CN103384888A - 用于恶意软件的检测和扫描的系统和方法 - Google Patents

用于恶意软件的检测和扫描的系统和方法 Download PDF

Info

Publication number
CN103384888A
CN103384888A CN2011800687831A CN201180068783A CN103384888A CN 103384888 A CN103384888 A CN 103384888A CN 2011800687831 A CN2011800687831 A CN 2011800687831A CN 201180068783 A CN201180068783 A CN 201180068783A CN 103384888 A CN103384888 A CN 103384888A
Authority
CN
China
Prior art keywords
branch
scan request
malware
calculation element
scan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN2011800687831A
Other languages
English (en)
Inventor
K.什亚姆森德
T.唐
R.托马斯
A.霍尔姆斯
J.克拉胡莱克
S.森卡拉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FLISAEN Co
Original Assignee
FLISAEN Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FLISAEN Co filed Critical FLISAEN Co
Publication of CN103384888A publication Critical patent/CN103384888A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Hardware Redundancy (AREA)

Abstract

提供了用于恶意软件的扫描和检测的系统和方法。在一个示例性实施例中,所述方法包括中心计算装置,该中心计算装置从控制器计算装置接收扫描请求,并且确定用于执行扫描请求的分支计算装置。由中心计算装置执行的方法还包括:向所确定的分支计算装置发送扫描请求;从分支计算装置接收与扫描请求相关的结果;以及向控制器计算装置发送与扫描请求相关的结果。

Description

用于恶意软件的检测和扫描的系统和方法
相关申请的交叉参考
本申请要求于2010年12月30日提交的美国专利申请No. 12/982,540的优先权,该美国专利申请的公开内容通过参引的方式被全部并入本文。
技术领域
本公开通常涉及用于恶意软件的改进的检测和扫描的系统和方法,更具体地,涉及利用虚拟机对恶意软件的改进的可调节的检测和扫描的系统和方法。
背景技术
计算机组网的发展带来了恶意软件的攻击(通常称作恶意软件攻击)数量的激增。这些恶意软件攻击可以包括病毒、蠕虫、特洛伊木马、间谍软件、根工具包(rootkit)、拒绝服务攻击(DDOS)和其他恶意程序。恶意软件经常在运行浏览器的计算机与恶意网站通信时被安装到计算机上,其中恶意网站利用了浏览器的漏洞。也就是说,当用户访问恶意网页时,浏览器或者自动运行的外部程序和扩展程序的缺陷可能允许恶意网页自动地安装恶意软件,以致用户可能并不知道其安装。
通常,多个恶意软件利用或任务被先后地执行,以使计算机下载、存储以及然后执行可执行的恶意软件——也被称作二进制模块。在很多情况下,成功的利用导致恶意软件二进制模块的自动安装,这通常被称作“途径式下载”。所安装的恶意软件可以使得恶意软件攻击者能够获得对被感染的计算机系统的远程控制,并且在一些情况下,使得恶意攻击者能够随时间而窃取敏感信息,发送垃圾邮件,或者安装更多的恶意可执行模块。
恶意软件的传播消耗了有价值的资源,例如系统用户时间、系统管理员资源、网络带宽、磁盘空间以及CPU周期。恶意软件还能够破坏数据文件,使得原始数据不可恢复。此外,恶意软件能够使被感染的计算机向恶意软件攻击者发送机密数据(例如银行业务信息、密码等)。
所公开的实施例旨在解决上述问题中的一个或多个。
发明内容
在一个示例性实施例中,本公开涉及一种用于中心计算装置中的恶意软件扫描和检测的方法。该方法包括:从控制器计算装置接收扫描请求;由中心计算装置确定用于执行扫描请求的一个或多个分支计算装置;由中心计算装置向被确定的分支计算装置发送扫描请求;从分支计算装置接收与扫描请求相关的结果;以及将与扫描请求相关的结果发送到控制器计算装置。
在另一示例性实施例中,本公开涉及一种用于恶意软件的扫描和检测的中心计算设备,该设备包括:存储数据和指令的至少一个存储器;以及至少一个处理器,所述至少一个处理器被配置为访问所述至少一个存储器以及当执行指令时:从控制器计算装置接收扫描请求;确定用于执行扫描请求的分支计算装置;将扫描请求发送到所确定的分支计算装置;从一个或多个分支计算装置接收与扫描请求相关的结果;以及将与扫描请求相关的结果发送到控制器计算装置。
在另一示例性实施例中,本公开涉及一种用于分支计算装置中的恶意软件扫描和检测的方法。该方法包括:从中心计算装置接收扫描请求;由分支计算装置根据接收的扫描请求执行分析;将分析结果存储在分支计算装置的数据库中;以及将分析结果发送到中心计算装置。
在另一示例性实施例中,本公开涉及一种用于恶意软件的扫描和检测的分支计算设备,该设备包括:存储数据和指令的至少一个存储器;以及至少一个处理器,所述至少一个处理器被配置为访问所述至少一个存储器以及当执行指令时:从中心计算装置接收扫描请求;根据接收的扫描请求执行分析;将分析结果存储在分支计算设备的数据库中;以及将分析结果发送到中心计算装置。
附图说明
结合在本公开中并且构成本公开的一部分的附图示出了与本公开一致的方面,其与说明书一起用来说明本公开的优点和原理。在附图中:
图1示出了与所公开的特定实施例相一致的示例性可调节的中心-分支系统;
图2示出了与所公开的特定实施例相一致的示例性可调节的中心-分支系统中的示例性恶意软件控制器;
图3a示出了与所公开的特定实施例相一致的示例性可调节的中心-分支系统中的示例性中心;
图3b示出了与所公开的特定实施例相一致的图3a的示例性中心的软件部件的示例;
图4a示出了与所公开的特定实施例相一致的示例性可调节的中心-分支中的示例性密集分支;
图4b示出了与所公开的特定实施例相一致的图4a的示例性密集分支的软件部件的示例;
图5示出了与所公开的特定实施例相一致的示例性可调节的中心-分支中的示例性稀疏分支;以及
图6是流程图,示出了用于在与所公开的特定实施例相一致的示例性可调节的中心-分支系统中启动恶意软件扫描请求的方法。
具体实施方式
试图用恶意软件感染计算装置的网络服务器通常仅尝试感染客户端用户一次,以限制计算装置抢先检测和预防恶意软件感染的能力。通常,通过客户端的互联网协议(IP)地址来识别客户端。因此,利用IP地址的多样性来执行恶意软件的检测和分析是有用的。使用物理地定位在IP地址处的计算装置(例如位于路由装置中的“刀片计算机”)以及通过使用代理能够实现IP地址的多样性。还能够通过改变IP地址的网块(或者更通常的为“/24”块)内的IP地址(即IP地址的后8位)来实现IP多样性。
蜜罐为一种可以用来抢先检测和预防恶意软件感染的工具。通常,蜜罐是一个计算装置,该计算装置被配置为检测和/或分析对计算系统未授权使用的尝试。在一些实施例中,蜜罐被设计为以尽可能多的方式被利用并且“愚弄”恶意网络服务器使其认为蜜罐是访问网页的真实用户。通过设法尽可能多地被利用,蜜罐使得恶意网页能够被识别,并且使得跨越多个域上的多个网页的任务能够被追踪。一般地,蜜罐被配置成利用已知易受恶意软件攻击的或具有软件缺陷的互联网浏览器和/或操作系统进行操作。利用多样化的IP地址和蜜罐的组合,能够更有效地执行恶意软件检测。
应当了解,前面的一般描述和下面的详细描述仅为示例性和说明性的,并不是对要求保护的本公开的限制。
参照附图进行以下的详细描述。只要可能,在所有附图和以下描述中,相同的参考标号将用来表示相同或相似的部分。虽然本文描述了几个示例性的实施例和特征,但在不背离本公开的精神和范围的情况下,还可以存在变型、改动和其他实现方式。例如,对图中所示的部件可以进行替换、添加或更改,并且可以通过对所公开的方法替换、重新排序和添加步骤来改变文中描述的示例性方法。因此,以下的详细描述不限制本公开。
图1是示例性可调节的中心-分支系统100的图示,在可调节的中心-分支系统100中可以实施与本公开一致的系统和方法。具体地,图1示出了允许多个计算装置间的分布式处理的示例性可调节的中心-分支系统100。在图1中,可调节的中心-分支系统100包括恶意软件控制器110、一个或多个中心120(例如中心120a和120b)、一个或多个“密集分支”130(例如密集分支130a、密集分支130b、密集分支130c、密集分支130d和密集分支130e)以及一个或多个“稀疏分支”(例如稀疏分支140a和稀疏分支140b)。如文中所用的,密集分支可以是自主计算装置,该自主计算装置被配置为执行蜜罐功能、恶意软件分析和“爬行”功能,并且稀疏分支可以是用作密集分支的代理服务器以帮助实现IP多样性的计算装置。
尽管未示出,但恶意软件控制器110、中心120、密集分支130和稀疏分支140中的每一个均可以通过诸如例如互联网、内联网、广域网(WAN)、局域网(LAN)等的网络来相互通信。网络可以是有线的、无线的或其组合。
如图1所示,恶意软件控制器110可以是计算装置中的任一种,这些计算装置有许多是现有技术已知的。恶意软件控制器110可以被配置为接收来自客户端的恶意软件扫描请求,并将该恶意软件扫描请求发送到一个或多个中心120以进一步处理。恶意软件控制器110可以被配置为对数据进行分析以自动且自主地识别恶意软件扫描请求,并将该恶意软件扫描请求发送到一个或多个中心120以进一步处理。恶意软件扫描请求可以包括一个或多个参数,诸如例如:目标统一资源标识符(URI)、统一资源定位符(URL)和/或统一资源名称(URN);在访问目标URI、URL和/或URN时要使用的浏览器的类型和/或数量;恶意软件扫描请求的优先级;有多少链接(例如超文本链接)从目标URI、URL和/或URN中被提取和访问;要访问的目标URI、URL和/或URN的页面数量,能够从目标URI、URL和/或URN中提取并访问的链接所针对的特定主机名称;比率限制参数等。
如图1所示,恶意软件控制器110可以与中心120a通信。此外,恶意软件控制器110还可以通信地耦合至中心120b,如通过从恶意软件控制器110到中心120b的虚线所示。也就是说,恶意软件控制器110可以被配置为向中心120a发送包括恶意软件扫描请求的指令以及数据,以及从中心120a接收包括恶意软件扫描请求的结果的数据。然而,在中心120a变得不可操作或者恶意软件控制器110与中心120a之间失去通信的情况下,恶意软件控制器110还可以与中心120b进行通信,并且恶意软件控制器110可以被配置为立即开始向中心120b发送指令和数据,以及开始从中心120b接收数据。在这种实施例中,可以认为中心120b是处于热待机状态的备用中心。尽管恶意软件控制器110在图1中示出为仅连接到中心120a和120b,但恶意软件控制器110也可以连接到更多或更少数量的中心120,或与更多或更少数量的中心120通信。
图2是与所公开的特定实施例相一致的示例性恶意软件控制器110的示意图。如图2所示,恶意软件控制器110可以包括以下部件中的一个或多个:中央处理单元(CPU)211,其被配置为执行计算机程序指令,从而执行各种过程和方法;随机存取存储器(RAM)212和只读存储器(ROM)213,其被配置为访问和存储信息和计算机程序指令;存储数据和信息的存储器214;数据库215,其存储表格、列表、或其他数据结构;I/O装置216;接口217;天线218,等等。这些部件中的每一个均是本领域已知的并且将不再进一步描述。
中心120可以是计算装置,该计算装置被配置为执行数据管理、负载管理以及对一个或多个密集分支130的工作分配。如图1所示,中心120a可以与包括密集分支130a、密集分支130b、密集分支130c、密集分支130d和密集分支130e在内的一个或多个密集分支130通信。因此,图1的示例中的活跃的中心120(即中心120a)可以被配置为执行对密集分支130a、130b、130c、130d和130e的负载管理,以及基于负载管理判断向一个或多个密集分支130a、130b、130c、130d和130e分配从恶意软件控制器110接收的恶意软件扫描请求。尽管中心120a在图1中示出为仅连接到密集分支130a、130b、130c、130d和130e,但中心120也可以连接到更多或更少数量的密集分支130,或与更多或更少数量的密集分支130通信,使得密集分支130的数量可以以增加和减少两种方式调节。
图3a是与所公开的特定实施例相一致的示例性中心120的图示。如图3a所示,中心120可以包括以下部件中的一个或多个:中央处理器(CPU)311,其配置为执行计算机程序指令,从而执行各种过程和方法;随机存取存储器(RAM)312和只读存储器(ROM)313,其被配置为访问和存储信息和计算机程序指令;存储器314,其存储信息、表格、列表或者其他数据结构;I/O装置315;接口316;天线317,等等。这些部件中的每一个均是本领域已知的,并且将不再进一步描述。
图3b是示出了与所公开的特定实施例相一致的中心120的示例性软件结构的图示。如图3b所示,中心120的示例性软件架构可以包括:网络服务器321,中心分配器322,中心应用编程接口(API)323,关系型数据库324和数据库325。
网络服务器321可以是软件程序,该软件程序被配置为作为恶意软件控制器110与中心120之间的连接以及中心120与一个或多个密集分支130之间的连接而运行。因此,网络服务器321可以被配置为在恶意软件控制器110与中心120之间以及在中心120与一个或多个密集分支130之间发送和接收包括数据和指令的消息。在一个示例性实施例中,网络服务器321可以是作为开放源码HTTP/1.1-兼容网络服务器的阿帕奇(Apache)网络服务器。
中心分配器322可以是被配置为管理一个或多个密集分支130和稀疏分支140的软件程序。中心分配器322可以向密集分支130发送恶意软件扫描请求,并且执行密集分支130和稀疏分支140的相关的负载管理和分配。此外,中心分配器322可以从密集分支130接收异步响应,以及管理密集分支130的状态和网络利用率。
中心API 323可以是被配置为支持从恶意软件控制器110接收的恶意软件扫描请求的软件程序。例如,中心API 323可以使用:JavaScript对象标记(JSON);针对人可读数据互换而设计的轻量级的基于文本的开放标准;超文本传输协议(HTTP);用于分配式、合作的超媒体信息系统的组网协议;等等。在一些实施例中,中心API 323可以包括两个服务,这两个服务被中心120用来与诸如恶意软件控制器110和密集分支130之类的外部系统进行交互。第一服务可以被配置为接受来自恶意软件控制器110的恶意软件扫描请求,并且第二业务可以被配置为接受来自密集分支130的请求,连同状态更新和扫描响应。中心API 323还可以包括响应管理器,用于启动与恶意软件控制器110的交互,从而将从密集分支130接收的扫描响应发送到恶意软件控制器110。
中心关系型数据库324可以是软件数据库程序,该软件数据库程序被配置为存储与中心120相关的数据,其例如是MySQL。MySQL是一种关系型数据库管理系统(RDBMS),其可以被配置为作为中心120上的服务器来运行,从而向包括数据库325在内的多个其他数据库提供多用户访问。
数据库325可以被配置为存储与中心120相关的数据的软件数据库程序。在一个示例性实施例中,数据库325可以是海多普(Hadoop)数据库,也称作HBase。HBase是一种开源的、分布式、版本类、面向列的数据库,其允许对大量数据的随机、实时读/写访问。在一个示例性实施例中,数据库325可以包含从密集分支130和稀疏分支140单向发送到中心120的所有链接数据。
密集分支130中的每一个均可以是被配置为执行由中心120发送的恶意软件扫描请求的计算装置。例如,每一个密集分支130均可以被配置为执行蜜罐功能、恶意软件分析和“爬行”功能。此外,密集分支130可以被配置为使用一个或多个稀疏分支140作为代理服务器,以使业务看起来好像是来自基于与稀疏分支140相关的IP地址的不同源。在一些实施例中,密集分支130与稀疏分支140可以在同一个IP地址网块中。在其他实施例中,密集分支130与稀疏分支140可以在不同的IP地址网块中。在另一些实施例中,密集分支130与稀疏分支140可以是地理上分离的。
图4a是与所公开的特定实施例相一致的示例性密集分支130的示意图。如图4a所示,密集分支130可以包括以下部件中的一个或多个:中央处理器(CPU)411,其被配置为执行计算机程序指令,从而执行各种过程和方法;随机存取存储器(RAM)412和只读存储器(ROM)413,其被配置为访问和存储信息和计算机程序指令;存储器414,其存储信息、表格、列表或者其他数据结构;I/O装置415;接口416;天线417;等等。这些部件中的每一个均是本领域已知的,并且将不再进一步描述。
图4b是示出了与所公开的特定实施例相一致的密集分支130的示例性软件结构的图示。如图4b所示,密集分支130可以包括网络服务器421、工作器422、分支API 423、恶意软件分析器424、储存库管理器425和分支关系型数据库426。
网络服务器421可以是软件程序,该软件程序被配置为用作密集分支130与中心120之间的连接以及密集分支130和稀疏分支140之间的连接。因此,网络服务器421可以被配置为在密集分支130与中心120之间以及密集分支130与稀疏分支140之间发送和接收包括数据和指令的消息。在一个示例性实施例中,网络服务器321可以是阿帕奇网络服务器。
工作器422可以是软件程序,该软件程序被配置为执行蜜罐管理,启动和管理在密集分支130上运行的一个或多个虚拟机(VM),在一个或多个VM中启动一个或多个互联网浏览器,安排所接收的恶意软件扫描请求的执行,捕获网络包,等等。蜜罐管理可以包括在所述一个或多个VM中运行的蜜罐软件应用的管理。VM可以是执行程序的计算机(如物理计算机)的软件实现。VM可以包括:系统VM,其被配置为提供支持完整的操作系统(OS)的执行的系统平台;或者过程VM,其被配置为运行诸如浏览器之类的单个程序或过程。互联网浏览器可以例如包括:微软的INTERNET EXPLORER TM 、谷歌的CHROME TM ,FIREFOX TM ,苹果公司的SAFARI TM 等。在本文描述的实施例中,在VM中运行的浏览器可以用作网络爬虫,以有条不紊的自动方式系统地浏览互联网(或万维网)。
工作器422也可以被配置为识别和提取来自所述一个或多个VM的根工具包(rootkit)数据。通常,根工具包是能够通过破坏标准操作系统功能性或其他应用来实现对计算机的优先访问、同时对管理员主动地隐藏其存在的软件。这里,根工具包数据是与恶意网站安装在所述一个或多个VM上的根工具包软件相关的数据。
此外,工作器422可以被配置为指令蜜罐监测一个或多个VM上的API调用命令,例如将文件写入到磁盘以及执行VM上的程序所必需的特定调用命令。蜜罐软件可以将系统API调用命令记录到文件上,例如记录到可扩展标记语言(XML)文件内。包含系统API调用命令的文件可以被发送至工作器422,并且工作器422可以对包含在文件中的数据进行分析。例如,使用可调的白名单(即,批准或注册的API的列表)和/或黑名单(即,已知的恶意API的列表)的系统,恶意软件分析器424可以被配置为忽略公共API调用命令,同时记录通常由途经式恶意软件发出的非公共API调用命令。
分支API 423可以是软件程序,该软件程序被配置为从中心120接收恶意软件扫描请求,并且将恶意软件扫描请求的结果发送至中心120。分支API 423还可以被配置为使恶意软件扫描请求路由通过稀疏分支140。分支API 423可以例如使用JSON、HTTP等等。
恶意软件分析器424可以包括一个或多个软件程序,所述一个或多个软件程序被配置为使用捕获的网络数据包对发送至和发送自目标URL的数据进行行为和静态分析。例如,恶意软件分析器424可以包括执行抗病毒检测的一个或多个商业和/或专有软件程序。
此外,恶意软件分析器424还可以包括JavaScript执行和仿真工具以及传输控制协议(TCP)重组和安全套接层(SSL)解密工具。JavaScript执行和仿真工具、动态分析软件工具可以处理数据包捕获(pcap)文件,从而收集TCP流并提取HTTP业务。例如,JavaScript执行和仿真工具可以从被传输的字节提取信息,以在SpiderMonkey(JavaScript引擎)和JavaScript钩二者中使用钩取技术对JavaScript去模糊。这样,JavaScript执行和仿真工具可以使用规则来检测原始流和任一个被解码(或被去模糊)的信息二者中的恶意内容。TCP重组和SSL解密分析可以允许被SSL保护的超文本传输协议(HTTP)业务被透明地重组成软件对象。软件对象可以例如包括图像、javascript、动画电影、层叠式样式表、AJAX消息等等。恶意软件分析器424还可以包括用于以与JavaScript执行和仿真工具的方式类似的方式进行其他网页内容的语法分析、执行仿真以及静态分析的工具,这些工具例如为(但不限于)ADOBE TM  FLASH TM  (.swf)文件、JAVA TM  小应用程序和程序(.jar) 以及MICROSOFT TM  SILVERLIGHT TM 数据。在一些实现方式中,恶意软件分析器424还可以包括用于重建通过捕获的网络数据包发送的各个文件和消息的系统。
另外,恶意软件分析器424可以包括网络入侵检测系统,该系统可以被配置为查看系统、计算装置等之间的原始网络业务。例如,snort(一种专有网络入侵检测系统)可以用来识别原始网络业务中的模糊化的可执行代码或可能的网站间脚本攻击,以及提供对异常检测的网络协议分析。
储存库管理器425可以包括被配置为从互联网下载抗病毒(AV)和恶意软件黑名单的一个或多个软件程序。所下载的AV和恶意程序黑名单可以是商业黑名单、专属黑名单或其任意组合。AV和恶意程序黑名单可以通过标识被拒绝进入用户、程序或网络地址的特定清单(或限定的范围)的实体而用作访问控制。
分支关系型数据库426可以是被配置为存储与密集分支130相关的数据的软件程序,其例如是MySQL。MySQL可以被配置为作为密集分支130上的服务器运行。
图5是与所公开的特定实施例相一致的示例性稀疏分支140的示意图。如图5所示,每个稀疏分支140可以包括以下部件中的一个或多个:中央处理器(CPU)511,其被配置为执行计算机程序指令,从而执行各种过程和方法;随机存取存储器(RAM)512和只读存储器(ROM)513,其被配置为访问和存储信息和计算机程序指令;存储器514,其存储信息、表格、列表或者其他数据结构;I/O装置515;接口516;天线517;等等。这些部件中的每一个均是本领域已知的,并且将不再进一步描述。
图6是示例性流程图600,示出了在根据特定实现方式中的示例性的可调节的中心-分支系统(例如,中心-分支系统100)中的恶意软件扫描请求的启动。具体地,图6示出了与本公开的示例性实现方式相一致的流程图600,在该示例性实现方式中,恶意软件控制器110向中心120(例如中心120a)发送恶意软件扫描请求,中心120继而将恶意软件扫描请求分配给密集分支130,例如密集分支130a。
如图6所示,恶意软件控制器110可以向中心120发送恶意软件扫描请求(步骤610)。恶意软件扫描请求可以包括一个或多个目标统一资源标识符(URI)、统一资源定位符(URL)和/或统一资源名称(URN)以及指令,诸如例如用于执行恶意软件扫描请求的期望操作系统和/或互联网浏览器的身份。一个或多个URI、URL和/或URN可以用来标识将被执行恶意软件扫描的网页和/或网站。恶意软件扫描请求可以被中心API 323接收,中心API 323继而可以向恶意软件控制器110发送确认消息。中心API 323还可以将所接收的恶意软件扫描请求存储在中心关系型数据库324中。
接下来,中心分配器322可以确定一个或多个密集分支130来执行所接收的恶意软件扫描请求(步骤620)。中心分配器322可以基于工作负载管理和分配标准来确定一个或多个密集分支130。工作负载管理和分配标准可以包括带宽利用率和成本的考虑,带宽利用率和成本可能受到诸如例如一天中的时间、网块中的IP地址的数量等因素的影响。
此外,中心分配器322可以基于比率限制方面的考虑来确定一个或多个密集分支130。比率限制可以理解为限制域和/或网块内的同时发生的蜜罐访问的网页的数量。比率限制可以基于一个或多个参数来执行,并且这些一个或多个参数可以对于每个域和/或网块独立地配置。一个或多个参数可以例如包括被允许同时访问给定的域和/或网块的蜜罐的数量。蜜罐的数量可以由系统管理员和/或根据域所有者和/或网块所有者的请求而任意地设定。在一个示例性实现方式中,蜜罐的数量可以设定为避免使相对较小的网络服务器主机过载,同时对于相对较大的网络服务器主机能够有效加快扫描速度。网络服务器主机的大小的确定(例如较小、较大等)可以手动地限定,通过网块查找的自动化过程来限定,或者通过其任意组合来限定,所述网块查找与已知大主机(例如GODADDY TM 、BLUEHOST TM 等)的表格相关联。
一个或多个参数还可以例如包括一天中的时间和/或一周中的日子,使得被允许访问同一个域和/或网块的并行蜜罐的数量可以基于一天中的时间和/或一周中的日子来限制。例如,在一天中的域和/或网块上出现的负载处于其最高值的时间和/或在一周中的域和/或网块上出现的负载处于其最高值的日子——统称为“峰值”时间,可以允许较少数量的并行蜜罐访问属于这些域和/或网块的网页。在一些实现方式中,可以使用由密集分支130收集的度量来动态地确定远程网络服务器主机负载,并且可以自动地控制访问域和/或网块的并行蜜罐的数量。这种度量可以例如包括传输控制协议(TCP)握手包的延迟,从而增大远程网络服务器错误响应代码率等。
中心分配器322可以从数据库325中检索一个或多个恶意软件扫描请求,并且将恶意软件扫描请求发送至与所确定的一个或多个密集分支130相关联的一个或多个分支API 423(步骤630)。分支API 423继而可以将所接收的恶意软件扫描请求存储在分支关系型数据库426中,并且向中心120发送确认消息。在一些实施例中,如果中心分配器322判断出所确定的密集分支130不可用,中心分配器322则可以配置成确定另一个密集分支130,并且将恶意软件扫描请求路由至新确定的密集分支130。
密集分支130的工作器422可以从分支关系型数据库426中检索一个或多个恶意软件扫描请求,并且在运行于密集分支130上的一个或多个VM上启动恶意软件扫描请求(步骤640)。检索到的恶意软件扫描请求可以是存储在分支关系型数据库426中的所有恶意软件扫描请求,或者是存储在分支关系型数据库426中的恶意软件扫描请求的一个子集。在一些实施例中,工作器422可以基于特定的标准来检索所述一个或多个恶意软件扫描请求。例如,工作器422可以基于包括在恶意软件扫描请求中的OS或浏览器类型从分支关系型数据库426中检索一个或多个恶意软件扫描请求。通过这种方式,工作器422可以检索到对应于在密集分支130上运行的一个或多个VM的OS或浏览器类型的一个或多个恶意软件扫描请求。
工作器422可以将恶意软件扫描请求中的目标URL提供给在密集分支130的VM中运行的浏览器,并且该浏览器可以访问目标URL(步骤650)。访问目标URL可以包括导航到目标URL和/或检索包含在目标URL的网页上的信息或数据。
如果在访问目标URL时没有检测到VM的显著改变(步骤660,否),则可以执行目标的恶意软件扫描(步骤680)。例如,密集分支130可以开始数据包捕获,并且可以利用行为记录系统启动行为分析。在一些实施例中,在恶意软件扫描期间检测到的所有恶意输出都被存储在分支关系型数据库426中。例如,如果由行为记录系统检测到任何恶意输出,则检测到的输出可以被存储在分支关系型数据库426中。在一些实现方式中,目标的恶意软件扫描可以根据在共同未决的相关美国专利申请No. 12/982,508(律师签号11569.0001-00000)中公开的恶意软件扫描和检测过程及方法来执行。
如果在访问目标URL时检测到VM的任何显著改变(步骤660,是),则工作器422可以使VM返回到清洁状态(步骤670)。VM的显著改变可以包括软件架构元件(例如网络服务器421、工作器422、分支API 423、恶意软件分析器424、储存库管理器425、分支关系型数据库426等等)之间或之中的通信丢失,VM访问的网站的数量超过预定最大数量,目标URL是恶意的等等。在VM已经返回到清洁状态之后,可以执行如前面更详细讨论的目标的恶意软件扫描(步骤680)。
一旦恶意软件扫描完成,密集分支130便可以将恶意软件扫描请求的结果发送至中心120,中心120继而可以将恶意软件扫描请求的结果发送至恶意软件控制器110(步骤690)。当中心120接收到来自密集分支130的恶意软件扫描请求的结果时,中心120可以向密集分支130发送确认消息。类似地,当恶意软件控制器110接收到来自中心120的恶意软件扫描请求的结果时,恶意软件控制器110可以向中心120发送确认消息。
如前面所讨论的,稀疏分支140可以被配置为作为一个或多个密集分支130的代理而运行。因此,前面讨论的由密集分支130执行的步骤可以路由通过稀疏分支140,从而允许稀疏分支140用作中间媒介。可以通过密集分支130的工作器422来实现路由通过稀疏分支140。在一些实施例中,可以通过恶意软件控制器110、中心12或其任意组合来指示由密集分支130的路由通过稀疏分支140。
在所公开的实施例中,能够通过IP多样性和改进的恶意软件扫描来识别试图用恶意软件感染计算装置的网络服务器。这能够通过使用在物理地定位于IP地址处的计算装置上运行的VM以及通过代理的使用来实现。
因此,意在使说明书和示例被认为仅仅是示例性的,其中本公开的真实范围和精神由所附权利要求及其等同物的全部范围指定。

Claims (24)

1.一种用于恶意软件扫描和检测的计算机执行方法,所述方法在中心计算装置中运行,所述方法包括:
从控制器计算装置接收扫描请求;
由所述中心计算装置确定用于执行所述扫描请求的一个或多个分支计算装置;
由所述中心计算装置向所确定的分支计算装置发送所述扫描请求;
从所述分支计算装置接收与所述扫描请求相关的结果;以及
将与所述扫描请求相关的结果发送到所述控制器计算装置。
2.根据权利要求1所述的计算机执行方法,包括:
在接收到所述扫描请求后向所述控制器计算装置发送确认消息。
3.根据权利要求1所述的计算机执行方法,包括:
在接收到与所述扫描请求相关的结果后向所述分支计算装置发送确认消息。
4.根据权利要求1所述的计算机执行方法,其中,确定用于执行所述扫描请求的分支计算装置包括:
基于工作负载判断来确定用于执行所述扫描请求的分支计算装置。
5.根据权利要求1所述的计算机执行方法,其中,所述扫描请求包括目标统一资源定位符(URL)。
6.根据权利要求1所述的计算机执行方法,其中,所述扫描请求是恶意软件扫描请求。
7.一种用于恶意软件的扫描和检测的中心计算设备,所述设备包括:
存储数据和指令的至少一个存储器;以及
至少一个处理器,所述至少一个处理器被配置为访问所述存储器以及执行指令,从而:
从控制器计算装置接收扫描请求;
确定用于执行所述扫描请求的分支计算装置;
将所述扫描请求发送到所确定的分支计算装置;
从所述分支计算装置接收与所述扫描请求相关的结果;以及
将与所述扫描请求相关的结果发送到所述控制器计算装置。
8.根据权利要求7所述的中心计算设备,其中,所述至少一个处理器被配置为:
在接收到所述扫描请求后向所述控制器计算装置发送确认消息。
9.根据权利要求7所述的中心计算设备,其中,所述至少一个处理器被配置为:
在接收到与所述扫描请求相关的结果后向所述分支计算装置发送确认消息。
10.根据权利要求7所述的中心计算设备,其中,当所述至少一个处理器被配置为确定用于执行所述扫描请求的分支计算装置时,所述处理器被进一步配置为:
基于工作负载判断来确定用于执行所述扫描请求的分支计算装置。
11.根据权利要求7所述的中心计算设备,其中,所述扫描请求包括目标统一资源定位符(URL)。
12.根据权利要求7所述的中心计算设备,其中,所述扫描请求是恶意软件扫描请求。
13.一种用于恶意软件扫描和检测的计算机执行方法,所述方法在分支计算装置中运行,所述方法包括:
从中心计算装置接收扫描请求;
由所述分支计算装置根据接收的扫描请求执行分析;
将分析结果存储在所述分支计算装置的数据库中;以及
将分析结果发送到所述中心计算装置。
14.根据权利要求13所述的计算机执行方法,还包括:
通过在所述分支计算装置中运行的虚拟机启动浏览器;以及
通过所述浏览器导航到由统一资源定位符(URL)标识的网站。
15.根据权利要求14所述的计算机执行方法,还包括:
根据所接收的扫描请求通过所述虚拟机执行分析。
16.根据权利要求13所述的计算机执行方法,其中,所述扫描请求包括目标统一资源定位符(URL)。
17.根据权利要求16所述的计算机执行方法,其中,根据所接收的扫描请求执行分析包括:
执行由包括在所述扫描请求中的目标URL标识的网站的恶意软件分析。
18.根据权利要求13所述的计算机执行方法,其中,所述扫描请求是恶意软件扫描请求。
19.一种用于恶意软件的扫描和检测的分支计算设备,所述设备包括:
存储数据和指令的至少一个存储器;以及
至少一个处理器,所述至少一个处理器被配置为访问所述存储器以及当执行所述指令时:
从中心计算装置接收扫描请求;
根据接收到扫描请求执行分析;
将分析结果存储在所述分支计算设备的数据库中;以及
将分析结果发送到所述中心计算装置。
20.根据权利要求19所述的分支计算设备,其中,所述至少一个处理器被配置为:
通过在所述分支计算设备中运行的虚拟机启动浏览器;以及
通过所述浏览器导航到由统一资源定位符(URL)标识的网站。
21.根据权利要求20所述的分支计算设备,其中,所述至少一个处理器被配置为:
根据所接收的扫描请求通过所述虚拟机执行分析。
22.根据权利要求19所述的分支计算设备,其中,所述扫描请求包括目标统一资源定位符(URL)。
23.根据权利要求22所述的分支计算设备,其中,当所述至少一个处理器被配置为根据所接收的扫描请求执行分析时,所述至少一个处理器被配置为:
执行与包括在所述扫描请求中的目标URL相关联的网站的恶意软件分析。
24.根据权利要求19所述的分支计算设备,其中,所述扫描请求是恶意软件扫描请求。
CN2011800687831A 2010-12-30 2011-12-27 用于恶意软件的检测和扫描的系统和方法 Pending CN103384888A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/982540 2010-12-30
US12/982,540 US10395031B2 (en) 2010-12-30 2010-12-30 Systems and methods for malware detection and scanning
PCT/US2011/067358 WO2012092252A1 (en) 2010-12-30 2011-12-27 Systems and methods for malware detection and scanning

Publications (1)

Publication Number Publication Date
CN103384888A true CN103384888A (zh) 2013-11-06

Family

ID=45509702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2011800687831A Pending CN103384888A (zh) 2010-12-30 2011-12-27 用于恶意软件的检测和扫描的系统和方法

Country Status (5)

Country Link
US (1) US10395031B2 (zh)
EP (1) EP2659415A1 (zh)
CN (1) CN103384888A (zh)
EA (1) EA201390994A1 (zh)
WO (1) WO2012092252A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104880056A (zh) * 2015-06-23 2015-09-02 湖州师范学院 基于snort的木材干燥的安全控制方法

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8844033B2 (en) * 2008-05-27 2014-09-23 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting network anomalies using a trained probabilistic model
US8260876B2 (en) * 2009-04-03 2012-09-04 Google Inc. System and method for reducing startup cost of a software application
KR101060639B1 (ko) * 2010-12-21 2011-08-31 한국인터넷진흥원 자바스크립트 난독화 강도 분석을 통한 악성 의심 웹사이트 탐지 시스템 및 그 탐지방법
US8832836B2 (en) 2010-12-30 2014-09-09 Verisign, Inc. Systems and methods for malware detection and scanning
KR101296716B1 (ko) * 2011-12-14 2013-08-20 한국인터넷진흥원 피디에프 문서형 악성코드 탐지 시스템 및 방법
IL219499B (en) 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
IL224482B (en) 2013-01-29 2018-08-30 Verint Systems Ltd System and method for keyword spotting using representative dictionary
US20140283038A1 (en) * 2013-03-15 2014-09-18 Shape Security Inc. Safe Intelligent Content Modification
US9230284B2 (en) * 2013-03-20 2016-01-05 Deloitte Llp Centrally managed and accessed system and method for performing data processing on multiple independent servers and datasets
US9563871B2 (en) 2013-04-24 2017-02-07 Mastercard International Incorporated Systems and methods for storing computer infrastructure inventory data
US9619778B2 (en) 2013-04-24 2017-04-11 Mastercard International Incorporated Systems and methods for scanning infrastructure for inventory data
US9544192B2 (en) 2013-04-24 2017-01-10 Mastercard International Incorporated Systems and methods for using metadata to search for related computer infrastructure components
IL226747B (en) 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US9491193B2 (en) * 2013-06-27 2016-11-08 Secureage Technology, Inc. System and method for antivirus protection
CN105556532A (zh) * 2013-09-27 2016-05-04 迈克菲股份有限公司 伴随数据行进的数字保护
KR101469009B1 (ko) * 2013-10-21 2014-12-05 한국전자통신연구원 스팸 그룹 추출 장치 및 그 방법
CN103714289B (zh) * 2013-12-02 2017-03-01 百度在线网络技术(北京)有限公司 一种确定移动应用的查杀结果的方法与装置
US9270647B2 (en) 2013-12-06 2016-02-23 Shape Security, Inc. Client/server security by an intermediary rendering modified in-memory objects
US8954583B1 (en) 2014-01-20 2015-02-10 Shape Security, Inc. Intercepting and supervising calls to transformed operations and objects
US10089216B2 (en) 2014-06-30 2018-10-02 Shape Security, Inc. Automatically determining whether a page of a web site is broken despite elements on the page that may change
US9003511B1 (en) 2014-07-22 2015-04-07 Shape Security, Inc. Polymorphic security policy action
IL233776B (en) 2014-07-24 2019-02-28 Verint Systems Ltd A system and method for adjusting domains
US9602543B2 (en) 2014-09-09 2017-03-21 Shape Security, Inc. Client/server polymorphism using polymorphic hooks
US9438625B1 (en) 2014-09-09 2016-09-06 Shape Security, Inc. Mitigating scripted attacks using dynamic polymorphism
US9882929B1 (en) 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US9495188B1 (en) 2014-09-30 2016-11-15 Palo Alto Networks, Inc. Synchronizing a honey network configuration to reflect a target network environment
US9716727B1 (en) 2014-09-30 2017-07-25 Palo Alto Networks, Inc. Generating a honey network configuration to emulate a target network environment
US10044675B1 (en) 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
US9860208B1 (en) 2014-09-30 2018-01-02 Palo Alto Networks, Inc. Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network
US9413774B1 (en) 2014-10-27 2016-08-09 Palo Alto Networks, Inc. Dynamic malware analysis of a URL using a browser executed in an instrumented virtual machine environment
US10560842B2 (en) 2015-01-28 2020-02-11 Verint Systems Ltd. System and method for combined network-side and off-air monitoring of wireless networks
US10033535B2 (en) 2015-03-16 2018-07-24 Verisign, Inc. Multifaceted assertion directory system
US9805194B2 (en) 2015-03-27 2017-10-31 Intel Corporation Memory scanning methods and apparatus
IL238001B (en) 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
US10454950B1 (en) * 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
IL242219B (en) 2015-10-22 2020-11-30 Verint Systems Ltd System and method for keyword searching using both static and dynamic dictionaries
IL242218B (en) 2015-10-22 2020-11-30 Verint Systems Ltd A system and method for maintaining a dynamic dictionary
IL245299B (en) 2016-04-25 2021-05-31 Verint Systems Ltd A system and method for decoding communication transmitted in a wireless local communication network
US10432656B2 (en) 2016-04-28 2019-10-01 Shevirah Inc. Method and system for assessing data security
CN106203104A (zh) * 2016-06-27 2016-12-07 北京金山安全软件有限公司 一种恶意代码查杀方法、装置及设备
US10482239B1 (en) 2016-06-30 2019-11-19 Palo Alto Networks, Inc. Rendering an object using muliple versions of an application in a single process for dynamic malware analysis
CN106254338B (zh) * 2016-07-29 2019-09-06 新华三技术有限公司 报文检测方法以及装置
KR101909268B1 (ko) * 2016-12-23 2018-10-17 한국인터넷진흥원 Rapi 기반 프로파일링 정보를 공유하기 위한 시스템 및 그 방법
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
IL252041B (en) 2017-04-30 2020-09-30 Verint Systems Ltd System and method for tracking computer application users
US10333951B1 (en) * 2017-07-31 2019-06-25 EMC IP Holding Company LLC Method and system for implementing golden container storage
MX2020005598A (es) * 2017-12-01 2020-09-25 Huawei Tech Co Ltd Provision de seguridad de datos para dispositivo de cliente.
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
RU2697954C2 (ru) * 2018-02-06 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ создания антивирусной записи
CN108712370B (zh) * 2018-04-02 2020-05-29 中国科学院信息工程研究所 一种蜜罐系统
US10776487B2 (en) 2018-07-12 2020-09-15 Saudi Arabian Oil Company Systems and methods for detecting obfuscated malware in obfuscated just-in-time (JIT) compiled code
US11038920B1 (en) 2019-03-28 2021-06-15 Rapid7, Inc. Behavior management of deception system fleets
WO2021084439A1 (en) 2019-11-03 2021-05-06 Verint Systems Ltd. System and method for identifying exchanges of encrypted communication traffic
US11265346B2 (en) 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
US11271907B2 (en) 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
US11481502B2 (en) * 2020-02-14 2022-10-25 International Business Machines Corporation Technology for adaptive software discovery scan

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080133540A1 (en) * 2006-12-01 2008-06-05 Websense, Inc. System and method of analyzing web addresses
US7519982B1 (en) * 1999-04-15 2009-04-14 Comcast Ip Holdings I, Llc Efficient delivery of interactive program guide using demand-cast
US7836502B1 (en) * 2007-07-03 2010-11-16 Trend Micro Inc. Scheduled gateway scanning arrangement and methods thereof

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6182227B1 (en) * 1998-06-22 2001-01-30 International Business Machines Corporation Lightweight authentication system and method for validating a server access request
US7363657B2 (en) * 2001-03-12 2008-04-22 Emc Corporation Using a virus checker in one file server to check for viruses in another file server
US7299219B2 (en) * 2001-05-08 2007-11-20 The Johns Hopkins University High refresh-rate retrieval of freshly published content using distributed crawling
US6944775B2 (en) * 2001-07-26 2005-09-13 Networks Associates Technology, Inc. Scanner API for executing multiple scanning engines
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7536452B1 (en) * 2003-10-08 2009-05-19 Cisco Technology, Inc. System and method for implementing traffic management based on network resources
US20070299915A1 (en) * 2004-05-02 2007-12-27 Markmonitor, Inc. Customer-based detection of online fraud
US8353028B2 (en) * 2004-06-21 2013-01-08 Ebay Inc. Render engine, and method of using the same, to verify data for access and/or publication via a computer system
WO2006060581A2 (en) 2004-11-30 2006-06-08 Sensory Networks Inc. Apparatus and method for acceleration of security applications through pre-filtering
US20060136374A1 (en) * 2004-12-17 2006-06-22 Microsoft Corporation System and method for utilizing a search engine to prevent contamination
US7822620B2 (en) 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
WO2007025279A2 (en) 2005-08-25 2007-03-01 Fortify Software, Inc. Apparatus and method for analyzing and supplementing a program to provide security
US8196205B2 (en) 2006-01-23 2012-06-05 University Of Washington Through Its Center For Commercialization Detection of spyware threats within virtual machine
US7774459B2 (en) * 2006-03-01 2010-08-10 Microsoft Corporation Honey monkey network exploration
US8554536B2 (en) 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
US7599920B1 (en) * 2006-10-12 2009-10-06 Google Inc. System and method for enabling website owners to manage crawl rate in a website indexing system
US7953868B2 (en) * 2007-01-31 2011-05-31 International Business Machines Corporation Method and system for preventing web crawling detection
US7873635B2 (en) * 2007-05-31 2011-01-18 Microsoft Corporation Search ranger system and double-funnel model for search spam analyses and browser protection
US9092823B2 (en) 2007-06-01 2015-07-28 F-Secure Oyj Internet fraud prevention
US9298417B1 (en) * 2007-07-25 2016-03-29 Emc Corporation Systems and methods for facilitating management of data
US20090070873A1 (en) 2007-09-11 2009-03-12 Yahoo! Inc. Safe web based interactions
US20100031353A1 (en) 2008-02-04 2010-02-04 Microsoft Corporation Malware Detection Using Code Analysis and Behavior Monitoring
US8244799B1 (en) * 2008-07-21 2012-08-14 Aol Inc. Client application fingerprinting based on analysis of client requests
US7894350B2 (en) * 2008-07-24 2011-02-22 Zscaler, Inc. Global network monitoring
US8286239B1 (en) * 2008-07-24 2012-10-09 Zscaler, Inc. Identifying and managing web risks
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US20110069089A1 (en) * 2009-09-23 2011-03-24 Microsoft Corporation Power management for organic light-emitting diode (oled) displays
US8407790B2 (en) 2010-02-09 2013-03-26 Webroot, Inc. Low-latency detection of scripting-language-based exploits
KR101055267B1 (ko) * 2010-03-05 2011-08-09 한국전자통신연구원 액티브엑스 컨트롤의 배포 사이트 식별 방법과 보안 취약점 검출 방법 및 면역화 방법
US8832836B2 (en) 2010-12-30 2014-09-09 Verisign, Inc. Systems and methods for malware detection and scanning

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7519982B1 (en) * 1999-04-15 2009-04-14 Comcast Ip Holdings I, Llc Efficient delivery of interactive program guide using demand-cast
US20080133540A1 (en) * 2006-12-01 2008-06-05 Websense, Inc. System and method of analyzing web addresses
US7836502B1 (en) * 2007-07-03 2010-11-16 Trend Micro Inc. Scheduled gateway scanning arrangement and methods thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104880056A (zh) * 2015-06-23 2015-09-02 湖州师范学院 基于snort的木材干燥的安全控制方法
CN104880056B (zh) * 2015-06-23 2017-12-08 湖州师范学院 基于snort的木材干燥的安全控制方法

Also Published As

Publication number Publication date
WO2012092252A1 (en) 2012-07-05
EP2659415A1 (en) 2013-11-06
US10395031B2 (en) 2019-08-27
US20120174225A1 (en) 2012-07-05
EA201390994A1 (ru) 2014-01-30

Similar Documents

Publication Publication Date Title
CN103384888A (zh) 用于恶意软件的检测和扫描的系统和方法
US12003534B2 (en) Detecting and mitigating forged authentication attacks within a domain
US11799900B2 (en) Detecting and mitigating golden ticket attacks within a domain
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
US8695027B2 (en) System and method for application security assessment
US11212305B2 (en) Web application security methods and systems
US9344446B2 (en) Systems and methods for malware detection and scanning
Tien et al. KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches
US20170116421A1 (en) Security vulnerabilities
US11681804B2 (en) System and method for automatic generation of malware detection traps
Akiyama et al. Searching structural neighborhood of malicious urls to improve blacklisting
US11647037B2 (en) Penetration tests of systems under test
CN103023905B (zh) 一种用于检测恶意链接的设备、方法及系统
US20140283078A1 (en) Scanning and filtering of hosted content
US10320817B2 (en) Systems and methods for detecting an attack on an auto-generated website by a virtual machine
US11140178B1 (en) Methods and system for client side analysis of responses for server purposes
CN117242446A (zh) 恶意指标的自动提取和分类
US20230362142A1 (en) Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing
EP3340097B1 (en) Analysis device, analysis method, and analysis program
CN103036896B (zh) 用于检测恶意链接的方法及系统
JP2017224150A (ja) 解析装置、解析方法および解析プログラム
EP3721364A1 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
US11475122B1 (en) Mitigating malicious client-side scripts
TWI761122B (zh) 網路資安威脅防護系統及相關的前攝性可疑網域示警系統
KR20240073433A (ko) 링크 특성 분석 기반의 비정상 웹 컨텐츠 탐지 방법 및 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20131106