CN108701189A - 恶意软件检测 - Google Patents
恶意软件检测 Download PDFInfo
- Publication number
- CN108701189A CN108701189A CN201680080044.7A CN201680080044A CN108701189A CN 108701189 A CN108701189 A CN 108701189A CN 201680080044 A CN201680080044 A CN 201680080044A CN 108701189 A CN108701189 A CN 108701189A
- Authority
- CN
- China
- Prior art keywords
- resource
- malware
- etag
- confirmed
- previously
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9014—Indexing; Data structures therefor; Storage structures hash tables
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本技术的示例实现响应于用于下载资源的请求,确定资源先前是否已被确定为包括恶意软件。另外,如果资源先前已被确定为包括恶意软件,则确定自从先前的确定以来资源是否已改变。此外,如果资源未改变,则终止用于下载资源的请求。
Description
背景技术
恶意软件是指各种危险或其他不受欢迎的软件,包括病毒、勒索软件、间谍软件以及其他恶意应用程序。恶意软件可以采用可执行文件、脚本或其他可以被下载到计算机并被安装在计算机上的受感染软件的形式。在许多情形下,防火墙用于检测恶意软件并在它可能造成任何危害之前阻止恶意软件的安装。然而,许多恶意软件检测方法是处理器密集型的,计算代价昂贵,阻碍了防火墙的有效预防恶意软件传播的能力。
附图说明
在下面的具体描述中参考附图描述了特定示例实现,在附图中:
图1是用于检测恶意软件的示例系统的框图;
图2是示出检测恶意软件的示例方法的程序流程图;
图3是示出检测恶意软件的示例方法的程序流程图;
图4是用于检测恶意软件的示例系统的框图;
图5是用于检测恶意软件的示例系统的框图;
图6是示出存储用于检测恶意软件的代码的示例非暂时性有形计算机可读介质的框图;并且
图7是示出存储用于检测恶意软件的代码的示例非暂时性有形计算机可读介质的框图。
具体实施方式
如上所述,恶意软件检测可以是处理器密集型的。目前,一旦已经检测到恶意软件,通常通过执行相同的处理器密集型操作来防止检测到的恶意软件将来被安装。
然而,在本技术的示例中,阻止先前检测到的恶意软件的下载。通过维护检测到的恶意软件的记录来阻止这些下载。当资源被请求下载时,执行检查,以确定该资源先前是否已被确定为被恶意软件感染。另外,执行检查,以查看自从恶意软件被检测到以来,资源是否已改变。如果资源已改变,则下载被允许继续进行,并且传统的恶意软件检测被执行以确保改变的资源是未感染的。如果资源未改变,则下载被阻止。以这种方式,防火墙检测所请求的资源中的恶意软件而不必下载资源以及对资源进行扫描,从而提高了恶意软件检测的速度。
图1是用于检测恶意软件的示例系统100的框图。示例系统通常由附图标记100表示,并且可以使用下面图6的示例计算设备602来实现。
图1的示例系统100包括通过网络106进行通信的客户端102和防火墙设备104。系统100还包括通过网络110与防火墙设备104通信的服务器108。客户端102可以是计算设备,诸如台式计算机、膝上型计算机、平板计算机、智能电话等。防火墙设备104是监控和控制进入网络106和离开网络106的网络流量的安全系统。防火墙设备104包括统一威胁管理器(UTM)112。UTM 112是能够执行网络防火墙、网络入侵防御、防病毒和反垃圾邮件功能等的安全软件。网络106可以是计算机通信网络,诸如局域网。服务器108可以是托管客户端102请求的资源的网络服务器或ftp服务器。资源可以是文件或其他内容,诸如可下载文件和网页。网络110可以是计算机通信网络或网络的集合,诸如互联网。
客户端102通过防火墙设备104请求来自服务器108的资源。防火墙设备104接收来自客户端102的请求,并将请求传递到服务器108。服务器108通过将所请求的资源下载返回防火墙设备104来响应请求。然后UTM 112执行传统方法来确定所请求的资源是否被恶意软件感染。传统方法包括特征码扫描(signature scanning)和哈希查找。特征码扫描涉及扫描所请求的资源的每个包,并将包与已知恶意软件特征码的数据库进行比较。哈希查找涉及将整个资源的哈希值与由已知恶意软件文件的哈希值组成的表进行比较。传统方法另外可以包括在沙箱环境中运行所请求的资源。沙箱环境是被隔离以防止恶意软件对防火墙设备104或客户端102进行潜在的破坏性改变的运行环境。潜在受感染的资源在沙箱环境中运行并被监控,以确定它们是否包含恶意软件。防火墙设备104可以对来自多个客户端102的多个请求并发地执行这些技术。通常,使用这些方法消耗防火墙设备104的大量的CPU周期,减少了防火墙设备104能够支持的并发扫描的数量。然而,在要求保护的主题的实现中,一旦已经检测到受感染的资源,就可以避免这些技术,从而增加能够扫描的并发请求的数量。
如果没有恶意软件被检测到,则资源被确定是干净的,并且被发送到请求客户端102。然而,如果恶意软件被检测到,则资源被确定是受感染的,客户端102与服务器108之间的连接被重置,并且从提供受感染的资源的服务器108接收的所有数据包被丢弃。另外,受感染资源的条目被本地存储。随后,当客户端102请求要下载的资源时,UTM 112在本地存储中执行查找,来确定所请求的资源先前是否已被确定为被恶意软件感染。如果查找成功,则执行检查以确定自恶意软件被检测到以来所请求的资源是否已改变。如果资源未改变,则资源被认为仍被感染。因此,UTM 112重置到服务器108的连接并且丢弃所有接收的包。如果资源已改变,则资源的条目从本地存储被移除,资源被下载,并且UTM 112执行传统方法来检测恶意软件。
图2是示出检测恶意软件的示例方法200的程序流程图。示例方法通常由附图标记200表示,并且可以使用下面图6的示例系统600的处理器608来实现。
方法200从块202开始,其中防火墙设备104从客户端102接收请求以下载资源。防火墙设备104将请求传递到请求中指定的服务器108,并且将资源下载到防火墙设备104。
在块204处,UTM 112确定资源先前是否已被确定为包含恶意软件。在要求保护的主题的示例中,哈希查找表包含先前被确定包含恶意软件的每个资源的条目。每个条目由绝对统一资源定位符(URL)的哈希值和Etag组成。Etag是由服务器108的网络服务器分配给资源的不透明标识符。每当资源发生改变时,网络服务器生成用于资源的新的Etag。Etag是超文本传输协议(HTTP)的一部分,用于缓存验证,并指示网络浏览器发起条件请求。使用ETag,如果资源被缓存,浏览器确定本地供给资源还是从服务器供给资源。由于文件未被完全发送到客户端,因此当恶意软件被检测时,客户端将不能缓存资源。Etag被包含在下载的资源的头数据包中。头数据包是在资源被下载时发送到防火墙设备104的第一数据包。使用所请求的资源的绝对URL执行查找。如果查找不成功,即,在哈希表中不存在用于绝对URL的条目,则资源先前未被确定为包含恶意软件。因此,该方法流向块206。
在块206处,使用传统方法执行恶意软件检测。UTM 112将下载的资源复制到防火墙设备的本地存储器,执行特征码扫描、哈希查找以及在沙箱环境中运行。
在块208处,确定是否使用传统方法检测到恶意软件。如果检测到恶意软件,则方法200流向块210。
在块210处,在哈希表中生成用于资源的条目。如前所述,条目包含用于资源的绝对URL的哈希值和Etag。
返回参考块208,如果未检测到恶意软件,则方法200流向块212。在块212处,下载的资源被发送到客户端102。
返回参考块204,如果资源先前未被确定为包含恶意软件,则该方法流向块214。在块214处,UTM 112确定自从恶意软件在资源中被检测到以来该资源是否已改变。在要求保护的主题的示例中,UTM 112将哈希查找条目中的Etag与资源的头数据包中的Etag进行比较。如果Etag相同,则没有改变。因此,资源被确定为仍包含恶意软件。因此,在块216处,到托管该资源的服务器108的连接被重置。另外,通过重置的连接接收的所有数据包被丢弃。丢弃所接收的数据包意味着删除数据包。
返回参考块214,如果Etag不同,则资源已改变。这样,可能资源不再包含恶意软件。因此,用于资源的条目从哈希查找表中被删除。另外,该方法流向块206,其中使用传统方法来执行恶意软件检测。
该处理流程图不旨在指示示例方法200的块以任何特定的顺序被执行,或者所有的块包含在每种情形中。此外,根据具体实现的细节,未示出的任何数量的附加块可以包含在示例方法200中。
图3是示出检测恶意软件的示例方法300的程序流程图。示例方法通常由附图标记300表示,并且可以使用下面图6的示例系统600的处理器608来实现。方法300由UTM 112执行,并且从块302开始,其中,响应于用于下载资源的请求,UTM 112确定资源先前是否已被确定为包括恶意软件。如前所述,UTM 112基于资源的绝对URL执行哈希查找。如果查找成功,则资源被确定为包括恶意软件。
在块304处,如果资源先前已被确定为包括恶意软件,则UTM 112确定自从先前的确定以来资源是否已改变。如前所述,UTM 112将哈希查找表中的Etag与资源的当前Etag进行比较。如果两个Etag匹配,则资源被确定为未改变。
在块306处,如果资源未改变,则UTM 112终止用于下载资源的请求。
图4是用于检测恶意软件的示例系统的框图。该系统通常由附图标记400表示。
系统400可以包括通过网络406进行通信的防火墙设备402以及一个或多个客户端计算机404。如本文中使用的,防火墙设备402可以包括服务器、个人计算机、平板计算机等。如图4所示,防火墙设备402可以包括一个或多个处理器408,一个或多个处理器408可以通过总线410连接到显示器412、键盘414、一个或多个输入设备416和诸如打印机418的输出设备。输入设备416可以包括诸如鼠标或触摸屏的设备。处理器408可以包括单核、多核或云计算架构中的核簇。计算设备402也可以通过总线410连接到网络接口卡(NIC)420。NIC 420可以将防火墙设备402连接到网络406。
网络406可以是局域网(LAN)、广域网(WAN)或其他网络配置。网络406可以包括路由器、交换机、调制解调器或用于互连的任何其他种类的接口设备。网络406可以连接到几个客户端计算机404。通过网络406,几个客户端计算机404可以连接到防火墙设备402。此外,防火墙设备402可以防止恶意软件进入网络406。客户端计算机404可以与防火墙设备402类似地被构造。
防火墙设备402可以具有通过总线410可操作地耦接到处理器408的其他单元。这些单元可以包括非暂时性有形机器可读存储介质,诸如储存器422。储存器422可以包括硬盘驱动器、只读存储器(ROM)、随机存取存储器(RAM)、RAM驱动器、闪存驱动器、光学驱动器、高速缓冲存储器等的任意组合。储存器422可以包括执行本文中描述的技术的统一威胁管理器(UTM)424。
储存器422也可以包括哈希查找表426。哈希查找表426包括用于被确定为包含恶意软件的每个资源的条目。UTM 424使用哈希查找表426来确定客户端404请求的资源先前是否已被确定为包含恶意软件。此外,每当请求的资源被确定为包含恶意软件时,UTM 424可以将条目添加到哈希查找表426。
图5是用于检测恶意软件的示例系统500的框图。该系统通常由附图标记500表示。系统500是包括处理器502和存储器504的计算设备。存储器504包括用于确定资源包括恶意软件的代码506。存储器504另外包括用于在哈希表中生成用于资源的条目的代码508。此外,存储器504包括用于响应于用于下载资源的请求,确定资源先前是否已被确定为包括恶意软件的代码510。此外,存储器504包括用于如果资源先前已被确定为包括恶意软件,则确定自从先前的确定以来资源是否已改变的代码512。此外,存储器504包括用于如果资源未改变,则终止用于下载资源的请求的代码514。
图6是示出存储用于检测恶意软件的代码的示例非暂时性有形计算机可读介质600的框图。非暂时性有形计算机可读介质通常由附图标记600表示。
非暂时性有形计算机可读介质600可以与存储计算机实施的指令(诸如编程代码等)的任意典型的存储设备对应。例如,非暂时性有形计算机可读介质600可以包括非易失性存储器、易失性存储器中的一个或多个,和/或一个或多个存储设备。
非易失性存储器的示例包括但不限于电可擦除可编程只读存储器(EEPROM)和只读存储器(ROM)。易失性存储器的示例包括但不限于静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM)。存储设备的示例包括但不限于硬盘、光盘驱动器、数字通用盘驱动器和闪存设备。
处理器602通常获得并执行存储在非暂时性有形计算机可读介质600中的计算机实施的、用于基于图形的检测合并的指令。统一威胁管理器604可以检测先前请求的资源的恶意软件。在要求保护的主题的示例中。统一威胁管理器604保持哈希查找表,该哈希查找表包含被发现包含恶意软件的所有请求的资源的条目。随后,每当资源被请求时,UTM 604检查哈希查找表来确定资源先前是否被确定为包含恶意软件。如果是,则资源的当前Etag与资源被确定为包含恶意软件时的Etag进行比较。如果Etag未改变,则资源被确定为仍包含恶意软件,并且与提供资源的服务器的连接被重置。
尽管示出为连续块,但是软件组件可以以任何顺序或配置被存储。例如,如果计算机可读介质600为硬盘驱动器,则软件组件可以被存储在非连续的扇区或者甚至重叠的扇区中。
图7是示出存储用于检测恶意软件的代码的示例非暂时性有形计算机可读介质700的框图。非暂时性有形计算机可读介质通常由附图标记700表示。介质700包括用于确定资源包括恶意软件的代码702。介质700也包括用于在哈希表中生成用于资源的条目的代码704,其中生成条目包括:确定资源的绝对统一资源定位符(URL),以及确定资源的Etag,其中条目包括绝对URL和Etag。另外,介质700包括用于响应于用于下载资源的请求确定资源先前是否已被确定为包括恶意软件的代码706。此外,介质700包括用于如果资源先前已被确定为包括恶意软件则确定自从先前的确定以来资源是否已改变的代码708。此外,介质700包括用于如果资源未改变则终止用于下载资源的请求的代码710。
本技术不局限于本文中列出的特定细节。事实上,受益于本公开的本领域技术人员将理解,可以在本技术的范围内对前述描述和附图进行许多其他变型。因此,以下权利要求包括限定本技术范围的任何修改。
Claims (15)
1.一种用于检测恶意软件的方法,包括:
响应于用于下载资源的请求,确定所述资源先前是否已被确定为包括恶意软件;
如果所述资源先前已被确定为包括恶意软件,则确定自从先前的确定以来所述资源是否已改变;并且
如果所述资源未改变,则终止用于下载所述资源的所述请求。
2.根据权利要求1所述的方法,包括:
确定所述资源包括恶意软件;并且
在哈希表中生成用于所述资源的条目。
3.根据权利要求2所述的方法,其中确定所述资源包括恶意软件包括以下中的一种:
对所述资源进行特征码扫描;
对包括所述资源的整个文件执行哈希查找;以及
在沙箱运行环境中监控所述资源。
4.根据权利要求2所述的方法,其中生成所述条目包括:
确定所述资源的绝对统一资源定位符(URL);并且
确定所述资源的Etag,其中所述条目包括所述绝对URL和所述Etag。
5.根据权利要求2所述的方法,其中确定所述资源先前是否已被确定为包括恶意软件包括:在所述哈希表中执行查找,其中如果所述查找成功,则所述资源先前已被确定为包括恶意软件。
6.根据权利要求4所述的方法,其中确定所述资源先前是否已被确定为包括恶意软件包括:使用所述绝对URL在所述哈希表中执行查找,其中如果所述查找成功,则所述资源先前已被确定为包括恶意软件。
7.根据权利要求5所述的方法,其中确定所述资源是否已改变包括:
基于成功的所述查找确定所述Etag;
确定所述资源的当前Etag;
将所述Etag与所述当前Etag进行比较,其中如果所述Etag等于所述当前Etag,则所述资源未改变。
8.根据权利要求6所述的方法,其中确定所述资源是否已改变包括:
基于成功的所述查找确定所述Etag;
确定所述资源的当前Etag;
将所述Etag与所述当前Etag进行比较,其中如果所述Etag等于所述当前Etag,则所述资源未改变。
9.一种用于检测恶意软件的系统,包括:
处理器;以及
包括代码的存储器,所述代码使所述处理器:
确定资源包括恶意软件;
在哈希表中生成用于所述资源的条目;
响应于用于下载所述资源的请求,确定所述资源先前是否已被确定为包括恶意软件;
如果所述资源先前已被确定为包括恶意软件,则确定自从先前的确定以来所述资源是否已改变;并且
如果所述资源未改变,则终止用于下载所述资源的所述请求。
10.根据权利要求9所述的系统,其中确定所述资源包括恶意软件包括以下中的一种:
对所述资源进行特征码扫描;
对包括所述资源的整个文件执行哈希查找;以及
在沙箱运行环境中监控所述资源。
11.根据权利要求9所述的系统,其中生成所述条目包括:
确定所述资源的绝对统一资源定位符(URL);并且
确定所述资源的Etag,其中所述条目包括所述绝对URL和所述Etag。
12.根据权利要求9所述的系统,其中确定所述资源先前是否已被确定为包括恶意软件包括:在所述哈希表中执行查找,其中如果所述查找成功,则所述资源先前已被确定为包括恶意软件。
13.根据权利要求11所述的系统,其中确定所述资源先前是否已被确定为包括恶意软件包括:使用所述绝对URL在所述哈希表中执行查找,其中如果所述查找成功,则所述资源先前已被确定为包括恶意软件。
14.根据权利要求13所述的系统,其中确定所述资源是否已改变包括:
基于成功的所述查找确定所述Etag;
确定所述资源的当前Etag;
将所述Etag与所述当前Etag进行比较,其中如果所述Etag等于所述当前Etag,则所述资源未改变。
15.一种非暂时性有形计算机可读介质,包括代码,所述代码用于指引处理器:
确定资源包括恶意软件;
在哈希表中生成用于所述资源的条目,其中生成所述条目包括:
确定所述资源的绝对统一资源定位符(URL);并且
确定所述资源的Etag,其中所述条目包括所述绝对URL和所述Etag;
响应于用于下载所述资源的请求,确定所述资源先前是否已被确定为包括恶意软件;
如果所述资源先前已被确定为包括恶意软件,则确定自从先前的确定以来所述资源是否已改变;并且
如果所述资源未改变,则终止用于下载所述资源的所述请求。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/014841 WO2017131626A1 (en) | 2016-01-26 | 2016-01-26 | Malware detection |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108701189A true CN108701189A (zh) | 2018-10-23 |
Family
ID=59398288
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680080044.7A Pending CN108701189A (zh) | 2016-01-26 | 2016-01-26 | 恶意软件检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10984103B2 (zh) |
| EP (1) | EP3408782A4 (zh) |
| CN (1) | CN108701189A (zh) |
| WO (1) | WO2017131626A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111259398A (zh) * | 2020-02-25 | 2020-06-09 | 深信服科技股份有限公司 | 病毒防御方法、装置、设备和可读存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10853488B2 (en) * | 2017-07-10 | 2020-12-01 | Dell Products, Lp | System and method for a security filewall system for protection of an information handling system |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030097591A1 (en) * | 2001-11-20 | 2003-05-22 | Khai Pham | System and method for protecting computer users from web sites hosting computer viruses |
| US20050021994A1 (en) * | 2003-07-21 | 2005-01-27 | Barton Christopher Andrew | Pre-approval of computer files during a malware detection |
| US20050132205A1 (en) * | 2003-12-12 | 2005-06-16 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying matching resources within a data processing network |
| US20110126287A1 (en) * | 2009-11-20 | 2011-05-26 | Samsung Sds Co., Ltd. | Anti-virus protection system and method thereof |
| US20130238808A1 (en) * | 2012-03-06 | 2013-09-12 | Mobile Helix, Inc | Mobile link system, method & apparatus |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2378783B (en) * | 2001-08-17 | 2004-12-29 | F Secure Oyj | Preventing virus infection in a computer system |
| US9106694B2 (en) * | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8495305B2 (en) * | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
| US7562304B2 (en) * | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
| US20080229419A1 (en) * | 2007-03-16 | 2008-09-18 | Microsoft Corporation | Automated identification of firewall malware scanner deficiencies |
| US8607347B2 (en) * | 2008-09-29 | 2013-12-10 | Sophos Limited | Network stream scanning facility |
| US8276202B1 (en) * | 2009-06-30 | 2012-09-25 | Aleksandr Dubrovsky | Cloud-based gateway security scanning |
| US8590045B2 (en) * | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
| US8443449B1 (en) * | 2009-11-09 | 2013-05-14 | Trend Micro, Inc. | Silent detection of malware and feedback over a network |
| US8826438B2 (en) | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| US8850584B2 (en) * | 2010-02-08 | 2014-09-30 | Mcafee, Inc. | Systems and methods for malware detection |
| US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
| CN102457500B (zh) * | 2010-10-22 | 2015-01-07 | 北京神州绿盟信息安全科技股份有限公司 | 一种网站扫描设备和方法 |
| US8621634B2 (en) | 2011-01-13 | 2013-12-31 | F-Secure Oyj | Malware detection based on a predetermined criterion |
| US9122877B2 (en) * | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
| PL2702524T3 (pl) * | 2011-04-27 | 2018-02-28 | Seven Networks Llc | Wykrywanie i filtrowanie złośliwego oprogramowania, oparte na obserwacji ruchu wykonywanego w rozproszonym układzie zarządzania ruchem w sieciach mobilnych |
| US8510841B2 (en) * | 2011-12-06 | 2013-08-13 | Raytheon Company | Detecting malware using patterns |
| US9253278B2 (en) * | 2012-01-30 | 2016-02-02 | International Business Machines Corporation | Using entity tags (ETags) in a hierarchical HTTP proxy cache to reduce network traffic |
| US9866529B2 (en) | 2013-04-06 | 2018-01-09 | Citrix Systems, Inc. | Systems and methods for ETAG persistency |
| US8893294B1 (en) * | 2014-01-21 | 2014-11-18 | Shape Security, Inc. | Flexible caching |
| US10009374B1 (en) * | 2015-08-04 | 2018-06-26 | Symantec Corporation | Detecting URL scheme hijacking |
| US10057279B1 (en) * | 2015-08-21 | 2018-08-21 | Trend Micro Incorporated | System and method for protecting computer against remote malware downloads |
| US10341415B2 (en) * | 2015-12-10 | 2019-07-02 | Slingshot Technologies, Inc. | Electronic information tree-based routing |
-
2016
- 2016-01-26 EP EP16888362.7A patent/EP3408782A4/en not_active Withdrawn
- 2016-01-26 US US16/071,016 patent/US10984103B2/en active Active
- 2016-01-26 WO PCT/US2016/014841 patent/WO2017131626A1/en active Application Filing
- 2016-01-26 CN CN201680080044.7A patent/CN108701189A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030097591A1 (en) * | 2001-11-20 | 2003-05-22 | Khai Pham | System and method for protecting computer users from web sites hosting computer viruses |
| US20050021994A1 (en) * | 2003-07-21 | 2005-01-27 | Barton Christopher Andrew | Pre-approval of computer files during a malware detection |
| US20050132205A1 (en) * | 2003-12-12 | 2005-06-16 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying matching resources within a data processing network |
| US20110126287A1 (en) * | 2009-11-20 | 2011-05-26 | Samsung Sds Co., Ltd. | Anti-virus protection system and method thereof |
| US20130238808A1 (en) * | 2012-03-06 | 2013-09-12 | Mobile Helix, Inc | Mobile link system, method & apparatus |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111259398A (zh) * | 2020-02-25 | 2020-06-09 | 深信服科技股份有限公司 | 病毒防御方法、装置、设备和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017131626A1 (en) | 2017-08-03 |
| EP3408782A4 (en) | 2019-07-31 |
| US20190026465A1 (en) | 2019-01-24 |
| US10984103B2 (en) | 2021-04-20 |
| EP3408782A1 (en) | 2018-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| US10922418B2 (en) | Runtime detection and mitigation of vulnerabilities in application software containers | |
| US10997289B2 (en) | Identifying malicious executing code of an enclave | |
| US11861008B2 (en) | Using browser context in evasive web-based malware detection | |
| US10491566B2 (en) | Firewall informed by web server security policy identifying authorized resources and hosts | |
| US11552988B2 (en) | Creating malware prevention rules using malware detection and prevention system | |
| US10382458B2 (en) | Automatic detection of hidden link mismatches with spoofed metadata | |
| US11374946B2 (en) | Inline malware detection | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| US20160269443A1 (en) | Exploit detection based on heap spray detection | |
| EP3579523A1 (en) | System and method for detection of malicious interactions in a computer network | |
| CN103561076B (zh) | 一种基于云的网页挂马实时防护方法及系统 | |
| CN108701189A (zh) | 恶意软件检测 | |
| US20230026599A1 (en) | Method and system for prioritizing web-resources for malicious data assessment | |
| JP7411775B2 (ja) | インラインマルウェア検出 | |
| US11736512B1 (en) | Methods for automatically preventing data exfiltration and devices thereof | |
| CN108604273A (zh) | 防止恶意软件下载 | |
| JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
| Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers | |
| JP6498413B2 (ja) | 情報処理システム、情報処理装置、制御サーバ、生成サーバ、動作制御方法及び動作制御プログラム | |
| CN115865511A (zh) | 一种攻击者信息获取方法及装置、电子设备及存储介质 | |
| PRANDINI et al. | DEVELOPMENT OF A FRAMEWORK FOR THE ANALYSIS OF DOCUMENT-BASED PHISHING CAMPAIGNS | |
| Zhang et al. | SafeBrowsingCloud: Detecting Drive-by-Downloads Attack Using Cloud Computing Environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190304 Address after: Texas, USA Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP Address before: California, USA Applicant before: Aruba Networs, Inc. |
|
| TA01 | Transfer of patent application right | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181023 |
|
| WD01 | Invention patent application deemed withdrawn after publication |