CN102473221A - 非法进程检测方法及非法进程检测系统 - Google Patents
非法进程检测方法及非法进程检测系统 Download PDFInfo
- Publication number
- CN102473221A CN102473221A CN2010800342244A CN201080034224A CN102473221A CN 102473221 A CN102473221 A CN 102473221A CN 2010800342244 A CN2010800342244 A CN 2010800342244A CN 201080034224 A CN201080034224 A CN 201080034224A CN 102473221 A CN102473221 A CN 102473221A
- Authority
- CN
- China
- Prior art keywords
- communication
- terminal
- illegal
- carried out
- activity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Abstract
将通过监视终端内的对存储装置及输入输出装置的系统访问而得到的活动及通过监视由终端执行的经由网络的通信而得到的活动,与产生这些活动的终端内的进程建立关联,在这些活动是通过相同或相关的进程执行的规定活动的情况下,检测为在该终端内非法进程正在动作。
Description
通过参照而引入:本申请主张日本平成21年(2009年)9月1日提交的日本专利申请特愿2009-201794号的优先权,将该在先申请的内容通过参照引入本申请。
技术领域
本发明涉及用于检测非法进程(process)的方法及系统,该非法进程有经由网络进行非法活动的计算机病毒等。
背景技术
作为对经由网络的非法入侵的对策之一,可以列举出网络型入侵检测系统。作为与网络型入侵检测系统相关的技术,在专利文献1中有记载。在专利文献1中,入侵检测装置监视经由网络的通信,对正在流动的包进行分析,并判断是否被非法入侵。此外,在判断为正在被非法入侵的情况下,进行通信截断等对策。
作为应用网络型入侵检测系统来检测在网络内部是否存在感染了计算机病毒的终端的技术,在专利文献2及非专利文献1中有记载。在专利文献2记载的技术中,基于经由网络的通信的监视结果来执行异常通信的检测。在检测到异常通信的情况下,向终端通知异常通信的特征模式,终端通过与自身进行的通信的特征模式进行比较,来判定过去是否进行了异常的通信。此外,在非专利文献1记载的技术中,监视经由网络的通信,通过将由一台终端进行的多个网络活动建立起关联,来检测正在进行可疑活动的终端。
现有技术文献
专利文献
专利文献1:日本特开2002-73433
专利文献2:日本特开2008-278272
非专利文献
非专利文献1:“BotHunter:Detecting Malware Infection ThroughIDS-Driven Dialog Correlation”、Guofei Gu、Phillip Porras、VinodYegneswaran、Marth Fong and Wenke Lee、Proceedings of 16th USENIXSecurity Symposium、pp.167-182、2007.
发明所要解决的技术问题
近年来,被称为僵尸病毒(BOT)的一种计算机病毒成了很严重的问题。僵尸病毒在用户的终端(计算机)上进行动作,按照经由网络的来自远程处的攻击者的指令进行非法活动。僵尸病毒的非法活动中有:以软件的脆弱性为目标进行攻击活动、使得无法提供服务的攻击、垃圾邮件的发送、以及将感染了僵尸病毒的终端内的机密信息向外部发送等。
不同于以往的蠕虫病毒等计算机病毒,僵尸病毒并不一定非要以软件的脆弱性为目标进行攻击。在专利文献1、专利文献2记载的技术中,存在如下的问题:虽然能够对以软件的脆弱性为目标进行的包含异常数据的攻击进行检测,但却不能够对垃圾邮件的发送、机密信息向外部的发送这样的非法活动进行检测。这是因为,例如垃圾邮件的发送,并不是发送使软件的动作产生异常这样的数据,而是经由与普通邮件相同的步骤被发送的。
此外,在非专利文献1记载的技术中,存在如下的问题:在多个网络活动(基于邮件发送和IRC(Internet Relay Chat)进行的会话通信)没有通过非法进程等而是正规地进行的情况下,将正常的终端误检测为可疑终端。这样,在使用了以往的入侵检测系统的异常检测中,很难将依据正规手续的非法活动与正常的活动区分检测出来。
发明内容
用于解决技术问题的技术手段
如上所示,通过仅监视网络中的活动来检测非法进程是困难的,因此在本发明中,监视终端内的进程的活动或网络中的进程的活动、或者两者,将该活动与该进程的标识符之间建立关联,通过相同的进程或相关的进程组来对活动进行汇总,从而判定是否正在进行非法活动。
在此,所谓两个进程相关是指,在递归地逆推出生成各个进程的进程(母进程)时,两者存在共通的进程。
本发明的具体方式如下所示。终端及通信监视装置及非法进程判定装置与内部网络相连接。监视终端内的存储器访问或对存储装置及输入装置的访问等(以下称为系统访问),将通过系统访问的监视得到的活动和终端内的进程建立关联,并通知给非法进程判定装置。此外,在通信监视装置中监视终端执行的通信,将通过通信的监视得到的活动和终端内的进程建立关联,并通知给非法进程判定装置。在非法进程判定装置中参照通知来的活动,根据满足规定条件的活动是否是通过相同或相关的进程执行的,来判定在所述终端内是否有非法进程在活动。
发明效果
根据本发明,能够检测仅通过监视经由网络进行的通信难以检测的非法进程的活动。
附图说明
图1示出了非法进程检测系统的结构例。
图2示出了构成非法进程检测系统的各装置的硬件结构例。
图3示出了构成非法进程检测系统的各装置的软件结构例。
图4示出了进程信息数据库的结构例。
图5示出了系统监视结果数据库的结构例。
图6示出了通信监视结果数据库的结构例。
图7示出了判定策略的结构例。
图8示出了系统监视部的处理流程例。
图9示出了通信监视部的处理流程例。
图10示出了进程信息关联建立部的处理流程例。
图11示出了非法进程判定部的处理流程例。
图12示出了实施例2中的终端的软件结构例。
具体实施方式
以下,使用附图说明本发明的实施方式。另外,以下的说明仅示出本发明的实施方式,但并不限制本发明的结构及功能等。
实施例1
图1示出了本实施例的非法进程检测系统100的结构例。非法进程检测系统100具备终端101、通信监视装置102、非法进程判定装置103,这些各部分通过内部网络104连接。内部网络104上还连接有未图示的终端或通信装置等。通信监视装置102还与因特网等的外部网络105连接。
在图1中,通信监视装置102设置为经由通信监视装置102在内部网络104与外部网络105之间进行通信,但是通信监视装置102的设置位置并不限于图1的位置,只要设置在能够监视内部网络104与外部网络105之间的通信的位置即可。
图2示出了本非法进程检测系统的各装置101、102、103的硬件结构例。构成各装置的硬件实际上具有同样的装置结构,通过由各运算装置执行的软件来决定各自的动作。
终端101是信息处理装置,是用户所持有的PC等终端。终端101具备:运算装置211、存储器212、硬盘等存储装置213、网卡等通信装置214、键盘或鼠标等输入装置215、以及LCD(Liquid Crystal Display)等显示装置216。运算装置211执行在存储装置213中保存的程序,进行各部的控制。存储装置213保存运算装置211执行的程序和运算装置211使用的数据等。通信装置214经由网络104从其他装置接收数据并传送给运算装置211,并且,将运算装置211生成的数据经由网络104向其他装置发送。运算装置211控制输入装置215、显示装置216,从输入装置215输入数据,并将数据向显示装置216输出。存储装置213中保存有程序,程序被从存储装置213载入存储器212,由运算装置211执行。终端101将这些程序从存储装置213载入并执行,但是作为其他例子,也可以是从CD、DVD等的光学记录介质、MO等光磁记录介质、磁带介质、磁记录介质、或者半导体存储器等记录介质载入该程序。此外,作为其他例子,也可以是从其他装置经由通信介质载入这些程序。所谓通信介质是指,网络、或者在该网络中传播的数字信号或载波。
通信监视装置2具备:运算装置221、存储器222、硬盘等存储装置223、网卡等通信装置224和225、键盘或鼠标等输入装置226、以及LCD等显示装置227。非法进程判定装置103具备:运算装置231、存储器232、硬盘等存储装置233、网卡等通信装置234、键盘或鼠标等输入装置235、以及LCD等显示装置236。作为通信监视装置102及非法进程判定装置103的硬件的动作,依据于终端101的动作。
图3示出了构成非法进程检测系统100的终端101、通信监视装置102、以及非法进程判定装置103的软件结构例。
本实施例中,通过非法进程检测系统100来检测终端101正在内部动作的非法进程。终端101具有:数据收发部311,与内部网络104之间收发信息;在内部动作的进程312;系统监视部313,监视进程312对存储装置213或输入装置215等的访问;进程信息关联建立部314,将经由数据收发部311的与内部网络4之间的通信和进程建立关联;系统监视结果通知部315,将系统监视部313的监视结果向非法进程判定装置103发送;以及进程信息数据库316,保存表示针对终端101内的进程、哪个进程生成了哪个进程的母子关系的信息。
进程312是保存在存储装置213等中的任意程序在终端101内执行时的实例(instance),执行经由数据收发部311的与内部网络4之间的信息的收发、对存储器212或输入装置215等的访问、或者上述两者。将由进程312进行的对存储器212、输入装置215等存储装置及输入输出装置的访问称作系统访问,将与内部网络4之间的信息收发称作通信。本实施例中的监视对象是这些系统访问及通信。
图4示出了进程信息数据库316的一个例子。进程信息数据库316由进程标识符401、母进程标识符402构成。进程标识符401是用于确定终端101内的进程的标识符。母进程标识符402是生成了进程标识符401所表示的进程的进程(母进程)的标识符。
返回图3进行说明。通信监视装置102具有:数据收发部321,与内部网络104之间收发信息;数据收发部322,与外部网络105之间收发信息;通信监视部323,监视在内部网络104和外部网络105之间通信的信息;以及通信监视结果通知部324,将通信监视部323的监视结果向非法进程判定装置103发送。
非法进程判定装置103具有:数据收发部331,与内部网络104之间收发信息;系统监视结果接收部332,经由数据收发部331接收从终端101的系统监视结果通知部315通知来的系统监视结果;通信监视结果接收部333,经由数据收发部331接收从通信监视装置102的通信监视结果通知部324通知来的通信监视结果;系统监视结果数据库334,对接收到的系统监视结果进行储存;通信监视结果数据库335,对接收到的通信监视结果进行储存;判定策略(policy)336,用于对非法活动(以下,作为假定为计算机病毒等的用语而使用非法的“活动”,非法活动是非法进程的执行所伴随的非法的“处理”或“动作”。同样,正规进程的执行所伴随的“处理”或“动作”也是“活动”。)进行规定;非法进程判定部337,比较系统监视结果数据库334、通信监视结果数据库335和判定策略336的内容,从而判定在终端101内正在动作的进程是否是非法进程;以及判定结果通知部338,基于由非法进程判定部337得到的判定结果,通知警告。
图5中示出了系统监视结果数据库334的一个例子。系统监视结果数据库334由终端标识符501、进程标识符502、关联进程标识符列表503、活动内容504构成。终端标识符501是进行了由系统监视部313检测到的活动的终端的标识符。进程标识符502是进行了由系统监视部313检测到的活动的、由终端标识符501确定的终端101内的进程的标识符。关联进程标识符列表503是如生成由进程标识符502确定的进程的进程(母进程)的标识符、生成该母进程的进程的标识符这样,从进程标识符502递归地求出母进程而得到的进程标识符的列表。以下,在不带附图标记提及“关联进程标识符列表”的情况下,表示对某个进程递归地求出其母进程而得到的进程标识符的列表。活动内容504是表示由系统监视部313检测到的活动内容的信息。
图6中示出了通信监视结果数据库335的一个例子。通信监视结果数据库335由终端标识符601、进程标识符602、关联进程标识符列表603、通信参数604、通信内容605构成。终端标识符601是由通信监视部323检测到了活动的终端101的标识符。进程标识符602是通过由通信监视部323检测到了活动的终端标识符601所确定的终端101内的进程的标识符。关联进程标识符列表603是如生成由进程标识符602确定的进程的进程(母进程)的标识符、生成该母进程的进程的标识符这样,从进程标识符602递归地求出母进程而得到的进程标识符的列表。通信参数604是由通信监视部323检测到的通信的参数,由协议606、发信源IP(Internet Protocol)地址607、发信源端口号608、发送目的地IP地址609、发送目的地端口号610构成。通信内容605是由通信监视部323检测到的通信内容(通信种类)。
图7中示出了判定策略336的一个例子。判定策略336由判定条件监视结果列表701、判定结果702构成。判定条件监视结果列表701是作为为了在非法进程判定部337中判定非法进程的活动而应该满足的条件的监视结果的列表。判定条件监视结果列表701由一个或多个监视结果703构成,各个监视结果703由类目(category)704和内容705构成。类目704表示监视结果703是由系统监视部313检测到的,还是由通信监视部323检测到的,内容705表示由系统监视部313或通信监视部323检测到的活动的内容。判定结果702是在判定条件监视结果列表701所包含的监视结果全部满足条件的情况下从非法进程判定部33得到的判定结果。
关于向判定策略336的信息登录,在本实施例中不进行规定。作为信息登录的例子,有像网络管理者通过手动进行登录的、现有的杀毒软件等那样定期地访问外部站点而下载所登录的信息等的例子。
对非法进程检测系统100的动作进行说明。终端101内的进程312进行保存在存储器212、存储装置213中的数据的读写,以及对输入装置215、显示装置216的访问(将这些统称为系统访问)。在系统监视部313中,监视由进程312进行的终端101内的系统访问,确认是否存在正在进行可疑活动的进程。在本实施例中,系统监视部313所监视的对象的进程是在终端101内动作的全部进程,但是也可以将由系统监视部313作为监视对象的进程仅设为特定的进程、或仅设为由特定的用户起动的进程等,对成为监视对象的进程施加限制。
图8中示出了系统监视部313的处理流程图的一个例子。系统监视部313起动后,进行进程的起动和系统访问的监视(步骤801)。若检测到进程的起动或由任意进程进行的系统访问(步骤802),则确认是否是进程起动的检测(步骤803)。
在是进程起动的检测的情况下,取得检测到起动的进程的标识符、以及生成该进程的进程(母进程)的标识符(步骤804)。进程的标识符及母进程的标识符利用OS(Operating System)的功能来取得,或者通过终端101内的存储器212的特定部位的读取来取得。
将所取得的进程标识符和母进程标识符登录在进程信息数据库316中(步骤805),返回至步骤801,继续进行监视。在终端101内的进程中存在有明显不是非法进程的进程(正规进程)的情况下,可以在向进程信息数据库316登录时,对进程进行过滤处理,以避免将与正规进程的进程标识符一致的进程标识符或母进程标识符登录在进程信息数据库316中。
在步骤803中,在是系统访问的检测的情况下,确定该系统访问的内容(步骤806),在步骤807中判断是否要将该系统访问向非法进程判定部337通知(步骤807)。
系统访问监视及其内容的确定例如是,如“P2P文件交换软件环境中的节点型信息流出防止功能的提案”(作者:松岡正明、松木隆宏、寺田真敏、鬼頭哲郎、仲小路博史,出自“信息处理学会计算机安全研究会研究报告Vol.2008 No.71 pp.115-122、2008.”)中记载的、通过监视终端101内的文件访问来进行的对特定文件夹内的访问的检测,或者如“基于终端内的动作监视的信息泄漏病毒的检测方法的相关研究”(作者:鬼頭哲郎、松木隆宏、松岡正明、仲小路博史、寺田真敏,出自“信息处理学会计算机安全研究会研究报告Vol.2008 No.71 pp.317-322、2008.”)所记载的、通过监视任意进程对OS的功能调用来进行的预先规定的功能调用的组合的相同进程的执行的检测等。
在步骤807中判断为不通知系统访问的情况下,返回至步骤801,继续进行系统访问的监视。在判断为通知系统访问的情况下,取得执行了该系统访问的进程的标识符(步骤808),从进程信息数据库316取得所取得的进程的相关进程标识符列表(步骤809)。执行了系统访问的进程通过终端101的存储器212的特定部位的读取来确定。有时也由OS将这样的存储器的读取作为功能来提供。调用系统监视结果通知部315(步骤810),向非法进程判定装置103通知系统监视结果(进程的标识符(步骤808的结果)、关联进程标识符列表(步骤809的结果)、活动内容(步骤806的结果)),返回至步骤801,继续进行系统访问的监视。
进程312除了进行系统访问之外,还经由数据收发部311进行通信。在终端101内的进程信息关联建立部314中,监视由进程312进行的经由数据收发部311的通信,将进程和通信参数建立关联。进程信息关联建立部314是具有将进程的信息和通信的参数建立关联的功能的软件,提供在通信监视装置102的通信监视部323检测到通信的情况下,能够确认实施该通信的进程是什么进程的信息。
图9中示出了进程信息关联建立部314的处理流程图的一个例子。进程信息关联建立部314监视经由数据收发部311进行的包的发送(步骤901)。若检测到包的发送(步骤902),则暂时停止该包的发送(步骤903),确认被发送的包是否是IP包(步骤904)。在不是IP包的情况下,经由数据收发部311将该包发送(步骤908),返回至步骤901,继续进行监视。
在被发送的包是IP包的情况下,取得试图发送该包的进程的标识符(步骤905),从进程信息数据库316取得所取得的进程的关联进程标识符列表(步骤906)。想试图发送包的进程利用OS的功能来取得,或者通过终端101内的存储器212的特定部位的读取来确定。将所取得的进程的标识符及关联进程标识符列表嵌入到该包中(步骤907),发送嵌入了进程的标识符及关联进程标识符列表的包(步骤908),返回至步骤901,继续进行监视。
在步骤907中,进程标识符等,例如“P2P文件交换软件环境中的信息流通对策构造的研究”(作者:寺田真敏、鬼頭哲郎、仲小路博史、松木隆宏、松岡正明,出自“信息处理学会计算机安全研究会研究报告Vol.2008No.21 pp.243-248、2008.”)所记载的那样,嵌入IP包的可选字段(optionfield)中。
通过向IP包嵌入进程信息,在由通信监视部323检测到了通信的情况下,能够不依赖于其他信息,而通过参照包的特定部分(例如可选字段),来确定执行了该通信的进程。
作为进程信息关联建立部314中的将通信和进程建立对应的其他例子,可以是,每当执行通信时,预先记录通信参数与进程标识符之间的对应,并在规定的定时通知给通信监视装置。
在终端101内的进程312向外部网络105发送了包的情况下,该包从通信监视装置102经过。在通信监视装置102内的通信监视部323中,监视从通信监视装置102经过的包,确定经过的包的通信是什么样的通信。
图10中示出了通信监视部323的处理流程图的一个例子。通信监视部323监视在通信监视装置102内经过的通信(步骤1001)。若检测到通信(步骤1002),则确定该通信的活动内容(步骤1003),判断是否通知该活动(步骤1004)。
活动内容例如使用专利文献1所记载那样的现有的入侵检测系统中的方法,或者基于想要经过的包的IP地址或端口号来确定。
在步骤1004中判断为不进行通知的情况下,返回至步骤1001,继续进行监视。在步骤1004中判断为进行通知的情况下,取得与执行了该通信的进程有关的信息(步骤1005)。
步骤1005中的与进程有关的信息的取得、即进程标识符和关联进程标识符列表的取得,是根据终端101的进程关联建立部314中的通信与进程之间的对应建立方式而变化的。如上所述,在进程关联建立部314中对IP包嵌入了进程标识符及关联进程标识符列表的情况下,通过提取被嵌入包中的信息,来取得进程标识符及关联进程标识符列表。
调用通信监视结果通知部324(步骤1006),向非法进程判定装置103通知通信监视结果(进行了通信的进程的标识符、关联进程标识符列表、通信内容),返回至步骤1001,继续进行通信的监视。
终端101内的系统监视部313及通信监视装置102内的通信监视部323检测到的与活动有关的信息,分别通过系统监视结果通知部315及通信监视结果通知部324被发送给非法进程判定装置103。在系统监视结果接收部332中,接收从终端101送来的系统监视结果,并向系统监视结果数据库334记录接收到的系统监视结果,调用该系统监视结果作为参数,调用非法进程判定部337。在通信监视结果接收部333中,接收从通信监视装置102发送来的通信监视结果,向通信监视结果数据库335记录接收到的通信监视结果,调用该通信监视结果作为参数,调用非法进程判定部337。在非法进程判定部337中,基于作为参数被赋予的监视结果、在系统监视结果数据库334、通信监视结果数据库335及判定策略336中保存的信息,判定在终端101内是否有非法进程在活动。
图11中示出了非法进程判定部337的处理流程图的一个例子。非法进程判定部337,取得作为参数被传递来的监视结果(步骤1101)。作为参数被传递来的监视结果是系统监视结果和通信监视结果的某个,以下将两者总称为监视结果来处理。从所取得的监视结果提取终端标识符(步骤1102)。参照系统监视结果数据库334(步骤1103),确认是否存在具有与步骤1102中提取的终端标识符相同的终端标识符的系统监视结果(步骤1104)。在系统监视结果数据库334中存在具有与提取到的终端标识符相同的终端标识符的系统监视结果的情况下,前进至步骤1105,在不存在的情况下,前进至步骤1107。确认在具有与提取到的终端标识符相同的终端标识符的系统监视结果之中的、与所取得的监视结果相关的系统监视结果是否存在于系统监视结果数据库334中(步骤1105)。在系统监视结果数据库334中存在与提取到的监视结果相关的系统监视结果的情况下,取得相关的系统监视结果(步骤1106)。某个监视结果与其他系统监视结果相关是指,某个监视结果所包含的进程标识符或在关联进程标识符列表中记载的某个进程标识符,与其他系统监视结果所包含的进程标识符或在关联进程标识符列表中记载的某个进程标识符相一致。
参照通信监视结果数据库335(步骤1107),确认是否存在具有与步骤1102中提取到的终端标识符相同的终端标识符的通信监视结果(步骤1108)。在通信监视结果数据库335中存在具有与提取到的终端标识符相同的终端标识符的通信监视结果的情况下,前进至步骤1109,在不存在的情况下,进入步骤1011。确认在具有与提取到的终端标识符相同的终端标识符的通信监视结果之中是否存在与所取得的监视结果相关的通信监视结果(步骤1109)。在通信监视结果数据库335中存在与所取得的监视结果相关的通信监视结果的情况下,取得相关的通信监视结果(步骤1110)。某个监视结果与其他通信监视结果相关的含义如上所述。
参照判定策略(步骤1111),根据在步骤1101中取得的监视结果、在步骤1106中取得的系统监视结果、以及在步骤1110中取得的通信监视结果,确认是否存在全部满足判定条件的策略(步骤1112)。对图11的处理流程图进行了简化,因此,若简单明了地说明步骤1112的确认对象,也就是说,对是否存在全部满足判定条件的策略进行确认的对象是,在通过步骤1106取得与步骤1101中取得的监视结果相关的系统监视结果时和在通过步骤1110取得与步骤1101中取得的监视结果相关的通信监视结果时的、在步骤1101中取得的监视结果。即,是以与步骤1101中取得的监视结果相关的监视结果已经存在于系统监视结果数据库334或通信监视结果数据库335中的情况为对象的。在不存在相应的策略的情况下结束处理。在存在相应的策略的情况下,判定为正在由非法进程进行着活动(步骤1113),调用判定结果通知部338(步骤1114),将步骤1101中取得的监视结果记录在系统监视结果数据库334或通信监视结果数据库335中,结束处理。
若由非法进程判定部337调用了判定结果通知部338,则判定结果通知部338将表示终端101内有非法进程在活动的消息和被判定为非法的进程的进程标识符,作为警告通知给终端101、或者未图示的通信控制装置、或者管理内部网络104的组织。
终端101若接收到警告,则采取使被判定为非法的进程停止、及/或阻断进程对系统的访问或通信等措施,由此来抑制非法进程的活动。此外,作为除了对进程本身的措施之外可采取的措施,有禁止该非法进程的在执行文件之后的起动、在该非法进程的执行文件的进程另外还存在的情况下,停止该进程等。
若通信控制装置接收到警告,则控制由被判定为非法进程在活动的终端101进行的通信、或由终端101进行的通信之中被判定为非法的进程的通信。在此,所谓控制是指,通信的截断、带域限制、路径变更等。执行该控制的通信控制装置连接在从终端101访问外部网络105时经过的路径上,或者在通信监视装置102内内置通信控制装置的功能。
若对内部网络104进行管理的组织接收到警告,则向被判定为非法进程正在活动的终端101发送警告、向与内部网络104连接的终端101以外的终端发送警告、向通信控制装置发送警告等,实施提高网络整体安全性的对策。
在本实施例中,使用了终端101、通信监视装置102、非法进程判定装置103这3个装置,但是,也可以是,终端101或通信监视装置102兼做非法进程判定装置103,是由2个装置构成的系统。在终端101兼做非法进程判定装置103的情况下,不需要使系统监视结果通知部315和系统监视结果接收部332经由网络进行连接,从系统监视结果通知部315直接向系统监视结果接收部332通知系统监视结果。同样,在通信监视装置102兼做非法进程判定装置103的情况下,不需要使通信监视结果通知部324和通信监视结果接收部333经由网络进行连接,从通信监视结果通知部324直接向通信监视结果接收部333通知通信监视结果。
此外,也可以是终端101兼做通信监视装置102。在该情况下,通信监视部323进行监视的对象的通信,不是内部网络104与外部网络105之间的通信,而是终端101对内部网络104进行的通信。此外,在该情况下,进程信息关联建立部314不需要进行图9的步骤907中的将进程标识符及关联进程标识符列表向IP包的嵌入,而是将进程标识符及关联进程标识符列表与通信参数之间的对应预先保持在存储器或存储装置中,使得通信监视部323在图10的步骤1005中取得进程标识符及关联进程标识符列表时能够进行参照即可。
此外,在本实施例中,在由系统监视结果通知部315及通信监视结果通知部324通知的信息中包含有进行了活动的进程标识符及其关联进程标识符列表,但是,通知的信息中也可以不包括关联进程标识符列表。在该情况下,从终端101向非法进程判定装置103通知保存在进程信息数据库316中的信息,在非法进程判定装置103的系统监视结果接收部332及通信监视结果接收部333中,根据保存进程信息数据库316中的信息取得关联进程标识符列表。
根据本实施例,利用进程标识符将通过系统的监视得到的活动和通过通信的监视得到的活动建立关联,能够检测非法进程正在活动的情况。
【实施例2】
作为近年来备受瞩目的技术,有被称作虚拟机监视器的技术。虚拟机监视器是在终端101这样的信息处理装置上进行动作的软件,使与实际的终端同样使用的虚拟机动作。虚拟机由于是在虚拟机监视器上进行动作(虚拟机在虚拟机监视器的控制下进行动作),所以,虚拟机监视器能够通过参照自身所管理的存储器,来监视正在虚拟机监视器上动作的虚拟机的状态。在僵尸病毒等非法进程中,存在具有检测在终端内正在进行监视并监视无效化的功能的,但是,通过使用虚拟机监视器从外部监视非法进程正在动作的虚拟机,使得监视不会被无效化。
在本实施例中示出了用户利用的终端是虚拟机的情况的例子。本实施例与实施例1之间的不同点在于终端101的软件结构。关于与实施例1相同的内容,省略说明。
图12示出了本实施例中的终端101的软件结构。终端101与内部网络104连接,在终端101中,虚拟机监视器1201进行动作,并且虚拟机1202也在工作。虚拟机1202的硬件结构与实施例1的终端101相同,具备运算装置、存储器、存储装置、通信装置、输入装置、显示装置(仅图示了一部分)。在虚拟机1202内活动的进程1203,与实施例1中的进程312一样,进行经由数据收发部1204的与内部网络104的通信、对存储器1205或存储装置1206、输入装置1207、显示装置1208等的访问。将该访问称作系统访问。
在本实施例中,在虚拟机监视器1201上,除了具有虚拟机1202以外,还具有与内部网络10之间收发数据的数据收发部1209、系统监视部1210、进程信息关联建立部1211、系统监视结果通知部1212、以及进程信息数据库1213。在系统监视部1210中,从虚拟机1202的外部监视进程1203在虚拟机1202内部进行的系统访问。在进程信息关联建立部1211中,从虚拟机1202的外部监视从虚拟机1202向内部网络104的通信,将虚拟机1202内的进程与监视到的通信的通信参数建立关联。系统监视结果通知部1212将由系统监视部1210得到的监视结果经由数据收发部1209发送给非法进程判定装置103。进程信息数据库1213针对虚拟机1202内的进程,保存该进程的进程标识符和生成该进程的进程(母进程)的进程标识符。
系统监视部1210的处理除了从虚拟机1202的外部监视虚拟机1202内部的系统访问之外,与图8所示实施例1中的系统监视部313的处理是相同的。此外,同样地,进程信息关联建立部1211的处理除了从虚拟机1202的外部取得进程的信息之外,与图9所示实施例1中的进程信息关联建立部314的处理是相同的。同样地,系统监视结果通知部1212的动作与实施例1中的系统监视结果通知部315的动作是相同的,进程信息数据库1213的构造与图4所示实施例1中的进程信息数据库316的构造是相同的。
根据本实施例,通过从虚拟机1202的外侧监视虚拟机1202内部,能够不受到非法进程使安全软件无效化等影响地进行监视,对于阻碍终端监视这样的恶劣的非法进程也能够进行检测。
附图说明
100:非法进程检测系统、101:终端、102:通信监视装置、103:非法进程判定装置、104:内部网络、105:外部网络、313:系统监视部、314:进程信息关联建立部、315:系统监视结果通知部、316:进程信息数据库、323:通信监视部、324:通信监视结果通知部、332:系统监视结果接收部、333:通信监视结果接收部、334:系统监视结果数据库、335:通信监视结果数据库、336:判定策略、337:非法进程判定部、338:判定结果通知部。
Claims (11)
1.一种非法进程检测方法,是检测在与网络连接的终端内进行动作的非法进程的非法进程检测系统中的非法进程检测方法,其特征在于,
所述非法进程检测系统,
监视伴随着所述终端中的进程的执行的、对所述终端的存储装置和输入输出装置进行的访问即系统访问,将通过所述系统访问的监视得到的、作为所述进程的处理的第一活动和执行了所述第一活动的所述进程建立关联,并记录在系统监视结果数据库中,
监视伴随着所述终端中的所述进程的执行的、经由所述网络进行的通信,将通过所述通信的监视得到的、作为所述进程的处理的第二活动和执行了所述第二活动的所述进程建立关联,并记录在通信监视结果数据库中,
判定在所述系统监视结果数据库或者所述通信监视结果数据库中是否已经记录有与所述第一和第二活动的至少一方相同、并且是与执行的所述进程相同或相关的进程的活动,在被判定为已记录的所述活动满足预先决定的规定的条件时,判定为执行的所述进程是非法进程。
2.如权利要求1所述的非法进程检测方法,其特征在于,
与执行了所述活动的进程相关的进程是指,将执行了所述活动的进程作为第一进程,将所述相关的进程作为第二进程,在所述第一进程和通过对生成所述第一进程的母进程递归地进行逆推而得到的第一进程列表、以及所述第二进程和通过对生成所述第二进程的母进程递归地进行逆推而得到的第二进程列表中,存在共通的进程。
3.如权利要求1所述的非法进程检测方法,其特征在于,
所述终端在经由所述网络进行的通信的IP包中嵌入表示执行了该通信的进程的信息,
所述非法进程检测系统在所述通信的监视中,提取与所述第二活动相对应地嵌入在所述IP包中的所述进程的信息,将提取到的所述信息所表示的所述进程作为执行了所述第二活动的进程。
4.如权利要求1所述的非法进程检测方法,其特征在于,
所述非法进程检测系统根据在所述终端内执行了所述活动的进程是非法进程的判定,输出警告。
5.如权利要求1所述的非法进程检测方法,其特征在于,
在所述终端是虚拟机的情况下,对所述虚拟机进行控制的虚拟机监视器监视所述虚拟机中的所述系统访问,将所述虚拟机中的所述第一活动和执行了所述第一活动的所述进程信息建立关联。
6.一种非法进程检测系统,是连接有终端、通信监视装置和非法进程判定装置的网络中的非法进程检测系统,其特征在于,包括:
终端,监视伴随着进程的执行而对存储装置和输入输出装置进行的访问即系统访问,将通过所述系统访问的监视得到的、作为所述进程的处理的第一活动和执行了所述第一活动的所述进程建立关联,并作为访问监视结果进行通知,在经由网络进行的通信中包含有表示执行了该通信的所述进程的信息;
通信监视装置,经由所述网络与所述终端连接,提取经由所述网络进行的所述通信中包含的表示所述进程的信息,监视所述通信,将通过所述通信的监视得到的第二活动和提取到的所述进程建立关联,并作为通信监视结果进行通知;以及
非法进程判定装置,与所述终端和所述通信监视装置连接,具有记录有从所述终端通知来的所述访问监视结果和从所述通信监视装置通知来的所述通信监视结果的数据库,在所述访问监视结果或所述通信监视装置所包含有的所述第一或所述第二活动满足规定条件,并且已经作为由与所述第一或所述第二活动建立了关联的所述进程相同或相关的进程执行的活动记录在所述数据库中时,判定为在所述终端内非法进程正在活动。
7.如权利要求6所述的非法进程检测系统,其特征在于,
所述终端记录表示所述进程的母子关系的信息,在所述访问监视结果的通知时,以包含所述进程和根据所述进程对母进程递归地进行逆推而得到的进程列表的方式进行通知,在对所述通信监视装置的通信中,还包含有根据所述进程对母进程递归地进行逆推而得到的进程列表,
所述通信监视装置在所述通信监视结果的通知时,还包含有所述进程列表。
8.如权利要求6所述的非法进程检测系统,其特征在于,
与执行了所述活动的进程相关的进程是指,将执行了所述活动的进程作为第一进程,将所述相关的进程作为第二进程,在所述第一进程和对生成所述第一进程的母进程递归地进行逆推而得到的第一进程列表、以及所述第二进程和对生成所述第二进程的母进程递归地进行逆推而得到的第二进程列表中,存在共通的进程。
9.如权利要求6所述的非法进程检测系统,其特征在于,
所述终端在经由所述网络进行的通信的IP包中,作为表示所述进程的信息,嵌入所述进程的标识符。
10.如权利要求6所述的非法进程检测系统,其特征在于,
所述非法进程判定装置根据在所述终端内非法进程正在活动的判定,输出警告。
11.如权利要求6所述的非法进程检测系统,其特征在于,
所述终端由虚拟机执行所述进程,监视所述终端内部的所述系统访问,将通过所述访问的监视得到的所述第一活动和执行了所述第一活动的所述进程建立关联并通知给所述非法进程判定装置,在由所述终端执行的经由所述网络的通信中嵌入表示执行了该通信的所述进程的信息,并具备对所述虚拟机进行控制的虚拟机监视器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009201794A JP2011053893A (ja) | 2009-09-01 | 2009-09-01 | 不正プロセス検知方法および不正プロセス検知システム |
| JP2009-201794 | 2009-09-01 | ||
| PCT/JP2010/003782 WO2011027496A1 (ja) | 2009-09-01 | 2010-06-07 | 不正プロセス検知方法および不正プロセス検知システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102473221A true CN102473221A (zh) | 2012-05-23 |
Family
ID=43649055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010800342244A Pending CN102473221A (zh) | 2009-09-01 | 2010-06-07 | 非法进程检测方法及非法进程检测系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20120192278A1 (zh) |
| EP (1) | EP2474934A1 (zh) |
| JP (1) | JP2011053893A (zh) |
| CN (1) | CN102473221A (zh) |
| WO (1) | WO2011027496A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104050413A (zh) * | 2013-03-13 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法及终端 |
| CN105359156A (zh) * | 2013-07-05 | 2016-02-24 | 日本电信电话株式会社 | 非法访问检测系统和非法访问检测方法 |
| CN105849741A (zh) * | 2013-12-27 | 2016-08-10 | 三菱电机株式会社 | 信息处理装置、信息处理方法及程序 |
| CN106209734A (zh) * | 2015-04-30 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 进程的身份认证方法和装置 |
| CN103914332B (zh) * | 2014-04-14 | 2017-01-18 | 中国人民解放军国防科学技术大学 | 虚拟机客户操作系统内真实进程信息的探测方法 |
| CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5509796B2 (ja) * | 2009-11-02 | 2014-06-04 | コニカミノルタ株式会社 | 通信システム、通信装置、通信制御方法および通信制御プログラム |
| JP5857661B2 (ja) * | 2011-11-18 | 2016-02-10 | 沖電気工業株式会社 | パケット処理装置及び方法 |
| US8683592B1 (en) * | 2011-12-30 | 2014-03-25 | Emc Corporation | Associating network and storage activities for forensic analysis |
| CN102663274B (zh) * | 2012-02-07 | 2015-12-02 | 北京奇虎科技有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
| KR101414959B1 (ko) * | 2012-02-29 | 2014-07-09 | 주식회사 팬택 | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 |
| KR101212497B1 (ko) * | 2012-05-02 | 2012-12-14 | 주식회사 팀스톤 | 컴퓨팅 장치에서 수행되는 자원 모니터링 방법 및 컴퓨팅 장치 |
| US20140259171A1 (en) * | 2013-03-11 | 2014-09-11 | Spikes, Inc. | Tunable intrusion prevention with forensic analysis |
| US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
| JP5750497B2 (ja) * | 2013-12-11 | 2015-07-22 | 株式会社アイキュエス | アクセス制御装置、プログラム及びアクセス制御システム |
| US9378367B2 (en) * | 2014-03-31 | 2016-06-28 | Symantec Corporation | Systems and methods for identifying a source of a suspect event |
| US10049233B2 (en) * | 2014-10-09 | 2018-08-14 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, security management method and information processing system that switches from one monitoring unit to another in accordance with operating mode |
| CN104376261B (zh) * | 2014-11-27 | 2017-04-05 | 南京大学 | 一种在取证场景下自动检测恶意进程的方法 |
| WO2016113911A1 (ja) * | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
| JP6557774B2 (ja) * | 2015-07-24 | 2019-08-07 | エヌイーシー ラボラトリーズ アメリカ インクNEC Laboratories America, Inc. | プロセストレースを用いたグラフベースの侵入検知 |
| RU2634173C1 (ru) * | 2016-06-24 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения приложения удалённого администрирования |
| US20170374076A1 (en) * | 2016-06-28 | 2017-12-28 | Viewpost Ip Holdings, Llc | Systems and methods for detecting fraudulent system activity |
| JP2018200641A (ja) * | 2017-05-29 | 2018-12-20 | 富士通株式会社 | 異常検知プログラム、異常検知方法および情報処理装置 |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| JP7206980B2 (ja) * | 2019-02-07 | 2023-01-18 | 日本電気株式会社 | 通信制御装置、通信制御方法及び通信制御プログラム |
| KR102355556B1 (ko) * | 2019-12-27 | 2022-01-26 | 주식회사 안랩 | 호출 기반의 악성 진단 장치 및 호출 기반의 악성 진단 방법 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040148281A1 (en) * | 2000-06-15 | 2004-07-29 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| US20050120242A1 (en) * | 2000-05-28 | 2005-06-02 | Yaron Mayer | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages |
| CN1801031A (zh) * | 2004-12-31 | 2006-07-12 | 福建东方微点信息安全有限责任公司 | 运用程序行为知识库判断已知程序被攻击的方法 |
| US20060242694A1 (en) * | 2004-11-08 | 2006-10-26 | Jeffrey Gold | Mitigation and mitigation management of attacks in networked systems |
| US20080022281A1 (en) * | 2006-07-19 | 2008-01-24 | Microsoft Corporation | Trusted communications with child processes |
| US20090044265A1 (en) * | 2007-03-29 | 2009-02-12 | Ghosh Anup K | Attack Resistant Continuous Network Service Trustworthiness Controller |
| CN100490388C (zh) * | 2005-08-24 | 2009-05-20 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073433A (ja) | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP3892322B2 (ja) * | 2002-03-04 | 2007-03-14 | 三菱電機株式会社 | 不正アクセス経路解析システム及び不正アクセス経路解析方法 |
| JP2005227982A (ja) * | 2004-02-12 | 2005-08-25 | Nippon Telegr & Teleph Corp <Ntt> | セキュリティ監視機能を備えたネットワークシステム、ログデータ解析端末及び情報端末 |
| JP4327698B2 (ja) * | 2004-10-19 | 2009-09-09 | 富士通株式会社 | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム |
| US7712143B2 (en) * | 2006-09-27 | 2010-05-04 | Blue Ridge Networks, Inc. | Trusted enclave for a computer system |
| JP2008278272A (ja) | 2007-04-27 | 2008-11-13 | Kddi Corp | 電子システム、電子機器、中央装置、プログラム、および記録媒体 |
| JP4938576B2 (ja) * | 2007-07-24 | 2012-05-23 | 日本電信電話株式会社 | 情報収集システムおよび情報収集方法 |
| US8776218B2 (en) * | 2009-07-21 | 2014-07-08 | Sophos Limited | Behavioral-based host intrusion prevention system |
-
2009
- 2009-09-01 JP JP2009201794A patent/JP2011053893A/ja active Pending
-
2010
- 2010-06-07 EP EP10813451A patent/EP2474934A1/en not_active Withdrawn
- 2010-06-07 WO PCT/JP2010/003782 patent/WO2011027496A1/ja active Application Filing
- 2010-06-07 CN CN2010800342244A patent/CN102473221A/zh active Pending
- 2010-06-07 US US13/387,781 patent/US20120192278A1/en not_active Abandoned
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050120242A1 (en) * | 2000-05-28 | 2005-06-02 | Yaron Mayer | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages |
| US20040148281A1 (en) * | 2000-06-15 | 2004-07-29 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
| US20060242694A1 (en) * | 2004-11-08 | 2006-10-26 | Jeffrey Gold | Mitigation and mitigation management of attacks in networked systems |
| CN1801031A (zh) * | 2004-12-31 | 2006-07-12 | 福建东方微点信息安全有限责任公司 | 运用程序行为知识库判断已知程序被攻击的方法 |
| CN100490388C (zh) * | 2005-08-24 | 2009-05-20 | 上海浦东软件园信息技术有限公司 | 基于程序行为的入侵检测方法 |
| US20080022281A1 (en) * | 2006-07-19 | 2008-01-24 | Microsoft Corporation | Trusted communications with child processes |
| US20090044265A1 (en) * | 2007-03-29 | 2009-02-12 | Ghosh Anup K | Attack Resistant Continuous Network Service Trustworthiness Controller |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104050413A (zh) * | 2013-03-13 | 2014-09-17 | 腾讯科技(深圳)有限公司 | 一种数据处理的方法及终端 |
| CN105359156A (zh) * | 2013-07-05 | 2016-02-24 | 日本电信电话株式会社 | 非法访问检测系统和非法访问检测方法 |
| CN105359156B (zh) * | 2013-07-05 | 2018-06-12 | 日本电信电话株式会社 | 非法访问检测系统和非法访问检测方法 |
| US10142343B2 (en) | 2013-07-05 | 2018-11-27 | Nippon Telegraph And Telephone Corporation | Unauthorized access detecting system and unauthorized access detecting method |
| CN105849741A (zh) * | 2013-12-27 | 2016-08-10 | 三菱电机株式会社 | 信息处理装置、信息处理方法及程序 |
| CN103914332B (zh) * | 2014-04-14 | 2017-01-18 | 中国人民解放军国防科学技术大学 | 虚拟机客户操作系统内真实进程信息的探测方法 |
| CN106209734A (zh) * | 2015-04-30 | 2016-12-07 | 阿里巴巴集团控股有限公司 | 进程的身份认证方法和装置 |
| CN106209734B (zh) * | 2015-04-30 | 2019-07-19 | 阿里巴巴集团控股有限公司 | 进程的身份认证方法和装置 |
| US11146554B2 (en) | 2015-04-30 | 2021-10-12 | Alibaba Group Holding Limited | System, method, and apparatus for secure identity authentication |
| CN108270722A (zh) * | 2016-12-30 | 2018-07-10 | 阿里巴巴集团控股有限公司 | 一种攻击行为检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2011027496A1 (ja) | 2011-03-10 |
| EP2474934A1 (en) | 2012-07-11 |
| JP2011053893A (ja) | 2011-03-17 |
| US20120192278A1 (en) | 2012-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102473221A (zh) | 非法进程检测方法及非法进程检测系统 | |
| US11546371B2 (en) | System and method for determining actions to counter a cyber attack on computing devices based on attack vectors | |
| US9197653B2 (en) | Cross-user correlation for detecting server-side multi-target intrusion | |
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| US9104864B2 (en) | Threat detection through the accumulated detection of threat characteristics | |
| US9838405B1 (en) | Systems and methods for determining types of malware infections on computing devices | |
| US20190036944A1 (en) | Using reputation to avoid false malware detections | |
| US9210182B2 (en) | Behavioral-based host intrusion prevention system | |
| US11848947B2 (en) | System and method for providing security to in-vehicle network | |
| US9177145B2 (en) | Modified file tracking on virtual machines | |
| JP6680437B2 (ja) | コンピューティングプロセス内の未知の脆弱性を検出するためのシステム及び方法 | |
| US20100212010A1 (en) | Systems and methods that detect sensitive data leakages from applications | |
| US20100242082A1 (en) | Protecting sensitive information from a secure data store | |
| EP3476101B1 (en) | Method, device and system for network security | |
| US9223980B1 (en) | Systems and methods for indicating malware statuses of electronic messages | |
| US9934378B1 (en) | Systems and methods for filtering log files | |
| US20160335433A1 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
| JP2009223375A (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
| EP3767913A1 (en) | Systems and methods for correlating events to detect an information security incident | |
| US11399036B2 (en) | Systems and methods for correlating events to detect an information security incident | |
| US10169575B1 (en) | Systems and methods for preventing internal network attacks | |
| DeMara et al. | Mitigation of network tampering using dynamic dispatch of mobile agents | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| Alzahrani | An SMS-based mobile botnet detection framework using intelligent agents | |
| Alzahrani et al. | A Comprehensive SMS-Based Intrusion Detection Framework |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120523 |