CN101185063A - 用于使用“蜜罐”检测和阻止攻击的系统和方法 - Google Patents
用于使用“蜜罐”检测和阻止攻击的系统和方法 Download PDFInfo
- Publication number
- CN101185063A CN101185063A CNA2006800129514A CN200680012951A CN101185063A CN 101185063 A CN101185063 A CN 101185063A CN A2006800129514 A CNA2006800129514 A CN A2006800129514A CN 200680012951 A CN200680012951 A CN 200680012951A CN 101185063 A CN101185063 A CN 101185063A
- Authority
- CN
- China
- Prior art keywords
- application program
- honey jar
- detection component
- anomaly detection
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Abstract
根据本发明的某些实施例,提供了保护应用程序免受攻击的系统和方法。在本发明的某些实施例中,由异常检测组件从通信网络接收通信。异常检测组件对接收的通信进行监视,并将通信路由到受保护的应用程序或者路由到“蜜罐”,在那里,“蜜罐”在受保护的应用程序与该应用程序共享所有状态信息。如果接收的通信被路由到“蜜罐”,“蜜罐”对通信进行监视,以发现攻击。如果发生攻击,则“蜜罐”修理受保护的应用程序(例如,丢弃由攻击所产生的任何状态改变,回复到预先保存的状态信息,等等)。
Description
对相关申请的交叉引用
本申请要求2005年4月18日提出的美国临时专利申请No.60/672,280的优先权,这里引用了该申请作为参考。
技术领域
本发明涉及计算机安全领域。具体来说,本发明涉及用于检测和阻止软件攻击的系统和方法。
背景技术
计算机病毒、蠕虫、特洛伊木马、黑客、密钥恢复攻击、恶意可执行程序、探针等等是对连接到公共计算机网络(如因特网)和/或私用网络(如公司计算机网络)的计算机的用户的威胁。为应付这些威胁,许多计算机用防病毒软件和防火墙保护起来。然而,这些预防措施并不总是可以胜任。例如,在许多情况下,蠕虫及其他攻击已经利用计算机软件(例如,防火墙技术中的)中已知的漏洞,而公众要到第二天才察觉到该漏洞的存在。由于这样快速地利用漏洞,纠正漏洞所需的补丁不能及时地部署以防止攻击。类似地,大多数防病毒软件都依赖对该软件的更新,以便可以利用已知病毒的特征来识别威胁。在“零天”蠕虫或病毒(例如,刚刚投入使用的蠕虫或病毒)的情况下,大多数计算机系统对攻击完全没有防范能力,因为还没有已知的补丁或特征更新针对它们。
由于因特网上恶意的活动比较猖獗,各个单位都部署用于检测新的攻击或可疑的活动并对它们作出响应的机制,有时被称为“入侵预防系统”。然而,这些入侵预防系统中的许多系统只限于预防已知的攻击,因为它们使用基于规则的入侵检测系统。
已经有人开发了用于更有威力的反应性防御系统中的诸如“蜜罐”和异常检测系统之类的检测机制。与入侵检测系统对比,“蜜罐”和异常检测系统提供了检测预先未知的攻击或“零天”攻击并对它们作出响应的可能性。“蜜罐”一般被定义为被设置为检测或偏转对信息系统的未授权使用的陷阱。然而,应该注意,“蜜罐”看不到合法的通信或活动。出现这种情况的一个原因是,因为“蜜罐”常常被放置在合法的通信没有理由进行访问的网络位置。另一个原因是,“蜜罐”通常太慢,难以在现实应用所需的时间内处理通信。再一个原因是,“蜜罐”没有完全地为合法的通信提供服务的功能,因为,例如,“蜜罐”不与实际系统共享状态。异常检测系统通过监视对它的企图的访问并使用启发规则来将访问分类为正常访问或异常访问,从而对资源进行保护。“蜜罐”和异常检测系统在可以检测到的攻击的精确度和范围之间取得不同的折衷。
“蜜罐”可以被着重地改编为准确地检测攻击,但是,它们依赖于攻击者企图利用漏洞来攻击它们。这使得“蜜罐”适于检测扫描性的蠕虫,但是,对于人工启动的攻击或拓扑和“攻击名单”式蠕虫却不起作用。此外,“蜜罐”通常只用于服务器型的应用场合。
从理论上来讲,异常检测系统可以检测两种类型的攻击,但是,精确性通常比“蜜罐”差得多。大多数异常检测系统在“假阳性”和“假阴性”检测率之间取得折衷。例如,常常可以对系统进行调整,以检测更多的潜在攻击,然而,这会使对合法的通信进行错误分类的风险增大。尽管可以使异常检测系统对攻击不太敏感,但是,这也会产生错过某些实际攻击的风险。由于异常检测系统可能会通过,例如,丢弃合法的请求,而对合法的通信产生不利影响,系统设计人员常常对系统进行调整,以降低可能将攻击错误分类合法的通信所造成的“假阳性”率。
相应地,需要提供克服现有技术的这些及其他缺陷的系统和方法。
发明内容
在本发明的某些实施例中,提供了用于保护应用程序免受攻击的系统和方法。通过异常检测组件传输接收的通信(例如,网络通信)。异常检测组件预测接收的通信是否是对应用程序的潜在攻击,并对异常检测组件进行调整,以取得较低的假阴性率。作为对从异常检测组件接收到有关通信可能是攻击的指示的响应,将接收的通信传输到“蜜罐”。“蜜罐”可以是应用程序的与应用程序共享状态信息的经过改编的实例。应该注意,在某些实施例中,“蜜罐”可以是受保护的应用程序本身的一部分。“蜜罐”对接收的通信进行监视,以发现对应用程序的攻击。作为对从“蜜罐”接收到有关接收的通信是对应用程序的攻击的指示的响应,“蜜罐”提供修理应用程序的状态信息的指令。
在一些实施例中,修理可以包括将应用程序的状态信息回滚到以前保存的状态信息。在一些实施例中,修理可以包括丢弃应用程序的状态信息。在一些实施例中,修理可以包括用以前保存的状态信息启动应用程序的新实例。
在某些实施例中,可以提供过滤器,用于在将接收的通信传输到异常检测组件之前对通信进行过滤。过滤操作可以基于攻击的有效负载内容和来源中的至少一个。
在某些实施例中,可以由“蜜罐”提供反馈。在某些实施例中,来自“蜜罐”的反馈可以用来更新异常检测组件(例如,与异常检测组件关联的预测器和模型)和/或过滤器。在某些实施例中,反馈可以用来自动地对异常检测组件和/或过滤器进行调整。
如此,相当广泛地概述了本发明的比较重要的特征,以便可以更好地理解随后的其详细描述,并且可以较好地理解发明人对当前技术的贡献。当然,下面还将描述本发明的其他特点,它们将构成所附的权利要求书的主题。
在这一方面,在详细地说明本发明的至少一个实施例之前,应该理解,本发明在其应用方面不仅限于下面的描述中阐述的或附图中所显示的结构细节和组件的布局。本发明可以有其他实施例,并可以以各种方式实施。此外,还应该理解,这里所使用的措辞和术语只是为了说明,不应该被视为限制性的。
如此,本领域技术人员将认识到,本说明书所依据的概念,可以轻松地被用作设计用于实现本发明的多种用途的其他结构、方法和系统的基础。因此,重要的是,权利要求被视为包括这样的等效的结构,只要它们不偏离本发明的精神和范围。
在本说明书的后面所附的并且构成本说明书的一部分的权利要求书中详细地指出了本发明的这些目标以及其他目标,以及构成了本发明的特征的新颖性的各种特征。为了更好地理解本发明,其使用所能取得的其操作上的优点和具体的目的,应该参考附图以及其中显示了本发明的优选实施例的描述。
附图说明
通过下面的参考附图进行的详细描述,本发明的上面的及其他优点将变得显而易见,在附图中,类似的附图标记在整个图中表示相同的部件,其中:
图1是根据本发明的某些实施例的适合于实现监视通信和保护应用程序免受攻击的应用程序的说明性系统的示意图;
图2是可以根据本发明的某些实施例使用的图1的服务器和其中一个客户端的详细示例;
图3是根据本发明的某些实施例的适合于监视通信和保护应用程序免受攻击的另一个说明性方案的示意图;
图4是根据本发明的某些实施例的用于保护应用程序免受攻击的说明性流程图;
图5是根据本发明的某些实施例的适合于监视通信和保护应用程序免受攻击的另一个说明性方案的示意图;
图6是根据本发明的某些实施例的适合于监视通信和保护应用程序免受攻击的另一个说明性方案的示意图;
图7是根据本发明的某些实施例使用的基于pmalloc()的存储器分配的示例;以及
图8是根据本发明的某些实施例执行的C代码的转换的示例。
具体实施方式
在下面的描述中,阐述了有关本发明的系统和方法以及这样的系统和方法可以运转的环境等等的很多具体细节,以便对本发明有全面的了解。然而,对本领域技术人员显而易见的是,可以无需这样的具体细节即可实施本发明,没有详细描述当前技术中已为大家所熟知的某些特征,以避免使本发明的主题复杂化。此外,还可以理解,下面所提供的示例只是示范性的,可以设想,还有其他在本发明的范围内的方法和系统。
根据本发明,提供了用于对应用程序进行未经证实的保护使其免受攻击的系统和方法。这些系统和方法提供至少一个异常检测器和至少一个“蜜罐”(有时称为“阴影蜜罐”)。这些阴影“蜜罐”能使攻击的迹象被检测到,并能使应用程序受到保护而免受这样的攻击。异常检测器对路由到受保护的应用程序的所有通信进行监视。代之以允许应用程序处理被视为异常的通信的是,异常的通信由“蜜罐”来进行处理。如这里所使用的,“蜜罐”是受保护的应用程序的基本上与该应用程序的正常实例共享所有内部状态的实例。然而,可以以各种方法提供“蜜罐”。例如,在某些实施例中,“蜜罐”应用程序可以是受保护的应用程序本身的一部分。通过使用“蜜罐”,检测到针对“蜜罐”的攻击,而“蜜罐”对应用程序进行修理(例如,丢弃任何产生的状态改变)。在其他实施例中,可以用在攻击之前保存的状态信息重新启动和加载应用程序。可以由“蜜罐”来验证被异常检测器错误分类的合法的通信,并可以由系统正确地并对用户透明地进行处理。应该注意,“阴影蜜罐”可以用于对服务器和客户端应用程序进行保护。
本发明的某些实施例允许系统设计人员对异常检测系统进行调整,以取得较低的假阴性率,从而最小化将现实的攻击错误分类为合法的通信,因为“蜜罐”消除了任何假阳性(或错误地触发的攻击的指示)。本发明可以抵御针对具有特定内部状态的特定站点定制的攻击。
图1是根据本发明的某些实施例的适合于实现用于监视保护应用程序免受攻击的系统和方法的说明性系统100的示意图。请参看图1,该图显示了用于实现本发明的示范性系统100。如图所示,系统100可以包括一个或多个客户端102。客户端102可以彼此在同一个位置,也可以彼此分离,位于不同的位置,并通过一个或多个通信链路104连接到通信网络106,而通信网络106通过通信链路108链接到服务器110。本申请的各种实施例可以至少在服务器和客户端上实现。
在系统100中,服务器110可以是用于执行应用程序的任何合适的服务器,如处理器、计算机、数据处理设备或这样的设备的组合。通信网络106可以是任何合适的计算机网络,包括因特网、内部网、广域网(WAN)、局域网(LAN)、无线网络、数字用户线(DSL)网络、帧中继网络、异步传输模式(ATM)网络、虚拟专用网络(VPN)或上述网络中的任何网络的任何组合。通信链路104和108可以是适合于在客户端102和服务器110之间传递数据的任何通信链路,如网络链路、拨号链路、无线链路、硬线链路等等。客户端102可以是个人计算机、笔记本电脑、大型计算机、哑终端、数据显示器、因特网浏览器、个人数字助理(PDA)、双向寻呼机、无线终端、便携式电话等等或上述各项的任何组合。客户端102和服务器110可以位于任何合适的位置。在一个实施例中,客户端102和服务器110可以位于一个单位内。或者,客户端102和服务器110可以分布在多个单位之间。
在图2中比较详细地显示了图1中所描述的服务器和其中一个客户端。请参看图2,客户端102可以包括处理器202、显示器204、输入设备206、和存储器208,它们可以互连起来。在优选实施例中,存储器208包含用于存储对处理器202进行处理的客户端程序的存储设备。存储器208也可以包含用于保护至少一个其他应用程序免受攻击的应用程序。在某些实施例中,应用程序可以驻留在客户端102或服务器110的存储器中。
虽然这里所描述的本发明的方法和系统是在客户端或服务器上实现的,但是,这只是说明性的。应用程序可以在任何合适的平台上实现(例如,个人计算机(PC)、大型计算机、哑终端、数据显示器、双向寻呼机、无线终端、便携式电话、便携式计算机、掌上电脑、H/PC、汽车PC、笔记本电脑、个人数字助理(PDA)、组合的蜂窝电话和PDA,等等),以提供这样的特征。
图3显示了根据本发明的某些实施例的系统的简化图例。如图所示,系统300包括异常检测传感器310。异常检测传感器310从网络320接收通信。异常检测传感器310可以将通信路由到受保护的应用程序330或者应用程序340的“蜜罐”版本。在某些实施例中,异常检测传感器310可以基于异常检测传感器310所进行的预测,将通信路由到受保护的应用程序330或“蜜罐”340。例如,异常检测传感器310可以至少部分地基于进行的有效负载分析或对网络行为进行分析的结果,对来自网络320的通信进行预测。
如前面所描述的,应用程序的“蜜罐”版本340是基本上与受保护的应用程序330的正常实例共享所有内部状态的该应用程序的实例。在某些实施例中,“蜜罐”应用程序可以是受保护的应用程序本身的一部分。通过使用“蜜罐”340,检测到针对“蜜罐”340的攻击,并丢弃任何产生的状态改变。可以由“蜜罐”340来验证被异常检测传感器310错误分类的通信320,并可以由系统300正确地并对用户透明地进行处理。“蜜罐”340和受保护的应用程序330连接到相同的处理状态信息350。一般而言,处理状态信息350可以包括,例如,可变值、存储器分配信息,与关联的组件或设备相关的状态信息,或定义进程的当前状态可能需要的任何其他合适的信息。
在某些实施例中,诸如“蜜罐”340之类的“蜜罐”,可以给异常检测传感器或系统300的任何其他合适的组件提供反馈。如图3所示,“蜜罐”340可以向异常检测传感器310提供反馈360。例如,“蜜罐”340可以向异常检测传感器310提供关于攻击的信息。异常检测传感器310可以使用来自“蜜罐”340的反馈360,来更新在异常检测传感器310内使用的预测器,或在用于调整异常检测传感器310的任何其他合适的方法中使用反馈360。
图4是显示了根据本发明的某些实施例的异常检测传感器和“蜜罐”的交互的说明性流程图。由系统在异常检测传感器(图4中的410)接收来自网络的通信。异常检测传感器确定接收的通信是否是对应用程序的攻击(图4中的420)。
如果异常检测传感器预测接收的通信是攻击,则将接收的通信路由到“蜜罐”(图4中的430)。由“蜜罐”对到达“蜜罐”的通信进行处理,并对它们进行监视,以发现攻击(图4中的440)。如果“蜜罐”没有检测到攻击,则由系统透明地对代码进行处理(图4中的450)。从用户的观点来看,似乎由受保护的应用程序对通信进行了处理。“蜜罐”也可以通知异常检测传感器,它进行了错误的预测(图4中的450)。异常检测传感器可以使用此信息来改善由异常检测传感器所进行的未来的预测。否则,如果“蜜罐”确定接收的通信是攻击,则“蜜罐”可以丢弃由攻击所导致的任何状态改变(图4中的460)。“蜜罐”也可以将正确的预测通知给异常检测传感器。关于正确的预测的信息也可以用于改善由异常检测传感器所进行的未来的预测。
或者,如果异常检测传感器预测接收的通信不是攻击,则将接收的通信路由到受保护的应用程序(图4中的470)。在此情况下,不将接收的通信路由到“蜜罐”版本。
图5显示了根据本发明的某些实施例的攻击检测系统的另一个说明性方案。在图5的方案中,系统500包括过滤引擎510、异常检测传感器520的阵列、应用程序530的“蜜罐”版本、受保护的应用程序540、当前处理状态550,以及用于回滚的保存的过程语句560。
过滤引擎510从网络570接收通信。过滤引擎510可以被系统500用于阻挡接收的通信570内的已知攻击。过滤可以,例如,基于攻击的有效负载内容、来源,任何合适的过滤方法的组合来进行,或通过用于过滤接收的通信的任何其他合适的方法来进行。如图5所示,过滤引擎510可以被配置为异常检测传感器520的阵列和来自网络570的通信之间的层。过滤引擎510可以用来在进行任何其他处理之前丢弃特定类型的通信。
如果来自网络570的通信经过过滤引擎510,则可以使用一个或多个异常检测传感器520的阵列来对接收的通信570进行处理。可以在系统500中使用的异常检测传感器520的类型的示例包括进行有效负载分析的传感器和网络行为异常检测器。然而,应该注意,根据本发明,可以使用任何合适的异常检测传感器。
应该注意,如果将异常检测传感器520调整到比较高的灵敏度,则可以改善结果。尽管这会增大由异常检测传感器520所报告的假阳性的数量,但是,进一步确保了攻击不会到达受保护的应用程序540。
至少部分地基于一个或多个异常检测传感器520的预测,系统500调用受保护的应用程序的正常实例540或者应用程序的“蜜罐”版本530。如前面所描述的,应用程序的“蜜罐”版本530是基本上与应用程序的正常实例共享所有内部状态的该应用程序的经过改编的实例。通过使用“蜜罐”530,检测到针对“蜜罐”530的攻击,并丢弃任何产生的状态改变。“蜜罐”530和受保护的应用程序540连接到相同的处理状态信息550。
然而,作为对检测到攻击或故障的响应,“蜜罐”530可以将任何状态改变回滚到已知的好的状态。例如,“蜜罐”530可以回滚到受保护的应用程序540在对恶意请求进行处理之前具有的状态(例如,用于回滚的保存的过程语句560)。或者,作为对检测到攻击的响应,“蜜罐”530可以重新启动应用程序或启动具有以前保存的状态信息的应用程序的新的实例。
在某些实施例中,“蜜罐”530可以给过滤引擎510、一个或多个异常检测传感器520,或系统500的任何其他合适的组件提供反馈。例如,作为对“蜜罐”530检测到实际攻击、确定假阳性或没有检测到攻击的响应,“蜜罐”530可以向一个或多个异常检测传感器520提供信息。一个或多个异常检测传感器520可以使用来自“蜜罐”530的反馈580,来更新在一个或多个异常检测传感器520内使用的预测器,或在用于调整一个或多个异常检测传感器520的任何其他合适的方法中使用反馈580。例如,一个或多个异常检测传感器520可以在将来使用该信息来阻挡类似的攻击和/或从过去的正确的和不正确的预测吸取经验。在另一个示例中,如果没有检测攻击,可以更新预测器或预测模型。也可以使用用于自动调准和更新一个或多个异常检测传感器520的任何其他合适的方法。
在另一个示例中,作为对“蜜罐”530检测到实际攻击、确定假阳性或没有检测到攻击的响应,“蜜罐”530可以向过滤引擎510提供信息(例如,反馈590)。过滤引擎510可以使用来自“蜜罐”530的反馈590来更新供过滤引擎510使用的过滤器,或在用于调整过滤引擎510的任何其他合适的方法中使用反馈590。例如,过滤引擎510可以在将来使用反馈590来阻挡类似的攻击和/或从过去的正确的和不正确的预测吸取经验。也可以使用用于自动调准和更新过滤引擎510的任何其他合适的方法。
应该注意,通信路线系统500,包括攻击通信,可以通过由过滤引擎510和一个或多个异常检测传感器520(在那里,不允许侧面的信道访问)的处理,与受保护的应用程序进行交互。
本发明的某些实施例可以与服务器和客户端两者集成在一起。
在某些实施例中,阴影“蜜罐”可以紧密地和服务器连接在一起。可以通过让可疑的请求转向服务器应用程序的“蜜罐”版本(在那里,服务器应用程序和“蜜罐”具有镜像的功能和状态)来对服务器应用程序进行保护。受保护的应用程序可以是,例如,Web服务器。
在某些实施例中,阴影“蜜罐”可以紧密地和客户端连接在一起。可以防止客户端应用程序免受例如被动攻击的攻击,在这种攻击中,攻击者引诱客户端的用户下载包含攻击的数据(例如,MicrosoftInternet Explorer的JPEG处理中的最近缓冲区溢出漏洞)。受保护的应用程序可以用来保护,例如,客户端上的Web浏览器或任何其他应用程序免受单个数据包、整个流,或一组流中包含的攻击的侵犯。
虽然在前面的示范性实施例中本发明被描述为紧密连接的,以便使攻击者不能利用“蜜罐”的状态和应用程序的状态之间的区别,因为它们两者共享相同的状态,但是,应该指出的是,只是作为示例来说明本发明的,在不偏离本发明的精神或范围的情况下,可以对结构细节和进程和设备的组合和布局作出许多更改。例如,可以提供根据本发明的某些实施例的松散连接的配置。“蜜罐”可以驻留在不同的系统上,将不会与受保护的应用程序共享状态。这种松散连接的实施例允许“蜜罐”由单独的实体进行管理,从而,给用户提供了将对“蜜罐”的管理外包的能力。
如图所示,过滤和异常检测组件(例如,过滤引擎510和一个或多个异常检测传感器520)可以与受保护的应用程序紧密地连接在一起。或者,过滤和异常检测组件可以集中在网络拓扑中的诸如防火墙之类的自然聚合点。
图6显示了根据本发明的某些实施例的攻击检测系统的另一个说明性方案的图形。如图6的方案所示,过滤和异常检测组件可以与网络处理器一起实现,作为在连接到网络处理器板的实现了所有检测启发规则的计算机上运行的可缩放的自定义负载平衡器和snort传感器阵列。例如,选定网络处理器可以是IXP1200网络处理器。在某些实施例中,在它上面没有实现任何检测启发规则,因为网络处理器被设计为进行简单的转发,缺少达到必要的速度所需的处理能力,比其他处理器难以编程和调试。然而,在某些实施例中,可以在网络处理器上实现检测启发规则。
异常检测组件提供了将潜在恶意请求转向到“蜜罐”的能力。例如,在Web服务器中,攻击上下文的合理定义是HTTP请求。为此,异常检测组件构建请求,运行异常检测启发规则,并根据结果转发该请求。由于此处理可以在HTTP级别执行,因此,提供类似于HTTP代理的功能。可以通过给HTTP代理添加在传入的请求上应用“抽象有效负载执行”检测启发规则并根据其决策来路由它们的能力,实现紧密连接的“蜜罐”服务器的异常检测组件。
对于客户端的情况,可以使用基于被动监视的替代解决方案。在此配置中,可以重建HTTP连接的TCP流,并可以对HTTP协议进行解码,以提取可疑的对象。然后,可以通过应用启发式算法来直接检查对象。如果对象被认为可疑的,则启动重放可疑的响应的服务器,并将“蜜罐”浏览器定向到此服务器。
可以使用通过抽象有效负载执行的有效负载筛选和缓冲区溢出检测,作为异常检测的启发规则。有效负载筛选算法通过标识网络通信中的流行子字符串来推导出快速扩散的蠕虫的指纹。通过抽象有效负载执行的缓冲区溢出检测通过搜索网络通信中的有效指令的足够长的序列来检测缓冲区溢出攻击。有效指令的长序列可以出现在非恶意数据中,这是可以实现“蜜罐”的位置。此检测机制是有吸引力的,因为它可以应用于单个的攻击,并在遇到攻击的第一个实例时触发检测。这与在将攻击标记为异常之前表明多个攻击所需的许多异常检测机制不同。
在某些实施例中,可以使用代码转换工具来创建“蜜罐”。此工具接收原始应用程序作为输入,并插入在“蜜罐”代码中。尽管在这些实施例中主要描述了侵害存储器错误,但是,应该注意,本发明也可以用于捕捉和检测其他侵害。可以使用TXL(混合型功能和基于规则的语言)来执行代码转换,而可以使用GCC C(GNU C编译器)作为前端。TXL最适合用于执行源代码到源代码转换,然而,也可以使用各种其他语言。在类似于Extended Backus Naur的表示法中说明了负责对源输入进行分析的语法。
在某些实施例中,通过将所有静态缓冲区移动到堆栈中来创建“蜜罐”。通过动态地分配每一个缓冲区(在进入预先声明了该缓冲区的函数时),可以将静态缓冲区移到堆栈中。可以在退出函数时,无论是隐式(例如,通过到达函数体的末尾)或显式(例如,通过返回语句),解除分配这些缓冲区。应该注意,由于已分配的存储器区域已经经过改编,因此,可以检测到有关指针别名的非法访问。
为了进行存储器分配,创建了叫做pmalloc()的malloc()的新版本。图7是根据本发明的某些实施例的基于pmalloc()的存储器分配的说明性示例。如图7所示,基于pmalloc()的存储器分配操作,分配了三个存储器页面710。除基本的一个页面之外,pmalloc()还分配两个额外的填充了零的,写保护的页面720,这些页面将被请求的缓冲区加括号。额外的页面可以作为只读与/dev/zero进行mmap()操作。因为mmap()在存储器页面粒度操作,存储器请求被四舍五入到最近的页面。可以调整被pmalloc()返回的指针730,以立即捕捉任何缓冲区溢出或下溢。
图8显示了根据本发明的某些实施例的代码转换的示例。在方框810中显示了原始代码,而在方框820中显示了经过转换的代码。通过malloc()分配的缓冲区可以切换到pmalloc()830。这可以通过检查源代码中的声明并将它们转换到利用malloc()函数调用分配大小的指针来实现的。也可以调整C语法,以在函数返回之前释放存储器840。
通过pmalloc()分配的缓冲区上的任何溢出或下溢可以导致进程接收分段违规(SEGV)信号,该信号是由添加到main()中的源代码的信号处理程序捕捉的。信号处理程序通知操作系统,以在处理此请求时中止该进程所作出的所有状态改变。为此,可以添加叫做transaction()的对操作系统的新系统调用。在代码中的三个位置,按照shadow_enable()的意思,有条件地调用transaction()。当代码的“蜜罐”版本正在运行时,shadow_enable()函数返回true。
放置了transaction()的第一位置位于开始新的请求的处理之前的主要处理循环内部。这向操作系统表明,新的事务已经开始。操作系统对所有存储器页面权限进行备份,并将所有堆栈存储器页面标记为只读。随着进程执行并修改这些页面,操作系统保留原始页面的副本并分配新页面(该新页面被给予了备份中的原始页面的权限),以供进程使用。这是以与Copy-on-Write在现代操作系统中相同的工作方式进行的。此对transaction()的调用可以由,例如,程序员或系统设计人员来人工地放置。页面的两个副本都保留,直到再次调用transaction(),正如下文所描述的。
在处理请求结束之后,在主要处理循环内,是可以调用transaction()的第二个位置。这里这样做是为了向操作系统表明,事务已经成功地完成。然后,操作系统丢弃在处理请求的过程中已经修改的存储器页面的所有原始副本。也可以人工地放置对事务的此调用。
可以调用事务的第三个位置位于信号处理程序内部。此位置可以通过本发明的实施例自动地安装。这样做是为了向操作系统指出,已经检测到攻击(异常)。然后,操作系统通过恢复原始页面,丢弃所有经过修改的存储器页面。
在某些实施例中,可以在文件系统的周围构建与上文所描述的类似的机制。这可以例如通过使用在代码的“蜜罐”版本中进行的处理的高速缓冲存储器的专用副本来完成。
应该理解,本发明在其应用方面不仅限于下面的描述中阐述的或图形中所显示的结构细节和组件的布局。本发明可以有其他实施例,并可以以各种方式实施。此外,还应该理解,这里所使用的措辞和术语只是为了说明,不应该被视为限制性的。
如此,本领域技术人员将认识到,本说明书所依据的概念,可以轻松地被用作设计用于实现本发明的多种用途的其他结构、方法和系统的基础。因此,重要的是,权利要求被视为包括这样的等效的结构,只要它们不偏离本发明的精神和范围。
虽然是以前面的示范性实施例来描述和说明本发明的,但是,应该理解,只是作为示例来说明本发明的,在不偏离仅仅由随后的权利要求作出限制的本发明的精神或范围的情况下,可以对本发明的实现方式的细节作出许多更改。
Claims (23)
1.一种用于保护应用程序免受攻击的方法,所述方法包括:
从通信网络接收企图到达应用程序的通信;
通过异常检测组件传输所述接收的通信,其中,所述异常检测组件预测所述接收的通信是否是对所述应用程序的潜在攻击,其中,对所述异常检测组件进行调整,以取得较低的假阴性率;
从所述异常检测组件接收关于对所述应用程序的所述潜在攻击的所述预测的指示;
作为对从所述异常检测组件接收到所述指示的响应,将所述接收的通信传输到“蜜罐”,其中,所述“蜜罐”是所述应用程序的与所述应用程序共享状态信息的实例,其中,所述“蜜罐”对所述接收的通信进行监视,以发现对所述应用程序的攻击;
从所述“蜜罐”接收所述接收的通信是对所述应用程序的攻击的指示;以及
从所述“蜜罐”接收修理所述应用程序的所述状态信息的指令。
2.根据权利要求1所述的方法,其中,所述修理进一步包括将所述应用程序的所述状态信息回滚到以前保存的状态信息。
3.根据权利要求1所述的方法,其中,所述修理进一步包括丢弃所述应用程序的所述状态信息。
4.根据权利要求1所述的方法,其中,所述修理进一步包括用以前保存的状态信息启动所述应用程序的新实例。
5.根据权利要求1所述的方法,进一步包括在将所述接收的通信传输到所述异常检测组件之前对所述接收的通信进行过滤。
6.根据权利要求5所述的方法,其中,所述过滤是基于所述攻击的有效负载内容和来源中的至少一个来进行的。
7.根据权利要求1所述的方法,进一步包括从所述“蜜罐”向所述异常检测组件传输反馈。
8.根据权利要求7所述的方法,进一步包括至少部分地基于来自所述“蜜罐”的所述反馈,更新所述异常检测组件。
9.根据权利要求7所述的方法,进一步包括更新与所述异常检测组件关联的预测器和模型中的至少一个。
10.根据权利要求7所述的方法,进一步包括使用所述反馈来自动地对所述异常检测组件进行调整。
11.根据权利要求7所述的方法,进一步包括使用所述反馈来自动地对过滤器进行调整。
12.根据权利要求1所述的方法,其中,所述应用程序是服务器应用程序、客户端应用程序、操作系统,以及大型机上的应用程序中的一种。
13.根据权利要求1所述的方法,进一步包括:
在所述异常检测组件之前提供过滤器;
从所述“蜜罐”向所述过滤器传输反馈;以及
至少部分地基于来自所述“蜜罐”的反馈,更新所述过滤器。
14.一种用于保护应用系统免受攻击的系统,所述系统包括:
被调整为取得较低的假阴性率的异常检测组件,其中,所述异常检测组件被配置为:
从通信网络接收企图到达应用程序的通信;以及
预测所述接收的通信是否是对所述应用程序的潜在攻击;以及
所述应用程序的与所述应用程序共享状态信息的实例的“蜜罐”,其中,所述“蜜罐”被配置为:
从所述异常检测组件接收关于所述潜在攻击的所述预测的指示;
对所述接收的通信进行监视,以发现对所述应用程序的攻击;以及
作为对确定所述接收的通信是对所述应用程序的攻击的响应,修理所述应用程序的所述状态信息。
15.根据权利要求14所述的系统,其中,所述“蜜罐”被进一步配置为将所述应用程序的所述状态信息回滚到以前保存的状态信息。
16.根据权利要求14所述的系统,其中,所述“蜜罐”被进一步配置为丢弃所述应用程序的所述状态信息。
17.根据权利要求14所述的系统,其中,所述“蜜罐”被进一步配置为用以前保存的状态信息启动所述应用程序的新实例。
18.根据权利要求14所述的系统,进一步包括在将所述接收的通信传输到所述异常检测组件之前对所述接收的通信进行过滤的过滤器。
19.根据权利要求14所述的系统,其中,所述“蜜罐”被进一步配置为从所述“蜜罐”向所述异常检测组件传输反馈。
20.根据权利要求19所述的系统,其中,所述异常检测组件被进一步配置为至少部分地基于来自所述“蜜罐”的所述反馈更新所述异常检测组件。
21.根据权利要求19所述的系统,其中,所述异常检测组件被进一步配置为更新与所述异常检测组件关联的预测器和模型中的至少一个。
22.根据权利要求19所述的系统,其中,所述异常检测组件被进一步配置为至少部分地基于所述反馈对所述异常检测组件进行调整。
23.根据权利要求14所述的系统,进一步包括被配置为在所述异常检测组件之前接收所述通信的过滤器,其中,所述过滤器从所述“蜜罐”接收反馈并至少部分地基于来自所述“蜜罐”的所述反馈来进行更新。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US67228005P | 2005-04-18 | 2005-04-18 | |
US60/672,280 | 2005-04-18 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101185063A true CN101185063A (zh) | 2008-05-21 |
Family
ID=37115495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2006800129514A Pending CN101185063A (zh) | 2005-04-18 | 2006-04-18 | 用于使用“蜜罐”检测和阻止攻击的系统和方法 |
Country Status (10)
Country | Link |
---|---|
US (1) | US7904959B2 (zh) |
EP (1) | EP1872222A1 (zh) |
JP (1) | JP2008537267A (zh) |
CN (1) | CN101185063A (zh) |
AU (1) | AU2006236283A1 (zh) |
BR (1) | BRPI0610855A2 (zh) |
CA (1) | CA2604544A1 (zh) |
MX (1) | MX2007013025A (zh) |
RU (1) | RU2007142368A (zh) |
WO (1) | WO2006113781A1 (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729389B (zh) * | 2008-10-21 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
CN101567887B (zh) * | 2008-12-25 | 2012-05-23 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
CN101582907B (zh) * | 2009-06-24 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
CN104520826A (zh) * | 2012-05-23 | 2015-04-15 | 趣斯特派普有限公司 | 用于检测关注的网络活动的系统和方法 |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
CN105493060A (zh) * | 2013-06-01 | 2016-04-13 | 通用电气公司 | 蜜端主动网络安全 |
US9787713B2 (en) | 2013-01-28 | 2017-10-10 | Evengx, Llc | System and method for detecting a compromised computing system |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
CN111027059A (zh) * | 2019-11-29 | 2020-04-17 | 武汉大学 | 一种基于llvm的抵御内存泄露的系统及方法 |
CN111506316A (zh) * | 2020-03-20 | 2020-08-07 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
CN112035154A (zh) * | 2020-08-13 | 2020-12-04 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
CN115004637A (zh) * | 2020-01-22 | 2022-09-02 | 西门子工业公司 | 实时且独立的网络攻击监控和自动网络攻击响应系统 |
Families Citing this family (260)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8429746B2 (en) | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
US8479288B2 (en) * | 2006-07-21 | 2013-07-02 | Research In Motion Limited | Method and system for providing a honeypot mode for an electronic device |
US8407160B2 (en) | 2006-11-15 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for generating sanitized data, sanitizing anomaly detection models, and/or generating sanitized anomaly detection models |
US8949986B2 (en) | 2006-12-29 | 2015-02-03 | Intel Corporation | Network security elements using endpoint resources |
US8239688B2 (en) | 2007-01-07 | 2012-08-07 | Apple Inc. | Securely recovering a computing device |
US8286244B2 (en) * | 2007-01-19 | 2012-10-09 | Hewlett-Packard Development Company, L.P. | Method and system for protecting a computer network against packet floods |
DE102007017400A1 (de) * | 2007-04-13 | 2008-10-16 | Wilhelm, Andreas | Verfahren zur Filterung von unerwünschten E-Mails |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
JP5393286B2 (ja) * | 2009-06-22 | 2014-01-22 | 日本電信電話株式会社 | アクセス制御システム、アクセス制御装置及びアクセス制御方法 |
US8832829B2 (en) * | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8489534B2 (en) * | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
US9049247B2 (en) | 2010-04-01 | 2015-06-02 | Cloudfare, Inc. | Internet-based proxy service for responding to server offline errors |
US8370940B2 (en) | 2010-04-01 | 2013-02-05 | Cloudflare, Inc. | Methods and apparatuses for providing internet-based proxy services |
US9106697B2 (en) * | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
US8789189B2 (en) | 2010-06-24 | 2014-07-22 | NeurallQ, Inc. | System and method for sampling forensic data of unauthorized activities using executability states |
US9032521B2 (en) | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
US8752174B2 (en) | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
JP5689333B2 (ja) | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
US8285808B1 (en) | 2011-05-20 | 2012-10-09 | Cloudflare, Inc. | Loading of web resources |
US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US9473437B1 (en) * | 2012-02-13 | 2016-10-18 | ZapFraud, Inc. | Tertiary classification of communications |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
US10270739B2 (en) | 2012-02-28 | 2019-04-23 | Raytheon Bbn Technologies Corp. | System and method for protecting service-level entities |
US9560011B2 (en) * | 2012-02-28 | 2017-01-31 | Raytheon Company | System and method for protecting service-level entities |
US9485276B2 (en) | 2012-09-28 | 2016-11-01 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9794275B1 (en) * | 2013-06-28 | 2017-10-17 | Symantec Corporation | Lightweight replicas for securing cloud-based services |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US8973142B2 (en) * | 2013-07-02 | 2015-03-03 | Imperva, Inc. | Compromised insider honey pots using reverse honey tokens |
US10277628B1 (en) | 2013-09-16 | 2019-04-30 | ZapFraud, Inc. | Detecting phishing attempts |
US20150089655A1 (en) * | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US10694029B1 (en) | 2013-11-07 | 2020-06-23 | Rightquestion, Llc | Validating automatic number identification data |
CN103632100B (zh) * | 2013-11-08 | 2017-06-27 | 北京奇安信科技有限公司 | 一种网站漏洞检测方法及装置 |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
GB201321949D0 (en) | 2013-12-12 | 2014-01-29 | Ibm | Semiconductor nanowire fabrication |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9942250B2 (en) | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9560075B2 (en) | 2014-10-22 | 2017-01-31 | International Business Machines Corporation | Cognitive honeypot |
WO2016079602A1 (en) | 2014-11-17 | 2016-05-26 | Morphisec Information Security Ltd. | Malicious code protection for computer systems based on process modification |
US9535731B2 (en) | 2014-11-21 | 2017-01-03 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
US9591022B2 (en) | 2014-12-17 | 2017-03-07 | The Boeing Company | Computer defenses and counterattacks |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
EP3041190B1 (en) * | 2014-12-30 | 2020-11-25 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
WO2016112219A1 (en) | 2015-01-07 | 2016-07-14 | CounterTack, Inc. | System and method for monitoring a computer system using machine interpretable code |
USD814494S1 (en) | 2015-03-02 | 2018-04-03 | Norse Networks, Inc. | Computer display panel with an icon image of a live electronic threat intelligence visualization interface |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
USD810775S1 (en) | 2015-04-21 | 2018-02-20 | Norse Networks, Inc. | Computer display panel with a graphical live electronic threat intelligence visualization interface |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US9954870B2 (en) | 2015-04-29 | 2018-04-24 | International Business Machines Corporation | System conversion in a networked computing environment |
US9923908B2 (en) | 2015-04-29 | 2018-03-20 | International Business Machines Corporation | Data protection in a networked computing environment |
US9462013B1 (en) | 2015-04-29 | 2016-10-04 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US9923914B2 (en) * | 2015-06-30 | 2018-03-20 | Norse Networks, Inc. | Systems and platforms for intelligently monitoring risky network activities |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10135867B2 (en) * | 2015-12-08 | 2018-11-20 | Bank Of America Corporation | Dynamically updated computing environments for detecting and capturing unauthorized computer activities |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10721195B2 (en) | 2016-01-26 | 2020-07-21 | ZapFraud, Inc. | Detection of business email compromise |
EP3230919B1 (en) | 2016-02-11 | 2023-04-12 | Morphisec Information Security 2014 Ltd | Automated classification of exploits based on runtime environmental features |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10333982B2 (en) | 2016-04-19 | 2019-06-25 | Visa International Service Association | Rotation of authorization rules in memory of authorization system |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US20180020024A1 (en) * | 2016-07-14 | 2018-01-18 | Qualcomm Incorporated | Methods and Systems for Using Self-learning Techniques to Protect a Web Application |
WO2018017151A1 (en) * | 2016-07-21 | 2018-01-25 | Level 3 Communications, Llc | System and method for voice security in a telecommunications network |
US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10476895B2 (en) * | 2016-09-12 | 2019-11-12 | Sap Se | Intrusion detection and response system |
US10805270B2 (en) | 2016-09-26 | 2020-10-13 | Agari Data, Inc. | Mitigating communication risk by verifying a sender of a message |
US10880322B1 (en) | 2016-09-26 | 2020-12-29 | Agari Data, Inc. | Automated tracking of interaction with a resource of a message |
US10805314B2 (en) | 2017-05-19 | 2020-10-13 | Agari Data, Inc. | Using message context to evaluate security of requested data |
US11936604B2 (en) | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US20180124018A1 (en) * | 2016-11-01 | 2018-05-03 | Qualcomm Incorporated | Coordinated application firewall |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10715543B2 (en) | 2016-11-30 | 2020-07-14 | Agari Data, Inc. | Detecting computer security risk based on previously observed communications |
US11722513B2 (en) | 2016-11-30 | 2023-08-08 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US11044267B2 (en) | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US11019076B1 (en) | 2017-04-26 | 2021-05-25 | Agari Data, Inc. | Message security assessment using sender identity profiles |
US10599838B2 (en) * | 2017-05-08 | 2020-03-24 | Micron Technology, Inc. | Crypto-ransomware compromise detection |
US10897472B1 (en) * | 2017-06-02 | 2021-01-19 | Enigma Networkz, LLC | IT computer network threat analysis, detection and containment |
US11757914B1 (en) | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
US11102244B1 (en) | 2017-06-07 | 2021-08-24 | Agari Data, Inc. | Automated intelligence gathering |
EP3416084B1 (en) * | 2017-06-15 | 2021-01-27 | Nokia Solutions and Networks Oy | Communication apparatus, method and software |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10534915B2 (en) * | 2017-06-29 | 2020-01-14 | Aqua Security Software, Ltd. | System for virtual patching security vulnerabilities in software containers |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
CN107426242B (zh) * | 2017-08-25 | 2020-03-31 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US10769275B2 (en) * | 2017-10-06 | 2020-09-08 | Ca, Inc. | Systems and methods for monitoring bait to protect users from security threats |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US10826939B2 (en) | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
CN112005234A (zh) * | 2018-01-31 | 2020-11-27 | 帕洛阿尔托网络公司 | 恶意软件检测的上下文剖析 |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US10460235B1 (en) * | 2018-07-06 | 2019-10-29 | Capital One Services, Llc | Data model generation using generative adversarial networks |
US10733297B2 (en) * | 2018-07-09 | 2020-08-04 | Juniper Networks, Inc. | Real-time signatureless malware detection |
EP3605374A1 (en) * | 2018-08-03 | 2020-02-05 | Hewlett-Packard Development Company, L.P. | Intrusion resilient applications |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
CN109104438B (zh) * | 2018-10-22 | 2021-06-18 | 杭州安恒信息技术股份有限公司 | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11263295B2 (en) * | 2019-07-08 | 2022-03-01 | Cloud Linux Software Inc. | Systems and methods for intrusion detection and prevention using software patching and honeypots |
US11409862B2 (en) * | 2019-07-22 | 2022-08-09 | Cloud Linux Software Inc. | Intrusion detection and prevention for unknown software vulnerabilities using live patching |
US11550899B2 (en) | 2019-07-22 | 2023-01-10 | Cloud Linux Software Inc. | Systems and methods for hardening security systems using live patching |
US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
US11165823B2 (en) * | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
CN111400703B (zh) * | 2020-02-15 | 2023-08-01 | 江苏亨通工控安全研究院有限公司 | 一种带有签名功能的工业控制领域的蜜罐系统 |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
CN113645234B (zh) * | 2021-08-10 | 2022-12-13 | 东方财富信息股份有限公司 | 基于蜜罐的网络防御方法、系统、介质及装置 |
CN113553590B (zh) * | 2021-08-12 | 2022-03-29 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US20230289435A1 (en) * | 2022-03-10 | 2023-09-14 | Denso Corporation | Incident response according to risk score |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6389532B1 (en) | 1998-04-20 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for using digital signatures to filter packets in a network |
US6658565B1 (en) | 1998-06-01 | 2003-12-02 | Sun Microsystems, Inc. | Distributed filtering and monitoring system for a computer internetwork |
US6715084B2 (en) * | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
US7086089B2 (en) * | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
US7467408B1 (en) * | 2002-09-09 | 2008-12-16 | Cisco Technology, Inc. | Method and apparatus for capturing and filtering datagrams for network security monitoring |
US7870608B2 (en) * | 2004-05-02 | 2011-01-11 | Markmonitor, Inc. | Early detection and monitoring of online fraud |
US8763103B2 (en) | 2006-04-21 | 2014-06-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for inhibiting attacks on applications |
-
2006
- 2006-04-18 CA CA002604544A patent/CA2604544A1/en not_active Abandoned
- 2006-04-18 CN CNA2006800129514A patent/CN101185063A/zh active Pending
- 2006-04-18 BR BRPI0610855-5A patent/BRPI0610855A2/pt not_active Application Discontinuation
- 2006-04-18 RU RU2007142368/09A patent/RU2007142368A/ru not_active Application Discontinuation
- 2006-04-18 WO PCT/US2006/014704 patent/WO2006113781A1/en active Application Filing
- 2006-04-18 AU AU2006236283A patent/AU2006236283A1/en not_active Abandoned
- 2006-04-18 JP JP2008507829A patent/JP2008537267A/ja active Pending
- 2006-04-18 MX MX2007013025A patent/MX2007013025A/es not_active Application Discontinuation
- 2006-04-18 EP EP06750684A patent/EP1872222A1/en not_active Withdrawn
-
2007
- 2007-10-10 US US11/870,043 patent/US7904959B2/en active Active
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101729389B (zh) * | 2008-10-21 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
CN101567887B (zh) * | 2008-12-25 | 2012-05-23 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
CN101582907B (zh) * | 2009-06-24 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
CN104520826B (zh) * | 2012-05-23 | 2018-02-23 | 伊万X有限责任公司 | 用于检测关注的网络活动的系统和方法 |
CN104520826A (zh) * | 2012-05-23 | 2015-04-15 | 趣斯特派普有限公司 | 用于检测关注的网络活动的系统和方法 |
US10862923B2 (en) | 2013-01-28 | 2020-12-08 | SecureSky, Inc. | System and method for detecting a compromised computing system |
US9787713B2 (en) | 2013-01-28 | 2017-10-10 | Evengx, Llc | System and method for detecting a compromised computing system |
CN105493060B (zh) * | 2013-06-01 | 2019-04-09 | 通用电气公司 | 蜜端主动网络安全 |
CN105493060A (zh) * | 2013-06-01 | 2016-04-13 | 通用电气公司 | 蜜端主动网络安全 |
CN103607399A (zh) * | 2013-11-25 | 2014-02-26 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
CN103607399B (zh) * | 2013-11-25 | 2016-07-27 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
CN108353078A (zh) * | 2015-11-09 | 2018-07-31 | 高通股份有限公司 | 动态蜜罐系统 |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
CN109547250A (zh) * | 2018-11-26 | 2019-03-29 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
CN109547250B (zh) * | 2018-11-26 | 2022-08-09 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
CN111027059A (zh) * | 2019-11-29 | 2020-04-17 | 武汉大学 | 一种基于llvm的抵御内存泄露的系统及方法 |
CN111027059B (zh) * | 2019-11-29 | 2022-07-19 | 武汉大学 | 一种基于llvm的抵御内存泄露的系统及方法 |
CN115004637A (zh) * | 2020-01-22 | 2022-09-02 | 西门子工业公司 | 实时且独立的网络攻击监控和自动网络攻击响应系统 |
CN115004637B (zh) * | 2020-01-22 | 2024-03-08 | 西门子工业公司 | 实时且独立的网络攻击监控和自动网络攻击响应系统 |
CN111506316A (zh) * | 2020-03-20 | 2020-08-07 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
CN111506316B (zh) * | 2020-03-20 | 2023-02-24 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
CN112035154A (zh) * | 2020-08-13 | 2020-12-04 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
CN112035154B (zh) * | 2020-08-13 | 2023-12-01 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
Also Published As
Publication number | Publication date |
---|---|
US20080141374A1 (en) | 2008-06-12 |
AU2006236283A1 (en) | 2006-10-26 |
MX2007013025A (es) | 2008-01-11 |
BRPI0610855A2 (pt) | 2010-08-03 |
US7904959B2 (en) | 2011-03-08 |
EP1872222A1 (en) | 2008-01-02 |
RU2007142368A (ru) | 2009-05-27 |
JP2008537267A (ja) | 2008-09-11 |
CA2604544A1 (en) | 2006-10-26 |
WO2006113781A1 (en) | 2006-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101185063A (zh) | 用于使用“蜜罐”检测和阻止攻击的系统和方法 | |
US10305919B2 (en) | Systems and methods for inhibiting attacks on applications | |
CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
CN1841397B (zh) | 聚合计算机系统的知识库以主动保护计算机免受恶意软件侵害 | |
US20110321166A1 (en) | System and Method for Identifying Unauthorized Activities on a Computer System Using a Data Structure Model | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
CN105074717A (zh) | 在网络环境中的恶意脚本语言代码的检测 | |
US10771477B2 (en) | Mitigating communications and control attempts | |
CN103384888A (zh) | 用于恶意软件的检测和扫描的系统和方法 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
US11374946B2 (en) | Inline malware detection | |
US11636208B2 (en) | Generating models for performing inline malware detection | |
Hsu et al. | Scalable network-based buffer overflow attack detection | |
Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
WO2021015941A1 (en) | Inline malware detection | |
Chen et al. | Modeling and evaluating the security threats of transient errors in firewall software | |
Sharma et al. | Denial of service: Techniques of attacks and mitigation | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
Jayarathna et al. | Hypervisor-based Security Architecture to Protect Web Applications. | |
Dave et al. | Windows based application aware network interceptor | |
CN116264517A (zh) | 网页篡改防护方法、装置及存储介质 | |
CN116132189A (zh) | 一种有效拦截恶意请求的waf参数防护方法 | |
BOSATELLI | Zarathustra: detecting banking trojans via automatic, platform independent WebInjects extraction | |
Tabata et al. | Design of intrusion detection system at user level with system-call interposing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |