JP2011040064A - 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 - Google Patents
正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 Download PDFInfo
- Publication number
- JP2011040064A JP2011040064A JP2010178509A JP2010178509A JP2011040064A JP 2011040064 A JP2011040064 A JP 2011040064A JP 2010178509 A JP2010178509 A JP 2010178509A JP 2010178509 A JP2010178509 A JP 2010178509A JP 2011040064 A JP2011040064 A JP 2011040064A
- Authority
- JP
- Japan
- Prior art keywords
- payload
- model
- data
- received
- distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000009826 distribution Methods 0.000 title claims abstract description 251
- 238000000034 method Methods 0.000 title claims abstract description 87
- 230000002159 abnormal effect Effects 0.000 title abstract description 19
- 238000004422 calculation algorithm Methods 0.000 claims description 8
- 230000032683 aging Effects 0.000 claims 1
- 238000012549 training Methods 0.000 abstract description 38
- 230000005540 biological transmission Effects 0.000 abstract description 34
- 238000001514 detection method Methods 0.000 abstract description 24
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000007405 data analysis Methods 0.000 abstract description 2
- 241000700605 Viruses Species 0.000 description 48
- 238000010586 diagram Methods 0.000 description 27
- 230000008569 process Effects 0.000 description 23
- 230000002547 anomalous effect Effects 0.000 description 15
- 238000012360 testing method Methods 0.000 description 14
- 230000000875 corresponding effect Effects 0.000 description 13
- 230000008901 benefit Effects 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 9
- 230000006378 damage Effects 0.000 description 7
- 238000001914 filtration Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 230000005484 gravity Effects 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000005192 partition Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 3
- 239000004575 stone Substances 0.000 description 3
- 241000243686 Eisenia fetida Species 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 241000408659 Darpa Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000007670 refining Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
【解決手段】ネットワークを通じて伝送された異常ペイロードを検出する方法、装置、及び媒体。システムは、ネットワーク内のペイロードを受信し、各ペイロードに含まれたデータに対する長さを判断する。ネットワーク内で受信した各ペイロードに含まれたデータに対して統計的分布が生成され、ネットワークを通じて伝送された正常ペイロードを表す選択されたモデル分布と比較される。モデルペイロードは、それが受信ペイロードに含まれたデータに対する長さを含む所定の長さ範囲を有するように選択することができる。次に、受信ペイロードの統計的分布とモデル分布の間で検出された差異に基づいて、異常ペイロードが識別される。システムはまた、モデルの自動トレーニング及び漸次的更新をもたらすことができる。
【選択図】図1
Description
本出願は、2003年11月12日出願の米国特許仮出願第60/518,742号及び2004年9月28日出願の米国特許仮出願第60/613,637号からの優先権を主張するものであり、この両方は、本明細書において引用により組み込まれている。
本発明は、DARPAに付与された契約番号F30602−02−2−0209の下で合衆国政府の支援により行われたものである。合衆国政府は、本発明におけるある一定の権利を有する。
以下の詳細な説明は、コンピュータ上又はコンピュータのネットワーク上で実行するプログラム手順を用いて表すことができる。これらの手続き上の説明及び表現は、自らの作業の内容を他の当業者に有効に伝えるために当業者によって使用される手段である。このような手順を実行するために、1つ又はそれよりも多くの外部ソース又は入力装置から情報を検索することが必要であると考えられる。また、内部又は外部に位置することができる様々な記憶装置から情報を検索することができる。実行段階が完了すると、情報を表示装置、磁気記憶装置、不揮発性メモリ装置、揮発性メモリ、及び/又はプリンタのような様々なソースに出力することができる。更に、有線、無線、衛星、光などのような様々な通信方法及びネットワークを用いて、情報を遠隔地に位置する装置に伝送することができる。
本発明は、少なくとも1つの目標として、ネットワーク内で受信したペイロードデータを解析する必要がある。解析結果は、例えば、ネットワークを通じたトラフィックの正常な流れのモデル化を含む様々な目的に使用することができる。本発明の1つ又はそれよりも多くの実施形態は、ネットワークシステムゲートウェイでのワームの最初の発生の検出及び第1にワーム侵入の防止を考慮するものである。従って、ワームの破壊的な作用及びその伝播への関わりを防止することができる。むしろ、本発明の1つ又はそれよりも多くの実施形態は、部分的には、解析と、ネットワークサービス又はアプリケーションに送出されると予想される「正常」ペイロードのモデル化とを行うものである。
図面及び最初に図1を参照すると、本発明の1つ又はそれよりも多くの実施形態による異常ペイロードを検出するシステム100を示している。図1のペイロード検出システム100は、例えば、インターネット116のような外部ソースからデータ(例えば、ペイロード又はペイロードデータ)を実施するサーバ110を含む。また、サーバ110は、攻撃の可能性に対するサーバ110の保護を助けるファイアウォール112を含む。ファイアウォール112は、ウイルス及びワームがインターネット116からサーバ110に伝送される可能性を小さくするために、ある一定のデータをフィルタ処理するように機能する。また、サーバ110を1つ又はそれよりも多くのワークステーション114及び/又は他のサーバ118に結合することができる。ワークステーション114は、サーバ110を通じてインターネット116に接続されて相互作用する。より具体的には、各ワークステーション114は、データをサーバ110に伝送し、次に、サーバ110は、このデータをインターネット116を通じて宛先に伝送する。様々なソースからのデータをサーバ110によって受信し、ファイアウォール112を通じてフィルタ処理することができる。データがフィルタ処理された状態で、サーバ110は、遠隔地に位置する装置との相互作用を容易にするためにデータをワークステーション114に転送する。
1つ又はそれよりも多くの実施形態によれば、本発明は、自動トレーニング及び較正を行うことができる。本発明はまた、十分なトレーニングが行われた時点で自動的に停止することができる。例えば、完全自動化されるようにトレーニング処理を設計することができる。エポックサイズ及び閾値を一度確立することができ、システムは、十分なトレーニングを受けた時を独立に判断するであろう。エポックは、所定の時間長又は所定のデータ量に対応する。更に、例えば、ユーザ指定の閾値に基づいてトレーニング及び較正を行うことができる。代替的に、システムは、トレーニングデータを試験して、例えば最大距離値を選択することにより、各ペイロードモデルに対して初期閾値を決めることができる。各エポックに対して捕捉されたパケット数をユーザが調節することもできる。各トレーニングエポック後、計算されたばかりの新しいモデルは、前回エポック内で計算されたモデルと比較される。トレーニングは、モデルが「安定」状態になった時点で終了する。
図9は、本発明の1つ又はそれよりも多くの実施形態によるネットワークを通じて伝送された異常ペイロードを検出するために実行される段階を示す流れ図である。段階S350で、サーバは、ペイロードデータをネットワークから受信する。これは、例えば、外部ネットワーク、内部ネットワーク、無線ネットワーク、又は衛星ネットワークなどから受信することができるデータに対応する。段階S352で、サーバは、ペイロードに含まれたデータの長さを判断する。段階S354で、ペイロードに含まれたデータに対して統計的分布を生成する。例えば、サーバは、ペイロードに含まれたデータを解析し、例えば、上述のように、データ内で発生する文字の統計的分布を生成する。段階S356で、ペイロードデータの統計的分布をモデル分布と比較する。例えば、サーバは、上述のように、検索してペイロードの適切な長さに適用することができる複数のモデル分布を含む。段階S358で、サーバは、例えば、所定のユーザ判断基準に基づいて、モデル分布と十分に異なるペイロードとして異常ペイロードを特定する。従って、異常と特定された全てのペイロードは、廃棄されるか又は更に解析されることになる。
ネットワーク電気製品
本発明の1つ又はそれよりも多くの実施形態は、コンピュータネットワーク上のネットワークトラフィックを受動的に探知して監査するコンピュータシステム上で実施することができ、又はネットワークファイアウォールを操作する同じコンピュータ上で実施することができ、又はプロフィールが既に計算されたホスト又はサーバコンピュータ上で実施することができる。1つ又はそれよりも多くの実施形態は、到着及び退出トラフィックの両方に対して、多くのサービス及びポートに対する正常ペイロードモデルを計算することができるネットワーク電気製品の構築を想定している。この電気製品は、トラフィックをフィルタ処理してネットワーク上のあらゆるサービスを保護するファイアウォールに異常検出モデルを分布することができる。代替的に、ペイロード検出システムは、サーバ又はホスト上に新しいソフトウエアをインストールしたり又はネットワークシステム上に新しい電気製品又は装置をインストールする必要がなく、ホスト又はサーバコンピュータのネットワークインタフェースカード上で実施することができる。
本発明の1つ又はそれよりも多くの実施形態によれば、マハラノビス距離を有する1グラムモデルは、僅かに多い情報のみが各モデルに記憶された漸次的バージョンとして実施することができる。本方法の漸次的バージョンは、いくつかの理由で特に有用である可能性がある。第1に、「ハンドフリー」で自動的にオンザフライでモデルを計算することができる。このモデルは、時間が進むにつれて精度が向上し、より多くのデータが採取されることになる。更に、漸次的オンラインバージョンはまた、古いデータをモデルから「エージアウト」して、サービスを出入りして流れる最も最近のペイロードのより正確な姿を維持するものである。
Var(X)=E(X−EX)2=E(X2)−(EX)2
モデルにおけるx2 iの平均も記憶される場合には、同様な方法で標準偏差を更新することができる。
上述のように、ポートjに送られたペイロードの各観察長さビンiに対してモデルMijを計算する。ある一定の状況の下では、このようなきめの細かいモデル化は、様々な問題を招く可能性がある。例えば、モデルの全サイズは、非常に大きくなる可能性がある。これは、ペイロード長がギガバイトで測定することができるメディアファイルに関連して、多くの長さビンが定義される時に発生する可能性がある。その結果、多数の重心を計算する必要がある。更に、長さビンiのペイロードのバイト分布は、1バイトだけ異なるという理由で、長さビンi−1及びi+1のペイロードのバイト分布と非常に類似である可能性がある。各長さに対してモデルを記憶することは、時には冗長かつ無駄である可能性がある。別の問題は、一部の長さビンに対しては、トレーニングサンプルが十分ではない場合があるということである。まばらであるということは、データが真の分布の不正確な推定である経験的分布を生成することになり、エラー発生数が多すぎる欠陥検出器をもたらす可能性があることを示唆している。
自己伝播は、ワームにとって1つの重要な特徴及び必要条件である。自己伝播は、ワームがマシンに感染した状態で、自らのコピー又はその変形を別の影響を受けやすいホストに送ろうとすることによって自動的に他のマシンを攻撃し始めることを意味する。例えば、マシンがポート80で受信した何らかの要求からワーム「コード・レッドII」に感染した場合、このマシンは、同じ要求を他のマシンのポット80に送り始める。このような伝播パターンは、ほとんど全てのワームに当て嵌まる。従って、ポートiに至る異常進入トラフィックと非常に類似したポートiに至る何らかの退出トラフィックを検出することができた場合、ポートiを狙うワームが自己伝播している確率が高い。
本発明の1つ又はそれよりも多くの実施形態によれば、ネットワーク上の複数のホスト及び装置上で異常検出システムを実施することができる。次に、ホスト及び装置は、例えば、警報及び考えられるワームシグニチャーを交換することによって互いに協調することができる。従って、複数のホストが同じワームシグニチャーを互いに報告するので、ワームを迅速に識別して広がるのを防止することができる。次に、ネットワーク上の全てで迅速にコンテンツフィルタ処理を適用するために、このシグニチャーを公開することができる。このような協調セキュリティ戦略を用いると、ワームがネットワーク中に広がりかつ占有する可能性を小さくすることが可能である。
ネットワーク環境から生じる可能性がある様々な厄介な問題があり、その一部は、ネットワークをオフィス環境で使用することができるという事実に関連している。上述の問題を悪化させているのは、複数のネットワークにわたってデータを伝送することができる速度が速い点である。その結果、ネットワーク運用及び/又はセキュリティ担当者は、ネットワーク内のコンピュータの実際の使い方及びどのような形式のデータがネットワークの内側及び外側でホスト間で伝達されているかを知りたい場合がある。これは、例えば、ネットワーク内でコンピュータ(又はユーザ)間で伝送されるファイル及び媒体の形式を判断する段階を伴うであろう。ほとんどの伝達内容は、一般的に無害であるが、ウイルス及びワームのような悪意的なプログラムを広げる道になることがある。更に、ワークステーションの外側に広めるべきではない極秘及び/又は個人情報を維持する雇用主がいる。このような雇用主は、ある一定のファイル及び/又は情報を会社ネットワークの外側にあるコンピュータに伝送しないように従業員に警告する方針を制定することが多い。また、雇用主がある一定のファイル形式を外部ネットワーク又はコンピュータから受信(又は送信)されたくないと考える場合がある可能性がある。
本発明の1つ又はそれよりも多くの実施形態によれば、本発明を使用してインターネットのような大規模ネットワークの使用に関連する様々な問題に対処することができる。このような問題の1つは、飛び石プロキシの使用に関連するものである。これらのプロキシをアタッカー(又はハッカー)が用いる目的は、様々なマシンに対して攻撃を行いながら真の位置を隠すためである。アタッカーは、前回ハッキングを行って勢力内にある「ドローン」マシンに攻撃を開始することが多い。次に、これらのドローンマシンは、様々な商業レベルのコンピュータ、サーバ、ウェブサイトなどにサービス妨害攻撃を開始することができる。更に、アタッカーは、1つのドローンマシンに第2のドローンマシンを作動させることにより、攻撃を開始することができる。攻撃が開始された状態で、ターゲットコンピュータは、攻撃指令を伝送するマシンからの情報をただ見るだけである。
110 サーバ
112 ファイアウォール
116 インターネット
Claims (27)
- ネットワークで受信したペイロードデータをモデル化する方法であって、
ネットワーク内で複数のペイロードデータを受信する段階と、
受信した全てのペイロードデータに対してペイロード長さ分布を作成する段階と、
前記ペイロード長さ分布を複数のペイロード範囲に分割する段階と、
各受信ペイロードデータに対して統計的分布を生成する段階と、
前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対するモデルペイロードを構成する段階と、
を含むことを特徴とする方法。 - 前記モデルペイロードを構成する段階は、各ペイロード範囲によって包含された全てのペイロードデータの前記統計的分布に対して少なくとも1つの重心を計算する段階を更に含むことを特徴とする請求項1に記載の方法。
- 前記ペイロード長さ分布は、カーネル推定を用いて分割されることを特徴とする請求項1に記載の方法。
- 前記ペイロード長さ分布は、少なくとも1つのクラスター化アルゴリズムを用いて分割されることを特徴とする請求項1に記載の方法。
- 各区分に対してペイロード長さ分布を作成する段階と、
各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化する段階と、
前記複数のクラスターの各々に対して1つずつ複数の重心を計算する段階と、
各ペイロード範囲内の前記複数の重心に対してモデル重心を計算する段階と
を更に含み、
各モデル重心は、対応するペイロード範囲に対して前記ネットワークで受信した正常ペイロードを表すものである、
ことを特徴とする請求項1に記載の方法。 - ペイロードデータが、連続的に受信され、
前記モデルペイロードは、全ての受信ペイロードデータに基づいて構成される、
ことを特徴とする請求項1に記載の方法。 - 所定の閾値よりも古い受信ペイロードデータをエージアウトする段階を更に含み、
前記モデルペイロードは、現在のペイロードデータに基づいて構成される、
ことを特徴とする請求項6に記載の方法。 - 前記統計的分布は、nグラム分布を用いて生成され、
各nグラムは、可変バイト分類である、
ことを特徴とする請求項1に記載の方法。 - nは、バイト分類の混合値であることを特徴とする請求項8に記載の方法。
- n=1であることを特徴とする請求項8に記載の方法。
- n=2であることを特徴とする請求項8に記載の方法。
- n=3であることを特徴とする請求項8に記載の方法。
- 各受信ペイロードデータの前記統計的分布は、該受信ペイロードデータに関するバイト値分布であることを特徴とする請求項1に記載の方法。
- 各受信ペイロードデータの前記バイト値分布は、該受信ペイロードデータに含まれたデータのバイト頻度カウントであることを特徴とする請求項13に記載の方法。
- 各受信ペイロードデータの前記バイト値分布は、該受信ペイロードデータに含まれたデータのランク順バイト頻度カウントであることを特徴とする請求項13に記載の方法。
- 前記モデルペイロードを構成するのに十分なペイロードデータを受信した時を自動的に検出する段階を更に含むことを特徴とする請求項1に記載の方法。
- 前記自動的に検出する段階は、
所定の時間長を有するエポックを定義する段階と、
現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信する段階と、
前記現在のエポック内で受信した前記複数のペイロードデータに対する前記モデルペイロードとして現在のペイロードモデルを構成する段階と、
前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較する段階と、
所定の安定性条件に到達するまで前記受信する段階、前記構成する段階、及び前記比較する段階を繰り返す段階と、
を更に含む、
ことを特徴とする請求項16に記載の方法。 - 前記安定性条件は、少なくとも部分的に、前記現在のペイロードモデルと前記前回のエポックに対する前記モデルペイロードとの間の距離に基づいていることを特徴とする請求項17に記載の方法。
- ネットワークで受信したペイロードデータをモデル化するためのシステムであって、
ネットワークに結合され、該ネットワークを通じて複数のペイロードデータを受信するコンピュータ、
を含み、
前記コンピュータは、
受信した全てのペイロードデータに対してペイロード長さ分布を作成し、
前記ペイロード長さ分布を複数のペイロード範囲に分割し、
各受信ペイロードデータに対して統計的分布を生成し、
前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成する、
ように構成されている、
ことを特徴とするシステム。 - 前記コンピュータは、更に、
各区分に対してペイロード長さ分布を作成し、
各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化し、 前記複数のクラスターの各々に対して1つずつ複数の重心を計算し、
各ペイロード範囲内の前記複数の重心に対してモデル重心を計算する、
ように構成されており、
各前記モデル重心は、前記対応するペイロード範囲に対して前記ネットワークで受信した正常ペイロードを表している、
ことを特徴とする請求項19に記載のシステム。 - 前記コンピュータは、更に、
所定の時間長を有するエポックを定義し、
現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信し、
前記現在のエポック内で受信した前記複数のペイロードデータに対する前記モデルペイロードとして現在のペイロードモデルを構成し、
前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較し、
所定の安定性条件に到達するまで受信し、構成し、比較し続ける、
ように構成されている、
ことを特徴とする請求項19に記載のシステム。 - ネットワークで受信したペイロードデータをモデル化するためにコンピュータによって実行可能な命令を記録するコンピュータ可読記録媒体であって、
前記命令により、前記コンピュータは、
ネットワークを通じて複数のペイロードデータを受信し、
受信した全てのペイロードデータに対してペイロード長さ分布を作成し、
前記ペイロード長さ分布を複数のペイロード範囲に分割し、
各受信ペイロードデータに対して統計的分布を生成し、
前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成する、
行為を実行する、
ことを特徴とするコンピュータ可読記録媒体。 - 前記コンピュータに、
各区分に対してペイロード長さ分布を作成する段階と、
各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化する段階と、
前記複数のクラスターの各々に対して1つずつ複数の重心を計算する段階と、
各ペイロード範囲内の前記複数の重心に対してモデル重心を計算する段階と、
を実行させる命令、
を更に含み、
各前記モデル重心は、前記対応するペイロード範囲に対して前記ネットワークで受信した正常ペイロードを表している、
ことを特徴とする請求項22に記載のコンピュータ可読記録媒体。 - 前記コンピュータに、
所定の時間長を有するエポックを定義する段階と、
現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信する段階と、
前記現在のエポック内で受信した前記複数のペイロードデータの前記モデルペイロードとして現在のペイロードモデルを構成する段階と、
前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較する段階と、
所定の安定性条件に到達するまで前記受信する段階、前記構成する段階、及び前記比較する段階を繰り返す段階と、
を実行させる命令、
を更に含むことを特徴とする請求項22に記載のコンピュータ可読記録媒体。 - ネットワークで受信したペイロードデータをモデル化するためのシステムであって、
ネットワークを通じて複数のペイロードデータを受信するための手段と、
受信した全てのペイロードデータに対してペイロード長さ分布を作成するための手段と、
前記ペイロード長さ分布を複数のペイロード範囲に分割するための手段と、
各受信ペイロードデータに対して統計的分布を生成するための手段と、
前記ペイロード範囲によって包含された全ての受信ペイロードデータの前記統計的分布に基づいて、各ペイロード範囲に対してモデルペイロードを構成するための手段と、
を含むことを特徴とするシステム。 - 各区分に対してペイロード長さ分布を作成するための手段と、
各ペイロード範囲内の前記ペイロード長さ分布を複数のクラスターにクラスター化するための手段と、
前記複数のクラスターの各々に対して1つずつ複数の重心を計算するための手段と、
各ペイロード範囲内の前記複数の重心に対してモデル重心を計算するための手段と、
を更に含むことを特徴とする請求項25に記載のシステム。 - 所定の時間長を有するエポックを定義するための手段と、
現在のエポックに対して前記ネットワークで前記複数のペイロードデータを受信するための手段と、
前記現在のエポック内で受信した前記複数のペイロードデータに対する前記モデルペイロードとして現在のペイロードモデルを構成するための手段と、
前記現在のペイロードモデルを前回のエポックに対する前記モデルペイロードと比較するための手段と、
所定の安定性条件に到達するまで前記受信する段階、前記構成する段階、及び前記比較する段階を繰り返すための手段と、
を更に含むことを特徴とする請求項25に記載のシステム。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US51874203P | 2003-11-12 | 2003-11-12 | |
US60/518,742 | 2003-11-12 | ||
US61363704P | 2004-09-28 | 2004-09-28 | |
US60/613,637 | 2004-09-28 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006539859A Division JP4662944B2 (ja) | 2003-11-12 | 2004-11-12 | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011040064A true JP2011040064A (ja) | 2011-02-24 |
JP5307090B2 JP5307090B2 (ja) | 2013-10-02 |
Family
ID=34594920
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006539859A Active JP4662944B2 (ja) | 2003-11-12 | 2004-11-12 | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
JP2010178509A Active JP5307090B2 (ja) | 2003-11-12 | 2010-08-09 | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006539859A Active JP4662944B2 (ja) | 2003-11-12 | 2004-11-12 | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
Country Status (6)
Country | Link |
---|---|
US (9) | US7639714B2 (ja) |
EP (2) | EP2618538B1 (ja) |
JP (2) | JP4662944B2 (ja) |
CA (1) | CA2545916C (ja) |
ES (1) | ES2423491T3 (ja) |
WO (3) | WO2005047862A2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014063424A (ja) * | 2012-09-24 | 2014-04-10 | Mitsubishi Space Software Co Ltd | 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法 |
WO2018181253A1 (ja) * | 2017-03-27 | 2018-10-04 | パナソニックIpマネジメント株式会社 | データ分析装置、方法、及びプログラム |
JP2019169136A (ja) * | 2018-02-12 | 2019-10-03 | ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングRobert Bosch Gmbh | セーフティクリティカルなシステムでデータを計算するための方法及び装置 |
WO2022157867A1 (ja) * | 2021-01-20 | 2022-07-28 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
JP7509244B2 (ja) | 2021-01-20 | 2024-07-02 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
Families Citing this family (339)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005047862A2 (en) | 2003-11-12 | 2005-05-26 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for identifying files using n-gram distribution of data |
FR2867643B1 (fr) * | 2004-03-12 | 2006-06-02 | Cit Alcatel | Procede de transmission de paquets de donnees dans un reseau de telecommunication et dispositif mettant en oeuvre ce procede |
WO2005093576A1 (en) * | 2004-03-28 | 2005-10-06 | Robert Iakobashvili | Visualization of packet network performance, analysis and optimization for design |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8006305B2 (en) * | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8407792B2 (en) * | 2004-05-19 | 2013-03-26 | Ca, Inc. | Systems and methods for computer security |
US7761919B2 (en) * | 2004-05-20 | 2010-07-20 | Computer Associates Think, Inc. | Intrusion detection with automatic signature generation |
US8042180B2 (en) * | 2004-05-21 | 2011-10-18 | Computer Associates Think, Inc. | Intrusion detection based on amount of network traffic |
US20050273708A1 (en) * | 2004-06-03 | 2005-12-08 | Verity, Inc. | Content-based automatic file format indetification |
US7448085B1 (en) * | 2004-07-07 | 2008-11-04 | Trend Micro Incorporated | Method and apparatus for detecting malicious content in protected archives |
US8032937B2 (en) * | 2004-10-26 | 2011-10-04 | The Mitre Corporation | Method, apparatus, and computer program product for detecting computer worms in a network |
US7814550B2 (en) * | 2004-10-26 | 2010-10-12 | The Mitre Corporation | System and method to emulate mobile logic in a communication system |
US7574742B2 (en) * | 2004-11-15 | 2009-08-11 | Industrial Technology Research Institute | System and method of string matching for uniform data classification |
US8291065B2 (en) * | 2004-12-02 | 2012-10-16 | Microsoft Corporation | Phishing detection, prevention, and notification |
US7634810B2 (en) * | 2004-12-02 | 2009-12-15 | Microsoft Corporation | Phishing detection, prevention, and notification |
US20060123478A1 (en) * | 2004-12-02 | 2006-06-08 | Microsoft Corporation | Phishing detection, prevention, and notification |
US7873046B1 (en) * | 2005-02-24 | 2011-01-18 | Symantec Corporation | Detecting anomalous network activity through transformation of terrain |
US8065722B2 (en) * | 2005-03-21 | 2011-11-22 | Wisconsin Alumni Research Foundation | Semantically-aware network intrusion signature generator |
GB2427048A (en) * | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
US8407785B2 (en) | 2005-08-18 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
US8612844B1 (en) * | 2005-09-09 | 2013-12-17 | Apple Inc. | Sniffing hypertext content to determine type |
EP1952240A2 (en) * | 2005-10-25 | 2008-08-06 | The Trustees of Columbia University in the City of New York | Methods, media and systems for detecting anomalous program executions |
US8566928B2 (en) | 2005-10-27 | 2013-10-22 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
US9419981B2 (en) | 2005-10-31 | 2016-08-16 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for securing communications between a first node and a second node |
US8448242B2 (en) | 2006-02-28 | 2013-05-21 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based upon anomaly detection |
US8578479B2 (en) * | 2006-03-21 | 2013-11-05 | Riverbed Technology, Inc. | Worm propagation mitigation |
WO2007143011A2 (en) | 2006-05-31 | 2007-12-13 | The Trustees Of Columbia University In The City Ofnew York | Systems, methods, and media for generating bait information for trap-based defenses |
US20080010405A1 (en) * | 2006-07-10 | 2008-01-10 | International Business Machines Corporation | Selectable profiles and actions for removable memory devices |
US8789172B2 (en) | 2006-09-18 | 2014-07-22 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
US8201244B2 (en) | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
WO2008055156A2 (en) | 2006-10-30 | 2008-05-08 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting an anomalous sequence of function calls |
WO2008052291A2 (en) * | 2006-11-03 | 2008-05-08 | Intelliguard I.T. Pty Ltd | System and process for detecting anomalous network traffic |
US8407160B2 (en) | 2006-11-15 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for generating sanitized data, sanitizing anomaly detection models, and/or generating sanitized anomaly detection models |
US8065729B2 (en) * | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
US20080134333A1 (en) * | 2006-12-04 | 2008-06-05 | Messagelabs Limited | Detecting exploits in electronic objects |
GB2444514A (en) | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
US7797746B2 (en) | 2006-12-12 | 2010-09-14 | Fortinet, Inc. | Detection of undesired computer files in archives |
US8250655B1 (en) * | 2007-01-12 | 2012-08-21 | Kaspersky Lab, Zao | Rapid heuristic method and system for recognition of similarity between malware variants |
KR101303643B1 (ko) * | 2007-01-31 | 2013-09-11 | 삼성전자주식회사 | 침입 코드 탐지 장치 및 그 방법 |
US8655623B2 (en) * | 2007-02-13 | 2014-02-18 | International Business Machines Corporation | Diagnostic system and method |
IL181426A (en) * | 2007-02-19 | 2011-06-30 | Deutsche Telekom Ag | Automatic removal of signatures for malware |
US8312546B2 (en) * | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
US8087079B2 (en) * | 2007-05-04 | 2011-12-27 | Finjan, Inc. | Byte-distribution analysis of file security |
US8166534B2 (en) * | 2007-05-18 | 2012-04-24 | Microsoft Corporation | Incorporating network connection security levels into firewall rules |
US8266685B2 (en) * | 2007-05-18 | 2012-09-11 | Microsoft Corporation | Firewall installer |
US9009829B2 (en) | 2007-06-12 | 2015-04-14 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for baiting inside attackers |
US20090235357A1 (en) * | 2008-03-14 | 2009-09-17 | Computer Associates Think, Inc. | Method and System for Generating a Malware Sequence File |
JP4983671B2 (ja) * | 2008-03-19 | 2012-07-25 | 沖電気工業株式会社 | トラフィック分析装置、トラフィック分析方法及びトラフィック分析システム |
US8577817B1 (en) * | 2011-03-02 | 2013-11-05 | Narus, Inc. | System and method for using network application signatures based on term transition state machine |
KR20090121579A (ko) * | 2008-05-22 | 2009-11-26 | 주식회사 이베이지마켓 | 서버의 취약점을 점검하기 위한 시스템 및 그 방법 |
CN101645125B (zh) * | 2008-08-05 | 2011-07-20 | 珠海金山软件有限公司 | 过滤以及监控程序的行为的方法 |
US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
US8327443B2 (en) * | 2008-10-29 | 2012-12-04 | Lockheed Martin Corporation | MDL compress system and method for signature inference and masquerade intrusion detection |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8769684B2 (en) | 2008-12-02 | 2014-07-01 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for masquerade attack detection by monitoring computer user behavior |
US9027123B2 (en) * | 2008-12-08 | 2015-05-05 | Nec Corporation | Data dependence analyzer, information processor, data dependence analysis method and program |
GB0822619D0 (en) * | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
US8621625B1 (en) * | 2008-12-23 | 2013-12-31 | Symantec Corporation | Methods and systems for detecting infected files |
US8873556B1 (en) * | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
US20120020217A1 (en) * | 2008-12-30 | 2012-01-26 | Shaun Wakumoto | Storing network flow information |
US8800040B1 (en) * | 2008-12-31 | 2014-08-05 | Symantec Corporation | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants |
EP2222048A1 (en) * | 2009-02-24 | 2010-08-25 | BRITISH TELECOMMUNICATIONS public limited company | Detecting malicious behaviour on a computer network |
NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
US8255574B2 (en) * | 2009-05-20 | 2012-08-28 | Empire Technology Development Llc | System for locating computing devices |
US8180916B1 (en) * | 2009-07-17 | 2012-05-15 | Narus, Inc. | System and method for identifying network applications based on packet content signatures |
US8595194B2 (en) | 2009-09-15 | 2013-11-26 | At&T Intellectual Property I, L.P. | Forward decay temporal data analysis |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8528091B2 (en) | 2009-12-31 | 2013-09-03 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for detecting covert malware |
US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
US8826438B2 (en) | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
US9009820B1 (en) | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
US8468602B2 (en) * | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
US8595830B1 (en) * | 2010-07-27 | 2013-11-26 | Symantec Corporation | Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address |
US9516058B2 (en) | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
US20120066759A1 (en) * | 2010-09-10 | 2012-03-15 | Cisco Technology, Inc. | System and method for providing endpoint management for security threats in a network environment |
KR101162051B1 (ko) * | 2010-12-21 | 2012-07-03 | 한국인터넷진흥원 | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 |
US9119109B1 (en) * | 2010-12-30 | 2015-08-25 | Dell Software Inc. | Method and an apparatus to perform multi-connection traffic analysis and management |
US8826439B1 (en) * | 2011-01-26 | 2014-09-02 | Symantec Corporation | Encoding machine code instructions for static feature based malware clustering |
US8631489B2 (en) | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
US9065728B2 (en) * | 2011-03-03 | 2015-06-23 | Hitachi, Ltd. | Failure analysis device, and system and method for same |
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
WO2013040598A1 (en) | 2011-09-15 | 2013-03-21 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for detecting return-oriented programming payloads |
US9813310B1 (en) * | 2011-10-31 | 2017-11-07 | Reality Analytics, Inc. | System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics |
CN102523223B (zh) * | 2011-12-20 | 2014-08-27 | 北京神州绿盟信息安全科技股份有限公司 | 一种木马检测的方法及装置 |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
WO2013187963A2 (en) * | 2012-03-30 | 2013-12-19 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
US8953451B2 (en) * | 2012-06-14 | 2015-02-10 | The Boeing Company | Apparatus, methods, and systems for character set surveying of network traffic |
US9336302B1 (en) | 2012-07-20 | 2016-05-10 | Zuci Realty Llc | Insight and algorithmic clustering for automated synthesis |
US10547674B2 (en) | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
US9680861B2 (en) | 2012-08-31 | 2017-06-13 | Damballa, Inc. | Historical analysis to identify malicious activity |
US9894088B2 (en) | 2012-08-31 | 2018-02-13 | Damballa, Inc. | Data mining to identify malicious activity |
US10084806B2 (en) | 2012-08-31 | 2018-09-25 | Damballa, Inc. | Traffic simulation to identify malicious activity |
US9166994B2 (en) | 2012-08-31 | 2015-10-20 | Damballa, Inc. | Automation discovery to identify malicious activity |
US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US9197657B2 (en) * | 2012-09-27 | 2015-11-24 | Hewlett-Packard Development Company, L.P. | Internet protocol address distribution summary |
US9565213B2 (en) * | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
KR101415272B1 (ko) * | 2012-11-07 | 2014-07-04 | 주식회사 시큐아이 | 비정상 트래픽 감지 방법 및 장치 |
US8943589B2 (en) | 2012-12-04 | 2015-01-27 | International Business Machines Corporation | Application testing system and method |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9692771B2 (en) * | 2013-02-12 | 2017-06-27 | Symantec Corporation | System and method for estimating typicality of names and textual data |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US10649970B1 (en) | 2013-03-14 | 2020-05-12 | Invincea, Inc. | Methods and apparatus for detection of functionality |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
WO2014184934A1 (ja) * | 2013-05-16 | 2014-11-20 | 株式会社日立製作所 | 障害分析方法、障害分析システム及び記憶媒体 |
US9571511B2 (en) | 2013-06-14 | 2017-02-14 | Damballa, Inc. | Systems and methods for traffic classification |
JP5793251B2 (ja) * | 2013-06-21 | 2015-10-14 | 株式会社野村総合研究所 | 情報処理装置、電子メール閲覧制限方法、コンピュータプログラムおよび情報処理システム |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
GB2518880A (en) | 2013-10-04 | 2015-04-08 | Glasswall Ip Ltd | Anti-Malware mobile content data management apparatus and method |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US9332025B1 (en) * | 2013-12-23 | 2016-05-03 | Symantec Corporation | Systems and methods for detecting suspicious files |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
EP3087527B1 (en) * | 2013-12-27 | 2019-08-07 | McAfee, LLC | System and method of detecting malicious multimedia files |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9355016B2 (en) | 2014-03-05 | 2016-05-31 | Microsoft Technology Licensing, Llc | Automated regression testing for software applications |
US9329980B2 (en) * | 2014-03-05 | 2016-05-03 | Microsoft Technology Licensing, Llc | Security alerting using n-gram analysis of program execution data |
US9594665B2 (en) | 2014-03-05 | 2017-03-14 | Microsoft Technology Licensing, Llc | Regression evaluation using behavior models of software applications |
US9880915B2 (en) | 2014-03-05 | 2018-01-30 | Microsoft Technology Licensing, Llc | N-gram analysis of inputs to a software application |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US20150271196A1 (en) * | 2014-03-20 | 2015-09-24 | International Business Machines Corporation | Comparing source and sink values in security analysis |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US20150304394A1 (en) * | 2014-04-17 | 2015-10-22 | Rovio Entertainment Ltd | Distribution management |
US9940459B1 (en) | 2014-05-19 | 2018-04-10 | Invincea, Inc. | Methods and devices for detection of malware |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US20160197943A1 (en) * | 2014-06-24 | 2016-07-07 | Leviathan, Inc. | System and Method for Profiling System Attacker |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US9900344B2 (en) * | 2014-09-12 | 2018-02-20 | Level 3 Communications, Llc | Identifying a potential DDOS attack using statistical analysis |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US9652627B2 (en) | 2014-10-22 | 2017-05-16 | International Business Machines Corporation | Probabilistic surfacing of potentially sensitive identifiers |
US9805099B2 (en) * | 2014-10-30 | 2017-10-31 | The Johns Hopkins University | Apparatus and method for efficient identification of code similarity |
US10038706B2 (en) * | 2014-10-31 | 2018-07-31 | Verisign, Inc. | Systems, devices, and methods for separating malware and background events |
CA2966605A1 (en) | 2014-11-03 | 2016-05-12 | Level 3 Communications, Llc | Identifying a potential ddos attack using statistical analysis |
US10050985B2 (en) | 2014-11-03 | 2018-08-14 | Vectra Networks, Inc. | System for implementing threat detection using threat and risk assessment of asset-actor interactions |
US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US20160217056A1 (en) * | 2015-01-28 | 2016-07-28 | Hewlett-Packard Development Company, L.P. | Detecting flow anomalies |
US9619649B1 (en) | 2015-03-13 | 2017-04-11 | Symantec Corporation | Systems and methods for detecting potentially malicious applications |
US10116688B1 (en) | 2015-03-24 | 2018-10-30 | Symantec Corporation | Systems and methods for detecting potentially malicious files |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9930065B2 (en) | 2015-03-25 | 2018-03-27 | University Of Georgia Research Foundation, Inc. | Measuring, categorizing, and/or mitigating malware distribution paths |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US9798878B1 (en) * | 2015-03-31 | 2017-10-24 | Symantec Corporation | Systems and methods for detecting text display manipulation attacks |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US10832280B2 (en) * | 2015-06-12 | 2020-11-10 | Comscore, Inc. | Fraudulent traffic detection and estimation |
US9591014B2 (en) | 2015-06-17 | 2017-03-07 | International Business Machines Corporation | Capturing correlations between activity and non-activity attributes using N-grams |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US9690938B1 (en) | 2015-08-05 | 2017-06-27 | Invincea, Inc. | Methods and apparatus for machine learning based malware detection |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US9836605B2 (en) | 2015-12-08 | 2017-12-05 | Bank Of America Corporation | System for detecting unauthorized code in a software application |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US10152596B2 (en) | 2016-01-19 | 2018-12-11 | International Business Machines Corporation | Detecting anomalous events through runtime verification of software execution using a behavioral model |
US10164991B2 (en) * | 2016-03-25 | 2018-12-25 | Cisco Technology, Inc. | Hierarchical models using self organizing learning topologies |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10142290B1 (en) * | 2016-03-30 | 2018-11-27 | Amazon Technologies, Inc. | Host-based firewall for distributed computer systems |
US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
US10320750B1 (en) | 2016-03-30 | 2019-06-11 | Amazon Technologies, Inc. | Source specific network scanning in a distributed environment |
US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
US10079842B1 (en) | 2016-03-30 | 2018-09-18 | Amazon Technologies, Inc. | Transparent volume based intrusion detection |
US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10110626B2 (en) | 2016-04-26 | 2018-10-23 | International Business Machines Corporation | Biology based techniques for handling information security and privacy |
JP6588385B2 (ja) * | 2016-05-11 | 2019-10-09 | 日本電信電話株式会社 | シグネチャ生成装置、シグネチャ生成方法、および、シグネチャ生成プログラム |
AU2017281232B2 (en) | 2016-06-22 | 2020-02-13 | Invincea, Inc. | Methods and apparatus for detecting whether a string of characters represents malicious activity using machine learning |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10404734B2 (en) | 2016-07-07 | 2019-09-03 | International Business Machines Corporation | Root cause analysis in dynamic software testing via probabilistic modeling |
GB2555192B (en) | 2016-08-02 | 2021-11-24 | Invincea Inc | Methods and apparatus for detecting and identifying malware by mapping feature data into a semantic space |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
EP3293938B1 (en) | 2016-09-12 | 2021-06-30 | Vectra AI, Inc. | Method and system for detecting suspicious administrative activity |
GB2554390B (en) * | 2016-09-23 | 2018-10-31 | 1E Ltd | Computer security profiling |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US10417530B2 (en) * | 2016-09-30 | 2019-09-17 | Cylance Inc. | Centroid for improving machine learning classification and info retrieval |
US10819719B2 (en) * | 2016-10-11 | 2020-10-27 | General Electric Company | Systems and methods for protecting a physical asset against a threat |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10567420B2 (en) | 2016-11-08 | 2020-02-18 | International Business Machines Corporation | Biology based techniques with cognitive system analysis for handling information security and privacy |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US11205103B2 (en) | 2016-12-09 | 2021-12-21 | The Research Foundation for the State University | Semisupervised autoencoder for sentiment analysis |
US10133865B1 (en) * | 2016-12-15 | 2018-11-20 | Symantec Corporation | Systems and methods for detecting malware |
US10565377B1 (en) | 2016-12-21 | 2020-02-18 | Palo Alto Networks, Inc. | Context-based analysis of applications |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10855783B2 (en) * | 2017-01-23 | 2020-12-01 | Adobe Inc. | Communication notification trigger modeling preview |
US11470097B2 (en) * | 2017-03-03 | 2022-10-11 | Nippon Telegraph And Telephone Corporation | Profile generation device, attack detection device, profile generation method, and profile generation computer program |
JP6714142B2 (ja) * | 2017-03-03 | 2020-06-24 | 日本電信電話株式会社 | 攻撃パターン抽出装置、攻撃パターン抽出方法および攻撃パターン抽出プログラム |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10536482B2 (en) | 2017-03-26 | 2020-01-14 | Microsoft Technology Licensing, Llc | Computer security attack detection using distribution departure |
RU2019130058A (ru) * | 2017-03-28 | 2021-04-28 | Нек Корпорейшн | Устройство формирования подписей, способ формирования подписей и энергонезависимый считываемый компьютером носитель, сохраняющий программу |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10554507B1 (en) | 2017-03-30 | 2020-02-04 | Fireeye, Inc. | Multi-level control for enhanced resource and object evaluation management of malware detection system |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
WO2019018033A2 (en) | 2017-04-14 | 2019-01-24 | The Trustees Of Columbia University In The City Of New York | METHODS, SYSTEMS AND MEDIA FOR TESTING INTERNAL THREAT DETECTION SYSTEMS |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US10637879B2 (en) * | 2017-10-06 | 2020-04-28 | Carbonite, Inc. | Systems and methods for detection and mitigation of malicious encryption |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11580219B2 (en) * | 2018-01-25 | 2023-02-14 | Mcafee, Llc | System and method for malware signature generation |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11108823B2 (en) * | 2018-07-31 | 2021-08-31 | International Business Machines Corporation | Resource security system using fake connections |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
CN111049786A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 一种网络攻击的检测方法、装置、设备及存储介质 |
US11023590B2 (en) | 2018-11-28 | 2021-06-01 | International Business Machines Corporation | Security testing tool using crowd-sourced data |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
US11194908B2 (en) * | 2019-01-08 | 2021-12-07 | International Business Machines Corporation | Synthesizing sanitization code for applications based upon probabilistic prediction model |
CN109688030B (zh) * | 2019-02-26 | 2020-11-03 | 百度在线网络技术(北京)有限公司 | 报文检测方法、装置、设备和存储介质 |
US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
US11277425B2 (en) | 2019-04-16 | 2022-03-15 | International Business Machines Corporation | Anomaly and mode inference from time series data |
CN113661486A (zh) * | 2019-05-03 | 2021-11-16 | 维萨国际服务协会 | 用于生成增强型n元模型的系统、方法和计算机程序产品 |
US11182400B2 (en) | 2019-05-23 | 2021-11-23 | International Business Machines Corporation | Anomaly comparison across multiple assets and time-scales |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11271957B2 (en) | 2019-07-30 | 2022-03-08 | International Business Machines Corporation | Contextual anomaly detection across assets |
US11216558B2 (en) * | 2019-09-24 | 2022-01-04 | Quick Heal Technologies Limited | Detecting malwares in data streams |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
US11601457B2 (en) | 2020-08-26 | 2023-03-07 | Bank Of America Corporation | Network traffic correlation engine |
US11363049B1 (en) | 2021-03-25 | 2022-06-14 | Bank Of America Corporation | Information security system and method for anomaly detection in data transmission |
AU2021445975A1 (en) * | 2021-05-17 | 2023-11-16 | Nippon Telegraph And Telephone Corporation | Estimation device, estimation method, and estimation program |
EP4351099A1 (en) | 2021-05-26 | 2024-04-10 | Panasonic Intellectual Property Corporation of America | Monitoring apparatus and monitoring method |
CN114629707B (zh) * | 2022-03-16 | 2024-05-24 | 深信服科技股份有限公司 | 一种乱码检测方法、装置及电子设备和存储介质 |
US20230396645A1 (en) * | 2022-06-01 | 2023-12-07 | At&T Intellectual Property I, L.P. | Automatic generation of trojan signatures for intrusion detection |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101154A (ja) * | 1999-09-29 | 2001-04-13 | Nec Corp | 外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置 |
JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
WO2001089146A2 (en) * | 2000-05-17 | 2001-11-22 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US20030070003A1 (en) * | 2001-10-04 | 2003-04-10 | Chee-Yee Chong | Method and system for assessing attacks on computer networks using bayesian networks |
JP2003158551A (ja) * | 2001-07-31 | 2003-05-30 | Hewlett Packard Co <Hp> | ネットワークデータストリームの解析方法 |
JP2003204358A (ja) * | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
WO2003090426A1 (en) * | 2002-04-17 | 2003-10-30 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
JP2004312083A (ja) * | 2003-04-02 | 2004-11-04 | Kddi Corp | 学習データ作成装置、侵入検知システムおよびプログラム |
JP2005065294A (ja) * | 2003-08-14 | 2005-03-10 | At & T Corp | ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置 |
Family Cites Families (114)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US2000411A (en) * | 1931-12-30 | 1935-05-07 | Universal Oil Prod Co | Treatment of hydrocarbon oils |
US4621334A (en) | 1983-08-26 | 1986-11-04 | Electronic Signature Lock Corporation | Personal identification apparatus |
JP2501771B2 (ja) * | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
US5675711A (en) | 1994-05-13 | 1997-10-07 | International Business Machines Corporation | Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses |
US5485575A (en) * | 1994-11-21 | 1996-01-16 | International Business Machines Corporation | Automatic analysis of a computer virus structure and means of attachment to its hosts |
EP2110732A3 (en) | 1995-02-13 | 2009-12-09 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
JPH0993665A (ja) * | 1995-09-26 | 1997-04-04 | Meidensha Corp | 監視装置 |
US5826013A (en) * | 1995-09-28 | 1998-10-20 | Symantec Corporation | Polymorphic virus detection module |
US5761191A (en) * | 1995-11-28 | 1998-06-02 | Telecommunications Techniques Corporation | Statistics collection for ATM networks |
US5835888A (en) * | 1996-06-10 | 1998-11-10 | International Business Machines Corporation | Statistical language model for inflected languages |
US5948104A (en) * | 1997-05-23 | 1999-09-07 | Neuromedical Systems, Inc. | System and method for automated anti-viral file update |
US6016546A (en) | 1997-07-10 | 2000-01-18 | International Business Machines Corporation | Efficient detection of computer viruses and other data traits |
US6157905A (en) * | 1997-12-11 | 2000-12-05 | Microsoft Corporation | Identifying language and character set of data representing text |
US5991714A (en) * | 1998-04-22 | 1999-11-23 | The United States Of America As Represented By The National Security Agency | Method of identifying data type and locating in a file |
US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
US6253337B1 (en) * | 1998-07-21 | 2001-06-26 | Raytheon Company | Information security analysis system |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6356941B1 (en) | 1999-02-22 | 2002-03-12 | Cyber-Ark Software Ltd. | Network vaults |
US6732149B1 (en) * | 1999-04-09 | 2004-05-04 | International Business Machines Corporation | System and method for hindering undesired transmission or receipt of electronic messages |
US6785815B1 (en) * | 1999-06-08 | 2004-08-31 | Intertrust Technologies Corp. | Methods and systems for encoding and protecting data using digital signature and watermarking techniques |
CN1293478C (zh) * | 1999-06-30 | 2007-01-03 | 倾向探测公司 | 用于监控网络流量的方法和设备 |
US6560632B1 (en) * | 1999-07-16 | 2003-05-06 | International Business Machines Corporation | System and method for managing files in a distributed system using prioritization |
US6718535B1 (en) | 1999-07-30 | 2004-04-06 | Accenture Llp | System, method and article of manufacture for an activity framework design in an e-commerce based environment |
US6587432B1 (en) * | 1999-08-31 | 2003-07-01 | Intel Corporation | Method and system for diagnosing network congestion using mobile agents |
US7181768B1 (en) * | 1999-10-28 | 2007-02-20 | Cigital | Computer intrusion detection system and method based on application monitoring |
US7062782B1 (en) | 1999-12-22 | 2006-06-13 | Uunet Technologies, Inc. | Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks |
US7412462B2 (en) * | 2000-02-18 | 2008-08-12 | Burnside Acquisition, Llc | Data repository and method for promoting network storage of data |
US6971019B1 (en) * | 2000-03-14 | 2005-11-29 | Symantec Corporation | Histogram-based virus detection |
US20020007453A1 (en) | 2000-05-23 | 2002-01-17 | Nemovicher C. Kerry | Secured electronic mail system and method |
US7328349B2 (en) | 2001-12-14 | 2008-02-05 | Bbn Technologies Corp. | Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses |
GB0016835D0 (en) | 2000-07-07 | 2000-08-30 | Messagelabs Limited | Method of, and system for, processing email |
US7043759B2 (en) * | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
US7188366B2 (en) * | 2000-09-12 | 2007-03-06 | Nippon Telegraph And Telephone Corporation | Distributed denial of service attack defense method and device |
US20110238855A1 (en) | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US20060212572A1 (en) * | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
US7054930B1 (en) | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6907436B2 (en) * | 2000-10-27 | 2005-06-14 | Arizona Board Of Regents, Acting For And On Behalf Of Arizona State University | Method for classifying data using clustering and classification algorithm supervised |
US7681032B2 (en) * | 2001-03-12 | 2010-03-16 | Portauthority Technologies Inc. | System and method for monitoring unauthorized transport of digital content |
JP2002342279A (ja) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
JP2002279148A (ja) * | 2001-03-16 | 2002-09-27 | Toshiba Corp | データ分析プログラム及びコンピュータシステムによるデータ分析方法並びにデータ分析システム |
US7603709B2 (en) | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
US20030028504A1 (en) * | 2001-05-08 | 2003-02-06 | Burgoon David A. | Method and system for isolating features of defined clusters |
US7043634B2 (en) | 2001-05-15 | 2006-05-09 | Mcafee, Inc. | Detecting malicious alteration of stored computer files |
US7237264B1 (en) * | 2001-06-04 | 2007-06-26 | Internet Security Systems, Inc. | System and method for preventing network misuse |
AU2002322109A1 (en) * | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
US20020194490A1 (en) * | 2001-06-18 | 2002-12-19 | Avner Halperin | System and method of virus containment in computer networks |
CA2452285A1 (en) | 2001-06-27 | 2003-01-09 | Arbor Networks | Method and system for monitoring control signal traffic over a computer network |
US7356689B2 (en) | 2001-07-09 | 2008-04-08 | Lucent Technologies Inc. | Method and apparatus for tracing packets in a communications network |
JP2003029545A (ja) | 2001-07-18 | 2003-01-31 | Ricoh Co Ltd | 画像形成装置 |
US7315903B1 (en) | 2001-07-20 | 2008-01-01 | Palladia Systems, Inc. | Self-configuring server and server network |
US7031311B2 (en) * | 2001-07-23 | 2006-04-18 | Acme Packet, Inc. | System and method for providing rapid rerouting of real-time multi-media flows |
US7362707B2 (en) * | 2001-07-23 | 2008-04-22 | Acme Packet, Inc. | System and method for determining flow quality statistics for real-time transport protocol data flows |
EP1280298A1 (en) * | 2001-07-26 | 2003-01-29 | BRITISH TELECOMMUNICATIONS public limited company | Method and apparatus of detecting network activity |
US7023861B2 (en) * | 2001-07-26 | 2006-04-04 | Mcafee, Inc. | Malware scanning using a network bridge |
US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
US7657935B2 (en) | 2001-08-16 | 2010-02-02 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting malicious email transmission |
US7331060B1 (en) * | 2001-09-10 | 2008-02-12 | Xangati, Inc. | Dynamic DoS flooding protection |
US7389537B1 (en) * | 2001-10-09 | 2008-06-17 | Juniper Networks, Inc. | Rate limiting data traffic in a network |
US20030084344A1 (en) | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Method and computer readable medium for suppressing execution of signature file directives during a network exploit |
US7444679B2 (en) | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
US20030084319A1 (en) | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack |
US7475426B2 (en) * | 2001-11-30 | 2009-01-06 | Lancope, Inc. | Flow-based detection of network intrusions |
US6944656B2 (en) | 2002-01-18 | 2005-09-13 | Ip-Tap Uk | System and method for covert management of passive network devices |
US7448084B1 (en) | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
CA2475267C (en) * | 2002-02-04 | 2014-08-05 | Cataphora, Inc. | A method and apparatus for sociological data mining |
US7254633B2 (en) * | 2002-02-07 | 2007-08-07 | University Of Massachusetts Amherst | Probabilistic packet marking |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
IL163647A0 (en) * | 2002-02-22 | 2005-12-18 | Iplocks Inc | Method and apparatus for monitoring database system |
EP1490768B1 (en) * | 2002-03-29 | 2007-09-26 | Global Dataguard, Inc. | Adaptive behavioural intrusion detection |
US7177486B2 (en) | 2002-04-08 | 2007-02-13 | Rensselaer Polytechnic Institute | Dual bootstrap iterative closest point method and algorithm for image registration |
US20040111632A1 (en) * | 2002-05-06 | 2004-06-10 | Avner Halperin | System and method of virus containment in computer networks |
US7086089B2 (en) * | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
US20030236652A1 (en) | 2002-05-31 | 2003-12-25 | Battelle | System and method for anomaly detection |
US20030236995A1 (en) | 2002-06-21 | 2003-12-25 | Fretwell Lyman Jefferson | Method and apparatus for facilitating detection of network intrusion |
US7418732B2 (en) * | 2002-06-26 | 2008-08-26 | Microsoft Corporation | Network switches for detection and prevention of virus attacks |
US8281400B1 (en) * | 2002-07-23 | 2012-10-02 | Juniper Networks, Inc. | Systems and methods for identifying sources of network attacks |
US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
US7313100B1 (en) | 2002-08-26 | 2007-12-25 | Juniper Networks, Inc. | Network device having accounting service card |
US20040047356A1 (en) * | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
US7188173B2 (en) * | 2002-09-30 | 2007-03-06 | Intel Corporation | Method and apparatus to enable efficient processing and transmission of network communications |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US20040107361A1 (en) * | 2002-11-29 | 2004-06-03 | Redan Michael C. | System for high speed network intrusion detection |
US7219239B1 (en) | 2002-12-02 | 2007-05-15 | Arcsight, Inc. | Method for batching events for transmission by software agent |
US7376969B1 (en) | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
US8327442B2 (en) | 2002-12-24 | 2012-12-04 | Herz Frederick S M | System and method for a distributed application and network security system (SDI-SCAM) |
US20040143749A1 (en) | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
US20040153644A1 (en) | 2003-02-05 | 2004-08-05 | Mccorkendale Bruce | Preventing execution of potentially malicious software |
FI20030222A (fi) * | 2003-02-13 | 2004-08-14 | Ekahau Oy | Paikannussovelluksia langattomia verkkoja varten |
US7564969B2 (en) * | 2003-04-01 | 2009-07-21 | Sytex, Inc. | Methodology, system and computer readable medium for detecting file encryption |
US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US20060206615A1 (en) * | 2003-05-30 | 2006-09-14 | Yuliang Zheng | Systems and methods for dynamic and risk-aware network security |
US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US7467417B2 (en) | 2003-06-18 | 2008-12-16 | Architecture Technology Corporation | Active verification of boot firmware |
US7596807B2 (en) | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
US7424609B2 (en) | 2003-07-11 | 2008-09-09 | Computer Associates Think, Inc. | Method and system for protecting against computer viruses |
US7565426B2 (en) * | 2003-08-07 | 2009-07-21 | Alcatel Lucent | Mechanism for tracing back anonymous network flows in autonomous systems |
US7644076B1 (en) * | 2003-09-12 | 2010-01-05 | Teradata Us, Inc. | Clustering strings using N-grams |
WO2005047862A2 (en) * | 2003-11-12 | 2005-05-26 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for identifying files using n-gram distribution of data |
US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
US8146160B2 (en) | 2004-03-24 | 2012-03-27 | Arbor Networks, Inc. | Method and system for authentication event security policy generation |
US20050249214A1 (en) | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
US7225468B2 (en) * | 2004-05-07 | 2007-05-29 | Digital Security Networks, Llc | Methods and apparatus for computer network security using intrusion detection and prevention |
US8154987B2 (en) | 2004-06-09 | 2012-04-10 | Intel Corporation | Self-isolating and self-healing networked devices |
US7343624B1 (en) * | 2004-07-13 | 2008-03-11 | Sonicwall, Inc. | Managing infectious messages as identified by an attachment |
US7519998B2 (en) | 2004-07-28 | 2009-04-14 | Los Alamos National Security, Llc | Detection of malicious computer executables |
US7865355B2 (en) * | 2004-07-30 | 2011-01-04 | Sap Aktiengesellschaft | Fast text character set recognition |
WO2006028558A1 (en) | 2004-09-03 | 2006-03-16 | Virgina Tech Intellectual Properties, Inc. | Detecting software attacks by monitoring electric power consumption patterns |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7805382B2 (en) | 2005-04-11 | 2010-09-28 | Mkt10, Inc. | Match-based employment system and method |
US7908357B2 (en) | 2005-09-21 | 2011-03-15 | Battelle Memorial Institute | Methods and systems for detecting abnormal digital traffic |
US8789172B2 (en) | 2006-09-18 | 2014-07-22 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
-
2004
- 2004-11-12 WO PCT/US2004/037654 patent/WO2005047862A2/en active Application Filing
- 2004-11-12 EP EP13161455.4A patent/EP2618538B1/en active Active
- 2004-11-12 US US10/986,447 patent/US7639714B2/en active Active
- 2004-11-12 ES ES04810752T patent/ES2423491T3/es active Active
- 2004-11-12 CA CA2545916A patent/CA2545916C/en active Active
- 2004-11-12 WO PCT/US2004/037650 patent/WO2005048470A2/en active Application Filing
- 2004-11-12 US US10/986,432 patent/US20060015630A1/en not_active Abandoned
- 2004-11-12 JP JP2006539859A patent/JP4662944B2/ja active Active
- 2004-11-12 EP EP04810752.8A patent/EP1682990B1/en active Active
- 2004-11-12 US US10/986,467 patent/US8239687B2/en active Active
- 2004-11-12 WO PCT/US2004/037653 patent/WO2005050369A2/en active Application Filing
-
2009
- 2009-11-10 US US12/615,917 patent/US8644342B2/en active Active
-
2010
- 2010-08-09 JP JP2010178509A patent/JP5307090B2/ja active Active
-
2012
- 2012-07-17 US US13/550,711 patent/US9003528B2/en active Active
-
2014
- 2014-01-02 US US14/146,533 patent/US9276950B2/en active Active
-
2015
- 2015-03-04 US US14/638,705 patent/US10063574B2/en active Active
-
2016
- 2016-02-05 US US15/017,325 patent/US20160330224A1/en not_active Abandoned
-
2018
- 2018-07-23 US US16/042,716 patent/US10673884B2/en active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001101154A (ja) * | 1999-09-29 | 2001-04-13 | Nec Corp | 外れ値度計算装置及びそれに用いる確率密度推定装置並びに忘却型ヒストグラム計算装置 |
JP2001313640A (ja) * | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
JP2003533941A (ja) * | 2000-05-17 | 2003-11-11 | ディープ、ナインズ、インク | インテリジェントフィードバックループプロセス制御システム |
WO2001089146A2 (en) * | 2000-05-17 | 2001-11-22 | Deep Nines, Inc. | Intelligent feedback loop process control system |
JP2003158551A (ja) * | 2001-07-31 | 2003-05-30 | Hewlett Packard Co <Hp> | ネットワークデータストリームの解析方法 |
US20030070003A1 (en) * | 2001-10-04 | 2003-04-10 | Chee-Yee Chong | Method and system for assessing attacks on computer networks using bayesian networks |
JP2003204358A (ja) * | 2002-01-07 | 2003-07-18 | Mitsubishi Electric Corp | 不正侵入検知装置及び不正侵入検知方法及び不正侵入検知プログラム |
WO2003090426A1 (en) * | 2002-04-17 | 2003-10-30 | Computer Associates Think, Inc. | Detecting and countering malicious code in enterprise networks |
JP2005523539A (ja) * | 2002-04-17 | 2005-08-04 | コンピュータ アソシエイツ シンク,インコーポレイテッド | エンタプライズネットワークにおける悪性コードの検知及び対抗 |
JP2004304752A (ja) * | 2002-08-20 | 2004-10-28 | Nec Corp | 攻撃防御システムおよび攻撃防御方法 |
JP2004186878A (ja) * | 2002-12-02 | 2004-07-02 | Keyware Solutions Inc | 侵入検知装置及び侵入検知プログラム |
JP2004312083A (ja) * | 2003-04-02 | 2004-11-04 | Kddi Corp | 学習データ作成装置、侵入検知システムおよびプログラム |
JP2005065294A (ja) * | 2003-08-14 | 2005-03-10 | At & T Corp | ネットワーク・トラフィックにおける変更のスケッチベースの検出方法および装置 |
Non-Patent Citations (2)
Title |
---|
CSNG200401934008; 今野徹、楯岡正道: 'HTTPリクエスト解析による未知攻撃防御システム' 情報処理学会研究報告 第2003巻、第74号, 20030718, 91〜96頁, 社団法人情報処理学会 * |
JPN6012049278; 今野徹、楯岡正道: 'HTTPリクエスト解析による未知攻撃防御システム' 情報処理学会研究報告 第2003巻、第74号, 20030718, 91〜96頁, 社団法人情報処理学会 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014063424A (ja) * | 2012-09-24 | 2014-04-10 | Mitsubishi Space Software Co Ltd | 不正通信検出装置及びサイバー攻撃検出システム及びコンピュータプログラム及び不正通信検出方法 |
WO2018181253A1 (ja) * | 2017-03-27 | 2018-10-04 | パナソニックIpマネジメント株式会社 | データ分析装置、方法、及びプログラム |
JPWO2018181253A1 (ja) * | 2017-03-27 | 2020-02-06 | パナソニックIpマネジメント株式会社 | データ分析装置、方法、及びプログラム |
JP2019169136A (ja) * | 2018-02-12 | 2019-10-03 | ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングRobert Bosch Gmbh | セーフティクリティカルなシステムでデータを計算するための方法及び装置 |
WO2022157867A1 (ja) * | 2021-01-20 | 2022-07-28 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
JP7509244B2 (ja) | 2021-01-20 | 2024-07-02 | 日本電信電話株式会社 | 生成装置、生成方法および生成プログラム |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5307090B2 (ja) | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 | |
US8650646B2 (en) | System and method for optimization of security traffic monitoring | |
US10129276B1 (en) | Methods and apparatus for identifying suspicious domains using common user clustering | |
US6981280B2 (en) | Intelligent network scanning system and method | |
US11258812B2 (en) | Automatic characterization of malicious data flows | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
EP1751651B1 (en) | Method and systems for computer security | |
EP4395259A1 (en) | System and method for filtering events for transmission to remote devices | |
CN114301689B (zh) | 校园网络安全防护方法、装置、计算设备及存储介质 | |
US20240214399A1 (en) | System and method for filtering events for transmission to remote devices | |
CN116800483A (zh) | 基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质 | |
CN118233278A (zh) | 过滤用于传输到远程设备的事件的系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120912 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120924 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20121225 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20121228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130527 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130626 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5307090 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |