CN105580023B - 网络环境中的代理辅助的恶意应用阻止 - Google Patents
网络环境中的代理辅助的恶意应用阻止 Download PDFInfo
- Publication number
- CN105580023B CN105580023B CN201380079791.5A CN201380079791A CN105580023B CN 105580023 B CN105580023 B CN 105580023B CN 201380079791 A CN201380079791 A CN 201380079791A CN 105580023 B CN105580023 B CN 105580023B
- Authority
- CN
- China
- Prior art keywords
- score value
- end host
- application
- network
- reputation score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
实施例配置成接收进程的元数据,所述进程在尝试访问网络时在终端主机上被拦截。元数据包括与进程相关联的应用的散列以及应用的端点声誉分值。实施例配置成:基于应用的散列来请求威胁情报声誉分值;至少部分地基于一个或多个策略以及威胁情报声誉分值和端点声誉分值中的至少一个来确定将由终端主机采取的动作;以及发送指示将由终端主机采取的动作的响应。进一步的实施例基于由终端主机上的进程加载的动态链接库模块的另一散列来请求另一威胁情报声誉分值,并且至少部分地基于此另一威胁情报分值来确定动作。
Description
技术领域
本公开总体涉及网络安全领域,更具体而言,本公开涉及网络环境中的代理辅助的恶意应用阻止。
背景技术
网络安全领域在当今已社会变得日益重要。因特网已允许不同的计算机网络在全世界范围内互连在一起。具体而言,因特网提供了用于在相同或不同的计算机网络中的各种系统之间交换电子通信的介质。尽管因特网和其他联网基础结构的使用已改变企业和个人通信,但是,它也变成恶意操作者获得对系统和网络的未经授权的访问以及对敏感信息的故意的或无意的公开的工具。
感染终端主机的恶意软件可能能够执行任何数量的恶意动作,这些动作诸如例如,从终端主机处发出垃圾邮件或恶意电子邮件,从与终端主机相关联的企业或个人处窃取敏感信息,传播到其他主机系统,利用分布式拒绝服务攻击和/或破坏活动或间谍活动(或其他形式的网络战争)来辅助。虽然使用各种方法来检测穿越网络的恶意软件,但是一些恶意软件仍躲避检测。由于由恶意操作者利用的不断演进的一系列策略,使得检测并停止恶意软件或由恶意软件导致的恶意活动的分散变得更复杂。因此,对于防止计算机和计算机网络免受恶意软件的破坏的大量管理挑战仍存在。安全专业人员需要开发抗击允许恶意操作者利用计算机的此类战术的创新工具。
附图说明
为提供对本公开以及其特征和优点的更完整的理解,结合所附附图来进行对以下描述的引用,在所附附图中,相同的参考编号表示相同的部件,其中:
图1是根据本公开的用于阻止网络环境中的恶意应用的计算系统的简化框图;
图2是根据本公开的可以在用于阻止恶意应用的计算系统的另一实施例中实现的虚拟桌面基础结构的简化框图;
图3是示出根据至少一个实施例的恶意应用阻止系统中的可能的操作的简化交互图示;
图4是示出根据至少一个实施例的恶意应用阻止系统中的进一步的可能的操作的简化交互图示;
图5是示出根据至少一个实施例的恶意应用阻止系统中的更进一步的可能的操作的简化交互图示;
图6A-6B示出在至少一个实施例中与终端主机相关联的潜在操作的简化流程图;
图7A-7B示出在至少一个实施例中与安全设备相关联的潜在操作的简化流程图;
图8是根据实施例的、耦合到示例处理器的存储器的框图;以及
图9是根据实施例的示例计算系统的框图。
具体实施方式
图1是根据本公开的至少一个实施例的、用于阻止网络环境中的恶意应用的计算系统100的简化框图。计算系统100可包括受保护的网络,此受保护的网络包括至少一个终端主机130、终端主机策略服务器140、网络安全设备150、本地威胁情报服务器170以及网络安全管理器180。受保护的网络可以配置成经由诸如网络110之类的任何合适的网络来与其他系统和网络通信。在至少一个实施例中,网络110是诸如因特网之类的广域网。云威胁情报服务器120可由受保护的网络经由网络110来访问。
参考特定的元件,终端主机130可包括端点情报代理(EIA)132、应用133、动态链接库(DLL)模块135、至少一个处理器136以及至少一个存储器元件138。网络安全设备150可包括端点情报服务器152、本地网络策略服务器154、至少一个处理器156以及至少一个存储器元件158。在至少一个实施例中,可以在受保护的网络中提供交换机、路由器或其他合适的网络元件160以促进终端主机130与网络110之间的通信。在此配置中,网络安全设备150是带外的,并且网络元件160从终端主机130接收网络通信量(traffic),并将网络通信量发送到终端主机130。网络元件160可包括SPAN端口162,以允许将网络通信量复制到网络安全设备150中。在其他实施例中,网络安全设备150可直联(in-line)地配置,以在不具有使网络通信量能绕过网络安全设备150的任何中间网络元件的情况下从终端主机130接收网络通信量。本地威胁情报服务器170可以包含某些应用和动态链接库的文件声誉分值,并且可以在被请求时将此类信息提供给网络安全设备150。网络安全管理器180可以接收与终端主机130的进程相关联的元数据,并且可以提供用于向用户显示与此进程相关联的信息的用户界面。
为了说明用于阻止恶意应用的计算系统100的某些示例技术,理解可能正在穿越网络环境的通信是重要的。下列基础信息可视为可以适当地解释本公开的基础。
恶意软件会中断计算机网络,并且导致系统不稳定和/或不安全。如本文中所使用,恶意软件(本文中也被称为“恶意应用”)是通常用于描述设计为参与对计算机的怀敌意的和/或不希望的行为的软件的广义术语,并且一般包括设计成用于干扰计算机或网络的正常操作和/或获得对计算机或网络的未经授权的访问的任何软件。一旦终端主机遭损害,恶意软件就会破坏此终端主机,并使用它来进行恶意活动。在一些实例中,恶意软件可以设计成用于窃取、损坏、公开、修改或以其他方式损害数据。恶意软件也可以包括传播向量,这些传播向量使恶意软件能在组织的网络(例如,受保护的网络)内或跨其他网络或计算机系统分散。恶意软件的示例可包括但不仅限于,病毒、垃圾邮件、钓鱼诈骗、拒绝服务(DOS)攻击、目录采集、僵尸网络、间谍软件、广告软件、木马和蠕虫。
将会领会,本公开的广泛的范围旨在将“软件”引用为涵盖包括指令的任何电子文件或对象,所述指令可被理解为在计算机上并且在计算机上被处理,所述计算机诸如例如,应用(例如,可执行文件、对象文件、脚本文件、解释器文件,等等)和动态链接库(DLL)模块或当准备应用供执行时可以被加载并链接的的其他模块。如果应用或DLL模块是恶意软件或者如果它被恶意软件感染(例如,被恶意软件破坏的良性的应用或DLL模块),则应用或DLL模块是恶意的。另外,如果根据应用而实例化的进程加载了恶意的DLL模块,那么,此应用也可以被视为是“恶意的”。
用于恶意软件检测的一种常见的方法涉及扫描应用以标识已知的签名,并且基于此签名来获取文件声誉分值。签名是典型地被表达为固定的数位串的散列值。可以通过将加密散列算法应用于应用或应用的一个或多个部分来导出散列值。一种共知的算法是MD5消息摘要算法,此MD5消息摘要算法是产生具有预定的位长度(例如,128位)的散列值的加密散列函数,并且在“MD5消息摘要算法征求意见稿(FRC)1321,R.Rivest,1992年4月,由RFC6151更新”中指定。
文件声誉分值(本文中也被称为“威胁情报分值”可以是反映特定的文件(即,应用或其他模块)是恶意的似然率的分值。文件声誉分值可以配置成例如在从良性的到恶意的、或好的到差的尺度范围内变化。在一些示例中,范围可包括不同程度,诸如,好的、差的、严重的、关键的、未知的,等等。在其他示例中,范围可包括对于好、差或未知的简单使用。可以通过在本地或全局地(例如,在云中)查询威胁情报服务器并提供有争议的应用的散列值来获取文件声誉分值。威胁情报服务器可以判断散列是否是已知的(即,由散列表示的应用是否经评估,以及是否为此应用导出了分值)。如果应用是已知的,则威胁情报服务器可以将对应的分值提供给查询设备。威胁情报服务器能以任何合适的方式导出散列的文件声誉分值,这些方式包括但不仅限于,集体情报、对特定文件的分析、和/或与其他威胁向量(诸如,web、电子邮件和网络威胁数据等)相关。
在带有许多最终用户主机的大型网络中,评估每一个网络连接并且可以联系本地和/或云服务以获得声誉信息的安全软件可以使用大量局部化的资源。然而,网络解决方案也可能通过从最终用户主机建立网络连接的反复尝试来使用巨量的网络资源。由此,需要使对网络资源的使用最小化,同时有效地阻止恶意应用进行网络连接的解决方案。
一些恶意软件可以配置成在对应于具有好的声誉的应用的进程的执行期间隐藏或躲避检测。例如,应用可以配置成在执行期间加载一个或多个其他模块(诸如,动态链接库(DLL)模块)。在一些配置中,可以在与应用相关联的进程已经建立了网络会话之后加载模块。由此,可能无法基于文件声誉分值而将应用以及此应用的所加载的模块的初始评估识别为是恶意的。在另一示例中,当在貌似良性的网络连接期间下载恶意软件时,此恶意软件可能影响应用或由应用使用的其他模块(例如,DLL)。这可能无法由常规的安全解决方案迅速地检测到。由此,还需要标识并阻止已经注入在网络通信量中的恶意软件的解决方案。
如附图中所概述,用于阻止网络环境中的恶意应用的系统可以解决这些问题(和其他问题)。在计算系统100中,端点情报代理拦截终端主机(或虚拟桌面基础结构(VDI)服务器)上的网络访问尝试,并且将此应用的元数据提供给网络安全设备。网络安全设备可以查询威胁情报服务器和/或云服务以获取此应用的文件声誉分值(本文中也被称为“威胁情报声誉分值”和“TI声誉分值”)。可使用TI声誉分值以基于一个或多个本地网络策略来确定将由终端主机采取的动作。网络安全设备可以将TI声誉分值和动作信息提供给最终主机。取决于动作信息(即,指令、通知,或将采取的动作的其他指示),终端主机可以创建实现动作的规则,所述动作诸如阻止应用进行未来的网络连接。由此,可以通过阻止终端主机处的应用来保护网络中的其他主机免受此终端主机上的恶意软件的破坏。然而,如果应用具有好的声誉,或如果网络安全设备处的策略指示了阻止动作是不合适的,则可允许网络通信量。例如,终端主机可以通过不执行任何阻止动作,简单地允许网络会话继续。
当允许网络连接时,在网络会话期间,附加的评估可以在网络安全设备和终端主机两者处继续。在至少一个实施例中,可以在终端主机上评估应用的经加载的或调用的模块(诸如,DLL文件)以判断它们是否遭恶意软件损害。如果是,则终端主机可以将本地分值(“端点声誉分值”)分配给此应用,并且将它发送到网络安全设备。网络安全设备可以基于本地网络策略和端点声誉分值来确定动作,并且可以将指示了将采取的动作的动作信息往回发送给终端主机。取决于动作信息,终端主机随后可以创建阻止此应用从终端主机进行未来的网络连接的规则。在当网络通信量被允许的另一场景下,网络安全设备可以继续对网络通信量监测恶意软件。如果检测到恶意软件,则网络安全设备可以将网络通信量与来自终端主机的网络连接信息相关联,以便标识与网络通信量相关联的终端主机和应用。网络安全设备可以声誉信息和动作信息提供给终端主机。
当应用的差TI声誉分值被提供到终端主机时,取决于特定的实现,可以在网络安全设备处、终端主机处或者这两者处阻止与当前运行的进程相关联的正在进行的网络通信量。如果网络安全设备是直联的,则它可以阻止正在进行的网络通信量,但是如果网络安全设备是带外的,则它可以通知终端主机也阻止此正在进行的网络通信量。由此,计算系统100的实施例可以监测网络通信量并阻止所建立的会话的恶意应用,并且可以防止与检测到的恶意应用相关联的未来的网络连接。
转向图1,图1示出用于阻止网络环境中的恶意应用的计算系统100的简化示例。为了易于说明,单个终端主机130示出为与主机策略服务器140、网络安全设备150,以及可能的网络元件160进行通信。然而,将显而易见的是,众多终端主机可以配置成经由网络安全设备150或网络元件160来与网络110进行通信,并且主机策略服务器140可以配置成管理多个终端主机的策略。此外,在至少一些实现中,可以利用与网络安全设备150和主机策略服务器140通信的虚拟化台式机基础结构(VDI)服务器来虚拟化多个终端主机。在这种场景下,能以端点情报代理132来配置VDI服务器,并且此VDI服务器可以为多个虚拟化的终端主机执行拦截和应用阻止功能。
在至少一个实施例中,网络安全设备150可以配置为与终端主机130直联。在此直联式实施例中,网络安全设备150可以从终端主机130接收网络通信量,并且例如经由网络112和110来将此网络通信量转发至本地或远程目的地节点。在至少一个其他实施例中,网络安全设备150可以带外地配置,并且网络元件160可以被配置为与终端主机130直联。在此带外实施例中,网络安全设备150可以从网络元件160接收与终端主机130相关联的网络通信量,并且可以例如经由网络114和110来将此网络通信量转发至本地或远程目的地节点。SPAN端口162可以配置成将网络通信量的数据分组的副本提供给网络安全设备150。
一般而言,可以在任何类型或任何拓扑的网络中实现计算系统100。网络112(直联式实施例),114(带外式实施例)以及110各自都表示经互连的通信路径的一系列点或节点,用于接收和发送通过计算系统100而传播的信息的分组。这些网络在节点之间提供可通信接口、并且可配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网,虚拟私有网络(VPN)、以及促进网络环境中的通信的任何其他合适的架构或系统、或上述各项的任何合适的组合(包括有线和/或无线的通信)。这些网络可以包括任何数量的有线(例如,以太网等)和无线技术(例如,2012年3月29日发布的电气与电子工程师学会(IEEE)标准802.11TM-2012、2012年8月17日发布的IEEE标准802.16TM-2012、WiFi、WiMax、专用近距离通信(DSRC),等等),卫星、蜂窝技术(例如,3G/4G/5G/nG,等等),其他无线电频率(例如,近场通信(NFC)、射频识别(RFID),等等)和/或促进网络环境中的网络通信的任何其他联网协议。在至少一个实施例中,网络112和114表示受保护的网络的实施例,此受保护的网络可以配置为内部的、潜在地私有的、与实体(例如,企业、学校、政府机关,组织,等等)相关联的网络。在至少一个实施例中,网络110表示广域网(例如,因特网),此广域网允许由内部网络的终端主机(诸如,终端主机130)对其他网络和系统的访问。
在计算系统100中,可以根据任何合适的通信消息传送协议来发送和接收网络通信量,此网络通信量包括分组、帧、信号、数据等。合适的通信消息传送协议可包括多层式方案(诸如,开放系统互连(OSI)模型),或多层式方案的任何衍生或变体(例如,传输控制协议/网际协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。分组是可以在分组交换网路(诸如,网络112、114和110)上的源节点与目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。作为示例,这些网络地址可以是TCP/IP消息传送协议中的网际协议(IP)地址。如本文中所使用的术语“数据”是指可以从电子设备和/或网络中的一个点传递到另一点的任何类型的二进制文件、数字、语音、视频、文本、或脚本数据、或任何类型的源或目标代码,或任何合适的格式的任何其他合适的信息。此外,消息、请求、响应和查询是网络通信量的形式,因此,可以包括分组、帧、信号,数据等。
一般而言,“服务器”、“主机”和“计算设备”(包括用于实现计算系统100的此类设备(例如,120、130、140、150、160、170,180)可以包括可操作以接收、传输、处理、存储和/或管理与本文中所公开的实施例相关联的数据和信息的所有类型的设备、电子计算设备和机器。这些计算设备可以各自都包括一个或多个处理器、计算机可读存储器以及促进其操作的任何合适的硬件、软件、固件、组件、模块或对象。这些计算设备也可以包括采用任何合适的连接(有线的或无线的)的接口,以便接收、传输,和/或以其他方式在计算系统100中传递数据或信息。这可以包括允许数据或信息的有效交换的合适的算法和通信协议。此外,计算设备还可以配置成执行任何操作系统(例如,Linux、UNIX、Windows、Windows Server,等等)以管理其中的硬件组件。此外,一些计算设备可包括适用于使特定操作系统的执行虚拟化的虚拟机。
在至少一个实施例中,网络安全设备150是可以主管涉及网络安全的软件应用和其他程序的网络元件。在一些实现中,网络安全设备150也可配置成促进终端主机(例如,终端主机130)与其他本地或远程计算设备和网络之间的通信。网络元件是计算设备类型的,并且可包括但不仅限于,防火墙、服务器、网络设备、路由器、交换机、网关、桥接器、负载平衡器、处理器、模块或可操作以在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。
终端主机130可包括一般被实现为网络中的端点设备的计算设备,诸如例如,个人计算机、膝上型计算机、蜂窝电话、智能电话、平板计算机、个人数字助理、媒体客户端、移动互联网设备以及适用于接收、发送或以其他方式在计算系统100中进行通信的其他设备。终端主机130也可以包括配置成发起与其他本地或远程计算设备的网络通信的网络元件或其他计算设备。将会理解,可以有配置在计算系统100中(例如,在网络112、114中)的任何数量的终端主机。
计算系统100的计算设备(诸如,终端主机130和网络安全设备150)可包括用于实现或促进本文中概述的操作的软件模块(例如,端点情报代理132、端点情报服务器152)。这些模块能以任何合适的方式合适地被组合或分区,这可以基于特定的配置和/或供应(provisioning)需求。在一些实施例中,可以由在这些元件的外部实现的或被包括在某个其他计算设备中的硬件和/或固件来执行此类操作中的一个或多个以实现计划的功能。这些元件也可以包括可以与其他计算设备协调以实现如本文中所概述的操作的软件(或往复式软件)。
在至少一个实施例中,网络安全设备150的端点情报服务器152和终端主机130的端点情报代理132配置成协作以标识与穿越或尝试穿越计算系统100的网络通信量相关联的恶意应用。主机策略服务器140可以配置成根据策略来将网络安全设备150的监测端口网络地址(例如,网际协议(IP)地址)推送到端点情报代理132。端点情报代理132可以将元数据提供给端点情报服务器152以允许标识恶意的应用。
由端点情报代理132提供的元数据可以与终端主机130上尝试例如经由网络110来进行至目的地主机的网络连接的进程相关联。在本文中将此进行网络连接的尝试称为“网络访问尝试”。终端主机进程是正在在终端主机上执行的应用的实例。当由终端主机130上的进程发起网络通信量时,终端主机130被称为“源主机”。源主机可以将网络通信量发送到目的地主机,此目的地主机可以是可由源主机访问的任何本地或远程网络(例如,网络112、114,110,等等)中的节点。
由端点情报代理132传递到端点情报服务器152的元数据可以提供关于与某些网络通信量相关联的终端主机130、终端主机130的当前用户以及应用(例如,应用133的)和进程的可见性。元数据可包括用户信息、主机应用信息和/或主机进程信息。用户信息可包括用户名/标识符、安全标识符(SID)等中的一个或多个。主机应用和进程信息可包括下列各项中的中的一项或多项:应用名称和文件路径(AppPath(App路径))、应用的散列或校验和(MD5Hash(MD5散列))、应用的声誉(AppReputation(App声誉))、动态链接库模块的声誉(DLLReputation(DLL声誉))、端点声誉分值(MD5ConfidenceScore(MD5置信分值))、应用的威胁情报声誉分值(MD5GTIScore(MD5GTI分值))、应用类别、进程名称、父进程名称、域、网络访问尝试的连接信息的元组(例如,5元组)、关于应用或其所加载的模块的特定信息(例如,版本信息、创建日期/时间、修改日期/时间、签名信息等),等等。
各种元数据将不同的信息提供给网络安全设备150。SID是活动目录中的任何对象(例如,打印机对象、组对象,等等)的主键,并且对于域是唯一的。AppPath是文件名称以及应用所存储在的的终端主机130中路径。MD5Hash是例如通过如本文中先前所讨论的MD5消息摘要算法生成的可执行的应用的散列值。元数据也可以包括其他应用或由应用加载的模块(诸如,DLL模块)中的每一个的散列值。
MD5ConfidenceScore是可以由在终端主机上运行的试探算法确定的端点声誉分值。试探算法可以配置成执行对应用或DLL模块的试探分析,此试探分析包括但不仅限于,它是否在执行期间执行类似于病毒的活动,或者它在其代码中是否具有类似于病毒的属性。此外,还可以评估模块(诸如,DLL模块)以判断它是否对于调用DLL模块的特定应用执行合适的活动。当TI声誉分值不可用或不可访问时,可由网络安全设备150使用端点声誉分值。
AppReputation和DLLReputation是基于应用或DLL模块的质量而计算出的分值(应用或DLL模块被确定为如何好/良性或差/恶意)。可以在终端主机上计算这些分值,并且这些分值可以基于TI声誉分值/端点声誉分值(例如,先前从安全设备150接收到的并高速缓存在终端主机130中的TI声誉分值、或通过试探算法在终端主机上计算出的端点声誉分值)。此外,如果由进程调用多个DLL模块,则可以提供多个DLLReputation。
元组可包括与网络访问尝试相关联的连接信息。在至少一个实施例中,元组包括源地址、源端口、目的地地址、目的地端口以及协议。源和目的地地址可以分别是源主机(例如,终端主机130)和目的地主机的网络地址。目的地主机是源主机上的进程尝试与其建立网络会话的主机。在至少一个实施例中,网络地址可以是分组交换网络中的网际协议(IP)地址。源和目的地端口可以分别是源和目的地主机上的、由尝试在源主机与目的地主机之间建立网络会话的进程使用的端口。协议可以是由访问网络进程使用的特定协议(例如,传输控制协议/网际协议(TCP/IP))。元数据的元组可用于将网络通信量与进程相关联,以便标识进程在其上运行的终端主机以及相关联的应用。
可以被包括在元数据中的一些信息可能对某些网络通信量不可用。例如,进程可能没有任何加载的DLL模块,应用或DLL可能未知并因此可能没有声誉、应用类别可能未知,等等。在另一示例中,TI声誉分值可能不可用,除非对应的应用先前与网络访问尝试相关联并且TI声誉分值被返回到终端主机130且被存储在高速缓存或其他存储器中。
端点情报代理132可以从端点情报服务器152处接收动作信息和声誉信息,以便创建对于某些网络通信量的阻止规则或允许某些网络通信量。如果网络安全设备150确定了特定的应用已违反了本地网络策略,则可以由端点情报服务器152基于特定应用的散列来规定阻止动作。端点情报代理132可以从端点情报服务器152处(例如,经由动作信息)接收阻止特定的应用进行未来的网络连接的通知。随后,端点情报代理132可以在终端主机130上创建并实现阻止此应用的规则。在至少一个实施例中,实现以阻止应用的规则可以配置成防止此应用执行。如果网络安全设备150是带外的,则端点情报代理132也可以从端点情报服务器152接收阻止与散列相关联的当前进程的任何正在进行的通信的通知(例如,在动作信息中)。虽然散列可以表示与终端主机130上的尝试网络访问的进程相关联的特定应用,但是在一些场景下,散列可以表示由进程加载的模块(诸如,DLL模块)。
端点情报代理132也可以配置成评估具有所建立的(且允许的)网络会话的进程的所加载的模块(例如,DLL模块135的经加载的模块)。如果可能在所建立的网络会话自身期间恶意软件被成功地下载到终端主机130,则如果恶意软件被执行,那么它可能潜在地感染模块,并且损害网络会话。在至少一个实施例中,可以通过由试探检测算法等执行的试探分析作出此判断。如果确定了DLL已被感染,则端点情报代理132可以将端点声誉分值分配给模块,并且将此端点声誉分值发送到网络安全设备150,以进行评估并获得关于如何处置此模块的动作信息。在一些场景下,终端主机130可以基于例如来自主机策略服务器140的端点声誉分值和本地主机策略来确定将采取的动作。可由管理员或其他经授权的用户配置本地主机策略。终端主机130可以向网络安全设备150通知关于将在终端主机130上采取的动作的信息以及端点声誉分值。
网络安全设备150的端点情报服务器152可以配置成接收在终端主机130上执行的进程的元数据,以便允许标识与此进程相关联的恶意应用。元数据可包括基于应用以及可能的与此应用相关联的一个或多个其他模块(例如,由进程加载的DLL)生成的一个或多个散列。可以基于本地和/或远程威胁情报信息来评估散列。
在至少一个实施例中,威胁情报信息可以包括一个或多个白名单、一个或多个黑名单或它们的任何合适的组合。在至少一个实施例中,白名单可包括已被确定为良性的或运行安全的应用和其他模块的散列值,而黑名单可包括已被确定为包含恶意软件和/或参与恶意行为的应用和其他模块的散列值。在至少一个实施例中,威胁情报信息可包括与每一个散列值相关联的TI声誉分值。TI声誉分值可以表示与特定的散列值相关联的应用(或DLL模块)的恶意或关键性程度。例如,小于4的分值可以指示关键的威胁,5-6之间的分值可以指示严重的威胁,7-9之间的分值可以指示轻微的威胁,而分值10可以指示没有威胁。
当网络安全服务器150接收到特定应用的TI声誉分值时,网络安全设备150可以使用此分值以基于本地网络策略来确定将采取的一个或多个动作。可以将本地网络策略应用于TI声誉分值以确定将在终端主机130上执行的动作。例如,策略可以配置成要求阻止具有小于4的TI声誉分值的任何应用。另一策略可以要求隔离具有5-9之间的威胁情报分值的应用。此外,策略可以配置成确定将对未知的(例如,不在白名单上,也不在黑名单上的)应用采取什么动作。可以由管理员或其他经授权的用户例如在本地网络策略服务器154中配置策略。在至少一个实施例中,网络安全管理器180可以提供用于允许经授权的用户配置策略的用户界面。本地网络策略服务器154可以配置为网络安全设备150的部分,或可以与网络安全设备150完全地或部分地分开配置。
在至少一个实施例中,网络安全设备150可以向本地威胁情报服务器170查询威胁情报信息。可以从远程威胁情报服务(诸如,云威胁情报服务器120)接收服务器170中的本地威胁情报信息。本地威胁情报服务器170可完全地或部分地包括来自云威胁情报服务器120的数据的副本,并且可以被周期性地更新。网络安全设备150也可以配置成向远程威胁情报服务器(例如,安全信息的第三方提供方)查询威胁情报信息。例如,当本地威胁情报服务器170不能提供特定应用的威胁情报信息时,网络安全设备150可以查询云威胁情报服务器120。在另一实施例中,可将至少一些威胁情报信息完全地或部分地高速缓存在网络安全设备150上。在其他实施例中,网络安全设备150可以配置成基于特定需求来查询可由网络安全设备150访问的高速缓存、云服务器、本地服务器或任何其他系统或设备的任何合适的组合。
转向图2,替代实现可包括在带外实施例(例如,网络112)或者直联式实施例(例如,网络114)中的、在计算系统100中配置的虚拟桌面基础结构(VDI)。在示例VDI实现中,基于“盒中的VDI”(VDI-in-a-Box)配置,一个或多个集中式服务器(诸如,VDI服务器200)可以运行VDI管理器224以在多个客户端250(1)-250(N)(例如,主机或其他计算设备)上提供集中管理的虚拟桌面230(1)-230(N)。例如,管理服务器可配置成用于利用个性化桌面来实现的多个客户端的集中式服务器。访问VDI基础结构的VDI客户端250(1)-250(N)中的每一个可在多用户登录系统中配置,并且具有VDI服务器200的网络地址(例如,IP地址)。客户端250(1)-250(N)中的每一个都可以向VDI服务器200认证,并且经由VDI服务器200来发起网络通信量。在一个示例实现中,每一客户端都可以配置成仅访问某些服务(例如,超文本传输协议(HTTPS)、文件传输协议(FTP),等等),使得客户端中的至少一些客户端能够访问不同的服务。
VDI服务器200能以硬件层210和管理程序(hypervisor)212来配置以主管多个虚拟桌面230(1)-230(N)。硬件层210能以合适的处理和存储器元件来配置。虚拟桌面可以具有它们自身的操作系统232(1)-232(N)、应用233(1)-233(N)以及DLL模块235(1)-235(N)。管理程序212可以将虚拟桌面230(1)-230(N)运行为访客机器,并且可以管理访客操作系统212(1)-212(N)的执行。
也可以在VDI服务器200上配置端点情报代理222,并且此端点情报代理222可以执行如参照终端主机130的端点情报代理132所描述的相同或类似的功能。然而,在图2的实施例中,端点情报代理222可以配置成为VDI服务器200上的虚拟桌面230(1)-230(N)中的每一个提供端点情报功能。当由VDI客户端中的一个作出网络访问尝试时,VDI服务器200的端点情报代理222可以将元数据和应用信息从对应的虚拟桌面提供至网络安全设备的端点情报服务器(诸如,在图1中所示出并描述的网络安全设备150的端点情报服务器152)。当网络安全设备确定了应当阻止应用时,可以将此应用的声誉分值和动作信息发送到端点情报代理222,此端点情报代理222可以在VDI服务器200处阻止与此应用相关联的网络通信量。
虽然图2示出基于“盒中的VDI”配置的VDI实现,但是,本文中描述的实施例也可以应用于传统的VDI配置。在传统的VDI配置中,管理服务器可配置成“中间人”,并且多个虚拟桌面在此管理服务器后面运行。在传统的VDI实现中,端点情报代理222和主机策略服务器240仍在VDI服务器中配置。
转向图3,简化的交互图示示出根据至少一个实施例的、可在计算系统100中在终端主机130、网络安全设备150与本地威胁情报服务器170之间发生的可能的交互的一种场景。图3的场景示出当基于差的TI声誉分值来阻止终端主机130上的应用时可能发生的潜在的交互和活动。在至少一个实施例中,端点情报代理132可以执行与终端主机130相关联的一个或多个交互和活动,而端点情报服务器152可以执行与网络安全设备150相关联的一个或多个交互和活动。图3的示例仅是潜在的交互的示例,并且不限制权利要求的范围。例如,模块的数量可以变化,组件的数量可以变化,特定的交互可以变化,交互的顺序可以变化,等等。
最初,对应于终端主机130上的应用的进程可以触发网络活动。在302处,终端主机130可以拦截访问网络的尝试。网络访问尝试可以是由进程(此进程是正在执行的应用的实例)进行向目的地节点的网络连接的尝试。目的地节点可以是局域网内或另一网络中的另一主机(或能够建立网络会话的其他网络设备)。网络访问尝试的示例可包括但不仅限于,将电子邮件消息发送到目的地节点的尝试,连接到目的地节点以下载文件的尝试,通过打开web浏览器、经由因特网而访问远程节点(例如,web服务器)的尝试,等等。
在304处,终端主机130将与终端主机130上的进程和网络访问尝试相关联的元数据发送到网络安全设备150。元数据包括连接信息的元组,此链接信息的元组包括终端主机130的网络地址(例如,IP地址)和端口、目的地节点的网络地址(例如,IP地址)和端口以及所使用的协议(例如,TCP/IP)。元数据还包括与进程相关联的应用的散列以及由此进程加载的动态链接库模块(如果有)的散列。
在至少一个实施例中,元数据还可以包括下列各项中的一项或多项:安全标识符(SID)、用户名/标识符、域、应用名称和文件路径(AppPath)、端点应用声誉(AppReputation)、动态链接库(DLL)声誉(DLLReputation)、端点声誉分值(MD5ConfidenceScore)、应用类别、进程名称、父进程名称、TI声誉分值(MD5GTIScore),关于应用或其所加载的模块的特定信息,等等。在元数据被发送到网络安全设备150之前,如果终端主机130基于试探算法确定了端点声誉分值,则可以包括此分值。如果先前由网络安全设备150评估了应用,并且由终端主机130在本地高速缓存了此应用的TI声誉分值,或此应用的TI声誉分值以其他方式可由终端主机130访问,则可以在元数据中提供此TI声誉分值。
在某时刻,终端主机130可以释放连接,并且发起与所期望的目的地节点的网络会话。可以发起会话以避免终端主机130上的会话超时。然而,当此连接正在被保持时,终端主机130可以尝试确定将包括在元数据中的端点声誉分值。在至少一个实施例中,在发起网络会话之前,可基于例如来自主机策略服务器140的经配置的策略来确定端点声誉分值,以便使终端主机130能够主动地为终端主机130上的应用创建规则。端点声誉分值可以基于评估应用和可以被加载在进程中的任何DLL模块的试探算法。例如,可以评估DLL模块以判断它们是否是正在被执行的特定的应用的预期的模块。可以基于端点声誉分值以及例如来自本地主机策略服务器140的一个或多个本地主机策略,在终端主机130上创建规则。即使在终端主机130上主动地创建了规则,仍可以在304处将元数据发送到网络安全设备150以进行评估。一旦元数据被发送到网络安全设备150(如在304处所示),就可以释放连接。
在306处,网络安全设备150向本地威胁情报服务器170查询应用的TI声誉分值。网络安全设备150也可以向本地威胁情报服务器170查询DLL模块(如果有)的TI声誉分值。网络安全设备150可以将应用散列以及DLL模块(如果有)的散列发送到威胁情报服务器170以获取TI声誉分值。在308处,威胁情报服务器170可以利用基于应用的散列的TI声誉分值以及基于DLL模块(如果有)的散列的TI声誉分值来往回答复网络安全设备150。取决于特定的实现,对应用和一个或多个DLL模块的TI声誉分值的查询和响应可以是组合的或分开的。如果本地威胁情报服务器170不能提供TI声誉分值(例如,散列未知,或服务器不可用),则在至少一个实施例中,网络安全设备150可以查询另一源(诸如,云威胁情报服务器120)。
在310处,网络安全设备150可以使用声誉分值(或多个分值)以基于例如来自本地网络策略服务器154的本地网络策略来确定将采取的动作。可以基于对应于正在被评估的TI声誉分值或分值的组合的特定的应用(或DLL模块)的散列来标识策略。策略可以设置应用、一个或多个DLL模块或它们的任何所需的组合的TI声誉分值的特定阈值极限。可以基于此特定的阈值极限以及正在被评估的实际的TI声誉分值来确定动作。例如,策略可以设置阈值极限4,并且具有小于4的分值的任何应用或DLL模块将被阻止。在另一示例中,策略可以要求如果应用的DLL模块中的两个或更多个小于特定的阈值极限,则阻止此应用,或可能仅阻止这些DLL模块。
在312处,网络安全设备150可以将响应发送到终端主机130。响应可包括TI声誉分值(或多个分值),对应的散列(或多个散列)以及指示将采取的动作的动作信息,所述动作包括但不仅限于,阻止此应用、阻止一个或多个DLL模块、允许此应用、隔离此应用、隔离一个或多个DLL模块、阻止正在进行的通信量,等等。如果策略违反已发生,并且将采取的动作是阻止动作,则网络安全设备150可以例如经由动作信息来通知终端主机130创建基于应用散列来阻止应用进行未来的网络连接,或基于一个或多个DLL模块的散列来阻止这一个或多个DLL模块的规则。终端主机130可以根据来自网络安全设备150的动作信息来创建阻止特定的应用或DLL模块的规则。
如果网络安全设备150是带外设备,则网络安全设备150也可以例如经由动作信息以通知终端主机130基于连接信息的元组和应用散列来阻止正在进行的通信量。然而,如果网络安全设备150是直联式设备,则它可能不一定通知终端主机130丢弃正在进行的通信量,因为网络安全设备150自身可以基于连接信息的元组来丢弃正在进行的通信量。
网络安全设备150也可以发出警告以通知网络管理员,哪个终端主机上的哪个应用和/或DLL模块已发起特定的网络连接。可以在此警告中与其他所期望的元数据一起来提供发送到终端主机130的TI声誉分值和/或动作信息。此信息可以帮助管理员立即准确定位被感染的应用、进程和/或DLL模块。
转向图4,简化的交互图示示出根据至少一个实施例的、可在计算系统100中在终端主机130、网络安全设备150与威胁情报服务器170之间发生的可能的通信的一种场景。图4的场景示出当基于差的端点声誉分值阻止终端主机130上的应用时可能发生的潜在的交互和活动。在至少一个实施例中,端点情报代理132可以执行与终端主机130相关联的一个或多个交互和活动,而端点情报服务器152可以执行与网络安全设备150相关联的一个或多个交互和活动。图4的示例仅是潜在的交互的示例,并且不限制权利要求的范围。例如,模块的数量可以变化,组件的数量可以变化,特定的交互可以变化,交互的顺序可以变化,等等。
在图4的402、404、406、408和410处指示的交互和活动总体上与参照302、304、306、308和310示出并描述的图3的交互和活动相同。相应地,可以参照在图3的302、304、306、308和310处指示的交互和活动的描述和说明来理解在图4的402、404、406、408和410处指示的交互和活动。
在412处,网络安全设备150可以将响应发送到终端主机130。响应可包括TI声誉分值(或多分值),对应的散列(或多个散列)以及指示将采取的动作的动作信息。在图4的示例场景下,应用和任何DLL模块不违反任何策略。相应地,在412处发送到终端主机130的动作信息指示,将采取的动作是允许由与应用和DLL模块(如果有)相关联的进程建立的网络会话继续。
在414处,终端主机130可以将应用分类为“恶意的”,或指示此应用已经成为威胁并可能感染了或感染了恶意软件的任何其他合适的分类。分类可以基于被终端主机130确定为被感染(即,包含恶意软件)的一个或多个DLL模块。例如,在网络安全设备150通知了终端主机130应用被允许(即,在412处)之后,网络通信量可以在所建立的网络会话中继续流动。如果在412处批准了网络通信量之后,恶意软件被成功地下载并在终端主机130上被执行,则由进程加载的DLL模块可能潜在地变成威胁。在这种情况下,终端主机130可以使用一个或多个试探算法来判断特定的DLL模块是否被感染。
在另一场景下,当网络安全设备150不能获取威胁情报声誉分值(例如,威胁情报服务器停机),并且最初在404处端点声誉分值未与元数据一起发送,则动作信息可以指示TI声誉分值是未知的。在这种情况下,终端主机130可以使用一个或多个试探算法来判断一个或多个DLL模块是否对于与网络通信量相关联的特定的应用是否是合适/所需的。
如果终端主机130确定了DLL模块被感染或以其他方式成为威胁,则终端主机130可以将端点声誉分值分配给此应用,此端点声誉分值指示,基于由进程调用的一个或多个DLL模块,此应用已被分类为“恶意的”。在至少一个实施例中,端点声誉分值可以是根据试探算法来表示应用和/或DLL模块的恶意或关键性程度的数值。在416处,终端主机130可以将端点声誉分值连同应用和DLL模块的散列一起发送到网络安全设备150。
在418处,网络安全设备150可以使用此端点声誉分值以基于例如来自本地网络策略服务器154的本地网络策略来确定将采取的动作。策略可以设置应用的端点声誉分值的特定阈值极限。可以基于特定的阈值极限和正在被评估的实际的端点声誉分值来确定动作。
在420处,网络安全设备150可以将响应发送到终端主机130。响应可包括应用和/或DLL模块的散列(或多个散列)以及指示将采取的动作的新动作信息。动作可包括但不仅限于,阻止此应用、阻止一个或多个DLL模块、允许此应用、隔离此应用、隔离一个或多个DLL模块、阻止正在进行的通信量,等等。如果基于端点声誉分值策略违反已发生,并且将采取的动作是阻止动作,则网络安全设备150可以例如经由动作信息来通知终端主机130创建基于应用散列来阻止应用进行未来的网络连接,或基于一个或多个DLL模块的散列来阻止这一个或多个DLL模块的规则。终端主机130可以根据来自网络安全设备150的动作信息来创建阻止特定的应用或DLL模块的规则。
如果网络安全设备150是带外设备,则网络安全设备150也可以例如经由新动作信息来通知终端主机130,基于连接信息的元组和应用散列来阻止正在进行的通信量。然而,如果网络安全设备150是直联式设备,则它可能不一定通知终端主机130丢弃正在进行的通信量,因为网络安全设备150自身可以基于连接信息的元组来丢弃正在进行的通信量。
网络安全设备150也可以发出警告以通知网络管理员,哪个终端主机上的哪个应用和/或DLL模块已发起特定的网络连接。可以在警告中连同其他所期望的元数据一起来提供发送到终端主机130的端点声誉分值和/或新动作信息。此信息可以帮助管理员立即准确定位被感染的应用、进程和/或DLL模块。
转向图5,简化的交互图示示出根据至少一个实施例的、可在计算系统100中在终端主机130、网络安全设备150与威胁情报服务器170之间发生的可能的通信的一种场景。图5的情况示出当终端主机130上的应用正在尝试将恶意软件下载到终端主机130上时此应用被阻止时可能发生的潜在的交互和活动。在至少一个实施例中,端点情报代理132可以执行与终端主机130相关联的一个或多个交互和活动,而端点情报服务器152可以执行与网络安全设备150相关联的一个或多个交互和活动。图5的示例仅是潜在的交互的示例,并且不限制权利要求的范围。例如,模块的数量可以变化,组件的数量可以变化,特定的交互可以变化,交互的顺序可以变化,等等。
在图5的502、508、506、508和510处指示的交互和活动总体上与参照302、304、306、308和310示出并描述的图3的交互和活动相同。相应地,可以参照在图3的302、304、306、308和310处指示的交互和活动的描述和说明来理解在图5的502、504、506、508和510处指示的交互和活动。
在512处,网络安全设备150可以将响应发送到终端主机130。响应可包括TI声誉分值(或多分值)、对应的散列(或多个散列)以及指示将采取的动作的动作信息。在图5的示例场景下,应用和任何DLL模块不违反任何策略。相应地,在512处被发送到终端主机130的动作信息指示,将采取的动作是允许由与应用和DLL模块(如果有)相关联的进程建立的网络会话继续。
在网络会话期间,网络设备150可以将来自从终端主机130接收到的元数据的连接信息的元组关联至它接收到的网络通信量。这使网络设备150能够标识与此网络通信量相关联的终端主机和应用。网络设备150也可以配置成对此网络通信量执行任何恶意软件检测功能(例如,病毒扫描、入侵保护技术,等等)。相应地,在514处,网络设备150可以检测正在进行的会话的网络通信量中的恶意软件。网络通信量可以与连接信息的元组相关联,从而允许标识与此网络通信量相关联的终端主机130和特定的应用。
在516处,网络安全设备150可以基于检测到的恶意软件和例如来自本地网络策略服务器154的本地网络策略来确定将采取的动作。取决于发生什么类型的恶意软件检测,策略可以设置将采取的特定动作。
在518处,网络安全设备150可以将响应发送到终端主机130。响应可包括应用和/或DLL模块(如果有)的散列(或多个散列)以及指示将采取的动作的新动作信息。如果基于由网络安全设备150检测到的恶意软件发生了策略违反,并且将采取的动作是阻止动作,则网络安全设备150可以例如经由动作信息以通知终端主机130创建基于应用散列来阻止此应用进行未来网络连接,或基于一个或多个DLL模块散列来阻止这一个或多个DLL模块的规则。终端主机130可以根据来自网络安全设备150的动作信息来创建阻止特定的应用或DLL模块的规则。
如果网络安全设备150是带外设备,则网络安全设备150也可以例如经由新动作信息以通知终端主机130基于连接信息的元组和应用散列来阻止正在进行的通信量。然而,如果网络安全设备150是直联式设备,则它可能不一定通知终端主机130丢弃正在进行的通信量,因为网络安全设备150自身可以基于连接信息的元组来丢弃正在进行的通信量。网络安全设备150也可以发出警告以通知网络管理员关于检测到的恶意软件和/或发送到终端主机130的新动作信息的情况。
图6A-6B示出流程600的简化流程图,流程600示出根据实施例的、与在计算系统100中的终端主机上阻止恶意应用相关联的活动。一组操作可以对应于图6A-6B的活动。在实施例中,终端主机130的端点情报代理132可以执行这些操作中的至少一些操作。
最初,对应于终端主机130上的应用(例如,应用133中的应用)的进程可例如通过启动web浏览器来触发网络通信量。在602处,终端主机130可以拦截访问网络的尝试(例如,将电子邮件消息发送到目的地节点的尝试,连接到目的地节点以下载文件的尝试,通过打开web浏览器、经由因特网而访问远程节点(例如,web服务器)的尝试,等等)。连接可以保持不导致会话超时的一段时间。
在604处,当连接正在被保持时,终端主机130可以尝试确定应用的端点声誉分值。终端主机130可以执行一个或多个试探算法以确定合适的端点声誉分值。在至少一个实施例中,可以使用试探算法来判断一个或多个DLL模块对于与网络通信量相关联的特定的应用是否是合适的和/或所需的。具体而言,可以判断正在被调用的DLL模块是否与其他应用或与系统DLL模块相关。例如,操作系统DLL模块的使用可以指示,应用正在尝试进行未授权的修改或尝试经由网络连接来与其他设备进行通信。
如果成功地计算出端点声誉分值,则可以在合适的情况下应用本地配置的策略。例如,对于某些端点声誉分值(例如,指示某种程度的恶意),可以配置本地主机策略(例如,在主机策略服务器140中)供阻止当前的网络访问请求并阻止应用进行任何未来的网络连接。本地主机策略也可以或替代地可以阻止与此应用相关联的一个或多个DLL模块。当网络安全设备150不可由终端主机130访问或不可以其他方式由终端主机130达到时,本地主机策略应用可以是特别有利的。
如本文中先前所述,在606处,终端主机130将与终端主机130上的进程和网络访问尝试相关联的元数据发送到网络安全设备150。元数据包括连接信息的元组、与进程相关联的应用的散列以及由进程加载的动态链接库模块(如果有)的散列。元数据还可以包括下列各项中的一项或多项:安全标识符(SID)、用户名/标识符、域、应用名称和文件路径(AppPath)、端点应用声誉(AppReputation)、动态链接库(DLL)声誉(DLLReputation)、应用类别、进程名称、父进程名称等等。如果在604成功地计算出了端点声誉分值(MD5ConfidenceScore),则也可以将它包括在元数据中。此外,如果端点声誉分值被成功地计算出,并且导致根据本地主机策略采取了动作(例如,阻止或隔离应用和/或DLL模块),则也可以将采取的特定动作报告给网络安全设备150。
如果由网络安全设备150在先前的网络访问尝试期间确定了应用的TI声誉分值,则终端主机130先前可能接收到此TI声誉分值,此分值可以被高速缓存或以其他方式可以由终端主机130访问。如果用于高速缓存TI声誉分值的预定的时间段还未期满,则终端主机130可以将经高速缓存的TI声誉分值添加到元数据中,以发送到网络安全设备150。然而,如果预定的时间段已经期满,则可能无法将经高速缓存的TI声誉分值发送到网络安全设备150。在这种情况下,在608处,终端主机130可以从网络安全设备150请求应用的新TI声誉分值(以及任何相关联的DLL模块的TI分值)。在至少一个实施例中,此请求可与将元数据发送到网络安全设备150整合。例如,如果在元数据中什么都没有接收到,则网络安全设备150可以配置成获取新TI声誉分值。
在610处,终端主机130可以释放连接,并且发起与所期望的目的地节点之间的网络会话。可以发起会话以避免终端主机130上的会话超时。在612处,终端主机130接收TI声誉分值和应用的散列。终端主机130也可以接收TI声誉分值和DLL模块(如果有)的散列。在614处,终端主机130确定由接收到的动作信息指示的将采取的动作。终端主机130也可以高速缓存应用和DLL模块(如果有)的TI声誉分值,并且重新启动用于评估允许用于高速缓存TI声誉分值的预定的时间段的定时器。
如果如在616处所指示将采取的动作是允许动作,则如在618处所指示,终端主机103允许所建立的网络会话继续。如果如在620处所指示,网络会话在没有检测到任何恶意软件的情况下网结束,则流程600结束。
然而,如在620处所指示,在网络会话期间,可能在至少两个不同的场景中检测到恶意软件。首先,可以例如在网络会话中在网络安全设备150处接收到的正在进行的网络通信量中检测到恶意软件。如果在网络安全设备150处检测到恶意软件,则在622处,终端主机130从网络安全设备150接收包括新动作信息和应用的散列(以及可能的DLL模块(如果有)的散列)的响应。
在第二场景中,由正在执行的进程加载的一个或多个DLL模块可以被确定为是恶意的。终端主机130可以使用一个或多个试探算法来判断特定的DLL模块是否是恶意的。例如,试探算法可以评估DLL模块是否感染了恶意软件,或DLL模块对于与网络会话相关联的特定的应用是否是合适的和/或所需的。如果终端主机130确定了DLL模块是恶意的,则在624,终端主机130可以将此应用分类为恶意的,并且将基于此恶意的DLL模块的端点声誉分值分配给应用。
在至少一个实施例中,当端点声誉分值已被分配给终端主机130上的应用时,可配置(例如,在主机策略服务器140中)本地主机策略,供阻止网络会话的正在进行的网络通信量和/或阻止由应用作出的未来的网络连接。可以基于本地主机策略的阈值极限与端点声誉分值的比较来确定此类动作。当网络安全设备150无法由终端主机130访问或无法以其他方式由终端主机130达到,并且在612处没有在响应中接收到TI声誉分值时,本地主机策略应用可以是特别有利的。
在626处,终端主机130可以将端点声誉分值和应用的散列发送到网络安全设备150。此外,如果端点声誉分值导致根据本地主机策略而在终端主机130上采取了动作(例如,阻止或隔离应用和/或DLL模块),则也可以采取的特定动作报告给网路安全设备150。在628处,终端主机130接收包括新动作信息的响应,此新动作信息指示将采取的动作以及动作应用于的应用或DLL模块的散列(或多个散列)。可以由网络安全设备150基于端点声誉分值、本地网络策略以及可能的是否基于终端主机的本地主机策略而已在此终端主机上采取了动作来确定将采取的动作。
一旦终端主机130在622或628处接收到新动作信息,或如果在先前在612处接收到的动作信息中指示的动作不是允许动作(如在616处所指示),则流程可以转到630。在630处,如果网络安全设备150是带外的,则终端主机130可以接收阻止网络会话的正在进行的通信的通知。可以例如从新动作信息(例如,622,628)或从来自网络安全设备150的响应中的第一动作信息(例如,612)接收此通知。在其他实施例中,此通知可以与响应分开地发送。在632处,如果接收到阻止正在进行的通信的通知,则终端主机130阻止网络会话的正在进行的通信。
在634处,终端主机130可以基于在来自网络安全设备150的最近的响应中接收到的特定的动作信息和散列(或多个散列)来创建规则。例如,如果动作信息指示了阻止动作,则可创建阻止应用或一个或多个DLL模块从终端主机130进行未来的网络连接的规则。在至少一个实施例中,阻止应用或DLL模块的规则可以配置成基于应用或DLL模块的散列来防止此应用或DLL模块执行。在另一示例中,如果动作信息指示了隔离动作,则可创建隔离应用或DLL模块的规则。在至少一个实施例中,隔离应用或DLL模块的规则可以配置成基于接收到的散列来允许应用或DLL模块执行,但防止此应用或DLL模块建立网络会话。此外,当与指示了将对多个DLL模块采取的动作的动作信息一起接收到多个散列时,在一些实例中,可以为多个DLL模块创建这些规则。此外,当应用被阻止时,也连同此应用一起来防止其相关联的DLL模块执行。当应用被隔离时,此应用的相关联的DLL模块当由从此应用调用的进程加载时也被隔离。在又一实施例中,本地网络策略可以配置成即使策略被违反(例如,差的TI声誉分值、差的端点声誉分值、检测到恶意软件)也允许应用。在这些场景中,假定策略不变化,则应用不被阻止也不被隔离,并切被允许建立未来的网络连接。
图7A-7B示出流程700的简化流程图,流程700示出根据实施例的与在计算系统100中的终端主机上阻止恶意应用相关联的活动。一组操作可以对应于图7A-7B的活动。在实施例中,网络安全设备150的端点情报服务器152可以执行这些操作中的至少一些操作。
在702处,网络安全设备150接收与在终端主机130上发起网络访问尝试的进程相关联的元数据。此进程是终端主机130上的正在执行的应用(例如,应用133中的应用)的一个实例。元数据可包括与网络访问尝试相关的信息,诸如,连接信息的元组。元数据也可以包括与对应的应用相关的信息,诸如,应用的散列以及由进程加载的动态链接库模块(如果有)的散列。元数据还可以包括下列各项中的一项或多项:安全标识符(SID)、用户名/标识符、域、应用名称和文件路径(AppPath)、端点应用声誉(AppReputation)、动态链接库(DLL)声誉(DLLReputation)、应用类别、进程名称、父进程名称,等等。如果终端主机130成功地计算出端点声誉分值(MD5ConfidenceScore),则此端点声誉分值也可被包括在元数据中。
在704处,作出关于是否由终端主机130请求了TI声誉分值的判断。当先前未由网络安全设备150为终端主机130确定TI声誉分值中的任何一个时,可以请求应用以及其DLL模块的TI声誉分值。当用于高速缓存TI声誉分值的预定的时间段已期满时,也可以请求TI声誉分值。在至少一个实施例中,可以通过不将TI声誉分值包括在发送到网络安全设备150的元数据中来请求它们。
如果未由终端主机130请求TI声誉分值,则在712处,可以从元数据中检索TI分值。然而,TI声誉分值被请求,则在706处,网络安全设备150基于应用的散列来向本地威胁情报服务器170查询此应用的TI声誉分值。网络安全设备150也可以基于DLL模块(如果有)的散列来向本地威胁情报服务器170查询此DLL模块的TI声誉分值。取决于特定的实现,对应用和一个或多个DLL模块的TI声誉分值的查询和响应可以是组合的或分开的。如果本地威胁情报服务器170不能提供TI声誉分值(例如,散列未知,或服务器不可用),则在至少一个实施例中,网络安全设备150或威胁情报服务器170可以查询另一源(诸如,云威胁情报服务器120)。
如果在708处确定了未从本地威胁情报服务器170(或从任何其他源)接收到TI声誉分值或多个分值,则在710处,可以从元数据中检索端点声誉分值(如果可用)。在获取了一个或多个TI声誉分值或端点声誉分值之后,随后在714处,网络安全设备150可以使用特定的声誉分值(或多个分值)以基于本地网络策略来确定将采取的动作。可以基于对应于正在被评估的特定的声誉分值或分值的组合的应用(或DLL模块)的散列,例如在本地网络策略服务器154中标识策略。为了评估TI声誉分值,策略可以为应用、每一个DLL模块或它们的任何所需的组合的TI声誉分值设置特定的阈值极限。为了评估端点声誉分值,策略可以为端点声誉分值设置特定的阈值极限。可以基于此特定的阈值极限和正在被评估的实际的TI声誉分值或端点声誉分值来确定动作。例如,当TI声誉分值(或端点声誉分值)表示由策略作为应用的阈值极限而设置的至少某种程度的恶意时,可以为应用选择阻止动作。在另一个示例中,当TI声誉分值(或端点声誉分值)不表示由策略作为应用的阈值极限而设置的某种程度的恶意时,可以选择允许动作。
在至少一个实施例中,特定的应用或DLL模块的管理员白名单或黑名单分类可优先于TI声誉分值或端点声誉分值。例如,可以作出关于应用或DLL模块的散列是否在管理员白名单或黑名单上的校验。如果在管理员白名单上发现应用或DLL模块的散列,则特定的应用或DLL模块可以被分类(为例如,白、良性、好的,安全的,等等)以指示已知它无恶意软件。在此实例中,可允许白名单应用或DLL模块运行,无论其声誉分值如何。然而,如果在管理员黑名单上发现应用或DLL模块的散列,则此应用或DLL模块可以被分类(为例如,黑、差的、恶意等等)以指示它是已知的恶意软件。在此实例中,可阻止黑名单应用或DLL模块,而无论其声誉分值如何。此外,如果基于管理员黑名单,DLL模块被分类为恶意的,则在至少一些实施例中,其相关联的应用也可以被分类为恶意的。可以将动作信息发送到终端主机130,并且流程可以转到718。
在716处,网络安全设备150可以将响应发送到终端主机130。响应可包括TI声誉分值(或多个分值)或端点声誉分值、对应的散列(或多个散列)以及指示将采取什么动作的动作信息,所述动作包括但不仅限于,阻止此应用、阻止一个或多个DLL模块、允许应用、隔离应用、隔离一个或多个DLL模块,等等。动作信息也可以指示阻止网络会话的正在进行的通信。如果策略违反已发生,则从网络安全设备150传递到终端主机130的特定的动作信息可以取决于网络安全设备150是直联的还是带外的。如果网络安全设备150是带外设备,并且策略违反已发生,则网络安全设备150可以例如经由动作信息以通知终端主机130基于连接信息的元组和应用散列来阻止正在进行的通信。然而,当网络安全设备150是直联式设备时,它可能不一定通知终端主机130丢弃正在进行的通信量,因为网络安全设备150可以基于在来自终端主机130的元数据中接收到的连接信息的元组来丢弃这些正在进行的通信。无论是直联式还是带外实现,如果策略违反已发生,则网络安全设备150也可以例如经由动作信息以通知终端主机130创建基于应用散列来阻止应用进行未来的网络连接、或基于一个或多个DLL模块的散列来阻止这一个或多个DLL模块的规则。在一些场景中,某些策略违反可能要求采取隔离行动。
如果如在718处所指示将采取的动作是允许动作,则可允许由进程建立的网络会话继续。网络会话的正在进行的网络通信量可以继续由网络安全设备150接收,直到会话终止。如果如在720处所指示网络会话在没有检测到任何恶意软件的情况下结束,则流程600结束。
然而,在网络会话期间,如在720处所指示,可能在至少两个不同的场景中检测到恶意软件。首先,可以例如在网络会话中在网络安全设备150处接收到的正在进行的网络通信量中检测到恶意软件。网络安全设备150可以配置成对它接收到的网络通信量执行任何恶意软件检测功能(例如,病毒扫描、入侵保护技术,等等)。如果网络安全设备150在网络通信量中检测到与终端主机130上的应用相关联恶意软件,则在722处,此网络通信量可以与连接信息的元组相关联,从而允许标识与此网络通信量相关联的终端主机130以及特定的应用和进程。
在724处,网络安全设备150可以基于检测到的恶意软件、本地网络策略以及可能的应用的散列来确定将采取的动作。可以例如从本地网络策略服务器154来提供策略。取决于发生了什么类型的恶意软件检测,以及潜在地取决于什么是受影响的特定应用所需的,策略可以指定将采取的特定的动作。在730处,网络安全设备150可以将响应发送到终端主机130。响应可包括散列(或多个散列)以及指示将采取的动作的新动作信息,所述动作包括但不仅限于,阻止此应用、允许此应用、隔离应用,等等。此外,如果网络安全设备150是带外的,则将采取的动作可包括例如阻止正在进行的通信。
在可能在所允许的网络会话期间发生的恶意软件检测的第二种场景中,可由终端主机130将由进程加载的一个或多个DLL模块确定为威胁。在这种情况下,在726处,网络安全设备150接收应用的端点声誉分值。在728处,网络安全设备150可以使用此端点声誉分值以基于本地网络策略来确定将采取的动作。策略可以为应用的端点声誉分值设置特定的阈值极限(例如,指示要求阻止的某种程度的恶意)。可以基于特定的阈值极限以及正在被评估的实际端点声誉分值来确定动作。
在730处,网络安全设备150可以将响应发送到终端主机130。响应可包括散列(或多个散列)以及指示将采取的动作的新动作信息,所述动作包括但不仅限于,阻止此应用、阻止一个或多个DLL模块、允许此应用、隔离此应用、隔离一个或多个DLL模块,等等。此外,如果网络安全设备150是带外的,则将采取的动作可包括例如阻止正在进行的通信量。
一旦已在730处将新动作信息发送到终端主机,或如果先前发送的动作信息中所指示的动作不是允许动作(如在718处所指示),则流程可以转到732。在732处,如果网络安全设备150是直联式的,则当应用不被允许(例如,被阻止、被隔离)时,此网络安全设备150可以阻止与此应用相关联的正在进行的通信量。
在734,网络安全设备150可以发出警告以通知网络管理员关于哪个终端主机上的哪个应用和/或DLL模块与策略违反相关联的情况。发送到终端主机130的TI声誉分值、端点声誉分值和/或动作信息可以在此警告中被提供给网络管理员。警告也可以包括使管理员能够标识有争议的特定主机、用户和/或应用(以及DLL模块)的其他元数据信息(例如,文件名称和路径、应用声誉、DLL模块声誉、用户名、SID,等等)。通常,当策略违反已发生时(例如,不满足TI声誉分值或端点声誉分值的阈值极限,等等)发出警告。然而,将显而易见的是,可以基于由网络安全设备150作出的任何确定(例如,TI声誉分值、将采取的动作,等等)来引发警告。警告可以提供关于特定主机和应用的、使网络管理员能够快速地标识进程、应用、DLL模块以及终端主机,并且在需要的情况下采取某些针对性的动作的重要信息。
图8-9是根据本文中所公开的实施例的、可以使用的示例性计算机架构的框图。也可以使用本领域内已知的用于处理器、移动设备、计算设备以及网络元件的其他计算机架构设计。一般而言,对于本文中所公开的实施例,合适的计算机架构可包括但不仅限于图8-9中所示出的配置。
图8是根据实施例的处理器的示例图示。处理器800分别是终端主机130和网络安全设备150的处理器136和156的一个示例。处理器800也是VDI服务器200的硬件层210中的一个或多个处理器的一个示例。
处理器800可以是任何类型的处理器,诸如,微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器、多核处理器,单核处理器,或用于执行代码的其他设备。虽然在图8中仅示出一个处理器800,但是处理元件可以替代地包括多于一个的图8中所示出的处理器800。处理器800可以是单线程的,或对于至少一个实施例,处理器800可以是多线程的,体现在对于每一个核,处理器800包括多于一个的硬件线程上下文(或“逻辑处理器”)。
图8还示出了根据实施例的存储器802,此存储器802耦合到处理器800。存储器802分别是终端主机130和网络安全设备150的存储器元件138和158的一个示例。存储器802也是VDI服务器200的硬件层210中的一个或多个存储器元件的一个示例。存储器802可以是为本领域技术人员所知或对本领域技术人员可用的各种存储器(包括存储器层次结构的各个层)中的任何一种。此类存储器元件可包括但不仅限于,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)的逻辑块、可擦可编程只读存储器(EPROM)以及电可擦可编程序只读存储器(EEPROM)。
处理器800可以执行与本文中详述的恶意应用阻止操作相关联的任何类型的指令。一般而言,处理器800可以将元件或制品(例如,数据)从一种状态或事物转换为另一种状态或事物。
代码804(其可以是将由处理器800执行的一条或多条指令)可以存储在存储器802中。代码804可包括各种模块(例如,端点情报代理132、端点情报服务器152)的指令,这些指令可在合适的情况下、基于特定的需求而存储在软件、硬件、固件,或他们的任何合适的组合中,或存储在任何其他内部或外部的组件、设备、元件或对象中。在一个示例中,处理器800可以遵循由代码804指示的指令的程序序列。每一条指令都进入前端逻辑806,并且由一个或多个解码器808处理。解码器可以生成微操作(诸如,以预定义格式的固定宽度的微操作)或可以生成反映原始的代码指令的其他指令、微指令或控制信号以作为其输出。前端逻辑806还包括寄存器重命名逻辑810和调度逻辑812,它们一般分配资源,并对应于供执行的指令对操作排队列。
处理器800也可以包括执行逻辑814,此执行逻辑814具有一组执行单元816-1至816-M。一些实施例可以包括专用于特定功能或功能组的多个执行单元。其他实施例可包括仅一个执行单元或可执行特定的功能的仅一个执行单元。执行逻辑814执行由代码指令指定的操作。
在完成了由代码指令指定的操作之后,后端逻辑818可以引退代码804的指令。在一个实施例中,处理器800允许无序的执行,但是要求有序的指令引退。引退逻辑820可以采取各种已知的形式(例如,重排序缓冲器等)。以此方式,至少对于由解码器所生成的输出、硬件寄存器和由寄存器重命名逻辑810利用的表以及由执行逻辑814修改的任何寄存器(未示出)而言,处理器800在代码804的执行期间被转换,。
虽然在图8中未示出,但是处理元件在芯片上可包括与处理器800一起的其他元件。例如,处理元件可包括与处理器800一起的存储器控制逻辑。处理元件可包括I/O控制逻辑和/或可包括与存储器控制逻辑集成的I/O控制逻辑。处理元件也可以包括一个或多个高速缓存。在一些实施例中,非易失性存储器(诸如,闪存或熔丝)也可以与处理器800一起被包括在芯片上。
图9示出根据实施例的点对点(PtP)配置来布置的计算设备900。具体而言,图9示出其中处理元件、存储器以及输入/输出设备通过多个点对点接口来互连的系统。一般而言,计算系统100的计算设备(例如,网络安全设备150、终端主机130、VDI服务器200,等等)中的一个或多个能以与计算设备900相同或类似的方式配置。
处理元件970和980也可以各自都包括集成的存储器控制器逻辑(MC)972和982,以便与存储器元件932和934进行通信。在替代实施例中,存储器控制器逻辑972和982可以是与处理元件970和980分开的分立逻辑。存储器元件932和/或934可以存储由处理元件970和980在实现如本文中概述的与恶意应用阻止操作相关联的操作时使用的各种数据。
如图9中所示,计算设备900可包括若干处理元件,其中,为清楚起见,仅示出了其中的两个处理元件970和980。尽管仅示出两个处理元件970和980,但是可以理解,系统900的实施例还可以包括仅一个类处理元件。处理元件970和980可以各自都包括用于执行程序的多个线程的处理器核974a和984a。处理元件970和980也可以各自都包括集成的存储器控制器逻辑(MC)972和982,以便与存储器元件932和934进行通信。存储器元件932和/或934可以存储各种数据。在替代实施例中,存储器控制器逻辑972和982可以是与处理元件970和980分开的分立逻辑。
处理元件970和980可以是任何类型的处理元件(本文中也被称为“处理器”)。例如,处理元件970和980可包括诸如参照图8的处理器800以及图1的处理器136和156所讨论的那些处理器而配置的处理器。处理元件970和980可以分别使用点对点接口电路978和988,经由点对点(PtP)接口950来交换数据。处理元件970和980可以各自都经由单个的点对点接口952和954,使用点对点接口电路976、986、994和998来来交换数据。如本文中所示,控制逻辑990与处理元件970和980分开。然而,在实施例中,控制逻辑990被集成在与处理元件970和980相同的芯片上。也能以不同的方式将控制逻辑990分区为具有更少或更多的集成电路。另外,控制逻辑990还可以使用接口电路992(可以是PtP接口电路),经由高性能图形接口939来与高性能图形电路938交换数据。在实施例中,控制逻辑990可以通过接口电路而连接到显示器993。显示器993可包括但不仅限于,液晶显示器(LCD)、等离子、阴极射线管(CRT)显示器,触摸屏或任何其他形式的可视显示设备。在替代实施例中,图9中所示出的PtP链路中的任何一个或全部都可被实现为多点分支总线,而非PtP链路。
如图9中所示,处理元件970和980中的每一个都可以是多核处理器,包括第一和第二处理器核1(即,处理器核974a和974b以及处理器核984a和984b)。此类核可以配置成以与上文中参照图1-6所讨论的方式类似的方式来执行指令代码。每一处理元件970,980都可以包括至少一个共享高速缓存971、981。共享高速缓存971、981可以存储由处理元件970,980的的一个或多个组件(诸如,核974a、974b、984a和984b)0利用的数据(例如,指令、代码)。
控制逻辑990可以经由接口电路996来与总线920进行通信。总线920可以具有通过它进行通信的一个或多个设备,总线920诸如,总线桥接器918和I/O设备916。经由总线910,总线桥接器918可以与其他设备进行通信,其他设备诸如,键盘/鼠标912(或其他输入设备,诸如,触摸屏、轨迹球、操纵杆,等等)、通信设备926(诸如,调制解调器、网络接口设备,或可以通过计算机网络960进行通信的其他类型的通信设备)、音频I/O设备914和/或数据存储设备928。数据存储设备928可以存储代码930,此代码930可以由处理元件970和/或980执行。在替代实施例中,可以利用一个或多个PtP链路来实现总线架构中的任何部分。
处理元件970,980和存储器元件932,934表示广泛的处理元件、存储器元件及其他存储器布置。此类布置可包括各种执行速度和功耗的单核或多核处理器,以及各种架构(例如,具有一个或多个层级的高速缓存)和各种类型(例如,动态随机存取、闪存,等等)的存储器。
图9中所描绘的计算机系统是可以用于实现本文中所讨论的各实施例的计算系统的实施例(诸如,终端主机130和网络安全设备150)的示意图。将会领会,根据本文中所提供的各实施例,图9中所描绘的系统的各种组件可以组合在片上系统(SoC)架构中,或能以能够在终端主机上实现恶意应用阻止的任何其他合适的配置来组合。例如,本文中所公开的实施例可以合并到系统中,所述系统诸如例如,移动设备,所述移动设备诸如,智能蜂窝电话、平板计算机、个人数字助理、便携式游戏设备,等等。将会领会,在至少一些实施例中,能以SoC架构来提供这些移动设备。此外,能以与本文中所示出或描述的不同的方式来对这些组件中的任何组件分区以包括仍能够实现根据本公开的在终端主机上实现恶意应用阻止更多或更少的集成电路。
注意,在某些示例实现中,可由以一种或多种有形的机器可读存储介质编码的逻辑来实现本文中概述的恶意应用阻止活动,所述一种或多种有形的机器可读存储介质可包括非暂态介质。例如,本文中概述的活动可以由以下各项实现:在专用集成电路(ASIC)中提供的嵌入的逻辑、数字信号处理器(DSP)指令、将由处理器136,156执行的软件(潜在地包括目标代码和源代码)、固件和/或硬件)、或其他类似的机器,等等。在这些实例中的一些实例中,存储器元件138、158可以存储用于本文中所描述的操作的数据。这包括存储器元件138、158能够存储经执行以实现本说明书中所描述的活动的软件、逻辑、代码或处理器指令。
处理器可以执行与数据相关联的任何类型的指令以实现本文中详述的操作。在一个示例中,处理器可以将元件或制品(例如,数据)从一种状态或事物转换为另一种状态或事物。在另一个示例中,本文中概述的活动可以利用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文中所标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)或包括数字逻辑的ASIC、软件、代码、电子指令、或上述各项的任何合适的组合。本文中所描述的潜在的处理元件、模块和机器中的任何一个都应该解释为被涵盖在广义的术语“处理器”内。
计算系统100的计算元件(例如,终端主机130、网络安全设备150、VDI服务器200)可包括易失性和/或非易失性存储器元件(例如,存储器元件138,158),用于存储在本文中概述的操作中使用的数据和信息,这些数据和信息包括指令和/或代码。终端主机130、网络安全设备150和VDI服务器200中的每一个都可以在合适的情况下,并基于特定需求来将数据和信息保存在任何合适的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、可擦PROM(EPROM)、电EPROM(EEPROM)、盘驱动器、软盘、紧致盘ROM(CD-ROM)、数字多功能盘(DVD)、闪存、磁光盘、专用集成电路(ASIC)或能够存储数据和信息的其他类型的非易失性机器可读的存储介质)、软件、硬件、固件,或保存在任何其他合适的组件、设备、元件或对象中。本文中所讨论的存储器项中的任何一个(例如,存储器元件138,158)应该被解释为被涵盖在广义的术语“存储器元件”内。此外,可以在任何储存库、数据库、寄存器、队列、表、高速缓存、控制列表,或其他存储器结构(所有的这些都可在任何合适的时间帧处引用)中提供在计算系统100中正在被使用、跟踪、发送或接收的信息。任何此类存储器选项都还可以被包括在如本文中所使用的广义的术语“存储器元件”内。
请注意,对于本文中所提供的示例,能以两个、三个或更多计算设备来描述交互。然而,仅处于清楚和示例的目的这样做。在某些情况下,通过仅引用有限数量的计算设备,可以更容易地描述给定集合的流的功能中的一个或多个。应当领会,计算系统100以及其教导是可容易地按比例缩放的,并且可以接纳大量的组件以及更复杂/精巧的布置和配置。相应地,所提供的示例不应当限制计算系统100的范围或抑制计算系统100的广泛教导,因为这些示例潜在地适用于无数其他架构。
同样重要的是要注意到,前述流程图和交互图示(即,图3-7)中的操作仅示出可以由计算系统100执行或可在计算系统100内执行的可能的恶意应用阻止活动中的一些。在合适的情况下可删除或去除这些操作中的一些操作,或者可以显著地修改或改变这些操作而被背离本公开的范围。此外,已将这些操作中的许多操作描述为与一个或多个附加的操作并发地或并行地执行。然而,可以显著地改变这些操作的定时。已出于示例和讨论的目的提供了前述操作流程。由计算系统100的实施例提供了相当大的灵活性,因为可以提供任何合适的布置、时序、配置以及定时机制。
如本文中所使用,除非明确地陈述为相反的情况,否则短语“至少一个”的使用是指提及的元件、条件或活动的任何组合。例如,“X,Y和Z中的至少一个”旨在意味着下列各项中的任一项:1)X,但非Y,且非Z;2)Y,但非X,且非Z;3)Z,但非X,且非Y;4)X和Y,但非Z;5)X和Z,但非Y;6)Y和Z,但非X;或7)X、Y和Z。
虽然参照特定的布置和配置详细地描述了本公开,但是可以显著更改这些示例配置和布置而不背离本公开的范围。此外,虽然已参照促进恶意应用阻止活动的特定元件和操作说明了计算系统100,但是,这些元件和操作可以替换为实现计算系统100的计划的功能的任何合适的架构、协议和/或过程。
其他注释和示例
下列示例涉及根据本说明书的实施例。注意,上文所描述的设备和系统的所有任选的特征也可以参照本文中所描述的方法或过程来实现,并且示例中的细节可以用于一个或多个实施例中的任何地方。
示例N1是至少一种机器可读存储介质,所述至少一种机器可读存储介质以用于阻止恶意软件的指令进行编码,当由至少一个处理器执行所述指令时,所述指令使所述处理器:接收进程的元数据,所述元数据在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值;基于所述应用的散列来请求威胁情报声誉分值;至少部分地基于以下内容来确定将由所述终端主机采取的动作:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及发送指示将由所述终端主机采取的动作的响应。
在示例N2中,示例N1的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值表示至少一定程度的恶意时,阻止所述应用。
在示例N3中,示例N2的主题可以任选地包括指令,当由所述至少一个处理器执行所述指令时,所述指令进一步使所述处理器:使连接信息的元组同与由所述进程建立的网络会话相关联的网络通信量量相关,其中,所述元数据包括所述连接信息的元组;以及如果所述网络安全设备与所述终端主机直联,则在所述网络安全设备上阻止与所述连接信息的元组相关的所述网络通信量。
在示例N4中,示例N2-N3中的任一项的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:如果所述网络安全设备是带外的,则通知所述终端主机阻止网络会话中由所述进程建立的正在进行的网络通信量。
在示例N5中,示例N4的主题可以任选地包括:由指示将采取的动作的响应来通知所述终端主机阻止所述正在进行的网络通信量。
在示例N6中,示例N1的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的网络会话继续。
在示例N7中,示例N6的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:从所述终端主机接收第二端点声誉分值;至少部分地基于一个或多个其他策略以及所述第二端点声誉分值来确定将由所述终端主机采取的第二动作;以及发送指示将由所述终端主机所采取的所述第二动作的第二响应。
在示例N8中,示例N7的主题可以任选地包括:基于对由所述进程调用的一个或多个动态链接库模块的试探分析来确定所述第二端点声誉分值。
在示例N9中,示例N8的主题可以任选地包括:所述第二动作包括下列各种动作中的一种动作:当所述第二端点声誉分值表示至少某种程度的恶意时,阻止所述应用以及阻止所述一个或多个动态链接库模块中的至少一个。
在示例N10中,示例N6的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:接收与所述网络会话相关联的网络通信量;检测所述网络通信量中的恶意软件;使连接信息的元组与包含所述恶意软件的网络通信量相关,其中,所述元数据包括所述连接信息的元组;至少部分地基于一个或多个其他策略来确定将由所述终端主机采取的第二动作;以及发送指示将由所述终端主机所采取的所述第二动作的第二响应。
在示例N11中,示例N10的主题可以任选地包括:所述第二动作包括:阻止所述应用。
在示例N12中,示例N1-N11中的任一项的主题可以任选地包括:所述元数据进一步包括连接信息的元组,所述连接信息的元组包括所述终端主机的源网络地址、所述终端主机的源端口、所述网络会话的目的地节点的目的地网络地址、所述目的地节点的目的地端口以及所述网络会话的协议。
在示例N13中,示例N1-N12中的任一项的主题可以任选地包括:所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
在示例N14中,示例N13的主题可以任选地包括:提供所述元数据的中至少一些以便在用户界面上显示。
在示例N15中,示例N1-N14中的任一项的主题可以任选地包括指令,当由所述至少一个处理器执行所述时,所述指令进一步使所述处理器:基于由所述终端主机上的所述进程加载的动态链接库模块的另一散列来请求另一威胁情报声誉分值,其中,至少部分地基于所述另一威胁情报分值来确定所述动作。
在示例N16中,示例N15的主题可以任选地包括:所述动作包括:阻止所述动态链接库模块。
在示例N17中,示例N1-N16中的任一项的主题可以任选地包括:当威胁情报声誉分值不可用时,基于所述一个或多个策略以及所述端点声誉分值来确定将由所述终端主机采取的动作。
在示例N18中,示例N1-N17中的任一项的主题可以任选地包括指令,当由所述至少一个处理器执行所述时,所述指令进一步使所述处理器:将所述一个或多个策略的阈值极限与所述威胁情报声誉分值进行比较以确定所述将采取的动作。
在示例N19中,示例N1-N18中的任一项的主题可以任选地包括:所述终端主机是由管理服务器管理的多个虚拟桌面中的虚拟桌面,其中,所述响应被发送到所述管理服务器。
示例N20是用于阻止恶意软件的设备,所述设备包括:至少一个存储器元件;至少一个处理器,耦合到所述至少一个存储器元件;端点情报服务器,在所述至少一个处理器上运行,其中,所述端点情报服务器配置成:接收进程的元数据,所述元数据在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值;基于所述应用的散列来请求威胁情报声誉分值;至少部分地基于以下内容来确定要将所述终端主机采取的动作:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及发送指示将由所述终端主机采取的动作的响应。
在示例N21中,示例N20的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,阻止所述应用。
在示例N22中,示例N21的主题可以任选地包括:端点情报服务器进一步配置成:使连接信息的元组同与由所述进程建立的网络会话相关联的网络通信量量相关,其中,所述元数据包括所述连接信息的元组;以及如果所述网络安全设备与所述终端主机直联,则在所述网络安全设备上阻止与所述连接信息的元组相关的所述网络通信量。
在示例N23中,示例N21-N22中的任一项的主题可以任选地包括:端点情报服务器进一步配置成:如果所述网络安全设备是带外的,则通知所述终端主机阻止网络会话中由所述进程建立的正在进行的网络通信量。
在示例N24中,示例N23的主题可以可任选地包括,通过表示要被采取的所述动作的响应,通知所述终端主机阻止所述正在进行的网络通信量。
在示例N25中,示例N20的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的网络会话继续。
在示例N26中,示例N25的主题可以任选地包括:端点情报服务器进一步配置成:从所述终端主机接收第二端点声誉分值;至少部分地基于一个或多个其他策略以及所述第二端点声誉分值来确定将由所述终端主机采取的第二动作;以及发送指示将由所述终端主机采取的所述第二动作的第二响应。
在示例N27中,示例N26的主题可以任选地包括:基于对由所述进程调用的一个或多个动态链接库模块的试探分析来确定所述第二端点声誉分值。
在示例N28中,示例N27的主题可以任选地包括:所述第二动作包括下列各种动作中的一种动作:当所述第二端点声誉分值表示至少某种程度的恶意时,阻止所述应用以及阻止所述一个或多个动态链接库模块中的至少一个。
在示例N29中,示例N25的主题可以任选地包括:端点情报服务器进一步配置成:接收与所述网络会话相关联的网络通信量;检测所述网络通信量中的恶意软件;使连接信息的元组与包含所述恶意软件的网络通信量相关,其中,所述元数据包括所述连接信息的元组;至少部分地基于一个或多个其他策略来确定将由所述终端主机采取的第二动作;以及发送指示将由所述终端主机采取的所述第二动作的第二响应。
在示例N30中,示例N29的主题可以任选地包括:第二动作包括:阻止所述应用。
在示例N31中,示例N20-N30中的任一项的主题可以任选地包括:所述元数据进一步包括连接信息的元组,所述连接信息的元组包括所述终端主机的源网络地址、所述终端主机的源端口、所述网络会话的目的地节点的目的地网络地址、所述目的地节点的目的地端口以及所述网络会话的协议。
在示例N32中,示例N20-N31中的任一项的主题可以任选地包括:所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
在示例N33中,示例N32的主题可以任选地包括:提供所述元数据中的至少一些以便在用户界面上显示。
在示例N34中,示例N20-N33中的任一项的主题可以任选地包括:端点情报代理进一步配置成:基于由终端主机上的所述进程加载的动态链接库模块的另一散列来请求另一威胁情报声誉分值,其中,至少部分地基于所述另一威胁情报分值来确定所述动作。
在示例N35中,示例N34的主题可以任选地包括:所述动作包括:阻止所述动态链接库模块。
在示例N36中,示例N20-N35中的任一项的主题可以任选地包括,当威胁情报声誉分值不可用时,基于所述一个或多个策略以及所述端点声誉分值来确定将由所述终端主机采取的动作。
在示例N37中,示例N20-N36中的任一项的主题可以任选地包括:端点情报代理进一步配置成:将所述一个或多个策略的阈值极限与所述威胁情报声誉分值进行比较以确定所述将采取的动作。
在示例N38中,示例N20-N37中的任一项的主题可以任选地包括:所述终端主机是由管理服务器管理的多个虚拟桌面中的虚拟桌面,其中,所述响应被发送到所述管理服务器。
示例N39是一种用于阻止恶意软件的方法,所述方法包括以下步骤:接收进程的元数据,所述进程在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值;基于所述应用的散列来请求威胁情报声誉分值;至少部分地基于以下内容来确定将由所述终端主机采取的动作:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及发送指示将由所述终端主机采取的动作的响应。
在示例N40中,示例N39的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,阻止所述应用。
在示例N41中,示例N40的主题可以任选地包括:使连接信息的元组同与由所述进程建立的网络会话相关联的网络通信量相关,其中,所述元数据包括所述连接信息的元组;以及如果所述网络安全设备与所述终端主机直联,则在所述网络安全设备上阻止与所述连接信息的元组相关的所述网络通信量。
在示例N42中,示例N40-N41中的任一项的主题可以任选地包括:如果网络安全设备是带外的,则通知所述终端主机阻止网络会话中由所述进程建立的正在进行的网络通信量。
在示例N43中,示例N42的主题可以可任选地包括,通过表示要被采取的所述动作的响应,通知所述终端主机阻止所述正在进行的网络通信量。
在示例N44中,示例N39的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的网络会话继续。
在示例N45中,示例N44的主题可以任选地包括:从所述终端主机接收第二端点声誉分值;至少部分地基于一个或多个其他策略以及所述第二端点声誉分值来确定将由所述终端主机采取的第二动作;以及发送指示将由所述终端主机采取的所述第二动作的第二响应。
在示例N46中,示例N45的主题可以任选地包括:基于对由所述进程调用的一个或多个动态链接库模块的试探分析来确定所述第二端点声誉分值。
在示例N47中,示例N46的主题可以任选地包括:所述第二动作包括下列各种动作中的一种动作:当所述第二端点声誉分值表示至少某种程度的恶意时,阻止所述应用以及阻止所述一个或多个动态链接库模块中的至少一个。
在示例N48中,示例N44的主题可以任选地包括:接收与所述网络会话相关联的网络通信量;检测所述网络通信量中的恶意软件;使连接信息的元组与包含所述恶意软件的网络通信量相关,其中,所述元数据包括所述连接信息的元组;至少部分地基于一个或多个其他策略来确定将由所述终端主机采取的第二动作;以及发送指示将由所述终端主机采取的所述第二动作的第二响应。
在示例N49中,示例N48的主题可以任选地包括:所述第二动作包括:阻止所述应用。
在示例N50中,示例N39-N49中的任一项的主题可以任选地包括:所述元数据进一步包括连接信息的元组,所述连接信息的元组包括所述终端主机的源网络地址、所述终端主机的源端口、所述网络会话的目的地节点的目的地网络地址、所述目的地节点的目的地端口以及所述网络会话的协议。
在示例N51中,示例N39-N50中的任一项的主题可以任选地包括:所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
在示例N52中,示例N51的主题可以任选地包括:提供所述元数据中的至少一些以便在用户界面上显示。
在示例N53中,示例N39-N52中的任一项的主题可以任选地包括:基于由所述终端主机上的所述进程加载的动态链接库模块的另一散列来请求另一威胁情报声誉分值,其中,至少部分地基于所述另一威胁情报分值来确定所述动作。
在示例N54中,示例N53的主题可以任选地包括:所述动作包括:阻止所述动态链接库模块。
在示例N55中,示例N39-N54中的任一项的主题可以任选地包括:当威胁情报声誉分值不可用时,基于所述一个或多个策略和所述端点声誉分值来确定将由所述终端主机采取的动作。
在示例N56中,示例N39-N55中的任一项的主题可以任选地包括:将所述一个或多个策略的阈值极限与所述威胁情报声誉分值进行比较以确定所述将采取的动作。
在示例N57中,示例N39-N56中的任一项的主题可以任选地包括:所述终端主机是由管理服务器管理的多个虚拟桌面中的虚拟桌面,其中,所述响应被发送到所述管理服务器。
示例N58是用于阻止恶意软件的设备,所述设备包括用于执行示例N39-N57中的任一项的方法的装置。
在示例N59中,示例N58的主题可以任选地包括
用于执行方法的装置,所述装置包括至少一个处理器以及至少一个存储器元件。
在示例N60中,示例N59的主题可以任选地包括:
所述至少一个存储器元件包括机器可读指令,当执行所述机器可读指令时,所述机器可读指令使所述设备执行示例N39-N57中的任一项的方法。
在示例N61中,示例N58-N60中的任一项的主题可以任选地包括:所述设备是计算系统。
示例N62包括至少一种机器可读存储介质,包括用于阻止恶意软件的指令,其中,当执行所述指令时,所述指令实现如在示例N20-N57中的任一项中限定的方法或设备。
示例N63是用于阻止恶意软件的设备,所述设备包括:用于接收进程的元数据的装置,所述进程在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值;装置,用于基于所述应用的所述散列,请求威胁情报声誉分值;用于至少部分地基于以下内容来确定将由所述终端主机采取的动作的装置:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及用于发送指示将由所述终端主机采取的动作的响应的装置。
示例E1是至少一种机器可读存储介质,所述至少一种机器可读介质以用于阻止恶意软件的指令进行编码,当由至少一个处理器执行所述指令时,所述指令使所述处理器:在终端主机上拦截由进程访问网络的尝试;确定与所述进程相关联的应用的端点声誉分值;将与所述进程相关联的元数据发送到网络安全设备,其中,所述元数据包括所述应用的散列、连接信息的元组以及所述端点声誉分值;以及接收指示将采取的动作的响应,其中,至少部分地基于以下内容来确定所述动作:一个或多个策略以及威胁情报声誉分值和所述端点声誉分值中的至少一项。
在示例E2中,示例E1的主题可以可任选地包括:所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,在所述终端主机上阻止所述应用。
在示例E3中,示例E2的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:在所述终端主机上创建实现所述动作的规则。
在示例E4中,示例E3的主题可以任选地包括:实现所述规则以防止在所述终端主机上执行所述应用。
在示例E5中,示例E2-E4中的任一项的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:当所述网络安全设备是带外的时,在终端主机上阻止与由所述进程建立的网络会话相关联的正在进行的网络通信量,其中,基于所述连接信息的元组来阻止所述正在进行的网络通信量。
在示例E6中,示例E1的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的网络会话继续。
在示例E7中,示例E6的主题可以任选地包括指令,当由所述处理器执行所述时,所述指令进一步使所述处理器:基于对由所述进程调用的动态链接库模块的试探分析来确定所述应用的第二端点声誉分值;以及将所述第二端点声誉分值发送到所述网络安全设备。
在示例E8中,示例E7的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:接收指示第二动作的第二响应,所述第二动作用于:当所述第二端点声誉分值表示至少某种程度的恶意时,在所述终端主机上阻止所述应用以及动态链接库模块中的一个;以及根据所述第二动作以在所述终端主机上创建规则。
在示例E9中,示例E7的主题可以任选地包括指令,当由所述处理器执行所述指令时,所述指令进一步使所述处理器:至少部分地基于一个或多个本地主机策略以及所述第二端点声誉分值来确定将由所述终端主机采取的第二动作;根据所述第二动作以在所述终端主机上创建规则;以及将第二端点声誉分值以及指示将由所述终端主机采取的第二动作的第二动作信息发送到网络安全设备。
在示例E10中,示例E6的主题可以任选地包括指令,当由所述处理器执行所述时,所述指令进一步使所述处理器:从所述网络安全设备接收指示将在所述终端主机上采取的第二动作的第二响应,其中,当所述网络安全设备在与由所述进程建立的网络会话相关联的网络通信量中检测到恶意软件时,所述第二动作包括:阻止所述应用;以及根据所述第二动作以在所述终端主机上创建规则。
在示例E11中,示例E1-E10中的任一项的主题可以任选地包括:所述连接信息的元组包括所述终端主机的源网络地址、所述终端主机的源端口、由所述进程建立的网络会话的远程节点的目的地网络地址、所述远程节点的目的地端口以及所述网络会话的协议。
在示例E12中,示例E1-E11中的任一项的主题可以任选地包括:所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
在示例E13中,示例E12的主题可以任选地包括:在用户界面上显示所述元数据中的至少一些。
在示例E14中,示例E1-E13中的任一项的主题可以任选地包括:如果先前响应于由与所述应用相关联的访问网络的先前尝试而接收到威胁情报声誉分值,则所述元数据进一步包括所述威胁情报声誉分值。
在示例E15中,示例E1-E14中的任一项的主题可以任选地包括:所述终端主机是在虚拟设备基础结构服务器上运行的多个虚拟个性化桌面中的一个。
示例E16是用于阻止恶意软件的设备,所述设备包括:至少一个存储器元件;至少一个处理器,耦合到所述至少一个存储器元件;端点情报代理,在所述至少一个处理器上运行,其中,所述端点情报代理配置成:拦截由进程访问网络的尝试;确定与所述进程相关联的应用的端点声誉分值;将与所述进程相关联的元数据发送到网络安全设备,其中,所述元数据包括所述应用的散列、连接信息的元组以及所述端点声誉分值;以及接收指示将采取的动作的响应,其中,至少部分地基于以下内容来确定所述动作:一个或多个策略;以及威胁情报声誉分值和所述端点声誉分值中的至少一项。
在示例E17中,示例E16的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,在所述设备上阻止所述应用。
在示例E18中,示例E17的主题可以任选地包括:所述端点情报服务器进一步配置成:创建实现所述动作的规则。
在示例E19中,示例E18的主题可以任选地包括:实现所述规则以防止在所述终端主机上执行所述应用。
在示例E20中,示例E17-E19中的任一项的主题可以任选地包括:端点情报服务器进一步配置成:当所述网络安全设备是带外的时,在所述设备上阻止与由所述进程建立的网络会话相关联的正在进行的网络通信量,其中,基于所述连接信息的元组来阻止所述正在进行的网络通信量。
在示例E21中,示例E16的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的网络会话继续。
在示例E22中,示例E21的主题可以任选地包括:端点情报服务器进一步配置成:基于对由所述进程调用的动态链接库模块的试探分析来确定所述应用的第二端点声誉分值;以及将第二端点声誉分值发送到所述网络安全设备。
在示例E23中,示例E22的主题可以任选地包括:端点情报服务器进一步配置成:接收指示第二动作的第二响应,所述第二动作用于:当所述第二端点声誉分值表示至少某种程度的恶意时,在所述设备上阻止所述应用以及所述动态链接库模块中的至少一个;以及根据所述第二动作以在所述终端主机上创建规则。
在示例E24中,示例E22的主题可以任选地包括:端点情报服务器进一步配置成:至少部分地基于一个或多个本地主机策略以及所述第二端点声誉分值来确定将在所述设备上采取的第二动作;根据所述第二动作来创建规则;以及将所述第二端点声誉分值以及指示所述将采取的第二动作的第二动作信息发送到网络安全设备。
在示例E25中,示例E21的主题可以任选地包括:端点情报服务器进一步配置成:从所述网络安全设备接收指示将在所述设备上采取的第二动作的第二响应,其中,当所述网络安全设备在与由所述进程建立的网络会话相关联的网络通信量中检测到恶意软件时,所述第二动作包括阻止所述应用;以及根据所述第二动作来创建规则。
在示例E26中,示例E16-E25中的任一项的主题可以任选地包括:所述连接信息的元组包括所述设备的源网络地址、所述设备的源端口、由所述进程建立的网络会话的远程节点的目的地网络地址、所述远程节点的目的地端口以及所述网络会话的协议。
在示例E27中,示例E16-E26中的任一项的主题可以任选地包括:所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
在示例E28中,示例E27的主题可以任选地包括:在用户界面上显示所述元数据中的至少一些。
在示例E29中,示例E16-E28中的任一项的主题可以任选地包括:如果先前响应于由与所述应用相关联的另一进程访问网络的先前尝试而接收到威胁情报声誉分值,则所述元数据进一步包括所述威胁情报声誉分值。
在示例E30中,示例E16-E29中的任一项的主题可以任选地包括:所述设备是包括多个虚拟个性化桌面中的一个的虚拟设备基础结构服务器。
示例E31是一种用于阻止恶意软件的方法,所述方法包括以下步骤:在终端主机上拦截由所述终端主机上的进程访问网络的尝试;确定与所述进程相关联的应用的端点声誉分值;将与对网络安全设备的访问尝试相关联的元数据发送到所述网络安全设备,其中,所述元数据包括所述应用的散列、连接信息的元组、以及所述端点声誉分值;以及接收指示将采取的动作的动作信息,其中,至少部分地基于以下内容来确定所述动作:一个或多个策略;以及威胁情报声誉分值和所述端点声誉分值中的至少一项。
在示例E32中,示例E31的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,在所述终端主机上阻止所述应用。
在示例E33中,示例E32的主题可以任选地包括:在所述终端主机上创建实现所述动作的规则。
在示例E34中,示例E33的主题可以任选地包括:实现所述规则以防止在所述终端主机上执行所述应用。
在示例E35中,示例E32-E34中的任一项的主题可以任选地包括:当所述网络安全设备是带外的时,在所述终端主机上阻止与由所述进程建立的网络会话相关联的正在进行的网络通信量,其中,基于所述连接信息的元组来阻止所述正在进行的网络通信量。
在示例E36中,示例E31的主题可以任选地包括:所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的网络会话继续。
在示例E37中,示例36的主题可以任选地包括:基于对由所述进程调用的动态链接库模块的试探分析来确定所述应用的第二端点声誉分值;以及将所述第二端点声誉分值发送到所述网络安全设备。
在示例E38中,示例E37的主题可以任选地包括:接收指示第二动作的第二响应,所述第二动作用于:当所述第二端点声誉分值表示至少某种程度的恶意时,在所述终端主机上阻止所述应用以及所述动态链接库模块中的至少一个;以及根据所述第二动作以在所述终端主机上创建规则。
在示例E39中,示例E37的主题可以任选地包括:至少部分地基于一个或多个本地主机策略以及所述第二端点声誉分值来确定将由所述终端主机采取的第二动作;根据所述第二动作以在所述终端主机上创建规则;以及将所述第二端点声誉分值以及指示将由所述终端主机采取的第二动作的第二动作信息发送到网络安全设备。
在示例E40中,示例E36的主题可以任选地包括:从所述网络安全设备接收指示将在所述终端主机上采取的第二动作的第二响应,其中,当所述网络安全设备在与由所述进程建立的网络会话相关联的网络通信量中检测到恶意软件时,所述第二动作包括阻止所述应用;以及根据所述第二动作以在所述终端主机上创建规则。
在示例E41中,示例E31-E40中的任一项的主题可以任选地包括:所述连接信息的元组包括所述终端主机的源网络地址、所述终端主机的源端口、由所述进程建立的网络会话的远程节点的目的地网络地址、所述远程节点的目的地端口以及所述网络会话的协议。
在示例E42中,示例E31-E41中的任一项的主题可以任选地包括:所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
在示例E43中,示例E42的主题可以任选地包括:在用户界面上显示所述元数据中的至少一些。
在示例E44中,示例E31-E43中的任一项的主题可以任选地包括:如果先前响应于由与所述应用相关联的另一进程的访问网络的先前尝试而接收到威胁情报声誉分值,则所述元数据进一步包括所述威胁情报声誉分值。
在示例E45中,示例E31-E44中的任一项的主题可以任选地包括:所述终端主机是在虚拟设备基础结构服务器上运行的多个虚拟个性化桌面中的一个。
示例E46是用于阻止恶意软件的设备,所述设备包括用于执行示例E31-E45中的任一项的方法的装置。
在示例E47中,示例E46的主题可以任选地包括用于执行方法的装置,所述装置包括至少一个处理器和至少一个存储器元件。
在示例E48中,示例E47的主题可以可任选地包括至少一个存储器元件,所述至少一个存储器元件包括机器可读指令,当执行所述机器可读指令时,所述机器可读指令使所述设备执行示例E31-E45中的任一项的方法。
在示例E49中,示例E46-E48中的任一项的主题可以可任选地包括:所述设备是计算系统。
示例E50是至少一种机器可读存储介质,包括用于阻止恶意软件的指令,其中,当执行所述指令时,所述指令实现如在示例E16-E45中的任一项中限定的方法或设备。
示例E51是用于阻止恶意软件的设备,所述设备包括:用于在终端主机上拦截由所述终端主机上的进程访问网络的尝试的装置;用于确定与所述进程相关联的应用的端点声誉分值的装置;用于将与所述网络访问尝试相关联的元数据发送到所述网络安全设备的装置,其中,所述元数据包括所述应用的散列、连接信息的元组以及所述端点声誉分值;以及用于接收指示将采取的动作的动作信息的装置,其中,至少部分地基于以下内容来确定所述动作:一个或多个策略;以及威胁情报声誉分值和所述端点声誉分值中的至少一项。
Claims (26)
1.一种用于阻止恶意软件的方法,所述方法包括以下步骤:
接收进程的元数据,所述进程在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值,所述端点声誉分值由所述终端主机分配给所述应用以指示由所述终端主机确定的所述应用的恶意程度;
基于所述应用的散列来请求威胁情报声誉分值;
至少部分地基于以下内容来确定将由所述终端主机采取的动作:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及
向所述终端主机发送指示将由所述终端主机采取的动作的响应,其中如果所述动作包括允许由所述进程建立的网络会话继续,所述终端主机用于监视所述网络会话以基于由所述应用调用的动态链接库DLL为所述应用执行的活动,标识指示一些恶意程度的任何DLL。
2.如权利要求1所述的方法,其中,所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,阻止所述应用。
3.如权利要求2所述的方法,进一步包括:当所述动作包括阻止所述应用时,使连接信息的元组同与由所述进程建立的所述网络会话相关联的网络通信量相关,其中,所述元数据包括所述连接信息的元组;以及
如果网络安全设备与所述终端主机直联,则在所述网络安全设备上阻止与所述连接信息的元组相关的所述网络通信量。
4.如权利要求2所述的方法,进一步包括:当所述动作包括阻止所述应用时,
如果网络安全设备是带外的,则通知所述终端主机阻止所述网络会话中由所述进程建立的正在进行的网络通信量。
5.如权利要求4所述的方法,其中,由指示将采取的动作的响应来通知所述终端主机阻止所述正在进行的网络通信量。
6.如权利要求1所述的方法,其中,所述动作包括:当所述威胁情报声誉分值不表示至少某种程度的恶意时,允许由所述进程建立的所述网络会话继续。
7.如权利要求6所述的方法,进一步包括以下步骤:
至少部分地基于所述终端主机标识没有为所述应用执行适当活动的由所述应用调用的一个或多个DLL,从所述终端主机接收第二端点声誉分值;
至少部分地基于一个或多个其他策略以及所述第二端点声誉分值来确定将由所述终端主机采取的第二动作;以及
发送指示将由所述终端主机采取的所述第二动作的第二响应。
8.如权利要求7所述的方法,其中,基于对由所述进程调用的一个或多个动态链接库模块的试探分析来确定所述第二端点声誉分值。
9.如权利要求8所述的方法,其中,所述第二动作包括下列各种动作中的一种:当所述第二端点声誉分值表示至少某种程度的恶意时,阻止所述应用以及阻止所述一个或多个动态链接库模块中的至少一个。
10.如权利要求6所述的方法,进一步包括以下步骤:
接收与所述网络会话相关联的网络通信量;
检测所述网络通信量中的恶意软件;
使连接信息的元组与包含所述恶意软件的网络通信量相关,其中,所述元数据包括所述连接信息的元组;
至少部分地基于一个或多个其他策略来确定将由所述终端主机采取的第二动作;以及
发送指示将由所述终端主机采取的所述第二动作的第二响应。
11.如权利要求10所述的方法,其中,所述第二动作包括:阻止所述应用。
12.如权利要求1-11中的任一项所述的方法,其中,所述元数据进一步包括连接信息的元组,所述连接信息的元组包括所述终端主机的源网络地址、所述终端主机的源端口、所述网络会话的目的地节点的目的地网络地址、所述目的地节点的目的地端口以及所述网络会话的协议。
13.如权利要求1-11中的任一项所述的方法,其中,所述元数据进一步包括下列各项中的一项或多项:所述应用的文件名称、所述应用的文件路径、应用声誉信息、动态链接库声誉信息、系统标识符、用户标识符以及域。
14.如权利要求13所述的方法,其中,提供所述元数据中的至少一些以便在用户界面上显示。
15.如权利要求1-11中的任一项所述的方法,进一步包括以下步骤:
基于由所述终端主机上的所述进程加载的动态链接库模块的另一散列来请求另一威胁情报声誉分值,
其中,至少部分地基于所述另一威胁情报声誉分值来确定所述动作。
16.如权利要求15所述的方法,其中,所述动作包括:如果所述威胁情报声誉分值表示至少某种程度的恶意,阻止所述动态链接库模块。
17.如权利要求1-11中的任一项所述的方法,其中,当所述威胁情报声誉分值不可用时,基于所述一个或多个策略以及所述端点声誉分值来确定将由所述终端主机采取的动作。
18.如权利要求1-11中的任一项所述的方法,进一步包括以下步骤:
将所述一个或多个策略的阈值极限与所述威胁情报声誉分值进行比较以确定所述将采取的动作。
19.如权利要求1-11中的任一项所述的方法,其中,所述终端主机是在虚拟设备基础结构服务器上运行的多个虚拟个性化桌面中的一个。
20.一种用于阻止恶意软件的设备,所述设备包括:
至少一个存储器元件;
至少一个处理器,耦合到所述至少一个存储器元件;
端点情报服务器,在所述至少一个处理器上运行,其中,所述端点情报服务器配置成:
接收进程的元数据,所述进程在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值,所述端点声誉分值由所述终端主机分配给所述应用以指示由所述终端主机确定的所述应用的恶意程度;
基于所述应用的散列来请求威胁情报声誉分值;
至少部分地基于以下内容来确定将由所述终端主机采取的动作:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及
向所述终端主机发送指示将由所述终端主机采取的动作的响应,其中如果所述动作包括允许由所述进程建立的网络会话继续,所述终端主机用于监视所述网络会话以基于由所述应用调用的动态链接库DLL为所述应用执行的活动,标识指示一些恶意程度的任何DLL。
21.如权利要求20所述的设备,其中,所述端点情报服务器进一步配置成:
基于由所述终端主机上的所述进程加载的动态链接库模块的另一散列来请求另一威胁情报声誉分值,
其中,至少部分地基于所述另一威胁情报声誉分值来确定所述动作。
22.一种用于阻止恶意软件的设备,包括:
用于接收进程的元数据的装置,所述进程在尝试访问网络时在终端主机上被拦截,其中,所述元数据包括与所述进程相关联的应用的散列以及所述应用的端点声誉分值,所述端点声誉分值由所述终端主机分配给所述应用以指示由所述终端主机确定的所述应用的恶意程度;
用于基于所述应用的散列来请求威胁情报声誉分值的装置;
用于至少部分地基于以下内容来确定将由所述终端主机采取的动作的装置:一个或多个策略;以及所述威胁情报声誉分值和所述端点声誉分值中的至少一项;以及
用于向所述终端主机发送指示将由所述终端主机采取的动作的响应的装置,其中如果所述动作包括允许由所述进程建立的网络会话继续,所述终端主机用于监视所述网络会话以基于由所述应用调用的动态链接库DLL为所述应用执行的活动,标识指示一些恶意程度的任何DLL。
23.如权利要求22所述的设备,其中,所述设备是计算系统。
24.一种用于阻止恶意软件的方法,所述方法包括以下步骤:
在终端主机上拦截由所述终端主机上的进程访问网络的尝试;
确定与所述进程相关联的应用的端点声誉分值以指示由所述终端主机确定的所述应用的恶意程度;
将与所述网络访问尝试相关联的元数据发送到网络安全设备,其中,所述元数据包括所述应用的散列、连接信息的元组以及所述端点声誉分值;
接收指示将采取的动作的响应,其中,至少部分地基于以下内容来确定所述动作:一个或多个策略;以及威胁情报声誉分值和所述端点声誉分值中的至少一项;以及
如果所述动作包括允许由所述进程建立的网络会话继续,监视所述网络会话以基于由所述应用调用的动态链接库DLL为所述应用执行的活动,标识指示一些恶意程度的任何DLL。
25.如权利要求24所述的方法,其中,所述动作包括:当所述威胁情报声誉分值表示至少某种程度的恶意时,在所述终端主机上阻止所述应用。
26.至少一种机器可读存储介质,所述至少一种机器可读存储介质以用于阻止恶意软件的指令进行编码,当由至少一个处理器执行所述指令时,所述指令使所述处理器执行如权利要求1-19、24-25中任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2013/066690 WO2015060857A1 (en) | 2013-10-24 | 2013-10-24 | Agent assisted malicious application blocking in a network environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105580023A CN105580023A (zh) | 2016-05-11 |
CN105580023B true CN105580023B (zh) | 2019-08-16 |
Family
ID=52993304
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201380079791.5A Active CN105580023B (zh) | 2013-10-24 | 2013-10-24 | 网络环境中的代理辅助的恶意应用阻止 |
Country Status (4)
Country | Link |
---|---|
US (4) | US9578052B2 (zh) |
EP (1) | EP3061030A4 (zh) |
CN (1) | CN105580023B (zh) |
WO (1) | WO2015060857A1 (zh) |
Families Citing this family (82)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
WO2015060857A1 (en) | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
US9319423B2 (en) | 2013-11-04 | 2016-04-19 | At&T Intellectual Property I, L.P. | Malware and anomaly detection via activity recognition based on sensor data |
US9703974B1 (en) * | 2013-12-20 | 2017-07-11 | Amazon Technologies, Inc. | Coordinated file system security via rules |
US9405904B1 (en) * | 2013-12-23 | 2016-08-02 | Symantec Corporation | Systems and methods for providing security for synchronized files |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US9992225B2 (en) * | 2014-09-12 | 2018-06-05 | Topspin Security Ltd. | System and a method for identifying malware network activity using a decoy environment |
GB2558812B (en) * | 2014-09-14 | 2019-03-27 | Sophos Ltd | Labeling computing objects for improved threat detection |
US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
US9967264B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Threat detection using a time-based cache of reputation information on an enterprise endpoint |
US9965627B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
US9967282B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling computing objects for improved threat detection |
US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
US10965711B2 (en) | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
US9992228B2 (en) | 2014-09-14 | 2018-06-05 | Sophos Limited | Using indications of compromise for reputation based network security |
US9967283B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Normalized indications of compromise |
IN2014MU04068A (zh) | 2014-12-18 | 2015-06-05 | Cyberoam Technologies Pvt Ltd | |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9350750B1 (en) * | 2015-04-03 | 2016-05-24 | Area 1 Security, Inc. | Distribution of security rules among sensor computers |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10135633B2 (en) * | 2015-04-21 | 2018-11-20 | Cujo LLC | Network security analysis for smart appliances |
US10230740B2 (en) * | 2015-04-21 | 2019-03-12 | Cujo LLC | Network security analysis for smart appliances |
CN106295333B (zh) * | 2015-05-27 | 2018-08-17 | 安一恒通(北京)科技有限公司 | 用于检测恶意代码的方法和系统 |
US10735455B2 (en) * | 2015-06-04 | 2020-08-04 | Dark3, LLC | System for anonymously detecting and blocking threats within a telecommunications network |
US9767285B2 (en) * | 2015-06-04 | 2017-09-19 | Accenture Global Services Limited | Process categorization using crowdsourcing |
US9817676B2 (en) * | 2015-06-23 | 2017-11-14 | Mcafee, Inc. | Cognitive protection of critical industrial solutions using IoT sensor fusion |
US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
US20170091482A1 (en) * | 2015-09-30 | 2017-03-30 | Symantec Corporation | Methods for data loss prevention from malicious applications and targeted persistent threats |
US10356045B2 (en) | 2015-12-18 | 2019-07-16 | Cujo LLC | Intercepting intra-network communication for smart appliance behavior analysis |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11962609B2 (en) | 2016-02-12 | 2024-04-16 | Micro Focus Llc | Source entities of security indicators |
US10645124B2 (en) * | 2016-02-19 | 2020-05-05 | Secureworks Corp. | System and method for collection of forensic and event data |
US10484423B2 (en) * | 2016-02-19 | 2019-11-19 | Secureworks Corp. | System and method for detecting and monitoring thread creation |
US10474589B1 (en) * | 2016-03-02 | 2019-11-12 | Janus Technologies, Inc. | Method and apparatus for side-band management of security for a server computer |
US10986109B2 (en) | 2016-04-22 | 2021-04-20 | Sophos Limited | Local proxy detection |
US11277416B2 (en) * | 2016-04-22 | 2022-03-15 | Sophos Limited | Labeling network flows according to source applications |
US11102238B2 (en) | 2016-04-22 | 2021-08-24 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
US11165797B2 (en) | 2016-04-22 | 2021-11-02 | Sophos Limited | Detecting endpoint compromise based on network usage history |
US10938781B2 (en) | 2016-04-22 | 2021-03-02 | Sophos Limited | Secure labeling of network flows |
US12021831B2 (en) | 2016-06-10 | 2024-06-25 | Sophos Limited | Network security |
US10432531B2 (en) | 2016-06-28 | 2019-10-01 | Paypal, Inc. | Tapping network data to perform load balancing |
US10462173B1 (en) * | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10356113B2 (en) * | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
EP3571617B1 (en) * | 2017-01-20 | 2023-03-15 | Hewlett-Packard Development Company, L.P. | Updating firmware |
KR101907037B1 (ko) * | 2017-05-18 | 2018-10-12 | 주식회사 안랩 | 악성 코드 진단 서버, 시스템 및 방법 |
US10505918B2 (en) * | 2017-06-28 | 2019-12-10 | Cisco Technology, Inc. | Cloud application fingerprint |
US10567433B2 (en) * | 2017-07-06 | 2020-02-18 | Bank Of America Corporation | Network device authorization for access control and information security |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11487868B2 (en) | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
US10783239B2 (en) * | 2017-08-01 | 2020-09-22 | Pc Matic, Inc. | System, method, and apparatus for computer security |
US10873588B2 (en) | 2017-08-01 | 2020-12-22 | Pc Matic, Inc. | System, method, and apparatus for computer security |
CA3071288C (en) * | 2017-08-22 | 2021-03-09 | Absolute Software Corporation | Firmware integrity check using silver measurements |
CN111295640B (zh) * | 2017-09-15 | 2024-05-24 | 帕洛阿尔托网络公司 | 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 |
US10931637B2 (en) | 2017-09-15 | 2021-02-23 | Palo Alto Networks, Inc. | Outbound/inbound lateral traffic punting based on process risk |
RU2756186C2 (ru) * | 2018-02-06 | 2021-09-28 | Акционерное общество "Лаборатория Касперского" | Система и способ категоризации .NET приложений |
US11546359B2 (en) * | 2018-02-20 | 2023-01-03 | Darktrace Holdings Limited | Multidimensional clustering analysis and visualizing that clustered analysis on a user interface |
US10887327B2 (en) * | 2018-03-23 | 2021-01-05 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
CN111936991B (zh) * | 2018-04-10 | 2024-07-09 | 三菱电机株式会社 | 安全装置以及嵌入设备 |
US10911487B2 (en) * | 2018-06-20 | 2021-02-02 | Checkpoint Mobile Security Ltd | On-device network protection |
US10938839B2 (en) | 2018-08-31 | 2021-03-02 | Sophos Limited | Threat detection with business impact scoring |
US11070632B2 (en) * | 2018-10-17 | 2021-07-20 | Servicenow, Inc. | Identifying computing devices in a managed network that are involved in blockchain-based mining |
US11388175B2 (en) * | 2019-09-05 | 2022-07-12 | Cisco Technology, Inc. | Threat detection of application traffic flows |
US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
US11381557B2 (en) | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
US11522891B2 (en) | 2019-11-26 | 2022-12-06 | Micro Focus Llc | Machine learning anomaly detection of process-loaded DLLs |
US20220327205A1 (en) * | 2020-04-28 | 2022-10-13 | Lock-In Company Co., Ltd. | Method of blocking access of threatening user and program security application method |
US20210350020A1 (en) * | 2020-05-10 | 2021-11-11 | Eiko Onishi | De-identified Identity Proofing Methods and Systems |
US11360952B2 (en) | 2020-08-03 | 2022-06-14 | Bank Of America Corporation | System and method for managing data migration based on analysis of relevant data |
TWI798603B (zh) * | 2020-11-30 | 2023-04-11 | 中華電信股份有限公司 | 惡意程式偵測方法及系統 |
Family Cites Families (413)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4982430A (en) | 1985-04-24 | 1991-01-01 | General Instrument Corporation | Bootstrap channel security arrangement for communication network |
US4688169A (en) | 1985-05-30 | 1987-08-18 | Joshi Bhagirath S | Computer software security system |
US5155847A (en) | 1988-08-03 | 1992-10-13 | Minicom Data Corporation | Method and apparatus for updating software at remote locations |
US5560008A (en) | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
CA2010591C (en) | 1989-10-20 | 1999-01-26 | Phillip M. Adams | Kernels, description tables and device drivers |
US5222134A (en) | 1990-11-07 | 1993-06-22 | Tau Systems Corporation | Secure system for activating personal computer software at remote locations |
US5390314A (en) | 1992-10-09 | 1995-02-14 | American Airlines, Inc. | Method and apparatus for developing scripts that access mainframe resources that can be executed on various computer systems having different interface languages without modification |
US5339261A (en) | 1992-10-22 | 1994-08-16 | Base 10 Systems, Inc. | System for operating application software in a safety critical environment |
US5584009A (en) | 1993-10-18 | 1996-12-10 | Cyrix Corporation | System and method of retiring store data from a write buffer |
JP3777196B2 (ja) | 1994-05-10 | 2006-05-24 | 富士通株式会社 | クライアント/サーバシステム用の通信制御装置 |
JP3042341B2 (ja) | 1994-11-30 | 2000-05-15 | 日本電気株式会社 | クラスタ結合型マルチプロセッサシステムにおけるローカル入出力制御方法 |
US6282712B1 (en) | 1995-03-10 | 2001-08-28 | Microsoft Corporation | Automatic software installation on heterogeneous networked computer systems |
US5699513A (en) | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
US5787427A (en) | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
US5842017A (en) | 1996-01-29 | 1998-11-24 | Digital Equipment Corporation | Method and apparatus for forming a translation unit |
US5907709A (en) | 1996-02-08 | 1999-05-25 | Inprise Corporation | Development system with methods for detecting invalid use and management of resources and memory at runtime |
US5884298A (en) | 1996-03-29 | 1999-03-16 | Cygnet Storage Solutions, Inc. | Method for accessing and updating a library of optical discs |
US5907708A (en) | 1996-06-03 | 1999-05-25 | Sun Microsystems, Inc. | System and method for facilitating avoidance of an exception of a predetermined type in a digital computer system by providing fix-up code for an instruction in response to detection of an exception condition resulting from execution thereof |
US5787177A (en) | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
US5926832A (en) | 1996-09-26 | 1999-07-20 | Transmeta Corporation | Method and apparatus for aliasing memory data in an advanced microprocessor |
US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US6141698A (en) | 1997-01-29 | 2000-10-31 | Network Commerce Inc. | Method and system for injecting new code into existing application code |
US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US5944839A (en) | 1997-03-19 | 1999-08-31 | Symantec Corporation | System and method for automatically maintaining a computer system |
US6587877B1 (en) | 1997-03-25 | 2003-07-01 | Lucent Technologies Inc. | Management of time and expense when communicating between a host and a communication network |
US6192475B1 (en) | 1997-03-31 | 2001-02-20 | David R. Wallace | System and method for cloaking software |
US6167522A (en) | 1997-04-01 | 2000-12-26 | Sun Microsystems, Inc. | Method and apparatus for providing security for servers executing application programs received via a network |
US6356957B2 (en) | 1997-04-03 | 2002-03-12 | Hewlett-Packard Company | Method for emulating native object oriented foundation classes on a target object oriented programming system using a template library |
US5987557A (en) | 1997-06-19 | 1999-11-16 | Sun Microsystems, Inc. | Method and apparatus for implementing hardware protection domains in a system with no memory management unit (MMU) |
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US6275938B1 (en) | 1997-08-28 | 2001-08-14 | Microsoft Corporation | Security enhancement for untrusted executable code |
US6192401B1 (en) | 1997-10-21 | 2001-02-20 | Sun Microsystems, Inc. | System and method for determining cluster membership in a heterogeneous distributed system |
US6393465B2 (en) | 1997-11-25 | 2002-05-21 | Nixmail Corporation | Junk electronic mail detector and eliminator |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
WO1999057654A1 (fr) | 1998-05-06 | 1999-11-11 | Matsushita Electric Industrial Co., Ltd. | Procede et systeme d'emission/reception de donnees numeriques |
US6795966B1 (en) | 1998-05-15 | 2004-09-21 | Vmware, Inc. | Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction |
US6442686B1 (en) | 1998-07-02 | 2002-08-27 | Networks Associates Technology, Inc. | System and methodology for messaging server-based management and enforcement of crypto policies |
US6182142B1 (en) | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
US6338149B1 (en) | 1998-07-31 | 2002-01-08 | Westinghouse Electric Company Llc | Change monitoring system for a computer system |
US6546425B1 (en) | 1998-10-09 | 2003-04-08 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
JP3753873B2 (ja) | 1998-11-11 | 2006-03-08 | 株式会社島津製作所 | 分光光度計 |
JP3522141B2 (ja) | 1999-01-28 | 2004-04-26 | 富士通株式会社 | 修正プログラムを継承したプログラムの自動生成方法、プログラム自動生成装置及び修正プログラムを継承したプログラムを自動生成するプログラムを記録した記録媒体 |
US6969352B2 (en) | 1999-06-22 | 2005-11-29 | Teratech Corporation | Ultrasound probe with integrated electronics |
US6453468B1 (en) | 1999-06-30 | 2002-09-17 | B-Hub, Inc. | Methods for improving reliability while upgrading software programs in a clustered computer system |
US6496477B1 (en) | 1999-07-09 | 2002-12-17 | Texas Instruments Incorporated | Processes, articles, and packets for network path diversity in media over packet applications |
US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
US7340684B2 (en) | 1999-08-19 | 2008-03-04 | National Instruments Corporation | System and method for programmatically generating a second graphical program based on a first graphical program |
US6256773B1 (en) | 1999-08-31 | 2001-07-03 | Accenture Llp | System, method and article of manufacture for configuration management in a development architecture framework |
US7406603B1 (en) | 1999-08-31 | 2008-07-29 | Intertrust Technologies Corp. | Data protection systems and methods |
US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
US6321267B1 (en) | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
US6662219B1 (en) | 1999-12-15 | 2003-12-09 | Microsoft Corporation | System for determining at subgroup of nodes relative weight to represent cluster by obtaining exclusive possession of quorum resource |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
US7836494B2 (en) | 1999-12-29 | 2010-11-16 | Intel Corporation | System and method for regulating the flow of information to or from an application |
US6769008B1 (en) | 2000-01-10 | 2004-07-27 | Sun Microsystems, Inc. | Method and apparatus for dynamically altering configurations of clustered computer systems |
EP1281134A4 (en) | 2000-03-17 | 2007-01-10 | Filesx Ltd | ACCELERATE ANSWERS TO REQUIREMENTS FROM USERS TO AN INTERNET |
US6748534B1 (en) | 2000-03-31 | 2004-06-08 | Networks Associates, Inc. | System and method for partitioned distributed scanning of a large dataset for viruses and other malware |
US6941470B1 (en) | 2000-04-07 | 2005-09-06 | Everdream Corporation | Protected execution environments within a computer system |
CA2305078A1 (en) | 2000-04-12 | 2001-10-12 | Cloakware Corporation | Tamper resistant software - mass data encoding |
US7325127B2 (en) | 2000-04-25 | 2008-01-29 | Secure Data In Motion, Inc. | Security server system |
US6377808B1 (en) | 2000-04-27 | 2002-04-23 | Motorola, Inc. | Method and apparatus for routing data in a communication system |
US7089428B2 (en) | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US6769115B1 (en) | 2000-05-01 | 2004-07-27 | Emc Corporation | Adaptive interface for a software development environment |
US6847993B1 (en) | 2000-05-31 | 2005-01-25 | International Business Machines Corporation | Method, system and program products for managing cluster configurations |
US6934755B1 (en) | 2000-06-02 | 2005-08-23 | Sun Microsystems, Inc. | System and method for migrating processes on a network |
US6611925B1 (en) | 2000-06-13 | 2003-08-26 | Networks Associates Technology, Inc. | Single point of entry/origination item scanning within an enterprise or workgroup |
US20030061506A1 (en) | 2001-04-05 | 2003-03-27 | Geoffrey Cooper | System and method for security policy |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US8204999B2 (en) | 2000-07-10 | 2012-06-19 | Oracle International Corporation | Query string processing |
US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
US7350204B2 (en) | 2000-07-24 | 2008-03-25 | Microsoft Corporation | Policies for secure software execution |
ATE265112T1 (de) | 2000-08-04 | 2004-05-15 | Xtradyne Technologies Ag | Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte |
AUPQ968100A0 (en) | 2000-08-25 | 2000-09-21 | Telstra Corporation Limited | A management system |
KR20030062406A (ko) | 2000-09-01 | 2003-07-25 | 터트 시스템즈 인코포레이티드 | 데이타 통신 디바이스에서 구성정보를 프리컴파일하는방법 및 시스템 |
US20020165947A1 (en) | 2000-09-25 | 2002-11-07 | Crossbeam Systems, Inc. | Network application apparatus |
US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US7146305B2 (en) | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US7606898B1 (en) | 2000-10-24 | 2009-10-20 | Microsoft Corporation | System and method for distributed management of shared computers |
US7054930B1 (en) | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6930985B1 (en) | 2000-10-26 | 2005-08-16 | Extreme Networks, Inc. | Method and apparatus for management of configuration in a network |
US6834301B1 (en) | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
US6766334B1 (en) | 2000-11-21 | 2004-07-20 | Microsoft Corporation | Project-based configuration management method and apparatus |
US20020069367A1 (en) | 2000-12-06 | 2002-06-06 | Glen Tindal | Network operating system data directory |
US6907600B2 (en) | 2000-12-27 | 2005-06-14 | Intel Corporation | Virtual translation lookaside buffer |
US20020133586A1 (en) | 2001-01-16 | 2002-09-19 | Carter Shanklin | Method and device for monitoring data traffic and preventing unauthorized access to a network |
JP2002244898A (ja) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | データベース管理プログラム及びデータベースシステム |
US6993012B2 (en) | 2001-02-20 | 2006-01-31 | Innomedia Pte, Ltd | Method for communicating audio data in a packet switched network |
US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
WO2002093334A2 (en) | 2001-04-06 | 2002-11-21 | Symantec Corporation | Temporal access control for computer virus outbreaks |
US6918110B2 (en) | 2001-04-11 | 2005-07-12 | Hewlett-Packard Development Company, L.P. | Dynamic instrumentation of an executable program by means of causing a breakpoint at the entry point of a function and providing instrumentation code |
CN1141821C (zh) | 2001-04-25 | 2004-03-10 | 数位联合电信股份有限公司 | 可重定向的连接上网系统 |
US6715050B2 (en) | 2001-05-31 | 2004-03-30 | Oracle International Corporation | Storage access keys |
US6988101B2 (en) | 2001-05-31 | 2006-01-17 | International Business Machines Corporation | Method, system, and computer program product for providing an extensible file system for accessing a foreign file system from a local data processing system |
US6988124B2 (en) | 2001-06-06 | 2006-01-17 | Microsoft Corporation | Locating potentially identical objects across multiple computers based on stochastic partitioning of workload |
US7290266B2 (en) | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
US7065767B2 (en) | 2001-06-29 | 2006-06-20 | Intel Corporation | Managed hosting server auditing and change tracking |
US7069330B1 (en) | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
US20030023736A1 (en) | 2001-07-12 | 2003-01-30 | Kurt Abkemeier | Method and system for filtering messages |
US20030014667A1 (en) | 2001-07-16 | 2003-01-16 | Andrei Kolichtchak | Buffer overflow attack detection and suppression |
US6877088B2 (en) | 2001-08-08 | 2005-04-05 | Sun Microsystems, Inc. | Methods and apparatus for controlling speculative execution of instructions based on a multiaccess memory condition |
US8438241B2 (en) | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
US7007302B1 (en) | 2001-08-31 | 2006-02-28 | Mcafee, Inc. | Efficient management and blocking of malicious code and hacking attempts in a network environment |
US7010796B1 (en) | 2001-09-28 | 2006-03-07 | Emc Corporation | Methods and apparatus providing remote operation of an application programming interface |
US7278161B2 (en) | 2001-10-01 | 2007-10-02 | International Business Machines Corporation | Protecting a data processing system from attack by a vandal who uses a vulnerability scanner |
US7177267B2 (en) | 2001-11-09 | 2007-02-13 | Adc Dsl Systems, Inc. | Hardware monitoring and configuration management |
EP1315066A1 (en) | 2001-11-21 | 2003-05-28 | BRITISH TELECOMMUNICATIONS public limited company | Computer security system |
US7853643B1 (en) | 2001-11-21 | 2010-12-14 | Blue Titan Software, Inc. | Web services-based computing resource lifecycle management |
US7346781B2 (en) | 2001-12-06 | 2008-03-18 | Mcafee, Inc. | Initiating execution of a computer program from an encrypted version of a computer program |
US7159036B2 (en) | 2001-12-10 | 2007-01-02 | Mcafee, Inc. | Updating data from a source computer to groups of destination computers |
US6959373B2 (en) * | 2001-12-10 | 2005-10-25 | Incipient, Inc. | Dynamic and variable length extents |
US7039949B2 (en) | 2001-12-10 | 2006-05-02 | Brian Ross Cartmell | Method and system for blocking unwanted communications |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
WO2003050662A1 (fr) | 2001-12-13 | 2003-06-19 | Japan Science And Technology Agency | Systeme d'execution securisee d'un logiciel |
US7398389B2 (en) | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
US7096500B2 (en) | 2001-12-21 | 2006-08-22 | Mcafee, Inc. | Predictive malware scanning of internet data |
JP3906356B2 (ja) | 2001-12-27 | 2007-04-18 | 独立行政法人情報通信研究機構 | 構文解析方法及び装置 |
US7743415B2 (en) | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
US6772345B1 (en) | 2002-02-08 | 2004-08-03 | Networks Associates Technology, Inc. | Protocol-level malware scanner |
US20030167399A1 (en) | 2002-03-01 | 2003-09-04 | Yves Audebert | Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe |
US6941449B2 (en) | 2002-03-04 | 2005-09-06 | Hewlett-Packard Development Company, L.P. | Method and apparatus for performing critical tasks using speculative operations |
US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
US20030172291A1 (en) | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
US7870203B2 (en) | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
US7693947B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for graphically displaying messaging traffic |
US7600021B2 (en) | 2002-04-03 | 2009-10-06 | Microsoft Corporation | Delta replication of source files and packages across networked resources |
US20070253430A1 (en) | 2002-04-23 | 2007-11-01 | Minami John S | Gigabit Ethernet Adapter |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US7823148B2 (en) | 2002-05-22 | 2010-10-26 | Oracle America, Inc. | System and method for performing patch installation via a graphical user interface |
US20030221190A1 (en) | 2002-05-22 | 2003-11-27 | Sun Microsystems, Inc. | System and method for performing patch installation on multiple devices |
US7024404B1 (en) | 2002-05-28 | 2006-04-04 | The State University Rutgers | Retrieval and display of data objects using a cross-group ranking metric |
US7512977B2 (en) | 2003-06-11 | 2009-03-31 | Symantec Corporation | Intrustion protection system utilizing layers |
US8843903B1 (en) | 2003-06-11 | 2014-09-23 | Symantec Corporation | Process tracking application layered system |
US7823203B2 (en) | 2002-06-17 | 2010-10-26 | At&T Intellectual Property Ii, L.P. | Method and device for detecting computer network intrusions |
US7139916B2 (en) | 2002-06-28 | 2006-11-21 | Ebay, Inc. | Method and system for monitoring user interaction with a computer |
US8924484B2 (en) | 2002-07-16 | 2014-12-30 | Sonicwall, Inc. | Active e-mail filter with challenge-response |
US7522906B2 (en) | 2002-08-09 | 2009-04-21 | Wavelink Corporation | Mobile unit configuration management for WLANs |
JP2004078507A (ja) | 2002-08-16 | 2004-03-11 | Sony Corp | アクセス制御装置及びアクセス制御方法、並びにコンピュータ・プログラム |
US20040111461A1 (en) | 2002-08-28 | 2004-06-10 | Claudatos Christopher H. | Managing and controlling user applications with network switches |
US7624347B2 (en) | 2002-09-17 | 2009-11-24 | At&T Intellectual Property I, L.P. | System and method for forwarding full header information in email messages |
US7546333B2 (en) | 2002-10-23 | 2009-06-09 | Netapp, Inc. | Methods and systems for predictive change management for access paths in networks |
US20040088398A1 (en) | 2002-11-06 | 2004-05-06 | Barlow Douglas B. | Systems and methods for providing autoconfiguration and management of nodes |
US7353501B2 (en) | 2002-11-18 | 2008-04-01 | Microsoft Corporation | Generic wrapper scheme |
US7865931B1 (en) | 2002-11-25 | 2011-01-04 | Accenture Global Services Limited | Universal authorization and access control security measure for applications |
US7346927B2 (en) * | 2002-12-12 | 2008-03-18 | Access Business Group International Llc | System and method for storing and accessing secure data |
US8990723B1 (en) | 2002-12-13 | 2015-03-24 | Mcafee, Inc. | System, method, and computer program product for managing a plurality of applications via a single interface |
US20040143749A1 (en) | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
US20040167906A1 (en) | 2003-02-25 | 2004-08-26 | Smith Randolph C. | System consolidation tool and method for patching multiple servers |
US7024548B1 (en) | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
CN1723446A (zh) | 2003-03-28 | 2006-01-18 | 松下电器产业株式会社 | 记录介质、记录设备及使用该记录介质和设备的再现设备 |
US8209680B1 (en) | 2003-04-11 | 2012-06-26 | Vmware, Inc. | System and method for disk imaging on diverse computers |
US7607010B2 (en) | 2003-04-12 | 2009-10-20 | Deep Nines, Inc. | System and method for network edge data protection |
US20050108516A1 (en) | 2003-04-17 | 2005-05-19 | Robert Balzer | By-pass and tampering protection for application wrappers |
US20040230963A1 (en) | 2003-05-12 | 2004-11-18 | Rothman Michael A. | Method for updating firmware in an operating system agnostic manner |
DE10324189A1 (de) | 2003-05-28 | 2004-12-16 | Robert Bosch Gmbh | Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung |
US7657599B2 (en) | 2003-05-29 | 2010-02-02 | Mindshare Design, Inc. | Systems and methods for automatically updating electronic mail access lists |
US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
US7827602B2 (en) | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
US7454489B2 (en) | 2003-07-01 | 2008-11-18 | International Business Machines Corporation | System and method for accessing clusters of servers from the internet network |
US7283517B2 (en) | 2003-07-22 | 2007-10-16 | Innomedia Pte | Stand alone multi-media terminal adapter with network address translation and port partitioning |
US7463590B2 (en) | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7526541B2 (en) | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
US7886093B1 (en) | 2003-07-31 | 2011-02-08 | Hewlett-Packard Development Company, L.P. | Electronic device network supporting compression and decompression in electronic devices |
US7925722B1 (en) | 2003-08-01 | 2011-04-12 | Avocent Corporation | Method and apparatus for discovery and installation of network devices through a network |
US7401104B2 (en) | 2003-08-21 | 2008-07-15 | Microsoft Corporation | Systems and methods for synchronizing computer systems through an intermediary file system share or device |
US8539063B1 (en) | 2003-08-29 | 2013-09-17 | Mcafee, Inc. | Method and system for containment of networked application client software by explicit human input |
US7464408B1 (en) | 2003-08-29 | 2008-12-09 | Solidcore Systems, Inc. | Damage containment by translation |
US7523493B2 (en) | 2003-08-29 | 2009-04-21 | Trend Micro Incorporated | Virus monitor and methods of use thereof |
US20050065935A1 (en) | 2003-09-16 | 2005-03-24 | Chebolu Anil Kumar | Client comparison of network content with server-based categorization |
US7360097B2 (en) | 2003-09-30 | 2008-04-15 | Check Point Software Technologies, Inc. | System providing methodology for securing interfaces of executable files |
US20050081053A1 (en) | 2003-10-10 | 2005-04-14 | International Business Machines Corlporation | Systems and methods for efficient computer virus detection |
US7930351B2 (en) | 2003-10-14 | 2011-04-19 | At&T Intellectual Property I, L.P. | Identifying undesired email messages having attachments |
US7280956B2 (en) | 2003-10-24 | 2007-10-09 | Microsoft Corporation | System, method, and computer program product for file encryption, decryption and transfer |
US7814554B1 (en) | 2003-11-06 | 2010-10-12 | Gary Dean Ragner | Dynamic associative storage security for long-term memory storage devices |
US20050114672A1 (en) | 2003-11-20 | 2005-05-26 | Encryptx Corporation | Data rights management of digital information in a portable software permission wrapper |
US20040172551A1 (en) | 2003-12-09 | 2004-09-02 | Michael Connor | First response computer virus blocking. |
US7600219B2 (en) | 2003-12-10 | 2009-10-06 | Sap Ag | Method and system to monitor software interface updates and assess backward compatibility |
US7546594B2 (en) | 2003-12-15 | 2009-06-09 | Microsoft Corporation | System and method for updating installation components using an installation component delta patch in a networked environment |
US7840968B1 (en) | 2003-12-17 | 2010-11-23 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
JP2005202523A (ja) | 2004-01-13 | 2005-07-28 | Sony Corp | コンピュータ装置及びプロセス制御方法 |
US7272654B1 (en) | 2004-03-04 | 2007-09-18 | Sandbox Networks, Inc. | Virtualizing network-attached-storage (NAS) with a compact table that stores lossy hashes of file names and parent handles rather than full names |
JP4480422B2 (ja) | 2004-03-05 | 2010-06-16 | 富士通株式会社 | 不正アクセス阻止方法、装置及びシステム並びにプログラム |
US7783735B1 (en) | 2004-03-22 | 2010-08-24 | Mcafee, Inc. | Containment of network communication |
JP2005275839A (ja) | 2004-03-25 | 2005-10-06 | Nec Corp | ソフトウェア利用許可方法及びシステム |
EP1730917A1 (en) | 2004-03-30 | 2006-12-13 | Telecom Italia S.p.A. | Method and system for network intrusion detection, related network and computer program product |
US7966658B2 (en) | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
EP1745342A2 (en) | 2004-04-19 | 2007-01-24 | Securewave S.A. | On-line centralized and local authorization of executable files |
US7890946B2 (en) | 2004-05-11 | 2011-02-15 | Microsoft Corporation | Efficient patching |
US20060004875A1 (en) | 2004-05-11 | 2006-01-05 | Microsoft Corporation | CMDB schema |
US7818377B2 (en) | 2004-05-24 | 2010-10-19 | Microsoft Corporation | Extended message rule architecture |
ATE451806T1 (de) | 2004-05-24 | 2009-12-15 | Computer Ass Think Inc | System und verfahren zum automatischen konfigurieren eines mobilen geräts |
US7506170B2 (en) | 2004-05-28 | 2009-03-17 | Microsoft Corporation | Method for secure access to multiple secure networks |
US20050273858A1 (en) | 2004-06-07 | 2005-12-08 | Erez Zadok | Stackable file systems and methods thereof |
US7624445B2 (en) | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
US7953814B1 (en) | 2005-02-28 | 2011-05-31 | Mcafee, Inc. | Stopping and remediating outbound messaging abuse |
US7694150B1 (en) | 2004-06-22 | 2010-04-06 | Cisco Technology, Inc | System and methods for integration of behavioral and signature based security |
US7680890B1 (en) | 2004-06-22 | 2010-03-16 | Wei Lin | Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers |
US20050289538A1 (en) | 2004-06-23 | 2005-12-29 | International Business Machines Corporation | Deploying an application software on a virtual deployment target |
US7415727B1 (en) | 2004-06-24 | 2008-08-19 | Mcafee, Inc. | System, method, and computer program product for tailoring security responses for local and remote file open requests |
US7203864B2 (en) | 2004-06-25 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | Method and system for clustering computers into peer groups and comparing individual computers to their peers |
US7908653B2 (en) | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
BRPI0418942B1 (pt) | 2004-07-09 | 2018-05-29 | Telefonaktiebolaget Lm Ericsson | Método para prover serviços diferentes em um sistema de comunicação de multimídia, e, servidor de aplicativo em um sistema de comunicação de multimídia |
US20060015501A1 (en) | 2004-07-19 | 2006-01-19 | International Business Machines Corporation | System, method and program product to determine a time interval at which to check conditions to permit access to a file |
US7937455B2 (en) | 2004-07-28 | 2011-05-03 | Oracle International Corporation | Methods and systems for modifying nodes in a cluster environment |
JP2006059217A (ja) | 2004-08-23 | 2006-03-02 | Mitsubishi Electric Corp | ソフトウェアメモリイメージ生成装置及び組み込み機器ソフトウェア更新システム及びプログラム |
US7703090B2 (en) | 2004-08-31 | 2010-04-20 | Microsoft Corporation | Patch un-installation |
US7873955B1 (en) | 2004-09-07 | 2011-01-18 | Mcafee, Inc. | Solidifying the executable software set of a computer |
US7392374B2 (en) | 2004-09-21 | 2008-06-24 | Hewlett-Packard Development Company, L.P. | Moving kernel configurations |
US7561515B2 (en) | 2004-09-27 | 2009-07-14 | Intel Corporation | Role-based network traffic-flow rate control |
US8146145B2 (en) | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
US7685632B2 (en) | 2004-10-01 | 2010-03-23 | Microsoft Corporation | Access authorization having a centralized policy |
US7506364B2 (en) | 2004-10-01 | 2009-03-17 | Microsoft Corporation | Integrated access authorization |
US20060080656A1 (en) | 2004-10-12 | 2006-04-13 | Microsoft Corporation | Methods and instructions for patch management |
US9329905B2 (en) | 2004-10-15 | 2016-05-03 | Emc Corporation | Method and apparatus for configuring, monitoring and/or managing resource groups including a virtual machine |
US7765538B2 (en) | 2004-10-29 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for determining which program patches to recommend for installation |
US8099060B2 (en) | 2004-10-29 | 2012-01-17 | Research In Motion Limited | Wireless/wired mobile communication device with option to automatically block wireless communication when connected for wired communication |
EP1820099A4 (en) | 2004-11-04 | 2013-06-26 | Tti Inv S C Llc | DETECTING OPERATING CODE IN NETWORK DATA STREAMS |
US20060101277A1 (en) | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
WO2006101549A2 (en) | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
US7765544B2 (en) | 2004-12-17 | 2010-07-27 | Intel Corporation | Method, apparatus and system for improving security in a virtual machine host |
US8479193B2 (en) | 2004-12-17 | 2013-07-02 | Intel Corporation | Method, apparatus and system for enhancing the usability of virtual machines |
US8738708B2 (en) | 2004-12-21 | 2014-05-27 | Mcafee, Inc. | Bounce management in a trusted communication network |
US9160755B2 (en) | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7752667B2 (en) | 2004-12-28 | 2010-07-06 | Lenovo (Singapore) Pte Ltd. | Rapid virus scan using file signature created during file write |
US7849269B2 (en) | 2005-01-24 | 2010-12-07 | Citrix Systems, Inc. | System and method for performing entity tag and cache control of a dynamically generated object not identified as cacheable in a network |
US7302558B2 (en) | 2005-01-25 | 2007-11-27 | Goldman Sachs & Co. | Systems and methods to facilitate the creation and configuration management of computing systems |
US7385938B1 (en) | 2005-02-02 | 2008-06-10 | At&T Corp. | Method and apparatus for adjusting a network device configuration change distribution schedule |
US20130247027A1 (en) | 2005-02-16 | 2013-09-19 | Solidcore Systems, Inc. | Distribution and installation of solidified software on a computer |
US8056138B2 (en) | 2005-02-26 | 2011-11-08 | International Business Machines Corporation | System, method, and service for detecting improper manipulation of an application |
US7836504B2 (en) | 2005-03-01 | 2010-11-16 | Microsoft Corporation | On-access scan of memory for malware |
US7685635B2 (en) | 2005-03-11 | 2010-03-23 | Microsoft Corporation | Systems and methods for multi-level intercept processing in a virtual machine environment |
TW200707417A (en) | 2005-03-18 | 2007-02-16 | Sony Corp | Reproducing apparatus, reproducing method, program, program storage medium, data delivery system, data structure, and manufacturing method of recording medium |
US7552479B1 (en) | 2005-03-22 | 2009-06-23 | Symantec Corporation | Detecting shellcode that modifies IAT entries |
JP2006270894A (ja) | 2005-03-25 | 2006-10-05 | Fuji Xerox Co Ltd | ゲートウェイ装置、端末装置、通信システムおよびプログラム |
US7770151B2 (en) | 2005-04-07 | 2010-08-03 | International Business Machines Corporation | Automatic generation of solution deployment descriptors |
US7349931B2 (en) | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
US8590044B2 (en) | 2005-04-14 | 2013-11-19 | International Business Machines Corporation | Selective virus scanning system and method |
US7562385B2 (en) | 2005-04-20 | 2009-07-14 | Fuji Xerox Co., Ltd. | Systems and methods for dynamic authentication using physical keys |
US7822620B2 (en) | 2005-05-03 | 2010-10-26 | Mcafee, Inc. | Determining website reputations using automatic testing |
US7562304B2 (en) | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
US7765481B2 (en) | 2005-05-03 | 2010-07-27 | Mcafee, Inc. | Indicating website reputations during an electronic commerce transaction |
US7603552B1 (en) | 2005-05-04 | 2009-10-13 | Mcafee, Inc. | Piracy prevention using unique module translation |
JP4880675B2 (ja) | 2005-05-05 | 2012-02-22 | シスコ アイアンポート システムズ エルエルシー | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
US7363463B2 (en) | 2005-05-13 | 2008-04-22 | Microsoft Corporation | Method and system for caching address translations from multiple address spaces in virtual machines |
US8001245B2 (en) | 2005-06-01 | 2011-08-16 | International Business Machines Corporation | System and method for autonomically configurable router |
US7937480B2 (en) | 2005-06-02 | 2011-05-03 | Mcafee, Inc. | Aggregation of reputation data |
WO2006137057A2 (en) | 2005-06-21 | 2006-12-28 | Onigma Ltd. | A method and a system for providing comprehensive protection against leakage of sensitive information assets using host based agents, content- meta-data and rules-based policies |
US8839450B2 (en) | 2007-08-02 | 2014-09-16 | Intel Corporation | Secure vault service for software components within an execution environment |
CN101218568A (zh) | 2005-07-11 | 2008-07-09 | 微软公司 | 每-用户和系统粒度的审计策略实现 |
US7739721B2 (en) | 2005-07-11 | 2010-06-15 | Microsoft Corporation | Per-user and system granular audit policy implementation |
US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
US7983254B2 (en) | 2005-07-20 | 2011-07-19 | Verizon Business Global Llc | Method and system for securing real-time media streams in support of interdomain traversal |
US7984493B2 (en) | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
CN103984891A (zh) | 2005-07-29 | 2014-08-13 | Bit9公司 | 网络安全系统和方法 |
US7962616B2 (en) | 2005-08-11 | 2011-06-14 | Micro Focus (Us), Inc. | Real-time activity monitoring and reporting |
US20070056035A1 (en) | 2005-08-16 | 2007-03-08 | Drew Copley | Methods and systems for detection of forged computer files |
US8327353B2 (en) | 2005-08-30 | 2012-12-04 | Microsoft Corporation | Hierarchical virtualization with a multi-level virtualization mechanism |
US7340574B2 (en) | 2005-08-30 | 2008-03-04 | Rockwell Automation Technologies, Inc. | Method and apparatus for synchronizing an industrial controller with a redundant controller |
US8166474B1 (en) | 2005-09-19 | 2012-04-24 | Vmware, Inc. | System and methods for implementing network traffic management for virtual and physical machines |
US20070074199A1 (en) | 2005-09-27 | 2007-03-29 | Sebastian Schoenberg | Method and apparatus for delivering microcode updates through virtual machine operations |
EP1770915A1 (en) | 2005-09-29 | 2007-04-04 | Matsushita Electric Industrial Co., Ltd. | Policy control in the evolved system architecture |
US20070078675A1 (en) | 2005-09-30 | 2007-04-05 | Kaplan Craig A | Contributor reputation-based message boards and forums |
US7712132B1 (en) | 2005-10-06 | 2010-05-04 | Ogilvie John W | Detecting surreptitious spyware |
US8131825B2 (en) | 2005-10-07 | 2012-03-06 | Citrix Systems, Inc. | Method and a system for responding locally to requests for file metadata associated with files stored remotely |
US7725737B2 (en) | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
US20070169079A1 (en) | 2005-11-08 | 2007-07-19 | Microsoft Corporation | Software update management |
US7836303B2 (en) | 2005-12-09 | 2010-11-16 | University Of Washington | Web browser operating system |
US7856538B2 (en) | 2005-12-12 | 2010-12-21 | Systex, Inc. | Methods, systems and computer readable medium for detecting memory overflow conditions |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US8296437B2 (en) | 2005-12-29 | 2012-10-23 | Logmein, Inc. | Server-mediated setup and maintenance of peer-to-peer client computer communications |
US20070168861A1 (en) | 2006-01-17 | 2007-07-19 | Bell Denise A | Method for indicating completion status of user initiated and system created tasks |
US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
WO2007099273A1 (en) | 2006-03-03 | 2007-09-07 | Arm Limited | Monitoring values of signals within an integrated circuit |
WO2007100045A1 (ja) | 2006-03-03 | 2007-09-07 | Nec Corporation | 通信制御装置、通信制御システム、通信制御方法、および通信制御用プログラム |
US8621433B2 (en) | 2006-03-20 | 2013-12-31 | Microsoft Corporation | Managing version information for software components |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US7752233B2 (en) | 2006-03-29 | 2010-07-06 | Massachusetts Institute Of Technology | Techniques for clustering a set of objects |
KR20070099201A (ko) | 2006-04-03 | 2007-10-09 | 삼성전자주식회사 | 휴대형 무선 기기의 보안 관리 방법 및 이를 이용한 보안관리 장치 |
US7870387B1 (en) | 2006-04-07 | 2011-01-11 | Mcafee, Inc. | Program-based authorization |
US8015563B2 (en) | 2006-04-14 | 2011-09-06 | Microsoft Corporation | Managing virtual machines with system-wide policies |
US7966659B1 (en) | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
US8352930B1 (en) | 2006-04-24 | 2013-01-08 | Mcafee, Inc. | Software modification by group to minimize breakage |
US8458673B2 (en) | 2006-04-26 | 2013-06-04 | Flexera Software Llc | Computer-implemented method and system for binding digital rights management executable code to a software application |
US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
US8555404B1 (en) | 2006-05-18 | 2013-10-08 | Mcafee, Inc. | Connectivity-based authorization |
US20080082662A1 (en) | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
US8291409B2 (en) | 2006-05-22 | 2012-10-16 | Microsoft Corporation | Updating virtual machine with patch on host that does not have network access |
US7877801B2 (en) | 2006-05-26 | 2011-01-25 | Symantec Corporation | Method and system to detect malicious software |
US20070276950A1 (en) | 2006-05-26 | 2007-11-29 | Rajesh Dadhia | Firewall For Dynamically Activated Resources |
US7761912B2 (en) | 2006-06-06 | 2010-07-20 | Microsoft Corporation | Reputation driven firewall |
US7809704B2 (en) | 2006-06-15 | 2010-10-05 | Microsoft Corporation | Combining spectral and probabilistic clustering |
US7831997B2 (en) | 2006-06-22 | 2010-11-09 | Intel Corporation | Secure and automatic provisioning of computer systems having embedded network devices |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US20070300215A1 (en) | 2006-06-26 | 2007-12-27 | Bardsley Jeffrey S | Methods, systems, and computer program products for obtaining and utilizing a score indicative of an overall performance effect of a software update on a software host |
US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
US7950056B1 (en) | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
US8468526B2 (en) | 2006-06-30 | 2013-06-18 | Intel Corporation | Concurrent thread execution using user-level asynchronous signaling |
US8495181B2 (en) | 2006-08-03 | 2013-07-23 | Citrix Systems, Inc | Systems and methods for application based interception SSI/VPN traffic |
US8572721B2 (en) | 2006-08-03 | 2013-10-29 | Citrix Systems, Inc. | Methods and systems for routing packets in a VPN-client-to-VPN-client connection via an SSL/VPN network appliance |
US8015388B1 (en) | 2006-08-04 | 2011-09-06 | Vmware, Inc. | Bypassing guest page table walk for shadow page table entries not present in guest page table |
US20080059123A1 (en) | 2006-08-29 | 2008-03-06 | Microsoft Corporation | Management of host compliance evaluation |
EP1901192A1 (en) | 2006-09-14 | 2008-03-19 | British Telecommunications Public Limited Company | Mobile application registration |
US8161475B2 (en) | 2006-09-29 | 2012-04-17 | Microsoft Corporation | Automatic load and balancing for virtual machines to meet resource requirements |
US7769731B2 (en) | 2006-10-04 | 2010-08-03 | International Business Machines Corporation | Using file backup software to generate an alert when a file modification policy is violated |
US9697019B1 (en) | 2006-10-17 | 2017-07-04 | Manageiq, Inc. | Adapt a virtual machine to comply with system enforced policies and derive an optimized variant of the adapted virtual machine |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US8055904B1 (en) | 2006-10-19 | 2011-11-08 | United Services Automobile Assocation (USAA) | Systems and methods for software application security management |
US7979749B2 (en) | 2006-11-15 | 2011-07-12 | International Business Machines Corporation | Method and infrastructure for detecting and/or servicing a failing/failed operating system instance |
US7689817B2 (en) | 2006-11-16 | 2010-03-30 | Intel Corporation | Methods and apparatus for defeating malware |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
US20080155336A1 (en) | 2006-12-20 | 2008-06-26 | International Business Machines Corporation | Method, system and program product for dynamically identifying components contributing to service degradation |
US7711684B2 (en) | 2006-12-28 | 2010-05-04 | Ebay Inc. | Collaborative content evaluation |
US7996836B1 (en) | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
US8336046B2 (en) | 2006-12-29 | 2012-12-18 | Intel Corporation | Dynamic VM cloning on request from application based on mapping of virtual hardware configuration to the identified physical hardware resources |
US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
US8254568B2 (en) | 2007-01-07 | 2012-08-28 | Apple Inc. | Secure booting a computing device |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US20080178278A1 (en) | 2007-01-22 | 2008-07-24 | Doron Grinstein | Providing A Generic Gateway For Accessing Protected Resources |
US8179798B2 (en) | 2007-01-24 | 2012-05-15 | Mcafee, Inc. | Reputation based connection throttling |
US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
US7779156B2 (en) | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
US8380987B2 (en) | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
JP4715774B2 (ja) | 2007-03-02 | 2011-07-06 | 日本電気株式会社 | レプリケーション方法、レプリケーションシステム、ストレージ装置、プログラム |
US8276201B2 (en) | 2007-03-22 | 2012-09-25 | International Business Machines Corporation | Integrity protection in data processing systems |
US20080282338A1 (en) | 2007-05-09 | 2008-11-13 | Beer Kevin J | System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network |
US20080282080A1 (en) | 2007-05-11 | 2008-11-13 | Nortel Networks Limited | Method and apparatus for adapting a communication network according to information provided by a trusted client |
US20080295173A1 (en) | 2007-05-21 | 2008-11-27 | Tsvetomir Iliev Tsvetanov | Pattern-based network defense mechanism |
US7930327B2 (en) | 2007-05-21 | 2011-04-19 | International Business Machines Corporation | Method and apparatus for obtaining the absolute path name of an open file system object from its file descriptor |
US20080301770A1 (en) | 2007-05-31 | 2008-12-04 | Kinder Nathan G | Identity based virtual machine selector |
US20090007100A1 (en) | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
US8584094B2 (en) | 2007-06-29 | 2013-11-12 | Microsoft Corporation | Dynamically computing reputation scores for objects |
US8763115B2 (en) | 2007-08-08 | 2014-06-24 | Vmware, Inc. | Impeding progress of malicious guest software |
US20090049172A1 (en) | 2007-08-16 | 2009-02-19 | Robert Miller | Concurrent Node Self-Start in a Peer Cluster |
CN101370004A (zh) | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
US20090064287A1 (en) | 2007-08-28 | 2009-03-05 | Rohati Systems, Inc. | Application protection architecture with triangulated authorization |
WO2009032710A2 (en) | 2007-08-29 | 2009-03-12 | Nirvanix, Inc. | Filing system and method for data files stored in a distributed communications network |
US8250641B2 (en) | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
US20090113111A1 (en) | 2007-10-30 | 2009-04-30 | Vmware, Inc. | Secure identification of execution contexts |
US8195931B1 (en) | 2007-10-31 | 2012-06-05 | Mcafee, Inc. | Application change control |
US8045458B2 (en) | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
US8321937B2 (en) | 2007-11-25 | 2012-11-27 | Trend Micro Incorporated | Methods and system for determining performance of filters in a computer intrusion prevention detection system |
JP5238235B2 (ja) | 2007-12-07 | 2013-07-17 | 株式会社日立製作所 | 管理装置及び管理方法 |
US8701189B2 (en) | 2008-01-31 | 2014-04-15 | Mcafee, Inc. | Method of and system for computer system denial-of-service protection |
US8788805B2 (en) | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
US8336094B2 (en) | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
US8321931B2 (en) | 2008-03-31 | 2012-11-27 | Intel Corporation | Method and apparatus for sequential hypervisor invocation |
US8615502B2 (en) | 2008-04-18 | 2013-12-24 | Mcafee, Inc. | Method of and system for reverse mapping vnode pointers |
US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
US9058420B2 (en) | 2008-06-20 | 2015-06-16 | Vmware, Inc. | Synchronous decoupled program analysis in virtual environments |
CA2726310C (en) | 2008-08-07 | 2013-10-08 | Serge Nabutovsky | Link exchange system and method |
US8065714B2 (en) | 2008-09-12 | 2011-11-22 | Hytrust, Inc. | Methods and systems for securely managing virtualization platform |
US8726391B1 (en) | 2008-10-10 | 2014-05-13 | Symantec Corporation | Scheduling malware signature updates in relation to threat awareness and environmental safety |
US9141381B2 (en) | 2008-10-27 | 2015-09-22 | Vmware, Inc. | Version control environment for virtual machines |
CN101741820B (zh) | 2008-11-13 | 2013-12-18 | 华为技术有限公司 | Cga公钥识别和cga公钥确定的方法、系统及装置 |
JP4770921B2 (ja) | 2008-12-01 | 2011-09-14 | 日本電気株式会社 | ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム |
US8544003B1 (en) | 2008-12-11 | 2013-09-24 | Mcafee, Inc. | System and method for managing virtual machine configurations |
US8274895B2 (en) | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
US8904520B1 (en) * | 2009-03-19 | 2014-12-02 | Symantec Corporation | Communication-based reputation system |
US8387046B1 (en) | 2009-03-26 | 2013-02-26 | Symantec Corporation | Security driver for hypervisors and operating systems of virtualized datacenters |
US8060722B2 (en) | 2009-03-27 | 2011-11-15 | Vmware, Inc. | Hardware assistance for shadow page table coherence with guest page mappings |
US20100299277A1 (en) | 2009-05-19 | 2010-11-25 | Randy Emelo | System and method for creating and enhancing mentoring relationships |
US8205035B2 (en) | 2009-06-22 | 2012-06-19 | Citrix Systems, Inc. | Systems and methods for integration between application firewall and caching |
US8359422B2 (en) | 2009-06-26 | 2013-01-22 | Vmware, Inc. | System and method to reduce trace faults in software MMU virtualization |
GB2471716A (en) | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
JP2010016834A (ja) | 2009-07-16 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング方法 |
US8341627B2 (en) | 2009-08-21 | 2012-12-25 | Mcafee, Inc. | Method and system for providing user space address protection from writable memory area in a virtual environment |
US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
US8572695B2 (en) | 2009-09-08 | 2013-10-29 | Ricoh Co., Ltd | Method for applying a physical seal authorization to documents in electronic workflows |
US8234408B2 (en) | 2009-09-10 | 2012-07-31 | Cloudshield Technologies, Inc. | Differentiating unique systems sharing a common address |
US8621654B2 (en) | 2009-09-15 | 2013-12-31 | Symantec Corporation | Using metadata in security tokens to prevent coordinated gaming in a reputation system |
US20110072129A1 (en) | 2009-09-21 | 2011-03-24 | At&T Intellectual Property I, L.P. | Icmp proxy device |
US9009834B1 (en) * | 2009-09-24 | 2015-04-14 | Google Inc. | System policy violation detection |
US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US9390263B2 (en) | 2010-03-31 | 2016-07-12 | Sophos Limited | Use of an application controller to monitor and control software file and application environments |
US8875292B1 (en) | 2010-04-05 | 2014-10-28 | Symantec Corporation | Systems and methods for managing malware signatures |
US20120174219A1 (en) | 2010-05-14 | 2012-07-05 | Mcafee, Inc. | Identifying mobile device reputations |
US8813209B2 (en) | 2010-06-03 | 2014-08-19 | International Business Machines Corporation | Automating network reconfiguration during migrations |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
CN103154961A (zh) | 2010-09-30 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于病毒扫描的虚拟机 |
US8621591B2 (en) | 2010-10-19 | 2013-12-31 | Symantec Corporation | Software signing certificate reputation model |
US9075993B2 (en) | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US20130247192A1 (en) | 2011-03-01 | 2013-09-19 | Sven Krasser | System and method for botnet detection by comprehensive email behavioral analysis |
US9552215B2 (en) | 2011-03-08 | 2017-01-24 | Rackspace Us, Inc. | Method and system for transferring a virtual machine |
US9122877B2 (en) * | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
US8776234B2 (en) | 2011-04-20 | 2014-07-08 | Kaspersky Lab, Zao | System and method for dynamic generation of anti-virus databases |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8694738B2 (en) | 2011-10-11 | 2014-04-08 | Mcafee, Inc. | System and method for critical address space protection in a hypervisor environment |
US8973144B2 (en) | 2011-10-13 | 2015-03-03 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US9069586B2 (en) | 2011-10-13 | 2015-06-30 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713684B2 (en) * | 2012-02-24 | 2014-04-29 | Appthority, Inc. | Quantifying the risks of applications for mobile devices |
US8793489B2 (en) | 2012-03-01 | 2014-07-29 | Humanconcepts, Llc | Method and system for controlling data access to organizational data maintained in hierarchical |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
WO2014142986A1 (en) * | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
US9311480B2 (en) * | 2013-03-15 | 2016-04-12 | Mcafee, Inc. | Server-assisted anti-malware client |
WO2015060857A1 (en) | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
-
2013
- 2013-10-24 WO PCT/US2013/066690 patent/WO2015060857A1/en active Application Filing
- 2013-10-24 US US14/127,395 patent/US9578052B2/en active Active
- 2013-10-24 CN CN201380079791.5A patent/CN105580023B/zh active Active
- 2013-10-24 EP EP13895997.8A patent/EP3061030A4/en not_active Withdrawn
-
2017
- 2017-01-05 US US15/399,091 patent/US10205743B2/en active Active
-
2019
- 2019-02-07 US US16/270,461 patent/US10645115B2/en active Active
-
2020
- 2020-03-30 US US16/834,643 patent/US11171984B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
EP3061030A1 (en) | 2016-08-31 |
US10645115B2 (en) | 2020-05-05 |
US9578052B2 (en) | 2017-02-21 |
US20150121449A1 (en) | 2015-04-30 |
US10205743B2 (en) | 2019-02-12 |
EP3061030A4 (en) | 2017-04-19 |
US20200228546A1 (en) | 2020-07-16 |
US20170118228A1 (en) | 2017-04-27 |
CN105580023A (zh) | 2016-05-11 |
US11171984B2 (en) | 2021-11-09 |
WO2015060857A1 (en) | 2015-04-30 |
US20190173891A1 (en) | 2019-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105580023B (zh) | 网络环境中的代理辅助的恶意应用阻止 | |
US10742624B2 (en) | Sentinel appliance in an internet of things realm | |
US10708304B2 (en) | Honeypot network services | |
US20180007002A1 (en) | Elastic outbound gateway | |
KR101713045B1 (ko) | 보안 환경에서 엔드포인트 하드웨어 지원형 네트워크 방화벽을 위한 시스템 및 방법 | |
CN103765846B (zh) | 用于互锁主机和网关的系统和方法 | |
US9185121B2 (en) | Detecting malicious circumvention of virtual private network | |
US20210144157A1 (en) | Threat intelligence on a data exchange layer | |
WO2016176686A1 (en) | Computer network security system | |
CN103746956A (zh) | 虚拟蜜罐 | |
CN103875226A (zh) | 用于网络环境中主机发起的防火墙发现的系统和方法 | |
WO2007124206A2 (en) | System and method for securing information in a virtual computing environment | |
US20170126736A1 (en) | Computer network defense system | |
US11799858B2 (en) | Network entity ID AAA | |
Tanash et al. | Communication over cloud computing: A security survey | |
Nguyen et al. | SPEChecker: Checking the feasibility of Slow-port-exhaustion attack on various hypervisors | |
Nguyen et al. | A behavior-based mobile malware detection model in software-defined networking | |
Londhe et al. | Imperial Analysis of Threats and Vulnerabilities in Cloud Computing. | |
Sahoo et al. | Co-resident Attack in Cloud Computing: An Overview. | |
Yu | Access control for network management | |
Khan et al. | Security and Privacy Issues in Cloud Computing | |
Bhatele et al. | A Review on Security Issues for Virtualization and Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee Inc. Address before: American California Patentee before: Mcafee, Inc. |