CN105409164A - 通过使用硬件资源来检测网络业务中的矛盾的根套件检测 - Google Patents
通过使用硬件资源来检测网络业务中的矛盾的根套件检测 Download PDFInfo
- Publication number
- CN105409164A CN105409164A CN201480030983.1A CN201480030983A CN105409164A CN 105409164 A CN105409164 A CN 105409164A CN 201480030983 A CN201480030983 A CN 201480030983A CN 105409164 A CN105409164 A CN 105409164A
- Authority
- CN
- China
- Prior art keywords
- data
- monitor
- instruction
- computer system
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种允许检测试图隐藏网络业务的隐藏恶意程序的技术。通过监视在安全可信环境中的和在操作系统环境中的网络业务,然后比较监视的数据,可以检测到隐藏网络业务的企图,允许执行在计算机系统的恢复行为从而定位和移除隐藏网络业务的恶意程序的可能性。
Description
技术领域
在此描述的实施例大体涉及恶意程序(malware)检测,并且具体地涉及检测试图从反恶意软件中隐藏网络业务的恶意程序。
背景技术
根套件(Rootkit)是一种秘密类型的设计用于在通常的检测方法中隐藏某些进程或者程序的存在的恶意软件(恶意程序)。Rootkit典型地能够实现对折衷系统的持续有特权的访问。当攻击者获得根(root)或者管理员访问时,Rootkit安装可以是自动的或者激活的。获得这一访问是利用已知的弱点对系统的直接攻击的结果,或者通过获得对密码(通过破解、权限升级或者社会工程)的访问。一旦被安装,Rootkit典型地尝试隐藏入侵并且保持其自己(或者其他进程)的有特权的访问。
Rootkit检测很困难,因为Rootkit能够破坏试图找到它的软件。检测方法包括使用替代的、可信的操作系统、基于行为的方法、签名扫描、差别扫描以及存储器转储分析。移除可以是非常复杂的或者在实践上不可能的,尤其是在Rootkit驻留在内核中的情况下。重新安装操作系统可能是唯一针对这一问题的有用的方法。当处理固件Rootkit时,移除可能需要硬件替换或者专门装置。
现代Rootkit不必提升访问,但是通常被用于通过增加隐藏能力来产生其他的不能够检测的软件有效负荷。由于它们携带的有效负荷是恶意的,所以大部分Rootkit被分类为恶意程序。例如,有效负荷可能会悄悄偷走用户密码、信用卡信息、计算资源,或者执行其他未授权的行为。极少数量的Rootkit被其用户认为有用的应用程序:例如,Rootkit可能掩盖CD-ROM-仿真驱动器,允许视频游戏用户来战胜需要将原始安装介质插入物理光驱动器中从而验证软件是正当购买的反盗版措施。
Rootkit可以在计算机环境的不同的特权级别或者模式中运行。用户模式Rootkit在与多数其他的用户应用程序相同的模式下运行,而不是低层系统进程。它们具有很多可能的安装向量从而拦截和修改应用编程接口(API)的标准行为。一些将动态链接库(例如.DLL文件、.dylib文件、.so文件或者.shlib文件)注入其他进程,并且因此能够在其中执行任何目标进程从而欺骗它。其他具有充足特权的仅仅覆盖目标应用的存储器。
内核模式Rootkit(零环)和/或驻留在虚拟层(有时被称为环-1)上的Rootkit通过增加代码或者替换核心操作系统部分以最高的操作系统特权来运行,核心操作系统包括内核和相关的装置驱动器。多数操作系统支持内核模式装置驱动器,其以与操作系统自身相同的特权来执行。如此,很多内核模式Rootkit被发展为装置驱动器或者可加载模块,例如可加载内核模块或者装置驱动器。这一类Rootkit具有不受限制的安全访问。内核Rootkit可能非常难被检测和移除,由于它们以与操作系统自身相同的安全等级来运行,并且因此能够拦截或者破坏多数可信的操作系统操作并且因此以类似秘密的方式将它们自己“隐藏”。隐藏它们在系统中的存在的Rootkit和其他恶意程序很难被在受感染的操作环境的范围内检测和清除。
附图说明
图1是示出了根据一个实施例的具有隐藏的网络业务的计算机网络的框图。
图2是示出了根据一个实施例的在以安全环境和不安全环境监视的网络业务之间的差别的图表。
图3是示出了根据一个实施例的用于检测Rootkit的计算机系统的框图。
图4是示出了根据一个实施例的用于检测恶意程序的技术的流程图。
图5是示出了根据另一个实施例的用于检测恶意程序的技术的流程图。
图6是示出了根据再一个实施例的用于检测恶意程序的技术的流程图。
具体实施方式
在下面的描述中,出于解释的目的,阐述了很多特定的细节以用于提供对本发明的透彻的理解。但是,很明显,对于本领域技术人员来说没有这些特定的细节也可能实现本发明。在其他例子中,以框图的形式示出了结构和装置从而避免混淆本发明。对没有下标或者后缀的数字的参考被理解为参考了所有对应于该参考数字的下标和后缀的例子。此外,在本公开中使用的语言已经被选择主要为了易读性和指导目的,并且可能没有被选择来描绘或者限制发明主题,而采取必要的权利要求来确定这样的发明主题。在说明书中对“一个实施例”或者“实施例”的参考意味着结合该实施例描述的特定的特征、结构,或者特性包括在本发明的至少一个实施例中,并且多次对“一个实施例”或者“实施例”的参考不应当被理解为必须全部参考相同的实施例。
在此描述的实施例是例子并且是为了示意性的目的。本领域技术人员可以识别到能够使用用于实现公开的主题的替代技术。示例性实施例的元件可能被设置在不同的配置中或者与不同示例性实施例的元件组合。例如,框和流程的执行的顺序可以改变。这些流程图的一些框可以被改变、省略或者组合并且如期望地可以增加其他框。
如在此使用的,术语“计算机系统”可以指代单个计算机或者多个在一起工作的计算机来执行在此描述为在计算机系统上或者被其执行的功能。
逐渐地,对商业、政府机构以及其他的网络攻击都是隐藏和持续的。结果,检测隐藏通信的能力变得对能够处理对知识产权和个人信息的偷窃越来越重要。
用于掩盖一个人的轨迹的主要的因素包括从操作系统中的软件驻留隐藏。通常避免检测的方法是使用能够从例如反病毒软件和基于主机的入侵检测中隐藏行为的恶意程序。当前的威胁更关注于隐藏在操作系统中(Rootkit和Bootkit)而遮挡网络传输是自然的下一步,因此检测恶意程序通信正变得越来越有意义和重要。Bootkit(在操作系统在boot进程阶段初始化之前激活的Rootkit)可以控制操作系统与网络硬件的交互。它们也可以使用网络堆栈,典型的是互联网协议(IP)堆栈。这可能在不能够看到恶意的网络业务的操作系统下(包括入侵检测或者其他安全软件)呈现操作系统和软件操作。Rootkit代码还能够从固件激活,该固件会使得其很难检测并且极其难被移除。
市场上有多种使用不同方法的Rootkit检测程序。比较可信的和潜在感染的信息的方法也是公知的并且被使用在很多反Rootkit工具中,例如通过Russinovich的RootkitRevealer的基于差别的检测,其能够检测SonyDRMRootkit。其他的例子是F-Secure的Blacklight和McAfee的RootkitDetective,所有这些都将差别观察用作主要的检测方法之一。但是,现有的反Rootkit方法没有考虑网络业务,并且隐藏网络业务的Rootkit或者Bootkit使用完全基于软件的基于差别的检测来检测如果不是不可能的话则将会是非常困难的。
识别检测隐藏的网络业务的值以及检测这一业务的问题产生了下面描述的方案。下面是在隐藏、持续威胁的情境中示出了这一发明的重要性的一些例子。
考虑到通过无论什么方法加载的恶意程序(例如,在网站中获得的)。该恶意程序设计来收集信息和将收集的信息周期性地泄露给外部实体。由于入侵监测系统,其可能是基于主机或者基于网络的,能够将该行为标记为可疑的,恶意程序设计者试图阻止入侵检测代理来检测该泄露。为了避免基于网络的日志记录和入侵检测系统,恶意程序可被设计来仅当没有代理被使用或者当连接到已知的私人IP地址(例如192.168.X.X)时才发送消息。即使外部实体是当前不知道的并且没有被入侵检测系统设置黑名单为恶意的,外部实体可能此后变为已知的。为了保持隐藏,恶意程序设计者可能试图使用Rootkit或者Bootkit来保持用于与通过基于主机的入侵检测系统而没有被检测到的外部实体的通信的网络业务。这产生了在被真实发送和接收的与被操作系统环境记录为被发送和接收的之间的网络记录之间的矛盾,因此限制基于主机的入侵监测系统所检测的。该突破口提供了解决隐藏的网络业务问题的方法的机会。
在另一个例子中,隐名代理时常偶然发现指令和控制(C&C)系统。该系统可变成已知的C&C系统并且检测与C&C系统的通信可以分发恶意程序的存在。恶意程序要做的相应的事情就是保持与隐藏的C&C系统的该接触。但是这产生了在真实的网络业务和网络业务监视器在操作系统环境中可以检测到的网络业务之间的矛盾,并且提供了另一个方法的机会。
在此描述的方法的目的是捕获期望试图被隐藏的网络业务。这些都是通常对于尝试检测很重要的事情,由于隐藏的事情通常具有隐藏的理由。通过使用可信的环境,典型地构建在计算机系统的硬件内,来监视网络业务,以及使用在操作系统环境中的软件和比较网络业务记录,隐藏的网络业务可以被检测而无须使用外部网络监视器。将在可信环境中产生的网络业务记录与在操作系统环境中产生的网络记录比较,差别通常表示存在隐藏的网络业务。
这一方法的组分可包括基于操作系统的软件,例如基于主机的入侵检测系统、硬件监视器以及比较设备。此外,一旦发生检测,系统能够根据通过比较设备产生的报警来采取补救动作。下面将会详细描述这些组分。
现有的反Rootkit方法不能执行网络业务的差别化观察,并且现有的检测技术不能使用安全环境授权的数据。
图1是示出了可以通过下面描述的技术检测到的网络业务的框图。在这一例子中,计算机110通过网络120与计算机130、140和150通信,而在计算机110和计算机130之间的业务被安装在计算机110上的Rootkit或者Bootkit隐藏,如通过连接它们的虚线所示。与计算机110、120、130、140和150的每一个相关的IP地址是任意示例性的IP地址,以便于用于图2的表格。现有的反恶意程序基于主机的入侵检测系统,即使它们正在检查网络业务,也不能够检测到在计算机110和计算机130之间隐藏的通信。尽管如图1中所示,计算机110是膝上型计算机而计算机130、140和150是服务器计算机,任意类型的网络连接的或者可连接的计算机或者基于处理器的系统,包括嵌入到移动装置或者非计算设备中的系统,可以产生网络业务,它们中的一些被恶意程序隐藏。任意这种提供可信执行环境的装置可能实现下面描述的技术。网络120可以是任意类型的网络,包括局域网和广域网,交换和非交换,以及点对点通信,使用网络业务的有线或者无线传输。尽管图1为了清楚而示出了单个网络120,网络120可以是并且典型地实现为多个互连的网络,例如互联网,其中的一些可以是私人网络而其中的一些可以是公共网络。
转到图2,两个表格200和250示出了在安全环境所能够看到的用作计算机110的网络业务和基于主机的入侵监测系统所能看见的网络业务之间的差别。表格200和250的内容是示意性的并且仅仅是通过举例的方式。在表格200中,行210表示在计算机110(通过其示例性的IP地址10.1.2.4来标识)和计算机130(通过其示例性的IP地址10.234.23.14)之间的网络业务。类似地,行220表示在计算机110和计算机140(通过其示例性的IP地址10.4.23.12来标识)之间以及在计算机110和计算机150(通过其示例性的IP地址10.9.65.3来标识)之间的网络业务。
如在图2的表格的行210中所示,计算机110已经从计算机110上的端口23452向计算机130上的端口911给计算机130发送了3个包。使用协议17(用户数据报协议(UDP))发送该包并且其携带623字节数据。计算机130已经从计算机130上的端口911向端口23542向计算机110发送了携带7238字节数据的8个UDP包。
如在图2的表格的行220中所示,计算机110已经从计算机110的端口23453向计算机140的端口8723发送了携带79字节数据的1个内部网关协议(IGP)(协议9)包。类似地,计算机已经从计算机110的端口23453向计算机150的端口8823发送了1携带187字节数据的1个IGP包。
由于这一网络业务被安全环境监视和记录,行210中示出的网络业务没有从安全环境中隐藏。但是,如在表格250中所示,该业务被隐藏到也可以监视和记录网络业务的基于主机的入侵检测系统中。
如在表格250中所示,行260与表格220中的行220一致;但是,不存在与图200的行210对应的行,因为在计算机110中的恶意程序将网络业务从获得表格250中的数据的基于主机的入侵检测系统中隐藏。
这一差别可用于允许检测恶意程序。如果没有隐藏网络业务的恶意程序,则对于无论什么原因该恶意程序认为这一隐藏都是合理的,表格200和250应当是一致的。因此,差别的存在表示恶意程序存在于计算机110上。尽管差别不表示真实的恶意程序,而是其隐藏了某些网络业务,但是对隐藏网络业务的恶意程序的存在的知晓是解决该问题并且移除恶意程序的第一步。
包括在表格200和250中的格式和数据是示意性的并且仅仅是举例的方式,照原样通过这些表格示出的网络业务。任何希望的技术能够用于监视和记录网络业务。尽管在本公开中使用的例子是基于IP协议网络业务的,在此描述的技术可以被用于任意类型的网络业务而不考虑协议。
一种广泛用于收集和上报IP业务信息的技术是NetFlow协议,由CiscoSystem首先研发,最新公布的版本为RFC3954,并且被国际互联网工程任务组作为IP流信息流传输端口(IPFIX)协议的标准。在RFC5101、5102和5103中详细描述了IPFIX。基本上,流或者网络流是在观察期内观察到的共有很多属性的任意数量的包,例如,相同的源、相同的目的地以及相同的IP协议。这些包能够通过计量处理被聚合到流记录或者消息中,随后输出器进程发送聚合消息给收集器。该收集器可能是在与计量进程和输出器不同的计算机上。图2中的抽样数据是以简化的格式示出,其仅仅示出了对于恶意程序检测技术有用的特定关键信息字段。在此描述的技术的真实实现可能使用任意期望的格式和存储技术来记录流信息,并且可能包括其他信息,例如时间戳或者任意其他在NetFlow或者IPFIX协议中定义的字段,或者任意其他实施者期望的字段的组合。
图3是示出了可用于实现一些或者全部在此描述的技术的计算机系统300的框图。系统单元310提供了计算机系统300的部件可安装或者以其他方式设置的位置。该系统单元310可以制造为主板,其上安装了各种芯片,提供任意在部件之间的电连接以及贯穿系统单元310和在系统单元310之外的信号和配电,如所期望的。例如,计算机系统300可能包括输出装置,例如显示器395,其提供了显示报警或者其他表示反恶意程序系统通过检测网络业务已经检测到恶意程序的可能性的指示的途径。
系统单元310的各个部件可包括一个或者多个处理器320,典型地每一个安装在安装座(图3中未示出)上用于提供在处理器320和计算机300的其他部件之间电连接的单个处理芯片。尽管图3中示出了单个处理器320,但是可以使用任意期望数量的处理器,其中每一个是多核处理器。多个处理器芯片当前可从市场获得,并且任意期望的处理器芯片或者芯片组可以被使用。系统单元310可以被编程从而执行根据本公开的方法,图4-6示出了该方法的例子。
处理器320连接到存储器330以便于处理器320使用,典型地使用可能是总线或者任意其他类型的互连的信号传输链路,包括点对点互连。存储器330可包括一个或者多个存储器模块并且包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可编程读写存储器以及固态存储器。处理器320可能还包括内部存储器,例如高速缓冲存储器。在处理器320上运行的操作系统通常控制计算机系统300的操作,为服务、应用以及其他软件在计算机300上执行而提供操作系统环境。
如在图3中所示,处理器320还连接到给计算机系统300提供I/O、定时器以及其他有用的能力的I/O子系统340。例如,I/O子系统340可能给系统单元310提供用于连接任意显示器395和可选输入装置390的I/O端口,例如键盘、鼠标、触摸屏。该端口可能是一个或者多个用于类似于显示器395的部件的专用端口或者例如用于连接键盘或者鼠标390的通用串行总线(USB)端口的多目的端口。该I/O子系统340还可能是与例如存储器装置380的存储器装置通信的接口,其通过音频接口360连接到音频装置并且通过网络接口370连接到网络120。存储器装置380表示任意形式的非易失性存储器,包括但不限于,所有光和磁形式的,包括固态存储器单元,包括可移除介质,以及可能包括在系统单元310中或者系统单元310之外。存储器380可能是用于存储控制计算机300的软件、计算机300使用的数据(包括网络流数据)或者它们两者的程序存储装置。尽管图3中为了清楚只示出了单个存储器装置380,但可以如期望的提供任意数量的存储器装置380,根据在PCT中的接口使用性。I/O子系统340可以实现为一个或者多个在系统单元310中的芯片。在一些实施例中,存储器330可能连接到I/O子系统340而不是处理器320。
此外,一些实施例可能将I/O子系统340连接到提供用于存储密钥的加密处理器来保护信息的可信平台模块350。实施例可能将I/O子系统340的功能实现为系统310中的一个或者多个单独的芯片。
如在图3中所示,I/O子系统340提供了用于安全可信环境(TE)345的硬件资源。该TE345提供了不通过控制计算机300的操作系统控制的安全环境。在另一个实施例中,TE345可能是I/O子系统之外的如独立的芯片组,或者被合并到处理器320中,例如限制TE功能的独立的核。TE345包括允许执行在此描述的在不能够被恶意程序感染的可信环境中的网络业务监视技术的安全环境侧的安全处理功能,即使该恶意程序在处理器320上作为Rootkit或者Bootkit运行。典型地,提供TE345的供应商使用专有的或者加密技术来确保对在TE345中所能执行的功能的控制,阻止任意一个的执行除非非常严格检查的可信程序在TE345中执行。专用的接口被提供以允许在处理器320上运行的软件请求TE345来执行期望的功能,例如初始化保护的硬件网络业务监视或者将数据从TE345提供给处理器320以便于分析。该TE345可能使用其自己的内部存储器或者使用存储器330的一部分以用于数据和固件的存储。可替代地,在计算机300供电后,固件形式的用于在TE345中执行的指令可能从非易失性存储装置345(例如闪存)加载,并且随后被加载到存储器330的一部分中以便于通过TE345执行。在一些实施例中,TE345可能如期望那样被禁用和启用。这些指令可能使得TE345来执行网络监视或者其他在此未描述的功能。该网络监视固件可以通过安全环境供应商提供或者可能通过入侵检测系统供应商提供并且经过安全环境供应商的允许而作为固件存储,与操作系统环境入侵检测软件的规定一起。可能用于这些技术的可信环境的例子是通过Intel公司提供的在某些芯片组中的管理引擎。尽管通常在此以术语基于硬件的TE345来描述,安全环境可以实现在硬件、固件或者软件,或者它们的任意组合,如期望的。
该计算机系统300可能是任意时间的计算装置,也就是,例如,智能电话、智能平板电脑、个人数字助理(PDA)、移动互联网装置(MID)、可转换平板电脑、笔记本计算机、桌上计算机、服务器或者智能电视。该显示器395,如果存在,可能是任意时间的用于给用户呈现界面的装置,也就是,例如,触摸屏或者液晶显示器。图3中所示的单元是示意性的并且仅仅是通过举例的方式,图3中所示的单元可以被组合或者分割为多个单元,如期望的。其他单元,例如定位逻辑,例如全球定位系统收发器,并且也可以提供用于使用也就是,例如,IEEE802.11、IEEE802.16、WiMax等等标准的执行移动通信的逻辑电路,如期望的。
图4-6是示出了混合操作系统和安全环境网络业务监视技术的三个变形实施例。在图4的框410中,TE345监视网络业务,收集如在图2的表格200中示出的流数据。监视和收集网络业务数据的技术是公知的并且本领域技术人员无需对在TE345中实现网络监视进行额外的描述。收集的网络业务数据被按照NetFlow、IPFIX或者任意其他在此描述的网络业务监视协议而存储。收集的网络业务数据被存储在存储器330中,在存储器装置380上,或者系统单元310上或者之外的其他地方,包括从计算机300传输到外部装置。
在框420,操作系统环境入侵监测系统或者其他用于监视网络业务的软件可能收集类似的网络业务数据。该软件典型地使用与TE345所使用的相同的格式和协议,以便于方便比较这两个数据组,但是如果期望的话,可能使用与在TE345中使用的不同的收集和存储技术。由于采用TE345业务收集,本领域技术人员无需额外描述用于实现操作系统环境网络业务监视和数据收集的网络监视技术,该技术在本领域中是广泛公知的。尽管恶意程序可能将数据从操作系统环境监视中隐藏,但是该隐藏可以在框430中被检测,其中来自可信的和操作系统环境中的两个监视的数据被比较。
入侵检测系统和TE345都持续或者在指定的周期内监视网络业务。如果不是持续地监视,以预定时间周期来周期性地或者其他的来监视网络业务,根据要求这样做的请求或者直到已经记录了预订数量的网络业务。类似地,以多种方式执行比较,例如周期性地,根据请求,或者根据填充无论任何分配用于存储监视的网络业务信息的空间。
数据的差别比较在本领域中是公知的,并且对于本领域技术人员是无需在此进一步进行描述的。在当前的情况下,比较是寻找出现在可信环境数据中但是从操作系统环境数据中丢失的网络业务数据。在一些情况下,替代简单隐藏或者过滤与恶意程序位置相关的网络业务,恶意程序可能修改网络业务使得其更不可疑。该恶意程序可能根据情况修改源或者目的信息,以其他无害的信息替代正确的源或者目的地地址。恶意程序还可能修改端口编号或者协议类型信息。在这一方案中,来自可信环境监视的对应数据将会(或者将不同于)从操作系统环境监视的数据中丢失,并且操作系统环境监视的数据将会从可信环境数据中丢失(或者将与其不同)。如果监视的数据包括时间戳,该比较能够检测在操作系统环境中的数据的改变。在一个实施例中,对两个数据组的简单的比较能够满足指示恶意程序的存在,并且详细的比较会被留给后续的分析。在任意事件中,该比较不仅仅会检测恶意程序的存在,而且检测与计算机110以隐藏的通信进行通信的位置的标识(在图1的例子中,计算机130)。
比较的实现可能为入侵监测系统提供请求TE345来将在安全环境中收集的监视数据发送给在操作系统环境中运行的入侵检测系统。可替代地,TE345可能将第二监视数据发送到在操作系统环境中的入侵监视系统而无须接收这一请求;例如,TE345可能周期性地发送用于比较的第二监视数据。
在框440,如果可信环境数据不同于操作系统环境数据,则该差别可能指示恶意程序的存在。在框450可产生报警。该报警可以是在可信环境或者操作系统环境中产生的,并且可采用任意期望的形式,例如显示在计算机110上的消息,发送到外部设备(例如通过网络)上的报警消息,或者从可信环境传输到基于主机的入侵检测系统的报警。尽管在此被称为消息,但是内容或者传输技术可以是任意现有的或者期望的技术。在一些实施例中,例如其中框430的比较简单检测在监视的数据中的差别而没有进一步的分析,报警可能伴有将两个数据组传输到分析设备,其可位于计算机110或者其他上。如果在计算机110上,则分析设备可能在TE345或者操作系统环境中。后者使得处理冒着其他可能的恶意程序的风险,但是可能比在TE345中更容易实现。分析设备可能随后采取对差别的进一步分析,以及对在可信环境数据中指示的恶意程序位置的可能的识别。
分析设备可能同步(实时或者非实时)或者不同步地(例如,基于时间表或者周期性地)接收和比较两个监视数据组,或者任意这两个的组合。
在一些实施例中,在框460中,该报警可能触发一个响应,引起将要采取以响应于检测恶意程序存在的行为。该恢复响应可能采取任意期望的形式,包括试图使用其他的技术识别恶意程序的特征,试图通过移除恶意程序来恢复计算机100,隔离计算机100,或者试图采取行为来针对在隐藏的业务中标识的外部位置,例如计算机130。这些恢复技术的特征在此不做描述,除了计算机100上,在外部系统上,或者在它们两者上采取行为。采取对该报警的响应的实施例中,分析设备可能同时进行分析和采取该行为,或者分析设备可能仅执行分析而将响应行为留给其他设备进行,该设备可能位于与分析设备不同的位置。这一响应于报警而采取的行为还可包括与TE345的通信和TE345的行为。
图5是示出了图4的技术的变形实施例的流程图。框510和520对应于图4的框410和420。在这一变形中,如在框530中所示,操作系统环境软件将其监视和收集的网络业务数据输出给可信环境以便于在框540中通过在可信和安全环境中运行的安全程序来与可信环境收集的网络业务数据比较。这一变形将阻止恶意程序试图通过操纵在操作系统环境中运行的比较软件来绕过检测。如采用图4的变形,在框550中,如果比较指示数据是相同的,则该比较没有基于网络业务指示恶意程序的存在。但是,如果监视的网络业务数据是不同的,则可能存在恶意程序。在这一变形中,在框560中,排除列表被参考来排除由于一些原因而可能出现在隐藏的网络业务中的已知的非恶意程序的位置或者其他的已知的并不指示恶意程序的数据组之间的矛盾。尽管示出的是排除在对可信的和操作系统环境数据组之间的比较之后的恶意程序的位置信息,但是,变形例中可能排除在排除列表中先于比较两个数据组的数据。
尽管在此设计为表格,但是排除列表的形式不是问题,而可以使用任意期望的用于从比较或者比较结果中排除网络业务的技术。例如,排除列表可能包括用于排除网络业务的规则。
在图5的变形中,可能通过TE345的固件来产生来自于对可信数据和不可信操作系统环境数据的比较结果的报警。在其他变形中,如上所述,可能通过操作系统环境或者外部设备来产生报警。
图6是上述技术的另一个变形的流程图。在这一变形中,如在图4和5中所示的变形,在框610和620中,在TE345和操作系统环境中都监视网络业务。在这一变形中,替代执行在计算机110上的比较,在框630中,来自于TE345和操作系统环境的监视数据都被传输给外部设备。在框640中,外部设备可比较网络业务数据。如果框650,如果该网络业务数据与来自两个环境的相同,则没有检测到感染网络业务的恶意程序。如果数据组不相同,在框660中,排除列表可被用于排除已知为合法的差别。如果差别保持,则可选地在框670中,计算机110可能被隔离(例如通过断开其全部网络通信),从而允许计算机的进一步分析来尝试定位和移除感染网络业务监视的恶意程序。
通过将由安全环境建立的网络业务的可信记录与在操作系统环境中建立的网络业务的潜在的恶意程序损坏的记录进行比较这一简单的方法,可以获得允许恶意程序的检测的有用的信息,例如将恶意程序相关的网络业务从运行在操作系统环境中的入侵检测系统中隐藏的Bootkit或者Rootkit。该比较可能是同步的或者不同步的,并且可能包括将数据发送到外部设备以便于分析。虽然没有安全技术适合于防止或者甚至检测所有安全问题,这一技术是处理采用运行在操作系统环境中的仅软件工具不可信的持续的隐藏的恶意程序的有效工具。
以下的例子是关于进一步实施例的。
例子1是一种其上存储了指令的非暂时性计算机可读介质,该指令包括当被执行时使得计算机系统进行以下操作的指令:监视通过计算机系统的操作系统控制的环境中的计算机系统的网络业务,产生第一监视数据;监视在不通过操作系统控制的安全环境中的计算机系统的网络业务,产生第二监视数据;比较第一监视数据和第二监视数据;以及指示是否第一监视数据与第二监视数据相同。
例子2包括例子1的主题,其中当被执行时使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:将第一监视数据从通过操作系统控制的环境发送到安全环境;以及在安全环境中比较第一监视数据和第二监视数据。
例子3包括例子1的主题,其中当被执行时使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:将第二监视数据从安全环境发送到通过操作系统控制的环境中;以及在通过操作系统控制的环境中比较第一监视数据和第二监视数据。
例子4包括例子1的主题,其中当被执行时使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:将第一监视数据和第二监视数据发送到外部设备;以及在外部设备中比较第一监视数据和第二监视数据。
例子5包括例子1-4的主题,其中存储在其上的指令包括当被执行时使得计算机系统进行如下操作的指令:
产生指示计算机系统上存在恶意程序的报警。
例子6包括例子1-4的主题,其中当被执行时使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:
通过排除列表来限制比较。
例子7包括例子1的主题,其中存储在其上的指令还包括当被执行时使得计算机系统产生在操作系统环境或者安全环境中的恶意程序报警的指令。
例子8包括例子7的主题,当被执行时使得计算机系统产生在操作系统环境或者安全环境中的恶意程序报警的指令包括通过网络发送恶意程序报警的指令。
例子9包括例子1的主题,其中存储在其上的指令还包括当被执行时使得计算机系统隔离该计算机系统的指令。
例子10是一种检测恶意程序的方法,包括:监视通过计算机系统的操作系统控制的环境中的计算机系统的网络业务,产生第一监视数据;监视在不通过操作系统控制的安全环境中的计算机系统的网络业务,产生第二监视数据;比较第一监视数据和第二监视数据;以及如果第一监视数据与第二监视数据不匹配,则指示存在恶意程序。
例子11包括例子10的主题,其中监视通过计算机系统的操作系统控制的环境中的计算机系统的网络业务包括:
监视在通过在操作系统控制下执行的入侵检测系统中的网络业务。
例子12包括例子10的主题,还包括:当计算机系统上电时加载在安全环境中执行的固件。例子13包括例子10-12的任意一个主题,其中比较第一监视数据和第二监视数据包括:将第一监视数据发送到安全环境;以及在安全环境中比较第一监视数据和第二监视数据。
例子14包括例子10-12的任意一个的主题,还包括:响应于存在恶意程序的指示而隔离计算机系统。
例子15包括例子10-12的主题,其中比较第一监视数据和第二监视数据包括:将第二监视数据发送到在操作系统控制下执行的入侵检测系统中;以及通过入侵检测系统比较第一监视数据和第二监视数据。
例子16包括例子10-12的主题,其中比较第一监视数据和第二监视数据包括:将第一监视数据从安全环境发送到外部设备以便与第二监视数据比较;以及将第二监视数据从入侵检测系统发送到外部设备以便与第一监视数据比较。
例子17包括例子16的主题,其中指示存在恶意程序包括:接收通过外部设备产生的报警。
例子18包括例子10的主题,其中指示存在恶意程序包括:显示指示存在恶意程序的报警。
例子19包括例子10的主题,其中第一监视数据和第二监视数据包括网络流数据。
例子20是一种计算机系统,包括:处理器;包括指令的操作系统,当通过处理器执行该指令时,控制处理器并且提供操作系统环境以便于其他软件在处理器上执行;包括指令的入侵检测软件,当通过处理器在操作系统环境中执行该指令时,使得处理器:将计算机系统的网络业务记录为第一监视数据;以及配置为将计算机系统的网络业务记录为第二监视数据的安全硬件可信环境,其中安全硬件可信环境是操作系统环境之外的;其中计算机系统被配置为:比较第一监视数据和第二监视数据;以及如果第一监视数据与第二监视数据不相同,则产生报警。
例子21包括例子20的主题,其中第一监视数据和第二监视数据包括网络流数据。
例子22包括例子20的主题,其中入侵检测系统还包括指令,当其被处理器在操作系统环境中执行时使得处理器:从安全环境中请求第二监视数据;以及通过在操作系统环境中的入侵检测系统比较第一监视数据和第二监视数据。
例子23包括例子20的主题,其中入侵检测软件被配置为使得进程持续地记录网络业务。
例子24包括例子20的主题,其中计算机系统被配置为周期性地比较第一监视数据和第二监视数据。
例子25是一种计算机系统,包括:用于执行例子10-19的任意一个方法的装置。
例子26是一种计算机系统,包括:处理器;包括指令的操作系统,当通过处理器执行该指令时,控制处理器并且提供操作系统环境以便于其他软件在处理器上执行;安全可信环境;存储器,连接到处理器和安全可信环境,其上存储了指令,当执行该指令时使得计算机系统:监视通过计算机系统的操作系统控制的环境中的计算机系统的网络业务,产生第一监视数据;监视在不通过操作系统控制的安全环境中的计算机系统的网络业务,产生第二监视数据;比较第一监视数据和第二监视数据;以及指示是否第一监视数据与第二监视数据相同。
例子27包括例子26的主题,其中当被执行时使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:将第一监视数据从通过操作系统控制的环境发送到安全环境;以及在安全环境中比较第一监视数据和第二监视数据。
例子28包括例子26的主题,其中当被执行使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:将第二监视数据从安全环境发送到通过操作系统控制的环境中;以及在通过操作系统控制的环境中比较第一监视数据和第二监视数据。
例子29包括例子26的主题,其中当被执行使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:将第一监视数据和第二监视数据发送到外部设备;以及在外部设备中比较第一监视数据和第二监视数据。
例子30包括例子26-29的任意一个的主题,其中该指令还包括当被执行时使得计算机系统进行如下操作的指令:产生指示计算机系统上存在恶意程序的报警。
例子31包括例子26-29的主题,其中当被执行时使得计算机系统比较第一监视数据和第二监视数据的指令包括当被执行时使得计算机系统进行如下操作的指令:通过排除列表来限制比较。
例子32包括例子26的主题,其中该指令还包括当被执行时使得计算机系统产生在操作系统环境或者安全环境中的恶意程序报警的指令。
例子33包括例子32的主题,其中当被执行时使得计算机系统产生在操作系统环境或者安全环境中的恶意程序报警的指令包括通过网络发送恶意程序报警的指令。
例子34包括例子26的主题,其中该指令还包括当被执行时使得计算机系统隔离该计算机系统的指令。
上面的描述仅仅是示意性的,而不是限制性的。例如,上述实施例可能被相互组合使用。通过阅读上述描述,很多其他的实施例对于本领域技术人员来说也是清楚的。本发明的范围因此通过参考附加的权利要求来确定,并且包括这些要求的权利要求的等同物的全部范围。
Claims (25)
1.一种其上存储了指令的非暂时性计算机可读介质,所述指令包括当被执行时使得计算机系统进行以下操作的指令:
监视通过所述计算机系统的操作系统控制的环境中的所述计算机系统的网络业务,产生第一监视数据;
监视不通过所述操作系统控制的安全环境中的所述计算机系统的网络业务,产生第二监视数据;
比较所述第一监视数据和所述第二监视数据;以及
指示所述第一监视数据与所述第二监视数据是否相同。
2.根据权利要求1所述的非暂时性计算机可读介质,其中当被执行时使得所述计算机系统比较所述第一监视数据和所述第二监视数据的指令包括当被执行时使得所述计算机系统进行以下操作的指令:
将所述第一监视数据从通过所述操作系统控制的环境发送到所述安全环境;以及
在所述安全环境中比较所述第一监视数据和所述第二监视数据。
3.根据权利要求1所述的非暂时性计算机可读介质,其中当被执行时使得所述计算机系统比较所述第一监视数据和所述第二监视数据的指令包括当被执行时使得所述计算机系统进行以下操作的指令:
将所述第二监视数据从所述安全环境发送到通过所述操作系统控制的环境中;以及
在通过所述操作系统控制的环境中比较所述第一监视数据和所述第二监视数据。
4.根据权利要求1所述的非暂时性计算机可读介质,其中当被执行时使得所述计算机系统比较所述第一监视数据和所述第二监视数据的指令包括当被执行时使得所述计算机系统进行以下操作的指令:
将所述第一监视数据和所述第二监视数据发送到外部设备;以及
在所述外部设备中比较所述第一监视数据和所述第二监视数据。
5.根据权利要求1-4所述的非暂时性计算机可读介质,其中存储在其上的指令还包括当被执行时使得所述计算机系统进行以下操作的指令:
产生指示所述计算机系统上存在恶意程序的报警。
6.根据权利要求1-4所述的非暂时性计算机可读介质,其中当被执行时使得所述计算机系统比较所述第一监视数据和所述第二监视数据的指令包括当被执行时使得所述计算机系统进行以下操作的指令:
通过排除列表来限制所述比较。
7.根据权利要求1所述的非暂时性计算机可读介质,其中存储在其上的指令还包括当被执行时使得所述计算机系统产生在通过所述操作系统控制的环境或者所述安全环境中的恶意程序报警的指令。
8.根据权利要求7所述的非暂时性计算机可读介质,其中当被执行时使得所述计算机系统产生在通过所述操作系统控制的环境或者所述安全环境中的恶意程序报警的指令包括用于通过网络发送所述恶意程序报警的指令。
9.根据权利要求1所述的非暂时性计算机可读介质,其中存储在其上的指令还包括当被执行时使得所述计算机系统进行以下操作的指令:
隔离所述计算机系统。
10.一种检测恶意程序的方法,包括:
监视通过计算机系统的操作系统控制的环境中的所述计算机系统的网络业务,产生第一监视数据;
监视在不通过所述操作系统控制的安全环境中的所述计算机系统的网络业务,产生第二监视数据;
比较所述第一监视数据和所述第二监视数据;以及
如果所述第一监视数据与所述第二监视数据不匹配,则指示存在恶意程序。
11.根据权利要求10所述的方法,其中监视通过所述计算机系统的操作系统控制的环境中的计算机系统的网络业务包括:
监视在通过在所述操作系统控制下执行的入侵检测系统中的网络业务。
12.根据权利要求10所述的方法,还包括:
当所述计算机系统上电时加载用于在所述安全环境中执行的固件。
13.根据权利要求10-12的任意一个所述的方法,其中比较所述第一监视数据和所述第二监视数据包括:
将所述第一监视数据发送到所述安全环境;以及
在所述安全环境中比较所述第一监视数据和所述第二监视数据。
14.根据权利要求10-12的任意一个所述的方法,还包括:
响应于存在恶意程序的指示而隔离所述计算机系统。
15.根据权利要求10-12的任意一个所述的方法,其中比较所述第一监视数据和所述第二监视数据包括:
将所述第二监视数据发送到通过所述操作系统控制下执行的所述入侵检测系统;以及
通过所述入侵检测系统比较所述第一监视数据和所述第二监视数据。
16.根据权利要求10-12的任意一个所述的方法,其中比较所述第一监视数据和所述第二监视数据包括:
将所述第一监视数据从所述安全环境发送到外部设备以便于与所述第二监视数据比较;以及
将所述第二监视数据从所述入侵检测系统发送到所述外部设备以便与所述第一监视数据比较。
17.根据权利要求16所述的方法,其中指示存在恶意程序包括:
接收通过所述外部设备产生的报警。
18.根据权利要求10所述的方法,其中指示存在恶意程序包括:
显示指示存在恶意程序的报警。
19.根据权利要求10所述的方法,其中所述第一监视数据和所述第二监视数据包括网络流数据。
20.一种计算机系统,包括:
处理器;
操作系统,包括当通过所述处理器执行时控制处理器并且提供操作系统环境以便于其他软件在所述处理器上执行的指令;
入侵检测软件,包括当通过所述处理器在所述操作系统环境中执行时使得所述处理器进行以下操作的指令:
将所述计算机系统的网络业务记录为第一监视数据;以及
配置为将所述计算机系统的网络业务记录为第二监视数据的安全硬件可信环境,其中所述安全硬件可信环境在所述操作系统环境之外;
其中所述计算机系统被配置为:
比较所述第一监视数据和所述第二监视数据;以及
如果所述第一监视数据与所述第二监视数据不相同,则产生报警。
21.根据权利要求21所述的计算机系统,其中所述第一监视数据和所述第二监视数据包括网络流数据。
22.根据权利要求20所述的计算机系统,其中入侵检测系统还包括当被所述处理器在所述操作系统环境中执行时使得所述处理器进行以下操作的指令:
从所述安全环境请求所述第二监视数据;以及
通过在所述操作系统环境中的所述入侵检测系统比较所述第一监视数据和所述第二监视数据。
23.根据权利要求20所述的计算机系统,其中所述入侵检测软件被配置为使得进程持续地记录网络业务。
24.根据权利要求20所述的计算机系统,其中所述计算机系统被配置为周期性地比较所述第一监视数据和所述第二监视数据。
25.一种计算机系统,包括:用于执行权利要求10-19的任意一项所述的方法的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/931,705 US9197654B2 (en) | 2013-06-28 | 2013-06-28 | Rootkit detection by using HW resources to detect inconsistencies in network traffic |
US13/931705 | 2013-06-28 | ||
PCT/US2014/044227 WO2014210246A1 (en) | 2013-06-28 | 2014-06-26 | Rootkit detection by using hardware resources to detect inconsistencies in network traffic |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105409164A true CN105409164A (zh) | 2016-03-16 |
CN105409164B CN105409164B (zh) | 2020-03-31 |
Family
ID=52117087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480030983.1A Active CN105409164B (zh) | 2013-06-28 | 2014-06-26 | 通过使用硬件资源来检测网络业务中的矛盾的根套件检测 |
Country Status (5)
Country | Link |
---|---|
US (2) | US9197654B2 (zh) |
EP (1) | EP3014813B1 (zh) |
KR (1) | KR101737726B1 (zh) |
CN (1) | CN105409164B (zh) |
WO (1) | WO2014210246A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106980574A (zh) * | 2017-03-10 | 2017-07-25 | 武汉融卡智能信息科技有限公司 | 一种tee下全功能测试系统及测试方法 |
CN108134768A (zh) * | 2016-12-01 | 2018-06-08 | 财团法人资讯工业策进会 | 数据保护方法与数据保护系统 |
Families Citing this family (70)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9043903B2 (en) | 2012-06-08 | 2015-05-26 | Crowdstrike, Inc. | Kernel-level security agent |
US9292881B2 (en) | 2012-06-29 | 2016-03-22 | Crowdstrike, Inc. | Social sharing of security information in a group |
US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
FR3012643B1 (fr) * | 2013-10-28 | 2017-03-17 | Oberthur Technologies | Systeme de detection d'intrusion dans un dispositif comprenant un premier systeme d'exploitation et un deuxieme systeme d'exploitation |
US10289405B2 (en) | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
US10659478B2 (en) * | 2014-07-21 | 2020-05-19 | David Paul Heilig | Identifying stealth packets in network communications through use of packet headers |
US9654498B2 (en) * | 2015-05-12 | 2017-05-16 | Assured Information Security, Inc. | Detecting deviation from a data packet send-protocol in a computer system |
US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
US10033766B2 (en) | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10339316B2 (en) | 2015-07-28 | 2019-07-02 | Crowdstrike, Inc. | Integrity assurance through early loading in the boot phase |
DE102015214993A1 (de) * | 2015-08-06 | 2017-02-09 | Siemens Aktiengesellschaft | Verfahren und Anordnung zur rückwirkungsfreien Übertragung von Daten zwischen Netzwerken |
US10291496B1 (en) * | 2015-09-29 | 2019-05-14 | Juniper Networks, Inc. | Packet capture based capturing of protocol layer state information |
US10623424B2 (en) * | 2016-02-17 | 2020-04-14 | Ziften Technologies, Inc. | Supplementing network flow analysis with endpoint information |
US10705829B2 (en) | 2016-03-30 | 2020-07-07 | International Business Machines Corporation | Software discovery using exclusion |
US10528739B2 (en) | 2016-04-20 | 2020-01-07 | Sophos Limited | Boot security |
US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
US10187414B2 (en) | 2016-07-20 | 2019-01-22 | Cisco Technology, Inc. | Differential malware detection using network and endpoint sensors |
US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
CN107689975B (zh) * | 2016-08-05 | 2020-07-31 | 腾讯科技(深圳)有限公司 | 一种基于云计算的计算机病毒识别方法及系统 |
US10698672B1 (en) * | 2016-10-07 | 2020-06-30 | Wells Fargo Bank, N.A. | Universal installer and uninstaller |
US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
US10387228B2 (en) | 2017-02-21 | 2019-08-20 | Crowdstrike, Inc. | Symmetric bridge component for communications between kernel mode and user mode |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
US20190026460A1 (en) * | 2017-07-19 | 2019-01-24 | Cisco Technology, Inc. | Dynamic creation of isolated scrubbing environments |
US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) * | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US20190286820A1 (en) | 2018-03-15 | 2019-09-19 | Samsung Sds Co., Ltd. | Apparatus and method for detecting container rootkit |
RU2706894C1 (ru) * | 2018-06-29 | 2019-11-21 | Акционерное общество "Лаборатория Касперского" | Система и способ анализа содержимого зашифрованного сетевого трафика |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10965702B2 (en) * | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
US11816205B2 (en) * | 2020-11-30 | 2023-11-14 | Red Hat, Inc. | Detecting and handling attacks on processes executing within a trusted execution environment |
US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
CN115623531B (zh) * | 2022-11-29 | 2023-03-31 | 浙大城市学院 | 利用无线射频信号的隐藏监控设备发现和定位方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7665136B1 (en) * | 2005-11-09 | 2010-02-16 | Symantec Corporation | Method and apparatus for detecting hidden network communication channels of rootkit tools |
CN101681406A (zh) * | 2007-05-11 | 2010-03-24 | 微软公司 | 用于恶意软件检测的可信操作环境 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9009084B2 (en) * | 2002-10-21 | 2015-04-14 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
US7565690B2 (en) * | 2003-08-04 | 2009-07-21 | At&T Intellectual Property I, L.P. | Intrusion detection |
US20050229250A1 (en) * | 2004-02-26 | 2005-10-13 | Ring Sandra E | Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations |
US7841006B2 (en) * | 2005-10-05 | 2010-11-23 | Computer Associates Think, Inc. | Discovery of kernel rootkits by detecting hidden information |
US8291473B2 (en) | 2007-01-10 | 2012-10-16 | International Business Machines Corporation | Methods, systems, and computer program products for modeling a secure production network |
US7765374B2 (en) * | 2007-01-25 | 2010-07-27 | Microsoft Corporation | Protecting operating-system resources |
US8079030B1 (en) * | 2007-03-13 | 2011-12-13 | Symantec Corporation | Detecting stealth network communications |
EP2840753B1 (en) * | 2008-05-21 | 2019-05-15 | McAfee, LLC | System and method for discovery of network entities |
US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
US20130247182A1 (en) * | 2009-04-21 | 2013-09-19 | Seagen James Levites | System, method, and computer program product for identifying hidden or modified data objects |
US8443449B1 (en) * | 2009-11-09 | 2013-05-14 | Trend Micro, Inc. | Silent detection of malware and feedback over a network |
FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
US20120102568A1 (en) * | 2010-10-26 | 2012-04-26 | Mcafee, Inc. | System and method for malware alerting based on analysis of historical network and process activity |
US8549648B2 (en) * | 2011-03-29 | 2013-10-01 | Mcafee, Inc. | Systems and methods for identifying hidden processes |
-
2013
- 2013-06-28 US US13/931,705 patent/US9197654B2/en active Active
-
2014
- 2014-06-26 EP EP14817920.3A patent/EP3014813B1/en active Active
- 2014-06-26 WO PCT/US2014/044227 patent/WO2014210246A1/en active Application Filing
- 2014-06-26 CN CN201480030983.1A patent/CN105409164B/zh active Active
- 2014-06-26 KR KR1020157033703A patent/KR101737726B1/ko active IP Right Grant
-
2015
- 2015-11-02 US US14/930,058 patent/US9680849B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7665136B1 (en) * | 2005-11-09 | 2010-02-16 | Symantec Corporation | Method and apparatus for detecting hidden network communication channels of rootkit tools |
CN101681406A (zh) * | 2007-05-11 | 2010-03-24 | 微软公司 | 用于恶意软件检测的可信操作环境 |
Non-Patent Citations (1)
Title |
---|
NIKHIL WAGHOLIKAR: "Security Basics:re pcap diff tool "http://seclists.org/basics/2009/oct/34"", 《SECLISTS.ORG》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108134768A (zh) * | 2016-12-01 | 2018-06-08 | 财团法人资讯工业策进会 | 数据保护方法与数据保护系统 |
CN106980574A (zh) * | 2017-03-10 | 2017-07-25 | 武汉融卡智能信息科技有限公司 | 一种tee下全功能测试系统及测试方法 |
Also Published As
Publication number | Publication date |
---|---|
US9197654B2 (en) | 2015-11-24 |
KR101737726B1 (ko) | 2017-05-29 |
KR20160004349A (ko) | 2016-01-12 |
WO2014210246A1 (en) | 2014-12-31 |
EP3014813A1 (en) | 2016-05-04 |
CN105409164B (zh) | 2020-03-31 |
US9680849B2 (en) | 2017-06-13 |
EP3014813A4 (en) | 2017-03-01 |
US20150007316A1 (en) | 2015-01-01 |
EP3014813B1 (en) | 2020-03-25 |
US20160173512A1 (en) | 2016-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105409164A (zh) | 通过使用硬件资源来检测网络业务中的矛盾的根套件检测 | |
US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
US9954872B2 (en) | System and method for identifying unauthorized activities on a computer system using a data structure model | |
Mylonas et al. | Smartphone sensor data as digital evidence | |
Dezfoli et al. | Digital forensic trends and future | |
US20110321165A1 (en) | System and Method for Sampling Forensic Data of Unauthorized Activities Using Executability States | |
Yaacoub et al. | Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations | |
CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
CN110647744B (zh) | 文件系统中的取证分析的方法、装置、介质和系统 | |
CN108780485A (zh) | 基于模式匹配的数据集提取 | |
CN106687971A (zh) | 用来减少软件的攻击面的自动代码锁定 | |
Alghamdi | Digital forensics in cyber security—recent trends, threats, and opportunities | |
Sharma et al. | Advanced Persistent Threats (APT): evolution, anatomy, attribution and countermeasures | |
US10339307B2 (en) | Intrusion detection system in a device comprising a first operating system and a second operating system | |
CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
CN112653655A (zh) | 汽车安全通信控制方法、装置、计算机设备及存储介质 | |
Lee et al. | Rcryptect: Real-time detection of cryptographic function in the user-space filesystem | |
CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
Ragu et al. | A blockchain-based cloud forensics architecture for privacy leakage prediction with cloud | |
Aljurayban et al. | Framework for cloud intrusion detection system service | |
Jarvis et al. | Inside a targeted point-of-sale data breach | |
DeMara et al. | Mitigation of network tampering using dynamic dispatch of mobile agents | |
Dezfouli et al. | Digital forensics trends and future | |
Cai et al. | Medical big data intrusion detection system based on virtual data analysis from assurance perspective |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: California, USA Applicant after: McAfee limited liability company Address before: California, USA Applicant before: Mai Kefei company |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |