JP2011040064A - 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 - Google Patents

正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 Download PDF

Info

Publication number
JP2011040064A
JP2011040064A JP2010178509A JP2010178509A JP2011040064A JP 2011040064 A JP2011040064 A JP 2011040064A JP 2010178509 A JP2010178509 A JP 2010178509A JP 2010178509 A JP2010178509 A JP 2010178509A JP 2011040064 A JP2011040064 A JP 2011040064A
Authority
JP
Japan
Prior art keywords
payload
model
data
received
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010178509A
Other languages
English (en)
Other versions
JP5307090B2 (ja
Inventor
Salvatore J Stolfo
サルヴァトアー ジェイ ストルフォ
Ke Wang
ク ワン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Columbia University in the City of New York
Original Assignee
Columbia University in the City of New York
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Columbia University in the City of New York filed Critical Columbia University in the City of New York
Publication of JP2011040064A publication Critical patent/JP2011040064A/ja
Application granted granted Critical
Publication of JP5307090B2 publication Critical patent/JP5307090B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】データ解析、特に異常データ伝送の検出に関する技術を提供する。
【解決手段】ネットワークを通じて伝送された異常ペイロードを検出する方法、装置、及び媒体。システムは、ネットワーク内のペイロードを受信し、各ペイロードに含まれたデータに対する長さを判断する。ネットワーク内で受信した各ペイロードに含まれたデータに対して統計的分布が生成され、ネットワークを通じて伝送された正常ペイロードを表す選択されたモデル分布と比較される。モデルペイロードは、それが受信ペイロードに含まれたデータに対する長さを含む所定の長さ範囲を有するように選択することができる。次に、受信ペイロードの統計的分布とモデル分布の間で検出された差異に基づいて、異常ペイロードが識別される。システムはまた、モデルの自動トレーニング及び漸次的更新をもたらすことができる。
【選択図】図1

Description

優先権情報及び関連出願への相互参照
本出願は、2003年11月12日出願の米国特許仮出願第60/518,742号及び2004年9月28日出願の米国特許仮出願第60/613,637号からの優先権を主張するものであり、この両方は、本明細書において引用により組み込まれている。
本出願は、出願番号_____を有する「データのnグラム分布を用いてファイルを特定する装置、方法、及び媒体」という名称の現在特許出願中の特許出願、及び出願番号_____を有する「データのnグラム分布を用いてネットワーク送信の発信源をトレースする装置、方法、及び媒体」という名称の現在特許出願中の特許出願に関連しており、両方とも本出願と同日に出願され、その全内容は引用により組み込まれている。
連邦政府補助研究に関する説明
本発明は、DARPAに付与された契約番号F30602−02−2−0209の下で合衆国政府の支援により行われたものである。合衆国政府は、本発明におけるある一定の権利を有する。
本発明は、データ解析に関し、より具体的には、異常データ伝送の検出に関する。
ネットワークコンピュータシステムは、データを互いに交換する処理サイト(例えば、ホストコンピュータ)から成る。データを交換するためにコンピュータによって使用されるプロトコルは様々である。例えば、TCP/IPは、ネットワークによって接続されているコンピュータ間でデータ搬送を行う1つのネットワークプロトコルである。各ホストコンピュータには、固有のインターネットプロトコル(IP)アドレスが割り当てられ、データは、送信元IPアドレスと宛先IPアドレスとの間で交換され、送信元ホスト上の送信元ポートから宛先ホスト上の宛先ポートへ送られる。ポート番号は、何らかの遠隔送信元ホストからそのポート上に着信したデータを「聞く」特定のサービス又はアプリケーションに対応する。標準化されて典型的な公知のサービスが割り当てられたポートもある。例えば、ウェブベースのサーバは、一般的に、ウェブサーバが予想するハイパーテキスト・トランスファー・プロトコル(HTTP)指令に従って制御情報と共にTCP/IPパケットを通じて送出されたウェブ要求の送信用ポート80が割り当てられる。TCP/IPは、IPアドレス、ポート番号、制御情報、及びペイロードのIDから成る「ネットワークパケット」の形でこのようなデータを伝送する。ペイロードは、サーバ又はアプリケーションが予想する実際のデータである。ウェブトラフィックの場合、ペイロードは、例えば、URLによって表されたウェブページに対するGET要求で構成することができる。
インターネットのようなネットワークがユーザによりアクセス可能になると、伝送されるデータ量が大幅に増加する。これによって、個人が無防備のユーザのコンピュータに危害を与える機会が発生する。ワーム及びウイルスは、特に、コンピュータシステムでのセキュリティ侵害の公知の要因である。これらは、サービス又はアプリケーションを無効化し、クラッシュさせ、又は無許可の特権をアタッカーに与える脆弱性(ワームの実行可能なプログラムへのルートアクセスをもたらすバッファオーバーフローなど)を利用したサービス又はアプリケーションに送られる悪意データから成るものである。一部の一般的な例としては、最近の「Code Red」、「Nimda」、及び「Sobig」ワーム及びウイルスがある。これらの悪意のある侵略イベントを検出してそれからシステムを守るように設計された従来のシステムは、公知の従来の悪いワーム又はウイルスから人間によって又は半自動手段によって作成された「シグニチャー」又は「サムプリント」に依存している。現在、システムは、ウイルスが検出され、シグニチャーが作成されてウイルススキャナ又はファイアウォール規則のようなシグニチャーベースの検出器に分配された後に保護される。
攻撃の脅威の可能性を小さくするために、ファイアウォールが確立されてネットワーク内のコンピュータを保護する。ファイアウォールは、一般的にコンピュータネットワークのゲートウェイに配置されるか又は極めて重要なホスト又はサーバコンピュータの前のネットワーク上にあるコンピュータシステムであり、これは、ネットワーク又はサーバに出入りするトラフィックを検査して、どのトラフィックを進めることができるか及びどのトラフィックをフィルタ処理することになるかを判断する。ファイアウォールはまた、個々のコンピュータ上でソフトウエアの形で実行することができる。一例として、伝播するワームは、一般的に、特定のワームの出現を検出する「シグニチャー規則」が予め取り込まれたファイアウォールによってフィルタ処理される。パケット及びそのペイロードがワームに付随する公知のシグニチャーストリングと「符合」した時、ファイアウォールは、ワームを配信するTCP/IPパケットをブロックし、サーバがそのワームに攻撃されるのを防止するであろう。
この手法には、2つの基本的な問題がある。第1に、ワームに付随するシグニチャーストリングは、ワームが検出された後でしか構成することができない。これは、ワームが実際には最初の出現時に検出されず、少なくとも1つのサーバを論理的に攻撃してそのサーバを損傷させることを意味する。保護は、第三者がシグニチャーストリングを構成して全てネットワークサイト及びファイアウォールに幅広く配備するまで可能ではない。一般的に何日も要する可能性があるこの過程の間に貴重な時間を損失する可能性がある。この時間の間に、ワームは、インターネット中に幅広く広がることに成功し、何百万ではなくても何千ものホストを損傷するであろう。これは、ワームが特にインターネット上で急速に伝播し、非常に高速にシステムに感染して破壊するからである。第2に、インターネット上に出現するワームは非常に多く、その各々は、ファイアウォールの全てに各々が取り込まれているそのワーム検出のために構成された個別のシグニチャーストリングを既に持っている。これは、ファイアウォールは、多くのシグニチャーストリングを記憶し、処理し、ゲートウェイ又はサーバに送出された各パケットペイロードと適合させるために、時間と共に複雑に成長すべきであることを示唆している。
ワーム伝播中であることを示すと考えられる外部ソースからの走査及び探査の速度を解析することによってワームを検出する様々な試みが為されている。残念ながら、この手法は、早期の伝播開始を検出するものであり、本質的に、ワームは、既にシステムへの進入に成功してそれに感染し、損害及び伝播が始まっているのである。
以上により、ネットワークを通じて伝送される潜在的に有害なデータを検出することができるシステムを提供することが有用と考えられる。また、潜在的に有害なデータが悪意のあるプログラムか否かを判断することができるシステムを提供することも有用であろう。更に、ワーム及びウイルスのような悪意なプログラムをこのようなプログラムの最初の出現時にフィルタ処理するためのシグニチャーを提供することも有用と考えられる。
米国特許仮出願第60/518,742号 米国特許仮出願第60/613,637号
上記及び他の必要性は、ネットワークを通じて伝送されている潜在的に有害なデータを検出することができる本発明によって対処される。本発明の1つ又はそれよりも多くの実施形態は、ペイロードが潜在的に有害であるか否かを判断するために、ペイロードに含まれたデータの統計的解析を利用する。統計的解析は、ペイロードに含まれたデータのバイト値分布の形での解析とすることができる。ネットワークを通じて伝送されたデータは、その有害である可能性を判断するために、ネットワークによって以前に受信した「正常」データのモデルと比較される。ネットワークによって受信した正常データは、設定期間にわたって受信したトラフィックをモデル化することによって判断することができる。すなわち、正常データは、ネットワークを通るトラフィックの通常の流れを表し、従って、良好なデータ、潜在的に有害なデータ、及びノイズを含む可能性がある。次に、この正常データを収集して処理し、新たに受信したデータの統計的分布と比較されるモデル統計的分布を作成することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、ネットワークを通じて伝送された異常ペイロードを検出する方法が提供される。本方法は、ネットワーク内で少なくとも1つのペイロードを受信する段階と、少なくとも1つのペイロードに含まれたデータに対して長さを判断する段階と、ネットワーク内で受信した少なくとも1つのペイロードに含まれたデータの統計的分布を生成する段階と、生成された統計的分布の少なくとも一部分をネットワークを通じて伝送された正常ペイロードを表す選択されたモデル分布の対応する部分と比較する段階とを含み、選択モデルのペイロードは、少なくとも1つのペイロードに含まれたデータに対する長さを包含する所定の長さ範囲を有し、本方法は、更に、少なくとも1つのペイロードに対する統計的分布の少なくとも一部分とモデル分布の対応する部分との間で検出された差異に少なくとも部分的に基づいて、少なくとも1つのペイロードが異常ペイロードであるか否かを識別する段階を含む。
1つ又はそれよりも多くの実施例によれば、少なくとも1つのペイロードの統計的分布とモデル分布との間の差は、2つの間の距離メトリックに基づいて判断される。距離メトリックは、任意的に、例えばマハラノビスの距離を含む様々な技術に基づいて計算することができる。本発明の他の実施例は、異常ペイロードがワーム又はウイルスであるか否かを判断することができる。ワーム又はウイルスであると判断されたあらゆるペイロードに対して、任意的に、シグニチャーを生成することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、ネットワークで受信したペイロードデータをモデル化する方法が提供される。本方法は、ネットワークで複数のペイロードデータを受信する段階と、全ての受信ペイロードデータに対してペイロード長さ分布を作成する段階と、ペイロード長さ分布を複数のペイロード範囲に分割する段階と、各受信ペイロードデータに対して統計的分布を生成する段階と、ペイロード長さ範囲によって包含された全ての受信ペイロードデータの統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成する段階とを含む。
少なくとも1つの特定的な実施例によれば、モデルペイロードは、最も最近に受信した又は現在のペイロードデータに基づいて構成される。また、本発明の1つ又はそれよりも多くの実施例は、モデルペイロードを構成するのに十分なペイロードデータが収集された時を自動的に検出することができる。
すなわち、以下の詳細な説明をより良く理解することができるように及び当業技術への本発明の貢献をより良く認めることができるように、本発明のより重要な特徴及び全てではないがいくつかの実施形態を概説した。勿論、以下で説明することになる及び特許請求の範囲の主題を形成することになる本発明の付加的な特徴が存在する。
この点において、本発明の1つ又はそれよりも多くの実施形態をより詳細に説明する前に、本発明は、その適用において、以下の説明で示すか又は図面に示す構成の詳細及び構成要素の配置に限定されないことを理解されたい。むしろ、本発明は、他の実施形態が可能であり、様々な方法で実施かつ実行することができる。また、本明細書で使用する表現法及び用語は、説明を目的としたものであり、限定的と考えるべきではないことも理解されたい。
従って、当業者は、本開示が基本とする概念を本発明のいくつかの目的を実行するために他の構造、方法、及びシステムの設計の基盤として容易に利用することができることを認めるであろう。従って、特許請求の範囲は、このような同等な構成をそれらが本発明の精神及び範囲から逸脱しない限り含むものとして見なすことが重要である。
本発明を特徴付ける新規性の上記及び様々な特徴は、本開示の一部を形成する特許請求の範囲に特殊性と共に指摘されている。本発明、その作動上の利点、及びその使用によって達成される特定の恩典をより良く理解するために、本発明を実施するために考えられている最良の態様を説明する本発明の添付図面及び好ましい実施形態を参照すべきである。
本発明の少なくとも1つの例示的な実施形態による異常ペイロードを検出するシステムを概念的に示すブロック図である。 本発明の1つ又はそれよりも多くの実施形態によるネットワーク内で受信したペイロードデータをモデル化するために実行される段階を示す流れ図である。 本発明の1つ又はそれよりも多くの実施形態によるペイロードデータの長さ分布を示すグラフである。 本発明の1つ又はそれよりも多くの実施形態によるペイロードデータの長さ分布を示すグラフである。 例示的なペイロードに含まれたデータの統計的分布を示す図である。 ペイロードに含まれたデータのランク順バイト頻度カウントを示す図である。 図4に示すデータのランク順バイト頻度カウントを示す図である。 図5Aのデータに対応する例示的なペイロードシグニチャーZストリングを示す図である。 図5Bのデータに対応する例示的なペイロードシグニチャーZストリングを示す図である。 本発明の1つ又はそれよりも多くの実施形態によるペイロードデータをモデル化するために実行される段階を示す流れ図である。 本発明の1つ又はそれよりも多くの実施形態によるペイロードデータが自動的に収集される方法を示す流れ図である。 ネットワークを通じて伝送された異常ペイロードを検出するために実行される段階を示す流れ図である。 本発明の1つ又はそれよりも多くの実施形態による異常ペイロードを検出するために実行される段階を示す流れ図である。 例示的なワームの検出を示す図である。 ネットワーク上でのコンピュータへの異なるファイル形式の送出を概念的に示すブロック図である。 本発明の1つ又はそれよりも多くの実施形態によるファイル形式を識別するために実行される段階を示す流れ図である。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 異なるファイル形式の統計的分布を示すグラフである。 本発明の1つ又はそれよりも多くの実施形態によるファイル形式をモデル化するために実行される段階を示す流れ図である。 本発明の1つ又はそれよりも多くの実施形態によるファイル形式を確認するために実行される段階を示す流れ図である。 本発明の1つ又はそれよりも多くの実施形態による悪意的なプログラムを識別するために実行される段階を示す流れ図である。 いくつかのコンピュータシステムにわたる攻撃を概念的に示すブロック図である。 本発明の1つ又はそれよりも多くの実施形態による送信源をトレースするために実行される段階を示す流れ図である。
ここで、本発明の1つ又はそれよりも多くの実施形態を以下に詳細に参照する。このような実施形態を本発明の説明として提供するが、それには限定されないものとする。実際に、当業者は、本明細書を読んで本発明の図面を見ると、様々な修正及び変形を行うことができることを認めるであろう。
例えば、一実施形態の一部として示すか又は説明する特徴を他の実施形態に用いて、更に別の実施形態をもたらすことができる。更に、ある一定の特徴を同じか又は類似の機能を実行するまだ言及していない類似の装置又は特徴と相互交換することができる。従って、このような修正及び変形は、本発明の全体に含まれることが意図されている。
本発明の詳細を説明する前に、説明で用いる表記及び名称の一部を簡単に説明する。次に、本発明を実施する際に使用可能な例示的なハードウエアを説明する。
表記及び名称
以下の詳細な説明は、コンピュータ上又はコンピュータのネットワーク上で実行するプログラム手順を用いて表すことができる。これらの手続き上の説明及び表現は、自らの作業の内容を他の当業者に有効に伝えるために当業者によって使用される手段である。このような手順を実行するために、1つ又はそれよりも多くの外部ソース又は入力装置から情報を検索することが必要であると考えられる。また、内部又は外部に位置することができる様々な記憶装置から情報を検索することができる。実行段階が完了すると、情報を表示装置、磁気記憶装置、不揮発性メモリ装置、揮発性メモリ、及び/又はプリンタのような様々なソースに出力することができる。更に、有線、無線、衛星、光などのような様々な通信方法及びネットワークを用いて、情報を遠隔地に位置する装置に伝送することができる。
本明細書で使用される時の「コンピュータ可読媒体」という用語は、実行のために命令をプロセッサに供給することに参加するあらゆる媒体を示している。このような媒体は、以下に限定されるものではないが、不揮発性媒体、揮発性媒体、及び伝送媒体を含む多くの形態を取ることができる。不揮発性媒体としては、例えば、光又は磁気ディスクがある。揮発性媒体としては、コンピュータ内にインストールされる動的メモリがある。伝送媒体としては、同軸ケーブル、銅線、及び光ファイバを含むことができる。また、伝送媒体は、無線周波数(RF)及び赤外線(IR)データ通信中に生成されるもののような音波又は光波の形態を取ることができる。コンピュータ可読媒体の一般的な形態としては、例えば、ハードディスク、磁気テープ、あらゆる他の磁気媒体、CD−ROM、DVD、あらゆる他の光媒体、RAM、ROM、及びEPROM、FLASH−EPROM、あらゆる他のメモリチップ又はカートリッジ、後述するような搬送波、又はコンピュータが読み取ることができるあらゆる他の媒体がある。
ペイロードベースの異常検出の概要
本発明は、少なくとも1つの目標として、ネットワーク内で受信したペイロードデータを解析する必要がある。解析結果は、例えば、ネットワークを通じたトラフィックの正常な流れのモデル化を含む様々な目的に使用することができる。本発明の1つ又はそれよりも多くの実施形態は、ネットワークシステムゲートウェイでのワームの最初の発生の検出及び第1にワーム侵入の防止を考慮するものである。従って、ワームの破壊的な作用及びその伝播への関わりを防止することができる。むしろ、本発明の1つ又はそれよりも多くの実施形態は、部分的には、解析と、ネットワークサービス又はアプリケーションに送出されると予想される「正常」ペイロードのモデル化とを行うものである。
1つ又はそれよりも多くの実施形態では、本発明は、「正常」ペイロードを収集し、「正常」ペイロードのモデルの役目をするこれらのペイロードのnグラム(又は「バイト値」)統計的分布を生成する「学習」段階を含む。収集ペイロードは、必ずしも安全なペイロードとは限らない。むしろ、これらのペイロードは、正規の期間中にネットワークを通じて伝送された情報を表すものである。これをモデルペイロードと呼ぶ。このモデルペイロードを学習段階で生成した後、異常検出段階が始まる。異常検出段階では、ネットワークサービス/アプリケーションへの着信ペイロードを捕捉する。着信ペイロードを試験してモデルペイロードとの差異を判断する。例えば、モデルペイロードからの一貫性(又は距離)に関してこのペイロードを試験することによってこれを行うことができる。本発明の1つ又はそれよりも多くの実施形態では、学習段階中に収集した全てのペイロードデータに対して「重心」を計算する。次に、重心モデルは、異常ペイロードを検出するモデルペイロードとして機能する。
本発明の1つ又はそれよりも多くの実施形態によれば、正常(例えば、予想)ペイロードと違いすぎると判断されたあらゆるペイロードは、異常と見なされてフィルタ処理されるか、又はそうでなければサービス/アプリケーションに送られない。これによって、このペイロードがその後にワーム又はウイルスと判断された場合に、感染の可能性を防止することができる。許される許容範囲レベルをユーザが設定するか、又は所定の判断基準に基づいて自動的に設定することができる。本発明の1つ又はそれよりも多くの実施形態では、学習(又はトレーニング)段階中に解析された「正常」ペイロードの組のバイト頻度カウント分布に基づいて重心モデルを計算することができる。使用することができる距離メトリックの少なくとも1つは、マハラノビス距離メトリックである。本発明の1つ又はそれよりも多くの実施形態では、トレーニング段階において計算したバイト値(又は文字)頻度の有限離散的ヒストグラムにマハラノビス距離を適用することができる。本発明の手法をシステムに実行し、検出器を標準的ファイアウォール、アプリケーションプロキシファイアウォール、又は他のネットワークベース又はホストベースのコンピュータセキュリティ技術と一体化してワームの第1の発生が保護されたネットワーク又はホストシステムへ進入するのを防止することが可能な多くのエンジニアリング上の選択がある。本発明の異常検出システムは、ネットワーク接続のペイロード内のバイト値の統計的分布を基本とすることができる。本発明の1つ又はそれよりも多くの実施形態によれば、サイト又はポート固有の正常接続のペイロードに対してプロフィールを構成して使用すると、新しい接続のペイロードの重大な逸脱があれば悪意的な攻撃の可能性として検出することができる。
第1の段階として、ファイアウォールを通過してホストサービス及びポートに送出されたペイロードをアーカイブ(又はログ)を通じて収集するか又はリアルタイムで監査することができる。このデータ(すなわち、受信ペイロード)は、正常モデル(又はモデルペイロード)の導出元であるトレーニングデータを構成する。この組のペイロードは、例えば、サービスに送出されたデータ量によっては、幅広い範囲の長さを有することができる。
第2の段階として、接続のペイロード長の分布をモデル化して長さ分布を複数の範囲に分割することができる。一般的に、接続の長さは、例えば数バイトから何百万バイトまでの非常に大きな範囲にわたって変動する可能性がある。従って、長さ範囲が異なれば、ペイロードの形式も異なる可能性がある。例えば、短いHTTP接続は、通常、文字及び桁を有し、非常に長いHTTP接続は、多くの印刷不可能な文字を含む写真、ビデオクリップ、実行可能なファイルなどを含むことが多い。従って、本発明の1つの態様によれば、異なる接続長範囲に対してペイロードモデルを構成することができる。これは、全ての接続に対してモデルを1つだけ構成するよりも様々な利点を有することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、接続長の分布のモデル化は、カーネル推定を使用すれば、あらゆる事前仮定事項がなくても行うことができる。カーネル推定により、各観察データポイントの局所近傍にわたるそのポイントの貢献度が平滑化される。着信/発信HTTP接続に対して確率曲線を生成することができる。累積確率値に従って、確率曲線を分割することができる。確率範囲が高ければビンサイズが小さく、確率範囲が低ければビンサイズが大きい。
更に、長さ範囲を分割するのに使用することができる他の技術がある。例えば、様々な種類のクラスター化アルゴリズムを使用することができ、それにより、以下でより詳細に説明するように、使用した距離メトリックをnグラム文字分布に適用された距離メトリックに基づくものとすることができる。長さ分布が特定の範囲に分割された状態で、正常ペイロードのトレーニングデータは、区分によって定められた長さを有するペイロードの互いに素な部分集合に分割される。例えば、長さ区分が1つの範囲を0から50と特定した場合、50バイトに制約された長さの全てのペイロードは、この部分集合のペイロードに分割される。
次の段階では、各長さ範囲内の正常ペイロードの全てをモデル化する。長さが何らかの長さ範囲内である接続の場合、ASCIIバイト0から255に対して平均バイト頻度カウントを計算することができる。この単純なバイト頻度は1グラム分布と呼ばれる。また、2グラム(2つの連続バイト)、3グラム(3つの連続バイト)などに対して分布を構成することができる。更に、頻度分布を混合グラムとすることができ、これは、例えば、1グラム分布と2グラム分布の混合が使用されることを意味する。本明細書で使用される時、混合グラム分布は、データ内の異なるサイズのnグラムモデルの混合である。他の混合の例としては、以下に限定されるものではないが、1グラム及び3グラムと、1グラム及び4グラムと、2グラム及び3グラムと、2グラム及び5グラムと、3グラム及び4グラムと、3グラム及び7グラムと、1グラム、3グラム、及び4グラムと、1グラム、5グラム、7グラム、及び3グラムと、2グラム、5グラム、3グラム、及び4グラムとその他を含むことができる。実質的には、あらゆる混合を使用することができる。1グラムを例示的に使用すると、文字頻度の順番が最も高いものから最も低いものである場合、通常、長いテール部を有する「Zipf」分布と類似のものである。
異常ペイロードを検出する少なくとも1つの技術(ただし唯一の技術ではない)は、観察トレーニングデータから予想されるよりも何倍も大きいか又は小さい発生頻度でいずれかの文字又はバイト値がこのようなペイロード内で出現しているか否かを判断するものである。各バイトの変動と相まったこのような文字頻度は、何らかの範囲内のペイロードを特徴付けることができる。それを表す別の方法は、上述の順番の頻度分布の対応するASCIIバイトストリングである「正常ペイロードシグニチャーストリング」を使用するというものであり、その場合、ゼロ頻度を有する文字又はバイト値は無視される。明らかに、各バイトの変動が考慮される場合、「正常ペイロードシグニチャーストリングの近傍」を得ることができ、これは、各バイトが平均化された頻度に加えて変動が考慮される場合、その場所に恐らく並べることができるいくつかの他のバイトを含む近傍を有することを意味する。
新しいペイロードを試験すると、正常モデルからの逸脱の程度を検出することができる。これは、例えば、新しいペイロードのバイト頻度分布を正常ペイロードモデルと比較することによって行うことができる。プロフィールが構成されると、いくつかの新しい接続のペイロードをプロフィールに照らして比較して、大きな差異つまり逸脱を検出する方法は複数存在する。マハラノビス距離メトリックは、2つの頻度分布の類似性を計算する距離メトリックの1つである。
マハラノビス距離の公式は、以下のようになる。
Figure 2011040064
ここで、
Figure 2011040064
は、前回のトレーニング段階から検出されたプロフィール特徴ベクトルである。共分散行列Bは、
Figure 2011040064
であり、A=B-1である。バイトが統計的に独立したものと仮定すると、行列Bは、対角行列になり、要素は、ちょうど各バイトの平均頻度の分散である。計算を単純かつ速くするために、簡素化したマハラノビス距離を以下のように導出することができる。
Figure 2011040064
ただし、nは、1グラムが使用される場合は256に等しい。この方法を2グラムの頻度分布に適用した場合、n=2562つまり65,536ビンになる。様々な方法を使用してこの数字を実質的に小さくすることができる。一般的に、計算は、試験される接続ペイロードの長さにおいては線形であることになる。
ペイロードデータのモデル化
図面及び最初に図1を参照すると、本発明の1つ又はそれよりも多くの実施形態による異常ペイロードを検出するシステム100を示している。図1のペイロード検出システム100は、例えば、インターネット116のような外部ソースからデータ(例えば、ペイロード又はペイロードデータ)を実施するサーバ110を含む。また、サーバ110は、攻撃の可能性に対するサーバ110の保護を助けるファイアウォール112を含む。ファイアウォール112は、ウイルス及びワームがインターネット116からサーバ110に伝送される可能性を小さくするために、ある一定のデータをフィルタ処理するように機能する。また、サーバ110を1つ又はそれよりも多くのワークステーション114及び/又は他のサーバ118に結合することができる。ワークステーション114は、サーバ110を通じてインターネット116に接続されて相互作用する。より具体的には、各ワークステーション114は、データをサーバ110に伝送し、次に、サーバ110は、このデータをインターネット116を通じて宛先に伝送する。様々なソースからのデータをサーバ110によって受信し、ファイアウォール112を通じてフィルタ処理することができる。データがフィルタ処理された状態で、サーバ110は、遠隔地に位置する装置との相互作用を容易にするためにデータをワークステーション114に転送する。
サーバ110は、以下でより詳細に説明するように、ネットワーク(又はインターネット116)から受信したペイロードデータに対して統計的分布を生成する。サーバ110は、サーバ110によって受信した正常ペイロードの統計的分布を表すか又はその統計的分布に対応する複数のモデル分布(すなわち、モデルペイロード)を記憶することができる。サーバ110によって受信した新しいペイロードデータの統計的分布は、選択されたモデルペイロードと比較される。モデルペイロードの選択は、少なくとも部分的には、サーバ110によって受信した現在のペイロードデータのサイズに基づいて行われる。例えば、サーバ110によって受信した現在のペイロードデータが256バイトである場合、サーバ110によって選択されたモデルペイロードは、256バイトを包含する範囲を少なくとも含むことになる。
サーバ110は、異常ペイロードを識別するために分布を比較する。一般的に、異常ペイロードは、統計的分布においてモデルペイロードとのある一定の差異を有する。本発明の1つ又はそれよりも多くの実施形態によれば、サーバ110は、限定はしないがワーム又はウイルスのような悪意的なプログラムに相当するか否かを判断するために、異常ペイロード又はデータを更に処理することができる。ワーム又はウイルスが検出された場合、サーバ110は、任意的に、そのマシン及び他のマシンを保護するのに使用することができるウイルスパターン又はワームシグニチャーを生成することができる。例えば、本発明の1つ又はそれよりも多くの実施形態によれば、サーバ110がウイルスパターン(又はワームシグニチャー)を検出して生成した時、それは、インターネット116又は他のネットワークから更に伝送された場合に、特定されたウイルス又はワームがフィルタされるように、ファイアウォール112の規則を自動的に更新する。本発明の他の(又は重複する)実施形態では、サーバ110は、ウイルスパターン及びワームシグニチャーを他の遠隔サーバ118に伝送することができる。遠隔サーバ118とサーバ110の接続は、図1に示すように、保護された及び/又は直接の接続を通じて行うことができる。代替的に、ウイルスパターン及びシグニチャーをインターネット116を通じて遠隔サーバ118に伝送することができる。遠隔サーバ118は、ウイルスパターン及びシグニチャーを受信した状態で、自己及び接続装置をインターネット116で伝送された悪意的なアプリケーションから保護するようにフィルタ処理規則を更新することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、複数のサーバ(例えば、110及び118)は、ペイロード検出システム100を使用して悪意データを特定することができる。各個々のサーバ(例えば、参照番号110及び118)は、同じ技術を実行して悪意データを特定し、更に、ワーム又はウイルスに相当するか否かを判断することになる。しかし、サーバ110及び118は遠隔地に位置するために、それらは、ネットワーク、すなわち、インターネット116から異なるデータを受信する可能性がある。従って、各サーバ110及び118は、異なる形式のワーム又はウイルスを潜在的に特定することができる。更に、各サーバ110及び118は、全てのサーバ110及び118がファイアウォール規則を更新して最も最近に見出されたワーム又はウイルスをフィルタ処理することができるように、ウイルスパターン及びワームシグニチャーに関する情報と相互作用して交換することができる。更に、個々のワークステーション114は、別のセキュリティ層をもたらし、及び/又は独立に自己を保護するために本発明の技術を実行することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、サーバ110は、インターネット116を通じて受信したデータに基づいてモデル分布を作成する。例えば、サーバ110は、様々な技術を実行して送受信するデータを捕捉又はスヌープすることができる。この情報は、表にされて、ネットワークを通るデータの正常な流れを表すのに使用される。従って、データの正常な流れは、どうしてもノイズ及び/又は悪意的なプログラムを含む可能性がある。サーバ110は、所定の期間にわたってデータを収集し、次に、収集したデータのモデル分布を生成することができる。
図2は、本発明の1つ又はそれよりも多くの実施形態によるモデルペイロードを生成するために実行される段階を示す流れ図である。これらの段階を例えばサーバ110によって実行し、ネットワーク116上で受信したペイロードデータと比較するモデルペイロードを生成することができる。段階S210で、サーバは、ペイロードデータを受信する。ペイロードデータの受信は、例えば、他のネットワーク、インターネット、無線ネットワーク、衛星ネットワークなどを含む複数のソースから行うことができる。段階S212で、受信したペイロードデータに対して長さ分布を作成する。しかし、サーバは、モデルペイロードを構成するのに十分な所定の量のデータを収集する時間まで連続的にペイロードデータを受信することができることに注意すべきである。S212でサーバによって作成された長さ分布は、トレーニング期間中にサーバによって受信した個々のペイロードの長さの分布に対応する。
更に、図3Aを参照すると、例示的な長さ分布図が示されている。図3Aの長さ分布図は、ペイロードのサイズに基づいて受信したデータの分布を示している。例えば、図3Aに示すように、ゼロに近い長さを有するペイロードの数は、非常に少ない。しかし、約200バイトの長さを有するペイロードの数は実質的に多い。バイト数を小さくすると、このような長さを有するペイロードの数が少なくなる。これは、受信データの大部分がテキスト及び/又は小さなファイルに相当するということに帰する可能性がある。しかし、より大きいファイルは、画像及び/又は映像又は音声ファイルに相当するものになる。図3Bは、0から10,000バイトの範囲であるペイロードデータの別の長さ分布を示している。
再び図2を参照すると、段階S214では長さ分布を分割する。分割処理を行うと、部分的に、受信ペイロードデータと選択的に比較することができる複数のモデルペイロードを生成することができる。本発明の1つ又はそれよりも多くの実施形態によれば、長さ分布の分割の少なくとも1つの利点は、モデルペイロードの分布と比較される受信ペイロードの統計的分布間の差異を計算するために必要な時間量を少なくすることである。長さ分布を分割するのに使用することができる様々な技術がある。例えば、本発明の一実施形態によれば、少なくとも1つのクラスター化アルゴリズムを使用して長さ分布を分割することができる。また、カーネル推定を用いて長さ分布を分割することもできる。
段階S216で、長さ分布から作成した区分の各々に対して統計的分布を生成する。統計的分布は、例えば、ペイロードに含まれたASCII文字(又はデータ)の頻度分布に対応することができる。更に図4を参照すると、150バイトから155バイトの長さを有する例示的なペイロードの統計的分布が示されている。図4の例示的な実施形態によれば、統計的分布は、ペイロードに含まれたデータのバイト頻度カウントに対応する。例えば、x軸は、ASCII文字の数値を表し、y軸は、ペイロードに発生した特定の文字の回数に対応する。特定の文字又はバイト値の発生回数の百分率に対応してy軸を正規化することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、nグラム法を用いると統計的分布生成時にバイトを分類することができる。本方法を用いると、変数nは、異なる数を取ることができる特定のバイト分類に対応する。例えば、2グラム分布においては、隣接するバイト対は、1つの特徴として一緒に分類されるであろう。同様に、4グラム分布を用いると、4つの隣接するバイトが1つの特徴として分類されることになる。更に、本発明の1つ又はそれよりも多くの実施形態は、上述のように、ペイロードの混合グラム分布をもたらすことができることに注意すべきである。例えば、長さ分布の一部を2バイトとして分類することができ、一方、他の部分を3又は4などとして分類することができる。従って、サーバによって受信した長さ分布及び/又はデータの複雑性によっては、混合グラム分布を用いると受信ペイロードデータとモデルペイロードの間の差異を計算するのに必要な時間量を少なくすることができる。
本発明の1つ又はそれよりも多くの実施形態によれば、様々な形式で統計的分布を配置することができる。例えば、バイト値分布からランク順バイト頻度カウントを生成することができる。図5Aは、文字分布のランク順バイト頻度カウントを示している。図5Aにおいては、最も頻繁に発生した文字は、x軸上の文字1としてマップされている。マップされた次に最も頻繁に受信した文字は、文字2などである。図5Aを吟味すると、全てのASCII文字がペイロードデータに含まれていたとは限らないことが分る。従って、ランク順バイト頻度グラフにおいては、図表の最も右の部分は空いている。更に、この例に関して試験したサンプルの接続長及びペイロードデータに対しては、29文字のみが存在していた。
図5Bは、150バイトから155バイトの接続長(図4に示す)に関する別の例示的なランク順バイト頻度図表を示している。図5Bで分るように、図5Aと比較すると、図5Bの方がペイロードデータに存在するASCII文字が多い。特に、83個のASCII文字が存在していた。従って、グラフの最も右の部分には値がない。
再び図2を参照すると、段階S218で、モデルペイロードを構成する。生成された区分数によっては、対応する数のモデルペイロードを構成することになる。例えば、長さ分布が20個の区域に分割された場合、20個の別々のモデルペイロードが構成されることになる。本発明の1つ又はそれよりも多くの実施形態によれば、ペイロードシグニチャーストリングの形で各モデルペイロードを生成することができる。
図6Aを参照すると、図5Aのランク順バイト頻度カウントに対応する例示的なペイロードシグニチャー「Zストリング」150が示されている。ペイロードシグニチャーZストリングは、最も高いから最も低いまでの頻度順に特定のバイト値を表す統計的分布データから直接に形成されたストリング値である。更に、本発明のペイロードシグニチャーZストリングは、データに内容によっては異なる長さを有することができる。図6Aに示すように、ペイロードシグニチャーストリング150は、複数のASCII文字を含む。表160は、どの文字が最も高い頻度で発生したかに対応するデータをより詳細に示している。図6Aから分るように、表は、29個のエントリのみを示している。この値は、サンプルの接続長に対して発生した文字数に対応する。
図6Bは、図5Bのランク順頻度表の例示的なペイロードシグニチャーストリングを示している。また,シグニチャーストリング170は、グラフからの各文字の値を含む対応する表と共に示されている。図6Bと同様に、83個のエントリのみが表180に存在する。この値は、ここでもまた、図5Bのグラフに対応する。
モデルペイロードが構成された状態で、サーバは、異常ペイロードを識別するために各受信ペイロードデータをモデルペイロードと比較する。更に、上述のように、受信ペイロードデータをペイロードデータの長さに対応するモデルペイロードと比較する。例えば、受信ペイロードデータが40バイトの長さを有する場合、図6Aのようなペイロードシグニチャーストリングと比較されることになる。同様に、受信ペイロードデータが153バイトの長さを有する場合、それは、図6Bのようなペイロードシグニチャーストリングと比較されることになる。
ここで図7を参照すると、本発明の1つ又はそれよりも多くの実施形態によるペイロードデータを構成する流れ図が示されている。段階S250で、ペイロードデータを受信する。これは、ネットワークを通じてデータを受信するサーバに対応する。段階S252で、このペイロードデータに対して長さ分布を作成する。上述のように、サーバは、モデルペイロードを作成するのに十分な複数のペイロードデータを受信する。複数のペイロードデータが受信された状態で、長さ分布を作成することができる。代替的に、サーバは、最小量のデータを受信することができ、このデータに基づいて最初に長さ分布を作成することができる。データが受信されると、長さ分布は連続的に更新され、構成されたモデルペイロードは、ネットワークを通じて現在受信されているデータの形式をより良く反映するように精緻化されることになる。
段階S254で、長さ分布を複数の部分に分割する。上述のように、長さ分布の分割は、カーネル推定及び/又は様々なクラスター化技術を用いて行うことができる。段階S256で、各区分に対してバイト値分布を作成する。段階S258で、ペイロードデータを異なる区分に仕分けする。例えば、区分の1つが0バイトから50バイトの長さを有するペイロードデータに対応する場合、その範囲に該当するあらゆる個々のペイロードデータがその特定の区分に仕分けされることになる。S260で、各区分に対してモデルペイロードを構成する。
本発明の1つ又はそれよりも多くの実施形態によれば、様々な技術を適用してモデルペイロードを構成し及び/又は精緻化することができる。例えば、図7に示すように、段階S262で、各区分に含まれたペイロードデータをコンパイルすることができる。これは、更に別の処理のために区分内のペイロードデータの全てが結合される段階に対応する。区分内のペイロードがコンパイルされた状態で、段階S264で、各区分に対して重心を計算する。重心の計算は、複数の計算技術のいずれかを用いて行うことができる。段階S266で、重心をモデルペイロードとして指定する。従って、モデルペイロードを精緻化する本方法を用いて、着信ペイロードデータが異常か否かを判断するために、重心(すなわち、新たに指定されたモデルペイロード)が使用されるであろう。
代替的に、段階S268で、複数の区分長さ分布を作成する。区分長さ分布は、上述のように、単に区分内のデータの分布である。区分長さ分布が作成された状態で、段階S270で、データをクラスター化して複数のクラスター分布を生成する。段階S272で、生成した各クラスターに対して重心を計算する。段階S274で、モデル重心を計算する。本発明の1つ又はそれよりも多くの実施形態によれば、段階S274で計算したモデル重心は、段階S272で計算した全てのクラスター重心の重心に対応する。従って、モデル重心は、複数の重心の重心である。段階S276で、モデル重心をモデル分布と指定する。従って、潜在的に悪意的なプログラムである可能性がある異常ペイロードを判断するために、着信データは、モデル重心と比較されることになる。
本発明の1つ又はそれよりも多くの実施形態によれば、段階S270に関連して使用したクラスター化アルゴリズムは、リアルタイムの増分アルゴリズムとすることができ、予めクラスター数を指定することは必要ないと考えられる。初期クラスター数Kを許容最大可能クラスター数に対応するように設定することができる。例えば、異なる種類のネットワークペイロードトラフィックを表すのにK=10という値で十分であろう。トレーニング段階中に解析される新しいペイロードを使用して、新しいペイロードに最も類似した前回計算した重心の統計結果を更新することができる。まだ計算されていない重心又は新しいペイロードに類似した既存の重心がない場合、新しいペイロードが新しい重心として使用される。重心全数がKを超える場合、統計結果を結合して1つの分布にすることによって2つの最も類似した重心を合併することができる。トレーニング段階完了時に、単に指定トレーニングペイロード最小数で計算した重心を保持するだけで、いくつかの重心を除くことができる。「トレーニング以下」の重心のこのような削除は、そうでなければ検出段階中に特定されないであろう「悪い」ペイロードを表す可能性があるトレーニングデータ内の「ノイズ」の識別を助けることができる。
本発明の1つ又はそれよりも多くの実施形態によれば、サーバは、更に、使用中のモデル分布がネットワークを現在通って流れているデータの形式を正確に反映することができるように、受信したデータをエージアウトすることができる。例えば、段階S278で、サーバは、受信したデータの日付を検査してモデル分布を生成することができる。段階S280で、サーバは、ペイロードデータの日付が所定の閾値を超えるつまり所定の閾値よりも古いか否かを判断する。例えば、ペイロードプロフィールを最新に維持又は保持するために、過去6ヵ月以内に受信したペイロードデータのみを使用してモデル分布を構成すべきであると判断することができる。このような例に基づいて、6ヵ月よりも古いペイロードデータは、閾値を超えることになる。ペイロードデータの日付が閾値を超えた場合、制御が段階S282に移り、そこで、ペイロードデータが廃棄される。代替的に、ペイロードデータの日付が閾値を超えない場合、サーバは、段階S284で、単にペイロードデータを受信し続けるだけである。
本発明の1つ又はそれよりも多くの実施形態によれば、サーバは、ペイロードデータを連続的に受信かつ処理して漸次的にモデル分布を精緻化することができる。従って、サーバは、ペイロードデータを受信し続けることになり、制御は、任意的に段階S252に移り、そこで、新しい長さ分布を作成することになるであろう。更に、本発明の1つ又はそれよりも多くの実施形態は、サーバが新しいモデル分布を生成する必要がある期間を設定することができる。従って、その期間が満了になると、サーバは、データを収集して段階S252で新しい長さ分布を作成してモデルペイロードを精緻化することになる。
自動トレーニング及び較正
1つ又はそれよりも多くの実施形態によれば、本発明は、自動トレーニング及び較正を行うことができる。本発明はまた、十分なトレーニングが行われた時点で自動的に停止することができる。例えば、完全自動化されるようにトレーニング処理を設計することができる。エポックサイズ及び閾値を一度確立することができ、システムは、十分なトレーニングを受けた時を独立に判断するであろう。エポックは、所定の時間長又は所定のデータ量に対応する。更に、例えば、ユーザ指定の閾値に基づいてトレーニング及び較正を行うことができる。代替的に、システムは、トレーニングデータを試験して、例えば最大距離値を選択することにより、各ペイロードモデルに対して初期閾値を決めることができる。各エポックに対して捕捉されたパケット数をユーザが調節することもできる。各トレーニングエポック後、計算されたばかりの新しいモデルは、前回エポック内で計算されたモデルと比較される。トレーニングは、モデルが「安定」状態になった時点で終了する。
図8は、本発明の1つ又はそれよりも多くの実施形態によるモデルペイロードを構成するのに十分なペイロードデータを受信した時をサーバが検出することができる方法を示す流れ図である。段階S310で、サーバは、現在のエポックを定義するであろう。エポックは、データが受信することができるか又は受信中である所定の時間の長さに対応する。段階S312で、サーバは、通常の方法でペイロードデータを受信する。段階S314で、現在のペイロードモデルをサーバが構成する。現在のペイロードモデルは、現在のエポック中に受信した全てのペイロードデータに関するペイロードモデルに対応する。
段階S316で、現在のペイロードモデルを前回のペイロードモデルと比較する。従って、第1のエポック中には、現在のペイロードモデルを比較することができる前回のペイロードモデルはない。本発明の1つ又はそれよりも多くの実施形態では、サーバには、前回収集された初期ペイロードモデルを設置することができる。従って、第1の反復中は、現在のペイロードモデルを保存ペイロードモデルと比較することができる。現在のペイロードモデルと前回のペイロードモデルとの比較は、例えば、2つの異なる分布間の統計的距離の計算を含む多くの方法で行うことができる。
段階S318で、現在のペイロードモデルと前回のペイロードモデルの間の距離が所定の閾値よりも小さいか否かを判断する。この距離が所定の閾値よりも小さい場合、ペイロードモデルを構成するのに十分なデータが既に収集されている。処理は、段階S320で停止される。従って、現在のペイロードモデルが着信ペイロードデータを比較するためのモデルペイロードとして使用されることになる。代替的に、この距離が所定の閾値を超える場合、段階S322で新しいエポックを定義する。段階S324で、現在のペイロードモデルを前回のペイロードモデルと指定する。次に、制御は段階S312に戻り、そこでサーバは、段階S322で受信した新しいエポックに対してペイロードデータを受信する。処理は、現在のペイロードモデルと前回のペイロードモデルの間の距離が閾値よりも小さくなるまで反復的に繰り返される。
本発明の1つ又はそれよりも多くの実施形態によれば、各ポートの各モデル安定性は、2つのメトリックによって判断することができる。その第1は、エポック内で生成される新しいモデル(クラスター化の前)の数である。その第2は、前回トレーニングエポック内で計算されたものまでの現在エポック後の各モデルの単純なマハラノビスの距離である。両方のメトリックが何らかの閾値内である場合、モデルは安定状態であると考えられてトレーニングが停止する。複数のポートがモニタされている場合、付加的なメトリックを使用することができる。この付加的なメトリックは、モニタ中の全ポートからの安定したポートの百分率を検査することができる。安定したポートの百分率が何らかのユーザ指定閾値よりも高い場合、トレーニング処理全体が終了になる。「不安定な」ポートのモデルは、トレーニング不足でありかつ試験時に異常検出に使用すべきではないために任意的に廃棄することができる。
トレーニングが完了した状態で、異常閾値を判断することができる。全ての重心を対象とした普遍的な閾値を使用するのではなく、1つの明確な閾値を各々に対して選択する。このようなきめの細かい閾値は、精度を向上させることができる。これは、様々な方法で達成することができる。例えば、トレーニング段階中にサンプリングを行うことができる。次に、サンプルを使用して、検出期間中に使用される初期閾値の決定を自動的に助けることができる。トレーニング処理中に、ペイロードサンプルのバッファが各重心に対して維持される。サンプル最小数及び最大数があり、サンプリング率s%がある。最小数に達する前、このビン内の全てのパケットペイロードがサンプルになる。次に、各ペイロードは、バッファサンプルになる確率sを有する。バッファが最大サイズまで満たされた後に、先入れ先出し(FIFO)スタイルのバッファリングが用いられる。新しいサンプルが挿入された時に最も古いサンプルが除去される。トレーニング段階全体が終了した後、サンプルが重心に対して計算され、最大距離がその重心の初期異常閾値として使用される。FIFOスタイルのサンプリングのために、計算閾値は、最も最近のペイロード傾向を反映し、適応学習を行って概念ドリフトに適合させる。これは、モデル及び較正が、システムが組み込まれているより最近の環境に適するように計算されることを意味する。
試験の最初に、本発明はまた、エポック単位で実行することができる。各エポック後、発生した警報の割合を何らかのユーザ定義の数字に照らして比較する。全警報率が高すぎる場合、閾値をt%分大きくして次のエポックを開始する。このようなサイクルは、警報発生率が検出モードになるまで繰り返す。この較正段階後、システムは安定状態であり、かつ検出モードでの実行に対して準備完了状態であると考えられる。システムは、新しいモデルをトレーニングし続け、モデルを回復及び更新状態に維持して最新の環境を反映させることに注意すべきである。
異常ペイロードの検出
図9は、本発明の1つ又はそれよりも多くの実施形態によるネットワークを通じて伝送された異常ペイロードを検出するために実行される段階を示す流れ図である。段階S350で、サーバは、ペイロードデータをネットワークから受信する。これは、例えば、外部ネットワーク、内部ネットワーク、無線ネットワーク、又は衛星ネットワークなどから受信することができるデータに対応する。段階S352で、サーバは、ペイロードに含まれたデータの長さを判断する。段階S354で、ペイロードに含まれたデータに対して統計的分布を生成する。例えば、サーバは、ペイロードに含まれたデータを解析し、例えば、上述のように、データ内で発生する文字の統計的分布を生成する。段階S356で、ペイロードデータの統計的分布をモデル分布と比較する。例えば、サーバは、上述のように、検索してペイロードの適切な長さに適用することができる複数のモデル分布を含む。段階S358で、サーバは、例えば、所定のユーザ判断基準に基づいて、モデル分布と十分に異なるペイロードとして異常ペイロードを特定する。従って、異常と特定された全てのペイロードは、廃棄されるか又は更に解析されることになる。
図10は、本発明の1つ又はそれよりも多くの実施形態による異常ペイロードを検出することができる方法を示す流れ図である。段階S410で、ペイロードをサーバが受信する。段階S412で、サーバは、ペイロードに含まれたデータの長さを判断する。段階S414で、このペイロードデータに対して統計的分布を生成する。本発明の1つ又はそれよりも多くの実施形態によれば、ペイロードデータの分布は、例えば、nグラム又は混合グラム分布を用いて行うことができる。これを段階S416に示している。本発明の1つ又はそれよりも多くの実施形態によれば、様々な重み係数を統計的分布内の異なるバイト値に割り当てることができる。これを段階S418に示している。様々な重み係数は、恐らくはコンピュータ又はネットワーク装置の作動コードに対応する可能性があるバイト値がより高く重み付けされ、従ってより厳しく検査されるように選択される。重み係数は、少なくとも部分的には、コンピュータ又は装置の様々な作動コードを実行するワームのような悪意的なプログラムを検出するサーバの機能を向上させることができる。例えば、作動コードは、ジャンプ命令用マシンコード、又は算術演算などに対応するスクリプト言語文字とすることができる。
本発明のこのような実施形態によれば、悪意的なコンピュータコードを含む可能性がより高い異常ペイロードを迅速に特定することができる。従って、警報が何らかのペイロードに対して生成された時、そのペイロードは、任意的に、特に関連するバイト値を含むか否かを判断する別々の試験を受けることができ、又は代替的に、ペイロードの採点法を変えて「顕著な」バイト値を含む場合は正常分布からの距離を長くすることができる。従って、マハラノビス距離を修正して重み付け値に対応させることができ、又はある一定の重み付けバイト値を因数処理する異なる距離関数を使用することができる。このような実施形態の恩典の少なくとも一部には、悪質なコードを特定する精度の向上、偽陽性の低減、及びペイロード異常を真のゼロ・デイ弱点又はワームとして迅速に特定する際の助けが含まれる。
段階S420で、モデル分布をサーバが選択する。モデル分布の選択は、ペイロードに含まれたデータの長さを包含するように行われる。例えば、上述のように、モデル分布の1つが150バイトから155バイトのペイロード長に対応する場合、その範囲に該当する長さを有する全ての受信ペイロードデータは、そのモデル分布と比較されることになる。段階S422で、モデル分布のプロフィールが崩壊プロフィールであるか否かを判断する。これは、例えば、モデル分布がランク順バイト頻度カウントで配置された状況で発生する可能性がある。従って、第1のエントリの方が大きな値を有し、この値は、図表の終わりに向けて衰退して小さな値になる。
上述のように、計算上の複雑性は、接続長において線形である。これを速くするためには、計算は、文字頻度分布の末尾部から開始すると、マハラノビス距離及びストリング編集距離の場合は、距離が閾値よりも大きい場合は直ちに停止することができる。分布の末尾部は、トレーニングデータベース内に決して現れなかった文字(ゼロ頻度を有するもの)か、又は出現するのが非常に稀な(非常に低い頻度の)文字である。このような文字が試験データに出現した場合、そのデータは異常であり、従って、悪意データである確率が高い。従って、悪意的な接続を検出する時間を短縮することができる。
従って、モデル分布が崩壊プロフィールを有する場合、段階S424で、サーバは、分布の端部から距離測定値を計算する選択肢を選択する。代替的に、モデル分布が崩壊プロフィールを有していない場合、段階S426で、サーバは、モデル分布の始めから距離を測定する選択肢を選択する。段階S424及びS426で測定した距離は、受信ペイロードデータとモデル分布との差異を判断するためにモデル分布と行われる比較に対応している。上述のように、様々な技術を用いて2つの分布間の距離を計算することができる。段階S428で、この距離が所定の閾値よりも大きいか否かを判断する。例えば、閾値は、受信ペイロードとモデル分布との間で許容される最小距離に対応する。この距離が閾値よりも小さい場合、段階S430で、サーバは、ペイロードデータを正常データと特定する。代替的に、サーバが、この距離が閾値を超えると判断した場合、段階S432で、ペイロードは、異常と特定される。段階S430で、ペイロードが正常ペイロードと考えられた場合、それは、単に特定された宛先に方向付けられるだけであり、段階S444で処理は終了する。しかし、異常であると判断されたペイロードに対しては、サーバは、付加的な試験を行ってペイロードに含まれたデータの様々な特性を識別することができる。
例えば、段階S434で、サーバは、ペイロードが例えばワーム又はウイルスのような悪意的なプログラムに相当するか否かを判断する。これは、様々な方法で行うことができる。例えば、サーバは、ペイロードデータの様々な特徴を公知のワームシグニチャー又はウイルスシグニチャーと比較することができる。代替的に、ペイロードを制御サイトに伝送することができ、そこで、プログラムを実行させることができ、又はプログラムが実際に悪意的なものであるか否かを判断することができるようにそれをエミュレートすることができる。
本発明の1つ又はそれよりも多くの実施形態によれば、サーバは、悪意であると考えられるペイロード内で見つかる最長共通ストリング又は最長共通サブシーケンスを特定することができる。到着(又は進入)パケット又はペイロードが異常と見なされ、出発(又は退出)パレット又はペイロードが異常と見なされ、かつ到着パケットが出発パケットと同じ宛先アドレスを有する場合、ペイロードを比較して両方の異常ペイロードの最長共通ストリング又は最長共通サブシーケンスを判断することができる。最長共通ストリング又は最長共通サブシーケンスに基づいて、ホストは、特定のワーム又はウイルスを特定してワーム又はウイルスに対するコンテンツフィルタの役目をするシグニチャーを生成するであろう。悪意データが実際にはワーム又はウイルスではないと判断された場合、それは、段階S436で廃棄され、処理は、その特定のペイロードデータに対しては終了する。代替的に、ペイロードがワーム又はウイルスと判断された場合、段階S438で、シグニチャーが生成される。段階S440で、サーバによって生成された全てのウイルスパターン又はワームシグニチャーは、コンテンツフィルタリングのために他のサーバ、ルータ、ワークステーションなどに伝送される。
本発明の1つ又はそれよりも多くの実施形態によれば、サーバは、閾値を自動的に調節して異常ペイロードデータを検出する機能を助け、及び/又は向上させることができる。これを段階S442に示している。例えば、自動的に閾値を調節する1つの方法では、サーバは、警報閾値を設定すべきである。警報閾値は、サーバが生成することになる警報の所定の回数に対応するであろう。各警報は、1つ異常ペイロードデータに対応すると考えられる。従って、警報閾値が1時間という期間に対して100である場合、サーバは、100回の警報が1時間という期間内に発生しなかった場合は自動的に閾値を調節する。サーバはまた、例えば、±5回の警報のようなエラーマージンを有することができる。従って、サーバが1時間という期間内に95回から105回の警報を発生した場合には、調節は行われない。しかし、サーバが発生した警報回数がその期間内で80回のみの場合、これは、閾値が高すぎて、受信ペイロードとモデルペイロードの間の距離が閾値を超えるのに十分に長いものではないことを示唆している。従って、サーバは、警報の発生回数が増加するように閾値の値を小さくすることになる。
図11は、モデル分布からの様々なペイロードデータの距離を示すグラフである。複数のペイロードデータが、モデルペイロードからの所定の距離内に該当している。しかし、コードレッドワームは、正常受信ペイロードの一般的なクラスター化を遥かに超える距離を有する。従って、この状況においては、サーバは、コードレッドワームをサーバに対する潜在的な攻撃として容易に識別するであろう。
図11に示す例に対しては、ゼロ・デイ・ワーム及びウイルスの検出時にこの技術がいかに有効であるかを示すための検出目標として「コード・レッド」ワームの実際のペイロードを使用した。24時間という期間にわたってウェブトラフィックからウェブサーバまででトレーニングデータを探り出した。長さ区分処理に従ってトレーニングペイロードを異なる部分集合に分割し、正常モデルを計算した。次に、「コード・レッド」ペイロードを解析した。ペイロード内のバイト値の分布を計算して、正常ペイロードプロフィール分布と比較した。
図11のグラフは、正常接続と「コード・レッド」攻撃の両方に対して長さ範囲380から385内の接続の簡素化したマハラノビス距離を示している。図から分るように、「コード・レッド」攻撃は、他の全ての正常接続よりも遥かに大きな距離を有する。従って、所定の閾値が与えられると、それは、何か悪意的なものとして容易に検出され、ウェブサーバを損傷することなく拒絶することができる。トレーニング段階中に閾値を設定することができる。1つの可能な値は、トレーニングデータの距離値に何らかの許容範囲を加えたものの最大値である。この技術を用いると、あらゆるウイルスシグニチャーが放たれる前でさえもホストをウイルス/ワームから保護することができる。
また、距離メトリックを用いて類似性を計算する代わりに、「正常ペイロードシグニチャーZストリング」を用いて同じ目標を達成することができる。プロフィール「シグニチャーZストリング」及び試験される新しい接続データのバイトストリングがあると、単純なストリング編集距離を使用してそれらの類似性スコアを得ることができる。ストリング編集距離は、単にいくつの文字がプロフィールシグニチャーストリングから誤って置かれているかを数えるものである。ストリング編集距離の1つの利点は、いかなる数値的計算も伴わずにストリングの同等性比較のみを伴うということである。これで、結果的に非常に速く距離を計算することができる。
本発明の例示的な用途
ネットワーク電気製品
本発明の1つ又はそれよりも多くの実施形態は、コンピュータネットワーク上のネットワークトラフィックを受動的に探知して監査するコンピュータシステム上で実施することができ、又はネットワークファイアウォールを操作する同じコンピュータ上で実施することができ、又はプロフィールが既に計算されたホスト又はサーバコンピュータ上で実施することができる。1つ又はそれよりも多くの実施形態は、到着及び退出トラフィックの両方に対して、多くのサービス及びポートに対する正常ペイロードモデルを計算することができるネットワーク電気製品の構築を想定している。この電気製品は、トラフィックをフィルタ処理してネットワーク上のあらゆるサービスを保護するファイアウォールに異常検出モデルを分布することができる。代替的に、ペイロード検出システムは、サーバ又はホスト上に新しいソフトウエアをインストールしたり又はネットワークシステム上に新しい電気製品又は装置をインストールする必要がなく、ホスト又はサーバコンピュータのネットワークインタフェースカード上で実施することができる。
漸次的学習
本発明の1つ又はそれよりも多くの実施形態によれば、マハラノビス距離を有する1グラムモデルは、僅かに多い情報のみが各モデルに記憶された漸次的バージョンとして実施することができる。本方法の漸次的バージョンは、いくつかの理由で特に有用である可能性がある。第1に、「ハンドフリー」で自動的にオンザフライでモデルを計算することができる。このモデルは、時間が進むにつれて精度が向上し、より多くのデータが採取されることになる。更に、漸次的オンラインバージョンはまた、古いデータをモデルから「エージアウト」して、サービスを出入りして流れる最も最近のペイロードのより正確な姿を維持するものである。
本発明の1つ又はそれよりも多くの実施形態は、モデルをトレーニングする際に使用したより古い例をエージアウトさせる。これは、少なくとも部分的には、より古いモデルの崩壊パラメータを指定し、新しいサンプルに出現する頻度分布を強調することによって達成することができる。これは、モデルの自動更新が最も最近に見られた正常ペイロードの正確な姿を維持することを可能にする。
マハラノビス距離の漸次的バージョンの計算は、本発明の特定的な実施例に依存する様々な方法で達成することができる。例えば、観察された各新しいサンプルに対して見られた各ASCII文字に関して平均値及び標準偏差を計算する。文字の平均頻度に対しては、トレーニング例から次式が計算される。
Figure 2011040064
任意的に、処理済みサンプル数Nを記憶することができる。これによって、新しいサンプルxN+1が観察された時に、平均値を次式として更新することができる。
Figure 2011040064
標準偏差は、分散の平方根であるから、分散の計算は、期待値Eを用いて以下のように書き換えることができる。
Var(X)=E(X−EX)2=E(X2)−(EX)2
モデルにおけるx2 iの平均も記憶される場合には、同様な方法で標準偏差を更新することができる。
本発明のこのような実施形態によれば、x2 iの平均及び観察の全回数Nを記憶する各モデルにおいて維持する必要があるのは、1つの付加的な256要素アレイのみである。すなわち、nグラムバイト分布モデルを漸次的学習システムとして容易にかつ非常に効率的に実施することができる。また、この特別な情報の維持は、以下でより詳細に説明するように、サンプルをクラスター化する際にも用いることができる。
クラスター化によるモデルの小型化
上述のように、ポートjに送られたペイロードの各観察長さビンiに対してモデルMijを計算する。ある一定の状況の下では、このようなきめの細かいモデル化は、様々な問題を招く可能性がある。例えば、モデルの全サイズは、非常に大きくなる可能性がある。これは、ペイロード長がギガバイトで測定することができるメディアファイルに関連して、多くの長さビンが定義される時に発生する可能性がある。その結果、多数の重心を計算する必要がある。更に、長さビンiのペイロードのバイト分布は、1バイトだけ異なるという理由で、長さビンi−1及びi+1のペイロードのバイト分布と非常に類似である可能性がある。各長さに対してモデルを記憶することは、時には冗長かつ無駄である可能性がある。別の問題は、一部の長さビンに対しては、トレーニングサンプルが十分ではない場合があるということである。まばらであるということは、データが真の分布の不正確な推定である経験的分布を生成することになり、エラー発生数が多すぎる欠陥検出器をもたらす可能性があることを示唆している。
本発明の異常検出システムは、様々な考えられるソリューションを提供してこれらの問題に対処するものである。本発明の1つ又はそれよりも多くの実施形態によれば、まばらであるという問題に対処する1つのソリューションは、より高い平滑化係数を標準偏差に割り当てることによってモデルを緩和することである。これは、ペイロードの変動性を高くすることができる。本発明の少なくとも1つの付加的な(又は重複する)実施形態は、近傍のビンからデータを「借りて」サンプル数を増す。すなわち、近傍ビンからのデータを用いて他の「類似の」モデルを計算する。単純なマハラノビス距離を用いて2つの近傍モデルを比較し、平均バイト頻度分布の類似性を測定することができる。2つの近傍モデルの距離が何らかの閾値tよりも小さい場合、これらの2つのモデルは合併される。このクラスター化法は、合併することができる近傍モデルがそれ以上ないという状態になるまで繰り返される。また、この合併は、上述の漸次的アルゴリズムを用いて計算することができる。上述のように、このような技術は、2つのモデルの平均及び分散を更新して、新しい更新された分布を生成することを伴っている。
長さiがポートjに送られる新しい観察試験データに対しては、モデルMij又はそれが合併したモデルを使用することができる。試験データの長さが全ての計算したモデルの範囲外である場合、長さ範囲が試験データのそれに最も近いモデルを使用する。これらの場合、単にペイロードがトレーニング中に観察されなかったこのような異常な長さを有するということだけで、それ自体、警報を発生させることができる。
モデル化アルゴリズム及びモデル合併処理の各々は、線形時間計算であり、従って、モデル技術は、非常に速度が速く、リアルタイムで行うことができることに注意すべきである。更に、オンライン学習アルゴリズムにより、モデルが時間と共に向上し、その精度は、サービスが変更されて新しいペイロードが観察された時でさえも維持されることになることが保証される。
ワーム伝播を検出してシグニチャーを生成するための相関進入及び退出トラフィック
自己伝播は、ワームにとって1つの重要な特徴及び必要条件である。自己伝播は、ワームがマシンに感染した状態で、自らのコピー又はその変形を別の影響を受けやすいホストに送ろうとすることによって自動的に他のマシンを攻撃し始めることを意味する。例えば、マシンがポート80で受信した何らかの要求からワーム「コード・レッドII」に感染した場合、このマシンは、同じ要求を他のマシンのポット80に送り始める。このような伝播パターンは、ほとんど全てのワームに当て嵌まる。従って、ポートiに至る異常進入トラフィックと非常に類似したポートiに至る何らかの退出トラフィックを検出することができた場合、ポートiを狙うワームが自己伝播している確率が高い。
本発明の1つ又はそれよりも多くの実施形態によれば、着信悪意トラフィックを検出して警報を生成することができる。同時に、ペイロードは、ポートi用バッファ内でストリングとして供給され、全てのストリングに対して発信トラフィックと比較されてどれが最も高い類似性スコアを戻すかを見ることができる。スコアが何らかの所定の閾値よりも高い場合、ワーム伝播の可能性が考えられる。更に、例えば、ウェブサーバのようなサーバマシン上で本発明を実施することができる。ウェブサーバは、一般的に、多量の着信要求を有するが、発信要求の可能性は一般的に非常に低い。従って、発信要求があれば、その要求は既に全く怪しいものであり、悪意ストリングに照らして比較すべきである。ホストマシンがサーバ及びクライアントとして作動している場合(これは、着信要求と発信要求の両方が一般的であることを意味する)、同じモデル化技術を発信トラフィックに適用して、既に悪意と判断された退出トラフィックを比較するためにのみ使用される。
また、本発明の1つ又はそれよりも多くの実施形態は、2つのストリング間の類似性を判断するのに使用することができる複数のメトリックを提供する。最も一般的なものは、最長共通サブストリング(LCS)又は最長共通サブシーケンス(LCSeq)である。その差異は、共通サブストリングが連続的であり、一方、最長共通サブシーケンスは連続的である必要がないということである。LCSeqには、「多様型」ワーム及び「変形」ワームを検出することができるという利点があるが、偽陽性を招く場合がある。コンテキスト依存サブストリングサイズを考慮した確率モデル化法のような他の技術も本発明で適用することができる。返却された類似性スコアは、悪意ペイロードストリングの全長のうちの共通部分の長さの百分率である。シグニチャーを計算する代替的な(又は重複する)実施例は、悪意データの2つ又はそれよりも多くの例に出現するペイロード内の最も発生頻度が高いサブストリングの組を計算することになる。
1つ又はそれよりも多くの更に別の(又は重複する)実施形態によれば、本発明を使用すると、自動的にワームシグニチャーを生成することができる。また、類似性スコアを計算することにより、進入悪意トラフィック及び退出悪意トラフィックの共通部分を表す適合サブストリング又はサブシーケンスが計算される。比較するトラフィックが既に悪意トラフィックと判断されているので(これは、ペイロードが正常ペイロードと全く異なることを意味する)、これらの共通ストリングは、ワームのコンテンツシグニチャーを表している。従って、進入悪意ペイロードと退出悪意ペイロードを相関させることにより、本発明は、非常に初期のワーム伝播を検出しかつ一切の外部の介入なしに直ちにそのシグニチャー又は部分的シグニチャーを特定することができる。これは、ゼロ・デイ・ワーム問題を解決する上で有効である。次に、コンテンツフィルタ処理のためにこのようなシグニチャーを他のホスト及び装置に伝達すると、ネットワーク上の他のホストに感染するワームの更に別の発生を排除することができる。
協調セキュリティによるより正確なワーム検出
本発明の1つ又はそれよりも多くの実施形態によれば、ネットワーク上の複数のホスト及び装置上で異常検出システムを実施することができる。次に、ホスト及び装置は、例えば、警報及び考えられるワームシグニチャーを交換することによって互いに協調することができる。従って、複数のホストが同じワームシグニチャーを互いに報告するので、ワームを迅速に識別して広がるのを防止することができる。次に、ネットワーク上の全てで迅速にコンテンツフィルタ処理を適用するために、このシグニチャーを公開することができる。このような協調セキュリティ戦略を用いると、ワームがネットワーク中に広がりかつ占有する可能性を小さくすることが可能である。
ファイルの識別
ネットワーク環境から生じる可能性がある様々な厄介な問題があり、その一部は、ネットワークをオフィス環境で使用することができるという事実に関連している。上述の問題を悪化させているのは、複数のネットワークにわたってデータを伝送することができる速度が速い点である。その結果、ネットワーク運用及び/又はセキュリティ担当者は、ネットワーク内のコンピュータの実際の使い方及びどのような形式のデータがネットワークの内側及び外側でホスト間で伝達されているかを知りたい場合がある。これは、例えば、ネットワーク内でコンピュータ(又はユーザ)間で伝送されるファイル及び媒体の形式を判断する段階を伴うであろう。ほとんどの伝達内容は、一般的に無害であるが、ウイルス及びワームのような悪意的なプログラムを広げる道になることがある。更に、ワークステーションの外側に広めるべきではない極秘及び/又は個人情報を維持する雇用主がいる。このような雇用主は、ある一定のファイル及び/又は情報を会社ネットワークの外側にあるコンピュータに伝送しないように従業員に警告する方針を制定することが多い。また、雇用主がある一定のファイル形式を外部ネットワーク又はコンピュータから受信(又は送信)されたくないと考える場合がある可能性がある。
これらの方針の一部を実施するために、会社ネットワークを通るトラフィックは、一般的に、ある一定のファイルを阻止又は検査することができるようにモニタされる。例えば、「ワード」文書を外部コンピュータに伝送すべきではない場合は、電子メール添付ファイル「Patent25.doc」を検査することができる。しかし、単にファイル名に関連する拡張子を変更することによってファイルの真の形式をマスクする(つまり隠す)ことは比較的簡単である。従って、ユーザは、ファイル名を例えば、「Patent25.doc」から「HolidayPictures.jpg」に変更することによってセキュリティ方針を容易に出し抜くことができる。代替的に、例えば、ファイルに画像ファイルを示す異なる接尾辞を与えてネットワークの外側に伝送することができるであろう。受信された状態で、受信者は、「Patent25.doc」にファイル名を書き換えて、例えば、「マイクロソフト・ワード」でそれを開くことができる。逆に、着信電子メール添付ファイルは、例えば「Patent25.doc」に書き換えられたウイルス又はワームである可能性がある。開いた状態で、ウイルスは、コンピュータシステムを損傷させる可能性がある。
図12は、ファイルが密かに又は虚偽の下にユーザに伝送される場合があるいくつかの状況を示すブロック図である。例えば、ワークステーション114は、インターネット116のようなネットワークに接続されている。3つの異なる添付ファイルが既にワークステーションに伝送されている。第1の添付ファイル150は、「hello.doc」というファイル名である。このファイルは、「マイクロソフト・ワード」ファイルであると考えられる。しかし、実はそうではない。ファイルは、一見「ワード」文書のように見えるようにファイル名を書き換えたウイルス(sobig.exe)である。第2の添付ファイル152は、「junk.zip」という表題である。このファイルは、必ずしもファイル名が書き換えられたものとは限らないが、複数のアーカイブコンテンツを含むことができるアーカイブファイルの形である。アーカイブコンテンツは、アーカイブファイル152にアクセスするか又は開くまでは見ることができないものである。オペレーティングシステム又はメールプログラムがアーカイブファイル152にそれが受信されると直ちに自動的にアクセスすることができる状況が存在する。従って、ウイルスがアーカイブファイル152に含まれた場合、自動的に解除することができる。第3の添付ファイル154は、「ワード」ファイルと識別されないように「文書.pdf」という表題である。しかし、ファイルは、元々、「契約.doc」というファイル名であった。ファイルの全てが、ワークステーション114に対して潜在的な問題を呈する可能性がある。
図13は、本発明の1つ又はそれよりも多くの実施形態によるネットワークを通じて伝送されるファイル形式を特定する方法を示している。段階S510で、伝送がネットワークを通じて受信される。伝送は、従来の電子メールメッセージである可能性があり、例えば、テキスト、添付ファイルなどのような様々な形式の情報を含む可能性がある。段階S512で、伝送がファイルを含むか否かを判断する。電子メールメッセージに対する添付ファイルの一部としてファイルが伝送に含まれる可能性がある。伝送がファイルを含まない場合、制御は、段階S256に進み、そこで、処理は終了する。しかし、伝送が1つ又はそれよりも多くのファイルを含むと判断された場合、段階S514で、伝送内のファイルの各々に含まれたデータに対して統計的分布を生成する。
段階S516で、モデル分布を選択する。モデル分布は、所定のファイル形式にいて生成された1つ又はそれよりも多くの統計的分布に対応する。例えば、「.gif」ファイルに対して特定のモデルファイル分布を生成することができるであろう。同様に、「.pdf」ファイル、「.doc」ファイル、及び「.jpeg」ファイルなどに対して、上述の概念及び/又は以下で説明する概念を用いてモデルファイル分布を生成することができる。更に、図14Aから14Iを参照すると、様々なファイル形式のモデル分布を示している。段階S518で、ファイルの統計的分布をモデル分布に照らして測定する。上述のように、様々な方法を用いて、限定はしないがマハラノビス距離を含む距離を測定することができる。更に、伝送が1つよりも多いファイルを含む場合、伝送に含まれた各ファイルに距離試験を適用することになる。段階S520で、受信ファイルとモデルファイルの間の距離が所定の閾値よりも大きいか否かを判断する。この距離が閾値よりも大きい場合、制御は、段階S522に進む。この距離が閾値よりも小さい場合、制御は、段階S524に進む。この時点で、受信ファイルを特定の形式であると識別することができる。例えば、モデル分布に対する形式は、既に既知である。従って、受信ファイルをモデル分布と同じ形式であると判断することができる。次に、制御は段階S526に進み、そこで処理は終了する。
段階S522で、付加的なモデル分布があるか否かを判断する。これ以上付加的なモデル分布がない場合、処理はまた、受信ファイルの形式を特定することなく又は特定することはできないまま終了する。しかし、付加的なモデル分布がある場合、制御は、段階526に戻り、そこで、次のモデル分布を選択する。処理は、受信ファイルがモデル分布の全てに照らして試験されるまで続行され、形式が判断されるか又は形式を判断することができないかのいずれかである。本発明の1つ又はそれよりも多くの実施形態によれば、ファイルの形式を判断することができない場合、そのファイルは、廃棄するか又は潜在的なウイルス又は悪意的なプログラムとして特定することができる。
図15は、本発明の1つ又はそれよりも多くの実施形態によるファイル形式をモデル化する方法を示す流れ図である。段階S550で、複数のファイルを収集する。ファイルは、特定の形式と分っており、及び/又はこのような形式として作成する。例えば、複数の「.pdf」ファイルか、又は複数の「.doc」ファイル、「.jpeg」ファイル、「.gif」ファイルなどを収集することができる。ファイルの全てが同じ形式である限り、これらのファイルを使用して適切なモデルを生成することができる。段階S552で、収集したファイルの各々に対して統計的分布を生成する。段階S554で、統計的分布を結合する。これは、例えば、収集した各ファイルに関する分布の単純な追加のような様々な方法で達成することができる。
段階S556で、複数のクラスターを統計的分布に対して形成する。段階S558で、統計的分布に対して形成した各クラスターに関して重心を計算する。段階S560で、モデル重心を計算する。モデル重心は、段階S558で計算した複数のクラスター重心の重心に対応する。段階S562で、特定のファイル形式を表すためのモデルとしてモデル重心を指定する。従って、「.pdf」ファイルがモデル化されている場合、モデル重心は、「.pdf」ファイルのモデル分布に対応することになる。段階S566で、処理は終了する。本発明の1つ又はそれよりも多くの実施形態によれば、モデルファイル形式はまた、収集した全てのファイルの結合統計的分布に基づくものとすることができる。これを段階S564に示している。従って、収集ファイルの結合統計的分布は、特定のファイル形式のモデル分布として割り当てられるであろう。
図16は、本発明の1つ又はそれよりも多くの実施形態によるファイル形式を確認するために実行される段階を示す流れ図である。段階S610で、ファイルを受信する。ファイルの受信は、例えば、一般的なネットワーク伝送、電子メール、又は携帯媒体を含む複数のソースのいずれかから行うことができる。段階S612で、ファイルに対して統計的分布を生成する。段階S614で、受信ファイル形式に対応するモデル分布を再検索する。例えば、受信ファイル形式が「.jpeg」ファイルとしてタグ付き(又は、特定の拡張子を使用して指定)である場合、「.jpeg」ファイル用の適切なモデル分布を検索する。段階S616で、受信ファイルの統計的分布を段階S614で検索したモデル分布と比較する。段階S618で、受信ファイルの統計的分布がモデル分布の許容範囲限界内であるか否かを判断する。より具体的には、受信ファイルの統計的分布とモデル分布の間の距離を再調査して、それが許容範囲閾値内に該当するか否かを判断する。
受信ファイルの統計的分布の距離が許容範囲内である場合、ファイルは、ファイル名に指定された形式であるとして確認することができる。これを段階S620に示している。従って、処理は、受信ファイルの形式を確認した時点で終了する。代替的に、受信ファイルの統計的分布の距離が許容範囲内ではなかった場合、警報を生成して、ファイルが実はファイル名で指定された形式ではないことを示すことができる。これを段階S622に示している。段階S624で、ファイルを阻止するか、又はネットワーク又はワークステーションを通じた更に別の伝送から廃棄することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、ファイルが不適切なファイル名であり、かつ異なるフィールド形式に相当することを検出した時点で、更に別の試験を行ってファイルが実は異なるファイル形式を装ったウイルスであるか否かを判断することができる。次に、制御は、段階S624に戻り、そこで、ここでもまたファイルを阻止するか又はネットワークを通じた更に別の伝播からファイルを廃棄することができる。次に、処理は、段階S628で終了する。
図17は、本発明の1つ又はそれよりも多くの実施形態によるウイルス及びワームのような悪意的なプログラムを検出及び/又は識別するために実行される段階を示す流れ図である。段階S650で、ネットワークを通じて又はワークステーションで伝送を受信する。その伝送は、複数のコンピュータ間やネットワーク内などのネットワークにわたる伝送とすることができる。更に、その伝送は、単一マシン内のデータの内部送信に対応することができる。例えば、その伝送は、携帯媒体からワークステーションのメモリに行われたファイルの読取に対応することができる。
段階S652で、伝送に添付されたファイルがあるか否かを判断する。伝送に添付されたファイルがない場合、処理は終了する。伝送内にファイルがある場合、制御は、段階S654に進む。各ファイルの形式に関する情報を検索する。この情報の検索は、例えば、ファイル名の拡張子を検査することによって行うことができる。段階S656で、ファイルに対して統計的分布を生成する。段階S658で、ファイルの形式に対応するモデル分布を検索する。段階S660で、ファイルの統計的分布を検索したモデル分布と比較する。段階S662で、ファイルの統計的分布が許容範囲閾値内であるか否かを判断する。許容範囲閾値内である場合、ファイルは、恐らくウイルスではなく、段階S664でウイルスではないと特定する。しかし、ファイルの統計的分布が許容範囲内ではなかった場合、段階S666で、ファイルをウイルスと特定する。段階S668で、ファイルの統計的分布をあらゆる公知のウイルス統計的分布と比較することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、様々な重み係数を統計的分布内の異なるバイト値に割り当てることができる。これを段階S670に示している。上述のように、より高い重み係数は、恐らくマシン実行コード、スクリプトファイル、及び/又はマシンを損傷させる可能性がある他のプログラムに対応する可能性があるバイト値に割り当てることができる。段階S672で、ファイルの統計的分布がウイルス分布のいずれかに適合するか否かを判断する。適合があった場合、段階S674で、ウイルス形式を特定する。適合がなかった場合、制御は、段階S676に進む。ウイルスに関する情報を識別するためにファイルに含まれたデータを検索する。段階S678で、ファイル内に共通ストリング又はサブシーケンスがあれば特定する。段階S680で、共通ストリング又はサブシーケンスを用いてウイルスのシグニチャーを生成する。段階S684で、処理は終了する。本発明の1つ又はそれよりも多くの実施形態によれば、ファイル内のデータを検査してシグニチャーを生成するよりはむしろ、ファイルの統計的分布をシグニチャーストリング(又は分布)として使用することができる。これを段階S682に示すが、そこでは、ファイルに対して分布ベースのシグニチャーを生成する(すなわち、特定されたウイルス)。
伝送元のトレース
本発明の1つ又はそれよりも多くの実施形態によれば、本発明を使用してインターネットのような大規模ネットワークの使用に関連する様々な問題に対処することができる。このような問題の1つは、飛び石プロキシの使用に関連するものである。これらのプロキシをアタッカー(又はハッカー)が用いる目的は、様々なマシンに対して攻撃を行いながら真の位置を隠すためである。アタッカーは、前回ハッキングを行って勢力内にある「ドローン」マシンに攻撃を開始することが多い。次に、これらのドローンマシンは、様々な商業レベルのコンピュータ、サーバ、ウェブサイトなどにサービス妨害攻撃を開始することができる。更に、アタッカーは、1つのドローンマシンに第2のドローンマシンを作動させることにより、攻撃を開始することができる。攻撃が開始された状態で、ターゲットコンピュータは、攻撃指令を伝送するマシンからの情報をただ見るだけである。
アタッカーは、ドローンコンピュータを勢力下に置いてしまっているので、ターゲットコンピュータは、攻撃を引き起こすドローンコンピュータのIPアドレスを見るだけになる。ハッカーは、複数のレベル、すなわち、このような攻撃の開始元である飛び石プロキシを用いる可能性がある。これによって、実際のアタッカーの場所をトレースすることが困難になる。更に状況を複雑にするために、ドローンコンピュータには、別のドローンに自動的に接触し、及び/又は攻撃を開始するための特定の時間を与えることができる。
図18は、飛び石状況の1つの形式を示している。アタッカー200は、ターゲットコンピュータ250に対して攻撃を開始する。ターゲットコンピュータは、アタッカーと同じ周辺地域、国、又は州とすることができる。しかし、アタッカーはまた、居場所をインターネットに接続する世界のあらゆる場所とすることができる。図16の状況によれば、アタッカーは、4つのドローンコンピュータを勢力下に置いてしまっている。これらには、段階1ドローン210、段階2ドローン220、段階3ドローン230、段階4ドローン240がある。これらのドローンコンピュータの全ては、アタッカーに管理されている。上述のように、正常なネットワーク接続中、マシンは、直前のマシンから伝送される情報のみを見ることができる。例えば、ターゲットコンピュータ250は、攻撃の最終目的地であり、段階4のドローン240から伝送される情報を見るだけである。すなわち、ターゲットコンピュータ250は、攻撃が段階4ドローン240から開始されていると信じている。同様に、段階4ドローン240は、段階3ドローン230に関係する情報を見る。後に戻って、段階3ドローン230は、段階2ドローン220によって開始されている攻撃を見る。段階2ドローン220は、段階1候210によって開始されている攻撃を見る。アタッカー200の真のアドレスが分る接続リンク内の唯一のコンピュータは、段階1ドローン210である。
本発明の1つ又はそれよりも多くの実施形態によれば、アタッカーの居場所の判断は、複数のドローンコンピュータを通じて伝送されたデータペイロードの統計的分布を解析することによって行うことができる。ドローンコンピュータは、いくつかのサービスプロバイダ260を通じてネットワーク上で互いに接続されている。各サービスプロバイダ260は、ネットワーク上の伝送に関する情報を含む接続記録270を維持する。接続記録270は、例えば、情報を伝達するコンピュータシステムのIPアドレス272、情報が送出されるコンピュータシステムの宛先アドレス274、及び送出される実際の情報276を含むことができる。接続記録に含まれた情報量を最小限に抑えるために、伝送される各データペイロード276に対して統計的分布を生成することができる。従って、統計的分布の構成は、本発明の様々な実施形態に対して上述したように、短い、例えば、256バイトストリング内に記憶されるように行うことができる。これによって、サービスプロバイダ260は、記憶スペースを浪費することなく、膨大な数の通過する伝送に関する情報を捕捉して記憶することができる。以下でより詳細に説明するように、サービスプロバイダによって維持された情報を使用すると、ターゲットマシンへの攻撃を開始するアタッカーの物理的な居場所をトレースすることができる。更に、接続記録270全体又はその一部に対して統計的分布を生成することができる。
図19は、本発明の1つ又はそれよりも多くの実施形態による伝送されたメッセージの出所をトレースするために実行される段階を示す流れ図である。段階S710で、接続記録をサービスプロバイダが作成する。上述のように、接続記録は、例えば、前回のコンピュータシステムのアドレス、データペイロード、及びその後のコンピュータシステムのアドレスを含むことができる。段階S720で、接続記録を検査して、各接続記録に含まれたデータに対して統計的分布を生成する。段階S714で、エンドターゲットコンピュータで疑わしいペイロードを特定する。より具体的には、疑わしきデータペイロードは、例えば、ターゲットコンピュータシステムへの攻撃を感染させるか又は開始するのに使用した悪意的なプログラムに対応することができる。段階S716で、疑わしきデータペイロードに対して統計的分布を生成する。段階S718で、エンドターゲットコンピュータを疑わしきコンピュータとして指定する。
段階S720で、疑わしきデータペイロードの統計的分布を、段階S712で生成したデータペイロードの統計的分布と比較する。段階S722で、疑わしきデータペイロード分布の距離が、現在の接続記録の分布に対して許容範囲閾値内であるか否かを判断する。許容範囲内である場合、適合と特定することができる。疑わしいペイロードの統計的分布が許容範囲内でなかった場合、段階S724で、付加的な接続記録があるか否かを判断する。付加的な接続記録がある場合、制御は、段階S720に戻り、そこで、次の接続記録と比較する。これ以上接続記録がない場合、処理は、終了することになる。しかし、疑わしいペイロードの統計的分布が許容範囲内である場合、段階S726で、前回の送信者のIDを特定する。これは、例えば、分布が生成された接続記録を検査することによって行うことができる。接続記録内で、送信者のアドレス及び宛先コンピュータシステムを特定する。すなわち、疑わしきコンピュータシステムは、宛先アドレスになり、前回の送信者のアドレスが特定されるであろう。
段階S728で、前回のコンピュータシステムが伝送の最初の送信者であるか否かを判断する。前回のコンピュータシステムが伝送の最初の送信者であった場合、最初の送信者のIDが得られて、処理は終了する。しかし、前回の送信者のアドレスが伝送の最初の送信者に対応しなかった場合、制御は、段階S732に進む。前回のコンピュータが疑わしきコンピュータとして指定される。次に、制御は、段階S720に戻り、そこで、疑わしいペイロードの統計的分布を、新しい指定された疑わしきコンピュータによって記憶された接続記録の統計的分布と比較する。処理は、伝送の最初の送信者が特定されるまで複数のコンピュータシステムを遡って繰り返すことができる。
本発明の異常検出システムはまた、「ウィンドウズ」ラインのオペレーティングシステム、Linux、MacOSなどのような様々なオペレーティングシステムを使用してコンピュータ及びサーバ上で実施することができる。また、C++、C#、Javaなどのようなあらゆるプログラミング言語を使用して必要なプログラムコードを生成することができる。
本発明の多くの特徴及び利点は、この詳細な明細書から明らかであり、すなわち、特許請求の範囲は、本発明の真の精神及び範囲に該当する全てのこのような特徴及び利点を網羅するように意図している。更に、多くの修正及び変形が当業者には容易に明らかになると考えられるので、本発明は、図示して説明した正確な構成及び作動に限定されるべきではない。むしろ、全ての適切な修正及び均等物は、請求する本発明の範囲に該当すると考えることができる。
100 異常ペイロードを検出するシステム
110 サーバ
112 ファイアウォール
116 インターネット

Claims (27)

  1. ネットワークで受信したペイロードデータをモデル化する方法であって、
    ネットワーク内で複数のペイロードデータを受信する段階と、
    受信した全てのペイロードデータに対してペイロード長さ分布を作成する段階と、
    前記ペイロード長さ分布を複数のペイロード範囲に分割する段階と、
    各受信ペイロードデータに対して統計的分布を生成する段階と、
    前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対するモデルペイロードを構成する段階と、
    を含むことを特徴とする方法。
  2. 前記モデルペイロードを構成する段階は、各ペイロード範囲によって包含された全てのペイロードデータの前記統計的分布に対して少なくとも1つの重心を計算する段階を更に含むことを特徴とする請求項1に記載の方法。
  3. 前記ペイロード長さ分布は、カーネル推定を用いて分割されることを特徴とする請求項1に記載の方法。
  4. 前記ペイロード長さ分布は、少なくとも1つのクラスター化アルゴリズムを用いて分割されることを特徴とする請求項1に記載の方法。
  5. 各区分に対してペイロード長さ分布を作成する段階と、
    各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化する段階と、
    前記複数のクラスターの各々に対して1つずつ複数の重心を計算する段階と、
    各ペイロード範囲内の前記複数の重心に対してモデル重心を計算する段階と
    を更に含み、
    各モデル重心は、対応するペイロード範囲に対して前記ネットワークで受信した正常ペイロードを表すものである、
    ことを特徴とする請求項1に記載の方法。
  6. ペイロードデータが、連続的に受信され、
    前記モデルペイロードは、全ての受信ペイロードデータに基づいて構成される、
    ことを特徴とする請求項1に記載の方法。
  7. 所定の閾値よりも古い受信ペイロードデータをエージアウトする段階を更に含み、
    前記モデルペイロードは、現在のペイロードデータに基づいて構成される、
    ことを特徴とする請求項6に記載の方法。
  8. 前記統計的分布は、nグラム分布を用いて生成され、
    各nグラムは、可変バイト分類である、
    ことを特徴とする請求項1に記載の方法。
  9. nは、バイト分類の混合値であることを特徴とする請求項8に記載の方法。
  10. n=1であることを特徴とする請求項8に記載の方法。
  11. n=2であることを特徴とする請求項8に記載の方法。
  12. n=3であることを特徴とする請求項8に記載の方法。
  13. 各受信ペイロードデータの前記統計的分布は、該受信ペイロードデータに関するバイト値分布であることを特徴とする請求項1に記載の方法。
  14. 各受信ペイロードデータの前記バイト値分布は、該受信ペイロードデータに含まれたデータのバイト頻度カウントであることを特徴とする請求項13に記載の方法。
  15. 各受信ペイロードデータの前記バイト値分布は、該受信ペイロードデータに含まれたデータのランク順バイト頻度カウントであることを特徴とする請求項13に記載の方法。
  16. 前記モデルペイロードを構成するのに十分なペイロードデータを受信した時を自動的に検出する段階を更に含むことを特徴とする請求項1に記載の方法。
  17. 前記自動的に検出する段階は、
    所定の時間長を有するエポックを定義する段階と、
    現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信する段階と、
    前記現在のエポック内で受信した前記複数のペイロードデータに対する前記モデルペイロードとして現在のペイロードモデルを構成する段階と、
    前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較する段階と、
    所定の安定性条件に到達するまで前記受信する段階、前記構成する段階、及び前記比較する段階を繰り返す段階と、
    を更に含む、
    ことを特徴とする請求項16に記載の方法。
  18. 前記安定性条件は、少なくとも部分的に、前記現在のペイロードモデルと前記前回のエポックに対する前記モデルペイロードとの間の距離に基づいていることを特徴とする請求項17に記載の方法。
  19. ネットワークで受信したペイロードデータをモデル化するためのシステムであって、
    ネットワークに結合され、該ネットワークを通じて複数のペイロードデータを受信するコンピュータ、
    を含み、
    前記コンピュータは、
    受信した全てのペイロードデータに対してペイロード長さ分布を作成し、
    前記ペイロード長さ分布を複数のペイロード範囲に分割し、
    各受信ペイロードデータに対して統計的分布を生成し、
    前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成する、
    ように構成されている、
    ことを特徴とするシステム。
  20. 前記コンピュータは、更に、
    各区分に対してペイロード長さ分布を作成し、
    各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化し、 前記複数のクラスターの各々に対して1つずつ複数の重心を計算し、
    各ペイロード範囲内の前記複数の重心に対してモデル重心を計算する、
    ように構成されており、
    各前記モデル重心は、前記対応するペイロード範囲に対して前記ネットワークで受信した正常ペイロードを表している、
    ことを特徴とする請求項19に記載のシステム。
  21. 前記コンピュータは、更に、
    所定の時間長を有するエポックを定義し、
    現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信し、
    前記現在のエポック内で受信した前記複数のペイロードデータに対する前記モデルペイロードとして現在のペイロードモデルを構成し、
    前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較し、
    所定の安定性条件に到達するまで受信し、構成し、比較し続ける、
    ように構成されている、
    ことを特徴とする請求項19に記載のシステム。
  22. ネットワークで受信したペイロードデータをモデル化するためにコンピュータによって実行可能な命令を記録するコンピュータ可読記録媒体であって、
    前記命令により、前記コンピュータは、
    ネットワークを通じて複数のペイロードデータを受信し、
    受信した全てのペイロードデータに対してペイロード長さ分布を作成し、
    前記ペイロード長さ分布を複数のペイロード範囲に分割し、
    各受信ペイロードデータに対して統計的分布を生成し、
    前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成する、
    行為を実行する、
    ことを特徴とするコンピュータ可読記録媒体。
  23. 前記コンピュータに、
    各区分に対してペイロード長さ分布を作成する段階と、
    各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化する段階と、
    前記複数のクラスターの各々に対して1つずつ複数の重心を計算する段階と、
    各ペイロード範囲内の前記複数の重心に対してモデル重心を計算する段階と、
    を実行させる命令、
    を更に含み、
    各前記モデル重心は、前記対応するペイロード範囲に対して前記ネットワークで受信した正常ペイロードを表している、
    ことを特徴とする請求項22に記載のコンピュータ可読記録媒体。
  24. 前記コンピュータに、
    所定の時間長を有するエポックを定義する段階と、
    現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信する段階と、
    前記現在のエポック内で受信した前記複数のペイロードデータの前記モデルペイロードとして現在のペイロードモデルを構成する段階と、
    前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較する段階と、
    所定の安定性条件に到達するまで前記受信する段階、前記構成する段階、及び前記比較する段階を繰り返す段階と、
    を実行させる命令、
    を更に含むことを特徴とする請求項22に記載のコンピュータ可読記録媒体。
  25. ネットワークで受信したペイロードデータをモデル化するためのシステムであって、
    ネットワークを通じて複数のペイロードデータを受信するための手段と、
    受信した全てのペイロードデータに対してペイロード長さ分布を作成するための手段と、
    前記ペイロード長さ分布を複数のペイロード範囲に分割するための手段と、
    各受信ペイロードデータに対して統計的分布を生成するための手段と、
    前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成するための手段と、
    を含むことを特徴とするシステム。
  26. 各区分に対してペイロード長さ分布を作成するための手段と、
    各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化するための手段と、
    前記複数のクラスターの各々に対して1つずつ複数の重心を計算するための手段と、
    各ペイロード範囲内の前記複数の重心に対してモデル重心を計算するための手段と、
    を更に含むことを特徴とする請求項25に記載のシステム。
  27. 所定の時間長を有するエポックを定義するための手段と、
    現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信するための手段と、
    前記現在のエポック内で受信した前記複数のペイロードデータに対する前記モデルペイロードとして現在のペイロードモデルを構成するための手段と、
    前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較するための手段と、
    所定の安定性条件に到達するまで前記受信する段階、前記構成する段階、及び前記比較する段階を繰り返すための手段と、
    を更に含むことを特徴とする請求項25に記載のシステム。
JP2010178509A 2003-11-12 2010-08-09 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 Active JP5307090B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US51874203P 2003-11-12 2003-11-12
US60/518,742 2003-11-12
US61363704P 2004-09-28 2004-09-28
US60/613,637 2004-09-28

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2006539859A Division JP4662944B2 (ja) 2003-11-12 2004-11-12 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体

Publications (2)

Publication Number Publication Date
JP2011040064A true JP2011040064A (ja) 2011-02-24
JP5307090B2 JP5307090B2 (ja) 2013-10-02

Family

ID=34594920

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2006539859A Active JP4662944B2 (ja) 2003-11-12 2004-11-12 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
JP2010178509A Active JP5307090B2 (ja) 2003-11-12 2010-08-09 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2006539859A Active JP4662944B2 (ja) 2003-11-12 2004-11-12 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体

Country Status (6)

Country Link
US (9) US7639714B2 (ja)
EP (2) EP2618538B1 (ja)
JP (2) JP4662944B2 (ja)
CA (1) CA2545916C (ja)
ES (1) ES2423491T3 (ja)
WO (3) WO2005047862A2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014063424A (ja) * 2012-09-24 2014-04-10 Mitsubishi Space Software Co Ltd 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法
WO2018181253A1 (ja) * 2017-03-27 2018-10-04 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
JP2019169136A (ja) * 2018-02-12 2019-10-03 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングRobert Bosch Gmbh セーフティクリティカルなシステムでデータを計算するための方法及び装置
WO2022157867A1 (ja) * 2021-01-20 2022-07-28 日本電信電話株式会社 生成装置、生成方法および生成プログラム
JP7509244B2 (ja) 2021-01-20 2024-07-02 日本電信電話株式会社 生成装置、生成方法および生成プログラム

Families Citing this family (339)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005047862A2 (en) 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
FR2867643B1 (fr) * 2004-03-12 2006-06-02 Cit Alcatel Procede de transmission de paquets de donnees dans un reseau de telecommunication et dispositif mettant en oeuvre ce procede
WO2005093576A1 (en) * 2004-03-28 2005-10-06 Robert Iakobashvili Visualization of packet network performance, analysis and optimization for design
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8407792B2 (en) * 2004-05-19 2013-03-26 Ca, Inc. Systems and methods for computer security
US7761919B2 (en) * 2004-05-20 2010-07-20 Computer Associates Think, Inc. Intrusion detection with automatic signature generation
US8042180B2 (en) * 2004-05-21 2011-10-18 Computer Associates Think, Inc. Intrusion detection based on amount of network traffic
US20050273708A1 (en) * 2004-06-03 2005-12-08 Verity, Inc. Content-based automatic file format indetification
US7448085B1 (en) * 2004-07-07 2008-11-04 Trend Micro Incorporated Method and apparatus for detecting malicious content in protected archives
US8032937B2 (en) * 2004-10-26 2011-10-04 The Mitre Corporation Method, apparatus, and computer program product for detecting computer worms in a network
US7814550B2 (en) * 2004-10-26 2010-10-12 The Mitre Corporation System and method to emulate mobile logic in a communication system
US7574742B2 (en) * 2004-11-15 2009-08-11 Industrial Technology Research Institute System and method of string matching for uniform data classification
US8291065B2 (en) * 2004-12-02 2012-10-16 Microsoft Corporation Phishing detection, prevention, and notification
US7634810B2 (en) * 2004-12-02 2009-12-15 Microsoft Corporation Phishing detection, prevention, and notification
US20060123478A1 (en) * 2004-12-02 2006-06-08 Microsoft Corporation Phishing detection, prevention, and notification
US7873046B1 (en) * 2005-02-24 2011-01-18 Symantec Corporation Detecting anomalous network activity through transformation of terrain
US8065722B2 (en) * 2005-03-21 2011-11-22 Wisconsin Alumni Research Foundation Semantically-aware network intrusion signature generator
GB2427048A (en) * 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US8407785B2 (en) 2005-08-18 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media protecting a digital data processing device from attack
US8612844B1 (en) * 2005-09-09 2013-12-17 Apple Inc. Sniffing hypertext content to determine type
EP1952240A2 (en) * 2005-10-25 2008-08-06 The Trustees of Columbia University in the City of New York Methods, media and systems for detecting anomalous program executions
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US9419981B2 (en) 2005-10-31 2016-08-16 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for securing communications between a first node and a second node
US8448242B2 (en) 2006-02-28 2013-05-21 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for outputting data based upon anomaly detection
US8578479B2 (en) * 2006-03-21 2013-11-05 Riverbed Technology, Inc. Worm propagation mitigation
WO2007143011A2 (en) 2006-05-31 2007-12-13 The Trustees Of Columbia University In The City Ofnew York Systems, methods, and media for generating bait information for trap-based defenses
US20080010405A1 (en) * 2006-07-10 2008-01-10 International Business Machines Corporation Selectable profiles and actions for removable memory devices
US8789172B2 (en) 2006-09-18 2014-07-22 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting attack on a digital processing device
US8201244B2 (en) 2006-09-19 2012-06-12 Microsoft Corporation Automated malware signature generation
WO2008055156A2 (en) 2006-10-30 2008-05-08 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting an anomalous sequence of function calls
WO2008052291A2 (en) * 2006-11-03 2008-05-08 Intelliguard I.T. Pty Ltd System and process for detecting anomalous network traffic
US8407160B2 (en) 2006-11-15 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for generating sanitized data, sanitizing anomaly detection models, and/or generating sanitized anomaly detection models
US8065729B2 (en) * 2006-12-01 2011-11-22 Electronics And Telecommunications Research Institute Method and apparatus for generating network attack signature
US20080134333A1 (en) * 2006-12-04 2008-06-05 Messagelabs Limited Detecting exploits in electronic objects
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
US7797746B2 (en) 2006-12-12 2010-09-14 Fortinet, Inc. Detection of undesired computer files in archives
US8250655B1 (en) * 2007-01-12 2012-08-21 Kaspersky Lab, Zao Rapid heuristic method and system for recognition of similarity between malware variants
KR101303643B1 (ko) * 2007-01-31 2013-09-11 삼성전자주식회사 침입 코드 탐지 장치 및 그 방법
US8655623B2 (en) * 2007-02-13 2014-02-18 International Business Machines Corporation Diagnostic system and method
IL181426A (en) * 2007-02-19 2011-06-30 Deutsche Telekom Ag Automatic removal of signatures for malware
US8312546B2 (en) * 2007-04-23 2012-11-13 Mcafee, Inc. Systems, apparatus, and methods for detecting malware
US8087079B2 (en) * 2007-05-04 2011-12-27 Finjan, Inc. Byte-distribution analysis of file security
US8166534B2 (en) * 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
US8266685B2 (en) * 2007-05-18 2012-09-11 Microsoft Corporation Firewall installer
US9009829B2 (en) 2007-06-12 2015-04-14 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for baiting inside attackers
US20090235357A1 (en) * 2008-03-14 2009-09-17 Computer Associates Think, Inc. Method and System for Generating a Malware Sequence File
JP4983671B2 (ja) * 2008-03-19 2012-07-25 沖電気工業株式会社 トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム
US8577817B1 (en) * 2011-03-02 2013-11-05 Narus, Inc. System and method for using network application signatures based on term transition state machine
KR20090121579A (ko) * 2008-05-22 2009-11-26 주식회사 이베이지마켓 서버의 취약점을 점검하기 위한 시스템 및 그 방법
CN101645125B (zh) * 2008-08-05 2011-07-20 珠海金山软件有限公司 过滤以及监控程序的行为的方法
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8327443B2 (en) * 2008-10-29 2012-12-04 Lockheed Martin Corporation MDL compress system and method for signature inference and masquerade intrusion detection
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8769684B2 (en) 2008-12-02 2014-07-01 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
US9027123B2 (en) * 2008-12-08 2015-05-05 Nec Corporation Data dependence analyzer, information processor, data dependence analysis method and program
GB0822619D0 (en) * 2008-12-11 2009-01-21 Scansafe Ltd Malware detection
US20100162399A1 (en) * 2008-12-18 2010-06-24 At&T Intellectual Property I, L.P. Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files
US8873556B1 (en) * 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US20120020217A1 (en) * 2008-12-30 2012-01-26 Shaun Wakumoto Storing network flow information
US8800040B1 (en) * 2008-12-31 2014-08-05 Symantec Corporation Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants
EP2222048A1 (en) * 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
NL2002694C2 (en) * 2009-04-01 2010-10-04 Univ Twente Method and system for alert classification in a computer network.
US8255574B2 (en) * 2009-05-20 2012-08-28 Empire Technology Development Llc System for locating computing devices
US8180916B1 (en) * 2009-07-17 2012-05-15 Narus, Inc. System and method for identifying network applications based on packet content signatures
US8595194B2 (en) 2009-09-15 2013-11-26 At&T Intellectual Property I, L.P. Forward decay temporal data analysis
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8528091B2 (en) 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9009820B1 (en) 2010-03-08 2015-04-14 Raytheon Company System and method for malware detection using multiple techniques
US8468602B2 (en) * 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8595830B1 (en) * 2010-07-27 2013-11-26 Symantec Corporation Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
US20120066759A1 (en) * 2010-09-10 2012-03-15 Cisco Technology, Inc. System and method for providing endpoint management for security threats in a network environment
KR101162051B1 (ko) * 2010-12-21 2012-07-03 한국인터넷진흥원 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법
US9119109B1 (en) * 2010-12-30 2015-08-25 Dell Software Inc. Method and an apparatus to perform multi-connection traffic analysis and management
US8826439B1 (en) * 2011-01-26 2014-09-02 Symantec Corporation Encoding machine code instructions for static feature based malware clustering
US8631489B2 (en) 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US9065728B2 (en) * 2011-03-03 2015-06-23 Hitachi, Ltd. Failure analysis device, and system and method for same
NL2007180C2 (en) * 2011-07-26 2013-01-29 Security Matters B V Method and system for classifying a protocol message in a data communication network.
WO2013040598A1 (en) 2011-09-15 2013-03-21 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting return-oriented programming payloads
US9813310B1 (en) * 2011-10-31 2017-11-07 Reality Analytics, Inc. System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics
CN102523223B (zh) * 2011-12-20 2014-08-27 北京神州绿盟信息安全科技股份有限公司 一种木马检测的方法及装置
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
WO2013187963A2 (en) * 2012-03-30 2013-12-19 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for rapid filtering of opaque data traffic
US8953451B2 (en) * 2012-06-14 2015-02-10 The Boeing Company Apparatus, methods, and systems for character set surveying of network traffic
US9336302B1 (en) 2012-07-20 2016-05-10 Zuci Realty Llc Insight and algorithmic clustering for automated synthesis
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US11126720B2 (en) * 2012-09-26 2021-09-21 Bluvector, Inc. System and method for automated machine-learning, zero-day malware detection
US9292688B2 (en) * 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US9197657B2 (en) * 2012-09-27 2015-11-24 Hewlett-Packard Development Company, L.P. Internet protocol address distribution summary
US9565213B2 (en) * 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
KR101415272B1 (ko) * 2012-11-07 2014-07-04 주식회사 시큐아이 비정상 트래픽 감지 방법 및 장치
US8943589B2 (en) 2012-12-04 2015-01-27 International Business Machines Corporation Application testing system and method
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9692771B2 (en) * 2013-02-12 2017-06-27 Symantec Corporation System and method for estimating typicality of names and textual data
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US10649970B1 (en) 2013-03-14 2020-05-12 Invincea, Inc. Methods and apparatus for detection of functionality
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
WO2014184934A1 (ja) * 2013-05-16 2014-11-20 株式会社日立製作所 障害分析方法、障害分析システム及び記憶媒体
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
JP5793251B2 (ja) * 2013-06-21 2015-10-14 株式会社野村総合研究所 情報処理装置、電子メール閲覧制限方法、コンピュータプログラムおよび情報処理システム
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
GB2518880A (en) 2013-10-04 2015-04-08 Glasswall Ip Ltd Anti-Malware mobile content data management apparatus and method
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9332025B1 (en) * 2013-12-23 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious files
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
EP3087527B1 (en) * 2013-12-27 2019-08-07 McAfee, LLC System and method of detecting malicious multimedia files
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9355016B2 (en) 2014-03-05 2016-05-31 Microsoft Technology Licensing, Llc Automated regression testing for software applications
US9329980B2 (en) * 2014-03-05 2016-05-03 Microsoft Technology Licensing, Llc Security alerting using n-gram analysis of program execution data
US9594665B2 (en) 2014-03-05 2017-03-14 Microsoft Technology Licensing, Llc Regression evaluation using behavior models of software applications
US9880915B2 (en) 2014-03-05 2018-01-30 Microsoft Technology Licensing, Llc N-gram analysis of inputs to a software application
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US20150271196A1 (en) * 2014-03-20 2015-09-24 International Business Machines Corporation Comparing source and sink values in security analysis
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US20150304394A1 (en) * 2014-04-17 2015-10-22 Rovio Entertainment Ltd Distribution management
US9940459B1 (en) 2014-05-19 2018-04-10 Invincea, Inc. Methods and devices for detection of malware
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US20160197943A1 (en) * 2014-06-24 2016-07-07 Leviathan, Inc. System and Method for Profiling System Attacker
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US9900344B2 (en) * 2014-09-12 2018-02-20 Level 3 Communications, Llc Identifying a potential DDOS attack using statistical analysis
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9652627B2 (en) 2014-10-22 2017-05-16 International Business Machines Corporation Probabilistic surfacing of potentially sensitive identifiers
US9805099B2 (en) * 2014-10-30 2017-10-31 The Johns Hopkins University Apparatus and method for efficient identification of code similarity
US10038706B2 (en) * 2014-10-31 2018-07-31 Verisign, Inc. Systems, devices, and methods for separating malware and background events
CA2966605A1 (en) 2014-11-03 2016-05-12 Level 3 Communications, Llc Identifying a potential ddos attack using statistical analysis
US10050985B2 (en) 2014-11-03 2018-08-14 Vectra Networks, Inc. System for implementing threat detection using threat and risk assessment of asset-actor interactions
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US20160217056A1 (en) * 2015-01-28 2016-07-28 Hewlett-Packard Development Company, L.P. Detecting flow anomalies
US9619649B1 (en) 2015-03-13 2017-04-11 Symantec Corporation Systems and methods for detecting potentially malicious applications
US10116688B1 (en) 2015-03-24 2018-10-30 Symantec Corporation Systems and methods for detecting potentially malicious files
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US9798878B1 (en) * 2015-03-31 2017-10-24 Symantec Corporation Systems and methods for detecting text display manipulation attacks
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10832280B2 (en) * 2015-06-12 2020-11-10 Comscore, Inc. Fraudulent traffic detection and estimation
US9591014B2 (en) 2015-06-17 2017-03-07 International Business Machines Corporation Capturing correlations between activity and non-activity attributes using N-grams
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US9690938B1 (en) 2015-08-05 2017-06-27 Invincea, Inc. Methods and apparatus for machine learning based malware detection
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US9836605B2 (en) 2015-12-08 2017-12-05 Bank Of America Corporation System for detecting unauthorized code in a software application
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US10152596B2 (en) 2016-01-19 2018-12-11 International Business Machines Corporation Detecting anomalous events through runtime verification of software execution using a behavioral model
US10164991B2 (en) * 2016-03-25 2018-12-25 Cisco Technology, Inc. Hierarchical models using self organizing learning topologies
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10142290B1 (en) * 2016-03-30 2018-11-27 Amazon Technologies, Inc. Host-based firewall for distributed computer systems
US10178119B1 (en) 2016-03-30 2019-01-08 Amazon Technologies, Inc. Correlating threat information across multiple levels of distributed computing systems
US10320750B1 (en) 2016-03-30 2019-06-11 Amazon Technologies, Inc. Source specific network scanning in a distributed environment
US10333962B1 (en) 2016-03-30 2019-06-25 Amazon Technologies, Inc. Correlating threat information across sources of distributed computing systems
US10079842B1 (en) 2016-03-30 2018-09-18 Amazon Technologies, Inc. Transparent volume based intrusion detection
US10148675B1 (en) 2016-03-30 2018-12-04 Amazon Technologies, Inc. Block-level forensics for distributed computing systems
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10110626B2 (en) 2016-04-26 2018-10-23 International Business Machines Corporation Biology based techniques for handling information security and privacy
JP6588385B2 (ja) * 2016-05-11 2019-10-09 日本電信電話株式会社 シグネチャ生成装置、シグネチャ生成方法、および、シグネチャ生成プログラム
AU2017281232B2 (en) 2016-06-22 2020-02-13 Invincea, Inc. Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10404734B2 (en) 2016-07-07 2019-09-03 International Business Machines Corporation Root cause analysis in dynamic software testing via probabilistic modeling
GB2555192B (en) 2016-08-02 2021-11-24 Invincea Inc Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
EP3293938B1 (en) 2016-09-12 2021-06-30 Vectra AI, Inc. Method and system for detecting suspicious administrative activity
GB2554390B (en) * 2016-09-23 2018-10-31 1E Ltd Computer security profiling
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10417530B2 (en) * 2016-09-30 2019-09-17 Cylance Inc. Centroid for improving machine learning classification and info retrieval
US10819719B2 (en) * 2016-10-11 2020-10-27 General Electric Company Systems and methods for protecting a physical asset against a threat
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10567420B2 (en) 2016-11-08 2020-02-18 International Business Machines Corporation Biology based techniques with cognitive system analysis for handling information security and privacy
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US11205103B2 (en) 2016-12-09 2021-12-21 The Research Foundation for the State University Semisupervised autoencoder for sentiment analysis
US10133865B1 (en) * 2016-12-15 2018-11-20 Symantec Corporation Systems and methods for detecting malware
US10565377B1 (en) 2016-12-21 2020-02-18 Palo Alto Networks, Inc. Context-based analysis of applications
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10855783B2 (en) * 2017-01-23 2020-12-01 Adobe Inc. Communication notification trigger modeling preview
US11470097B2 (en) * 2017-03-03 2022-10-11 Nippon Telegraph And Telephone Corporation Profile generation device, attack detection device, profile generation method, and profile generation computer program
JP6714142B2 (ja) * 2017-03-03 2020-06-24 日本電信電話株式会社 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10536482B2 (en) 2017-03-26 2020-01-14 Microsoft Technology Licensing, Llc Computer security attack detection using distribution departure
RU2019130058A (ru) * 2017-03-28 2021-04-28 Нек Корпорейшн Устройство формирования подписей, способ формирования подписей и энергонезависимый считываемый компьютером носитель, сохраняющий программу
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10554507B1 (en) 2017-03-30 2020-02-04 Fireeye, Inc. Multi-level control for enhanced resource and object evaluation management of malware detection system
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
WO2019018033A2 (en) 2017-04-14 2019-01-24 The Trustees Of Columbia University In The City Of New York METHODS, SYSTEMS AND MEDIA FOR TESTING INTERNAL THREAT DETECTION SYSTEMS
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US10637879B2 (en) * 2017-10-06 2020-04-28 Carbonite, Inc. Systems and methods for detection and mitigation of malicious encryption
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11580219B2 (en) * 2018-01-25 2023-02-14 Mcafee, Llc System and method for malware signature generation
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11108823B2 (en) * 2018-07-31 2021-08-31 International Business Machines Corporation Resource security system using fake connections
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
CN111049786A (zh) * 2018-10-12 2020-04-21 北京奇虎科技有限公司 一种网络攻击的检测方法、装置、设备及存储介质
US11023590B2 (en) 2018-11-28 2021-06-01 International Business Machines Corporation Security testing tool using crowd-sourced data
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11194908B2 (en) * 2019-01-08 2021-12-07 International Business Machines Corporation Synthesizing sanitization code for applications based upon probabilistic prediction model
CN109688030B (zh) * 2019-02-26 2020-11-03 百度在线网络技术(北京)有限公司 报文检测方法、装置、设备和存储介质
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11277425B2 (en) 2019-04-16 2022-03-15 International Business Machines Corporation Anomaly and mode inference from time series data
CN113661486A (zh) * 2019-05-03 2021-11-16 维萨国际服务协会 用于生成增强型n元模型的系统、方法和计算机程序产品
US11182400B2 (en) 2019-05-23 2021-11-23 International Business Machines Corporation Anomaly comparison across multiple assets and time-scales
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11271957B2 (en) 2019-07-30 2022-03-08 International Business Machines Corporation Contextual anomaly detection across assets
US11216558B2 (en) * 2019-09-24 2022-01-04 Quick Heal Technologies Limited Detecting malwares in data streams
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11601457B2 (en) 2020-08-26 2023-03-07 Bank Of America Corporation Network traffic correlation engine
US11363049B1 (en) 2021-03-25 2022-06-14 Bank Of America Corporation Information security system and method for anomaly detection in data transmission
AU2021445975A1 (en) * 2021-05-17 2023-11-16 Nippon Telegraph And Telephone Corporation Estimation device, estimation method, and estimation program
EP4351099A1 (en) 2021-05-26 2024-04-10 Panasonic Intellectual Property Corporation of America Monitoring apparatus and monitoring method
CN114629707B (zh) * 2022-03-16 2024-05-24 深信服科技股份有限公司 一种乱码检测方法、装置及电子设备和存储介质
US20230396645A1 (en) * 2022-06-01 2023-12-07 At&T Intellectual Property I, L.P. Automatic generation of trojan signatures for intrusion detection

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001101154A (ja) * 1999-09-29 2001-04-13 Nec Corp 外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
WO2001089146A2 (en) * 2000-05-17 2001-11-22 Deep Nines, Inc. Intelligent feedback loop process control system
US20030070003A1 (en) * 2001-10-04 2003-04-10 Chee-Yee Chong Method and system for assessing attacks on computer networks using bayesian networks
JP2003158551A (ja) * 2001-07-31 2003-05-30 Hewlett Packard Co <Hp> ネットワークデータストリームの解析方法
JP2003204358A (ja) * 2002-01-07 2003-07-18 Mitsubishi Electric Corp 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム
WO2003090426A1 (en) * 2002-04-17 2003-10-30 Computer Associates Think, Inc. Detecting and countering malicious code in enterprise networks
JP2004186878A (ja) * 2002-12-02 2004-07-02 Keyware Solutions Inc 侵入検知装置及び侵入検知プログラム
JP2004304752A (ja) * 2002-08-20 2004-10-28 Nec Corp 攻撃防御システムおよび攻撃防御方法
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005065294A (ja) * 2003-08-14 2005-03-10 At & T Corp ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置

Family Cites Families (114)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2000411A (en) * 1931-12-30 1935-05-07 Universal Oil Prod Co Treatment of hydrocarbon oils
US4621334A (en) 1983-08-26 1986-11-04 Electronic Signature Lock Corporation Personal identification apparatus
JP2501771B2 (ja) * 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
US5440723A (en) * 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5675711A (en) 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
EP2110732A3 (en) 1995-02-13 2009-12-09 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
JPH0993665A (ja) * 1995-09-26 1997-04-04 Meidensha Corp 監視装置
US5826013A (en) * 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
US5761191A (en) * 1995-11-28 1998-06-02 Telecommunications Techniques Corporation Statistics collection for ATM networks
US5835888A (en) * 1996-06-10 1998-11-10 International Business Machines Corporation Statistical language model for inflected languages
US5948104A (en) * 1997-05-23 1999-09-07 Neuromedical Systems, Inc. System and method for automated anti-viral file update
US6016546A (en) 1997-07-10 2000-01-18 International Business Machines Corporation Efficient detection of computer viruses and other data traits
US6157905A (en) * 1997-12-11 2000-12-05 Microsoft Corporation Identifying language and character set of data representing text
US5991714A (en) * 1998-04-22 1999-11-23 The United States Of America As Represented By The National Security Agency Method of identifying data type and locating in a file
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6253337B1 (en) * 1998-07-21 2001-06-26 Raytheon Company Information security analysis system
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6356941B1 (en) 1999-02-22 2002-03-12 Cyber-Ark Software Ltd. Network vaults
US6732149B1 (en) * 1999-04-09 2004-05-04 International Business Machines Corporation System and method for hindering undesired transmission or receipt of electronic messages
US6785815B1 (en) * 1999-06-08 2004-08-31 Intertrust Technologies Corp. Methods and systems for encoding and protecting data using digital signature and watermarking techniques
CN1293478C (zh) * 1999-06-30 2007-01-03 倾向探测公司 用于监控网络流量的方法和设备
US6560632B1 (en) * 1999-07-16 2003-05-06 International Business Machines Corporation System and method for managing files in a distributed system using prioritization
US6718535B1 (en) 1999-07-30 2004-04-06 Accenture Llp System, method and article of manufacture for an activity framework design in an e-commerce based environment
US6587432B1 (en) * 1999-08-31 2003-07-01 Intel Corporation Method and system for diagnosing network congestion using mobile agents
US7181768B1 (en) * 1999-10-28 2007-02-20 Cigital Computer intrusion detection system and method based on application monitoring
US7062782B1 (en) 1999-12-22 2006-06-13 Uunet Technologies, Inc. Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks
US7412462B2 (en) * 2000-02-18 2008-08-12 Burnside Acquisition, Llc Data repository and method for promoting network storage of data
US6971019B1 (en) * 2000-03-14 2005-11-29 Symantec Corporation Histogram-based virus detection
US20020007453A1 (en) 2000-05-23 2002-01-17 Nemovicher C. Kerry Secured electronic mail system and method
US7328349B2 (en) 2001-12-14 2008-02-05 Bbn Technologies Corp. Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US7043759B2 (en) * 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US20020032793A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US7188366B2 (en) * 2000-09-12 2007-03-06 Nippon Telegraph And Telephone Corporation Distributed denial of service attack defense method and device
US20110238855A1 (en) 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
US20060212572A1 (en) * 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
US7054930B1 (en) 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6907436B2 (en) * 2000-10-27 2005-06-14 Arizona Board Of Regents, Acting For And On Behalf Of Arizona State University Method for classifying data using clustering and classification algorithm supervised
US7681032B2 (en) * 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
JP2002342279A (ja) * 2001-03-13 2002-11-29 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
JP2002279148A (ja) * 2001-03-16 2002-09-27 Toshiba Corp データ分析プログラム及びコンピュータシステムによるデータ分析方法並びにデータ分析システム
US7603709B2 (en) 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
US20030028504A1 (en) * 2001-05-08 2003-02-06 Burgoon David A. Method and system for isolating features of defined clusters
US7043634B2 (en) 2001-05-15 2006-05-09 Mcafee, Inc. Detecting malicious alteration of stored computer files
US7237264B1 (en) * 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
AU2002322109A1 (en) * 2001-06-13 2002-12-23 Intruvert Networks, Inc. Method and apparatus for distributed network security
US20020194490A1 (en) * 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
CA2452285A1 (en) 2001-06-27 2003-01-09 Arbor Networks Method and system for monitoring control signal traffic over a computer network
US7356689B2 (en) 2001-07-09 2008-04-08 Lucent Technologies Inc. Method and apparatus for tracing packets in a communications network
JP2003029545A (ja) 2001-07-18 2003-01-31 Ricoh Co Ltd 画像形成装置
US7315903B1 (en) 2001-07-20 2008-01-01 Palladia Systems, Inc. Self-configuring server and server network
US7031311B2 (en) * 2001-07-23 2006-04-18 Acme Packet, Inc. System and method for providing rapid rerouting of real-time multi-media flows
US7362707B2 (en) * 2001-07-23 2008-04-22 Acme Packet, Inc. System and method for determining flow quality statistics for real-time transport protocol data flows
EP1280298A1 (en) * 2001-07-26 2003-01-29 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus of detecting network activity
US7023861B2 (en) * 2001-07-26 2006-04-04 Mcafee, Inc. Malware scanning using a network bridge
US7487544B2 (en) 2001-07-30 2009-02-03 The Trustees Of Columbia University In The City Of New York System and methods for detection of new malicious executables
US7657935B2 (en) 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7331060B1 (en) * 2001-09-10 2008-02-12 Xangati, Inc. Dynamic DoS flooding protection
US7389537B1 (en) * 2001-10-09 2008-06-17 Juniper Networks, Inc. Rate limiting data traffic in a network
US20030084344A1 (en) 2001-10-31 2003-05-01 Tarquini Richard Paul Method and computer readable medium for suppressing execution of signature file directives during a network exploit
US7444679B2 (en) 2001-10-31 2008-10-28 Hewlett-Packard Development Company, L.P. Network, method and computer readable medium for distributing security updates to select nodes on a network
US20030084319A1 (en) 2001-10-31 2003-05-01 Tarquini Richard Paul Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US7475426B2 (en) * 2001-11-30 2009-01-06 Lancope, Inc. Flow-based detection of network intrusions
US6944656B2 (en) 2002-01-18 2005-09-13 Ip-Tap Uk System and method for covert management of passive network devices
US7448084B1 (en) 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
CA2475267C (en) * 2002-02-04 2014-08-05 Cataphora, Inc. A method and apparatus for sociological data mining
US7254633B2 (en) * 2002-02-07 2007-08-07 University Of Massachusetts Amherst Probabilistic packet marking
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
IL163647A0 (en) * 2002-02-22 2005-12-18 Iplocks Inc Method and apparatus for monitoring database system
EP1490768B1 (en) * 2002-03-29 2007-09-26 Global Dataguard, Inc. Adaptive behavioural intrusion detection
US7177486B2 (en) 2002-04-08 2007-02-13 Rensselaer Polytechnic Institute Dual bootstrap iterative closest point method and algorithm for image registration
US20040111632A1 (en) * 2002-05-06 2004-06-10 Avner Halperin System and method of virus containment in computer networks
US7086089B2 (en) * 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US20030236652A1 (en) 2002-05-31 2003-12-25 Battelle System and method for anomaly detection
US20030236995A1 (en) 2002-06-21 2003-12-25 Fretwell Lyman Jefferson Method and apparatus for facilitating detection of network intrusion
US7418732B2 (en) * 2002-06-26 2008-08-26 Microsoft Corporation Network switches for detection and prevention of virus attacks
US8281400B1 (en) * 2002-07-23 2012-10-02 Juniper Networks, Inc. Systems and methods for identifying sources of network attacks
US7017186B2 (en) * 2002-07-30 2006-03-21 Steelcloud, Inc. Intrusion detection system using self-organizing clusters
US7313100B1 (en) 2002-08-26 2007-12-25 Juniper Networks, Inc. Network device having accounting service card
US20040047356A1 (en) * 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
US7188173B2 (en) * 2002-09-30 2007-03-06 Intel Corporation Method and apparatus to enable efficient processing and transmission of network communications
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20040107361A1 (en) * 2002-11-29 2004-06-03 Redan Michael C. System for high speed network intrusion detection
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8327442B2 (en) 2002-12-24 2012-12-04 Herz Frederick S M System and method for a distributed application and network security system (SDI-SCAM)
US20040143749A1 (en) 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
US20040153644A1 (en) 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
FI20030222A (fi) * 2003-02-13 2004-08-14 Ekahau Oy Paikannussovelluksia langattomia verkkoja varten
US7564969B2 (en) * 2003-04-01 2009-07-21 Sytex, Inc. Methodology, system and computer readable medium for detecting file encryption
US7681235B2 (en) 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US20060206615A1 (en) * 2003-05-30 2006-09-14 Yuliang Zheng Systems and methods for dynamic and risk-aware network security
US7246156B2 (en) 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
US7467417B2 (en) 2003-06-18 2008-12-16 Architecture Technology Corporation Active verification of boot firmware
US7596807B2 (en) 2003-07-03 2009-09-29 Arbor Networks, Inc. Method and system for reducing scope of self-propagating attack code in network
US7424609B2 (en) 2003-07-11 2008-09-09 Computer Associates Think, Inc. Method and system for protecting against computer viruses
US7565426B2 (en) * 2003-08-07 2009-07-21 Alcatel Lucent Mechanism for tracing back anonymous network flows in autonomous systems
US7644076B1 (en) * 2003-09-12 2010-01-05 Teradata Us, Inc. Clustering strings using N-grams
WO2005047862A2 (en) * 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US8146160B2 (en) 2004-03-24 2012-03-27 Arbor Networks, Inc. Method and system for authentication event security policy generation
US20050249214A1 (en) 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
US7225468B2 (en) * 2004-05-07 2007-05-29 Digital Security Networks, Llc Methods and apparatus for computer network security using intrusion detection and prevention
US8154987B2 (en) 2004-06-09 2012-04-10 Intel Corporation Self-isolating and self-healing networked devices
US7343624B1 (en) * 2004-07-13 2008-03-11 Sonicwall, Inc. Managing infectious messages as identified by an attachment
US7519998B2 (en) 2004-07-28 2009-04-14 Los Alamos National Security, Llc Detection of malicious computer executables
US7865355B2 (en) * 2004-07-30 2011-01-04 Sap Aktiengesellschaft Fast text character set recognition
WO2006028558A1 (en) 2004-09-03 2006-03-16 Virgina Tech Intellectual Properties, Inc. Detecting software attacks by monitoring electric power consumption patterns
US7607170B2 (en) 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7805382B2 (en) 2005-04-11 2010-09-28 Mkt10, Inc. Match-based employment system and method
US7908357B2 (en) 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
US8789172B2 (en) 2006-09-18 2014-07-22 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting attack on a digital processing device

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001101154A (ja) * 1999-09-29 2001-04-13 Nec Corp 外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2003533941A (ja) * 2000-05-17 2003-11-11 ディープ、ナインズ、インク インテリジェントフィードバックループプロセス制御システム
WO2001089146A2 (en) * 2000-05-17 2001-11-22 Deep Nines, Inc. Intelligent feedback loop process control system
JP2003158551A (ja) * 2001-07-31 2003-05-30 Hewlett Packard Co <Hp> ネットワークデータストリームの解析方法
US20030070003A1 (en) * 2001-10-04 2003-04-10 Chee-Yee Chong Method and system for assessing attacks on computer networks using bayesian networks
JP2003204358A (ja) * 2002-01-07 2003-07-18 Mitsubishi Electric Corp 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム
WO2003090426A1 (en) * 2002-04-17 2003-10-30 Computer Associates Think, Inc. Detecting and countering malicious code in enterprise networks
JP2005523539A (ja) * 2002-04-17 2005-08-04 コンピュータ アソシエイツ シンク,インコーポレイテッド エンタプライズネットワークにおける悪性コードの検知及び対抗
JP2004304752A (ja) * 2002-08-20 2004-10-28 Nec Corp 攻撃防御システムおよび攻撃防御方法
JP2004186878A (ja) * 2002-12-02 2004-07-02 Keyware Solutions Inc 侵入検知装置及び侵入検知プログラム
JP2004312083A (ja) * 2003-04-02 2004-11-04 Kddi Corp 学習データ作成装置、侵入検知システムおよびプログラム
JP2005065294A (ja) * 2003-08-14 2005-03-10 At & T Corp ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200401934008; 今野徹、楯岡正道: 'HTTPリクエスト解析による未知攻撃防御システム' 情報処理学会研究報告 第2003巻、第74号, 20030718, 91〜96頁, 社団法人情報処理学会 *
JPN6012049278; 今野徹、楯岡正道: 'HTTPリクエスト解析による未知攻撃防御システム' 情報処理学会研究報告 第2003巻、第74号, 20030718, 91〜96頁, 社団法人情報処理学会 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014063424A (ja) * 2012-09-24 2014-04-10 Mitsubishi Space Software Co Ltd 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法
WO2018181253A1 (ja) * 2017-03-27 2018-10-04 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
JPWO2018181253A1 (ja) * 2017-03-27 2020-02-06 パナソニックIpマネジメント株式会社 データ分析装置、方法、及びプログラム
JP2019169136A (ja) * 2018-02-12 2019-10-03 ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングRobert Bosch Gmbh セーフティクリティカルなシステムでデータを計算するための方法及び装置
WO2022157867A1 (ja) * 2021-01-20 2022-07-28 日本電信電話株式会社 生成装置、生成方法および生成プログラム
JP7509244B2 (ja) 2021-01-20 2024-07-02 日本電信電話株式会社 生成装置、生成方法および生成プログラム

Also Published As

Publication number Publication date
US20050265331A1 (en) 2005-12-01
US20130174255A1 (en) 2013-07-04
US20060015630A1 (en) 2006-01-19
WO2005047862A2 (en) 2005-05-26
US9276950B2 (en) 2016-03-01
US20100054278A1 (en) 2010-03-04
CA2545916A1 (en) 2005-06-02
WO2005048470A2 (en) 2005-05-26
JP2007515867A (ja) 2007-06-14
US8239687B2 (en) 2012-08-07
WO2005050369A3 (en) 2006-06-15
EP1682990A4 (en) 2010-12-08
US10063574B2 (en) 2018-08-28
US7639714B2 (en) 2009-12-29
US8644342B2 (en) 2014-02-04
EP2618538A1 (en) 2013-07-24
WO2005050369A2 (en) 2005-06-02
US9003528B2 (en) 2015-04-07
US20150180895A1 (en) 2015-06-25
EP2618538B1 (en) 2018-09-05
WO2005048470A3 (en) 2006-05-26
EP1682990A2 (en) 2006-07-26
EP1682990B1 (en) 2013-05-29
CA2545916C (en) 2015-03-17
US10673884B2 (en) 2020-06-02
US20140196147A1 (en) 2014-07-10
US20160330224A1 (en) 2016-11-10
US20190190937A1 (en) 2019-06-20
JP5307090B2 (ja) 2013-10-02
US20050281291A1 (en) 2005-12-22
JP4662944B2 (ja) 2011-03-30
WO2005047862A3 (en) 2006-06-15
ES2423491T3 (es) 2013-09-20

Similar Documents

Publication Publication Date Title
JP5307090B2 (ja) 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
US8650646B2 (en) System and method for optimization of security traffic monitoring
US10129276B1 (en) Methods and apparatus for identifying suspicious domains using common user clustering
US6981280B2 (en) Intelligent network scanning system and method
US11258812B2 (en) Automatic characterization of malicious data flows
JP6592196B2 (ja) 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム
EP1751651B1 (en) Method and systems for computer security
EP4395259A1 (en) System and method for filtering events for transmission to remote devices
CN114301689B (zh) 校园网络安全防护方法、装置、计算设备及存储介质
US20240214399A1 (en) System and method for filtering events for transmission to remote devices
CN116800483A (zh) 基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质
CN118233278A (zh) 过滤用于传输到远程设备的事件的系统和方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120912

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120924

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20121225

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20121228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130527

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130626

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5307090

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250