JP2016136735A - プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 - Google Patents

プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 Download PDF

Info

Publication number
JP2016136735A
JP2016136735A JP2016024185A JP2016024185A JP2016136735A JP 2016136735 A JP2016136735 A JP 2016136735A JP 2016024185 A JP2016024185 A JP 2016024185A JP 2016024185 A JP2016024185 A JP 2016024185A JP 2016136735 A JP2016136735 A JP 2016136735A
Authority
JP
Japan
Prior art keywords
fingerprint
data packet
network connection
protocol
evaluation value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016024185A
Other languages
English (en)
Inventor
アルペロビッチ、ドミトリ
Alperovitch Dmitri
ブ、ジェン
Zheng Bu
フレデリック ディール、デビッド
Frederick Diehl David
フレデリック ディール、デビッド
クラセル、スベン
Krasser Sven
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
McAfee LLC
Original Assignee
McAfee LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by McAfee LLC filed Critical McAfee LLC
Publication of JP2016136735A publication Critical patent/JP2016136735A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Abstract

【課題】コンピュータを悪用する悪意を持ったオペレータが考える戦術に対処する革新的なツールを提供する。
【解決手段】ネットワーク接続を介して受信したデータパケットから抽出された特性に基づいて、フィンガープリントを生成する段階と、フィンガープリントに基づいて評価値をリクエストする段階とを備え、受信した評価値が、フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、ネットワーク接続に対してポリシーアクションを実行する。更に、未認識のプロトコルのフィンガープリントに基づいて、プロトコルについての情報を表示する段階を備える。
【選択図】図2

Description

本明細書は、概して、ネットワークセキュリティの分野に関し、より詳細には、プロトコルフィンガープリント取得および評価(reputation:レピュティション)相関のためのシステムおよび方法に関する。
現代社会では、ネットワークセキュリティの分野が重要になってきている。インターネットは、世界中の様々なコンピュータネットワークの相互接続を可能にした。しかしながら、安定したコンピュータおよびシステムを効率的に維持および保護するための能力を提供することが、部品製造者、システム設計者およびネットワーク運営者にとって障害となっている。この障害は、悪意を持ったオペレータが様々な方策を常に考え出すことによって複雑になっている。ホストコンピュータが、ある種の悪質なソフトウェア(例えば、ボット(bot)に感染すると、悪意を持ったオペレータは、リモートコンピュータから悪質なソフトウェアを制御するコマンドを発行する。ソフトウェアに様々な悪事を実行させることができ、例えば、ホストコンピュータからスパムメールまたは悪質なメールを送信させたり、ホストコンピュータに関連付けられた企業および個人から機密情報を盗ませたり、別のホストコンピュータに伝播するおよび/またはサービス妨害攻撃を分配するのを助ける等を実行させる。また、悪意を持ったオペレータは、その他の悪意を持ったオペレータにアクセス権を売ったり供与したりできるため、ホストコンピュータの悪用が広がってしまう。このように、コンピュータを悪用する悪意を持ったオペレータが考える戦術に対処する革新的なツールを開発するという課題が存在する。
本開示並びにその特徴および利点の完全な理解を提供するべく、以下の詳細な説明では添付の図面を参照し、図面では、同様な構成要素には同様な参照番号が付与されている。
本明細書に係る、ネットワーク保護のためにプロトコルがフィンガープリント取得されおよび相関付けされるネットワーク環境の実施形態の一例が示されたブロック図である。
本明細書に係る、ネットワーク環境の一実施形態例と関連付けられてもよい更なる詳細を示したブロック図である。
本明細書に係る、ネットワーク環境の一実施形態と関連してもよいオペレーションの例を示した単純化された相互作用図である。
一実施形態例では、方法は、ネットワーク接続を介して受信したデータパケットから抽出された特性に基づいてフィンガープリントを生成する段階と、当該フィンガープリントに基づいて評価値(reputation value)をリクエストする段階とを備える。受信した評価値によってフィンガープリントが悪質なアクティビティと関連付けられていると示された場合には、そのネットワーク接続に対してポリシーアクションを実行してもよい。方法は更に、プロトコルフィンガープリントに基づいて、より詳細には、認識されていないプロトコルのフィンガープリントに基づいて、そのプロトコルに関する情報を表示する段階を備える。別の実施形態では、評価値は、ネットワーク接続と関連付けられたネットワークアドレスに基づいてもよい。
図1は、ネットワーク保護のためにプロトコルがフィンガープリント取得および相関付けされるネットワーク環境10の実施形態の一例が示されたブロック図である。ネットワーク環境10は、インターネット15、エンドホスト20aおよび20b、ファイアウォール22、リモートホスト25aおよび25b、並びに、スレットインテリジェンスサーバ(threat intelligence server)30を備えてもよい。一般的に、エンドホスト20aおよび20bは、ネットワーク接続における任意の種類の終端点であってもよく、これに限定されないが、例えば、デスクトップコンピュータ、サーバ、ラップトップ、携帯電話、または、例えば、任意の2つのポート35aから35fの間でリモートホストとネットワーク接続を受信可能または確立可能なその他の種類のデバイスを含む。エンドホスト20aは、アプリケーション40aを実行してもよく、エンドホスト20bは、例えば、アプリケーション40bを実行してもよい。リモートホスト25aおよび25bは、例えば、コマンドおよび制御(C&C)サーバ45のようなコンピュータまたはデバイスの制御下にあってもよい悪質なソフトウェア(マルウェア(malware))によって操作される可能性のある任意のコンピュータまたはその他デバイスを表している。エンドホスト20aおよび20b、ファイアウォール22、リモートホスト25aおよび25b、スレットインテリジェンスサーバ30、および、C&Cサーバ45のそれぞれは、インターネットプロトコル(IP)アドレスと関連付けられていてもよい。
図1に示す構成要素は、ネットワーク通信で利用可能な経路を提供する好適な接続(無線または有線)または簡単なインターフェースを介して、互いに接続されてもよい。更に、これら構成要素の1以上は、特定の構成要件に基づいて、アーキテクチャ上で組み合わせられてもよいし、取り除かれてもよい。ネットワーク通信は、典型的には、構成要素間でメッセージを交換するためのプロセスおよび形式を指定する特定のプロトコルに従う。ネットワーク環境10は、ネットワークにおいて、パケットを送受信するための、伝送制御プロトコル/インターネットプロトコル(TCP/IP)を使用可能な構成を含んでもよい。ネットワーク環境10は、特定の要求に基づき、適切な場合に、ユーザデータグラムプロトコル/IP(UDP/IP)またはその他の好適なプロトコルと連動して動作してもよい。
悪質なソフトウェアに対するネットワーク保護のためのシステムの技術を例示するには、所定のネットワーク内で発生するアクティビティについての理解が重要である。以下に記載する基本的な情報は、本開示を適切に説明するための基礎として見なされる。このような情報は、説明のためだけに提供されており、本開示の範囲および適用範囲を限定するものとして解釈されるべきではない。
組織および個人で使用される典型的なネットワーク環境は、他のネットワークと電子的に情報をやり取りする機能を含み、例えば、インターネットに接続されたサーバにホストされたウェブページにアクセスする、電子メール(すなわち、eメール)メッセージを送受信する、エンドユーザまたはサーバとファイルを交換するのに、インターネットを使用している。悪意を持ったユーザは、インターネットを利用してマルウェアを拡散し、機密情報へのアクセスを取得するような新しい戦略を常に開発している。
コンピュータセキュリティにおいて脅威となっている戦略には、ボットネット(botnet)が含まれ、深刻なインターネットセキュリティの問題となっている。多くの場合、周知のおよび新規の脆弱性の組み合わせを含む巧妙な攻撃スキームが採用されている。ボットネットは一般的に、クライアントサーバアーキテクチャを使用し、ある種の悪質なソフトウェア(すなわち、ボット)がホストコンピュータに配置されて、悪質なユーザ(例えば、ボットネットのオペレータ)によって制御される場合がある、コマンドおよび制御(C&C)サーバと通信を行う。通常、ボットネットは、インターネットリレーチャット(IRC)およびピアツーピア(P2P)通信を含む様々なチャネルを介して、C&Cプロトコルを使用してオペレータによって制御される多数のボットから構成される。ボットは、C&Cサーバからコマンドを受け取って、特定の悪質なアクティビティを実行し、このようなコマンドを実行する。ボットはまた、任意の結果または盗んだ情報を、C&Cサーバに送信する場合がある。
ボットネット攻撃は、一般的に、同じライフサイクルに従う。最初に、デスクトップコンピュータが、多くの場合、気軽に行ったダウンロードや、トロイの木馬またはバッチされていな脆弱性を介して、マルウェアに侵される。そしてマルウェアは、コンピュータを乗っ取り、ボットに変換して、ボットマスターがコンピュータを制御できるようにする。多くの場合、マルウェアは、コンピュータオーナーの同意を得ずに、コンピュータへのアクセスおよび/または制御を行うように設計されたソフトウェアを含み、例えば、コンピュータウイルス、スパイウェア、アドウェア(adware)等の任意の敵意を有するやっかいなソフトウェアとして扱われる。コンピュータが一旦マルウェアに侵されると、ボットにされてしまい、ボットマスターに制御されてしまう。ボットマスターは、このようなコンピュータを利用して、スパミング(spamming)のような悪質なアクティビティを行う。悪質なアクティビティを実行するコマンドを受信するのに加えて、ボットは、組織のネットワーク内に、または、その他の組織若しくは個人へのネットワークにわたって、拡散可能な1以上の伝播ベクトルを含む。一般的な伝播ベクトルは、ローカルネットワーク内のホストにおける周知の脆弱性を利用すること、および、添付された悪質なプログラムを有する悪質なeメールを送信すること、または、eメール内に悪質なリンクを提供することを含む。
既存のファイアウォールおよびネットワーク侵入を防ぐ技術は、常に、ボットネットを認識し阻止できるわけではない。現在のファイアウォールは、周知のアプリケーションと関連付けられたトラフィックを検出する機能およびトラフィックに作用する機能を有する。しかしながら、アドバンストパーシスタントスレット(advanced persistent threat:APT)のような、ネットワーク上の多数の脅威は、例えば、カスタムプロトコルを含む未知の通信メカニズムを使用している。更に、既存のファイアウォールは、アプリケーション署名の標準的なセットでは、所定のネットワークの多量のトラフィックを分類することはできないと思われる。このように、既存のファイアウォールおよびその他のネットワーク侵入を防ぐ技術では、認識不可能なトラフィックに対して、有意なポリシー決定を実装することができない。
一部の評価システム(reputation system)は、特定のボットネットに対して有効な防御を提供する。一般的に、評価システムは、アクティビティを監視し、過去の振る舞いに基づいて、エンティティに評価値または評価点数を割り当てる。評価値は、良質から悪質までのスペクトルにおいて、様々なレベルの信頼性を示す。例えば、あるネットワークアドレスについての接続評価値(例えば、最小リスク、未証明、ハイリスク等)は、そのアドレスとのネットワーク接続またはそのアドレスから発信されたeメールに基づいて、計算される。接続評価システムは、悪質なアクティビティと関連付けられていると知られているまたは可能性があるIPアドレスのような、受け入れられない接続評価を有するIPアドレスからのeメールまたはこのようなIPアドレスとの接続を拒否するのに使用されてもよい。その他の評価システムによって、悪質なアクティビティと関連付けられていると知られているまたは可能性があるハッシュを有するアプリケーションのアクティビティをブロックすることができる。しかしながら、接続評価の参照は、ネットワークトラフィックによって起動され、その他の評価参照は、ネットワークトラフィックを考慮していない。
一実施形態によれば、ネットワーク環境10は、このような欠点(およびその他の欠点)を、プロトコルのフィンガープリント取得および評価データの関連付けによって解決できる。例えば、ネットワーク環境10は、プロトコルを示す特定の特性に基づいて、未認識のプロトコルのフィンガープリントを取得するメカニズムを提供し、未認識のプロトコルを使用するトラフィックに対するポリシー決定に、グローバルスレットインテリジェンス(global threat intelligence:GTI)データを利用することができる。GTIデータは、例えば、未知のプロトコルトラフィックについての、プロトコル評価、外部アドレス接触の評価、または、地理的分析結果を含む。
より詳細には、プロトコルフィンガープリントは、ネットワーク上の未認識のプロトコルに対して生成されてもよい。未認識のプロトコルとは、例えば、フィンガープリントを有さないまたは既存の署名を有するアプリケーションと関連付けられていないプロトコルを広く含む。プロトコルフィンガープリントは、そのプロトコルを使用するトラフィックから抽出される特定から導きだすことができ、接続データと共にスレットインテリジェンスサーバに送信することができる。スレットインテリジェンスサーバは、接続データおよびプロトコルフィンガープリントに基づく評価値を返してもよい。そして、プロコル評価によって、以前にフィンガープリントを取得したトラフィックフロー、アプリケーション署名が利用可能なフローを含む未認識トラフィックフローについての情報を使用可能にしてもよい。
図2は、本明細書に係る、ネットワーク環境10の一実施形態例と関連付けられてもよい更なる詳細を示したブロック図である。図2では、インターネット15、エンドホスト20aおよび20b、ファイアウォール22、リモートホスト25aおよび25b、スレットインテリジェンスサーバ(threat intelligence server)30が含まれる。これらのそれぞれが、プロセッサ50aから50e、メモリ要素55aから55e、および、様々なソフトウェア要素を含んでもよい。より詳細には、エンドホスト20aおよび20bは、対応するアプリケーションモジュール40aおよび40bを含む。ファイアウォール22は、プロトコル、フィンガープリントエンジン42、アプリケーション署名44およびユーザインターフェース46をホストしてもよい。相関エンジン60は、スレットインテリジェンスサーバ30によってホストされ、ボット65は、リモートホスト25aによってホストされる。
一実装形態では、エンドホスト20aおよび20b、リモートホスト25aおよび25b、および/またはスレットインテリジェンスサーバ30はネットワーク要素であり、ネットワーク要素とは、ネットワーク電気製品、サーバ、ファイアウォール、ルータ、スイッチ、ゲートウェイ、ブリッジ、負荷分散装置、プロセッサ、モジュール、または、その他の好適なデバイス、部品、素子、または、ネットワーク環境で情報を交換可能なオブジェクトを含む。ファイアウォール22は、適切であれば、別のネットワーク要素に組み込まれてもよい、または、組み合わせられてもよい。ネットワーク要素は、任意の好適な、ハードウェア、ソフトウェア、部品、モジュール、インターフェース、または、これらのオペレーションを簡易にするオブジェクトが含まれてもよい。これには、データまたは情報の有効な交換を可能とする適切なアルゴリズムおよび通信プロトコルが含まれてもよい。しかしながら、エンドホスト20aおよび20bは通常、ゲートウェイまたはファイアウォールとは異なり、ネットワーク接続の終点として機能する傾向があることから、その他のネットワーク要素とは区別される。エンドホストとは、デスクトップコンピュータ、ラップトップコンピュータ、タブレットコンピュータ(例えば、iPad(登録商標))、電子書籍リーダ、携帯電話、スマートフォン(例えば、iPhone(登録商標)、アンドロイドフォン等)およびその他同様なデバイスのような、有線および無線ネットワークエンドポイントを含む。リモートホスト25aも同様に、ネットワーク接続の終点として機能してもよく、上記のようなデバイスを含む。
ネットワーク環境10と関連付けられる内部構造については、エンドホスト20aおよび20b、ファイアウォール22、リモートホスト25aおよび25b、および/または、スレットインテリジェンスサーバ30のそれぞれは、以下に説明するオペレーションで使用される情報を格納するメモリ要素(図2参照)を含んでもよい。また、これらデバイスはそれぞれ、以下に説明するアクティビティを実行するソフトウェアまたはアルゴリズムを実行可能なプロセッサを含んでもよい。これらデバイスはまた、任意の好適なメモリ要素(ランダムアクセスメモリ(RAM)、ROM、EPROM、EEPROM、ASIC等)、ソフトウェア、ハードウェア、または、その他の好適な構成要素、デバイス、素子若しくはオブジェクトに情報を保持してもよい。本明細書に記載するこれらメモリは、"メモリ要素"という広い言葉に含まれると解釈されるべきである。エンドホスト20aおよび20b、ファイアウォール22、リモートホスト25aおよび25b、および/または、スレットインテリジェンスサーバ30によって追跡されるまたは送信される情報は、任意のデータベース、レジスタ、制御リストまたは記憶構造に提供され、これらの情報は、好適な時間フレームにおいて参照可能である。このような記憶構造オプションについても、本明細書で使用される"メモリ要素"という言葉に含まれる。同様に、本明細書に記載される使用可能な処理要素、処理モジュールおよび処理機械は、"プロセッサ"という広い言葉に含まれると解釈されるべきである。ネットワーク要素のそれぞれは、ネットワーク環境におけるデータまたは情報を、受信、送信および/または通信するのに好適なインターフェースを含んでもよい。
一実装形態では、エンドホスト20aおよび20b、ファイアウォール22、リモートホスト25aおよび25b、および/または、スレットインテリジェンスサーバ30は、本明細書に説明されるオペレーションを達成するまたは発展させるソフトウェア(例えば、フィンガープリントエンジン42の一部として)を含む。別の実施形態では、このようなオペレーションは、これら要素の外側で実行されてもよい、または、別のネットワーク要素に含まれて、意図した機能が達成されてもよい。これに替えて、本明細書に説明するオペレーションを達成するために協働可能なソフトウェア(またはレシプロケイトソフトウェア)を含んでもよい。更なる別の実施形態では、これらデバイスの1つまたは全てが、好適なアルゴリズム、ハードウェア、ソフトウェア、構成要素、モジュール、インターフェース、または、これらのオペレーションを簡易にするオブジェクトを含んでもよい。
特定の実装形態の例では、本明細書に説明する機能が、1以上の一時的でない有形媒体(例えば、特定用途向け集積回路(ASIC)に提供される組み込みロジック、デジタル信号プロセッサ(DSP)命令、プロセッサまたは同様な機械によって実行されるソフトウェア(場合によっては、オブジェクトコードおよびソースコードを含む)等)において符号化されたロジックによって実装されてもよい。このような例として、メモリ要素(図2に示す)は、本明細書に説明するようなオペレーションで使用されるデータを格納してもよい。本明細書に説明されるアクティビティを実行するべく実行されるソフトウェア、ロジック、コードまたはプロセッサ命令を格納可能なメモリ要素が含まれる。プロセッサは、本明細書に説明されるオペレーションを達成するべく、データと関連付けられた任意の種類の命令を実行してもよい。一例では、(図2に示すように)プロセッサは、要素またはアーティクル(例えば、データ)を、一のステートまたは一の物から別のステートまたは別の物へと変換する。別の例では、本明細書に説明されるアクティビティは、固定ロジックまたはプログム可能ロジック(例えば、プロセッサによって実行されるソフトウェア/コンピュータ命令)を使用して実行されてもよく、本明細書で特定される要素は、ある種のプログラマブルプロセッサ、プログラマブルデジタルロジック(例えば、フィールドプログラマブルゲートアレイ(FPGA)、消去可能プログラム可能リードオンリーメモリ(EPROM)、電子的消去可能プログラム可能ROM)(EEPROM)、または、デジタルロジック、ソフトウェア、コード、電子的命令並びにこれらの好適な組み合わせを含むASIC)である。
図3は、ネットワーク環境10の一実施形態に関連するオペレーションの例を示した単純化した相互作用ダイアグラム300である。一般的に、ファイアウォール22は、リモートホスト25aのようなリモートノードからインバウンドネットワークトラフィック302aを、エンドホスト20aおよび20bのようなローカルノードからアウトバウンドネットワークトラフィック302bを、または、エンドホスト20aおよび20bのようなインターナルネットトラフィックを受信してもよい。ネットワークトラフィック302aおよび302bを、304において既存のプロトコルおよび/またはアプリケーション署名と比較して、例えば、フィンガープリントエンジン42によって未知のまたは未認識のプロトコルのフィンガープリントを306において生成してもよい。ある実施形態では、306において既知のプロトコルについてもフィンガープリントを取得してもよい。
フィンガープリントは、例えば、インバウンドネットワークトラフィック302aおよびアウトバウンドネットワークトラフィック302bのようなネットワーク上で観察されるトラフィックプロトコルの様々な振る舞いの特性を抽出することによって生成されてもよい。例えば、フィンガープリントエンジン42は、ネットワーク接続を介して受信する複数のデータパケットを観察し、(例えば、パケットの数および/またはサイズによる)トラフィックのクエリ/応答の比を、1つのフィンガープリント特性として記録してもよい。フィンガープリントエンジン42はまた、パケットサイズ分布等の特性に基づいて、プロトコルをストリームベースまたはメッセージベースとして特徴づけて、その情報をフィンガープリント特性として記録してもよい。例えば、ストリームベースのプロトコルにおける大きなダウンロードは、最大パケットサイズを有する大量のパケットに分割される可能性が高い。反対に、メッセージベースのストリームは、可変サイズの小さなパケットで構成されている可能性が高い。同様に、トラフィックは、ASCIIまたはバイナリとして特徴づけられるので、この情報をフィンガープリントに組み込んでもよい。フィンガープリント特性のその他の例としては、トランスポートプロトコル、最初のトークン(例えば、ASCIIプロトコルにおける"GET")、最初のXバイト、最初のラインの最後のXバイト、最初のラインの最後のトークン(例えば、ハイパートランスファープロトコルの"HTTP/1.1/r/n")が挙げられる。パケットコンテンツのエントロピー(すなわち、ランダムネスの程度)は、観察可能でありフィンガープリントを取得可能なプロトコル特性の別の一例である。例えば、大部分が英語のテキストで構成されているパケットの場合、冗長性が含まれている場合が多く、反対に、圧縮されたまたは暗号化されたファイルには、冗長性がわずかでありエントロピーが高い。その他に識別可能な特性としては、パケットの最初の2バイト(例えば、長さポインタの場合)、キー・コロン・値・改行のフォーマット、Abstract Syntax Notation One(ASN.1)エンコードデータ、交換の順番(すなわち、クライアントまたはサーバのどちらが最初のメッセージを送信するか)、パケットの最初のバイトとしての数値(例えば、ハイパーテキストトランスファープロトコルの場合"200OK")、特別な意味を有する数字で始まるメッセージ、ネゴシエーション前ストリームパターン(例えば、データをストリームする前に交換される小さなパケット)、トランザクションID(例えば、クライアントからの最初の2バイトが、サーバからの最初の2バイトと同じ)、および、type−length−value(TLV)またはlength−value(LV)フォーマットが挙げられる。
308において、評価クエリが、例えば、インターネット15のようなネットワークを介して、スレットインテリジェンスサーバ30に送信されてもよい。評価クエリ308は、例えば、接続データおよびプロトコルフィンガープリントが含まれてもよい。接続データは、ネットワーク接続を特定する様々なパラメータを含み、例えば、ネットワークアドレスを含んでもよい。ネットワークアドレスは、通常、接続のエンドホストおよびリモートエンドの両方を特定するデータを含み、例えば、ローカル(エンドホスト)IPアドレスおよびポート、並びに、リモートホストIPアドレスおよびポートを含む。312において、スレットインテリジェンスサーバ30は、プロトコルフィンガープリントと評価データ310とを相関づけてもよく、314において応答を戻す。
314における応答は、例えば、プロトコルフィンガープリントの評価(すなわち、プロトコル評価)に基づいて、および/または、接続に関連するネットワークアドレスの評価(すなわち、接続評価)に基づいて、良質から悪質までのスペクトルにおいて様々なレベルの信頼性を示す評価値を含み、更に、接続を許可するべきかを示してもよい。クエリ応答が、接続が良質であると思われる場合、接続を許可してもよく、応答が接続は悪質であると思われる場合には、ポリシーに基づいて適切なポリシーアクションを実行してもよい。例えば、適切なアクションとしては、接続をブロックする、ユーザまたはアドミニストレータに警告する、または、将来の犯罪化学的分析のためにフィンガープリントおよびその他のネットワーク情報をログに記録する等が含まれる。
これに替えてまたは加えて、316において、ユーザインターフェースは、プロトコルフィンガープリントに基づいて全ての未知のプロトコルについての情報、および、ある実施形態では、アプリケーション署名に基づいて既知の全てのアプリケーション/プロトコルについての統計を表示してもよい。例えば、フィンガープリントに関連付けられた10個の独立したプロトコルが存在する場合、ユーザインターフェースは、未知のプロトコルに関する情報を表示してもよい。アドミニストレータまたはその他ユーザは、318においてユーザインターフェースを介して、スレットインテリジェンスサーバ30にクエリを送信して、プロトコルフィンガープリントに関する更なるデータを受け取ってもよく、それにより、GTIデータを有する情報を充実させることができる。例えば、クエリによって、リモートホストアドレスの地理的分布(すなわち、未知のプロトコルについての外部IPが位置する国)のような、プロトコルフィンガープリントについてのグローバルデータ、未知のプロトコル(例えば、悪質なまたは未知の)を使用するリモートホストの評価、および、未知のプロトコルを報告するサイトの数(プロトコルがローカル現象であるのか、または、対象となる脅威であるのかを示す)といった、プロトコルフィンガープリントのグローバルデータを取得してもよい。より具体的な例では、アメリカの銀行では、未知のプロトコルのフィンガープリントを取得し、スレットインテリジェンスサーバ30が、フィンガープリントがロシアのネットワークアドレスで最も頻度高く使用されていると判断すると、アドミニストレータは、この情報に基づいて未知のプロトコルをブロックすることができる。更に、未知のプロトコルに関する知識を収集して、記述的情報およびメタデータを、プロトコルと関連付けることができる。例えば、未知のプロトコルがファイアウォールによって発見され、スレットインテリジェンスサーバに投稿された場合、プロトコルが後にAPTと関連付けられる場合には、スレットインテリジェンスサーバは、ファイアウォールまたはアドミニストレータに警告を行ってもよい。
上記で記載された例は、その他の可能性のある数多くの例および相互作用と共に、2つ、3つまたは4つのネットワーク構成要素の観点で説明されている。しかしながら、これは説明および例示を簡単に行うことを目的としての記載である。これは、オペレーションの所定のセットの1以上の機能を説明するのに、限られた数のネットワーク要素のみを参照する方が容易であることが理由である。ネットワーク環境10は、容易に拡大可能であり、多数の構成要素、より複雑な/高度な配置および構成を含むことができることは明らかである。したがって、本明細書に記載された例は、ネットワーク環境10の範囲または広い教示を限定するものではなく、無数のその他のアーキテクチャに適用可能である。また、フィンガープリントエンジンのような特定のモジュールがネットワーク要素に提供されるといったように、特定のシナリオを参照して説明が増されたが、モジュールは、外部に設けられても、任意の好適な態様で統合および/または組み合わせられていてもよい。ある例では、このような複数のモジュールが、1つの所有単位に提供されてもよい。
また、添付の図面に例示された段階は、ネットワーク環境10内でまたはネットワーク環境によって実行される可能性のあるシナリオおよびパターンの一部のみを示したものである。これら段階は、適切であれば削除または省略可能であり、本明細書に記載される教示の範囲内において、大幅に変更または修正されてもよい。また、複数のオペレーションが、同時に、または、1以上の更なるオペレーションと平行して実行されると記載されたが、これらオペレーションのタイミングを、大幅に変更可能である。上記のオペレーションフローは、例示および説明のために提供されたものである。ネットワーク環境10には、任意の好適な配置、イベントの順番および構成には大幅な変更の余地が与えられ、本明細書に記載される教示の範囲内において、タイミングメカニズムが提供される。
数多くのその他の変更、代替、変形例、改良例および修正が当業者であれば理解でき、本開示は、そのような変更、代替、変形例、改良例および修正についても添付の特許請求の範囲に含むことを意図している。米国特許商法局(USPTO)を支援するべく、および、本願について発行される特許の読者が添付のクレームを解釈するのを支援するべく、出願人は次の事項について留意を望む。(a)特定の請求項において"means for"または"step for"という記載が使用されていない限り、添付の特許請求の範囲について、35USC第112章の第6パラグラフの行使を意図していない。(b)添付の特許請求の範囲に反映されていない限り、本明細書の如何なる記載も、本開示を限定することを意図していない。

Claims (26)

  1. ネットワーク接続を介して受信したデータパケットが未認識のプロトコルを使用しているかを決定する段階と、
    前記未認識のプロトコルを示す前記データパケットの特性を抽出する段階であって、前記特性は、前記データパケットの振る舞いと関連付けられた1以上の特性と、前記データパケットのコンテンツと関連付けられた1以上の特性とを含み、前記データパケットの前記コンテンツと関連付けられた前記1以上の特性は、前記データパケットの前記コンテンツのエントロピーを含む、前記抽出する段階と、
    前記ネットワーク接続を介して受信した前記データパケットから抽出された前記振る舞いと関連付けられた1以上の特性と前記コンテンツのエントロピーとに基づいて、フィンガープリントを生成する段階と、
    前記フィンガープリントに基づいて評価値をリクエストする段階と、
    受信した前記評価値が、前記フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、前記ネットワーク接続に対してポリシーアクションを実行する段階と、を備える方法。
  2. 前記フィンガープリントを監査ログに格納する段階を更に備える請求項1に記載の方法。
  3. 前記フィンガープリントに基づいて、プロトコルについての情報を表示する段階を更に備える請求項1または2に記載の方法。
  4. 前記評価値は更に、前記ネットワーク接続に関連付けられたネットワークアドレスに基づく請求項1から3の何れか一項に記載の方法。
  5. 前記評価値は、前記フィンガープリントと関連付けられたプロトコル評価、および、前記ネットワーク接続に関連付けられた接続評価に基づく請求項1から4の何れか一項に記載の方法。
  6. 前記ポリシーアクションは、前記ネットワーク接続をブロックすることを含む請求項1から5の何れか一項に記載の方法。
  7. 前記ポリシーアクションは、アドミニストレータに警告することを含む請求項1から6の何れか一項に記載の方法。
  8. 前記フィンガープリントが後に悪質なアクティビティと関連付けられた場合には、警告を受信する段階を更に備える請求項1から7の何れか一項に記載の方法。
  9. 前記フィンガープリントに関連付けられたグローバルデータをリクエストする段階と、
    前記フィンガープリントに基づく前記グローバルデータを表示する段階と、を更に備える請求項1から8の何れか一項に記載の方法。
  10. 1以上のプロセッサおよびメモリを備えるシステムであって、
    ネットワーク接続を介して受信したデータパケットが未認識のプロトコルを使用しているかを決定する手段と、
    前記未認識のプロトコルを示す前記データパケットの特性を抽出する手段であって、前記特性は、前記データパケットの振る舞いと関連付けられた1以上の特性と、前記データパケットのコンテンツと関連付けられた1以上の特性とを含み、前記データパケットの前記コンテンツと関連付けられた前記1以上の特性は、前記データパケットの前記コンテンツのエントロピーを含む、前記抽出する手段と、
    前記ネットワーク接続を介して受信した前記データパケットから抽出された前記振る舞いと関連付けられた1以上の特性と前記コンテンツのエントロピーとに基づいて、フィンガープリントを生成する手段と、
    前記フィンガープリントに基づいて評価値をリクエストする手段と、
    受信した前記評価値が、前記フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、前記ネットワーク接続に対してポリシーアクションを実行する手段と、を更に備えるシステム。
  11. 前記フィンガープリントを監査ログに格納する手段を更に備える請求項10に記載のシステム。
  12. 前記フィンガープリントに基づいて、プロトコルについての情報を表示する手段を更に備える請求項10または11に記載のシステム。
  13. 前記評価値は更に、前記ネットワーク接続に関連付けられたネットワークアドレスに基づく請求項10から12の何れか一項に記載のシステム。
  14. 前記評価値は、前記フィンガープリントと関連付けられたプロトコル評価、および、前記ネットワーク接続に関連付けられた接続評価に基づく請求項10から13の何れか一項に記載のシステム。
  15. 前記ポリシーアクションは、前記ネットワーク接続をブロックすることを含む請求項10から14の何れか一項に記載のシステム。
  16. 前記ポリシーアクションは、アドミニストレータに警告することを含む請求項10から15の何れか一項に記載のシステム。
  17. 前記フィンガープリントが後に悪質なアクティビティと関連付けられた場合には、警告を受信する手段を更に備える請求項10から16の何れか一項に記載のシステム。
  18. フィンガープリントエンジンと、
    前記フィンガープリントエンジンと関連する命令を実行可能な1以上のプロセッサとを備え、
    前記1以上のプロセッサは、
    ネットワーク接続を介して受信したデータパケットが未認識のプロトコルを使用しているかを決定する段階と、
    前記未認識のプロトコルを示す前記データパケットの特性を抽出する段階であって、前記特性は、前記データパケットの振る舞いと関連付けられた1以上の特性と、前記データパケットのコンテンツと関連付けられた1以上の特性とを含み、前記データパケットの前記コンテンツと関連付けられた前記1以上の特性は、前記データパケットの前記コンテンツのエントロピーを含む、前記抽出する段階と、
    前記ネットワーク接続を介して受信した前記データパケットから抽出された前記振る舞いと関連付けられた1以上の特性と前記コンテンツのエントロピーとに基づいて、フィンガープリントを生成する段階と、
    前記フィンガープリントに基づいて評価値をリクエストする段階と、
    受信した前記評価値が、前記フィンガープリントが悪質なアクティビティと関連付けられていると示した場合には、前記ネットワーク接続に対してポリシーアクションを実行する段階と、を含むオペレーションを実行する、装置。
  19. 前記オペレーションは更に、前記フィンガープリントを監査ログに格納する段階を有する請求項18に記載の装置。
  20. 前記オペレーションは更に、前記フィンガープリントに基づいて、プロトコルについての情報を表示する段階を有する請求項18または19に記載の装置。
  21. 前記評価値は更に、前記ネットワーク接続に関連付けられたネットワークアドレスに基づく請求項18から20の何れか一項に記載の装置。
  22. 前記評価値は、前記フィンガープリントと関連付けられたプロトコル評価、および、前記ネットワーク接続に関連付けられた接続評価に基づく請求項18から21の何れか一項に記載の装置。
  23. 前記ポリシーアクションは、前記ネットワーク接続をブロックすることを含む請求項18から22の何れか一項に記載の装置。
  24. 前記ポリシーアクションは、アドミニストレータに警告することを含む請求項18から23の何れか一項に記載の装置。
  25. 前記1以上のプロセッサは、前記フィンガープリントが後に悪質なアクティビティと関連付けられた場合には、警告を受信する段階を更に有する前記オペレーションを実行する請求項18から24の何れか一項に記載の装置。
  26. コンピュータに、請求項1から9のいずれか1項に記載の方法を実行させるためのプログラム。
JP2016024185A 2011-06-27 2016-02-10 プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 Pending JP2016136735A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/170,163 2011-06-27
US13/170,163 US9106680B2 (en) 2011-06-27 2011-06-27 System and method for protocol fingerprinting and reputation correlation

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014514938A Division JP5886422B2 (ja) 2011-06-27 2012-06-27 プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法

Publications (1)

Publication Number Publication Date
JP2016136735A true JP2016136735A (ja) 2016-07-28

Family

ID=47363117

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014514938A Active JP5886422B2 (ja) 2011-06-27 2012-06-27 プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法
JP2016024185A Pending JP2016136735A (ja) 2011-06-27 2016-02-10 プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2014514938A Active JP5886422B2 (ja) 2011-06-27 2012-06-27 プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法

Country Status (6)

Country Link
US (1) US9106680B2 (ja)
EP (1) EP2724492B1 (ja)
JP (2) JP5886422B2 (ja)
KR (1) KR101554809B1 (ja)
CN (1) CN103797766B (ja)
WO (1) WO2013003493A2 (ja)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9218461B2 (en) * 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
US9100425B2 (en) 2010-12-01 2015-08-04 Cisco Technology, Inc. Method and apparatus for detecting malicious software using generic signatures
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US9106680B2 (en) 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
IL219499B (en) 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
WO2013179551A1 (ja) * 2012-05-29 2013-12-05 パナソニック株式会社 送信装置、受信装置、通信システム、送信方法、及び受信方法
US10332005B1 (en) * 2012-09-25 2019-06-25 Narus, Inc. System and method for extracting signatures from controlled execution of applications and using them on traffic traces
US20150215334A1 (en) * 2012-09-28 2015-07-30 Level 3 Communications, Llc Systems and methods for generating network threat intelligence
US10129270B2 (en) * 2012-09-28 2018-11-13 Level 3 Communications, Llc Apparatus, system and method for identifying and mitigating malicious network threats
IL226747B (en) * 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
WO2015084327A1 (en) * 2013-12-03 2015-06-11 Hewlett-Packard Development Company, L.P. Security action of network packet based on signature and reputation
JP2016537894A (ja) * 2013-12-20 2016-12-01 マカフィー, インコーポレイテッド 局所/ホームネットワークのためのセキュリティゲートウェイ
US10432658B2 (en) * 2014-01-17 2019-10-01 Watchguard Technologies, Inc. Systems and methods for identifying and performing an action in response to identified malicious network traffic
US10469507B2 (en) 2014-02-28 2019-11-05 British Telecommunications Public Limited Company Malicious encrypted network traffic identification
EP3111612B1 (en) 2014-02-28 2018-03-21 British Telecommunications public limited company Profiling for malicious encrypted network traffic identification
US10419454B2 (en) 2014-02-28 2019-09-17 British Telecommunications Public Limited Company Malicious encrypted traffic inhibitor
US10122687B2 (en) 2014-09-14 2018-11-06 Sophos Limited Firewall techniques for colored objects on endpoints
US9967264B2 (en) 2014-09-14 2018-05-08 Sophos Limited Threat detection using a time-based cache of reputation information on an enterprise endpoint
US9967283B2 (en) 2014-09-14 2018-05-08 Sophos Limited Normalized indications of compromise
US9992228B2 (en) 2014-09-14 2018-06-05 Sophos Limited Using indications of compromise for reputation based network security
US9537841B2 (en) 2014-09-14 2017-01-03 Sophos Limited Key management for compromised enterprise endpoints
US9967282B2 (en) 2014-09-14 2018-05-08 Sophos Limited Labeling computing objects for improved threat detection
US9965627B2 (en) 2014-09-14 2018-05-08 Sophos Limited Labeling objects on an endpoint for encryption management
GB2564589B (en) * 2014-09-14 2019-07-03 Sophos Ltd Labeling computing objects for improved threat detection
US10965711B2 (en) 2014-09-14 2021-03-30 Sophos Limited Data behavioral tracking
US10594707B2 (en) 2015-03-17 2020-03-17 British Telecommunications Public Limited Company Learned profiles for malicious encrypted network traffic identification
WO2016146610A1 (en) 2015-03-17 2016-09-22 British Telecommunications Public Limited Company Malicious encrypted network traffic identification using fourier transform
IL238001B (en) 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
US20170091482A1 (en) * 2015-09-30 2017-03-30 Symantec Corporation Methods for data loss prevention from malicious applications and targeted persistent threats
CN105530098B (zh) * 2015-12-04 2018-10-09 北京浩瀚深度信息技术股份有限公司 一种协议指纹自动提取方法及系统
WO2017109135A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Malicious network traffic identification
EP3394783B1 (en) 2015-12-24 2020-09-30 British Telecommunications public limited company Malicious software identification
WO2017108575A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Malicious software identification
US10764311B2 (en) * 2016-09-21 2020-09-01 Cequence Security, Inc. Unsupervised classification of web traffic users
IL248306B (en) 2016-10-10 2019-12-31 Verint Systems Ltd System and method for creating data sets for learning to recognize user actions
US10237293B2 (en) * 2016-10-27 2019-03-19 Bitdefender IPR Management Ltd. Dynamic reputation indicator for optimizing computer security operations
US10284578B2 (en) 2017-03-06 2019-05-07 International Business Machines Corporation Creating a multi-dimensional host fingerprint for optimizing reputation for IPV6
EP3602999B1 (en) 2017-03-28 2021-05-19 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
CN109845228B (zh) * 2017-09-28 2021-08-31 量子位安全有限公司 用于实时检测网络黑客攻击的网络流量记录系统及方法
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
IL260986B (en) 2018-08-05 2021-09-30 Verint Systems Ltd A system and method for using a user action log to study encrypted traffic classification
EP3623982B1 (en) 2018-09-12 2021-05-19 British Telecommunications public limited company Ransomware remediation
EP3623980B1 (en) 2018-09-12 2021-04-28 British Telecommunications public limited company Ransomware encryption algorithm determination
EP3942740A1 (en) 2019-03-20 2022-01-26 Verint Systems Ltd. System and method for de-anonymizing actions and messages on networks
EP4046337A1 (en) 2019-11-03 2022-08-24 Cognyte Technologies Israel Ltd System and method for identifying exchanges of encrypted communication traffic
IL270392B2 (en) * 2019-11-03 2023-08-01 Cognyte Tech Israel Ltd A system and method for estimating file sizes transmitted over encrypted connections
IL270391B (en) * 2019-11-03 2022-08-01 Cognyte Tech Israel Ltd System and method for detecting file transfers
KR102184485B1 (ko) * 2020-10-05 2020-11-30 크리니티(주) 악성 메일 처리 시스템 및 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533677A (ja) * 2001-03-12 2004-11-04 ヴィディウス インコーポレイテッド デジタルコンテンツの無許可トランスポートを監視するためのシステムおよび方法
JP2005018745A (ja) * 2003-06-23 2005-01-20 Microsoft Corp 高度なスパム検出技法
JP2007104509A (ja) * 2005-10-06 2007-04-19 Nippon F Secure Kk エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム
JP2009296036A (ja) * 2008-06-02 2009-12-17 Hitachi Ltd P2p通信制御システム及び制御方法
WO2010008825A1 (en) * 2008-06-23 2010-01-21 Cloudmark, Inc. Systems and methods for re-evaluating data
US20110099620A1 (en) * 2009-04-09 2011-04-28 Angelos Stavrou Malware Detector

Family Cites Families (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5970066A (en) * 1996-12-12 1999-10-19 Paradyne Corporation Virtual ethernet interface
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US8438241B2 (en) 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US20040047356A1 (en) 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
US8990723B1 (en) 2002-12-13 2015-03-24 Mcafee, Inc. System, method, and computer program product for managing a plurality of applications via a single interface
JP2005182640A (ja) * 2003-12-22 2005-07-07 Japan Telecom Co Ltd ファイアウォール装置、及びそれを用いた通信システム、通信方法
US20100223349A1 (en) 2004-02-03 2010-09-02 Joel Thorson System, method and apparatus for message targeting and filtering
US8201257B1 (en) 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
WO2005116851A2 (en) 2004-05-25 2005-12-08 Postini, Inc. Electronic message source information reputation system
US7756930B2 (en) 2004-05-28 2010-07-13 Ironport Systems, Inc. Techniques for determining the reputation of a message sender
US7680890B1 (en) 2004-06-22 2010-03-16 Wei Lin Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US7415727B1 (en) 2004-06-24 2008-08-19 Mcafee, Inc. System, method, and computer program product for tailoring security responses for local and remote file open requests
US7664819B2 (en) 2004-06-29 2010-02-16 Microsoft Corporation Incremental anti-spam lookup and update service
US7490356B2 (en) 2004-07-20 2009-02-10 Reflectent Software, Inc. End user risk management
US8738708B2 (en) 2004-12-21 2014-05-27 Mcafee, Inc. Bounce management in a trusted communication network
US9160755B2 (en) 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US7562304B2 (en) 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US7822620B2 (en) 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
US7765481B2 (en) 2005-05-03 2010-07-27 Mcafee, Inc. Indicating website reputations during an electronic commerce transaction
US7548544B2 (en) 2005-05-05 2009-06-16 Ironport Systems, Inc. Method of determining network addresses of senders of electronic mail messages
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US7499412B2 (en) * 2005-07-01 2009-03-03 Net Optics, Inc. Active packet content analyzer for communications network
KR100651841B1 (ko) * 2005-07-19 2006-12-01 엘지전자 주식회사 수신 차단 방법
US20070033408A1 (en) 2005-08-08 2007-02-08 Widevine Technologies, Inc. Preventing illegal distribution of copy protected content
US20070056035A1 (en) 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP4509904B2 (ja) * 2005-09-29 2010-07-21 富士通株式会社 ネットワークセキュリティ装置
US20070078675A1 (en) 2005-09-30 2007-04-05 Kaplan Craig A Contributor reputation-based message boards and forums
US7712134B1 (en) * 2006-01-06 2010-05-04 Narus, Inc. Method and apparatus for worm detection and containment in the internet core
US7877801B2 (en) 2006-05-26 2011-01-25 Symantec Corporation Method and system to detect malicious software
US7761912B2 (en) 2006-06-06 2010-07-20 Microsoft Corporation Reputation driven firewall
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US8176178B2 (en) 2007-01-29 2012-05-08 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US7711684B2 (en) 2006-12-28 2010-05-04 Ebay Inc. Collaborative content evaluation
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US20080282338A1 (en) 2007-05-09 2008-11-13 Beer Kevin J System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network
CN100539555C (zh) * 2007-06-01 2009-09-09 清华大学 基于可扩展消息在线协议和信誉机制的电子邮件传送方法
US8584094B2 (en) 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
CN100574310C (zh) * 2007-08-24 2009-12-23 中国科学院计算技术研究所 一种信誉流量控制方法
JP5046836B2 (ja) * 2007-10-02 2012-10-10 Kddi株式会社 不正検知装置、プログラム、および記録媒体
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8321937B2 (en) 2007-11-25 2012-11-27 Trend Micro Incorporated Methods and system for determining performance of filters in a computer intrusion prevention detection system
US20090150236A1 (en) 2007-12-10 2009-06-11 Rhapline, Inc. Digital asset management system and method
US8561129B2 (en) 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
US8893285B2 (en) 2008-03-14 2014-11-18 Mcafee, Inc. Securing data using integrated host-based data loss agent with encryption detection
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US9495538B2 (en) 2008-09-25 2016-11-15 Symantec Corporation Graduated enforcement of restrictions according to an application's reputation
US8341724B1 (en) * 2008-12-19 2012-12-25 Juniper Networks, Inc. Blocking unidentified encrypted communication sessions
US9426179B2 (en) 2009-03-17 2016-08-23 Sophos Limited Protecting sensitive information from a secure data store
US8667121B2 (en) * 2009-03-25 2014-03-04 Mcafee, Inc. System and method for managing data and policies
US8381289B1 (en) 2009-03-31 2013-02-19 Symantec Corporation Communication-based host reputation system
US9081958B2 (en) 2009-08-13 2015-07-14 Symantec Corporation Using confidence about user intent in a reputation system
US8621654B2 (en) 2009-09-15 2013-12-31 Symantec Corporation Using metadata in security tokens to prevent coordinated gaming in a reputation system
EP2326091B1 (en) * 2009-11-13 2015-08-12 NTT DoCoMo, Inc. Method and apparatus for synchronizing video data
US20120174219A1 (en) 2010-05-14 2012-07-05 Mcafee, Inc. Identifying mobile device reputations
IL206240A0 (en) * 2010-06-08 2011-02-28 Verint Systems Ltd Systems and methods for extracting media from network traffic having unknown protocols
US8621591B2 (en) 2010-10-19 2013-12-31 Symantec Corporation Software signing certificate reputation model
US8621618B1 (en) * 2011-02-07 2013-12-31 Dell Products, Lp System and method for assessing whether a communication contains an attack
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US8763072B2 (en) 2011-05-09 2014-06-24 Symantec Corporation Preventing inappropriate data transfers based on reputation scores
US9106680B2 (en) 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004533677A (ja) * 2001-03-12 2004-11-04 ヴィディウス インコーポレイテッド デジタルコンテンツの無許可トランスポートを監視するためのシステムおよび方法
JP2005018745A (ja) * 2003-06-23 2005-01-20 Microsoft Corp 高度なスパム検出技法
JP2007104509A (ja) * 2005-10-06 2007-04-19 Nippon F Secure Kk エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム
JP2009296036A (ja) * 2008-06-02 2009-12-17 Hitachi Ltd P2p通信制御システム及び制御方法
WO2010008825A1 (en) * 2008-06-23 2010-01-21 Cloudmark, Inc. Systems and methods for re-evaluating data
US20110099620A1 (en) * 2009-04-09 2011-04-28 Angelos Stavrou Malware Detector

Also Published As

Publication number Publication date
WO2013003493A2 (en) 2013-01-03
EP2724492A4 (en) 2015-01-28
JP5886422B2 (ja) 2016-03-16
CN103797766A (zh) 2014-05-14
CN103797766B (zh) 2019-06-18
KR20140045448A (ko) 2014-04-16
KR101554809B1 (ko) 2015-09-21
WO2013003493A3 (en) 2013-02-28
US9106680B2 (en) 2015-08-11
JP2014524169A (ja) 2014-09-18
US20120331556A1 (en) 2012-12-27
EP2724492B1 (en) 2021-01-13
EP2724492A2 (en) 2014-04-30

Similar Documents

Publication Publication Date Title
JP5886422B2 (ja) プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法
US11032294B2 (en) Dynamic decryption of suspicious network traffic based on certificate validation
US9838356B2 (en) Encrypted peer-to-peer detection
Ghafir et al. Botdet: A system for real time botnet command and control traffic detection
US9553888B2 (en) Systems and methods for dynamic protection from electronic attacks
US8677487B2 (en) System and method for detecting a malicious command and control channel
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
Miller et al. Traffic classification for the detection of anonymous web proxy routing
Nasser et al. Provably curb man-in-the-middle attack-based ARP spoofing in a local network
Adiwal et al. DNS Intrusion Detection (DID)—A SNORT-based solution to detect DNS amplification and DNS tunneling attacks
Nair et al. Security attacks in internet of things
Arul et al. Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud
Rani et al. Classification of Security Issues and Cyber Attacks in Layered Internet of Things
EP3595257B1 (en) Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device
Wagenaar Detecting botnets using file system indicators
Patel et al. Security Issues, Attacks and Countermeasures in Layered IoT Ecosystem.
Rajan et al. Performance Analysis on Web based traffic control for DDoS attacks
Bortolameotti C&C botnet detection over SSL
Prathyusha et al. A study on cloud security issues
Herbert et al. Adaptable exploit detection through scalable netflow analysis
Garringer The Role of Protocol Analysis in Cybersecurity: Closing the Gap on Undetected Data Breaches
Bhardwaj New Age Cyber Threat Mitigation for Cloud Computing Networks
Nafea A Novel Component Based Framework for Covert Data Leakage Detection
Jammal Multi-Stage Detection Technique for DNS-Based Botnets
RajaKumaran et al. A Systematic Mapping of Security Mechanisms

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170117

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170714

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171212