CN108353083A - 用于检测域产生算法(dga)恶意软件的系统及方法 - Google Patents
用于检测域产生算法(dga)恶意软件的系统及方法 Download PDFInfo
- Publication number
- CN108353083A CN108353083A CN201680064630.2A CN201680064630A CN108353083A CN 108353083 A CN108353083 A CN 108353083A CN 201680064630 A CN201680064630 A CN 201680064630A CN 108353083 A CN108353083 A CN 108353083A
- Authority
- CN
- China
- Prior art keywords
- access request
- response
- dga
- malwares
- outside access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
通过拦截由潜在域产生算法DGA恶意软件主机发送的外部时间请求及以被设计成触发时间相依DGA活动的加速(未来)真实时间替代所接收真实时间而检测DGA恶意软件。所述拦截及替代是在物理或虚拟DGA主机以外在例如不同外部物理服务器或路由器等不同物理或虚拟系统或者于相同物理系统上运行的不同管理程序或虚拟机上执行,以便降低所述DGA恶意软件识别出时间替换的风险。接着,使用仅在未来时间触发的失败的DGA恶意软件外部接入请求来识别由所述DGA恶意软件产生的域名,从而允许做出主动防范措施。
Description
背景技术
本发明涉及用于保护计算机系统免受恶意软件破坏的系统及方法,且特定来说涉及用于检测采用域产生算法(DGA)的恶意软件的系统及方法。
恶意软件(还称为恶意软件(malware))影响全世界的大量计算机系统。在其许多形式中(例如计算机病毒、蠕虫、隐匿程序(rootkit)及间谍软件),恶意软件给数百万计算机用户呈现严重风险,使其易受数据及敏感信息丢失、身份盗用及生产力损失等等。
安全软件可用于检测感染用户的计算机系统的恶意软件,且另外用于移除或停止此类恶意软件的执行。所属领域中已知数种恶意软件检测技术。一些技术依赖于将恶意软件代理的代码片段与恶意软件指示性特征库进行匹配。其它常规方法检测恶意软件代理的一组恶意软件指示性行为。
恶意僵尸网络形成特别有害类型的恶意软件威胁。在一种攻击情境中,众多计算机系统感染有经配置以连接到远程资源且下载恶意有效负载或其它信息(例如,发动拒绝服务攻击的目标的指示符)的代理。所述代理可经配置以使用域产生算法(DGA)来产生域名且尝试连接到所述域。此类域名通常未提前向域名注册局注册,且因此绝大多数连接尝试失败。当恶意软件创建者决定发动攻击时,其向域名注册局注册这些域名中的一者且在线放置有效负载。突然,由僵尸网络成员做出的连接到相应域的尝试成功,且发动攻击。
由于域名产生是使用未知算法执行,因此防止此类攻击可为困难的。安全应用程序可看到连接到一些域名的零星失败尝试,但此类尝试通常淹没于连接到外部站点的众多合法失败尝试中。
研究人员具有识别受感染代理及对域产生算法进行逆向工程设计的复杂且繁琐的任务。此类算法使用各种方法,所述方法中的一者是使用当前时间作为对伪随机产生算法的输入。在传统检测方法中,研究人员必须拆分代码以便确定DGA及所创建的域名。
发明内容
根据一个方面,一种计算机系统包括至少一个存储器及至少一个相关联微处理器,所述至少一个相关联微处理器经配置以在潜在域产生算法(DGA)恶意软件主机外部执行以下步骤:拦截对第一外部接入请求的原始应答,其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点;剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者以确定对所述第一外部接入请求的所述原始应答是否包括真实时间;将经修改应答发送到所述潜在DGA恶意软件主机,所述经修改应答是从所述原始应答通过以在所述原始应答中所包含的原始真实时间之后的加速真实时间替代所述原始真实时间而产生;响应于由所述潜在DGA恶意软件主机发送的第二外部接入请求,拦截指示所述第二接入请求不成功的应答,其中所述第二外部接入请求是在发送所述第一外部接入请求之后发送;及响应于拦截到指示所述第二接入请求不成功的所述应答,确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。
根据一个方面,一种计算机系统包括至少一个存储器及至少一个相关联微处理器,所述至少一个相关联微处理器经配置以在潜在域产生算法(DGA)恶意软件主机外部执行以下步骤:剖析第一外部接入请求以确定对所述第一外部接入请求的原始应答是否包括加速真实时间,其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点;剖析对所述第一外部接入请求的第一原始应答以确定所述第一原始应答是否包括指示所述加速真实时间不准确的第一信息;将经修改应答发送到所述潜在DGA恶意软件主机,所述经修改应答是从所述第一原始应答通过以指示所述加速真实时间准确的第二信息替代所述第一信息而产生;响应于由所述潜在DGA恶意软件主机发送到第二外部站点的第二外部接入请求,拦截指示所述第二接入请求不成功的第二原始应答;及响应于拦截到所述第二应答,确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。
根据另一方面,一种非暂时性计算机可读媒体存储指令,所述指令在被执行时配置第一计算机系统的至少一个存储器及至少一个相关联微处理器以在潜在域产生算法(DGA)恶意软件主机外部执行以下步骤:拦截对第一外部接入请求的原始应答,其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点;剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者以确定对所述第一外部接入请求的所述原始应答是否包括真实时间;将经修改应答发送到所述潜在DGA恶意软件主机,所述经修改应答是从所述原始应答通过以在所述原始应答中所包含的原始真实时间之后的加速真实时间替代所述原始真实时间而产生;响应于由所述潜在DGA恶意软件主机发送的第二外部接入请求,拦截指示所述第二接入请求不成功的应答,其中所述第二外部接入请求是在发送所述第一外部接入请求之后发送;及响应于拦截到指示所述第二接入请求不成功的所述应答,确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。
附图说明
在阅读以下详细描述后且在参考图式后,本发明的前述方面及优点将即刻变得更好理解,在图式中:
图1展示根据本发明的一些实施例的全部通过网络互连的示范性客户端系统、托管外部站点的服务器系统及时间服务器。
图2A图解说明根据本发明的一些实施例的可为潜在DGA恶意软件主机的客户端系统的示范性硬件配置。
图2B展示根据本发明的一些实施例的可托管DGA检测器的服务器计算机系统或网络交换机/路由器的示范性硬件配置。
图3A展示根据本发明的一些实施例的包含在由虚拟机形成的潜在DGA恶意软件主机上运行的过程的一组示范性软件对象及由与潜在DGA恶意软件主机相同的物理系统托管的DGA检测器。
图3B展示根据本发明的一些实施例的包含在潜在DGA恶意软件主机上运行的过程的一组示范性软件对象及在不同于所述潜在恶意软件主机的物理系统上托管的DGA检测器。
图4展示根据本发明的一些实施例的示范性外部接入请求及/或应答。
图5A展示根据本发明的一些实施例的在剖析向时间服务器的外部接入请求时由DGA检测器执行的示范性步骤序列。
图5B展示根据本发明的一些实施例的在拦截对外部接入请求的原始应答时由DGA检测器执行的示范性步骤序列。
图5C展示根据本发明的一些实施例的在检测过程是否执行DGA时由DGA检测器执行的示范性步骤序列。
图5D展示根据本发明的一些实施例的在剖析包含加速真实时间的外部接入请求时由DGA检测器执行的示范性步骤序列。
图6展示根据本发明的一些实施例的原始真实时间与加速真实时间之间的多种数学关系。
图7展示根据本发明的一些实施例的可用于确定可疑过程是否执行DGA的方法的步骤序列。
具体实施方式
在以下描述中,应理解,结构之间的所有所叙述连接可为直接操作连接或通过中间结构的间接操作连接。一组元素包含一或多个元素。对一元素的任何引用应理解为指代至少一个元素。多个元素包含至少两个元素。除非另有需要,否则任何所描述方法步骤不需要一定以特定所图解说明次序执行。除非另有规定,否则过程为计算机程序(例如应用程序或操作系统的一部分)的实例且通过具有至少一执行线程及由操作系统指派给所述过程的虚拟存储器的区段来表征,相应存储器区段包括可执行代码。黑名单是被阻止执行一组动作的对象的列表。根据参数做出确定或决策涵盖根据所述参数及任选地根据其它数据做出确定或决策。计算机可读媒体涵盖非暂时性媒体(例如磁性媒体、光学媒体及半导体存储媒体(例如硬驱动器、光盘、快闪存储器、DRAM))以及通信链路(例如导电缆线及光纤链路)。时间服务器是外部服务器,其响应于时间服务器接收的接入请求而在应答中提供真实时间及/或响应于包含真实时间的接入请求而提供指示所述接入请求中所包含的所述真实时间是否准确的应答。时间服务器可或可不为专用于提供真实时间值的服务器。专用时间服务器专用于响应于查询而提供真实时间值。非专用时间服务器可提供真实时间值作为更大内容页面的一部分,所述更大内容页面可包含其它内容,例如文本及图像(例如,除特定位置处的当前真实时间外还提供关于所述位置处的当前天气的信息的天气服务器页面)。根据一些实施例,本发明尤其提供计算机系统,所述计算机系统包括经编程以执行本文中所描述的方法的硬件(例如,在一或多个半导体衬底上形成的一或多个处理器),以及编码用以执行本文中所描述的方法的指令的计算机可读媒体。
以下描述以实例方式且未必以限制方式图解说明本发明的实施例。
图1展示连接到DGA检测计算机系统11的示范性DGA主机客户端计算机系统10,DGA检测计算机系统11通过通信网络12进一步连接到DGA目标服务器计算机系统14及时间服务器计算机系统15。客户端系统10可为终端用户计算机系统(例如桌上型计算机、膝上型计算机、平板计算机),或智能电话、个人数字助理(PDA)、可穿戴计算装置、家用装置(例如TV或音乐播放器),或者可托管恶意软件的其它电子装置。客户端系统10具有至少一个硬件处理器、存储器及存储装置,且运行例如Linux、或等操作系统。在一些实施例中,客户端系统10可经配置以运行管理程序及一或多个虚拟机。网络12可为广域网(例如因特网),而网络12的部分还可包含局域网(LAN)。
在客户端系统10上执行的一些过程可为恶意的。特定来说,一些过程可潜在地执行DGA。在一些情形中,恶意软件可由在客户端系统10上运行的虚拟机托管。DGA检测系统11具有确定在虚拟机上运行的过程是否执行DGA的任务。在一些实施例中,DGA检测系统11包括计算机服务器,客户端系统10通过所述计算机服务器而接入因特网。在一些实施例中,DGA检测系统11的至少一部分可使用配置有实施至少一些下文所描述的DGA检测功能的软件/硬件的路由器或交换机来实施。在采用虚拟化的一些实施例中,如下文所描述的DGA检测系统可在客户端系统10上但在形成在客户端系统10上运行的潜在DGA主机的虚拟机以外实施。在此类虚拟化实施例中,DGA检测系统可在系统管理程序上及/或在不同于所监视的潜在DGA主机的虚拟机上运行。
在一些实施例中,安全应用程序在形成DGA检测系统11的至少一部分的服务器上运行。安全应用程序经配置以通过分析在客户端系统10上运行的一或多个过程而执行若干个DGA检测步骤。此分析可包含分析及拦截来自及去往客户端系统10的外部接入请求及应答。在示范性实施例中,此安全应用程序经配置以确定在客户端系统10上运行的一或多个过程是否执行DGA。当检测到DGA恶意软件时,安全应用程序进一步识别通过DGA产生的一组域名且将所述组域名列入黑名单。可将列入黑名单的域名作为软件更新的一部分发射到在多个客户端及/或服务器计算机上运行的安全应用程序的实例以促进保护此类系统。还可注册经识别域名,以便允许识别及潜在地抵消其它受感染系统。
客户端10可对向由计算机系统14托管的外部站点的接入请求进行寻址。外部站点可由通过域产生算法产生的域名表征。域名可由无法理解的字母数字字符序列(例如,adfjhaadew34.com或gsriptoi4534pfh.io)形成。此类域名不太可能先前向域名注册机构注册,且因此极有可能可用于在未来时间向域名注册机构注册。如果接入请求到达由计算机系统14托管的站点,那么接入请求是成功的。如果出于任何原因接入请求未到达由计算机系统14托管的站点,那么接入请求是不成功的。此原因可为此站点尚未存在、当前未被启用或表征所述站点的域名未被域名系统(DNS)辨识为有效域,且因此寻址到所述站点的通信未路由到所述站点。如果接入请求是成功的,那么由计算机系统14托管的站点将应答往回发送到客户端系统10。如果接入请求是不成功的,那么网络12的组件将指示接入请求不成功的应答往回发送到客户端系统10。
客户端系统10还对向时间服务器15的一或多个接入请求进行寻址。时间服务器15利用包含真实时间的响应来对此类接入请求做出响应。对于请求确认所包含真实时间的接入请求,时间服务器15还可利用指示所述接入请求中所包含的真实时间是否准确的数据来做出响应。
图2A展示根据本发明的一些实施例的客户端系统10的示范性硬件配置。图2A出于图解说明目的而展示计算机系统的特定结构;其它客户端系统可具有不同结构。在一些实施例中,系统10包括一组物理装置,包含全部通过一组总线44连接的处理器32、存储器单元34、一组输入装置36、一组输出装置38、一组存储装置40及一组网络适配器42。
在一些实施例中,处理器32包括经配置以利用一组信号及/或数据执行计算及/或逻辑操作的物理装置(例如,形成于半导体衬底上的多核心集成电路)。在一些实施例中,此类逻辑操作以处理器指令(例如,机器代码或其它类型的软件)序列的形式递送到处理器32。存储器单元34可包括存储由处理器32在执行指令的过程中存取或产生的数据/信号的非暂时性计算机可读媒体(例如,RAM)。输入装置36可包含计算机键盘、鼠标及麦克风等等,包含允许用户将数据及/或指令引入到客户端系统10中的相应硬件接口及/或适配器。输出装置38可包含显示屏及扬声器等等以及例如图形卡等硬件接口/适配器,从而允许客户端系统10将数据传递给用户。在一些实施例中,输入装置36及输出装置38可共享一件共同硬件,如在触摸屏装置的情形中。存储装置40包含实现软件指令及/或数据的非暂时性存储、读取及写入的计算机可读媒体。示范性存储装置40包含磁盘及光盘及快闪存储器装置以及可装卸媒体(例如CD及/或DVD磁盘及驱动器)。所述组网络适配器42使得客户端系统10能够连接到计算机网络(例如,网络12)及/或连接到其它装置/计算机系统。总线44共同表示多个系统、外围装置及芯片集总线及/或实现客户端系统10的装置32到42的互相通信的所有其它电路。举例来说,总线44可包括将处理器32连接到存储器34的北桥及/或将处理器32连接到装置36到42的南桥等等。
图2B展示例如用于实施DGA检测系统11(图1)的服务器等服务器的示范性硬件配置。此服务器包括全部通过一组总线144连接的服务器处理器132、服务器存储器134、一组服务器存储装置140及一组网络适配器142。装置132、134、140及142的操作可镜射上文所描述的装置32、34、40及42的操作。举例来说,服务器处理器132可包括经配置以利用一组信号及/或数据执行计算及/或逻辑操作的物理装置。服务器存储器134可包括存储由处理器132在执行计算的过程中存取或产生的数据/信号的非暂时性计算机可读媒体(例如,RAM)。网络适配器142使得服务器能够连接到例如网络12等计算机网络。
图3A展示由虚拟机710形成的潜在DGA恶意软件主机与在虚拟机710外部的DGA检测器704之间的示范性数据交换。在所图解说明配置中,DGA检测器704及虚拟机710在共同物理计算机系统711上运行。特定来说,在图3A中所展示的配置中,DGA检测器704是在管理程序705上运行及/或形成管理程序705的一部分的应用程序。虚拟机710将接入请求发送到外部站点714且从外部站点714接收应答。一组过程701、742同时在虚拟机710上运行。DGA检测器704分析由示范性过程701发送的外部接入请求702。DGA检测器704还拦截且分析对请求702的原始应答715。接着,DGA检测器704将原始应答715修改为经修改应答703。在分析请求702及原始应答715时,DGA检测器704可查询时间服务器数据库712。在图3A中,将时间系列数据库712展示为托管于计算机系统711上。在一些实施例中,时间服务器数据库712可在计算机系统711外部。在确定过程执行DGA后,DGA检测器704即刻指令安全应用程序54将所述过程列入黑名单。
图3B展示根据本发明的一些实施例的在计算机系统711'上运行的潜在DGA恶意软件主机与在不同于系统711'的计算机系统713上运行的DGA检测器704'之间的示范性数据交换。计算机系统711'可为客户端计算机系统。计算机系统713可为路由器、交换机或服务器计算机。一组过程701'、742'同时在计算机系统711'上运行。DGA检测器704分析由过程701发送到外部站点714的外部接入请求702。DGA检测器704还拦截且分析对请求702的传入应答715。可将原始应答715修改为经修改应答703。在分析请求702及原始应答715时,DGA检测器可询问时间服务器数据库712。在确定过程执行DGA后,DGA检测器704即刻确定通过DGA产生的一或多个域名,且指令安全应用程序54将DGA域添加到黑名单。在一些实施例中,安全应用程序54还可将在主机711上执行的受DGA感染的过程列入黑名单,且产生所识别恶意软件的一或多个指纹(例如,散列)以供发射到其它计算机系统。
图4展示形成外部接入请求702的一部分的示范性字段401a到d序列。对外部接入请求702的原始或经修改应答可包含类似字段序列。在一些实施例中,DGA检测器704(图3A)通过剖析外部接入请求702及/或对外部接入请求702的应答而识别包括真实时间信息的字段。并且,DGA检测器704还可剖析向专用或非专用时间服务器的地址的外部接入请求702。剖析可使用下文所描述的一组正规表达来执行,所述组正规表达使用正式规则来描述/识别输入数据的型式。举例来说,日期可通过搜索年份(例如,以19或20开始的四位数字)后续接着或前面跟着且通过数个经定义分隔符(例如,空格、逗号等)中的一者而分隔的月份及日期(呈任一次序)(例如,分别为从1到12的数字及从1到31的数字)来识别。作为另一实例,真实时间可通过分别约束为最高24、60及60且通过数个经定义分隔符(例如,空格等)中的一者而分隔的两个或三个数字来识别。时间服务器地址可通过存在数个前缀(例如,协议识别符,例如http、https、ftp或网络时间协议(ntp))中的一者及存在于数据库或域名服务器的其它列表中的域名或因特网协议(IP)地址来识别。
适合正规表达的语法及特定设计可取决于特定软件语言及经选择用于实施DGA检测器704的剖析引擎的标准库。IEEE POSIX标准提供适合于正规表达的语法。另外,用于处理正规表达的标准库在包含Perl、Java、Python、C++及其它的各种语言中可用。
举例来说,考虑采用由IEEE POSIX标准使用的以下语法的一组正规表达:
()=定义群组
[0-9]=介于0与9之间的任一数字字符
[a-z]=介于a与z之间的任一字母字符
{n}=可将先前群组精确地重复n次,其中n是自然数
{,n}=可将先前群组重复不超过n次,其中n是自然数
{n,}=可将先前群组重复至少n次,其中n是自然数
{m,n}=可将先前群组重复介于m次与n次之间,其中m及n是自然数
{m,n,p}=可将先前群组重复m、n或p次,其中m、n及p是自然数
$=待分析的文本的末端
在上述语法的情况下,正规表达“^(19|20)\d\d[-/.](0[1-9]|1[012])[-/.](0[1-9]|[12][0-9]|3[01])$”与呈yyyy-mm-dd格式的介于1900-01-01与2099-12-31之间的日期(具有四个分隔符的选择)相匹配。四个分隔符是“-”、“”、“/”及“.”。并且,作为实例,正规表达“^(ht|f)tp(s?)\:VV[0-9a-zA-Z]([-.\w]*[0-9a-zA-Z])*(:(0-9)*)*(V?)([a-zA-Z0-9\\-\.\?\,\′V\\\+&;amp;%\$#_]*)?$”与URL网站地址的地址相匹配。
图5A展示根据本发明的一些实施例的由DGA检测器704(图3A到B)执行以剖析向时间服务器的外部接入请求的示范性步骤序列。在步骤501中,DGA检测器704剖析所有外部接入请求。DGA检测器704进一步拦截对外部接入请求的原始应答(步骤502)且剖析所述原始应答(步骤503)。在步骤504中,DGA检测器704确定预期应答是否包括真实时间。如上文所述,所图解说明步骤不必以所展示的特定次序来执行;举例来说,在一些实施例中,步骤504可在步骤502及/或503之前执行。步骤504中的确定可通过确定接入请求是否包含专用或非专用时间服务器的地址、通过将被接入请求定为目标的地址与包含专用及非专用时间服务器的一或多个时间服务器列表进行比较而做出。专用时间服务器可经由预定义列表(例如由网络时间基金会(Network Time Foundation)在其网络时间协议站点www.ntp.org处获得的那些列表)来识别。专用时间服务器还可经由在请求中存在的网络时间协议(ntp)识别符来识别。非专用时间服务器可通过搜索一般关注站点(例如,www.yahoo.com)及专用站点(例如,www.weather.com)以选择传回真实时间的站点且根据搜索结果产生非专用时间服务器的列表来识别。在步骤504中,DGA检测器704可查询时间服务器数据库712以确定通过剖析找到的URL地址与来自时间服务器数据库712的URL地址列表之间是否存在匹配。
如果DGA检测器704确定外部接入请求不包含时间服务器的地址,那么在步骤507中,DGA检测器704检测过程是否执行DGA。下文详细描述步骤507。如果DGA检测器704确定外部接入请求确实包含时间服务器的地址,那么DGA 704检测器通过以加速真实时间替代原始真实时间而修改(步骤505)所拦截原始应答,如下文所解释。接着,DGA检测器704将经修改应答发送(步骤506)到发送在步骤501中剖析的接入请求的过程。
图5B展示根据本发明的一些实施例的由DGA检测器704(图3A到B)执行以剖析对外部接入请求的原始应答的示范性步骤序列。在步骤502中,DGA检测器704拦截对外部接入请求的原始应答。在步骤503中,DGA检测器704剖析原始应答,如上文所描述。在步骤507中,DGA检测器704确定过程是否执行DGA。
在步骤524中,DGA检测器704进一步确定原始应答是否包含真实时间字段。在步骤524中执行的确定可包含搜索嵌入于文本字段及/或图像字段中的一或多个真实时间值。搜索文本及/或图像字段可使用所属领域中已知的方法完成。在一些实施例中,搜索文本字段可包含使用专门化应用程序(例如,用于文本文件的文本编辑器)来编辑含有所述字段的对象。步骤524可包含对照来自剖析的结果对日期的正规表达进行匹配。接着,DGA检测器704通过以加速真实时间替代真实时间而修改(步骤505)所拦截应答,如下文所解释。接着,DGA检测器704将经修改应答发送(步骤506)到发送被剖析的接入请求的过程。
图5C展示在确定过程是否执行DGA时由DGA检测器704(图3A到B)执行的步骤507(图5A到B)内的示范性步骤序列。在步骤527中,DGA检测器704确定对接入请求的原始应答是否为成功的。如果原始应答不成功,那么DGA检测器704确定(步骤528)在计算机系统上运行的过程是否执行DGA。步骤528中的确定可使用所属领域中已知的方法来执行。下文呈现关于来自步骤528的DGA检测的细节。如果过程执行DGA,那么确定通过DGA产生的域名(步骤529)。在步骤531中,从安全应用程序将在步骤529中识别的域名添加到黑名单。黑名单可用于及时地更新多个客户端系统10,所述多个客户端系统10可变得被保护以免受DGA恶意软件破坏。安全应用程序可进一步经配置以向域名的指定注册机构的数据库中注册来自步骤509的域名。域名的及时注册可防止恶意软件创建者使用域名来传播及/或激活僵尸网络恶意软件。安全应用程序可进一步经配置以识别发送向经注册域名的接入请求的一组计算机系统。所述组经识别计算机系统可包含僵尸网络成员。较早识别可限制僵尸网络恶意软件的传播。
恶意软件可通过各种方法(例如通过查询在计算机系统上运行的操作系统)而确定真实时间。安全应用程序可通过指示加速真实时间而改变操作系统指示的真实时间。加速真实时间指示未来的真实时间。恶意软件可通过查询OS而请求真实时间的值。在运行的计算机系统上,对函数GetSystemTime()的调用可用于检索真实时间的值。恶意软件可接着验证由OS指示的加速真实时间准确。为了验证,恶意软件可在向时间服务器的外部接入请求中包含加速真实时间。来自时间服务器的原始应答可包含对加速真实时间是否准确的指示。
图5D展示根据本发明的一些实施例的由DGA检测器704(图3A到B)执行以剖析包含加速真实时间的外部接入请求的示范性步骤序列。在步骤501中,DGA检测器704剖析所有外部接入请求。接下来,DGA检测器704拦截对外部接入请求的原始应答(步骤502)且剖析所述原始应答(步骤503)。在步骤544中,DGA检测器704确定原始应答是否为成功的。如果原始应答是成功的,那么DGA检测器704接着确定请求是否包含加速真实时间(步骤546)。此确定可通过将从所剖析请求提取的时间与当前时间的值进行比较而做出。所述比较可例如通过确定日期及/或小时(但未必是分钟/秒)是否匹配而以所要精确度水平执行。DGA检测器704可通过查询在计算机系统上运行的操作系统而确定当前时间的值。如果包含此加速真实时间,那么DGA检测器704确定原始应答是否包含加速真实时间不准确的原始信息(步骤547)。如果原始应答包含加速真实时间不准确的原始信息,那么DGA检测器704通过以指示加速真实时间准确的经修改信息替代原始信息而修改(步骤548)原始应答。接着,DGA检测器704将经修改应答发送(步骤506)到发送被剖析的接入请求的过程。如果原始应答不成功,那么DGA检测器执行上文所描述的DGA检测步骤507。
在步骤545中,拦截(步骤545)且剖析(步骤546)对所剖析请求的原始应答。在步骤547中,DGA检测器704确定所剖析原始应答是否包含在步骤543中确定的加速真实时间不准确的信息。如果在步骤547中做出肯定确定,那么DGA检测器704以加速真实时间准确的信息替代加速真实时间不准确的信息且产生经修改应答。接着,将经修改应答发送到曾发送所剖析接入请求的过程。
图6展示在连续应答包含原始真实时间时原始真实时间606与加速真实时间605之间的数学关系。此数学关系可在DGA检测器中通过可独立于发出外部接入请求的过程的函数编码。在一个实施例中,真实时间可为由OS在客户端系统上测量的当前时间。虚线601展示其中加速真实时间等于原始真实时间的情形。在一个实施例中,加速真实时间可由凸函数603表示。这可在提供永久地比真实时间运行更快的加速真实时间有利时(例如在对照特定行为验证过程时)是合意的。在一个实施例中,加速真实时间可由凹函数604表示。这可在提供在其中加速真实时间运行显著快于原始真实时间的持续时间之后减慢的加速真实时间有利时(例如在于持续时间内详细地验证过程的行为时)是合意的。在一个实施例中,加速真实时间可由直线函数602表示。这可在无任何现有认识的情况下第一次研究过程的行为时是合意的。
可使用各种方法来确定过程是否执行DGA。一些方法可分析外部站点714(图1)的URL,且使用启发法,例如观察到通过DGA产生的许多URL并非以‘www.’开始。其它方法可应用启发法来分析所接入的URL的可理解度。又一些方法依赖于将在预定最近时间段(例如,在最后24小时)内向域注册机构注册的任一外部站点列入灰名单。
用于DGA检测的更精细方法可采用对被怀疑过程的可执行代码的分析。图7展示此方法。此方法依赖于观察到至少某一DGA恶意软件是通过具有特定已知类型的事件(例如时间、系统事件等)触发。在第一步骤701中,选择触发类型来进行分析。在步骤703中,使用混合(具体及符号)执行来执行被怀疑过程,同时馈入选定触发类型的被怀疑过程输入。选定触发类型的输入被表示为符号变量。如果在混合执行中的每一步骤中未发生取决于符号变量的分支,那么以具体方式执行所述步骤,否则以符号方式执行所述步骤。在步骤705中,基于符号变量的值而确定所有执行路径。在步骤707中,确定所有可行执行路径。在步骤705中确定的执行路径中的一些可为不可行的,例如因为其需要相对于彼此不一致的两个触发值。举例来说,不可行执行路径可包含两个分支,第一分支是在真实时间值在2015年5月之前的情况下触发,且第二分支是在真实时间值在2015年7月之后的情况下触发。最后,在步骤711中,分析在每一可行路径中产生的URL。所述分析可包含使URL与特定触发类型及值相关。作为实例,如果响应于不多于两种触发类型的值的改变而产生超过80%的URL,那么做出被怀疑过程执行DGA的确定。
上文所描述的示范性系统及方法允许检测例如DGA执行僵尸网络等恶意软件。在一些实施例中,可疑过程在与拦截且剖析外部接入请求及应答并且检测DGA的机器分开的机器上运行。所述单独机器可为不同物理计算机系统或在相同物理计算机系统上托管的虚拟机。剖析所有应答且修改包含原始真实时间的应答。在经修改应答内,加速真实时间替代原始真实时间。接着,分析可疑过程以确定其是否执行DGA。通过提供加速真实时间,可在原本会产生通过DGA产生的域名的实际时间之前获得所述域名。
在一些实施例中,可疑过程可发送包含加速真实时间的外部接入请求。此情况可在可疑过程尝试验证从查询操作系统获得的真实时间时发生。研究人员可通过指向未来时间而更改由操作系统指示的真实时间。因此,由操作系统指示的真实时间变成加速真实时间。在正常操作中,来自外部站点的原始应答指示加速真实时间不准确。修改原始应答,使得经修改应答指示加速真实时间准确。接着,分析可疑过程以确定其是否执行DGA。通过提供加速真实时间,可在原本会产生通过DGA产生的域名的实际时间之前获得所述域名。研究人员可因此确定DGA将在未来产生的域名。
根据一些实施例,当接收到由可疑过程发送且包含真实时间的多个应答时,可使用数个数学函数以便计算经修改应答的加速真实时间。这些各种函数在通过DGA产生域的特定频率被怀疑时是合意的。
提供加速真实时间及因此触发DGA执行允许研究人员在不需要花费耗时的努力来对可执行代码进行逆向工程设计的情况下检测恶意行为。将通过DGA产生的域列入黑名单允许安全应用程序供应商在恶意软件创建者激活使用域产生算法的恶意软件之前向其顾客提供更新。可提前注册被确定为通过DGA产生的域,且可根据在经注册域处接收的请求而识别僵尸网络成员。
在潜在DGA恶意软件主机外部拦截、剖析及检测DGA执行提供将潜在DGA恶意软件主机与研究工具隔离的优点。因此,极大地降低恶意软件在存在反恶意软件工具的情况下修改其行为的风险。另外,此方法不需要由DGA恶意软件主机的OS指示的内部真实时间的改变。研究人员可选择最优计算环境来检测DGA恶意软件。在一些实施例中,启动可疑过程可为合意的。在一些实施例中,检测来自聚集内联网的因特网业务的路由器或交换机的DGA恶意软件可为合意的。
所属领域的技术人员将清楚,可在不背离本发明的范围的情况下以许多方式更改以上实施例。因此,本发明的范围应由所附权利要求书及其法律等效内容来确定。
Claims (17)
1.一种第一计算机系统,其包括至少一个存储器及至少一个相关联微处理器,所述至少一个相关联微处理器经配置以在潜在域产生算法DGA恶意软件主机外部执行以下步骤:
拦截对第一外部接入请求的原始应答,其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点;
剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者以确定对所述第一外部接入请求的所述原始应答是否包括真实时间;
将经修改应答发送到所述潜在DGA恶意软件主机,所述经修改应答是从所述原始应答通过以在所述原始应答中所包含的原始真实时间之后的加速真实时间替代所述原始真实时间而产生;
响应于由所述潜在DGA恶意软件主机发送的第二外部接入请求,拦截指示所述第二接入请求不成功的应答,其中所述第二外部接入请求是在发送所述第一外部接入请求之后发送;及
响应于拦截到指示所述第二接入请求不成功的所述应答,确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。
2.根据权利要求1所述的第一计算机系统,其中剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者包括:在所述第一外部接入请求的地址字段中识别时间服务器的地址。
3.根据权利要求1所述的第一计算机系统,其中剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者包括:剖析对所述第一外部接入请求的所述原始应答以从对所述第一外部接入请求的所述原始应答的多个字段识别真实时间字段。
4.根据权利要求3所述的第一计算机系统,其中识别所述真实时间字段包括:将所述真实时间字段的内容与由所述第一计算机系统确定的独立真实时间值进行比较。
5.根据权利要求1所述的第一计算机系统,其中所述潜在DGA恶意软件主机是物理上不同于所述第一计算机系统的第二计算机系统。
6.根据权利要求1所述的第一计算机系统,其中所述潜在DGA恶意软件主机是由所述第一计算机系统托管的虚拟机。
7.根据权利要求1所述的第一计算机系统,其中所述至少一个相关联微处理器进一步经配置以:确定通过所述域产生算法产生的域名,及根据所述域名而识别被怀疑执行所述域产生算法的多个计算机系统。
8.根据权利要求1所述的第一计算机系统,其中所述至少一个相关联微处理器进一步经配置以:响应于确定所述潜在DGA恶意软件主机包含执行所述域产生算法的恶意软件,将通过所述域产生算法产生的域名添加到安全应用程序黑名单。
9.一种第一计算机系统,其包括至少一个存储器及至少一个相关联微处理器,所述至少一个相关联微处理器经配置以在潜在域产生算法DGA恶意软件主机外部执行以下步骤:
剖析第一外部接入请求以确定对所述第一外部接入请求的原始应答是否包括加速真实时间,其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点;
剖析对所述第一外部接入请求的第一原始应答以确定所述第一原始应答是否包括指示所述加速真实时间不准确的第一信息;
将经修改应答发送到所述潜在DGA恶意软件主机,所述经修改应答是从所述第一原始应答通过以指示所述加速真实时间准确的第二信息替代所述第一信息而产生;
响应于由所述潜在DGA恶意软件主机发送到第二外部站点的第二外部接入请求,拦截指示所述第二接入请求不成功的第二原始应答;及
响应于拦截到所述第二应答,确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。
10.一种非暂时性计算机可读媒体,其存储指令,所述指令在被执行时配置第一计算机系统的至少一个存储器及至少一个相关联微处理器以在潜在域产生算法DGA恶意软件主机外部执行以下步骤:
拦截对第一外部接入请求的原始应答,其中所述第一外部接入请求是由所述潜在DGA恶意软件主机发送到外部站点;
剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者以确定对所述第一外部接入请求的所述原始应答是否包括真实时间;
将经修改应答发送到所述潜在DGA恶意软件主机,所述经修改应答是从所述原始应答通过以在所述原始应答中所包含的原始真实时间之后的加速真实时间替代所述原始真实时间而产生;
响应于由所述潜在DGA恶意软件主机发送的第二外部接入请求,拦截指示所述第二接入请求不成功的应答,其中所述第二外部接入请求是在发送所述第一外部接入请求之后发送;及
响应于拦截到指示所述第二接入请求不成功的所述应答,确定所述潜在DGA恶意软件主机包含执行域产生算法的恶意软件。
11.根据权利要求10所述的非暂时性计算机可读媒体,其中剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者包括:在所述第一外部接入请求的地址字段中识别时间服务器的地址。
12.根据权利要求10所述的非暂时性计算机可读媒体,其中剖析所述第一外部接入请求及对所述第一外部接入请求的所述原始应答中的至少一者包括:剖析对所述第一外部接入请求的所述原始应答以从对所述第一外部接入请求的所述原始应答的多个字段识别真实时间字段。
13.根据权利要求12所述的非暂时性计算机可读媒体,其中识别所述真实时间字段包括:将所述真实时间字段的内容与由所述第一计算机系统确定的独立真实时间值进行比较。
14.根据权利要求10所述的非暂时性计算机可读媒体,其中所述潜在DGA恶意软件主机是物理上不同于所述第一计算机系统的第二计算机系统。
15.根据权利要求10所述的非暂时性计算机可读媒体,其中所述潜在DGA恶意软件主机是由所述第一计算机系统托管的虚拟机。
16.根据权利要求10所述的非暂时性计算机可读媒体,其中所述至少一个相关联微处理器进一步经配置以:确定通过所述域产生算法产生的域名,及根据所述域名而识别被怀疑执行所述域产生算法的多个计算机系统。
17.根据权利要求10所述的非暂时性计算机可读媒体,其中所述至少一个相关联微处理器进一步经配置以:响应于确定所述潜在DGA恶意软件主机包含执行所述域产生算法的恶意软件,将通过所述域产生算法产生的域名添加到安全应用程序黑名单。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/932,765 | 2015-11-04 | ||
US14/932,765 US9819696B2 (en) | 2015-11-04 | 2015-11-04 | Systems and methods for detecting domain generation algorithm (DGA) malware |
PCT/EP2016/076343 WO2017076859A1 (en) | 2015-11-04 | 2016-11-02 | System and methods for detecting domain generation algorithm (dga) malware |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108353083A true CN108353083A (zh) | 2018-07-31 |
CN108353083B CN108353083B (zh) | 2021-02-26 |
Family
ID=57286460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680064630.2A Active CN108353083B (zh) | 2015-11-04 | 2016-11-02 | 用于检测域产生算法(dga)恶意软件的系统及方法 |
Country Status (13)
Country | Link |
---|---|
US (1) | US9819696B2 (zh) |
EP (1) | EP3371953B1 (zh) |
JP (1) | JP6726429B2 (zh) |
KR (1) | KR102271545B1 (zh) |
CN (1) | CN108353083B (zh) |
AU (1) | AU2016348500B2 (zh) |
CA (1) | CA3002605C (zh) |
ES (1) | ES2880269T3 (zh) |
HK (1) | HK1254971A1 (zh) |
IL (1) | IL258776A (zh) |
RU (1) | RU2726032C2 (zh) |
SG (1) | SG11201803441WA (zh) |
WO (1) | WO2017076859A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9979748B2 (en) * | 2015-05-27 | 2018-05-22 | Cisco Technology, Inc. | Domain classification and routing using lexical and semantic processing |
US10728266B2 (en) * | 2017-08-15 | 2020-07-28 | Check Point Software Technologies Ltd. | Methods and systems for identifying malware enabled by automatically generated domain names |
US10979451B2 (en) | 2018-02-14 | 2021-04-13 | Cisco Technology, Inc. | Autonomous domain generation algorithm (DGA) detector |
US11075947B2 (en) * | 2018-06-26 | 2021-07-27 | Cisco Technology, Inc. | Virtual traffic decoys |
US10862854B2 (en) | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
US11729134B2 (en) * | 2019-09-30 | 2023-08-15 | Palo Alto Networks, Inc. | In-line detection of algorithmically generated domains |
KR102265955B1 (ko) * | 2019-12-18 | 2021-06-16 | 주식회사 쏘마 | 악성 코드 실행 방지를 위한 악성 코드 탐지 방법 및 도메인 생성 알고리즘 탐지 방법 |
KR102638308B1 (ko) * | 2021-12-21 | 2024-02-20 | 주식회사 윈스 | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 |
US20230259614A1 (en) * | 2022-02-14 | 2023-08-17 | Mellanox Technologies, Ltd. | Malicious activity detection in memory of a data processing unit using machine learning detection models |
US20230262076A1 (en) * | 2022-02-14 | 2023-08-17 | Mellanox Technologies, Ltd. | Malicious domain generation algorithm (dga) detection in memory of a data processing unit using machine learning detection models |
US11582247B1 (en) * | 2022-04-19 | 2023-02-14 | Palo Alto Networks, Inc. | Method and system for providing DNS security using process information |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1430841A (zh) * | 2000-03-23 | 2003-07-16 | 西门子公司 | 业务使用的许可的检验方法和布置 |
US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
CN102833337A (zh) * | 2012-08-30 | 2012-12-19 | 北京星网锐捷网络技术有限公司 | 一种ftp文件上传、下载方法及装置 |
CN102893289A (zh) * | 2010-03-15 | 2013-01-23 | F-赛酷公司 | 恶意软件保护 |
CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
US20140201468A1 (en) * | 2013-01-11 | 2014-07-17 | International Business Machines Corporation | Accelerated recovery for snooped addresses in a coherent attached processor proxy |
US20140310811A1 (en) * | 2013-04-11 | 2014-10-16 | F-Secure Corporation | Detecting and Marking Client Devices |
CN104580185A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种网络访问控制的方法和系统 |
US9077546B1 (en) * | 2012-11-27 | 2015-07-07 | Symnatec Corporation | Two factor validation and security response of SSL certificates |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5444780A (en) | 1993-07-22 | 1995-08-22 | International Business Machines Corporation | Client/server based secure timekeeping system |
JPH07175734A (ja) * | 1993-12-20 | 1995-07-14 | Ricoh Co Ltd | ローカルエリアネットワーク |
US8327448B2 (en) | 2005-06-22 | 2012-12-04 | Intel Corporation | Protected clock management based upon a non-trusted persistent time source |
US8220031B2 (en) | 2007-05-01 | 2012-07-10 | Texas Instruments Incorporated | Secure time/date virtualization |
US8161160B2 (en) * | 2008-02-28 | 2012-04-17 | Microsoft Corporation | XML-based web feed for web access of remote resources |
US8516585B2 (en) | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
RU103643U1 (ru) * | 2010-11-01 | 2011-04-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система противодействия фишинг атакам |
US9467421B2 (en) * | 2011-05-24 | 2016-10-11 | Palo Alto Networks, Inc. | Using DNS communications to filter domain names |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US8763117B2 (en) | 2012-03-02 | 2014-06-24 | Cox Communications, Inc. | Systems and methods of DNS grey listing |
-
2015
- 2015-11-04 US US14/932,765 patent/US9819696B2/en active Active
-
2016
- 2016-11-02 JP JP2018521861A patent/JP6726429B2/ja active Active
- 2016-11-02 KR KR1020187012077A patent/KR102271545B1/ko active IP Right Grant
- 2016-11-02 AU AU2016348500A patent/AU2016348500B2/en active Active
- 2016-11-02 SG SG11201803441WA patent/SG11201803441WA/en unknown
- 2016-11-02 CN CN201680064630.2A patent/CN108353083B/zh active Active
- 2016-11-02 ES ES16794548T patent/ES2880269T3/es active Active
- 2016-11-02 RU RU2018118828A patent/RU2726032C2/ru active
- 2016-11-02 WO PCT/EP2016/076343 patent/WO2017076859A1/en active Application Filing
- 2016-11-02 EP EP16794548.4A patent/EP3371953B1/en active Active
- 2016-11-02 CA CA3002605A patent/CA3002605C/en active Active
-
2018
- 2018-04-17 IL IL258776A patent/IL258776A/en active IP Right Grant
- 2018-11-05 HK HK18114078.6A patent/HK1254971A1/zh unknown
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1430841A (zh) * | 2000-03-23 | 2003-07-16 | 西门子公司 | 业务使用的许可的检验方法和布置 |
CN102893289A (zh) * | 2010-03-15 | 2013-01-23 | F-赛酷公司 | 恶意软件保护 |
US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
CN102833337A (zh) * | 2012-08-30 | 2012-12-19 | 北京星网锐捷网络技术有限公司 | 一种ftp文件上传、下载方法及装置 |
US9077546B1 (en) * | 2012-11-27 | 2015-07-07 | Symnatec Corporation | Two factor validation and security response of SSL certificates |
US20140201468A1 (en) * | 2013-01-11 | 2014-07-17 | International Business Machines Corporation | Accelerated recovery for snooped addresses in a coherent attached processor proxy |
US20140310811A1 (en) * | 2013-04-11 | 2014-10-16 | F-Secure Corporation | Detecting and Marking Client Devices |
CN103634315A (zh) * | 2013-11-29 | 2014-03-12 | 杜跃进 | 域名服务器的前端控制方法及系统 |
CN104580185A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种网络访问控制的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
JP6726429B2 (ja) | 2020-07-22 |
AU2016348500B2 (en) | 2020-04-30 |
EP3371953A1 (en) | 2018-09-12 |
CN108353083B (zh) | 2021-02-26 |
SG11201803441WA (en) | 2018-05-30 |
IL258776A (en) | 2018-06-28 |
US20170126706A1 (en) | 2017-05-04 |
EP3371953B1 (en) | 2021-05-12 |
US9819696B2 (en) | 2017-11-14 |
JP2018533793A (ja) | 2018-11-15 |
AU2016348500A1 (en) | 2018-05-10 |
KR102271545B1 (ko) | 2021-07-05 |
RU2726032C2 (ru) | 2020-07-08 |
RU2018118828A3 (zh) | 2020-03-25 |
RU2018118828A (ru) | 2019-12-05 |
WO2017076859A1 (en) | 2017-05-11 |
CA3002605C (en) | 2022-03-29 |
KR20180081053A (ko) | 2018-07-13 |
HK1254971A1 (zh) | 2019-08-02 |
CA3002605A1 (en) | 2017-05-11 |
ES2880269T3 (es) | 2021-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108353083A (zh) | 用于检测域产生算法(dga)恶意软件的系统及方法 | |
Jain et al. | Towards detection of phishing websites on client-side using machine learning based approach | |
Ramesh et al. | An efficacious method for detecting phishing webpages through target domain identification | |
US9294486B1 (en) | Malware detection and analysis | |
CN109074454B (zh) | 基于赝象对恶意软件自动分组 | |
CN106407803B (zh) | Sql注入漏洞的检测方法及装置 | |
US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
US11522885B1 (en) | System and method for information gain for malware detection | |
CN104143008A (zh) | 基于图片匹配检测钓鱼网页的方法及装置 | |
WO2021002885A1 (en) | Data breach prevention and remediation | |
Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
Villalba et al. | Ransomware automatic data acquisition tool | |
Fu et al. | Data correlation‐based analysis methods for automatic memory forensic | |
CN106021252B (zh) | 使用公共因特网搜索确定基于因特网的对象信息 | |
Lyu et al. | An Efficient and Packing‐Resilient Two‐Phase Android Cloned Application Detection Approach | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
Li et al. | LogKernel: A threat hunting approach based on behaviour provenance graph and graph kernel clustering | |
CN114491533A (zh) | 数据处理方法、装置、服务器及存储介质 | |
CN110493224B (zh) | 一种子域名劫持漏洞探测方法、装置及设备 | |
US11962618B2 (en) | Systems and methods for protection against theft of user credentials by email phishing attacks | |
CN104239800B (zh) | Pdf中触发漏洞威胁的检测方法及装置 | |
Adil et al. | A review on phishing website detection | |
KR101922581B1 (ko) | 공개 정보를 이용한 데이터 갱신 방법 및 장치 | |
Swathi et al. | Detection of Phishing Websites Using Machine Learning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1254971 Country of ref document: HK |
|
GR01 | Patent grant | ||
GR01 | Patent grant |