2013-02-05 | Webroot Inc. | Method and apparatus for detecting malware in network traffic |
US8176556B1 (en) | 2008-10-31 | 2012-05-08 | Symantec Corporation | Methods and systems for tracing web-based attacks |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8850571B2 (en) * | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8413239B2 (en) | 2009-02-22 | 2013-04-02 | Zscaler, Inc. | Web security via response injection |
JP5440973B2 (ja) * | 2009-02-23 | 2014-03-12 | 独立行政法人情報通信研究機構 | コンピュータ検査システム、コンピュータ検査方法 |
US8307351B2 (en) | 2009-03-18 | 2012-11-06 | Oracle International Corporation | System and method for performing code provenance review in a software due diligence system |
US20110035804A1 (en) * | 2009-04-07 | 2011-02-10 | Pratyush Moghe | Appliance-based parallelized analytics of data auditing events |
US8683584B1 (en) * | 2009-04-25 | 2014-03-25 | Dasient, Inc. | Risk assessment |
JP5225942B2 (ja) * | 2009-07-01 | 2013-07-03 | 日本電信電話株式会社 | 解析システム、解析方法、及び解析プログラム |
US20110041179A1 (en) | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
US20110154493A1 (en) * | 2009-12-18 | 2011-06-23 | Assured Information Security, Inc. | Methods for inspecting data and devices thereof |
US8813232B2 (en) * | 2010-03-04 | 2014-08-19 | Mcafee Inc. | Systems and methods for risk rating and pro-actively detecting malicious online ads |
US8863279B2 (en) * | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
WO2011143094A2 (en) * | 2010-05-09 | 2011-11-17 | Citrix Systems, Inc. | Systems and methods for allocation of classes of service to network connections corresponding to virtual channels |
US8510829B2 (en) | 2010-06-24 | 2013-08-13 | Mcafee, Inc. | Systems and methods to detect malicious media files |
US8463797B2 (en) | 2010-07-20 | 2013-06-11 | Barracuda Networks Inc. | Method for measuring similarity of diverse binary objects comprising bit patterns |
US8621629B2 (en) * | 2010-08-31 | 2013-12-31 | General Electric Company | System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target |
-
2011
- 2011-05-24 US US13/115,032 patent/US9047441B2/en active Active
-
2012
- 2012-05-17 JP JP2014512893A patent/JP2014519113A/ja active Pending
- 2012-05-17 CN CN201710778943.0A patent/CN107526965A/zh active Pending
- 2012-05-17 EP EP12789167.9A patent/EP2715540B1/en active Active
- 2012-05-17 WO PCT/US2012/038439 patent/WO2012162102A1/en unknown
- 2012-05-17 CA CA2835954A patent/CA2835954C/en active Active
- 2012-05-17 CN CN201280036352.1A patent/CN103842965B/zh active Active
- 2012-05-17 AU AU2012259113A patent/AU2012259113B2/en active Active
-
2013
- 2013-11-21 IL IL229531A patent/IL229531A/en active IP Right Grant
-
2015
- 2015-04-21 US US14/692,587 patent/US9491142B2/en active Active
-
2016
- 2016-03-09 JP JP2016045104A patent/JP6106780B2/ja active Active
-
2017
- 2017-11-16 IL IL255724A patent/IL255724B/en active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725759A (zh) * | 2004-07-21 | 2006-01-25 | 微软公司 | 蠕虫遏制 |
US20080289028A1 (en) * | 2007-05-15 | 2008-11-20 | Bernhard Jansen | Firewall for controlling connections between a client machine and a network |
CN101816148A (zh) * | 2007-08-06 | 2010-08-25 | 伯纳德·德莫森纳特 | 用于验证、数据传送和防御网络钓鱼的系统和方法 |
US20090282483A1 (en) * | 2008-05-12 | 2009-11-12 | Bennett James D | Server based malware screening |
US20110078794A1 (en) * | 2009-09-30 | 2011-03-31 | Jayaraman Manni | Network-Based Binary File Extraction and Analysis for Malware Detection |
CN101841523A (zh) * | 2010-02-05 | 2010-09-22 | 中国科学院计算技术研究所 | 检测恶意代码样本的网络行为的方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112005234A (zh) * | 2018-01-31 | 2020-11-27 | 帕洛阿尔托网络公司 | 恶意软件检测的上下文剖析 |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
CN115412472A (zh) * | 2022-08-30 | 2022-11-29 | 中国联合网络通信集团有限公司 | 网络故障的排查方法、装置及设备 |
CN115412472B (zh) * | 2022-08-30 | 2024-04-30 | 中国联合网络通信集团有限公司 | 网络故障的排查方法、装置及设备 |
Also Published As
Publication number | Publication date |
---|---|
EP2715540A1 (en) | 2014-04-09 |
JP6106780B2 (ja) | 2017-04-05 |
AU2012259113B2 (en) | 2015-12-03 |
EP2715540A4 (en) | 2014-10-01 |
IL255724B (en) | 2019-08-29 |
WO2012162102A1 (en) | 2012-11-29 |
JP2014519113A (ja) | 2014-08-07 |
IL255724A (en) | 2018-01-31 |
US9047441B2 (en) | 2015-06-02 |
US20150319136A1 (en) | 2015-11-05 |
US9491142B2 (en) | 2016-11-08 |
CA2835954A1 (en) | 2012-11-29 |
IL229531A0 (en) | 2014-01-30 |
CN103842965B (zh) | 2017-09-08 |
US20120304244A1 (en) | 2012-11-29 |
EP2715540B1 (en) | 2019-01-02 |
IL229531A (en) | 2017-11-30 |
CA2835954C (en) | 2017-09-12 |
CN103842965A (zh) | 2014-06-04 |
JP2016146192A (ja) | 2016-08-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103842965B (zh) | 恶意软件分析系统 | |
US10305927B2 (en) | Sinkholing bad network domains by registering the bad network domains on the internet | |
US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
US10425387B2 (en) | Credentials enforcement using a firewall | |
US9832213B2 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
US9596155B2 (en) | Encrypted peer-to-peer detection | |
AU2012259113A1 (en) | Malware analysis system | |
Miller et al. | Traffic classification for the detection of anonymous web proxy routing | |
US20240039893A1 (en) | Beacon and threat intelligence based apt detection | |
Zeinali | Analysis of security information and event management (SIEM) evasion and detection methods | |
US11770361B1 (en) | Cobalt strike beacon HTTP C2 heuristic detection | |
US20240039952A1 (en) | Cobalt strike beacon https c2 heuristic detection | |
US20240039951A1 (en) | Probing for cobalt strike teamserver detection | |
US20230344866A1 (en) | Application identification for phishing detection | |
US20230082289A1 (en) | Automated fuzzy hash based signature collecting system for malware detection | |
Falguni et al. | 'E-SPY': DETECTION AND PREDICTION OF WEBSITE ATTACKS. | |
WO2024025705A1 (en) | Cobalt strike beacon http c2 heuristic detection | |
Rahalkar et al. | IDSes, Firewalls, and Honeypots | |
Luan | Intrusion detection and management over the world wide web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |