CN103229185B - 用于针对恶意软件的本地保护的系统和方法 - Google Patents
用于针对恶意软件的本地保护的系统和方法 Download PDFInfo
- Publication number
- CN103229185B CN103229185B CN201180046850.XA CN201180046850A CN103229185B CN 103229185 B CN103229185 B CN 103229185B CN 201180046850 A CN201180046850 A CN 201180046850A CN 103229185 B CN103229185 B CN 103229185B
- Authority
- CN
- China
- Prior art keywords
- program file
- software program
- network access
- software
- access attempts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Automation & Control Theory (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
在一种范例实施方式中,一种方法包括截获计算装置上的网络访问企图以及确定与所述网络访问企图相关联的软件程序文件。该方法还包括评估第一标准以确定是否许可所述网络访问企图,以及如果其不被许可则阻止网络访问企图。第一标准包括软件程序文件的信任状态。在具体实施例中,如果软件程序文件被包括在值得信任的程序文件的白名单中,则将信任状态定义为信任,并且如果软件程序文件未被包括在白名单中,则定义为不信任。在更具体的实施例中,该方法包括:如果软件程序文件具有不信任状态,则阻止网络访问企图。在进一步的实施例中,如果与网络访问企图相关联的软件程序文件具有不信任状态,则记录事件。
Description
相关申请的交叉引用
本申请涉及发明人为:Rishi Bhargava等人,2010年7月28日提交,题为“SYSTEMAND METHOD FOR NETWORK LEVEL PROTECTION AGAINST MALICIOUS SOFTWARE”的序号为12/844964的共同未决的美国专利申请(代理档案号No. 04796.1053)。该申请的公开被认为是一部分并在此通过引用将其全文并入。
技术领域
本公开一般涉及网络安全领域,更具体而言,涉及针对恶意软件的本地保护。
背景技术
在当今社会中,网络安全领域变得越来越重要。因特网使得全世界的不同计算机网络能够互联。不过,有效保护和维护稳定计算机和系统的能力给部件制造商、系统设计者和网络运营商呈现了显著的障碍。由于恶意操作员所利用的不断演进的策略系列,使得这种障碍甚至更加复杂。最近尤其让人关注的是僵尸网络(botnet),僵尸网络可用于多种多样的恶意目的。一旦恶意软件程序文件(例如僵尸程序(bot))已经感染了主计算机,恶意操作员可以从“命令和控制服务器”发出命令以控制僵尸程序。可以指示僵尸程序以执行任意数量的恶意动作,例如从主计算机发出垃圾邮件或恶意邮件,从与主计算机关联的企业或个人窃取敏感信息,向其他主计算机传播僵尸网络,和/或辅助分布式拒绝服务攻击。此外,恶意操作员能够通过命令和控制服务器向其他恶意操作员销售僵尸网络或以其他方式赋予对僵尸网络的访问,由此逐步扩大主计算机的利用。因此,为了任意数量的恶意目的,僵尸网络为恶意操作员提供了强大方式以访问其他计算机并操控那些计算机。安全专业人员需要开发新型工具以应对允许恶意操作员利用计算机的这种手段。
附图说明
为了提供对本公开及其特征和优点的更完整理解,对结合附图进行的以下描述做出参考,在附图中同样的附图标记代表同样的部分,其中:
图1是示范性网络环境的图示表示,其中可以根据本公开实施用于针对恶意软件的本地保护的系统和方法的各种实施例;
图2是服务器一个实施例的方框图,其中可以根据本公开的实施例实施系统的部件;
图3是范例计算装置的示意图,其中可以根据本公开的实施例实施系统的部件;
图4是简化流程图,示出了与根据本公开实施例的系统相关联的一系列范例步骤;
图5是简化流程图,示出了与根据本公开实施例的系统相关联的信任确定流程的一系列范例步骤;
图6是简化流程图,示出了与根据本公开实施例的系统相关联的信任确定流程的另一实施例的一系列范例步骤;
图7是简化流程图,示出了与图3的计算装置实施例相关联的一系列范例步骤;
图8是另一范例计算装置的简化示意图,其中可以根据本公开的实施例实施系统的部件;
图9是简化流程图,示出了与图8的计算装置实施例相关联的一系列范例步骤;
图10是另一范例计算装置的简化示意图,其中可以根据本公开的其他实施例实施系统的部件;
图11是简化流程图,示出了与图10的计算装置实施例相关联的一系列范例步骤;以及
图12是简化流程图,示出了与根据本公开的系统的信任确定流程的另一实施例相关联的一系列范例步骤。
具体实施方式
概述
一种范例实施方式中的方法包括截获计算装置上的网络访问企图并确定与网络访问企图相关联的软件程序文件。该方法还包括评估第一标准,以确定是否许可网络访问企图,并且如果不许可,则阻止网络访问企图。最后,第一标准包括软件程序文件的信任状态。在具体实施例中,如果软件程序文件被包括在识别可信任软件程序文件的白名单中,则将信任状态定义为信任,并且如果软件程序文件未被包括在白名单中,则将信任状态定义为不信任。在更具体的实施例中,如果软件程序文件具有不信任状态,则阻止网络访问企图。在另一更具体实施例中,该方法还包括搜索一个或多个白名单以确定是否在白名单之一中识别出软件程序文件。在其他更具体实施例中,该方法包括评估第二标准,以确定第二标准是否超越(override)第一标准,其中第二标准包括针对软件程序文件的网络访问策略。在又一实施例中,如果将软件程序文件的信任状态定义为不信任,则可以记录事件,并且这样的记录可以取代阻止网络访问企图而发生,或者可以除阻止网络访问企图之外而发生。
范例实施例
图1是示范性网络环境100的图示表示,其中可以实施用于针对恶意软件的本地保护的系统的一个实施例。网络环境100可以包括本地网络110,本地网络100具有中央服务器130和主机120a、120b和120c,这些主机分别具有可执行软件122a、122b和122c。可以为本地网络110提供通往其他网络的电子连接,其他网络包括例如广域网,诸如因特网150。因特网150提供了对很多其他网络、计算装置和网络服务的访问。例如,全局服务器160可以提供数据库165,其包含全局白名单,指出已经被评估并确定为没有恶意代码的软件程序文件。此外,恶意用户,例如僵尸网络操作员175,也可以访问因特网150,连带访问命令和控制服务器170,命令和控制服务器170可以由僵尸网络操作员175操控以发出并接下来控制恶意软件(例如僵尸程序),其试图感染网络,例如本地网络110。在用于针对恶意软件的本地保护的系统的一个示范性实施例中,可以分别在每个主机120a、120b和120c中安装本地保护部件124a、124b和124c,并且可以在中央服务器130中安装中央保护部件135。中央服务器130也可以访问记录事件数据库131、中央不信任软件清单132和内部白名单133。
在范例实施例中,主机120上的本地保护部件124和中央服务器130中的中央保护部件135可以合作以为系统提供针对恶意软件的本地保护。在一个实施例中,评估分别在主机120a、120b和120c的可执行软件122a、122b和122c中的每个软件程序文件以使用一种或多种信任评估技术(例如白名单比较、程序文件改变比较、黑名单比较等)来确定信任状态(即信任或不信任)。中央不信任软件清单132可以包括识别被分类为不信任的每个程序文件的条目,并且这个清单也可以被本地存储在对应主机120a、120b和120c上。在其他实施例中,针对与每个网络访问企图相关联的程序文件实时进行可执行软件122a、122b和122c的软件程序文件的评估以确定信任状态。如本说明书中在这里使用的网络访问企图意在包括主机上的任何进入或外出网络访问企图(例如接受连接请求,做出连接请求,从网络接收电子数据,向网络发送电子数据)。在主机120a、120b或120c之一上的软件进程与网络访问企图相关联时,如果确定与软件进程相关联的任何程序文件的信任状态都是不信任,则可以阻止网络访问。在范例实施例中,可以使用不信任软件清单之一来确定信任状态或者可以使用一种或多种信任评估技术实时确定信任状态。也可以使用策略来定义用于与不信任程序文件相关联的软件进程的阻止规则(例如,仅允许访问网络地址的指定子网,阻止所有进入和外出网络访问企图,仅阻止进入或外出网络访问企图,阻止所有本地网络访问企图并允许因特网流量等)。也可以记录并汇总由与不信任程序文件相关联的软件进程所进行的任何网络访问企图以用于报告。
为了例示用于针对恶意软件的本地保护的系统的技术的目的,重要的是理解给定网络之内发生的活动。可以将以下基础信息视为依据,可以从其适当解释本公开。认真提供这样的信息仅为了解释的目的,并且因此,不应以任何方式解释为限制本公开及其潜在应用的宽广范围。此外,要认识到,本公开的宽广范围意在引用“程序文件”、“软件程序文件”和“可执行软件”以涵盖包括可以在计算机上理解并处理的指令的任何软件文件,例如可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等。
组织中使用以及由个人使用的典型网络环境包括使用例如因特网与其他网络进行电子通信的能力,以访问连接到因特网的服务器上托管的网页,发送或接收电子邮件(即email)消息,或与连接到因特网的终端用户或服务器交换文件。恶意用户一直在使用因特网开发新的手段以散布恶意软件并获得对机密信息的访问。
代表对计算机安全性越来越大威胁的手段常常包括僵尸网络。僵尸网络使用了客户端-服务器架构,其中一种类型的恶意软件(即僵尸程序)被置于主计算机上并与命令和控制服务器通信,命令和控制服务器可以由恶意用户(例如僵尸网络操作员)控制。僵尸程序可以从命令和控制服务器接收命令以执行特定的恶意活动,并且因此,可以执行这样的命令。僵尸程序也可以向命令和控制服务器发回任何结果或窃取的信息。除了接收命令以执行恶意活动之外,僵尸程序典型地还包括一个或多个传播矢量,其使僵尸程序能够在组织网络之内扩散或跨过其他网络向其他组织或个人扩散。常见的传播矢量包括利用本地网络之内主机上的已知弱点并发送附带恶意程序的恶意电子邮件或在电子邮件之内提供恶意链接。僵尸程序也可以通过例如下载式驱动、病毒、蠕虫病毒、特洛伊木马等感染主计算机。
僵尸网络为僵尸网络操作员提供了强大方式以通过采用各种攻击来危害计算机系统。一旦僵尸程序已经感染了主计算机,命令和控制服务器就能够向僵尸程序发出命令以执行各种类型的攻击。通常,僵尸网络已经被用来发送大容量电子邮件并执行分布式拒绝服务攻击。不过,新近以来,僵尸网络已经被用来针对企业和个人执行目标性更强的攻击,以获得机密数据或其他敏感信息,例如知识产权和财务数据。
现有的防火墙和网络入侵预防技术一般在识别和容忍僵尸网络方面有所欠缺。僵尸程序常常被设计成发起与命令和控制服务器的通信并伪装为正常的浏览器流量。可以利用命令和控制协议编制僵尸程序,这使得僵尸程序似乎是向网络服务器做出正常的外出网络连接。例如,僵尸程序可以使用通常被用于与网络服务器通信的端口。因此,在不执行对网络流量更详细的分组检查的情况下,现有技术可能无法检测到这样的僵尸程序。此外,一旦发现了僵尸程序,僵尸网络操作员就可以简单地找到由僵尸程序伪装网络访问企图的另一种方式,以继续像正常网络流量那样存在。新近以来,僵尸网络操作员已经编制僵尸程序以使用加密协议,例如安全套接字层(SSL),由此对恶意网络访问企图加密。这样加密的流量可以使用超文本传输协议安全(HTTPS)端口,使得仅有加密会话中涉及的终点能够对数据解密。于是,现有的防火墙和其他网络入侵预防技术不能对网络流量进行任何有意义的检查。因此,僵尸程序继续感染网络之内的主计算机。
关注于防止未被授权的程序文件在主计算机上执行的其他软件安全技术可能对于企业或其他组织实体的最终用户或雇员具有不期望的副作用。网络或信息技术(IT)管理员可以负责编制与企业实体的所有方面相关的广泛策略,以使得雇员能够从期望且信任的网络资源获得软件和其他电子数据。在没有适当的广泛的策略的情况下,可能防止雇员从未特定授权的网络资源下载软件和其他电子数据,即使这样的软件和其他数据是合理的且为商务活动所必需的。此外,这样的系统可能非常有限制性,因为如果在主计算机上发现未被授权的软件,就可能在网络管理员介入之前中止任何主计算机活动。对于商务而言,这种类型的系统可能会干扰合理且必要的商务活动,导致工人停工、失去收入、显著的信息技术(IT)开销等。
如图1中勾勒的那样,一种用于针对恶意软件的本地保护的系统和方法能够从被感染网络减少僵尸网络的传播和恶意活动,同时允许被感染网络之内继续进行合理的活动,而需要较少的IT开销。根据一种范例实施方式,提供了一种系统以可积极地确定网络之内每个主机上哪些软件程序文件有风险(即,不信任)。在一个范例中,通过检测主机上驻留的未知或改变的程序文件来进行这种确定。无论何时在网络之内的主机之一上做出网络访问企图(即进入或外出),都评估与网络访问企图相关联的进程以确定其对应的一个或多个程序文件,并评估该一个或多个程序文件以确定其信任状态(即,信任或不信任)。如果每个程序文件都是信任的,那么可以允许与该进程相关联的网络访问企图。不过,如果有任何程序文件是不信任的,那么可以阻止与该进程相关联的网络访问企图,由此防止可能的僵尸程序的传播和恶意活动。在一个范例实施例中,可以基于策略配置选择性地允许向和/或从定义的子网集合的网络访问。于是,僵尸程序对来自命令和控制服务器的命令做出响应并传播的能力可能被显著削弱,同时使必要商务活动的中断或妨碍最小化。结果,如图1中实现的系统为具有被感染主机的网络和被感染主机试图访问的其他网络提供了更好的保护。
转到图1的基础设施,本地网络110代表范例架构,其中可以实施用于保护计算机系统的系统。可以通过各种形式配置本地网络110,包括但不限于一个或多个局域网(LAN)、任何其他适当网络或其任意组合。因特网150代表本地网络110可以适当连接到的广域网(WAN)。在一个实施例中,本地网络110可以通过因特网服务提供商(ISP)或通过具有专用带宽的因特网服务器而被可操作地耦合到因特网150。本地网络110和因特网150之间的连接可以包括任何适当介质,例如数字订户线路(DSL)、电话线路、T1线路、T3线路、无线、卫星、光纤、电缆、以太网等,或其任意组合。此外,可以使用网关、交换机、路由器等来促进主机120和中央服务器130与因特网150之间的电子通信。可以将ISP或因特网服务器配置成允许主机120使用传输控制协议/因特网协议(TCP/IP)与因特网上的其他节点通信,并且邮件服务器(未示出)可以允许主机120使用简单邮件传输协议(SMTP)发送和接收电子邮件消息。
在一个范例实施例中,本地网络110代表组织(例如,企业、学校、政府实体、家庭等)的网络环境,其中主机120a、120b和120c代表由与该组织相关联的雇员或其他个人所操作的最终用户计算机。最终用户计算机可以包括计算装置,例如桌面计算机、膝上计算机、移动或手持计算装置(例如个人数字助理(PDA)或移动电话),或能够执行与对本地网络110的网络访问相关联的软件进程的任何其他计算装置。主机120a、120b和120c、中央服务器130和本地网络110中任何额外部件之间的连接可以包括任何适当的介质,例如电缆、以太网、无线(例如WiFi、3G、4G等)、ATM、光纤等)。应当指出,这里示出和描述的网络配置和互连仅出于例示目的。图1意在作为范例,并且不应被解释为暗示本公开中的架构性限制。
在图1中所示的范例实施例中,命令和控制服务器170和僵尸网络操作员175被可操作地耦合到因特网150。在一个范例中,命令和控制服务器170可以是由僵尸网络操作员175所控制或使用的网络服务器,以向分布的僵尸程序发出命令。在另一个范例中,可以将命令和控制服务器170恶意安装并隐藏在大型社团、教育或政府站点上。僵尸网络操作员175可以通过例如因特网150远程访问命令和控制服务器170,以发出指令,以用于控制被感染主机计算机,例如主机120a、120b或120c上的分布的僵尸程序。众多僵尸网络操作员和控制数百万僵尸程序的命令和控制服务器可以被可操作地连接到因特网150。在一个范例中,一旦僵尸程序已经感染主机120a、120b或120c之一,僵尸网络操作员175就可以开始通过命令和控制服务器170发出命令以在整个本地网络110和/或其他网络中传播僵尸程序。此外,僵尸网络操作员175也可以发出指令,让僵尸程序从被感染主机120a、120b或120c采取恶意活动,例如垃圾邮件、窃取机密信息、分布式拒绝服务攻击等。
图1还示出了连接到因特网150的全局服务器160。尽管有众多服务器可以连接到因特网150,但全局服务器160代表提供一个或多个数据库的服务,一个或多个数据库包含与被评估风险的软件程序文件相关的信息。例如,被评估和确定为不值得信任的软件程序文件(例如包含恶意代码,例如病毒、蠕虫等)可以被包括在所谓的“黑名单”中。被评估和确定为值得信任的软件程序文件(例如,未被污染的,无恶意代码等)可以被包括在所谓的“白名单”中。尽管可以单独实施白名单和黑名单,但也可能在数据库中将它们组合,其中每个软件程序文件被识别为白名单或黑名单文件。
可以使用校验和来实施白名单和黑名单,其中存储针对每个程序文件的唯一校验和,可以将其容易地与寻求评估的程序文件的计算的校验和进行比较。校验和可以是通过向软件程序文件应用算法而导出的数学值或散列和(例如,固定的数位串)。如果向与第一软件程序文件相同的第二软件程序文件应用算法,那么校验和应该匹配。不过,如果第二软件程序文件不同(例如,其已经通过某种方式而改变,其是第一软件程序文件的不同版本,其是完全不同类型的软件等),则校验和非常不可能匹配。
可以由独立的第三方提供图1中的数据库,例如全局白名单165,并可以对其定期更新,以提供对于消费者可用的值得信任软件程序文件的全面列表。类似地,可以由独立第三方提供黑名单(未示出),并可以对其定期更新,以提供不信任恶意软件程序文件的全面列表。全局白名单和黑名单可以在本地网络110外部,并可以通过诸如因特网150的其他网络或通过许可本地网络110和全局白名单165之间电子通信的任何其他适当连接而是可访问的。这种全局白名单和黑名单的范例包括由加利福尼亚Santa Clara的McAfee有限公司提供的Artemis数据库和由俄勒冈Portland的SignaCert有限公司提供的SignaCert®数据库。
图1还包括本地网络110中所示的内部白名单133。内部白名单133还可以包含与被评估风险的软件程序文件相关的信息,并可以使用校验和来识别这样的软件程序文件。内部白名单133中识别的软件程序文件可以包括来自一个或多个全局白名单的软件程序文件和/或可以被定制以提供选择的软件程序文件。具体而言,可以在内部白名单133中识别在组织内部开发但对公众未必可用的软件程序文件。此外,也可以提供内部黑名单以识别被评估并确定为不值得信任的特定软件程序文件。
在图1中所示的范例实施例中,主机120a、120b和120c的可执行软件122a、122b和122c均可以具有多个软件程序文件,如本文前面所述,其可以包括任何可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等。如果主机120a、120b和120c之一已经被僵尸程序感染,那么可以在相应主机的可执行软件122a、122b或122c中将僵尸程序作为程序文件存储。本地保护部件124a,124b和124c可以截获相应主机120a,120b和120c上的进入和外出网络访问企图。如果与网络访问企图相关联的任何程序文件具有不信任状态,那么可以阻止网络访问或基于其他标准(例如策略、预定义条件等)选择性地允许网络访问。不过,如果程序文件具有信任状态,那么可以允许网络访问。
在一些实施例中,中央服务器130的中央保护部件135评估可执行软件122a、122b和122c的每个程序文件并将每个程序文件分类为信任或不信任。可以将程序文件与内部白名单133、全局白名单165、内部或外部黑名单或其任意组合进行比较。如果被评估的程序文件被分类为不信任,可以向中央不信任软件清单132添加识别不信任程序文件的条目。中央服务器130也可以维护记录事件数据库131,其包含与本地网络110之内任何主机120a、120b和120c上的网络访问企图相关的信息。可以在对中央服务器130能够访问的任何网络和装置中提供记录事件数据库131、中央不信任软件清单132和内部白名单133。
转到图2,图2示出了中央服务器200和关联存储器部件231、232和233的示意图,其是图1中所示中央服务器130和关联存储器部件131、132和133的更详细范例。在系统的一个范例实施例中,中央服务器200的中央保护部件可以包括行政保护模块220、策略模块230、策略数据库235和软件信任确定模块240。在一个范例实施例中,也可以包括中央信任高速缓存245,用于从软件信任确定模块240接收信任的程序文件高速缓存条目。不过,在其他实施例中,中央服务器200可以包括或可以访问存储器部件,存储器部件包含中央不信任软件清单232,用于存储不信任的程序文件条目。除了适当的硬件元件,例如处理器280和存储器元件290之外,中央服务器200还可以包括或可以访问存储器部件,例如记录事件数据库231和内部白名单233。也可以将管理控制台210适当连接到中央服务器200,让被授权人员通过例如行政保护模块220部署、配置和维护系统。
在使用中央信任高速缓存245的实施例中,可以将高速缓存作为存储器块而以硬件实现,用于暂时存储识别已经先前确定为具有信任状态的程序文件的条目(例如,校验和),例如在搜索全局和/或内部白名单期间发现的那些程序文件。中央信任高速缓存245能够提供对指示先前评估了信任状态的程序文件的数据的快速且透明的访问。于是,如果在中央信任高速缓存245中发现了所请求的程序文件,那么可能不需要执行全局和/或内部白名单或任何其他信任评估的搜索。此外,使用中央信任高速缓存245的实施例可能不需要维护中央不信任软件清单232。
转到图3,图3示出了计算装置或主机300的一个实施例的示意图,以及中央服务器200的方框图,其中可以实施用于针对恶意软件的本地保护的系统。主机300是图1的主机120的更详细范例。主机300包括一组可执行软件340,包括,例如程序文件1到n。主机300中的本地网络保护部件可以包括本地保护模块310、软件管理器模块320、本地不信任软件清单330和软件程序清单馈送335。软件管理器模块320、本地不信任软件清单330和软件程序清单馈送335可以驻留于主机300的用户空间中。主机300的用户空间中还示出了范例执行软件进程345,其对应于可执行软件340的一个或多个程序文件。为了容易参考,在主机300的用户空间中示出了可执行软件340,但其可以被存储在存储器元件中,例如主机300上的磁盘驱动器中。
主机300还可以包括硬件部件,例如网络接口卡(NIC)装置370、处理器380和存储器元件390。本地保护模块310和传输协议,例如传输控制协议/因特网协议(TCP/IP)350和其他协议360,可以驻留于主机300的核心空间中,并可以被实现为网络驱动程序接口规格(NDIS)驱动程序堆栈的一部分,其与NIC装置370对接。操作系统核心提供进程流量映射元件365,用于将软件进程映射到可执行软件340的其对应程序文件。
在软件管理器模块320和中央服务器200之间示出了数据流,包括策略更新流322、不信任软件更新流324和事件流326。在软件管理器模块320和本地保护模块310之间还示出了数据和控制流,包括策略更新流312、控制流318和事件流316。最后,软件程序清单馈送335被示为具有通往中央服务器200的数据流337。
图2和3中未示出可以适当耦合到处理器280和380的额外硬件,其形式为存储器管理单元(MMU)、额外的对称多重处理(SMP)元件、物理存储器、以太网、外围部件互连(PCI)总线和对应网桥、小型计算机系统接口(SCSI)/集成驱动器电子电路(IDE)元件等。此外,也可以包括适当的调制调解器和/或额外网络适配器以便允许网络访问。中央服务器200和主机300可以包括对于适当执行其预期功能所必需的任何额外硬件和软件。此外,也将在中央服务器200和主机300中配置任何适当的操作系统以适当管理其中硬件部件的工作。将认识到,硬件配置可以变化,并且所描绘的范例并非意图暗示架构限制。
在范例实施例中,可以至少部分由中央服务器200的行政保护模块220和软件信任确定模块240,并由主机300的软件程序清单馈送335、软件管理器模块320和本地保护模块310提供用于可执行软件340的信任确定和记录活动。可以适当地向特定位置(例如本地不信任软件清单330、记录事件数据库231等)呈递或发送与信任确定和记录活动相关的信息,或者仅进行存储或归档(例如,中央不信任软件清单232等),和/或以任何适当格式(例如通过管理控制台210等)进行适当显示。与一种或多种这种信任确定和记录活动相关的安全技术可以包括诸如ePolicy Orchestrator软件、Application Control软件和/或ChangeControl软件(全部由CA Santa Clara的McAfee有限公司制造)的元件或任何其他类似软件。于是,可以在如本说明书中在此使用的术语“行政保护模块”、“软件信任确定模块”、“软件程序清单馈送”、“软件管理器模块”和“本地保护模块”的宽广范围内包括任何这样的部件。记录事件数据库231、中央不信任软件清单232、内部白名单233和本地不信任软件清单330可以包括与电子数据的信任确定和记录相关的信息(例如,对程序文件的信任确定,软件进程的网络访问企图等),并且这些元件能够容易地合作、协调或以其他方式与中央服务器200和主机300的模块和部件交互。
在范例实施例中,可以至少部分地在主机300的本地保护模块310和软件管理器模块320以及中央服务器200的行政保护模块220和策略模块230中提供对网络访问企图的截获和阻止活动。可以将与截获和阻止活动相关的信息推送给特定位置(例如中央服务器200、记录事件数据库231、本地保护模块310等),或仅在本地存储或归档,和/或以任何适当格式(例如通过管理控制台210等)进行适当显示。与一种或多种这种截获和/或阻止活动相关的安全技术可以包括诸如McAfee® ePolicy Orchestrator软件的元件或任何其他类似软件。于是,可以在如本说明书中在此使用的术语“本地保护模块”、“软件管理器模块”、“行政保护模块”和“策略模块”的宽广范围内包括任何这样的部件。本地不信任软件清单330、中央不信任软件清单232和策略数据库235可以包括与截获和阻止网络访问企图相关的信息(例如针对程序文件的信任确定、策略配置等),并且这些元件可以被容易地访问以及通过其他方式与中央服务器200和主机300的模块和部件交互。
图4-7包括与用于针对恶意软件的本地保护的系统的实施例相关联的范例步骤的流程图。为了容易参考,在这里将参考图1的网络环境100中的特定部件并参考服务器200、主机300及其关联部件、元件和模块来描述图4-7,尽管可以使用各种其他装置、部件、元件、模块等来实施这里所示和所述的系统和方法。
图4和5分别描绘了枚举流程400和信任确定流程500,用于创建和维护中央不信任软件清单232和/或本地不信任软件清单330。流程400至少部分可以发生于中央服务器200的软件信任确定模块240中。在步骤410中开始,获得主机300上可执行软件的清单。在范例实施例中,可以从主机300的软件清单馈送335接收这个软件清单,软件清单可以枚举主机300上可执行软件340的所有程序文件并通过数据流337向中央服务器200推送枚举的程序文件(即软件清单)。在其他实施例中,仅枚举并向中央服务器200推送可执行软件340的新的和改变的程序文件。可以通过现有的安全技术,例如Policy Auditor软件或ApplicationControl软件,实现这样的枚举,两种软件均由加利福尼亚Santa Clara的McAfee 有限公司制造。
在步骤410中已经枚举程序文件之后,评估软件清单中识别的每个程序文件以确定信任状态并相应地分类为信任(即可以允许网络访问)或不信任(即可以阻止或选择性地允许网络访问)。在步骤410之后,流程可以转到步骤420,其中从软件清单检索第一程序文件。流程然后转到步骤430,其中评估程序文件,并然后将其分类为信任或不信任,其将参考图5和6在此被进一步示出和描述。在步骤430中将程序文件分类为信任或不信任之后,流程转到步骤440,其中做出关于当前评估的程序文件是否是中央服务器200从主机300接收的软件清单中最后的程序文件的确定。如果当前程序文件不是软件清单中最后的程序文件,那么可以在步骤450中从软件清单检索下一个程序文件,并且流程可以循环回到步骤430,以开始下一程序的评估和信任分类。不过,如果在步骤440中,当前程序文件是软件清单中最后的程序文件,那么流程转到步骤460。
在步骤460中,可以向主机300推送任何新分类的不信任程序文件以更新本地不信任软件清单330。推送可以从中央服务器200的软件信任确定模块240经由不信任软件更新流324向主机300的软件管理器模块320发生。在范例实施例中,中央服务器200的软件信任确定模块240可以从主机300上完整软件清单的软件程序清单馈送335或主机300上新的或改变的程序文件的软件清单接收恒定馈送或接近恒定的馈送,使得中央不信任软件清单232和/或本地不信任软件清单330当前基本是实时的。在其他实施例中,软件信任确定模块240可以以规则的所安排间隔(例如每天,每小时,每半小时等)接收枚举的软件清单。
转到图5,图5示出了与图4的步骤430对应的信任确定流程500的更详细流程,其是针对推送到中央服务器200的软件清单中的每个程序文件而执行的。流程可以开始于步骤510,其中评估当前程序文件以确定其是否在至少一个全局白名单,例如图1中所示的全局白名单165和/或本地网络110外部的任何其他白名单上被识别。如本文前面所述,可以在白名单中使用校验和来识别程序文件。如果在步骤510中在任何全局或其他外部白名单上发现了程序文件,那么将程序文件的信任状态定义为信任,并且因此,流程结束,以及通过不更新中央不信任软件清单232来将程序文件分类为信任。不过,如果在步骤510中未在全局或其他外部白名单上发现程序文件,那么流程前进到步骤520,其中可以搜索一个或多个内部白名单,例如内部白名单233。组织可以采用多个白名单(例如,组织范围的白名单、企业级的白名单等)。如果在任何内部白名单上发现了程序文件,将程序文件的信任状态定义为信任,并且因此,流程结束,以及不更新中央不信任软件清单232。
不过,如果在步骤510或520中在任何内部或外部白名单上未发现该程序文件,那么该程序文件具有不信任状态。流程然后可以前进到步骤530,其中可以评估程序文件以确定程序文件是否满足任何预定义条件,该条件允许将程序文件从不信任状态提升到信任状态。这样的预定义条件可以包括启发式考虑,例如管理员所拥有的软件、文件访问控制、文件属性(例如,创建时间、修改时间等)等。在一个范例中,可以将管理员所拥有的不信任程序文件提升到信任状态,并且因此,流程可以结束,以便通过不更新中央不信任软件清单232来将程序文件分类为信任。不过,如果在步骤530中程序文件不满足任何预定义条件,那么可以通过在最后步骤540中更新中央不信任软件清单232以识别程序文件而使不信任状态持续,并可以将程序文件分类为不信任。
信任确定流程500也可以包括额外的逻辑(未示出)以评估除白名单之外的黑名单。黑名单识别已知是恶意的软件程序文件。可以由众多来源提供黑名单,包括由McAfee有限公司提供的Artemis和Anti-Virus数据库,以及由本地网络之内本地维护的黑名单来提供黑名单。在这一实施例中,如果在任何内部或外部黑名单上发现了程序文件,那么通过更新中央不信任软件清单232以识别程序文件来将程序文件分类为不信任。也可以将不信任程序文件信息推送到主机300以更新本地不信任软件清单330。
转到图6,图6示出了与图4的步骤430对应的信任确定流程600的替代实施例,其可以针对软件清单中的每个程序文件而被执行。流程可以开始于步骤620,其中评估当前程序文件以确定其是否已经改变。如果程序文件的当前状态尚未从先前状态改变,那么将程序文件的信任状态定义为信任,且流程结束,以便不更新中央不信任软件清单232以识别程序文件。不过,如果程序文件的当前状态已经从先前状态改变,那么程序文件具有不信任状态。可以使用现有的改变跟踪产品(例如McAfee®Change Control软件、McAfee®Application Control软件、McAfee®ePolicy Orchestrator软件、McAfee®PolicyAuditor软件、由俄勒冈Portland的Tripwire有限公司制造的Tripwire®软件等)以检查程序文件的改变数据,以确定是否发生改变。在一个范例中,可以在中央服务器200集中汇集改变记录,并且McAfee® ePO软件可以做出程序文件是否改变的确定。
在图6中,如果在步骤620中确定程序文件具有不信任状态,流程然后可以前进到步骤630,其中评估程序文件以确定是否存在任何预定义条件,以允许将程序文件从其不信任状态提升到信任状态,如本文前面参考图5中步骤530所述。如果一个或多个预定义条件许可将程序文件提升到信任状态,那么流程可以结束,并且不更新中央不信任软件清单232。不过,如果没有预定义条件适用于程序文件,那么可以通过在步骤640中更新中央不信任软件清单232以识别程序文件而使不信任状态持续,并可以将程序文件分类为不信任。
在另一实施例中,图5或6的信任确定流程可以包括额外的逻辑(未示出),以说明先前已经被分类为不信任的被定义为信任的程序文件。如果分别从图5和6的信任确定流程500或600将程序文件定义为信任,可以提供额外的逻辑以确定程序文件的信任状态是否已从先前确定的不信任状态改变。在这种情况下,如果其状态已经从不信任变为信任,可以更新中央不信任软件清单232以移除或适当标记程序文件条目。此外,还可以将任何这样的更新推送到主机300以相应地更新本地不信任软件清单330。本实施例允许一旦已经将内部或外部白名单之一更新以识别新程序文件,就将已经先前分类为不信任的程序文件(例如,未在内部白名单中更新且不为全局/外部白名单所知的新内部程序文件等)重新分类为信任。
枚举程序文件,确定信任状态以及对那些程序文件分类的替代实施方式将是容易显而易见的。本文前面所示和所述的几个实施例提到:枚举网络中每个主机,例如主机300上可执行软件的清单,向中央服务器200推送软件清单,确定与清单中每个程序文件相关联的信任状态,相应地更新中央不信任软件清单232,以及然后向适当主机推送不信任软件清单更新以在本地不信任软件清单330中本地维护。不过,在替代实施例中,可以由每个主机在本地执行软件程序文件的信任确定和分类,并且可以将所得信息推送到另一个位置(例如中央不信任软件清单232等)和/或在本地维护(例如,本地不信任软件清单330等)。
可以由白名单评估、黑名单评估、状态改变评估或任何其他适当的信任评估技术来在本地确定软件程序文件的信任状态,并然后对程序文件进行适当分类。在这样的实施例中,例如,可以通过McAfee®软件(例如Policy Auditor、Application Control或ChangeControl)枚举可执行软件的清单。在如图5中所示执行白名单评估时,主机可以访问本地网络上的内部白名单和/或通过另一种网络(例如因特网)能够访问的外部白名单。如图6中所示,也可以通过评估程序文件的当前和先前状态以发现改变来在本地进行程序文件状态改变评估。例如,McAfee® Change Control软件允许在主机上本地维护改变记录的序列,其可以被评估以确定特定主机上是否有任何程序文件已经改变。此外,本公开的宽广范围允许使用任意数量的其他技术来确定是否应当将软件程序文件分类为信任,例如包括:对软件程序文件既执行白名单评估又执行状态改变评估和/或对软件程序文件执行黑名单评估。
可以根据本公开以各种形式适当配置一个或多个不信任软件清单。例如,不信任软件清单可以仅驻留在个别主机(例如不信任软件清单330)中,仅驻留在另一位置(例如中央不信任软件清单232)中或在其一些组合中。在一个实施例中,本地不信任软件清单330可以包含识别主机300上发现的不信任程序文件的条目,但中央不信任软件清单232可以包含针对在网络之内多个主机上发现的不信任程序文件的条目。中央不信任软件清单232的一个示范性实施例结合了数据库表格格式,其中一个列对应于主机名,而另一个列对应于不信任程序文件的程序路径。本地不信任软件清单330可以具有类似格式,或者可以被简化,例如以仅包含程序文件路径条目。
可以通过使用向中央服务器200的软件清单的恒定馈送或通过使用以预定义时间间隔的批处理来实施参考图4-6所示和所述的用于枚举和信任确定以及分类的实施例。在批处理实施例中,分批过程之间的时间窗口可以使尚未被添加到不信任软件清单330的僵尸程序能够通过访问网络而传播和/或执行恶意活动。不过,对于一些企业而言,这种方式可能是合乎需要的,因为预定义的时间间隔可能无关紧要,或因为替代方式可能妨碍合理和必要的商务活动。然而,可以实施另一实施例以关闭这些时间窗口,同时仍然使用批处理来更新不信任软件清单330。
在这一替代实施例中,可以创建并维护信任软件清单,而不是不信任软件清单。可以评估与网络访问企图相关联的程序文件以确定是否每一个都在信任软件清单上被识别。如果程序文件全部在信任软件清单上被识别,那么可以允许网络访问。不过,如果任何程序文件都未在信任软件清单中被识别,那么可以阻止或选择性地允许网络访问,如在这里进一步所述。可以集中和/或本地维护信任软件清单,并且在一个实施例中,本地信任软件清单可以被配置成仅包括其对应主机上的信任程序文件、来自网络之内主机的所有信任程序文件、和/或如由网络管理员或其他被授权用户确定的任何其他信任程序文件。
转到图7,简化流程图示出了保护流程700,用于截获、阻止和记录针对与主机上软件进程相关联的网络访问企图(即进入或外出)的活动,例如在主机300上执行软件进程345。在一个范例中,可以至少部分将保护流程700作为主机300的本地保护模块310而实施。为了易于参考,将首先针对从主机300上的软件进程345向连接到主机300的网络的外出网络访问企图而描述保护流程700。
流程开始于步骤710,其中本地保护模块310截获由软件进程345做出的外出网络访问企图。在一个实施例中,来自可执行软件340的进程使用NDIS驱动器堆栈来通过主机300的NIC装置370访问网络。于是,软件进程345可以通过经由NDIS驱动器堆栈发送电子数据,来尝试访问网络。如果连接正使用因特网协议族,那么TCP/IP 350将电子数据分解成分组并提供所请求的目的地址。替代地,连接可以使用其他协议360(例如,互联网络分组交换(IPX)、NetBIOS扩展用户接口(NetBEUI)等)以准备电子数据以便传输。一旦已经准备了外出分组,本地保护模块310然后截获分组,分组可能正尝试任何类型的网络访问(例如,查找域名服务(DNS)主机名称的企图,连接到远程主机的企图,向已经连接到网络的套接字写入的企图等)。
在已经截获发出分组之后,流程转到步骤720,其中可以查询操作系统哪些程序文件(例如,可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等)对应于与执行软件进程345相关联的截获的分组。在本范例中,将截获的分组映射到执行软件进程345,可以将其映射到加载到进程345中的可执行文件和一个或多个库模块。操作系统核心保持进程流量映射元件365并在步骤720中向本地保护模块310提供这样的映射信息。流程然后转到步骤730,其中做出关于以下的查询:与从进程345截获的分组相对应的一个或多个程序文件是否可信任。在一个范例中,本地保护模块310可以通过控制流318向软件管理器模块320查询关于程序文件的信息。软件管理器模块320然后可以访问本地不信任软件清单330以确定将程序文件分类为不信任还是信任,并且然后通过控制流318向本地保护模块310返回这样的信息。
如果在步骤730中将任何程序文件分类为不信任(即,在本地不信任软件清单330上发现一个或多个程序文件),那么流程转到步骤740以确定是否启用记录。如果在步骤740中启用记录,然后流程转到步骤750以产生用于记录的事件(即,网络访问企图)。例如,可以通过事件流316向软件管理器模块320发送事件数据(例如与网络访问企图及其关联程序文件相关的信息),然后软件管理器模块320可以在本地记录事件数据,或者经由事件流326向另一位置(例如中央服务器200)发送事件数据以便记录。在范例实施例中,中央服务器200的行政保护模块220可以适于在诸如记录事件数据库231的存储器元件中存储事件数据。记录事件数据库231中存储的可能事件数据的范例包括与所截获分组相关联的程序文件的标识和/或程序路径、事件发生所在的主机的标识、网络访问企图的日期与时间戳、网络访问企图的类型、网络访问企图的目的地和/或源地址、与网络访问企图相关联的端口号等。行政保护模块220也可以通过管理控制台210或其他报告机制提供对记录事件数据库231的访问。
在步骤750中已经产生用于记录的事件之后,或者如果在步骤740中没有启用记录,则流程转到步骤760,以确定是否启用强制。如果不启用强制,该流程转到步骤790,其中允许软件进程345访问网络,并将截获的分组传递到NIC装置370。不过,如果在步骤760中启用了强制,那么可以在步骤770中评估策略以确定任何配置的策略是否超越程序文件的不信任状态,以便允许与软件进程345相关联的网络访问或选择性网络访问。
在一个实施例中,可以由网络管理员编制策略配置,并且可以将这样的策略推送到每个主机,例如主机300。例如,中央服务器200的策略模块230可以允许管理员或其他授权用户通过管理控制台210编制策略配置,并在策略数据库235中存储这样的策略。行政保护模块220然后可以通过策略更新流322向主机300的软件管理器模块320推送任何相关策略配置。软件管理器模块320可以进一步通过策略更新流312向本地保护模块310推送策略配置。替代地,可以在例如主机300的磁盘驱动器中存储策略配置,并且本地保护模块310可以向软件管理器模块320查询针对被评估特定进程的任何相关策略。
可以由特定网络拥有者按需实施策略配置。在一些范例实施例中,策略配置可以包括一个或多个基于宽度的限制,例如阻止所有进入和外出的网络访问,阻止所有进入的网络访问并允许外出网络访问,或允许进入网络访问并阻止外出网络访问。也可以采用更具体的策略,例如阻止对本地网络的外出网络访问但允许对因特网的外出网络访问,或允许来自源地址指定子网的进入网络访问和/或允许对目的地址指定子网的外出网络访问。最后,可以使用甚至更加颗粒化的策略,例如阻止指定的进入和/或外出网络连接(例如,域名服务(DNS)、简单邮件传输协议(SMTP)、因特网中继聊天(IRC)等)。这些范例策略配置是出于例示的目的,以示出网络访问限制的可能性,并意在包括任何其他策略配置,以限制进入和/或外出的网络访问或其任意组合。
也可以针对不信任的程序文件编制特定的网络级的策略。例如,可以编制策略以将与不信任程序文件相关联的网络访问企图重定向到另一计算装置,例如副服务器。在一个范例中,在使用这种重定向时,可以迫使与不信任程序文件相关联的潜在恶意的网络访问企图通过额外的防火墙、过滤器、反垃圾邮件/抗病毒网关、代理等。在另一个范例中,副服务器可以被配置成在接收到网络连接时利用一个或多个预定义的命令做出响应。一些僵尸程序被设计成在接收到特定命令时自毁,并且副服务器可以被配置成利用这样的命令对网络连接做出响应,由此使已经被重定向到副服务器的僵尸程序被破坏。
可以在竞争利益之间平衡特定的策略配置,竞争利益例如是防止不信任软件的传播和潜在恶意活动的需求以及进行必要商务活动的需求。例如,在具有主机子网和服务器子网的网络中,策略可以被配置成允许与不信任程序文件相关联的软件进程仅访问服务器子网而不访问主机子网。这可能是合乎需要的,因为它可以防止恶意软件传播到网络之内的其他主机,同时允许主机不中断地访问安全的服务器子网。另一种策略可以阻止与不信任程序文件相关联的软件进程访问除托管工作关键性服务的已知子网之外的因特网。于是,通过编制允许选择性网络访问的策略可以采用很多不同的阻止选项。
返回到图7的步骤770,如果已经编制了策略以允许由与执行软件进程345相对应的一个或多个不信任程序文件进行选择性网络访问,并且截获的分组符合特定的策略要求(例如,根据应用于不信任程序文件的策略,分组具有允许的地址子网之内的目的地址,等等),然后流程转到步骤790,其中允许软件进程345进行网络访问,并且将分组传递到NIC装置370。不过,如果该策略未超越一个或多个程序文件的不信任状态(即,该策略不允许网络访问或没有策略可适用),那么该流程转到步骤780,并且阻止软件进程345进行网络访问。在一个范例中,通过迫使TCP连接呼叫失败并向软件进程345返回错误代码来发生阻止,由此防止截获的分组被传递到NIC装置370。
再次参考步骤730,如果将程序文件分类为信任(即在本地不信任软件清单330上未发现该程序文件),那么流程转到步骤760,以确定是否启用强制。如果不启用强制,该流程转到步骤790,其中允许软件进程345进行网络访问,并将截获的分组传递到NIC装置370。不过,如果在步骤760中启用了强制,那么可以在步骤770中评估策略以确定配置的策略是否超越一个或多个程序文件的信任状态。例如,如果先前截获了不信任程序文件,并要向所有外出的网络访问企图应用针对一些类型的阻止而提供的策略,那么可以评估与后续网络访问企图相关联的任何信任程序文件,并可能由该策略阻止其进行网络访问。于是,如果策略超越了一个或多个程序文件的信任状态(即,策略不允许网络访问),那么流程转到步骤780,并阻止软件进程345进行网络访问。不过,如果在步骤770中信任状态未被策略超越(即,策略允许网络访问或没有策略可适用),那么流程转到步骤790,其中允许软件进程345进行网络访问,并将截获的分组传递到NIC装置370。
图7的保护流程700还代表了用于截获、阻止和记录针对向主机300的进入网络访问企图的活动的流程。在步骤710,本地保护模块310从NIC装置370截获进入网络访问企图。进入网络访问企图可以是例如TCP侦听或接受呼叫,并可以与主机300上的执行软件进程(例如软件进程345)相关联。在步骤720到770中评估进入的截获分组,其在本文中前面已经参考网络访问企图的外出的截获分组而被描述。如果从步骤720到770的流程前进到步骤790,那么允许进入的截获分组访问主机300。不过,如果该流程前进到步骤780,那么阻止进入的截获分组访问主机300。在一个范例中,通过迫使侦听或接受呼叫失败并向侦听或接受API的呼叫方返回错误代码来发生阻止。此外,如本文前面所述,用于进入网络访问企图的众多策略配置是可能的。在一个范例中,如果在步骤770中确定已经编制了策略以允许与一个或多个不信任程序文件相关联的选定进入网络访问企图,并且进入的分组符合特定的策略要求(例如根据应用于不信任程序文件的策略,分组具有所允许的地址子网之内的源地址,等等),那么流程转到步骤790,其中允许进入的截获分组访问主机300。在另一个范例中,如果策略被应用于先前的网络访问企图(即进入的或外出的)并为要应用于后续网络访问企图的一些类型的阻止而提供,那么根据该策略可以阻止与后续进入网络访问企图相关联的进程访问主机或选择性地允许访问主机,即使所有其对应程序文件都具有信任状态也如此。
转到图8,图8示出了计算装置或主机800的另一个实施例的示意图,以及中央服务器200的方框图,其中可以实施用于针对恶意软件的本地保护的系统的另一实施例。主机800是图1的主机120一个实施例的更详细范例。主机800包括一组可执行软件840,例如程序文件1到n。主机800中的本地网络保护部件可以包括网络挂钩810、软件管理器模块820、本地不信任软件清单830和软件程序清单馈送835。为了容易参考,在主机800上的用户空间中示出了可执行软件840,尽管其也可以被存储在存储器元件中,例如主机800上的磁盘驱动器中。
软件管理器模块820、本地不信任软件清单830和软件程序清单馈送835可以与任何当前执行的软件进程(例如软件进程845)一起,驻留于主机800的用户空间中。在程序文件被执行并创建执行软件进程845时,如图8中的实施例中所示,可以在软件进程845中加载Windows Sockets API(Winsock)库815作为从属物,并且可以加载网络挂钩810作为对Winsock库815的从属物,连同由执行软件进程845加载的任何其他库模块。可以使用现有的安全技术,例如由McAfee有限公司制造的Host Intrusion Prevention System (HIPS)软件,来实现网络挂钩810。
在软件管理器模块820和中央服务器200之间示出了数据流,包括策略更新流822、不信任软件更新流824和事件流826。在软件管理器模块820和网络挂钩810之间还示出了数据和控制流,包括策略更新流812、控制流818和事件流816。
主机800还可以包括硬件部件,例如网络接口卡(NIC)装置870、处理器880和存储器元件890。主机800的核心空间可以包括传输协议,例如传输控制协议/因特网协议(TCP/IP)850和其他协议860。图8中未示出的是如参考图3的主机300所述的额外硬件和软件。
网络挂钩810和软件管理器模块820可以被配置成从主机800上的可执行软件840的程序文件(例如软件进程845)至少部分提供针对与进程相关联的网络访问企图的截获、阻止和记录活动。可以将与截获、阻止和记录活动相关的信息推送给特定位置(例如中央服务器200、记录事件数据库231等),或仅在本地存储或归档,和/或以任何适当格式(例如通过管理控制台210等)进行适当显示。与一种或多种这种截获、阻止和记录活动相关的安全技术可以包括如本文前面参考图3所述的元件,并可以包括McAfee® HIPS软件。于是,可以在如本说明书中在此使用的术语“网络挂钩”和“软件管理器模块”的宽广范围内包括任何这样的部件。本地不信任软件清单830可以包括与阻止和记录电子数据相关的信息,例如针对可执行软件840的程序文件的信任分类,并且这些元件能够容易地与网络挂钩810和软件管理器模块820合作、协调或以其他方式交互。
转到图9,简化流程图示出了保护流程900,用于截获、阻止和记录针对与主机上软件进程(例如主机800上的执行软件进程845)相关联的网络访问企图(即进入或外出)的活动。在一个范例中,可以部分地由网络挂钩810,并且部分地由主机800的软件管理器模块820执行保护流程900。为了易于参考,将首先针对从主机800上的软件进程845向连接到主机800的网络的外出网络访问企图描述保护流程900。
流程开始于步骤910,其中网络挂钩810从软件进程845截获API外出网络访问企图(例如,连接API,发送API等)。因为已经向软件进程845中加载了网络挂钩810作为对Winsock库815的从属物,所以网络挂钩810能够在API网络访问企图被传递到Winsock库815之前截获它们,Winsock库815对接到TCP/IP协议堆栈850。网络访问企图可以是任何类型的网络访问(例如,查找域名服务(DNS)主机名称的企图,连接到远程主机的企图,向已经连接到网络的套接字写入的企图等)。一旦已经截获了API,流程转到步骤920,以确定哪些程序文件(例如,可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等)与执行软件进程845相关联。在本范例中,将截获的API映射到执行软件进程845,可以将其映射到加载到进程845中的可执行文件和一个或多个库模块。在范例实施例中,网络挂钩810通过控制流818向软件管理器模块820查询关于哪些程序文件被映射到执行软件进程845,其被映射到截获的API。软件管理器模块820可以使用操作系统API以获得这样的映射信息。
一旦识别了程序文件,流程就转到步骤930到990,这可以类似于图7的保护流程700的步骤730到790。在步骤930中,做出关于以下的查询:是否在本地不信任软件清单830上发现与软件进程845相对应的任何程序文件。在一个范例中,软件管理器模块820可以访问本地不信任软件清单830以确定将程序文件分类为不信任还是信任。如果在步骤930中将任何程序文件分类为不信任(即,在本地不信任软件清单830上发现一个或多个程序文件),那么流程转到步骤940以确定是否启用记录。如果启用记录,那么流程转到步骤950以产生用于记录的事件(即网络访问企图),如本文前面参考图7所述。
在步骤950中产生用于记录的事件之后,然后流程转到步骤960,以确定是否启用强制。如果不启用强制,那么软件管理器820可以通过控制流818向网络挂钩810传递这一信息。该流程然后转到步骤990,其中通过向Winsock 815传递API来允许软件进程845访问网络。不过,如果在步骤960中启用了强制,那么可以在步骤970中评估策略以确定是否有任何配置的策略超越一个或多个不信任程序文件的不信任状态,如本文前面参考图7所述。在一个实施例中,策略评估可以发生于软件管理器模块820中,并可以经由控制流818向网络挂钩810传递结果。
可以由网络管理员或其他经授权用户通过例如中央服务器200的行政保护模块220来编制策略配置。行政保护模块220可以通过策略更新流822向主机800的软件管理器模块820推送任何相关策略配置。如果已经编制了策略以允许由与软件进程845相对应的一个或多个不信任程序文件进行选择性网络访问,且API符合特定的策略要求(例如,根据策略,API网络访问企图包括允许的地址子网之内的目的地址等),那么软件管理器模块820可以经由控制流818向网络挂钩810返回这样的信息。流程然后转到步骤990,其中向Winsock815传递API并允许软件进程845访问网络。不过,如果该策略在步骤970中不允许网络访问,或如果可适用的策略不存在,那么软件管理器模块820可以经由控制流818向网络挂钩810返回这样的信息,并且流程然后转到步骤980,其中不向Winsock 815传递API。相反,网络挂钩810可以向软件进程845返回错误状况,由此阻止网络访问。
再次参考步骤930,如果将程序文件分类为信任(即在本地不信任软件清单830上未发现该程序文件),那么流程转到步骤960,以确定是否启用强制。如果不启用强制,该流程转到步骤990,其中将API传递到Winsock 815并允许软件进程845访问网络。不过,如果在步骤960中启用了强制,那么可以在步骤970中评估策略以确定是否有配置的策略超越不信任状态,如本文前面参考图7所述。如果策略超越一个或多个程序文件的信任状态,那么流程转到步骤980,并且不向Winsock 815传递API。相反,网络挂钩810可以向软件进程845返回错误状况,由此阻止网络访问。不过,如果在步骤970中一个或多个程序文件的信任状态未被策略超越,那么流程转到步骤990,其中将API传递到Winsock 815并允许软件进程845访问网络。
保护流程900还代表了用于截获、阻止和记录针对向主机300的进入网络访问企图的活动的流程。在步骤910,网络挂钩810从Winsock库815截获API进入网络访问企图(例如,侦听API,接受API等)。在步骤920到970中评估进入网络访问企图,其在本文前面已经参考外出截获的API而被描述。如果从步骤920到970的流程前进到步骤990,那么允许进入网络访问企图访问主机300。不过,如果该流程前进到步骤980,那么阻止进入网络访问企图访问主机300。在一个范例中,通过拒绝侦听或接受呼叫并向侦听或接受API的呼叫方返回错误代码来发生阻止。此外,也可以在步骤970中应用针对进入网络访问的策略配置,如本文前面参考图7所述。
转到图10,图10示出了计算装置或主机1000的另一实施例的示意图和中央服务器200的方框图,其中可以实施用于针对恶意软件的本地保护的系统。主机1000是图1的主机120的更详细范例。主机1000可以包括一组可执行软件1040,包括例如程序文件1到n。主机1000中的本地网络保护部件可以包括本地保护模块1010、软件管理器模块1020、程序文件改变监测器1025、校验和高速缓存1030和本地信任高速缓存1035。在一个实施例中,可以为校验和高速缓存1030和本地信任高速缓存1035配置用于对应软件程序文件的程序文件路径和校验和。软件管理器模块1020和程序文件改变监测器1025可以驻留于主机1000的用户空间中。主机1000的用户空间中还示出了范例执行软件进程1045,其对应于可执行软件1040的一个或多个程序文件。为了容易参考,在主机1000上的用户空间中示出了可执行软件1040,尽管其也可以被存储在存储器元件中,例如主机1000上的磁盘驱动器中。
主机1000还可以包括硬件部件,例如网络接口卡(NIC)装置1070、处理器1080和存储器元件1090。本地保护模块1010和传输协议,例如传输控制协议/因特网协议(TCP/IP)1050和其他协议1060,可以驻留于主机1000的核心空间中,并可以通过与参考图3中主机300所示和所述的实施例的类似的方式实现为网络驱动器接口规范(NDIS)驱动器堆栈的一部分,其与NIC装置1070对接。操作系统核心提供进程流量映射元件1065,其将软件进程映射到可执行软件1040的其对应的程序文件。
在软件管理器模块1020和中央服务器200之间示出了数据流,包括策略更新流1022、白名单查询数据流1024和事件流1026。在软件管理器模块1020和本地保护模块1010之间还示出了数据和控制流,包括策略更新流1012、控制流1018和事件流1016。最后,校验和高速缓存1030和本地信任高速缓存1035可以具有通往软件管理器模块1020的双向流,并且程序文件改变监测器1025为软件管理器模块1020馈送数据,指出程序文件中何时发生改变。图10中未示出的是主机1000的额外硬件,其可以类似于本文前面参考图3的主机300所述的额外硬件。
可以在主机1000的硬件中将本地信任高速缓存1035和校验和高速缓存1030配置为用于暂时存储的存储器块。本地信任高速缓存1035可以包含识别先前已经使用信任评估技术被确定为具有信任状态的程序文件的条目(例如校验和),信任评估技术例如是搜索全局白名单、搜索内部白名单、搜索黑名单、评估程序文件改变或其任何组合。于是,如果在本地信任高速缓存1035中发现了程序文件,那么可以不需要向中央服务器200查询该特定程序文件的信任状态。校验和高速缓存1030可以包含识别主机1000上先前计算的软件程序文件的校验和的条目(例如,校验和和程序文件路径)。因为校验和计算可能使用宝贵的处理资源,可以在校验和高速缓存1030中,与对应的程序文件路径一起存储计算的校验和,以防止不必要的重复的校验和计算。高速缓存1035和1030中存储的这种数据能够在网络访问企图和软件信任确定处理期间导致更快的检索和总体处理。
在程序文件改变时(例如,新的软件版本、软件升级等),它们对应的校验和改变,并且因此,可能需要更新校验和高速缓存1030。在范例实施例中,程序文件改变监测器1025能够通过对主机1000上的程序文件进行带外检查并向软件管理器模块1020提供指示改变的程序文件的数据馈送以更新校验和高速缓存1030,来更新校验和高速缓存1030。可以使用现有的改变跟踪产品(例如McAfee®Change Control软件、McAfee®ApplicationControl软件、McAfee®ePolicy Orchestrator软件、McAfee®Policy Auditor软件、由俄勒冈Portland的Tripwire有限公司制造的Tripwire®软件等)来检查主机1000上的程序文件,以确定是否发生改变。在范例实施例中,程序文件改变监测器1025可以向软件管理器模块1020提供实时数据,指出对主机1000上的程序文件的改变。在接收改变的程序文件数据之后,软件管理器模块1020可以向校验和高速缓存1030搜索与改变的程序文件相对应的程序文件路径,并且如果找到,可以移除与程序文件路径相关联的校验和条目。尽管校验和高速缓存1030和程序文件改变监测器1025提供了用于为主机1000上的程序文件提供、维护和更新程序文件校验和的一个实施例,但可以利用任意数量的替代方式(例如,远程校验和模块、数据库实施方式等),只要可以为位于给定程序文件路径的程序文件提供适当的校验和即可。
在实施主机1000和中央服务器200的实施例的用于本地保护的系统中,不信任软件清单(例如,本地不信任软件清单、中央不信任软件清单232等)可能不是必要的部件。替代地,可以利用中央服务器200的中央信任高速缓存245、主机1000的本地信任高速缓存1035和主机1000的校验和高速缓存1030以用于快速检索在软件信任确定处理期间先前计算或以其他方式确定的数据。
在范例实施例中,可以至少部分由中央服务器200的行政保护模块220和软件信任确定模块240,并由主机1000的软件管理器模块1020、程序文件改变监测器1025和本地保护模块1010提供用于可执行软件1040的信任确定、阻止、截获和记录活动。与这种活动相关的信息可以被适当地呈递或发送到特定位置(例如,校验和高速缓存1030、本地信任高速缓存1035、中央信任高速缓存245、记录事件数据库231等),或仅被存储或归档,和/或以任何适当格式(例如通过管理控制台210等)进行适当显示。与一种或多种这种信任确定、阻止、截获和记录活动相关的安全技术可以包括诸如以下的元件:McAfee® ePolicyOrchestrator软件、诸如McAfee® Host Intrusion Prevention System (HIPS)软件的防火墙软件、改变跟踪软件和/或任何其他类似软件。于是,可以在如本说明书中在此使用的术语“行政保护模块”、“软件信任确定模块”、“程序文件改变监测器”、“软件管理器模块”和“本地保护模块”的宽广范围内包括任何这样的部件。记录事件数据库231、内部白名单233、中央信任高速缓存245、校验和高速缓存1030和本地信任高速缓存1035可以包括与电子数据的信任确定、阻止、截获和记录相关的信息(例如,对程序文件的信任确定,软件进程的网络访问企图等),并且这些元件能够容易地与中央服务器200和主机1000的模块和部件合作、协调或以其他方式交互。
转到图11,简化流程图示出了保护流程1100,用于截获、阻止和记录针对与主机上软件进程(例如主机1000上的执行软件进程1045)相关联的网络访问企图(即进入或外出)的活动。在一个范例中,可以至少部分地将保护流程1100作为主机1000的本地保护模块1010而实施。为了易于参考,将首先针对从主机1000上的软件进程1045向连接到主机1000的网络的外出网络访问企图描述保护流程1100。
流程开始于步骤1110,其中本地保护模块1010截获由软件进程1045做出的外出网络访问企图。在一个范例中,来自可执行软件1040的进程使用NDIS驱动器堆栈来通过主机1000的NIC装置1070访问网络。于是,软件进程1045可以尝试通过经由NDIS驱动器堆栈发送电子数据来访问网络,如本文前面参考图3和7所述。
一旦已经截获发出分组,流程转到步骤1120,其中可以向操作系统查询关于哪些程序文件(例如,可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等)对应于来自执行软件进程1045的截获分组。在本范例中,将截获的分组映射到执行软件进程1045,可以将其映射到加载到进程1045中的可执行文件和一个或多个库模块。操作系统核心保持进程流量映射元件1065并在步骤1120中向本地保护模块1010提供这样的映射信息。
流程然后可以转到由1130指定的步骤1132-1136,可以针对与网络访问企图相关联的每个程序文件执行这些步骤。在步骤1132中,做出关于以下的查询:是否在校验和高速缓存1030中发现了与网络访问企图相关联的第一程序文件的校验和。在一个实施例中,将对校验和高速缓存1030搜索第一程序文件的程序文件路径。如果未发现程序文件路径,那么在步骤1134中针对第一程序文件计算校验和。在步骤1136中,利用程序文件路径和新计算的校验和来更新校验和高速缓存1030。针对与网络访问企图相关联的每个额外程序文件重复步骤1132-1136。在一个范例情形中,如果先前在软件管理器模块1020从程序文件改变监测器1025接收指示程序文件已改变的数据馈送时从校验和高速缓存1030移除了校验和,则在步骤1132中可能发现不到校验和。于是,在这种情形下,在步骤1134中将针对改变的程序文件计算新的校验和,并且然后在步骤1136中在校验和高速缓存1030中被存储。如本文前面所述,可以利用任何替代方式来提供校验和,只要可以为位于给定程序文件路径的程序文件提供适当校验和即可。
在针对与网络访问企图相关联的每个程序文件执行步骤1132-1136之后,流程然后转到步骤1140。在步骤1140中,做出关于以下的查询:是否在本地信任高速缓存1035中发现了与网络访问企图相关联的所有程序文件,并且如果是这样的话,则每个程序文件先前已经被确定具有信任状态,并且流程转到步骤1170,以确定是否启用强制。如果不启用强制,则该流程转到步骤1190,其中允许软件进程1045进行网络访问,并将截获的分组传递到NIC装置1070。不过,如果在步骤1170中启用了强制,那么可以在步骤1175中评估策略以确定策略是否超越一个或多个程序文件的信任状态,如本文前面参考图7所述。
如本文前面所述,可以由网络管理员编制策略配置,并且可以经由策略更新流1022将这样的策略推送到主机1000。软件管理器模块1020还可以通过策略更新流1012向本地保护模块1010推送策略配置。替代地,可以在例如存储器元件中,诸如主机1000的磁盘驱动器中存储策略配置,并且本地保护模块1010可以向软件管理器模块1020查询针对被评估的特定进程和/或程序文件的任何相关策略。
如果策略超越一个或多个程序文件的信任状态(即,策略不允许网络访问),如本文前面所述,那么流程转到步骤1180,其中阻止软件进程1045进行网络访问,并且不将发出的分组传递到NIC装置1070。不过,如果在步骤1175中一个或多个程序文件的信任状态未被策略超越(即,策略允许网络访问或没有策略可适用),那么流程转到步骤1190,其中将外出的分组传递到NIC装置1070并允许软件进程1045访问网络。
再次参考步骤1140,如果在本地信任高速缓存1035中未发现与网络访问企图相关联的任何程序文件,那么流程转到步骤1145,其中向中央服务器200查询在本地信任高速缓存1035中未发现的那些程序文件的信任确定,在这里将参考图12对其进一步示出和描述。在从中央服务器200返回针对本地信任高速缓存1135中未发现的每个程序文件的信任状态之后,流程转到步骤1150,其中利用具有信任状态的程序文件更新本地信任高速缓存1035。
流程然后转到步骤1155,其中做出关于以下的查询:是否所有程序文件都是信任的(即,根据对中央服务器200的查询,没有与网络访问企图相关联的程序文件被确定为具有不信任状态)。如果所有程序文件都是信任的,那么流程转到步骤1170,以确定是否启用强制。如果不启用强制,那么流程转到步骤1190,其中允许软件进程1045进行网络访问,并将截获的分组传递到NIC装置1070。不过,如果在步骤1170中启用了强制,那么可以在步骤1175中评估策略以确定是否策略超越信任状态,如本文前面所述。如果策略超越一个或多个程序文件的信任状态,那么流程转到步骤1180,其中阻止软件进程1045进行网络访问。不过,如果在步骤1175中一个或多个程序文件的信任状态未被策略超越,那么流程转到步骤1190,其中允许软件进程1045进行网络访问并将外出的分组传递到NIC装置1070。
再次参考步骤1155,如果并非所有程序文件都具有信任状态(即,根据对中央服务器200的查询确定与网络访问企图相关联的至少一个程序文件具有不信任状态),那么流程转到步骤1160以确定是否启用记录。如果启用记录,那么流程转到步骤1165以产生用于记录的事件(即网络访问企图),如本文前面参考图7所述。在已经产生用于记录的事件之后,或如果在步骤1160中不启用记录,那么流程转到步骤1170,以确定是否启用强制。如果不启用强制,该流程转到步骤1190,其中将截获的分组传递到NIC装置1070并允许软件进程1045访问网络。不过,如果在步骤1170中启用了强制,那么可以在步骤1175中评估策略以确定任何配置的策略是否超越一个或多个程序文件的不信任状态,以便允许软件进程1045进行网络访问或选择性网络访问,如本文前面参考图7所述。
如果已经编制了策略以允许由与软件进程1045对应的一个或多个不信任程序文件进行的选择性网络访问,且截获的分组符合特定的策略要求(例如,根据策略,分组包括允许的地址子网之内的目的地址等),那么流程转到步骤1190,其中将截获的分组传递到NIC装置1070,并允许软件进程1045访问网络。不过,如果程序文件的不信任状态未被策略超越(即,策略不允许访问或没有策略可适用),那么流程转到步骤1180,其中不向NIC装置1070传递截获的分组,并且阻止软件进程1045进行网络访问。
图11的保护流程1100还代表了用于截获、阻止和记录针对向主机1100的进入网络访问企图的活动的流程。在步骤1110,本地保护模块1010从NIC装置1070截获进入网络访问企图。进入网络访问企图可以是例如TCP侦听或接受呼叫,并且可以与执行软件进程(例如软件进程1045)相关联。在步骤1120到1175中评估进入的截获分组,其在本文中前面已经参考网络访问企图的外出的截获分组而被描述。如果从步骤1120到1175的流程前进到步骤1190,那么允许进入的截获分组访问主机1000。不过,如果该流程前进到步骤1180,那么阻止进入的截获分组访问主机1000。在一个范例中,通过迫使侦听或接受呼叫失败并向侦听或接受API的呼叫方返回错误代码来发生阻止。此外,如本文前面所述,用于进入网络访问企图的众多策略配置是可能的并可以被应用于进入网络访问企图。例如,如果在步骤1175中确定已经编制了策略以允许与一个或多个不信任程序文件相关联的选定进入网络访问企图,且进入的分组符合特定的策略要求(例如根据应用于不信任程序文件的策略,分组具有所允许的地址子网之内的源地址,等等),那么流程转到步骤1190,其中允许进入的截获分组访问主机1000。在另一个范例中,如果策略被应用于先前的网络访问企图(即进入的或外出的)并为要应用于后续网络访问企图的一些类型的阻止而提供,那么根据该策略可以阻止与后续进入网络访问企图相关联的进程访问或选择性地允许访问主机,即使所有其对应程序文件都具有信任状态也如此。
转到图12,图12示出了与图11的步骤1145相对应的信任确定流程1200的更详细流程,可以由中央服务器200的软件信任确定模块240针对由主机1000提供的程序文件(例如与进入或外出网络访问企图相关联的且在本地信任高速缓存1035中未发现的程序文件)执行该流程。该流程可以开始于步骤1210,此时主机1000向中央服务器200查询本地信任高速缓存1035中未发现的程序文件的信任确定。在步骤1210中,中央服务器200通过针对本地信任高速缓存1035中未发现的程序文件中的每个的白名单数据流1024接收数据(例如,针对程序文件的校验和)。流程转到步骤1220,其中可以对中央信任高速缓存245搜索接收到的程序文件校验和。可以使用中央信任高速缓存245,以便可以对程序文件的信任状态进行高速缓存以用于快速检索,不需要查询内部或全局白名单。如果在步骤1220中在中央信任高速缓存245中发现了从主机1000接收的所有的程序文件校验和,那么流程转到步骤1250,其中将针对每个程序文件的信任状态返回至主机1000。不过,如果在步骤1220中未在中央信任高速缓存245中发现所有程序文件校验和,那么流程转到步骤1230,并进行进一步评估。
在步骤1230中,可以向一个或多个全局白名单(例如图1所示的全局白名单165)和/或一个或多个内部白名单(例如图1所示的内部白名单133)搜索中央信任高速缓存245中未发现的每个程序文件。在一个实施例中,在白名单中使用校验和来识别程序文件,并且因此,使用在步骤1210中向中央服务器200提供的校验和来搜索白名单。如果在白名单上发现了程序文件校验和,那么将对应程序文件的信任状态定义为信任,但如果在任何白名单上都未发现程序文件校验和,那么将对应程序文件的信任状态定义为不信任。在已经搜索白名单之后,流程转到步骤1240,其中利用具有信任状态的任何程序文件(即在内部和/或外部白名单之一上发现的)来更新中央信任高速缓存245。在更新中央信任高速缓存245之后,流程转到步骤1250,以向主机1000返回每个程序文件的信任状态(即,不信任或信任)。
将是显而易见的是,可以通过多种方式修改图10-12中所示和所述的实施例,以增强用于针对恶意软件的本地保护的系统。例如,可以在主机1000或中央服务器200的模块中包括逻辑,其提供对已经被确定为具有不信任状态的软件程序文件的启发式条件(例如,程序文件拥有者、修改日期、创建日期、程序文件属性等)的评估,如本文前面参考图5和6所述。如果存在一个或多个预定义条件,那么可以将程序文件提升到信任状态。不过,如果没有预定义条件适用于程序文件,那么不信任状态持续,并且可以将程序文件定义为不信任。还可以包括额外的逻辑以评估除白名单之外的黑名单,如本文前面所述。
还将认识到,可以使用替代的主机配置来实施系统的各实施例。例如,已经将具有不信任软件清单的实施例示出和描述为被实现于其中的主机具有NDIS驱动器堆栈和API挂钩配置的网络中。已经将没有不信任软件清单的系统的实施例示出和描述为被实现于具有NDIS驱动器堆栈主机配置的网络中。不过,可以在具有NDIS驱动器堆栈、API挂钩或各种其他主机配置(例如传输驱动器接口(TDI)、Unix流、核心空间网络堆栈挂钩等)的网络中实施任何实施例。例如,在TDI实施方式中,本地保护部件可以通过与图3和10中所示那些类似的方式来实施并起作用。不过,在TDI实施方式中,本地保护模块可以位于TCP/IP协议顶部而非其下方。
在用于针对恶意软件的本地保护的系统和方法的一个替代实施例中,系统可以被配置成在带外枚举程序文件,确定那些枚举的程序文件的信任状态,并使用由CA SantaClara 的Intel Corporation制造的Intel® Active Management Technology (AMT)阻止由不信任程序文件进行的网络访问。在本范例实施例中,可以使用AMT对主机(例如主机120a,120b或120c)的程序文件进行带外检查并创建软件清单。在已经进行这种枚举之后,可以评估软件清单中的程序文件以如本说明书中在这里所述那样确定信任状态,并且可以创建和更新本地和/或中央不信任软件清单。使用AMT,然后可以在相应主机的硬件中配置与任何不信任程序文件相关的防火墙规则。具体而言,可以将置于主机的NIC装置上的过滤器配置成阻止不信任程序文件。可以在指定时间(例如,预定时间间隔,更新不信任软件清单的任何时间,根据需要,等等)执行这种配置。
在替代AMT实施例中,可以实时执行NIC装置上过滤器的配置。例如,每次发生网络访问企图时,都可以进行截获、关联程序文件的确定以及程序文件的信任确定,如本文参考图10-12的实施例所示和所述。如果确定任何的关联程序文件为不信任,则操作系统然后可以更新AMT防火墙规则。在使用AMT的又一实施例中,可以在带外进行可执行软件的枚举,可以创建并维护一个或多个不信任软件清单,并且可以由这里所示和所述的其他实施例(例如,NDIS驱动器堆栈、API挂钩等)发生阻止。
在另一实施例中,可以在本地保护部件(例如图1的本地保护部件124a,124b和124c)中使用应用级过滤。在应用级过滤中,可以结合本地或中央不信任软件清单使用适于支持指定允许的和/或阻止的应用的防火墙,例如Windows防火墙(由CA Redmond的Microsoft Corp.制造)。例如,可以如本说明书中在这里所述那样创建本地不信任软件清单。在填充不信任软件清单之后,并且在更新清单的任何时候,可以针对不信任软件清单上识别的软件程序文件创建阻止规则(例如,阻止特定应用,阻止与程序文件相关联的端口等),并且然后在防火墙中更新,以阻止与不信任软件程序文件相关联的网络访问企图。于是,在将与执行软件进程相关联的网络访问企图映射到一个或多个不信任程序文件时,防火墙将阻止网络访问企图。
在又一实施例中,可以在虚拟化的环境中实施用于保护计算机网络的系统和方法。在本范例实施例中,可以执行对支持虚拟化机器的硬盘文件的带外检查。可以从虚拟计算机正运行所在的管理程序打开主机(例如主机120a,120b或120c)的磁盘文件,以便可以看到并枚举所有可执行软件。可以评估枚举的软件程序文件以如本说明书中在这里所述那样确定信任状态,并可以创建和维护不信任软件清单。也可以使用管理程序来过滤网络访问企图,以便能够阻止与不信任软件程序文件相关联的进入和外出网络访问企图。可以在数据中心或虚拟桌面接口(VDI)环境中部署本实施例。在替代实施例中,一旦使用虚拟机磁盘文件的带外检查来创建不信任软件清单,就可以使用本说明书中在此所述的其他技术(例如NDIS堆栈、API挂钩等)来进行强制。
可以在不同位置处(例如企业IT总部、最终用户计算机、云中的分布式服务器等)提供用于实现在这里简述的操作的软件。在其他实施例中,可以从网络服务器接收或下载这种软件(例如,在购买针对单独网络、装置、服务器等的个体最终用户许可的情境中),以便提供用于针对恶意软件的本地保护的这种系统。在一种范例实施方式中,这种软件驻留于寻求保护以免受安全攻击的(或寻求保护以免受对数据的不希望或非授权操控的)一个或多个计算机中。
在其他范例中,用于针对恶意软件的本地保护的系统的软件可能涉及专有元件(例如,作为网络安全解决方案的一部分,该解决方案具有McAfee® Application Control软件、McAfee® Change Control软件、McAfee® ePolicy Orchestrator软件、McAfee®Policy Auditor软件、McAfee® Artemis Technology软件、McAfee® Host IntrusionPrevention软件、McAfee® VirusScan软件等),其可以被提供于(或临近)这些指出的元件中,或者被提供于任何其他装置、服务器、网络设备、控制台、防火墙、交换机、路由器、信息技术(IT)装置、分布式服务器等中,或者被提供为补充解决方案(例如,结合防火墙),或者在网络中某处提供。
在如图1中所示的范例本地网络110中,主机120和中央服务器130是便于针对恶意软件保护计算机网络的计算机或计算装置。如在本说明书中在此使用的那样,术语“计算机”和“计算装置”意在涵盖任何个人计算机、网络设备、路由器、交换机、网关、处理器、服务器、负载均衡器、防火墙或任何其他适当的装置、部件、元件或可操作成影响或处理网络环境中的电子信息的物体。此外,这种计算机和计算装置可以包括任何适当的硬件、软件、部件、模块、接口或便于其操作的物体。这可以包括允许有效保护和数据通信的适当算法和通信协议。
在某些范例实施方式中,可以在软件中实现在这里勾勒的针对恶意软件保护计算机网络方面所涉及的活动。这可以包括中央服务器130(例如中央保护部件135)和主机120(例如本地保护部件124)中提供的软件。如本文所述,这些部件、元件和/或模块能够彼此合作,以便进行活动,以提供针对诸如僵尸网络的恶意软件的本地保护。在其他实施例中,可以在这些元件外部提供这些特征,在其他装置中包括这些特征,以实现这些预期的功能,或者通过任何适当方式合并。例如,可以将保护活动进一步在主机120中定位,或者进一步集中于中央服务器130中,并且可以移除图示的处理器中的一些,或以其他方式进行合并,以适应特定的系统配置。在一般意义上,图1中所描绘的布置在其表现上可以更有逻辑性,而物理架构可以包括这些部件、元件和模块的各种排列/组合/混合。
所有这些元件(主机120和中央服务器130)包括软件(或往复式软件),其能够协调、管理或以其他方式合作,以便实现保护活动,包括信任确定、记录和强制,如这里所简述的那样。在另外的其他实施例中,一个或所有这些元件可以包括任何适当的算法、硬件、软件、部件、模块、接口或便于其操作的物体。在涉及软件的实施方式中,这样的配置可以包括在一种或多种有形介质中编码的逻辑(例如,专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器或其他类似机器执行的软件(可能包括目标代码和源代码)等),其中有形介质包括非暂态介质。在这些情形中的一些中,一个或多个存储器元件(如包括图1、2、3、8和10的各附图中所示)能够存储用于在这里所述的操作的数据。这包括能够存储为执行本说明书中所描述的活动而执行的软件、逻辑、代码或处理器指令的存储器元件。处理器能够执行与数据相关联的任何类型的指令以实现本说明书中在这里详述的操作。在一个范例中,处理器(如图2、3、8和10所示)可以将元件或物品(例如数据)从一种状态或事物转换成另一种状态或事物。在另一个范例中,可以利用固定逻辑或可编程序逻辑(例如由处理器执行的软件/计算机指令)来实现在这里简述的活动,并且这里指出的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦写可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM))或ASIC,其包括数字逻辑、软件、代码、电子指令或其任意适当组合。
这些元件(例如计算机、主机、服务器、分布式服务器等)的任一个都能够包括存储器元件,以用于存储实现如在这里所简述的保护活动方面所使用的信息。此外,这些装置的每个都可以包括处理器,其能够执行软件或算法以执行如本说明书中所讨论的保护活动。在适当的情况下且基于特定的需求,这些装置还可以在任何适当的存储器元件(例如随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件或任何其他适当部件、装置、元件或物体中保持信息。这里所讨论的存储项的任一种(例如记录事件数据库、中央不信任软件清单、本地不信任软件清单、内部白名单、策略数据库、进程流量映射数据库、校验和高速缓存、本地信任高速缓存、中央信任高速缓存等)应当被解释为被包括在广义术语“存储器元件”之内。类似地,本说明书中描述的潜在处理元件、模块和机器的任一种都应该被解释为被包括在广义术语“处理器”之内。计算机、主机、服务器、分布式服务器等的每种还可以包括适当的接口,以用于在网络环境中接收、发送和/或以其他方式传送数据或信息。
注意,对于在这里提供的范例,可以按照两个、三个、四个或更多网络部件来描述交互。不过,这样做仅仅是为了清晰和举例的目的。应当认识到,可以通过任何适当方式加强针对恶意软件的本地保护的系统。与类似的设计替代方式一起,可以在各种可能配置中组合图中任何例示的计算机、模块、部件和元件,所有配置显然都在本说明书的宽广范围之内。在某些情况下,可能更容易通过仅参考有限数量的部件或网络元件描述给定流程组的一个或多个功能。因此,还应当认识到,图1的系统(及其教导)是容易可缩放的。该系统能够容纳大量的部件,以及更复杂或精密的布置和配置。因此,提供的范例不应限制用于本地保护的系统的范围或约束其宽泛教导,因为其潜在地适用于各种其他架构。
重要的是还要指出,参考前面附图描述的操作仅例示了可以由用于针对恶意软件的本地保护的系统所执行或可以在其内执行的可能情形中的一些。在适当的情况下可以删除或移除这些操作中的一些,或者可以相当大程度地修改或改变这些操作,而不脱离所论述概念的范围。此外,可以相当大程度地改变这些操作和各步骤的时机且仍然实现本公开中教导的结果。例如,信任确定处理可以在全局或外部白名单之前评估内部白名单。于是,已经提供前面的操作流程是为了举例和论述的目的。该系统提供了显著的灵活性,因为可以提供任何适当的布置、时序、配置和时机机制而不脱离所论述概念的教导。
Claims (40)
1.一种用于针对恶意软件的本地保护的方法,包括:
截获计算装置上的外出网络访问企图的一个或多个分组,其中所述外出网络访问企图由所述计算装置上执行的进程来发起;
通过向进程流量映射元件查询映射到所述网络访问企图的软件进程来确定与所述网络访问企图相关联的多个软件程序文件中的每个软件程序文件,其中将所述多个软件程序文件中的每个软件程序文件映射到所述软件进程,以及其中所述多个软件程序文件中的至少一个软件程序文件是可执行文件并且所述多个软件程序文件中的至少另一个软件程序文件是由所述进程加载的库模块;
评估第一标准以确定是否许可所述网络访问企图;以及
如果不许可所述网络访问企图则阻止所述网络访问企图,其中所述第一标准包括所述多个软件程序文件中的每个软件程序文件的信任状态。
2.根据权利要求1所述的方法,还包括:
搜索识别了值得信任的软件程序文件的白名单以确定所述白名单中是否识别了所述软件程序文件。
3.根据权利要求2所述的方法,其中如果所述软件程序文件被包括在所述白名单中,则将所述软件程序文件的信任状态定义为信任。
4.根据权利要求2所述的方法,其中如果所述软件程序文件未被包括在所述白名单中,则将所述软件程序文件的信任状态定义为不信任。
5.根据权利要求2所述的方法,还包括:
向高速缓存搜索与所述软件程序文件相关联的预定校验和;以及
如果在所述高速缓存中未找到针对所述软件程序文件的预定校验和,则为所述软件程序文件计算新的校验和。
6.根据权利要求2所述的方法,其中所述白名单包括一个或多个全局白名单。
7.根据权利要求2所述的方法,其中所述白名单包括一个或多个内部白名单。
8.根据权利要求4所述的方法,其中如果所述多个软件程序文件中的任何软件程序文件的信任状态被定义为不信任,则阻止所述网络访问企图。
9.根据权利要求1所述的方法,其中所述网络访问企图包括所述计算装置之内的电子数据请求,用于从所述计算装置到通过网络可操作地连接到所述计算装置的第二计算装置的外出网络访问。
10.根据权利要求1所述的方法,其中所述网络访问企图包括针对向所述计算装置的进入网络访问的电子数据请求,所述电子数据请求由所述计算装置从通过网络可操作地连接到所述计算装置的第二计算装置接收。
11.根据权利要求1所述的方法,其中所述软件程序文件是可执行文件,并且所述网络访问企图与由所述计算装置上的可执行文件发起的执行软件进程相关联。
12.根据权利要求1所述的方法,其中所述软件程序文件是加载到执行软件进程中的库模块,并且所述网络访问企图与所述执行软件进程相关联。
13.根据权利要求1所述的方法,还包括:
评估第二标准以确定所述第二标准是否超越所述第一标准,其中所述第二标准包括针对具有定义为不信任的信任状态的一个或多个软件程序文件的网络访问策略。
14.根据权利要求13所述的方法,其中所述网络访问策略包括允许的目的地址集合,其中所述第二标准超越所述第一标准,使得如果所述网络访问企图包括所述允许的目的地址集合之内的请求目的地址,则许可所述网络访问企图。
15.根据权利要求14所述的方法,其中所述允许的目的地址集合是局域网上的网络地址的子网或广域网(WAN)上的因特网协议(IP)地址的子网。
16.根据权利要求13所述的方法,其中所述网络访问策略是从网络访问策略组中选择的,所述网络访问策略组由如下策略构成:
阻止向所述计算装置的所有进入网络访问企图和来自所述计算装置的所有外出网络访问企图;
阻止向所述计算装置的所有进入网络访问企图;
阻止来自所述计算装置的所有外出网络访问企图;
阻止从所述计算装置到指定网络子网的所有外出网络访问企图;
阻止从所述计算装置到因特网的所有外出网络访问企图并允许从所述计算装置到指定子网的所有外出网络访问企图;
阻止向域名系统(DNS)服务器的所有外出网络访问企图;
阻止使用简单邮件传输协议(SMTP)的所有外出网络访问企图;以及
阻止向因特网中继聊天(IRC)服务器的所有外出网络访问企图。
17.根据权利要求1所述的方法,还包括:
评估第三标准以确定所述第三标准是否超越所述第一标准,其中所述第三标准包括从预定义条件组选择的预定义条件,所述预定义条件组由如下条件构成:
所述软件程序文件的拥有者特权;
所述软件程序文件的文件属性;
所述软件程序文件的创建日期;以及
所述软件程序文件的修改日期。
18.根据权利要求1所述的方法,还包括:
如果确定所述软件程序文件的信任状态被确定为不信任,则在存储器元件中记录与所述网络访问企图相关的信息。
19.一种用于针对恶意软件的本地保护的设备,包括:
保护模块;
一个或多个处理器,可操作成执行与所述保护模块相关联的指令,包括:
截获计算装置上的外出网络访问企图的一个或多个分组,其中所述外出网络访问企图由所述计算装置上执行的进程来发起;
通过向进程流量映射元件查询映射到所述网络访问企图的软件进程来确定与所述网络访问企图相关联的多个软件程序文件中的每个软件程序文件,其中将所述多个软件程序文件中的每个软件程序文件映射到所述软件进程,以及其中所述多个软件程序文件中的至少一个软件程序文件是可执行文件并且所述多个软件程序文件中的至少另一个软件程序文件是由所述进程加载的库模块;
评估第一标准以确定是否许可所述网络访问企图;以及
如果不许可所述网络访问企图则阻止所述网络访问企图,其中所述第一标准包括所述多个软件程序文件中的每个软件程序文件的信任状态。
20.根据权利要求19所述的设备,其中如果所述软件程序文件未被包括在识别了值得信任的软件程序文件的白名单中,则将所述软件程序文件的信任状态定义为不信任。
21.根据权利要求20所述的设备,其中所述白名单包括一个或多个全局白名单。
22.根据权利要求20所述的设备,其中所述白名单包括在链接到所述计算装置的一个或多个局域网之内维护的一个或多个内部白名单。
23.根据权利要求19所述的设备,其中所述软件程序文件是可执行文件,并且所述网络访问企图与由所述计算装置上的软件程序文件发起的执行软件进程相关联。
24.根据权利要求19所述的设备,其中所述软件程序文件是加载到执行软件进程中的库模块,其中所述网络访问企图与所述执行软件进程相关联。
25.根据权利要求19所述的设备,所述一个或多个处理器可操作成执行包括以下内容的进一步的指令:
评估第二标准以确定所述第二标准是否超越所述第一标准,其中所述第二标准包括针对具有被定义为不信任的信任状态的一个或多个软件程序文件的网络访问策略。
26.根据权利要求25所述的设备,其中所述网络访问策略包括允许的目的地址集合,其中所述第二标准超越所述第一标准,使得如果所述网络访问企图包括所述允许的目的地址集合之内的请求目的地址,则许可所述网络访问企图。
27.根据权利要求26所述的设备,其中所述允许的目的地址集合是局域网上的网络地址的子网或广域网(WAN)上的因特网协议(IP)地址的子网。
28.一种用于针对恶意软件的本地保护的方法,包括:
截获计算装置上的外出网络访问企图的一个或多个分组,其中所述外出网络访问企图由所述计算装置上执行的进程来发起;
通过向进程流量映射元件查询映射到所述网络访问企图的软件进程来确定与所述网络访问企图相关联的多个软件程序文件中的每个软件程序文件,其中将所述多个软件程序文件中的每个软件程序文件映射到所述软件进程,以及其中所述多个软件程序文件中的至少一个软件程序文件是可执行文件并且所述多个软件程序文件中的至少另一个软件程序文件是由所述进程加载的库模块;
评估第一标准以确定是否记录与所述网络访问企图相关的信息;以及
如果所述第一标准指出所述多个软件程序文件中的每个软件程序文件的信任状态被定义为不信任,则在存储器元件中记录与所述网络访问企图相关的信息。
29.根据权利要求28所述的方法,还包括搜索识别了值得信任的软件程序文件的白名单以确定所述白名单中是否识别了所述软件程序文件,其中如果所述白名单中未识别所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
30.根据权利要求28所述的方法,其中所述记录的信息包括识别所述软件程序文件的数据。
31.根据权利要求30所述的方法,其中所述记录的信息包括识别所述计算装置的数据。
32.根据权利要求30所述的方法,其中所述软件程序文件是可执行文件,并且所述网络访问企图与由所述计算装置上的软件程序文件发起的执行软件进程相关联。
33.根据权利要求30所述的方法,其中所述软件程序文件是加载到执行软件进程中的库模块,其中所述网络访问企图与所述执行软件进程相关联。
34.根据权利要求30所述的方法,其中所述记录的信息包括识别与所述网络访问企图相关联的一个或多个其他软件程序文件的数据。
35.一种用于针对恶意软件的本地保护的设备,包括:
保护模块;
一个或多个处理器,可操作成执行与所述保护模块相关联的指令,包括:
截获计算装置上的外出网络访问企图的一个或多个分组,其中所述外出网络访问企图由所述计算装置上执行的进程来发起;
通过向进程流量映射元件查询映射到所述网络访问企图的软件进程来确定与所述网络访问企图相关联的多个软件程序文件中的每个软件程序文件,其中将所述多个软件程序文件中的每个软件程序文件映射到所述软件进程,以及其中所述多个软件程序文件中的至少一个软件程序文件是可执行文件并且所述多个软件程序文件中的至少另一个软件程序文件是由所述进程加载的库模块;
评估第一标准以确定是否记录与所述网络访问企图相关的信息;以及
如果所述第一标准指出所述多个软件程序文件中的每个软件程序文件的信任状态被定义为不信任,则提供要在存储器元件中记录的与所述网络访问企图相关的信息。
36.根据权利要求35所述的设备,所述一个或多个处理器可操作成执行包括以下内容的进一步的指令:搜索识别了值得信任的软件程序文件的白名单以确定所述白名单中是否识别了所述软件程序文件,其中如果所述白名单中未识别所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
37.根据权利要求35所述的设备,其中要记录的信息包括识别所述软件程序文件的数据。
38.根据权利要求37所述的设备,其中所述软件程序文件是可执行文件,并且所述网络访问企图与由所述计算装置上的软件程序文件发起的执行软件进程相关联。
39.根据权利要求37所述的设备,其中所述软件程序文件是加载到所述计算装置上的执行软件进程中的库模块,其中所述网络访问企图与所述执行软件进程相关联。
40.根据权利要求37所述的设备,其中要记录的信息包括识别与所述网络访问企图相关联的一个或多个其他软件程序文件的数据。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/844892 | 2010-07-28 | ||
US12/844,892 US8925101B2 (en) | 2010-07-28 | 2010-07-28 | System and method for local protection against malicious software |
US12/844,892 | 2010-07-28 | ||
PCT/US2011/020677 WO2012015485A1 (en) | 2010-07-28 | 2011-01-10 | System and method for local protection against malicious software |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103229185A CN103229185A (zh) | 2013-07-31 |
CN103229185B true CN103229185B (zh) | 2016-11-16 |
Family
ID=43838166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180046850.XA Active CN103229185B (zh) | 2010-07-28 | 2011-01-10 | 用于针对恶意软件的本地保护的系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8925101B2 (zh) |
EP (1) | EP2599026B1 (zh) |
JP (2) | JP5845258B2 (zh) |
CN (1) | CN103229185B (zh) |
AU (1) | AU2011283160B2 (zh) |
WO (1) | WO2012015485A1 (zh) |
Families Citing this family (149)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7840968B1 (en) * | 2003-12-17 | 2010-11-23 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
WO2006101549A2 (en) | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US8555404B1 (en) | 2006-05-18 | 2013-10-08 | Mcafee, Inc. | Connectivity-based authorization |
US9690168B2 (en) | 2006-11-20 | 2017-06-27 | Red.Com, Inc. | Focus assist system and method |
US7544919B2 (en) | 2006-11-20 | 2009-06-09 | Red.Com, Inc. | Focus assist system and method |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US8701189B2 (en) | 2008-01-31 | 2014-04-15 | Mcafee, Inc. | Method of and system for computer system denial-of-service protection |
US8615502B2 (en) | 2008-04-18 | 2013-12-24 | Mcafee, Inc. | Method of and system for reverse mapping vnode pointers |
US8544003B1 (en) | 2008-12-11 | 2013-09-24 | Mcafee, Inc. | System and method for managing virtual machine configurations |
US8381284B2 (en) * | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
US8341627B2 (en) * | 2009-08-21 | 2012-12-25 | Mcafee, Inc. | Method and system for providing user space address protection from writable memory area in a virtual environment |
US9552497B2 (en) * | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
US9075993B2 (en) | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US20130179287A1 (en) * | 2011-08-08 | 2013-07-11 | Gennady SLOBODSKIY | System and method for electronic distribution of software and data |
US8776040B2 (en) | 2011-08-19 | 2014-07-08 | International Business Machines Corporation | Protection for unauthorized firmware and software upgrades to consumer electronic devices |
US8856771B2 (en) * | 2011-08-19 | 2014-10-07 | International Business Machines Corporation | Protection for unauthorized firmware and software upgrades to consumer electronic devices |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8694738B2 (en) | 2011-10-11 | 2014-04-08 | Mcafee, Inc. | System and method for critical address space protection in a hypervisor environment |
US8973144B2 (en) | 2011-10-13 | 2015-03-03 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US9069586B2 (en) | 2011-10-13 | 2015-06-30 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
CN104335220B (zh) * | 2012-03-30 | 2018-04-20 | 爱迪德技术有限公司 | 用于防止和检测安全威胁的方法和系统 |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9349011B2 (en) * | 2012-05-16 | 2016-05-24 | Fisher-Rosemount Systems, Inc. | Methods and apparatus to identify a degradation of integrity of a process control system |
US8756689B2 (en) * | 2012-06-29 | 2014-06-17 | Intel Corporation | Method, system, and device for securely handling virtual function driver communications with a physical function driver |
US10169571B1 (en) * | 2012-07-18 | 2019-01-01 | Sequitur Labs, Inc. | System and method for secure, policy-based access control for mobile computing devices |
US9294440B1 (en) * | 2012-09-07 | 2016-03-22 | Amazon Technologies, Inc. | Secure inter-zone data communication |
US9342695B2 (en) | 2012-10-02 | 2016-05-17 | Mordecai Barkan | Secured automated or semi-automated systems |
US9092628B2 (en) * | 2012-10-02 | 2015-07-28 | Mordecai Barkan | Secure computer architectures, systems, and applications |
US9672360B2 (en) | 2012-10-02 | 2017-06-06 | Mordecai Barkan | Secure computer architectures, systems, and applications |
US11188652B2 (en) | 2012-10-02 | 2021-11-30 | Mordecai Barkan | Access management and credential protection |
JP6073482B2 (ja) * | 2012-10-19 | 2017-02-01 | マカフィー, インコーポレイテッド | セキュアディスクアクセス制御 |
US9210128B2 (en) * | 2012-10-25 | 2015-12-08 | Check Point Software Technologies Ltd. | Filtering of applications for access to an enterprise network |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
US8856330B2 (en) | 2013-03-04 | 2014-10-07 | Fmr Llc | System for determining whether to block internet access of a portable system based on its current network configuration |
US9882919B2 (en) | 2013-04-10 | 2018-01-30 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
US9942102B2 (en) | 2013-04-10 | 2018-04-10 | Illumio, Inc. | Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model |
US9641349B2 (en) * | 2013-04-22 | 2017-05-02 | Salesforce.Com, Inc. | Systems and methods of viral enablement of features by peer-to-peer connection |
EP2840492A1 (en) * | 2013-08-23 | 2015-02-25 | British Telecommunications public limited company | Method and apparatus for modifying a computer program in a trusted manner |
US9560173B2 (en) * | 2013-10-22 | 2017-01-31 | Vmware, Inc. | Techniques for improving SYN cache performance |
WO2015060857A1 (en) | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
WO2015076904A2 (en) * | 2013-11-04 | 2015-05-28 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
US9503465B2 (en) | 2013-11-14 | 2016-11-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to identify malicious activity in a network |
CN103916288B (zh) * | 2013-12-27 | 2017-11-28 | 哈尔滨安天科技股份有限公司 | 一种基于网关与本地的Botnet检测方法及系统 |
US20150234703A1 (en) * | 2014-02-20 | 2015-08-20 | Netapp, Inc. | System and method to perform a backup operation using one or more attributes of files |
CN103823687A (zh) * | 2014-03-17 | 2014-05-28 | 联想(北京)有限公司 | 信息处理方法和设备 |
US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
US10049033B2 (en) * | 2014-06-03 | 2018-08-14 | Sap Se | Application gateway for cloud computing systems |
US9866582B2 (en) | 2014-06-30 | 2018-01-09 | Paypal, Inc. | Detection of scripted activity |
US9413740B2 (en) * | 2014-07-22 | 2016-08-09 | Microsoft Technology Licensing, Llc | Establishing secure computing devices for virtualization and administration |
US10462185B2 (en) | 2014-09-05 | 2019-10-29 | Sequitur Labs, Inc. | Policy-managed secure code execution and messaging for computing devices and computing device security |
US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
US9965627B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
WO2016084076A1 (en) * | 2014-11-25 | 2016-06-02 | enSilo Ltd. | Systems and methods for malicious code detection accuracy assurance |
IN2014MU04068A (zh) | 2014-12-18 | 2015-06-05 | Cyberoam Technologies Pvt Ltd | |
WO2016113911A1 (ja) | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
CN105991482A (zh) * | 2015-03-16 | 2016-10-05 | 美商艾尔康太平洋股份有限公司 | 网络信息撷取系统及其方法 |
WO2016159998A1 (en) | 2015-03-31 | 2016-10-06 | Hewlett-Packard Development Company, L.P. | Application access based on network |
US10685130B2 (en) | 2015-04-21 | 2020-06-16 | Sequitur Labs Inc. | System and methods for context-aware and situation-aware secure, policy-based access control for computing devices |
US11847237B1 (en) | 2015-04-28 | 2023-12-19 | Sequitur Labs, Inc. | Secure data protection and encryption techniques for computing devices and information storage |
US11425168B2 (en) | 2015-05-14 | 2022-08-23 | Sequitur Labs, Inc. | System and methods for facilitating secure computing device control and operation |
US10311234B2 (en) * | 2015-06-26 | 2019-06-04 | Quick Heal Technologies Private Limited | Anti-ransomware |
US10691476B2 (en) | 2015-06-27 | 2020-06-23 | Mcafee, Llc | Protection of sensitive data |
CA2996510A1 (en) * | 2015-08-25 | 2017-03-02 | Volexity, Llc | Systems methods and devices for memory analysis and visualization |
GB2544309B (en) * | 2015-11-12 | 2020-01-22 | F Secure Corp | Advanced local-network threat response |
US20170149804A1 (en) * | 2015-11-20 | 2017-05-25 | Lastline, Inc. | Methods and systems for malware host correlation |
US9800606B1 (en) * | 2015-11-25 | 2017-10-24 | Symantec Corporation | Systems and methods for evaluating network security |
CN105404583B (zh) * | 2015-12-04 | 2017-10-20 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种apk的快速检测及提高单位资源利用率的方法 |
CN105530255B (zh) * | 2015-12-16 | 2019-03-29 | 网宿科技股份有限公司 | 验证请求数据的方法及装置 |
US20190089595A1 (en) * | 2017-09-18 | 2019-03-21 | Cyber 2.0 (2015) LTD | Automatic security configuration |
WO2017117670A1 (en) * | 2016-01-07 | 2017-07-13 | Genetec Inc. | Network sanitization for dedicated communication function and edge enforcement |
US20170251016A1 (en) * | 2016-02-25 | 2017-08-31 | Imperva, Inc. | Techniques for targeted botnet protection using collective botnet analysis |
RU2634181C1 (ru) * | 2016-06-02 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных компьютерных систем |
US10402577B2 (en) * | 2016-06-03 | 2019-09-03 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
US10614219B2 (en) | 2016-06-03 | 2020-04-07 | Honeywell International Inc. | Apparatus and method for locking and unlocking removable media for use inside and outside protected systems |
US10812517B2 (en) | 2016-06-03 | 2020-10-20 | Honeywell International Inc. | System and method for bridging cyber-security threat intelligence into a protected system using secure media |
US10205726B2 (en) | 2016-06-03 | 2019-02-12 | Honeywell International Inc. | Apparatus and method for preventing file access by nodes of a protected system |
US10402559B2 (en) | 2016-06-03 | 2019-09-03 | Honeywell International Inc. | System and method supporting secure data transfer into and out of protected systems using removable media |
US10643007B2 (en) | 2016-06-03 | 2020-05-05 | Honeywell International Inc. | System and method for auditing file access to secure media by nodes of a protected system |
US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10360021B2 (en) * | 2016-08-19 | 2019-07-23 | Veniam, Inc. | Systems and methods for reliable software update in a network of moving things including, for example, autonomous vehicles |
CN106406758B (zh) * | 2016-09-05 | 2019-06-18 | 华为技术有限公司 | 一种基于分布式存储系统的数据处理方法及存储设备 |
US10700865B1 (en) | 2016-10-21 | 2020-06-30 | Sequitur Labs Inc. | System and method for granting secure access to computing services hidden in trusted computing environments to an unsecure requestor |
US9756061B1 (en) * | 2016-11-18 | 2017-09-05 | Extrahop Networks, Inc. | Detecting attacks using passive network monitoring |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
CN107124717A (zh) * | 2017-03-31 | 2017-09-01 | 捷开通讯(深圳)有限公司 | 一种网络连接管理方法、移动终端及存储装置 |
US10783239B2 (en) * | 2017-08-01 | 2020-09-22 | Pc Matic, Inc. | System, method, and apparatus for computer security |
US10873588B2 (en) * | 2017-08-01 | 2020-12-22 | Pc Matic, Inc. | System, method, and apparatus for computer security |
US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
JP6728113B2 (ja) * | 2017-08-22 | 2020-07-22 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
CA3021285C (en) * | 2017-08-24 | 2023-09-19 | Pensando Systems Inc. | Methods and systems for network security |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10990671B2 (en) | 2018-01-12 | 2021-04-27 | Honeywell International Inc. | System and method for implementing secure media exchange on a single board computer |
US20190222610A1 (en) * | 2018-01-18 | 2019-07-18 | Illumio, Inc. | User-Based Visibility and Control of a Segmentation Policy |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
CN108566643A (zh) * | 2018-04-24 | 2018-09-21 | 深信服科技股份有限公司 | App访问控制方法、系统、终端设备及存储介质 |
US10949400B2 (en) * | 2018-05-09 | 2021-03-16 | Palantir Technologies Inc. | Systems and methods for tamper-resistant activity logging |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
US10776488B2 (en) * | 2018-09-24 | 2020-09-15 | Dell Products L.P. | Extend root of trust to include firmware of individual components of a device |
US11188622B2 (en) * | 2018-09-28 | 2021-11-30 | Daniel Chien | Systems and methods for computer security |
US11425170B2 (en) | 2018-10-11 | 2022-08-23 | Honeywell International Inc. | System and method for deploying and configuring cyber-security protection solution using portable storage device |
JP6971958B2 (ja) | 2018-12-10 | 2021-11-24 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
CN109309690B (zh) * | 2018-12-28 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
CN109726548B (zh) * | 2018-12-29 | 2021-04-27 | 360企业安全技术(珠海)有限公司 | 应用程序行为的处理方法、服务器、系统及存储介质 |
US11063954B2 (en) * | 2019-01-11 | 2021-07-13 | Panasonic Avionics Corporation | Networking methods and systems for transportation vehicle entertainment systems |
US11609992B2 (en) * | 2019-03-29 | 2023-03-21 | Acronis International Gmbh | Systems and methods for anti-malware scanning using automatically-created white lists |
US11556650B2 (en) | 2019-04-30 | 2023-01-17 | International Business Machines Corporation | Methods and systems for preventing utilization of problematic software |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11347858B2 (en) * | 2019-07-22 | 2022-05-31 | Dell Products L.P. | System and method to inhibit firmware downgrade |
US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
CN115104097A (zh) * | 2020-01-28 | 2022-09-23 | C2A安全有限公司 | 控制流完整性系统和方法 |
US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
US11438145B2 (en) | 2020-05-31 | 2022-09-06 | Daniel Chien | Shared key generation based on dual clocks |
US11431492B2 (en) * | 2020-06-25 | 2022-08-30 | At&T Intellectual Property I, L.P. | Mutable encrypted system |
JP7074805B2 (ja) * | 2020-07-01 | 2022-05-24 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
CN111953565B (zh) * | 2020-08-10 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种虚拟化环境中带宽检测的方法、系统、设备及介质 |
US12013932B2 (en) * | 2020-09-11 | 2024-06-18 | Pc Matic, Inc. | System, method, and apparatus for enhanced blacklisting |
US11507675B2 (en) * | 2020-09-11 | 2022-11-22 | Pc Matic, Inc. | System, method, and apparatus for enhanced whitelisting |
US11275828B1 (en) * | 2020-09-11 | 2022-03-15 | Pc Matic, Inc. | System, method, and apparatus for enhanced whitelisting |
US11636219B2 (en) * | 2020-09-11 | 2023-04-25 | Pc Matic, Inc. | System, method, and apparatus for enhanced whitelisting |
US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US20220231990A1 (en) * | 2021-01-20 | 2022-07-21 | AVAST Software s.r.o. | Intra-lan network device isolation |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11914709B2 (en) | 2021-07-20 | 2024-02-27 | Bank Of America Corporation | Hybrid machine learning and knowledge graph approach for estimating and mitigating the spread of malicious software |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
CN113849246B (zh) * | 2021-09-24 | 2024-01-23 | 统信软件技术有限公司 | 插件识别方法、插件加载方法、计算设备及存储介质 |
US11983263B2 (en) * | 2021-12-16 | 2024-05-14 | Hewlett-Packard Development Company, L.P. | Virtual machines to install untrusted executable codes |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
US11831686B1 (en) | 2022-06-06 | 2023-11-28 | Netskope, Inc. | Transparent inline secure forwarder for policy enforcement on IoT devices |
Family Cites Families (351)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4982430A (en) | 1985-04-24 | 1991-01-01 | General Instrument Corporation | Bootstrap channel security arrangement for communication network |
US4688169A (en) | 1985-05-30 | 1987-08-18 | Joshi Bhagirath S | Computer software security system |
US5155847A (en) | 1988-08-03 | 1992-10-13 | Minicom Data Corporation | Method and apparatus for updating software at remote locations |
US5560008A (en) | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
CA2010591C (en) | 1989-10-20 | 1999-01-26 | Phillip M. Adams | Kernels, description tables and device drivers |
US5222134A (en) | 1990-11-07 | 1993-06-22 | Tau Systems Corporation | Secure system for activating personal computer software at remote locations |
US5390314A (en) | 1992-10-09 | 1995-02-14 | American Airlines, Inc. | Method and apparatus for developing scripts that access mainframe resources that can be executed on various computer systems having different interface languages without modification |
US5339261A (en) | 1992-10-22 | 1994-08-16 | Base 10 Systems, Inc. | System for operating application software in a safety critical environment |
US5584009A (en) | 1993-10-18 | 1996-12-10 | Cyrix Corporation | System and method of retiring store data from a write buffer |
JP3777196B2 (ja) | 1994-05-10 | 2006-05-24 | 富士通株式会社 | クライアント/サーバシステム用の通信制御装置 |
JP3042341B2 (ja) | 1994-11-30 | 2000-05-15 | 日本電気株式会社 | クラスタ結合型マルチプロセッサシステムにおけるローカル入出力制御方法 |
US6282712B1 (en) | 1995-03-10 | 2001-08-28 | Microsoft Corporation | Automatic software installation on heterogeneous networked computer systems |
US5699513A (en) | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
US5787427A (en) | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
US5842017A (en) | 1996-01-29 | 1998-11-24 | Digital Equipment Corporation | Method and apparatus for forming a translation unit |
US5907709A (en) | 1996-02-08 | 1999-05-25 | Inprise Corporation | Development system with methods for detecting invalid use and management of resources and memory at runtime |
US5884298A (en) | 1996-03-29 | 1999-03-16 | Cygnet Storage Solutions, Inc. | Method for accessing and updating a library of optical discs |
US5907708A (en) | 1996-06-03 | 1999-05-25 | Sun Microsystems, Inc. | System and method for facilitating avoidance of an exception of a predetermined type in a digital computer system by providing fix-up code for an instruction in response to detection of an exception condition resulting from execution thereof |
US5787177A (en) | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
US5926832A (en) | 1996-09-26 | 1999-07-20 | Transmeta Corporation | Method and apparatus for aliasing memory data in an advanced microprocessor |
US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US6141698A (en) | 1997-01-29 | 2000-10-31 | Network Commerce Inc. | Method and system for injecting new code into existing application code |
US5944839A (en) | 1997-03-19 | 1999-08-31 | Symantec Corporation | System and method for automatically maintaining a computer system |
US6587877B1 (en) | 1997-03-25 | 2003-07-01 | Lucent Technologies Inc. | Management of time and expense when communicating between a host and a communication network |
US6192475B1 (en) | 1997-03-31 | 2001-02-20 | David R. Wallace | System and method for cloaking software |
US6167522A (en) | 1997-04-01 | 2000-12-26 | Sun Microsystems, Inc. | Method and apparatus for providing security for servers executing application programs received via a network |
US6356957B2 (en) | 1997-04-03 | 2002-03-12 | Hewlett-Packard Company | Method for emulating native object oriented foundation classes on a target object oriented programming system using a template library |
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US6275938B1 (en) | 1997-08-28 | 2001-08-14 | Microsoft Corporation | Security enhancement for untrusted executable code |
US6192401B1 (en) | 1997-10-21 | 2001-02-20 | Sun Microsystems, Inc. | System and method for determining cluster membership in a heterogeneous distributed system |
US6393465B2 (en) | 1997-11-25 | 2002-05-21 | Nixmail Corporation | Junk electronic mail detector and eliminator |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
WO1999057654A1 (fr) | 1998-05-06 | 1999-11-11 | Matsushita Electric Industrial Co., Ltd. | Procede et systeme d'emission/reception de donnees numeriques |
US6795966B1 (en) | 1998-05-15 | 2004-09-21 | Vmware, Inc. | Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction |
US6442686B1 (en) | 1998-07-02 | 2002-08-27 | Networks Associates Technology, Inc. | System and methodology for messaging server-based management and enforcement of crypto policies |
US6182142B1 (en) | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
US6338149B1 (en) | 1998-07-31 | 2002-01-08 | Westinghouse Electric Company Llc | Change monitoring system for a computer system |
US6546425B1 (en) | 1998-10-09 | 2003-04-08 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
JP3753873B2 (ja) | 1998-11-11 | 2006-03-08 | 株式会社島津製作所 | 分光光度計 |
JP3522141B2 (ja) | 1999-01-28 | 2004-04-26 | 富士通株式会社 | 修正プログラムを継承したプログラムの自動生成方法、プログラム自動生成装置及び修正プログラムを継承したプログラムを自動生成するプログラムを記録した記録媒体 |
US6969352B2 (en) | 1999-06-22 | 2005-11-29 | Teratech Corporation | Ultrasound probe with integrated electronics |
US6453468B1 (en) | 1999-06-30 | 2002-09-17 | B-Hub, Inc. | Methods for improving reliability while upgrading software programs in a clustered computer system |
US6496477B1 (en) | 1999-07-09 | 2002-12-17 | Texas Instruments Incorporated | Processes, articles, and packets for network path diversity in media over packet applications |
US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
US7340684B2 (en) | 1999-08-19 | 2008-03-04 | National Instruments Corporation | System and method for programmatically generating a second graphical program based on a first graphical program |
US6256773B1 (en) | 1999-08-31 | 2001-07-03 | Accenture Llp | System, method and article of manufacture for configuration management in a development architecture framework |
US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
US6321267B1 (en) * | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
US6662219B1 (en) | 1999-12-15 | 2003-12-09 | Microsoft Corporation | System for determining at subgroup of nodes relative weight to represent cluster by obtaining exclusive possession of quorum resource |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
US6769008B1 (en) | 2000-01-10 | 2004-07-27 | Sun Microsystems, Inc. | Method and apparatus for dynamically altering configurations of clustered computer systems |
EP1281134A4 (en) | 2000-03-17 | 2007-01-10 | Filesx Ltd | ACCELERATE ANSWERS TO REQUIREMENTS FROM USERS TO AN INTERNET |
US6748534B1 (en) | 2000-03-31 | 2004-06-08 | Networks Associates, Inc. | System and method for partitioned distributed scanning of a large dataset for viruses and other malware |
US6941470B1 (en) | 2000-04-07 | 2005-09-06 | Everdream Corporation | Protected execution environments within a computer system |
CA2305078A1 (en) | 2000-04-12 | 2001-10-12 | Cloakware Corporation | Tamper resistant software - mass data encoding |
US7325127B2 (en) | 2000-04-25 | 2008-01-29 | Secure Data In Motion, Inc. | Security server system |
US7089428B2 (en) | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US6769115B1 (en) | 2000-05-01 | 2004-07-27 | Emc Corporation | Adaptive interface for a software development environment |
US6847993B1 (en) | 2000-05-31 | 2005-01-25 | International Business Machines Corporation | Method, system and program products for managing cluster configurations |
US6934755B1 (en) | 2000-06-02 | 2005-08-23 | Sun Microsystems, Inc. | System and method for migrating processes on a network |
US6611925B1 (en) | 2000-06-13 | 2003-08-26 | Networks Associates Technology, Inc. | Single point of entry/origination item scanning within an enterprise or workgroup |
US20030061506A1 (en) | 2001-04-05 | 2003-03-27 | Geoffrey Cooper | System and method for security policy |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US8204999B2 (en) | 2000-07-10 | 2012-06-19 | Oracle International Corporation | Query string processing |
US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
US7350204B2 (en) | 2000-07-24 | 2008-03-25 | Microsoft Corporation | Policies for secure software execution |
ATE265112T1 (de) | 2000-08-04 | 2004-05-15 | Xtradyne Technologies Ag | Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte |
AUPQ968100A0 (en) | 2000-08-25 | 2000-09-21 | Telstra Corporation Limited | A management system |
US20020165947A1 (en) | 2000-09-25 | 2002-11-07 | Crossbeam Systems, Inc. | Network application apparatus |
US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US7606898B1 (en) | 2000-10-24 | 2009-10-20 | Microsoft Corporation | System and method for distributed management of shared computers |
US7146305B2 (en) | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US6930985B1 (en) | 2000-10-26 | 2005-08-16 | Extreme Networks, Inc. | Method and apparatus for management of configuration in a network |
US7054930B1 (en) | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6834301B1 (en) | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
US6766334B1 (en) | 2000-11-21 | 2004-07-20 | Microsoft Corporation | Project-based configuration management method and apparatus |
US20020069367A1 (en) | 2000-12-06 | 2002-06-06 | Glen Tindal | Network operating system data directory |
US6907600B2 (en) | 2000-12-27 | 2005-06-14 | Intel Corporation | Virtual translation lookaside buffer |
JP2002244898A (ja) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | データベース管理プログラム及びデータベースシステム |
US6993012B2 (en) | 2001-02-20 | 2006-01-31 | Innomedia Pte, Ltd | Method for communicating audio data in a packet switched network |
US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
WO2002093334A2 (en) | 2001-04-06 | 2002-11-21 | Symantec Corporation | Temporal access control for computer virus outbreaks |
US6918110B2 (en) | 2001-04-11 | 2005-07-12 | Hewlett-Packard Development Company, L.P. | Dynamic instrumentation of an executable program by means of causing a breakpoint at the entry point of a function and providing instrumentation code |
CN1141821C (zh) | 2001-04-25 | 2004-03-10 | 数位联合电信股份有限公司 | 可重定向的连接上网系统 |
US6715050B2 (en) | 2001-05-31 | 2004-03-30 | Oracle International Corporation | Storage access keys |
US6988101B2 (en) | 2001-05-31 | 2006-01-17 | International Business Machines Corporation | Method, system, and computer program product for providing an extensible file system for accessing a foreign file system from a local data processing system |
US6988124B2 (en) | 2001-06-06 | 2006-01-17 | Microsoft Corporation | Locating potentially identical objects across multiple computers based on stochastic partitioning of workload |
US7290266B2 (en) | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
US7065767B2 (en) | 2001-06-29 | 2006-06-20 | Intel Corporation | Managed hosting server auditing and change tracking |
US7069330B1 (en) | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
US20030023736A1 (en) | 2001-07-12 | 2003-01-30 | Kurt Abkemeier | Method and system for filtering messages |
US20030014667A1 (en) | 2001-07-16 | 2003-01-16 | Andrei Kolichtchak | Buffer overflow attack detection and suppression |
US6877088B2 (en) | 2001-08-08 | 2005-04-05 | Sun Microsystems, Inc. | Methods and apparatus for controlling speculative execution of instructions based on a multiaccess memory condition |
US7007302B1 (en) * | 2001-08-31 | 2006-02-28 | Mcafee, Inc. | Efficient management and blocking of malicious code and hacking attempts in a network environment |
US7010796B1 (en) | 2001-09-28 | 2006-03-07 | Emc Corporation | Methods and apparatus providing remote operation of an application programming interface |
US7278161B2 (en) | 2001-10-01 | 2007-10-02 | International Business Machines Corporation | Protecting a data processing system from attack by a vandal who uses a vulnerability scanner |
US7177267B2 (en) | 2001-11-09 | 2007-02-13 | Adc Dsl Systems, Inc. | Hardware monitoring and configuration management |
US7853643B1 (en) | 2001-11-21 | 2010-12-14 | Blue Titan Software, Inc. | Web services-based computing resource lifecycle management |
EP1315066A1 (en) | 2001-11-21 | 2003-05-28 | BRITISH TELECOMMUNICATIONS public limited company | Computer security system |
US7346781B2 (en) | 2001-12-06 | 2008-03-18 | Mcafee, Inc. | Initiating execution of a computer program from an encrypted version of a computer program |
US7039949B2 (en) | 2001-12-10 | 2006-05-02 | Brian Ross Cartmell | Method and system for blocking unwanted communications |
US7159036B2 (en) | 2001-12-10 | 2007-01-02 | Mcafee, Inc. | Updating data from a source computer to groups of destination computers |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
WO2003050662A1 (fr) | 2001-12-13 | 2003-06-19 | Japan Science And Technology Agency | Systeme d'execution securisee d'un logiciel |
US7398389B2 (en) | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
US7096500B2 (en) | 2001-12-21 | 2006-08-22 | Mcafee, Inc. | Predictive malware scanning of internet data |
JP3906356B2 (ja) | 2001-12-27 | 2007-04-18 | 独立行政法人情報通信研究機構 | 構文解析方法及び装置 |
US7743415B2 (en) | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
US20030167399A1 (en) | 2002-03-01 | 2003-09-04 | Yves Audebert | Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe |
US6941449B2 (en) | 2002-03-04 | 2005-09-06 | Hewlett-Packard Development Company, L.P. | Method and apparatus for performing critical tasks using speculative operations |
US7600021B2 (en) | 2002-04-03 | 2009-10-06 | Microsoft Corporation | Delta replication of source files and packages across networked resources |
US20070253430A1 (en) | 2002-04-23 | 2007-11-01 | Minami John S | Gigabit Ethernet Adapter |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US7823148B2 (en) | 2002-05-22 | 2010-10-26 | Oracle America, Inc. | System and method for performing patch installation via a graphical user interface |
US20030221190A1 (en) | 2002-05-22 | 2003-11-27 | Sun Microsystems, Inc. | System and method for performing patch installation on multiple devices |
US7024404B1 (en) | 2002-05-28 | 2006-04-04 | The State University Rutgers | Retrieval and display of data objects using a cross-group ranking metric |
US8843903B1 (en) | 2003-06-11 | 2014-09-23 | Symantec Corporation | Process tracking application layered system |
US7512977B2 (en) * | 2003-06-11 | 2009-03-31 | Symantec Corporation | Intrustion protection system utilizing layers |
US7823203B2 (en) | 2002-06-17 | 2010-10-26 | At&T Intellectual Property Ii, L.P. | Method and device for detecting computer network intrusions |
US7139916B2 (en) | 2002-06-28 | 2006-11-21 | Ebay, Inc. | Method and system for monitoring user interaction with a computer |
US8924484B2 (en) | 2002-07-16 | 2014-12-30 | Sonicwall, Inc. | Active e-mail filter with challenge-response |
US7522906B2 (en) | 2002-08-09 | 2009-04-21 | Wavelink Corporation | Mobile unit configuration management for WLANs |
US20040111461A1 (en) | 2002-08-28 | 2004-06-10 | Claudatos Christopher H. | Managing and controlling user applications with network switches |
US7624347B2 (en) | 2002-09-17 | 2009-11-24 | At&T Intellectual Property I, L.P. | System and method for forwarding full header information in email messages |
US7546333B2 (en) | 2002-10-23 | 2009-06-09 | Netapp, Inc. | Methods and systems for predictive change management for access paths in networks |
US20040088398A1 (en) | 2002-11-06 | 2004-05-06 | Barlow Douglas B. | Systems and methods for providing autoconfiguration and management of nodes |
US7353501B2 (en) | 2002-11-18 | 2008-04-01 | Microsoft Corporation | Generic wrapper scheme |
US7865931B1 (en) | 2002-11-25 | 2011-01-04 | Accenture Global Services Limited | Universal authorization and access control security measure for applications |
US7346927B2 (en) | 2002-12-12 | 2008-03-18 | Access Business Group International Llc | System and method for storing and accessing secure data |
US20040143749A1 (en) | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
US20040167906A1 (en) | 2003-02-25 | 2004-08-26 | Smith Randolph C. | System consolidation tool and method for patching multiple servers |
US7024548B1 (en) | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
CN1723446A (zh) | 2003-03-28 | 2006-01-18 | 松下电器产业株式会社 | 记录介质、记录设备及使用该记录介质和设备的再现设备 |
US8209680B1 (en) | 2003-04-11 | 2012-06-26 | Vmware, Inc. | System and method for disk imaging on diverse computers |
US7607010B2 (en) | 2003-04-12 | 2009-10-20 | Deep Nines, Inc. | System and method for network edge data protection |
US20050108516A1 (en) | 2003-04-17 | 2005-05-19 | Robert Balzer | By-pass and tampering protection for application wrappers |
US20040230963A1 (en) | 2003-05-12 | 2004-11-18 | Rothman Michael A. | Method for updating firmware in an operating system agnostic manner |
DE10324189A1 (de) | 2003-05-28 | 2004-12-16 | Robert Bosch Gmbh | Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung |
US7657599B2 (en) | 2003-05-29 | 2010-02-02 | Mindshare Design, Inc. | Systems and methods for automatically updating electronic mail access lists |
US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
US7827602B2 (en) | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
US7454489B2 (en) | 2003-07-01 | 2008-11-18 | International Business Machines Corporation | System and method for accessing clusters of servers from the internet network |
US7283517B2 (en) | 2003-07-22 | 2007-10-16 | Innomedia Pte | Stand alone multi-media terminal adapter with network address translation and port partitioning |
US7463590B2 (en) | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7526541B2 (en) | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
US7886093B1 (en) | 2003-07-31 | 2011-02-08 | Hewlett-Packard Development Company, L.P. | Electronic device network supporting compression and decompression in electronic devices |
US7925722B1 (en) | 2003-08-01 | 2011-04-12 | Avocent Corporation | Method and apparatus for discovery and installation of network devices through a network |
US7401104B2 (en) | 2003-08-21 | 2008-07-15 | Microsoft Corporation | Systems and methods for synchronizing computer systems through an intermediary file system share or device |
US7464408B1 (en) | 2003-08-29 | 2008-12-09 | Solidcore Systems, Inc. | Damage containment by translation |
US8539063B1 (en) | 2003-08-29 | 2013-09-17 | Mcafee, Inc. | Method and system for containment of networked application client software by explicit human input |
US20050065935A1 (en) * | 2003-09-16 | 2005-03-24 | Chebolu Anil Kumar | Client comparison of network content with server-based categorization |
US7360097B2 (en) | 2003-09-30 | 2008-04-15 | Check Point Software Technologies, Inc. | System providing methodology for securing interfaces of executable files |
US7930351B2 (en) | 2003-10-14 | 2011-04-19 | At&T Intellectual Property I, L.P. | Identifying undesired email messages having attachments |
US7280956B2 (en) | 2003-10-24 | 2007-10-09 | Microsoft Corporation | System, method, and computer program product for file encryption, decryption and transfer |
US7814554B1 (en) | 2003-11-06 | 2010-10-12 | Gary Dean Ragner | Dynamic associative storage security for long-term memory storage devices |
US20050114672A1 (en) | 2003-11-20 | 2005-05-26 | Encryptx Corporation | Data rights management of digital information in a portable software permission wrapper |
US7430760B2 (en) * | 2003-12-05 | 2008-09-30 | Microsoft Corporation | Security-related programming interface |
US20040172551A1 (en) | 2003-12-09 | 2004-09-02 | Michael Connor | First response computer virus blocking. |
US7600219B2 (en) | 2003-12-10 | 2009-10-06 | Sap Ag | Method and system to monitor software interface updates and assess backward compatibility |
US7546594B2 (en) | 2003-12-15 | 2009-06-09 | Microsoft Corporation | System and method for updating installation components using an installation component delta patch in a networked environment |
US7840968B1 (en) | 2003-12-17 | 2010-11-23 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
JP2005202523A (ja) * | 2004-01-13 | 2005-07-28 | Sony Corp | コンピュータ装置及びプロセス制御方法 |
US7272654B1 (en) | 2004-03-04 | 2007-09-18 | Sandbox Networks, Inc. | Virtualizing network-attached-storage (NAS) with a compact table that stores lossy hashes of file names and parent handles rather than full names |
JP4480422B2 (ja) * | 2004-03-05 | 2010-06-16 | 富士通株式会社 | 不正アクセス阻止方法、装置及びシステム並びにプログラム |
US7783735B1 (en) | 2004-03-22 | 2010-08-24 | Mcafee, Inc. | Containment of network communication |
JP2005275839A (ja) * | 2004-03-25 | 2005-10-06 | Nec Corp | ソフトウェア利用許可方法及びシステム |
US7966658B2 (en) | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
EP1745342A2 (en) | 2004-04-19 | 2007-01-24 | Securewave S.A. | On-line centralized and local authorization of executable files |
US7890946B2 (en) | 2004-05-11 | 2011-02-15 | Microsoft Corporation | Efficient patching |
US20060004875A1 (en) | 2004-05-11 | 2006-01-05 | Microsoft Corporation | CMDB schema |
US7818377B2 (en) * | 2004-05-24 | 2010-10-19 | Microsoft Corporation | Extended message rule architecture |
ATE451806T1 (de) | 2004-05-24 | 2009-12-15 | Computer Ass Think Inc | System und verfahren zum automatischen konfigurieren eines mobilen geräts |
US7506170B2 (en) | 2004-05-28 | 2009-03-17 | Microsoft Corporation | Method for secure access to multiple secure networks |
US20050273858A1 (en) | 2004-06-07 | 2005-12-08 | Erez Zadok | Stackable file systems and methods thereof |
JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
US7694150B1 (en) | 2004-06-22 | 2010-04-06 | Cisco Technology, Inc | System and methods for integration of behavioral and signature based security |
US20050289538A1 (en) | 2004-06-23 | 2005-12-29 | International Business Machines Corporation | Deploying an application software on a virtual deployment target |
US7203864B2 (en) | 2004-06-25 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | Method and system for clustering computers into peer groups and comparing individual computers to their peers |
US7908653B2 (en) | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
BRPI0418942B1 (pt) | 2004-07-09 | 2018-05-29 | Telefonaktiebolaget Lm Ericsson | Método para prover serviços diferentes em um sistema de comunicação de multimídia, e, servidor de aplicativo em um sistema de comunicação de multimídia |
US20060015501A1 (en) | 2004-07-19 | 2006-01-19 | International Business Machines Corporation | System, method and program product to determine a time interval at which to check conditions to permit access to a file |
US7937455B2 (en) | 2004-07-28 | 2011-05-03 | Oracle International Corporation | Methods and systems for modifying nodes in a cluster environment |
JP2006059217A (ja) * | 2004-08-23 | 2006-03-02 | Mitsubishi Electric Corp | ソフトウェアメモリイメージ生成装置及び組み込み機器ソフトウェア更新システム及びプログラム |
US7703090B2 (en) | 2004-08-31 | 2010-04-20 | Microsoft Corporation | Patch un-installation |
US7873955B1 (en) | 2004-09-07 | 2011-01-18 | Mcafee, Inc. | Solidifying the executable software set of a computer |
US7392374B2 (en) | 2004-09-21 | 2008-06-24 | Hewlett-Packard Development Company, L.P. | Moving kernel configurations |
US7561515B2 (en) | 2004-09-27 | 2009-07-14 | Intel Corporation | Role-based network traffic-flow rate control |
US8146145B2 (en) | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
US7506364B2 (en) | 2004-10-01 | 2009-03-17 | Microsoft Corporation | Integrated access authorization |
US20060080656A1 (en) | 2004-10-12 | 2006-04-13 | Microsoft Corporation | Methods and instructions for patch management |
US9329905B2 (en) | 2004-10-15 | 2016-05-03 | Emc Corporation | Method and apparatus for configuring, monitoring and/or managing resource groups including a virtual machine |
US10043008B2 (en) * | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
US7765538B2 (en) | 2004-10-29 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for determining which program patches to recommend for installation |
EP1820099A4 (en) | 2004-11-04 | 2013-06-26 | Tti Inv S C Llc | DETECTING OPERATING CODE IN NETWORK DATA STREAMS |
US20060101277A1 (en) | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
WO2006101549A2 (en) | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
US20060136338A1 (en) * | 2004-12-16 | 2006-06-22 | Intel Corporation | Techniques for filtering attempts to access component core logic |
US8479193B2 (en) | 2004-12-17 | 2013-07-02 | Intel Corporation | Method, apparatus and system for enhancing the usability of virtual machines |
US7765544B2 (en) | 2004-12-17 | 2010-07-27 | Intel Corporation | Method, apparatus and system for improving security in a virtual machine host |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7752667B2 (en) | 2004-12-28 | 2010-07-06 | Lenovo (Singapore) Pte Ltd. | Rapid virus scan using file signature created during file write |
US7849269B2 (en) | 2005-01-24 | 2010-12-07 | Citrix Systems, Inc. | System and method for performing entity tag and cache control of a dynamically generated object not identified as cacheable in a network |
US7302558B2 (en) | 2005-01-25 | 2007-11-27 | Goldman Sachs & Co. | Systems and methods to facilitate the creation and configuration management of computing systems |
US7385938B1 (en) | 2005-02-02 | 2008-06-10 | At&T Corp. | Method and apparatus for adjusting a network device configuration change distribution schedule |
US20130247027A1 (en) | 2005-02-16 | 2013-09-19 | Solidcore Systems, Inc. | Distribution and installation of solidified software on a computer |
US8056138B2 (en) | 2005-02-26 | 2011-11-08 | International Business Machines Corporation | System, method, and service for detecting improper manipulation of an application |
US7836504B2 (en) | 2005-03-01 | 2010-11-16 | Microsoft Corporation | On-access scan of memory for malware |
US7685635B2 (en) | 2005-03-11 | 2010-03-23 | Microsoft Corporation | Systems and methods for multi-level intercept processing in a virtual machine environment |
TW200707417A (en) | 2005-03-18 | 2007-02-16 | Sony Corp | Reproducing apparatus, reproducing method, program, program storage medium, data delivery system, data structure, and manufacturing method of recording medium |
US7552479B1 (en) | 2005-03-22 | 2009-06-23 | Symantec Corporation | Detecting shellcode that modifies IAT entries |
US7770151B2 (en) | 2005-04-07 | 2010-08-03 | International Business Machines Corporation | Automatic generation of solution deployment descriptors |
US7349931B2 (en) | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
US8590044B2 (en) | 2005-04-14 | 2013-11-19 | International Business Machines Corporation | Selective virus scanning system and method |
US7562385B2 (en) | 2005-04-20 | 2009-07-14 | Fuji Xerox Co., Ltd. | Systems and methods for dynamic authentication using physical keys |
US7603552B1 (en) | 2005-05-04 | 2009-10-13 | Mcafee, Inc. | Piracy prevention using unique module translation |
US7363463B2 (en) | 2005-05-13 | 2008-04-22 | Microsoft Corporation | Method and system for caching address translations from multiple address spaces in virtual machines |
US8001245B2 (en) | 2005-06-01 | 2011-08-16 | International Business Machines Corporation | System and method for autonomically configurable router |
WO2006137057A2 (en) | 2005-06-21 | 2006-12-28 | Onigma Ltd. | A method and a system for providing comprehensive protection against leakage of sensitive information assets using host based agents, content- meta-data and rules-based policies |
US8839450B2 (en) | 2007-08-02 | 2014-09-16 | Intel Corporation | Secure vault service for software components within an execution environment |
CN101218568A (zh) | 2005-07-11 | 2008-07-09 | 微软公司 | 每-用户和系统粒度的审计策略实现 |
US7739721B2 (en) | 2005-07-11 | 2010-06-15 | Microsoft Corporation | Per-user and system granular audit policy implementation |
US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
US7984493B2 (en) | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
US7895651B2 (en) * | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
CN103984891A (zh) | 2005-07-29 | 2014-08-13 | Bit9公司 | 网络安全系统和方法 |
US7962616B2 (en) | 2005-08-11 | 2011-06-14 | Micro Focus (Us), Inc. | Real-time activity monitoring and reporting |
US7340574B2 (en) | 2005-08-30 | 2008-03-04 | Rockwell Automation Technologies, Inc. | Method and apparatus for synchronizing an industrial controller with a redundant controller |
US8327353B2 (en) | 2005-08-30 | 2012-12-04 | Microsoft Corporation | Hierarchical virtualization with a multi-level virtualization mechanism |
US20070074199A1 (en) | 2005-09-27 | 2007-03-29 | Sebastian Schoenberg | Method and apparatus for delivering microcode updates through virtual machine operations |
EP1770915A1 (en) | 2005-09-29 | 2007-04-04 | Matsushita Electric Industrial Co., Ltd. | Policy control in the evolved system architecture |
US7712132B1 (en) | 2005-10-06 | 2010-05-04 | Ogilvie John W | Detecting surreptitious spyware |
US8131825B2 (en) | 2005-10-07 | 2012-03-06 | Citrix Systems, Inc. | Method and a system for responding locally to requests for file metadata associated with files stored remotely |
US7725737B2 (en) | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
US20070169079A1 (en) | 2005-11-08 | 2007-07-19 | Microsoft Corporation | Software update management |
US7836303B2 (en) | 2005-12-09 | 2010-11-16 | University Of Washington | Web browser operating system |
US7856538B2 (en) | 2005-12-12 | 2010-12-21 | Systex, Inc. | Methods, systems and computer readable medium for detecting memory overflow conditions |
US20070143851A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US8296437B2 (en) | 2005-12-29 | 2012-10-23 | Logmein, Inc. | Server-mediated setup and maintenance of peer-to-peer client computer communications |
US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
WO2007100045A1 (ja) | 2006-03-03 | 2007-09-07 | Nec Corporation | 通信制御装置、通信制御システム、通信制御方法、および通信制御用プログラム |
WO2007099273A1 (en) | 2006-03-03 | 2007-09-07 | Arm Limited | Monitoring values of signals within an integrated circuit |
US8621433B2 (en) | 2006-03-20 | 2013-12-31 | Microsoft Corporation | Managing version information for software components |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US7752233B2 (en) | 2006-03-29 | 2010-07-06 | Massachusetts Institute Of Technology | Techniques for clustering a set of objects |
US7870387B1 (en) | 2006-04-07 | 2011-01-11 | Mcafee, Inc. | Program-based authorization |
US8015563B2 (en) | 2006-04-14 | 2011-09-06 | Microsoft Corporation | Managing virtual machines with system-wide policies |
US7966659B1 (en) | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
US8352930B1 (en) | 2006-04-24 | 2013-01-08 | Mcafee, Inc. | Software modification by group to minimize breakage |
US8458673B2 (en) | 2006-04-26 | 2013-06-04 | Flexera Software Llc | Computer-implemented method and system for binding digital rights management executable code to a software application |
US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
US8555404B1 (en) | 2006-05-18 | 2013-10-08 | Mcafee, Inc. | Connectivity-based authorization |
US20080082662A1 (en) | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
US8291409B2 (en) | 2006-05-22 | 2012-10-16 | Microsoft Corporation | Updating virtual machine with patch on host that does not have network access |
US7761912B2 (en) | 2006-06-06 | 2010-07-20 | Microsoft Corporation | Reputation driven firewall |
US7809704B2 (en) | 2006-06-15 | 2010-10-05 | Microsoft Corporation | Combining spectral and probabilistic clustering |
US7831997B2 (en) | 2006-06-22 | 2010-11-09 | Intel Corporation | Secure and automatic provisioning of computer systems having embedded network devices |
US20070300215A1 (en) | 2006-06-26 | 2007-12-27 | Bardsley Jeffrey S | Methods, systems, and computer program products for obtaining and utilizing a score indicative of an overall performance effect of a software update on a software host |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8468526B2 (en) | 2006-06-30 | 2013-06-18 | Intel Corporation | Concurrent thread execution using user-level asynchronous signaling |
US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
US7950056B1 (en) * | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
US8572721B2 (en) | 2006-08-03 | 2013-10-29 | Citrix Systems, Inc. | Methods and systems for routing packets in a VPN-client-to-VPN-client connection via an SSL/VPN network appliance |
US8495181B2 (en) | 2006-08-03 | 2013-07-23 | Citrix Systems, Inc | Systems and methods for application based interception SSI/VPN traffic |
US8015388B1 (en) | 2006-08-04 | 2011-09-06 | Vmware, Inc. | Bypassing guest page table walk for shadow page table entries not present in guest page table |
US20080059123A1 (en) | 2006-08-29 | 2008-03-06 | Microsoft Corporation | Management of host compliance evaluation |
EP1901192A1 (en) | 2006-09-14 | 2008-03-19 | British Telecommunications Public Limited Company | Mobile application registration |
US8161475B2 (en) | 2006-09-29 | 2012-04-17 | Microsoft Corporation | Automatic load and balancing for virtual machines to meet resource requirements |
US7769731B2 (en) | 2006-10-04 | 2010-08-03 | International Business Machines Corporation | Using file backup software to generate an alert when a file modification policy is violated |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US9697019B1 (en) | 2006-10-17 | 2017-07-04 | Manageiq, Inc. | Adapt a virtual machine to comply with system enforced policies and derive an optimized variant of the adapted virtual machine |
US8055904B1 (en) | 2006-10-19 | 2011-11-08 | United Services Automobile Assocation (USAA) | Systems and methods for software application security management |
US7979749B2 (en) | 2006-11-15 | 2011-07-12 | International Business Machines Corporation | Method and infrastructure for detecting and/or servicing a failing/failed operating system instance |
US7689817B2 (en) | 2006-11-16 | 2010-03-30 | Intel Corporation | Methods and apparatus for defeating malware |
US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
US8336046B2 (en) | 2006-12-29 | 2012-12-18 | Intel Corporation | Dynamic VM cloning on request from application based on mapping of virtual hardware configuration to the identified physical hardware resources |
US7996836B1 (en) | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
US8254568B2 (en) | 2007-01-07 | 2012-08-28 | Apple Inc. | Secure booting a computing device |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US8380987B2 (en) | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
JP4715774B2 (ja) * | 2007-03-02 | 2011-07-06 | 日本電気株式会社 | レプリケーション方法、レプリケーションシステム、ストレージ装置、プログラム |
US8276201B2 (en) | 2007-03-22 | 2012-09-25 | International Business Machines Corporation | Integrity protection in data processing systems |
US20080282080A1 (en) | 2007-05-11 | 2008-11-13 | Nortel Networks Limited | Method and apparatus for adapting a communication network according to information provided by a trusted client |
US7930327B2 (en) | 2007-05-21 | 2011-04-19 | International Business Machines Corporation | Method and apparatus for obtaining the absolute path name of an open file system object from its file descriptor |
US20080295173A1 (en) * | 2007-05-21 | 2008-11-27 | Tsvetomir Iliev Tsvetanov | Pattern-based network defense mechanism |
US20080301770A1 (en) | 2007-05-31 | 2008-12-04 | Kinder Nathan G | Identity based virtual machine selector |
US20090007100A1 (en) | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
JP2009026022A (ja) * | 2007-07-19 | 2009-02-05 | Hitachi Systems & Services Ltd | ファイル保護装置およびファイル保護方法 |
US8763115B2 (en) | 2007-08-08 | 2014-06-24 | Vmware, Inc. | Impeding progress of malicious guest software |
CN101370004A (zh) | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
US20090064287A1 (en) | 2007-08-28 | 2009-03-05 | Rohati Systems, Inc. | Application protection architecture with triangulated authorization |
WO2009032710A2 (en) | 2007-08-29 | 2009-03-12 | Nirvanix, Inc. | Filing system and method for data files stored in a distributed communications network |
US8250641B2 (en) | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
US20090113111A1 (en) | 2007-10-30 | 2009-04-30 | Vmware, Inc. | Secure identification of execution contexts |
US8195931B1 (en) | 2007-10-31 | 2012-06-05 | Mcafee, Inc. | Application change control |
JP5238235B2 (ja) | 2007-12-07 | 2013-07-17 | 株式会社日立製作所 | 管理装置及び管理方法 |
US8701189B2 (en) | 2008-01-31 | 2014-04-15 | Mcafee, Inc. | Method of and system for computer system denial-of-service protection |
US8788805B2 (en) | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
US8336094B2 (en) | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
US8321931B2 (en) | 2008-03-31 | 2012-11-27 | Intel Corporation | Method and apparatus for sequential hypervisor invocation |
US8615502B2 (en) | 2008-04-18 | 2013-12-24 | Mcafee, Inc. | Method of and system for reverse mapping vnode pointers |
JP5191043B2 (ja) * | 2008-04-21 | 2013-04-24 | 学校法人東京電機大学 | プログラムの不正起動防止システム及び方法 |
US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
US9058420B2 (en) | 2008-06-20 | 2015-06-16 | Vmware, Inc. | Synchronous decoupled program analysis in virtual environments |
CA2726310C (en) | 2008-08-07 | 2013-10-08 | Serge Nabutovsky | Link exchange system and method |
US8065714B2 (en) | 2008-09-12 | 2011-11-22 | Hytrust, Inc. | Methods and systems for securely managing virtualization platform |
US9141381B2 (en) | 2008-10-27 | 2015-09-22 | Vmware, Inc. | Version control environment for virtual machines |
JP4770921B2 (ja) | 2008-12-01 | 2011-09-14 | 日本電気株式会社 | ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム |
US8544003B1 (en) | 2008-12-11 | 2013-09-24 | Mcafee, Inc. | System and method for managing virtual machine configurations |
US8274895B2 (en) | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
US8904520B1 (en) | 2009-03-19 | 2014-12-02 | Symantec Corporation | Communication-based reputation system |
US8387046B1 (en) | 2009-03-26 | 2013-02-26 | Symantec Corporation | Security driver for hypervisors and operating systems of virtualized datacenters |
US8060722B2 (en) | 2009-03-27 | 2011-11-15 | Vmware, Inc. | Hardware assistance for shadow page table coherence with guest page mappings |
US20100299277A1 (en) | 2009-05-19 | 2010-11-25 | Randy Emelo | System and method for creating and enhancing mentoring relationships |
US8359422B2 (en) | 2009-06-26 | 2013-01-22 | Vmware, Inc. | System and method to reduce trace faults in software MMU virtualization |
GB2471716A (en) | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
JP2010016834A (ja) | 2009-07-16 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング方法 |
US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
US8341627B2 (en) | 2009-08-21 | 2012-12-25 | Mcafee, Inc. | Method and system for providing user space address protection from writable memory area in a virtual environment |
US8572695B2 (en) | 2009-09-08 | 2013-10-29 | Ricoh Co., Ltd | Method for applying a physical seal authorization to documents in electronic workflows |
US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US9390263B2 (en) | 2010-03-31 | 2016-07-12 | Sophos Limited | Use of an application controller to monitor and control software file and application environments |
US8813209B2 (en) | 2010-06-03 | 2014-08-19 | International Business Machines Corporation | Automating network reconfiguration during migrations |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
CN103154961A (zh) | 2010-09-30 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于病毒扫描的虚拟机 |
US9075993B2 (en) | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US20130247192A1 (en) | 2011-03-01 | 2013-09-19 | Sven Krasser | System and method for botnet detection by comprehensive email behavioral analysis |
US9552215B2 (en) | 2011-03-08 | 2017-01-24 | Rackspace Us, Inc. | Method and system for transferring a virtual machine |
US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8694738B2 (en) | 2011-10-11 | 2014-04-08 | Mcafee, Inc. | System and method for critical address space protection in a hypervisor environment |
US9069586B2 (en) | 2011-10-13 | 2015-06-30 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US8973144B2 (en) | 2011-10-13 | 2015-03-03 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713684B2 (en) | 2012-02-24 | 2014-04-29 | Appthority, Inc. | Quantifying the risks of applications for mobile devices |
US8793489B2 (en) | 2012-03-01 | 2014-07-29 | Humanconcepts, Llc | Method and system for controlling data access to organizational data maintained in hierarchical |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
US9292688B2 (en) | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
US9311480B2 (en) | 2013-03-15 | 2016-04-12 | Mcafee, Inc. | Server-assisted anti-malware client |
WO2014142986A1 (en) | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
WO2015060857A1 (en) | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
-
2010
- 2010-07-28 US US12/844,892 patent/US8925101B2/en active Active
-
2011
- 2011-01-10 EP EP11703741.6A patent/EP2599026B1/en active Active
- 2011-01-10 CN CN201180046850.XA patent/CN103229185B/zh active Active
- 2011-01-10 AU AU2011283160A patent/AU2011283160B2/en active Active
- 2011-01-10 JP JP2013521767A patent/JP5845258B2/ja active Active
- 2011-01-10 WO PCT/US2011/020677 patent/WO2012015485A1/en active Application Filing
-
2014
- 2014-12-26 US US14/583,509 patent/US9467470B2/en active Active
-
2015
- 2015-11-20 JP JP2015227446A patent/JP6086968B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016053979A (ja) | 2016-04-14 |
JP6086968B2 (ja) | 2017-03-01 |
US20120030731A1 (en) | 2012-02-02 |
US9467470B2 (en) | 2016-10-11 |
WO2012015485A1 (en) | 2012-02-02 |
JP5845258B2 (ja) | 2016-01-20 |
CN103229185A (zh) | 2013-07-31 |
AU2011283160A1 (en) | 2013-02-07 |
JP2013532869A (ja) | 2013-08-19 |
AU2011283160B2 (en) | 2014-08-28 |
EP2599026A1 (en) | 2013-06-05 |
US8925101B2 (en) | 2014-12-30 |
US20150180884A1 (en) | 2015-06-25 |
EP2599026B1 (en) | 2018-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103229185B (zh) | 用于针对恶意软件的本地保护的系统和方法 | |
CN103283202B (zh) | 用于针对恶意软件的网络级保护的系统和方法 | |
US9065850B1 (en) | Phishing detection systems and methods | |
WO2008151321A2 (en) | Systems, methods, and media for enforcing a security policy in a network including a plurality of components | |
Suzuki et al. | Prevention and mitigation measures against phishing emails: a sequential schema model | |
Gupta et al. | Cybersecurity: a self-teaching introduction | |
Purkait et al. | Cyber Security and Frameworks: A Study of Cyber Attacks and Methods of Prevention of Cyber Attacks | |
Sibai et al. | Countering network-centric insider threats through self-protective autonomic rule generation | |
Feagin | The value of cyber security in small business | |
Zhang et al. | Controlling Network Risk in E-commerce | |
Sadrazamis | MITRE ATT&CK-based analysis of cyber-attacks in intelligent transportation | |
Pandya | Local area network security | |
Zheng et al. | Reflection of the Nation Cybersecurity's Evolution | |
Aakash et al. | Security Issues in IoT, Cloud and their Convergence | |
Lakshmi Narayanan et al. | Design and Implementation of Cyber Threat Intelligence Data Mining Model | |
Rajput et al. | Understanding IoT Security: A Point-by-point Investigation of IoT Weaknesses and a First Exact Glance at Web Scale IoT Exploits | |
Martsenyuk et al. | Features of technology of protection against unauthorizedly installed monitoring software products. | |
KR20240019725A (ko) | 비승인 이메일 서버 접근 공격 검사를 수행하는 표적형이메일 공격 차단 및 대응을 위한 이메일 보안 시스템 및 그 동작 방법 | |
Olzak | Just enough security | |
CN116074022A (zh) | 基于过程管控和人工智能的自动识别横向移动的方法 | |
Hubbard | Data Security and Privacy Concerns with the New Internet | |
Schiller | Using Quasi-Intelligence Resources to Protect the Enterprise | |
Lawal | NETWORK SECURITY USING INTRUSION DETECTION & PREVENTION SYSTEM INTEGRATION MODEL | |
Oliva | Reference Materials | |
Alanzi et al. | Cyber security management in light of crises" Covid-19" Pandemic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: American California Patentee after: McAfee limited liability company Address before: American Texas Patentee before: Mcafee, Inc. |