BRPI0610855A2 - sistemas e métodos para detectar e inibir ataques usando "honeypots" - Google Patents

sistemas e métodos para detectar e inibir ataques usando "honeypots" Download PDF

Info

Publication number
BRPI0610855A2
BRPI0610855A2 BRPI0610855-5A BRPI0610855A BRPI0610855A2 BR PI0610855 A2 BRPI0610855 A2 BR PI0610855A2 BR PI0610855 A BRPI0610855 A BR PI0610855A BR PI0610855 A2 BRPI0610855 A2 BR PI0610855A2
Authority
BR
Brazil
Prior art keywords
application
anomaly detection
honeypot
detection component
traffic
Prior art date
Application number
BRPI0610855-5A
Other languages
English (en)
Inventor
Stylianos Sidiroglou
Angelos D Keromytis
Kostas G Anagnostakis
Original Assignee
Univ Columbia
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Columbia filed Critical Univ Columbia
Publication of BRPI0610855A2 publication Critical patent/BRPI0610855A2/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

De acordo com algumas modalidades da presente invenção, sistemas e métodos que protegem um aplicativo de ataques são proporcionados. Em algumas modalidades da presente invenção, tráfegc de uma rede de comunicação é recebido por um componente de detecção de anomalia. O componente de detecção de anomalia monitora o tráfego recebido e roteia o tráfego para o aplicativo protegido ou para um honeypot, onde o honeypot compartilha toda informação de estado com o aplicativo. Se o tráfego recebido for roteado para o honeypot, o honeypot monitora o tráfego para um ataque. Se um ataque ocorre, o honeypot repara o aplicativo protegido (por exemplo, descartando quaisquer mudanças de estado incorridas desde o ataque, revertendo para a informação de estado salva previamente, etc).

Description

Relatório Descritivo da Patente de Invenção para "SISTEMAS EMÉTODOS PARA DETECTAR E INIBIR ATAQUES USANDO "HONEY-POTS"".
Referência a Pedido Relacionado
O presente pedido reivindica o benefício segundo 35 U.S.C119(e) de Pedido de Patente Provisório dos Estados Unidos No. 60/672.280,depositado em 18 de abril de 2005, que é aqui incorporado através de refe-rência em sua totalidade.
Campo da Invenção
A presente invenção se refere ao campo da segurança no com-putador. Mais particularmente, a presente invenção se refere a sistemas emétodos para detectar e inibir ataques a softwares.
Antecedentes da Invenção
Vírus de computador, worms, trojans, hackers, ataques para re-cuperação de chaves, executáveis maliciosos, sondagens, etc são uma a-meaça aos usuários de computadores conectados às redes públicas decomputadores (tais como a Internet) e/ou redes privadas (tais como as redesde computadores de uma companhia). Em resposta a essas ameaças, mui-tos computadores são protegidos por software antivírus e firewalls. Contudo,essas medidas preventivas nem sempre são adequadas. Por exemplo, hámuito poucos casos onde worms e outros ataques têm tirado vantagem deuma vulnerabilidade conhecida em software de computador (por exemplo,em tecnologia de firewall) no dia seguinte após o público ter tomado ciênciada vulnerabilidade. Por causa desse rápido lançamento, o patch necessáriopara corrigir a vulnerabilidade não pode ser empregado a tempo de impediro ataque. De modo similar, a maioria dos softwares antivírus conta com a-tualizações para aquele software de modo que as assinaturas de vírus co-nhecidos podem ser utilizadas para reconhecer ameaças. No caso de umworm ou vírus "zero-day" (por exemplo, um worm ou vírus que tenha acaba-do de ser lançado), a maior parte dos sistemas de computador está comple-tamente vulnerável ao ataque porque nenhum patch ou atualização de assi-natura já tinha sido tornado disponível.Devido ao nível de atividade maliciosa na Internet, as organiza-ções estão empregando mecanismos para detectar e responder aos novosataques ou atividades suspeitas, algumas vezes referidos como sistemas deprevenção de intrusão. Contudo, muitos desses sistemas de prevenção deintrusão estão limitados à proteção contra ataques já conhecidos porque e-les usam sistemas de detecção de intrusão baseados em regras.
Mecanismos de detecção, tais como honeypots, e sistemas dedetecção de anomalias têm sido desenvolvidos para uso em sistemas dedefesa- reativos e a mais poderosos. Em contraste com sistemas de detec-ção de intrusão, honeypots ou sistemas de detecção de anomalias oferecema possibilidade de detectar e responder a ataques previamente conhecidosou a ataques "zero-day". Um honeypot é definido, em geral, como uma ar-madilha que é colocada para detectar ou desviar tentativas em uso não-autorizado de sistemas de informação. Contudo, deve ser notado que oshoneypots não vêem tráfego ou atividade legítima. Uma razão para isso éporque os honeypots freqüentemente são colocados em uma localização derede que o tráfego legítimo não terá razão e para acessar. Outra razão é queos honeypots usualmente são lentos demais para processar tráfego no tem-po requerido para aplicações no mundo real. Outra razão é que os honey-pots não têm as capacidades para servir completamente ao tráfego legítimo,por exemplo, honeypots não compartilham completamente o sistema real.
Sistemas de detecção de anomalia protegem um recurso através da monito-ração de acessos tentados a eles e usando heurística para classificar os a-cessos como normais ou anômalos. Os honeypots e os sistemas de detec-ção de anomalia oferecem diferentes trocas entre a precisão e o escopo deataques que podem ser detectados.
Os honeypots podem ser pesadamente instrumentados para de-tectar ataques com precisão, mas eles dependem de um agressor tentandoexplorar uma vulnerabilidade contra eles. Isso torna os honeypots bons paradetectar worms de varredura, mas ineficazes contra ataques dirigidos manu-almente ou topológicos e worms de listas de acertos. Além disso, os honey-pots são usados tipicamente apenas para aplicações do tipo servidor.Os sistemas de detecção de anomalias, teoricamente, podemdetectar ambos os tipos de ataques, mas, usualmente, são muito menosprecisos do que os honeypots. A maior parte de sistemas de detecção deanomalias oferece uma troca entre taxas de detecção de falso positivo e defalso negativo. Freqüentemente é possível sintonizar o sistema para detectarataques mais potenciais, porém, isso leva um risco aumentado de classifica-ção errônea de tráfego legítimo. Embora seja possível fazer um sistema dedetecção de anomalias mais insensível aos ataques, isso cria o risco de fa-lhar em algum dos ataques reais. Como os sistemas de detecção de anoma-lia podem afetar, adversamente, o tráfego legítimo, como, por exemplo, fa-zendo cair as solicitações legítimas, os desenhistas de sistemas, freqüente-mente, sintonizam o sistema para baixas taxas de falso positivo, o que podeclassificar erroneamente ataques como tráfego legítimo.
Conseqüentemente, é desejável proporcionar sistemas e méto-dos que vençam essas e outras deficiências da técnica anterior.
Sumário da invenção
Em algumas modalidades da presente invenção, sistemas e mé-todos para proteger aplicativos de ataques são proporcionados. O tráfegorecebido (por exemplo, o tráfego de rede) é transmitido através de um com-ponente de detecção de anomalias. O componente de detecção de anomaliaprediz se o tráfego recebido é um ataque potencial sobre o aplicativo e ocomponente de detecção de anomalia é sintonizado para obter uma baixataxa de negativo falso. Em resposta ao recebimento de uma indicação docomponente de detecção de anomalia de que o tráfego pode ser um ataque,transmitindo o tráfego recebido para um honeypot. O honeypot pode ser umainstância do aplicativo que compartilha informação de estado com o aplicati-vo. Deve ser notado que, em algumas modalidades, o honeypot pode serpelo menos uma porção do aplicativo protegido. O honeypot monitora o trá-fego recebido para ataques sobre o aplicativo. Em resposta ao recebimentode uma indicação do honeypot o tráfego recebido é um ataque sobre o apli-cativo, o honeypot proporciona uma instrução para reparar a informação deestado do aplicativo.Em algumas modalidades, o reparo pode incluir recuperação dainformação de estado do aplicativo para a informação de estado salva previ-amente. Em algumas modalidades, o reparo pode incluir descarte da infor-mação de estado do aplicativo. Em algumas modalidades, o reparo podeincluir iniciação de uma nova instância do aplicativo com a informação deestado salva previamente.
Em algumas modalidades um filtro pode ser proporcionado oqual filtra o tráfego antes da transmissão do tráfego recebido para o compo-nente de detecção de anomalia. A filtragem pode ser baseada pelo menosem um conteúdo de carga útil e fonte do ataque.
Em algumas modalidades, a realimentação pode ser proporcio-nada pelos honeypots. Em algumas modalidades, a realimentação do ho-neypot pode ser usada para atualizar o componente de detecção de anoma-lia (por exemplo, os três preditores e os modelos associados ao componentede detecção de anomalia) e/ou o filtro. Em algumas modalidades, a reali-mentação pode ser usada para sintonizar, automaticamente, um componen-te de detecção de anomalia e/ou o filtro.
Tem sido esboçado, antes amplamente, as características maisimportantes da invenção a fim de que a sua descrição detalhada que seguepossa ser bem compreendida, e a fim de que a presente contribuição para atécnica possa ser melhor apreciada. Há, naturalmente, características adi-cionais da invenção que serão descritas aqui abaixo e que formarão a maté-ria em questão das reivindicações anexas.
A esse respeito, antes da explicação de pelo menos uma moda-lidade da invenção em detalhes, deve ser compreendido que a invenção nãoestá limitada em sua aplicação aos detalhes de construção e às disposiçõesdos componentes apresentados na descrição seguinte ou ilustrados nos de-senhos. A invenção é capaz de outras modalidades e de ser posta em práti-ca e realizada de várias maneiras. Também, deve ser compreendido que afraseologia e a terminologia aqui empregadas são para a finalidade de des-crição e não devem ser consideradas como limitadoras.
Como tal, aqueles versados na técnica apreciarão que a con-cepção, na qual esta exposição está baseada, pode prontamente ser utiliza-da como uma base para o desenho de outras estruturas, métodos e siste-mas para realizar as diversas finalidades da presente invenção. É importan-te, portanto, que as reivindicações sejam consideradas como incluindo essasconstruções equivalentes, desde que não se afastem do espírito e do esco-po da presente invenção.
Esses, junto com outros objetivos da invenção, junto com as vá-rias características de novidade que caracterizam a invenção são apontadoscom particularidade nas reivindicações anexas e na formação de uma partedesta exposição. Para uma compreensão melhor da invenção, suas vanta-gens operacionais e os objetivos específicos alcançados pelo seu uso, refe-rência será tida aos desenhos anexos e matéria descritiva em que há ilus-tradas modalidades preferidas da invenção.
Breve Descrição dos Desenhos
As acima e outras vantagens da presente invenção serão evi-dentes da consideração da descrição detalhada seguinte, tomada em con-junto com desenhos anexos, em que caracteres de referência semelhantesse referem às partes semelhantes por toda a exposição e em que:
A figura 1 é um diagrama esquemático de um sistema ilustrativoadequado para a implementação de um aplicativo que monitora o tráfego eprotege aplicativos de ataques de acordo com algumas modalidades da pre-sente invenção;
A figura 2 é um exemplo detalhado do servidor e de um dos cli-entes da figura 1 que podem ser usados de acordo com algumas modalida-des da presente invenção;
A figura 3 é um diagrama esquemático de outra disposição ilus-trativa adequada para monitoração de tráfego e proteção de aplicativos deataques de acordo com algumas modalidades da presente invenção;
A figura 4 é um fluxograma ilustrativo para proteger um aplicativode ataques de acordo com algumas modalidades da presente invenção;
A figura 5 é um diagrama esquemático de outra disposição ilus-trativa adequada para monitoração de tráfego e proteção de aplicativos deataques de acordo com algumas modalidades da presente invenção;
A figura 6 é um diagrama esquemático de outra disposição ilus-trativa adequada para monitoração de tráfego e proteção de aplicativos deataques de acordo com algumas modalidades da presente invenção;
A figura 7 é um exemplo de uma alocação de memória baseadaem pmallocO - conforme usada de acordo com algumas modalidades da pre-sente invenção; e
A figura 8 é um exemplo de uma transformação de código Cconforme realizada de acordo com algumas modalidades da presente invenção.
Descrição Detalhada da Invenção
Na descrição a seguir os numerosos detalhes específicos sãoapresentados com relação aos sistemas e métodos da presente invenção eao ambiente em que esses sistemas e métodos podem operar, etc, a fim deproporcionar uma compreensão melhor da presente invenção. Será evidentepara aqueles versados na técnica, porém, que a presente invenção pode serposta em prática sem esses detalhes específicos e que certas característi-cas que são bem conhecidas na técnica não são descritas em detalhes a fimde evitar complicação do objetivo da presente invenção. Além disso, deveser compreendido que os exemplos proporcionados abaixo são exemplifica-tivos e que é considerado que outros métodos e sistemas estão dentro doescopo da presente invenção.
De acordo com a presente invenção, sistemas e métodos paraproteção aperfeiçoada de ataques em um aplicativo são proporcionados.
Esses sistemas e métodos proporcionam pelo menos um detector de ano-malias e pelo menos um honeypot por (algumas vezes referidos como "ho-neypots simulados"). Esses honeypots simulados permitem que sinais de umataque sejam detectados e permitem que o aplicativo seja protegido desseataque. O detector de anomalias monitora todo tráfego roteado para um apli-cativo protegido. Em lugar de permitir que o aplicativo processe tráfego con-siderado anômalo, tráfego anômalo é processado pelo honeypot. Conformeaqui usado, o honeypot é uma instância do aplicativo protegido que compar-tilha substancialmente todo o estado interno com uma instância regular doaplicativo. Contudo, o honeypot pode ser proporcionado em várias aborda-gens. Por exemplo, em algumas modalidades, o aplicativo de honeypot podeser pelo menos uma porção do próprio aplicativo protegido. Usando o ho-neypot, ataques contra os honeypots são detectados e o honeypot repara oaplicativo (por exemplo, quaisquer mudanças de estado incorridas são des-cartadas). Em outras modalidades, o aplicativo pode ser reiniciado e carre-gado com uma informação de estado que foi salva antes do ataque. O tráfe-go legítimo que é classificado erroneamente pelo detector de anomalias po-de ser validado pelo honeypot e pode ser processado corretamente pelo sis-tema e transparentemente para o usuário. Deve ser notado que um honey-pot simulado pode ser usado para proteção dos aplicativos do servidor e docliente.
Algumas modalidades da presente invenção permitem aos proje-tistas de sistemas sintonizar o sistema de detecção de anomalia para baixastaxas negativas falsas, assim, minimizando riscos de classificação errôneade um ataque real como tráfego legítimo, uma vez que o honeypot removequalquer positivo falso (ou uma indicação falsamente disparada de um ata-que). A presente invenção pode defender contra-ataques que são moldadoscontra um local específico com um estado interno particular.
A Figura 1 é um diagrama esquemático de um sistema ilustrativo100 adequado para implementação de sistemas e métodos para proteger umaplicativo do ataque, de acordo com algumas modalidades da presente in-venção. Fazendo referência à figura 1, um sistema exemplificativo 100 paraa implementação da presente invenção é mostrado. Conforme ilustrado, osistema 100 pode incluir um ou mais clientes 102. Os clientes 102 podemser locais em relação uns aos outros ou remotos em relação uns aos outrose são conectados por uma ou mais ligações de comunicações 104 a umarede de comunicação 106 que é ligada por meio de uma ligação de comuni-cação 108 a um servidor 110. Várias modalidades do presente aplicativopodem ser implementadas em pelo menos um dentre os servidores e os clientes;No sistema 100, o servidor 110 pode ser qualquer servidor ade-quado para a execução de um aplicativo, tal como um processador, umcomputador, um dispositivo de processamento de dados ou uma combina-ção desses dispositivos. A rede de comunicações 106 pode ser uma rede decomputadores adequada incluindo a Internet, uma intranet, uma rede de á-rea estendida (WAN), uma rede de área local (LAN), uma rede sem fio, umarede de linhas digitais de assinantes (DSL) e uma rede de transmissão dequadros, uma rede de modo de transferência assíncrono (ATM), uma redeprivada virtual (VPN) ou qualquer combinação de quaisquer das mesmas.Ligações de comunicações 104 e 108 podem ser ligações de comunicaçõesadequadas para a comunicação de dados entre clientes 102 e servidor 110,tais como ligações de redes, ligações de linha discada, ligações sem fio, li-gações cabeadas, etc. Os clientes 102 podem ser computadores pessoais,computadores do tipo laptop, computadores principais, terminais "burros",expositores de dados, navegadores da Internet, os assistentes pessoais digi-tais (PDAs) e pagers bidirecionais, terminais sem fio, telefones portáteis, etcou qualquer combinação dos mesmos. Os clientes 102 e o servidor 110 po-dem estar localizados em qualquer localização adequada. Em uma modali-dade, os clientes 102 e o servidor 110 podem ser distribuídos entre múltiplasorganizações.
O servidor e um dos clientes, que estão representados na figura1, são ilustrados em mais detalhes na figura 2. Fazendo referência à figura2, o cliente 102 pode incluir o processador 202, o visor 204, dispositivos deentrada 206 e a memória 208, que podem ser interconectados. Em uma mo-dalidade preferida, a memória 208 contém um dispositivo de armazenamen-to para armazenar um programa cliente para controlar o processador 202. Amemória 208 também pode conter um aplicativo para proteger pelo menosum outro aplicativo de ataques. Em algumas modalidades, aplicativos podemser residentes na memória do cliente 102 ou do servidor 110.
Embora os métodos e sistemas da presente invenção sejamdescritos aqui como sendo implementadas em um cliente ou servidor, isso éapenas ilustrativo. O aplicativo pode ser implementado em qualquer plata-forma adequada (por exemplo, um computador pessoal (PC), um computa-dor principal, um terminal "burro", um expositor de dados, um pager bidire-cional, um terminal sem fio, um telefone portátil, um computador portátil, umcomputador do tipo palmtop, um computador principal (H/PC), um PC de au-tomóvel, um computador laptop, um assistente pessoal digital, um telefonecelular e PDA combinados, etc) para proporcionar essas características.
Uma ilustração simplificada do sistema de algumas modalidadesde acordo com a presente invenção é ilustrada na figura 3. Conforme mos-trado, o sistema 300 inclui um sensor de detecção de anomalia 310. O sen-sor de detecção de anomalia 310 recebe tráfego da rede 320. O sensor dedetecção de anomalia 310 pode rotear tráfego para um aplicativo protegido330 ou uma versão de honeypot do aplicativo 340. Em algumas modalida-des, o sensor de detecção de anomalia 310 pode rotear tráfego para aplica-tivo protegido 330 ou para o honeypot 340, baseado em uma predição paraser feita por sensor de detecção de anomalia 310. Por exemplo, o sensor dedetecção de anomalia 310 pode fazer uma predição sobre o tráfego da rede320 com base em pelo menos em parte na realização de uma análise decarga útil ou analisando um comportamento de rede.
Conforme descrito previamente, a versão de honeypot do aplica-tivo 340 é uma instância do aplicativo protegido 330 que compartilha, subs-tancialmente todo o estado interno com uma instância regular do aplicativo.Em algumas modalidades, o aplicativo de honeypot pode ser pelo menosuma porção do próprio aplicativo protegido. Usando o honeypot 340, ataquescontra o honeypot 340 são detectados e quaisquer mudanças de estado in-corridas são descartadas.
O tráfego 340 que é classificado erroneamente pelo sensor dedetecção de anomalia 310, pode ser validado pelo honeypot 340 e pode serprocessado corretamente pelo sistema 300 e transparentemente para o usu-ário. O honeypot 340 e o aplicativo protegido 330 são conectados à mesmainformação de estado do processo 350. De um modo geral, a informação deestado do processo 350 pode incluir, por exemplo, valores variáveis, infor-mação de alocação de memória, informação de estado relacionada comcomponentes ou dispositivos associados, ou qualquer outra informação ade-quada que possa ser necessária para definir o estado corrente de um pro-cesso.
Em algumas modalidades, os honeypots, tais como o honeypot340, podem proporcionar sensores de detecção de anomalia ou qualqueroutro componente adequado do sistema 300 com realimentação. Conformemostrado na figura 3, o honeypot 340 pode proporcionar realimentação 360para o sensor de detecção de anomalia 310. Por exemplo, o honeypot 340pode proporcionar informação referente ao ataque para o sensor de detec-ção de anomalia 310. O sensor de detecção de anomalia 310 pode usar arealimentação 360 do honeypot 340 para atualizar os preditores usados den-tro do sensor de detecção de anomalia em qualquer outra abordagem ade-quada para sintonizar o sensor de detecção de anomalia 310.
A figura 4 é um fluxograma ilustrativo, ilustrando a interação dosensor de detecção de anomalias e do honeypot de acordo com algumasmodalidades da presente invenção. O tráfego de uma rede é recebido pelosistema no sensor de detecção de anomalia (410, na figura 4) O sensor dedetecção de anomalia determina se o tráfego recebido é ou não um ataquesobre o aplicativo (420 na figura 4).
Se o sensor de reflexão de anomalia prediz que o tráfego rece-bido é um ataque, o clássico recebido é roteado para o honeypot (430 nafigura 4). O tráfego que alcança o honeypot é processado pelo honeypot emonitorado para ataques (440, na figura 4) Se nenhum ataque for detectadopelo honeypot, o processamento do código é manipulado de modo transpa-rente pelo sistema (450 na figura 4). Do ponto de vista do usuário, parececomo se o tráfego fosse processado pelo aplicativo protegido. O honeypotpode também informar ao sensor de detecção de anomalia que ele fez umapredição errada (450, na figura 4). O sensor de detecção de anomalia podeusar essa informação para aperfeiçoar prediçoes futuras feitas pelo sensorde detecção de anomalia. Caso contrário, se o honeypot determina que otráfico recebido é um ataque, o honeypot pode descartar quaisquer mudan-ças de estado causadas pelo ataque (460 na figura 4). O honeypot tambémpode informar ao sensor de detecção de anomalia de uma predição correta.A informação referente às previsões corretas também pode ser usada paraaperfeiçoar predições futuras feitas pelo sensor de detecção de anomalia.
Alternativamente, se o sensor de detecção de anomalia predizque o recebido não é um ataque, o tráfego recebido é roteado para o aplica-tivo protegido (470 na figura 4). Nesse caso, o tráfego recebido não é rotea-do para a versão do honeypot.
A figura 5 mostra outra disposição ilustrativa para o sistema dedetecção de ataques de acordo com algumas modalidades da presente in-venção. Na disposição da figura 5, o sistema 500 inclui um motor de filtra-gem 510, um arranjo de sensores de detecção de anomalia 520, uma versãode honeypot do aplicativo 530, um aplicativo protegido 540, um estado deprocesso corrente 550 e uma informação de processo salva para o recupe-rador560.
O motor de filtragem 510 recebe o tráfico da rede 570. O motorde filtragem 510 pode ser usado pelo sistema 500 para bloquear ataquesconhecidos dentro do tráfego recebido 570. A filtragem pode ser feita, porexemplo, com base no conteúdo de carga útil, na fonte do ataques, em umacombinação de quaisquer metodologias de filtragem adequadas ou por outraabordagem qualquer adequada para a filtragem do tráfego recebido. Con-forme mostrado na figura 5, o motor de filtragem 510 pode ser configuradocomo uma camada entre o arranjo de sensores de detecção de anomalia520 e o tráfego da rede 570. O motor de filtragem 510 pode ser usado para adescida de tipos específicos de tráfego antes que qualquer processamentoadicional seja realizado.
Se o tráfego da rede 570 passa através do motor de filtragem510, o arranjo de um ou mais sensores de detecção de anomalia 520 podeser usado para processar o tráfego recebido 570. Exemplos de tipos de sen-sores de detecção de anomalia 520, que podem ser usados no sistema 500,incluem sensores que realizam a análise de carga útil e detectores de ano-malia de comportamento de rede. Contudo, deve ser notado que qualquersensor de detecção de anomalia adequado pode ser usado de acordo com apresente invenção.
Deve ser notado que os resultados podem ser aperfeiçoados, seos sensores detecção de anomalia 520 forem sintonizados para uma altasensitividade. Embora isso aumente a quantidade de falsos positivos relata-da pelos sensores de detecção de anomalia 520, ainda é assegurado que osataques não alcance o aplicativo protegido 540.
Com base pelo menos em parte na predição de um ou maissensores de detecção de uma anomalia 520, o sistema 500 invoca a instân-cia regular do aplicativo protegido 540 ou a versão de honeypotdo aplicativo530. Conforme descrito previamente, a versão de honeypotdo aplicativo 530é uma instância instrumentada do aplicativo que compartilha substancial-mente todo o estado interno com uma instância regular do aplicativo. Usan-do o honeypot 530, os ataques contra o honeypot 530 são detectados equaisquer mudanças de estado incorridas são descartadas. O honeypot 530e o aplicativo protegido 540 são conectados à mesma informação de estadode processo 550.
Contudo, em resposta à detecção de um ataque ou falha, o ho-neypot que 530 pode recuperar quaisquer mudanças de estado para um es-tado bom conhecido. Por exemplo, o honeypot 530 ainda pode recuperarpara o estado que o aplicativo protegido 540 tinha antes do processamentoda solicitação maliciosa (por exemplo, uma informação de processo salvapara o recuperador 560). Alternativamente, o honeypot 530 pode reiniciar oaplicativo ou iniciar uma nova instância do aplicativo tendo a informação deestado previamente salva, em resposta à detecção de um ataque.
Em algumas modalidades, o honeypot 530 pode proporcionar aomotor de filtragem 510, um ou mais sensores de detecção de anomalia 520ou qualquer outro componente adequado do sistema 500 com realimenta-ção. Por exemplo, em resposta ao honeypot 530 detectando um ataque real,determinando um falso positivo ou não detectando ataques, o honeypot 530pode proporcionar informação para um ou mais dos sensores de detecçãode anomalia 520. Os um ou mais sensores de detecção de anomalia 520podem usar a realimentação 580 do honeypot 530 para atualizar os predito-res usados dentro do um ou mais sensores de detecção de anomalia 520 ouusa a realimentação 580 em qualquer outra abordagem adequada para sin-tonização do um ou mais sensores de detecção de anomalia 520. Por exem-plo, o um ou mais sensores de detecção de anomalia 520 pode usar a infor-mação para bloquear ataques similares no futuro e/ou aprender de prediçõescorretas e incorretas passadas. Em outro exemplo, os preditores ou modelosde predição podem ser atualizados, se nenhum ataque for detectado. Qual-quer outra abordagem adequada para auto-sintonização e atualização do umou mais sensores de detecção de anomalia 520 também pode ser usada.
Em outro exemplo, em resposta ao honeypot 530 detectando umataque real, determinando um falso positivo, ou não detectando ataques, ohoneypot 530 pode proporcionar informação (por exemplo, realimentação590) para o motor de filtragem 510. O motor de filtragem 510 pode usar arealimentação 590 do honeypot 530 para atualizar os filtros usados pelo mo-tor de filtragem 510 ou usar a realimentação 590 em qualquer outra aborda-gem adequada para sintonização do motor de filtragem 510. Por exemplo, omotor de filtragem 510 pode usar a realimentação 590 para bloquear ata-ques similares no futuro e/ou aprender das predições corretas e incorretasdo passado. Qualquer outra abordagem adequada para a auto-sintonizaçãoe atualização do motor de filtragem 510 também pode ser usada.
Deve ser notado que o tráfego através do sistema 500, incluindotráfego de ataque, pode interagir com o aplicativos protegidos através doprocessamento por meio de motor de filtragem 510 de um ou mais sensoresde detecção de anomalia 520, onde o acesso ao canal lateral não é permitido.
Certas modalidades da presente invenção podem ser integradascom servidores e clientes.
Em algumas modalidades, o honeypot pode ser acoplado aper-tadamente com um servidor. O aplicativo do servidor pode ser protegido aoter solicitações suspeitas desviadas para uma versão de honeypot do aplica-tivo do servidor em que o aplicativo do servidor e o honeypot têm funcionali-dade e estado em espelho. O aplicativo protegido pode ser, por exemplo, umservidor da web.
Em algumas modalidades, o honeypot simulado pode ser aco-plado apertadamente com um cliente. O aplicativo do cliente pode ser prote-gido, por exemplo, de ataques passivos onde quem ataca atrai um usuáriodo cliente para baixar dados contendo o ataque (por exemplo, a vulnerabili-dade ao extravazamento de buffer recente, em manipulação de JPEG daMicrosoft Internet Explorer's ). O aplicativo protegido pode ser usado paraproteger, por exemplo, o navegador da web ou qualquer outro aplicativo nocliente de um ataque contido em um único pacote, um fluxo inteiro, ou umconjunto de fluxos.
Embora a presente invenção tenha sido descrita e ilustrada nasmodalidades exemplificativas precedentes como acoplada firmemente demodo que o agressor não possa explorar as diferenças entre o estado dohoneypot e o estado do aplicativo porque compartilham um mesmo estado,deve ser notado que a presente descrição foi feita a apenas à guisa de e-xemplo e que numerosas mudanças nos detalhes de construção e combina-ção e disposição de processos e equipamentos podem ser feitas sem afas-tamento do espírito e do escopo da invenção.Por exemplo, uma configura-ção acoplada frouxamente de acordo com algumas modalidades da presenteinvenção pode ser proporcionada. O honeypot pode residir em um sistemadiferente e não compartilhar o estado com o aplicativo protegido. Essa mo-dalidade acoplada frouxamente permite que honeypot seja gerenciado poruma entidade separada, assim, proporcionando ao usuário a capacidade de"terceirizar" o gerenciamento do honeypot.
Conforme mostrado, os componentes de detecção de anomaliae filtragem (por exemplo, motor de filtragem 510 e um ou mais sensores dedetecção de anomalia 520) podem ser acoplados firmemente com o aplicati-vo protegido. De modo alternativo, os componentes de detecção de anoma-lia e filtragem podem ser centralizados em um ponto de agregação naturalna topologia da rede, tal como o firewall.
A figura 6 mostra um diagrama de outra disposição e ilustrativapara o sistema de detecção de ataques de acordo com algumas modalida-des da presente invenção. Conforme mostrado na disposição da figura 6, oscomponentes de filtragem e detecção de anomalia podem ser implementa-dos com um processador de como um neutralizador de carga personalizadovedável e um arranjo de sensores curtos funcionando em computadores co-nectados ao painel do processador da rede que implementam toda a heurís-tica de detecção. Por exemplo, o processador de rede selecionado pode serum processador de rede IXPI1200. Em algumas modalidades nenhuma dasheurísticas de detecção é implementada visto que processadores de redesão destinados a simplesmente avançar e atrasar a capacidade de proces-samento requerida para as velocidades necessárias e pode ser mais difícilprogramar e depurar do que outros processadores. Contudo, em algumasmodalidades, uma heurística de detecção pode ser implementada no pro-cessador de rede.
O componente de detecção de anomalia proporciona a capaci-dade de desviar solicitações potencialmente maliciosas para o honeypot. Porexemplo, em servidores da web, uma definição razoável no contexto do ata-que é uma solicitação de HTTP. Com essa finalidade, o componente de de-tecção de anomalia constrói uma solicitação, que executa a heurística dedetecção de anomalia e avança a solicitação, dependendo do resultado.
Desde que esse processamento pode ser realizado no nível de HTTP, umafunção semelhante à proxy de HTTP com a capacidade de aplicar a heurísti-ca de detecção Abstract Payload Execution na solicitação que chega e rote-ar a mesma de acordo com a sua decisão.
Para o cenário do cliente, uma solução alternativa baseada emmonitoração passiva pode ser usada. Nesta configuração, os fluxos de TCPde conexões de HTTP podem ser reconstruídos e o protocolo de HTTP podeser decodificado para extrair objetos suspeitos. Um objeto pode, então, serexaminado diretamente através da aplicação de um algoritmo de heurística.Se o objeto for considerado suspeito, um servidor é lançado que repete aresposta suspeita e dirige um navegador de honeypot para esse servidor.
A verificação de carga útil e a detecção de estouro do buffer a-través da execução de carga útil podem ser usadas como heurística para adetecção de anomalia. O algoritmo de verificação de carga útil deriva de im-pressões digitais de worms que se espalharam rapidamente, por meio daidentificação de subcordões populares no tráfico de rede. A detecção de es-touro do buffer através da execução de carga útil detecta os ataques de es-touro do buffer pela busca por seqüências suficientemente longas de instru-ções válidas no tráfico de rede. Seqüências longas de instruções válidas po-dem aparecer em dados não-maliciosos e aí é onde o honeypot pode serimplementado. Esse mecanismo de detecção é atraente porque ele pode seraplicado aos ataques individuais e detecção de disparos ao encontrar a pri-meira instância de um ataque. É improvável que muitos mecanismos de de-tecção de anomalia sejam requeridos para testemunhar múltiplos ataquesantes da sinalização dos ataques como anômalos.
Em algumas modalidades, a ferramenta de transformação decódigo pode ser usada para criar um honeypot. Essa ferramenta recebe oaplicativo original como entrada e insere no código de honeypot. Emboraerros por violação da memória sejam descritos principalmente nessas moda-lidades, deve ser notado que a presente invenção também pode ser usadapara agarrar e detectar outras violações.
TXL, uma linguagem híbrida funcional e baseada em regras, po-de ser usada para realizar as transformações de código, onde GCC C(Compilador de GNU C) pode ser usado como extremidade dianteira. TXL ébem adequada para realizar a transformação de fonte à fonte, contudo, umavariedade muito ampla de linguagens também poderia ser usada. A gramáti-ca responsável pela análise de entrada de fonte é especificada em uma no-tação similar a Extended Bakus Naur.
Em algumas modalidades, o honeypot é criado pela movimenta-ção de todos os buffers estáticos para o heap buffers estáticos podem sermovidos para heap pela alocação dinâmica de cada buffer com a introduçãoda função em que foi previamente declarado. Esses buffers podem ser desa-locados com a saída da função, quer implicitamente (por exemplo, pelo al-cance da extremidade do corpo da função) ou explicitamente (por exemplo,através de uma declaração de retorno). Deve ser notado que, como as regi-ões de memória alocadas são instrumentadas, acessos ilegais referentes aodesalinhamento de ponteiro são detectados.
Para a alocação de memória, uma nova versão de malloc(),chamada pmalloc(), foi criada. A figura 7 é um exemplo ilustrativo de umaalocação de memória baseada em malloc() de acordo com algumas modali-dades da presente invenção. Conforme mostrado na figura 7, a alocação dememória baseada em malloc() de acordo com algumas modalidades da pre-sente invenção. Conforme mostrado na figura 7, alocação de memória base-ada em malloc() aloca três páginas de memória 710. Além da página básica,pmallocO aloca duas páginas adicionais preenchidas com zeros, protegidascontra escrita 720 que envolvem o buffer solicitado. As páginas extras po-dem ser mmap()'ed de/dev/zero como leitura somente. Como mmap() operaem granularidade de página de memória, solicitações de memória são arre-dondadas até a página mais próxima. O indicador 730, que é retornado porpmalloc(), pode ser ajustado para pegar, imediatamente, qualquer estouroou subtransbordamento de buffer.
A figura 8 mostra um exemplo de uma translação de código deacordo com algumas modalidades da presente invenção. O código original émostrado no bloco 810 e o código traduzido é mostrado no bloco 820. Osbuffers que são alocados através de malloc() podem ser comutados parapmalloc() 830. Isso pode ser obtido através do exame de declarações nafonte e transformando-as em indicadores, onde o tamanho é alocado comuma chamada de função malloc(). A gramática de C também pode ser ajus-tada para liberar a memória 840 antes que a função retorne.
Qualquer estouro ou subtransbordamento em um buffer alocadoatravés de pmallocO pode fazer com que o processo receba um sinal de Vio-lação de Segmentação (SEGV), que é captado por um manipulador de sinalque é adicionado ao código fonte em main(). O manipulador de sinal notifi-cação ao sistema operacional para abortar todas as mudanças de estadofeitas pelo processo enquanto processamento é solicitado. Para se fazer,uma nova chamada de sistemas para o sistema operacional pode ser adi-cionado chamada transaction(). A função transaction() é invocada incondi-cionalmente em três localizações no código a critério da função sha-dow_enable(). A função shadow_enable retorna verdadeiramente quando aversão de honeypot do código está executando.
A primeira localização em que transaction() é colocada é no inte-rior do laço de processamento principal, antes de começar a manipulação deuma nova solicitação. Isso indica ao sistema operacional que uma novatransação começou. O sistema operacional faz um backup de todas as per-missões de páginas de memória e marca todas as páginas de memória heapcomo leitura somente. A medida que o processo executa e modifica essaspáginas, o sistema operacional mantém uma cópia da página original e alocauma nova página à qual é dada as permissões a página original do backuppara o processo usar. Isso é feito da mesma maneira que copy-on-write emsistemas operacionais modernos. Essa chamada para transaction() pode sercolocada manualmente, por exemplo, pelo programador ou desenhista dosistema. Ambas as cópias da página são mantidas até que transaction() sejachamada mais uma vez, como será descrito abaixo.
Após o término de manipulação de uma solicitação, no interiordo laço de processamento principal, está a segunda localização em que atransaction() pode ser invocada. Isso é feito aqui para indicar para o sistemaoperacional que uma transação tinha sido completada com sucesso. O sis-tema operacional, então, descarta todas as cópias originais das páginas dememória que foram modificadas durante o processamento da solicitação.Essa chamada para a transação também pode ser colocada manualmente
A terceira localização em que a transação pode ser invocada éno interior do manipulador de sinais. Essa localização pode ser instaladaautomaticamente pelas modalidades da presente invenção. Isso é feito paraindicar ao sistema operacional que um ataque (exceção) tinha sido detecta-do. O sistema operacional, então, descarta todas as páginas de memóriamodificadas através da restauração das páginas originais.
Em algumas modalidades, um mecanismo similar àquele descri-to acima pode ser construído em torno de um sistema de arquivos. Isso podeser feito, por exemplo, através do uso de uma cópia privada de uma cachede buffer para o processamento feito na versão de honeypots do código.
Deve ser compreendido que a invenção não está limitada emseu aplicativo aos detalhes de construção e às disposições dos componen-tes apresentados na descrição a seguir ou ilustrada nos desenhos. A inven-ção é capaz de outras modalidades e de ser posta em prática e realizada devárias maneiras. Também, deve ser compreendido que a fraseologia e aterminologia aqui empregadas são para fins de descrição e não devem serconsideradas como limitação.
Como tal, aqueles versados na técnica apreciarão que a con-cepção em que esta exposição está baseada pode ser prontamente utilizadacomo uma base para o desenho de outras estruturas, métodos e sistemaspara a realização das diversas finalidades da presente invenção. É importan-te, portanto, que as reivindicações sejam consideradas como incluindo essasconstruções equivalentes, desde que elas não se afastem do espírito e doescopo da presente invenção.
Embora a presente invenção tenha sido descrita e ilustrada nasmodalidades exemplificativas precedentes, deve ser compreendido que apresente exposição foi feita apenas à guisa de exemplo e que numerosasmudanças nos detalhes de implementação da invenção podem ser feitassem afastamento do espírito e do escopo da invenção, que está limitada a-penas pelas reivindicações que seguem.

Claims (23)

1. Método para proteger aplicativos de ataques, o método com-preendendo:Recebimento de tráfego de uma rede de comunicação que estátentando alcançar um aplicativo;Transmissão do tráfego recebido através de um componente dedetecção de anomalia, em que o componente de detecção de anomalia pre-diz se o tráfego recebido é um ataque potencial sobre o aplicativo e em queo componente de detecção de anomalia é sintonizado para obter uma baixataxa negativa falsa;Recebimento de uma indicação do componente de detecção deanomalia referente à predição do ataque potencial sobre o aplicativo;Em resposta ao recebimento da indicação do componente dedetecção de anomalia, transmitindo o tráfego recebido para o "honeypot éuma instância do aplicativo que compartilha informação de estado com oaplicativo e em que o honeypot monitora o tráfego recebido para ataquessobre o aplicativo;Recebimento de uma indicação do honeypot que o tráfego rece-bido é um ataque sobre o aplicativo; eRecebimento de uma instrução do honeypot para reparar a in-formação de estado do aplicativo.
2. Método, de acordo com a reivindicação 1, em que o reparoainda compreende a recuperação da informação de estado do aplicativo pa-ra a informação de estado salva previamente.
3. Método, de acordo com a reivindicação 1, em que o reparoainda compreende o descarte da informação de estado do aplicativo.
4. Método, de acordo com a reivindicação 1, em que o reparoainda compreende a iniciação de uma nova instância_do aplicativo com in-formação salva previamente.
5. Método, de acordo com a reivindicação 1, ainda compreen-dendo a filtragem do tráfego recebido antes da transmissão do tráfego rece-bido para o componente de detecção de anomalia.
6. Método, de acordo com a reivindicação 5, onde a filtragem ébaseada em pelo menos um dentre conteúdo de carga útil e fonte do ataque.
7. Método, de acordo com a reivindicação 1, ainda compreen-dendo a transmissão de realimentação do honeypot para o componente dedetecção de anomalia.
8. Método, de acordo com a reivindicação 7, ainda compreen-dendo a atualização do componente de detecção de anomalia com base pe-lo menos em parte na realimentação do honeypot.
9. Método, de acordo com a reivindicação 7, ainda compreen-dendo a atualização de pelo menos um dos preditores e.modelos associadoscom o componente de detecção de anomalia.
10. Método, de acordo com a reivindicação 7, ainda compreen-dendo o uso da realimentação para sintonizar automaticamente o compo-nente de detecção de anomalia.
11. Método, de acordo com a reivindicação 7, ainda compreen-dendo o uso de realimentação para sintonizar, automaticamente, um filtro.
12. Método, de acordo com a reivindicação 1, em que o aplicati-vo é um dentre um aplicativo de servidor, um aplicativo de cliente, um siste-ma operacional e um aplicativo em um computador principal.
13. Método, de acordo com a reivindicação 1, ainda compreen-dendo:Fornecimento de um filtro antes do componente de detecção deanomalia;Transmissão de realimentação do honeypot para o filtro; eAtualização do filtro com base pelo menos em parte n realimen-tação do honeypot.
14. Sistema para proteger aplicativos de ataques, o sistemacompreendendo:Um componente de detecção de anomalia que é sintonizado pa-ra obter uma baixa taxa negativa falsa, em que o componente de detecçãode anomalia é configurado para:Receber tráfego de uma rede de comunicação que está tentandoalcançar um aplicativo; eredizer se o tráfego recebido é um ataque potencial sobre oaplicativo; eUm honeypot que é uma instância do aplicativo que compartilhainformação de estado com o aplicativo, em que o honeypot é configuradopara:Receber uma indicação do componente de detecção de anoma-lia referente à predição do ataque potencial;Monitorar o tráfego recebido para ataques sobre o aplicativo; eEm resposta à determinação de que o tráfego recebido é umataque sobre o aplicativo, reparar a informação de estado do aplicativo.
15. Sistema, de acordo com a reivindicação 14, em que o ho-neypot é ainda configurado para recuperar a informação de estado do aplica-tivo para a informação de estado salva previamente.
16. Sistema, de acordo com a reivindicação 14, em que o ho-neypot é ainda configurado para descartar a informação de estado do aplica-tivo.
17. Sistema, de acordo com a reivindicação 14, em que o ho-neypot é ainda configurado para iniciar uma nova instância do aplicativo cominformação de estado salva previamente.
18. Sistema, de acordo com a reivindicação 14, ainda compre-endendo um filtro que filtra o tráfego recebido antes de transmitir o tráfegorecebido para o componente de detecção de anomalia.
19. Sistema, de acordo com a reivindicação 14, em que o ho-neypot é ainda configurado para transmitir realimentação do honeypot para ocomponente de detecção de anomalia.
20. Sistema, de acordo com a reivindicação 19, em que o com-ponente de detecção de anomalia é ainda configurado para atualizar o com-ponente de detecção de anomalia com base pelo menos em parte na reali-mentação do honeypot.
21. Sistema, de acordo com a reivindicação 19, em que o com-ponente de detecção de anomalia ainda é configurado para atualizar pelomenos um de preditores e modelos associados com o componente de de-tecção de anomalia.
22. Sistema, de acordo com a reivindicação 19, em que o com-ponente de detecção de anomalia é ainda configurado para sintonizar ocomponente de detecção de anomalia com base pelo menos em parte darealimentação.
23. Sistema, de acordo com a reivindicação 14, ainda compre-endendo um filtro configurado para receber o tráfego antes do componentede detecção de anomalia, em que o filtro recebe a realimentação do honey-por e é atualizado com base pelo menos em parte na realimentação do ho-neypot.
BRPI0610855-5A 2005-04-18 2006-04-18 sistemas e métodos para detectar e inibir ataques usando "honeypots" BRPI0610855A2 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US67228005P 2005-04-18 2005-04-18
US60/672,280 2005-04-18
PCT/US2006/014704 WO2006113781A1 (en) 2005-04-18 2006-04-18 Systems and methods for detecting and inhibiting attacks using honeypots

Publications (1)

Publication Number Publication Date
BRPI0610855A2 true BRPI0610855A2 (pt) 2010-08-03

Family

ID=37115495

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0610855-5A BRPI0610855A2 (pt) 2005-04-18 2006-04-18 sistemas e métodos para detectar e inibir ataques usando "honeypots"

Country Status (10)

Country Link
US (1) US7904959B2 (pt)
EP (1) EP1872222A1 (pt)
JP (1) JP2008537267A (pt)
CN (1) CN101185063A (pt)
AU (1) AU2006236283A1 (pt)
BR (1) BRPI0610855A2 (pt)
CA (1) CA2604544A1 (pt)
MX (1) MX2007013025A (pt)
RU (1) RU2007142368A (pt)
WO (1) WO2006113781A1 (pt)

Families Citing this family (276)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8171553B2 (en) * 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US20140373144A9 (en) 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
US8429746B2 (en) 2006-05-22 2013-04-23 Neuraliq, Inc. Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems
US8479288B2 (en) * 2006-07-21 2013-07-02 Research In Motion Limited Method and system for providing a honeypot mode for an electronic device
US8407160B2 (en) 2006-11-15 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for generating sanitized data, sanitizing anomaly detection models, and/or generating sanitized anomaly detection models
US8949986B2 (en) 2006-12-29 2015-02-03 Intel Corporation Network security elements using endpoint resources
US8239688B2 (en) * 2007-01-07 2012-08-07 Apple Inc. Securely recovering a computing device
US8286244B2 (en) * 2007-01-19 2012-10-09 Hewlett-Packard Development Company, L.P. Method and system for protecting a computer network against packet floods
DE102007017400A1 (de) * 2007-04-13 2008-10-16 Wilhelm, Andreas Verfahren zur Filterung von unerwünschten E-Mails
CN101729389B (zh) * 2008-10-21 2012-05-23 北京启明星辰信息技术股份有限公司 基于流量预测和可信网络地址学习的流量控制装置和方法
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
CN101567887B (zh) * 2008-12-25 2012-05-23 中国人民解放军总参谋部第五十四研究所 一种漏洞拟真超载蜜罐方法
JP5393286B2 (ja) * 2009-06-22 2014-01-22 日本電信電話株式会社 アクセス制御システム、アクセス制御装置及びアクセス制御方法
CN101582907B (zh) * 2009-06-24 2012-07-04 成都市华为赛门铁克科技有限公司 一种增强蜜网诱骗力度的方法和蜜网系统
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8489534B2 (en) * 2009-12-15 2013-07-16 Paul D. Dlugosch Adaptive content inspection
US9369437B2 (en) 2010-04-01 2016-06-14 Cloudflare, Inc. Internet-based proxy service to modify internet responses
US9049247B2 (en) 2010-04-01 2015-06-02 Cloudfare, Inc. Internet-based proxy service for responding to server offline errors
US8789189B2 (en) 2010-06-24 2014-07-22 NeurallQ, Inc. System and method for sampling forensic data of unauthorized activities using executability states
US9106697B2 (en) 2010-06-24 2015-08-11 NeurallQ, Inc. System and method for identifying unauthorized activities on a computer system using a data structure model
US9032521B2 (en) 2010-10-13 2015-05-12 International Business Machines Corporation Adaptive cyber-security analytics
US8752174B2 (en) 2010-12-27 2014-06-10 Avaya Inc. System and method for VoIP honeypot for converged VoIP services
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
JP5697206B2 (ja) 2011-03-31 2015-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 不正アクセスに対する防御をするシステム、方法およびプログラム
US8285808B1 (en) 2011-05-20 2012-10-09 Cloudflare, Inc. Loading of web resources
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US9245115B1 (en) * 2012-02-13 2016-01-26 ZapFraud, Inc. Determining risk exposure and avoiding fraud using a collection of terms
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9560011B2 (en) * 2012-02-28 2017-01-31 Raytheon Company System and method for protecting service-level entities
US10270739B2 (en) 2012-02-28 2019-04-23 Raytheon Bbn Technologies Corp. System and method for protecting service-level entities
US8347391B1 (en) * 2012-05-23 2013-01-01 TrustPipe LLC System and method for detecting network activity of interest
US9485276B2 (en) 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
CN103051615B (zh) * 2012-12-14 2015-07-29 陈晶 一种蜜场系统中抗大流量攻击的动态防御系统
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US8856324B2 (en) 2013-01-28 2014-10-07 TrustPipe LLC System and method for detecting a compromised computing system
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9436652B2 (en) * 2013-06-01 2016-09-06 General Electric Company Honeyport active network security
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9794275B1 (en) * 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US8973142B2 (en) * 2013-07-02 2015-03-03 Imperva, Inc. Compromised insider honey pots using reverse honey tokens
US10277628B1 (en) 2013-09-16 2019-04-30 ZapFraud, Inc. Detecting phishing attempts
US20150089655A1 (en) * 2013-09-23 2015-03-26 Electronics And Telecommunications Research Institute System and method for detecting malware based on virtual host
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US10694029B1 (en) 2013-11-07 2020-06-23 Rightquestion, Llc Validating automatic number identification data
CN103632100B (zh) * 2013-11-08 2017-06-27 北京奇安信科技有限公司 一种网站漏洞检测方法及装置
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
CN103607399B (zh) * 2013-11-25 2016-07-27 中国人民解放军理工大学 基于暗网的专用ip网络安全监测系统及方法
GB201321949D0 (en) 2013-12-12 2014-01-29 Ibm Semiconductor nanowire fabrication
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9560075B2 (en) 2014-10-22 2017-01-31 International Business Machines Corporation Cognitive honeypot
EP3123311B8 (en) 2014-11-17 2021-03-03 Morphisec Information Security 2014 Ltd Malicious code protection for computer systems based on process modification
US9535731B2 (en) 2014-11-21 2017-01-03 International Business Machines Corporation Dynamic security sandboxing based on intruder intent
CN104980423A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种高级可持续威胁诱捕系统及方法
US9591022B2 (en) 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
EP3041190B1 (en) * 2014-12-30 2020-11-25 Juniper Networks, Inc. Dynamic service handling using a honeypot
EP3243313B1 (en) 2015-01-07 2020-09-16 GoSecure Inc. System and method for monitoring a computer system using machine interpretable code
USD814494S1 (en) 2015-03-02 2018-04-03 Norse Networks, Inc. Computer display panel with an icon image of a live electronic threat intelligence visualization interface
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
USD810775S1 (en) 2015-04-21 2018-02-20 Norse Networks, Inc. Computer display panel with a graphical live electronic threat intelligence visualization interface
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9954870B2 (en) 2015-04-29 2018-04-24 International Business Machines Corporation System conversion in a networked computing environment
US9923908B2 (en) 2015-04-29 2018-03-20 International Business Machines Corporation Data protection in a networked computing environment
US9462013B1 (en) 2015-04-29 2016-10-04 International Business Machines Corporation Managing security breaches in a networked computing environment
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US9923914B2 (en) * 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US20170134405A1 (en) * 2015-11-09 2017-05-11 Qualcomm Incorporated Dynamic Honeypot System
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10135867B2 (en) * 2015-12-08 2018-11-20 Bank Of America Corporation Dynamically updated computing environments for detecting and capturing unauthorized computer activities
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US10721195B2 (en) 2016-01-26 2020-07-21 ZapFraud, Inc. Detection of business email compromise
EP3230919B1 (en) 2016-02-11 2023-04-12 Morphisec Information Security 2014 Ltd Automated classification of exploits based on runtime environmental features
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10333982B2 (en) * 2016-04-19 2019-06-25 Visa International Service Association Rotation of authorization rules in memory of authorization system
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US20180020024A1 (en) * 2016-07-14 2018-01-18 Qualcomm Incorporated Methods and Systems for Using Self-learning Techniques to Protect a Web Application
WO2018017151A1 (en) * 2016-07-21 2018-01-25 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10476895B2 (en) * 2016-09-12 2019-11-12 Sap Se Intrusion detection and response system
US10805314B2 (en) 2017-05-19 2020-10-13 Agari Data, Inc. Using message context to evaluate security of requested data
US9847973B1 (en) 2016-09-26 2017-12-19 Agari Data, Inc. Mitigating communication risk by detecting similarity to a trusted message contact
US11936604B2 (en) 2016-09-26 2024-03-19 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message
US10880322B1 (en) 2016-09-26 2020-12-29 Agari Data, Inc. Automated tracking of interaction with a resource of a message
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US20180124018A1 (en) * 2016-11-01 2018-05-03 Qualcomm Incorporated Coordinated application firewall
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US11044267B2 (en) 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US11722513B2 (en) 2016-11-30 2023-08-08 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US11019076B1 (en) 2017-04-26 2021-05-25 Agari Data, Inc. Message security assessment using sender identity profiles
US10599838B2 (en) * 2017-05-08 2020-03-24 Micron Technology, Inc. Crypto-ransomware compromise detection
US10897472B1 (en) * 2017-06-02 2021-01-19 Enigma Networkz, LLC IT computer network threat analysis, detection and containment
CN107332823A (zh) * 2017-06-06 2017-11-07 北京明朝万达科技股份有限公司 一种基于机器学习的服务器伪装方法和系统
US11757914B1 (en) 2017-06-07 2023-09-12 Agari Data, Inc. Automated responsive message to determine a security risk of a message sender
US11102244B1 (en) 2017-06-07 2021-08-24 Agari Data, Inc. Automated intelligence gathering
EP3416084B1 (en) * 2017-06-15 2021-01-27 Nokia Solutions and Networks Oy Communication apparatus, method and software
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10534915B2 (en) * 2017-06-29 2020-01-14 Aqua Security Software, Ltd. System for virtual patching security vulnerabilities in software containers
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
CN107426242B (zh) * 2017-08-25 2020-03-31 中国科学院计算机网络信息中心 网络安全防护方法、装置及存储介质
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US10769275B2 (en) * 2017-10-06 2020-09-08 Ca, Inc. Systems and methods for monitoring bait to protect users from security threats
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10826939B2 (en) * 2018-01-19 2020-11-03 Rapid7, Inc. Blended honeypot
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
WO2019152421A1 (en) * 2018-01-31 2019-08-08 Palo Alto Networks, Inc. Context profiling for malware detection
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US10460235B1 (en) * 2018-07-06 2019-10-29 Capital One Services, Llc Data model generation using generative adversarial networks
US10733297B2 (en) * 2018-07-09 2020-08-04 Juniper Networks, Inc. Real-time signatureless malware detection
EP3605374A1 (en) * 2018-08-03 2020-02-05 Hewlett-Packard Development Company, L.P. Intrusion resilient applications
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
CN109104438B (zh) * 2018-10-22 2021-06-18 杭州安恒信息技术股份有限公司 窄带物联网中的僵尸网络预警方法、装置及可读存储介质
CN109547250B (zh) * 2018-11-26 2022-08-09 深信服科技股份有限公司 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11263295B2 (en) * 2019-07-08 2022-03-01 Cloud Linux Software Inc. Systems and methods for intrusion detection and prevention using software patching and honeypots
US11550899B2 (en) * 2019-07-22 2023-01-10 Cloud Linux Software Inc. Systems and methods for hardening security systems using live patching
US11409862B2 (en) * 2019-07-22 2022-08-09 Cloud Linux Software Inc. Intrusion detection and prevention for unknown software vulnerabilities using live patching
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
CN111027059B (zh) * 2019-11-29 2022-07-19 武汉大学 一种基于llvm的抵御内存泄露的系统及方法
US11165823B2 (en) * 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
CN115004637B (zh) * 2020-01-22 2024-03-08 西门子工业公司 实时且独立的网络攻击监控和自动网络攻击响应系统
CN111400703B (zh) * 2020-02-15 2023-08-01 江苏亨通工控安全研究院有限公司 一种带有签名功能的工业控制领域的蜜罐系统
CN111506316B (zh) * 2020-03-20 2023-02-24 微梦创科网络科技(中国)有限公司 一种自动化蜜罐部署方法及装置
CN112035154B (zh) * 2020-08-13 2023-12-01 上海帆一尚行科技有限公司 一种修复车载终端内核的方法、装置和电子设备
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
CN113645234B (zh) * 2021-08-10 2022-12-13 东方财富信息股份有限公司 基于蜜罐的网络防御方法、系统、介质及装置
CN113553590B (zh) * 2021-08-12 2022-03-29 广州锦行网络科技有限公司 一种蜜罐防止攻击者逃逸的方法
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US20230289435A1 (en) * 2022-03-10 2023-09-14 Denso Corporation Incident response according to risk score
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6389532B1 (en) 1998-04-20 2002-05-14 Sun Microsystems, Inc. Method and apparatus for using digital signatures to filter packets in a network
US6658565B1 (en) 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US6715084B2 (en) * 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7042852B2 (en) * 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7086089B2 (en) * 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7467408B1 (en) * 2002-09-09 2008-12-16 Cisco Technology, Inc. Method and apparatus for capturing and filtering datagrams for network security monitoring
US7870608B2 (en) * 2004-05-02 2011-01-11 Markmonitor, Inc. Early detection and monitoring of online fraud
WO2007133178A2 (en) 2006-04-21 2007-11-22 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications

Also Published As

Publication number Publication date
WO2006113781A1 (en) 2006-10-26
JP2008537267A (ja) 2008-09-11
MX2007013025A (es) 2008-01-11
US20080141374A1 (en) 2008-06-12
RU2007142368A (ru) 2009-05-27
AU2006236283A1 (en) 2006-10-26
US7904959B2 (en) 2011-03-08
CA2604544A1 (en) 2006-10-26
CN101185063A (zh) 2008-05-21
EP1872222A1 (en) 2008-01-02

Similar Documents

Publication Publication Date Title
BRPI0610855A2 (pt) sistemas e métodos para detectar e inibir ataques usando "honeypots"
EP3814961B1 (en) Analysis of malware
US10305919B2 (en) Systems and methods for inhibiting attacks on applications
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
EP2486507B1 (en) Malware detection by application monitoring
US8353033B1 (en) Collecting malware samples via unauthorized download protection
US8214900B1 (en) Method and apparatus for monitoring a computer to detect operating system process manipulation
US11238154B2 (en) Multi-lateral process trees for malware remediation
US20130232576A1 (en) Systems and methods for cyber-threat detection
US20130152200A1 (en) Predictive Heap Overflow Protection
US20110047618A1 (en) Method, System, and Computer Program Product for Malware Detection, Analysis, and Response
US20240039942A1 (en) Malware detection at endpoint devices
US20080222729A1 (en) Containment of Unknown and Polymorphic Fast Spreading Worms
US20100054278A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
CN107851155A (zh) 用于跨越多个软件实体跟踪恶意行为的系统及方法
CN110119619B (zh) 创建防病毒记录的系统和方法
US8230499B1 (en) Detecting and blocking unauthorized downloads
Baliga et al. Automated containment of rootkits attacks
Anagnostakis et al. Shadow honeypots
Hsu et al. Scalable network-based buffer overflow attack detection
Chen et al. A Robust Kernel-Based Solution to Control-Hijacking Buffer Overflow Attacks.
Jayarathna et al. Hypervisor-based Security Architecture to Protect Web Applications.
Olowoyeye Evaluating Open Source Malware Sandboxes with Linux malware
AU2022426852A1 (en) Zero trust file integrity protection

Legal Events

Date Code Title Description
B11A Dismissal acc. art.33 of ipl - examination not requested within 36 months of filing
B11Y Definitive dismissal - extension of time limit for request of examination expired [chapter 11.1.1 patent gazette]