JP2018533793A - ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 - Google Patents
ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 Download PDFInfo
- Publication number
- JP2018533793A JP2018533793A JP2018521861A JP2018521861A JP2018533793A JP 2018533793 A JP2018533793 A JP 2018533793A JP 2018521861 A JP2018521861 A JP 2018521861A JP 2018521861 A JP2018521861 A JP 2018521861A JP 2018533793 A JP2018533793 A JP 2018533793A
- Authority
- JP
- Japan
- Prior art keywords
- access request
- external access
- dga
- computer system
- malware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
Description
[25]図1は、DGA検出コンピュータシステム11に接続された例示的なDGAホストのクライアントコンピュータシステム10を示し、DGA検出コンピュータシステム11は、DGA標的サーバコンピュータシステム14および時間サーバコンピュータシステム15に、通信ネットワーク12を通じてさらに接続される。クライアントシステム10は、デスクトップ、ラップトップ、タブレット、もしくはスマートフォンなどのエンドユーザコンピュータシステム、またはパーソナルデジタルアシスタント(PDA)、またはウェアラブルコンピューティングデバイス、またはTVもしくは音楽プレーヤなどの家庭用デバイス、またはマルウェアをホストすることがある他の電子デバイスであってよい。クライアントシステム10は、少なくとも1つのハードウェアプロセッサ、メモリ、およびストレージを有し、Windows(登録商標)、MacOS(登録商標)、Linux(登録商標)、Android(登録商標)、またはiOS(登録商標)などのオペレーティングシステムを動かす。いくつかの実施形態において、クライアントシステム10は、ハイパーバイザおよび1つまたは複数の仮想マシンを動かすように構成されてよい。ネットワーク12は、インターネットなどの広域ネットワークであってよいが、ネットワーク12の一部は、ローカルエリアネットワーク(LAN)を含んでもよい。
()=グループを定義する。
[0−9]=0〜9の任意の数字のキャラクタである。
[a−z]=a〜zの任意の文字のキャラクタである。
{n}=先行するグループは、ちょうどn回繰り返されてよく、nは自然数である。
{,n}=先行するグループは、n回しか繰り返されなくてよく、nは自然数である。
{n,}=先行するグループは、少なくともn回繰り返されてよく、nは自然数である。
{m,n}=先行するグループは、m回〜n回の間繰り返されてよく、mおよびnは自然数である。
{m,n,p}=先行するグループは、m回、n回、またはp回繰り返されてよく、m、n、およびpは自然数である。
$=分析されるテキストの終わりである。
Claims (17)
- 少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含む第1のコンピュータシステムであって、前記マイクロプロセッサは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成され、前記ステップは、
第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、前記第1の外部アクセスリクエストは、前記潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析して、前記第1の外部アクセスリクエストに対する前記本来の回答が実時間を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記本来の回答に含まれる本来の実時間を、前記本来の実時間に続く早められた実時間に置換することによって、前記本来の回答から生成される、ステップと、
前記潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、前記第2の外部アクセスリクエストは、前記第1の外部アクセスリクエストが送られた後に送られる、ステップと、
前記第2のアクセスリクエストが成功ではなかったことを示す前記回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、第1のコンピュータシステム。 - 請求項1に記載の第1のコンピュータシステムであって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストのアドレスフィールド内の時間サーバのアドレスを識別するステップを含む、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストに対する前記本来の回答を解析して、前記第1の外部アクセスリクエストに対する前記本来の回答の複数のフィールドから実時間フィールドを識別するステップを含む、第1のコンピュータシステム。
- 請求項3に記載の第1のコンピュータシステムであって、前記実時間フィールドを識別するステップは、前記実時間フィールドの内容を、前記第1のコンピュータシステムによって判定された依存しない実時間の値と比較するステップを含む、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムとは物理的に別個の第2のコンピュータシステムである、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムによってホストされる仮想マシンである、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記ドメイン生成アルゴリズムによって生成されたドメイン名を判定し、前記ドメイン名に従って、前記ドメイン生成アルゴリズムを実行していることが疑われる複数のコンピュータシステムを識別するようにさらに構成される、第1のコンピュータシステム。
- 請求項1に記載の第1のコンピュータシステムであって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記潜在的なDGAマルウェアホストは前記ドメイン生成アルゴリズムを実行するマルウェアを含むと判定することに応答して、前記ドメイン生成アルゴリズムによって生成されたドメイン名を、セキュリティアプリケーションのブラックリストに追加するようにさらに構成される、第1のコンピュータシステム。
- 少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを含む第1のコンピュータシステムであって、前記マイクロプロセッサは、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成され、前記ステップは、
第1の外部アクセスリクエストを解析して、前記第1の外部アクセスリクエストに対する本来の回答が、早められた実時間を含むかどうかを判定するステップであって、前記第1の外部アクセスリクエストは、潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストに対する第1の本来の回答を解析して、前記第1の本来の回答が前記早められた実時間が正確ではないことを示す第1の情報を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記第1の情報を、前記早められた実時間が正確であることを示す第2の情報に置換することによって、前記第1の本来の回答から生成される、ステップと、
第2の外部アクセスリクエストが前記潜在的なDGAマルウェアホストによって第2の外部サイトに送られることに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す第2の本来の回答をインターセプトするステップと、
前記第2の回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、第1のコンピュータシステム。 - 命令を記憶した非一時的コンピュータ可読媒体であって、前記命令は、実行されると、第1のコンピュータシステムの少なくとも1つのメモリおよび少なくとも1つの関連付けられたマイクロプロセッサを、潜在的なドメイン生成アルゴリズム(DGA)マルウェアホストの外部でステップを実行するように構成し、前記ステップは、
第1の外部アクセスリクエストに対する本来の回答をインターセプトするステップであって、前記第1の外部アクセスリクエストは、潜在的なDGAマルウェアホストによって外部サイトに送られる、ステップと、
前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析して、前記第1の外部アクセスリクエストに対する前記本来の回答が実時間を含むかどうかを判定するステップと、
修正された回答を前記潜在的なDGAマルウェアホストに送るステップであって、前記修正された回答は、前記本来の回答に含まれる本来の実時間を、前記本来の実時間に続く早められた実時間に置換することによって、前記本来の回答から生成される、ステップと、
前記潜在的なDGAマルウェアホストによって第2の外部アクセスリクエストが送られたことに応答して、前記第2のアクセスリクエストが成功ではなかったことを示す回答をインターセプトするステップであって、前記第2の外部アクセスリクエストは、前記第1の外部アクセスリクエストが送られた後に送られる、ステップと、
前記第2のアクセスリクエストが成功ではなかったことを示す前記回答をインターセプトすることに応答して、前記潜在的なDGAマルウェアホストはドメイン生成アルゴリズムを実行するマルウェアを含むと判定するステップと
を含む、非一時的コンピュータ可読媒体。 - 請求項10に記載の非一時的コンピュータ可読媒体であって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストのアドレスフィールド内の時間サーバのアドレスを識別するステップを含む、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記第1の外部アクセスリクエストと前記第1の外部アクセスリクエストに対する前記本来の回答とのうち少なくとも1つを解析するステップは、前記第1の外部アクセスリクエストに対する前記本来の回答を解析して、前記第1の外部アクセスリクエストに対する前記本来の回答の複数のフィールドから実時間フィールドを識別するステップを含む、非一時的コンピュータ可読媒体。
- 請求項12に記載の非一時的コンピュータ可読媒体であって、前記実時間フィールドを識別するステップは、前記実時間フィールドの内容を、前記第1のコンピュータシステムによって判定された依存しない実時間の値と比較するステップを含む、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムとは物理的に別個の第2のコンピュータシステムである、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記潜在的なDGAマルウェアホストは、前記第1のコンピュータシステムによってホストされる仮想マシンである、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記ドメイン生成アルゴリズムによって生成されたドメイン名を判定し、前記ドメイン名に従って、前記ドメイン生成アルゴリズムを実行していることが疑われる複数のコンピュータシステムを識別するようにさらに構成される、非一時的コンピュータ可読媒体。
- 請求項10に記載の非一時的コンピュータ可読媒体であって、前記少なくとも1つの関連付けられたマイクロプロセッサは、前記潜在的なDGAマルウェアホストは前記ドメイン生成アルゴリズムを実行するマルウェアを含むと判定することに応答して、前記ドメイン生成アルゴリズムによって生成されたドメイン名を、セキュリティアプリケーションのブラックリストに追加するようにさらに構成される、非一時的コンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/932,765 | 2015-11-04 | ||
US14/932,765 US9819696B2 (en) | 2015-11-04 | 2015-11-04 | Systems and methods for detecting domain generation algorithm (DGA) malware |
PCT/EP2016/076343 WO2017076859A1 (en) | 2015-11-04 | 2016-11-02 | System and methods for detecting domain generation algorithm (dga) malware |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018533793A true JP2018533793A (ja) | 2018-11-15 |
JP6726429B2 JP6726429B2 (ja) | 2020-07-22 |
Family
ID=57286460
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018521861A Active JP6726429B2 (ja) | 2015-11-04 | 2016-11-02 | ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 |
Country Status (13)
Country | Link |
---|---|
US (1) | US9819696B2 (ja) |
EP (1) | EP3371953B1 (ja) |
JP (1) | JP6726429B2 (ja) |
KR (1) | KR102271545B1 (ja) |
CN (1) | CN108353083B (ja) |
AU (1) | AU2016348500B2 (ja) |
CA (1) | CA3002605C (ja) |
ES (1) | ES2880269T3 (ja) |
HK (1) | HK1254971A1 (ja) |
IL (1) | IL258776A (ja) |
RU (1) | RU2726032C2 (ja) |
SG (1) | SG11201803441WA (ja) |
WO (1) | WO2017076859A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9979748B2 (en) * | 2015-05-27 | 2018-05-22 | Cisco Technology, Inc. | Domain classification and routing using lexical and semantic processing |
US10728266B2 (en) * | 2017-08-15 | 2020-07-28 | Check Point Software Technologies Ltd. | Methods and systems for identifying malware enabled by automatically generated domain names |
US10979451B2 (en) | 2018-02-14 | 2021-04-13 | Cisco Technology, Inc. | Autonomous domain generation algorithm (DGA) detector |
US11075947B2 (en) * | 2018-06-26 | 2021-07-27 | Cisco Technology, Inc. | Virtual traffic decoys |
US10862854B2 (en) | 2019-05-07 | 2020-12-08 | Bitdefender IPR Management Ltd. | Systems and methods for using DNS messages to selectively collect computer forensic data |
US11729134B2 (en) * | 2019-09-30 | 2023-08-15 | Palo Alto Networks, Inc. | In-line detection of algorithmically generated domains |
KR102265955B1 (ko) * | 2019-12-18 | 2021-06-16 | 주식회사 쏘마 | 악성 코드 실행 방지를 위한 악성 코드 탐지 방법 및 도메인 생성 알고리즘 탐지 방법 |
KR102638308B1 (ko) * | 2021-12-21 | 2024-02-20 | 주식회사 윈스 | DNS 트래픽 분석을 통한 자동화 DDoS 감지 방법 및 장치 |
US20230259614A1 (en) * | 2022-02-14 | 2023-08-17 | Mellanox Technologies, Ltd. | Malicious activity detection in memory of a data processing unit using machine learning detection models |
US20230262076A1 (en) * | 2022-02-14 | 2023-08-17 | Mellanox Technologies, Ltd. | Malicious domain generation algorithm (dga) detection in memory of a data processing unit using machine learning detection models |
US11582247B1 (en) * | 2022-04-19 | 2023-02-14 | Palo Alto Networks, Inc. | Method and system for providing DNS security using process information |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07175734A (ja) * | 1993-12-20 | 1995-07-14 | Ricoh Co Ltd | ローカルエリアネットワーク |
US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
US20140310811A1 (en) * | 2013-04-11 | 2014-10-16 | F-Secure Corporation | Detecting and Marking Client Devices |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5444780A (en) | 1993-07-22 | 1995-08-22 | International Business Machines Corporation | Client/server based secure timekeeping system |
DE10014522C2 (de) * | 2000-03-23 | 2003-08-21 | Siemens Ag | Verfahren und Anordnung zur Zulässigkeitsprüfung einer Dienstnutzung |
US8327448B2 (en) | 2005-06-22 | 2012-12-04 | Intel Corporation | Protected clock management based upon a non-trusted persistent time source |
US8220031B2 (en) | 2007-05-01 | 2012-07-10 | Texas Instruments Incorporated | Secure time/date virtualization |
US8161160B2 (en) * | 2008-02-28 | 2012-04-17 | Microsoft Corporation | XML-based web feed for web access of remote resources |
US9501644B2 (en) * | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
US8516585B2 (en) | 2010-10-01 | 2013-08-20 | Alcatel Lucent | System and method for detection of domain-flux botnets and the like |
RU103643U1 (ru) * | 2010-11-01 | 2011-04-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система противодействия фишинг атакам |
US8763117B2 (en) | 2012-03-02 | 2014-06-24 | Cox Communications, Inc. | Systems and methods of DNS grey listing |
CN102833337B (zh) * | 2012-08-30 | 2016-03-02 | 北京星网锐捷网络技术有限公司 | 一种ftp文件上传、下载方法及装置 |
US9077546B1 (en) * | 2012-11-27 | 2015-07-07 | Symnatec Corporation | Two factor validation and security response of SSL certificates |
US8990513B2 (en) * | 2013-01-11 | 2015-03-24 | International Business Machines Corporation | Accelerated recovery for snooped addresses in a coherent attached processor proxy |
CN103634315B (zh) * | 2013-11-29 | 2017-11-10 | 哈尔滨工业大学(威海) | 域名服务器的前端控制方法及系统 |
CN104580185B (zh) * | 2014-12-30 | 2017-12-01 | 北京工业大学 | 一种网络访问控制的方法和系统 |
-
2015
- 2015-11-04 US US14/932,765 patent/US9819696B2/en active Active
-
2016
- 2016-11-02 JP JP2018521861A patent/JP6726429B2/ja active Active
- 2016-11-02 KR KR1020187012077A patent/KR102271545B1/ko active IP Right Grant
- 2016-11-02 AU AU2016348500A patent/AU2016348500B2/en active Active
- 2016-11-02 SG SG11201803441WA patent/SG11201803441WA/en unknown
- 2016-11-02 CN CN201680064630.2A patent/CN108353083B/zh active Active
- 2016-11-02 ES ES16794548T patent/ES2880269T3/es active Active
- 2016-11-02 RU RU2018118828A patent/RU2726032C2/ru active
- 2016-11-02 WO PCT/EP2016/076343 patent/WO2017076859A1/en active Application Filing
- 2016-11-02 EP EP16794548.4A patent/EP3371953B1/en active Active
- 2016-11-02 CA CA3002605A patent/CA3002605C/en active Active
-
2018
- 2018-04-17 IL IL258776A patent/IL258776A/en active IP Right Grant
- 2018-11-05 HK HK18114078.6A patent/HK1254971A1/zh unknown
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH07175734A (ja) * | 1993-12-20 | 1995-07-14 | Ricoh Co Ltd | ローカルエリアネットワーク |
US20120303808A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Using dns communications to filter domain names |
US20120304244A1 (en) * | 2011-05-24 | 2012-11-29 | Palo Alto Networks, Inc. | Malware analysis system |
CN103842965A (zh) * | 2011-05-24 | 2014-06-04 | 帕洛阿尔托网络公司 | 恶意软件分析系统 |
JP2014519113A (ja) * | 2011-05-24 | 2014-08-07 | パロ・アルト・ネットワークス・インコーポレーテッド | マルウェア解析システム |
JP2014519751A (ja) * | 2011-05-24 | 2014-08-14 | パロ・アルト・ネットワークス・インコーポレーテッド | ドメイン名をフィルタリングするためのdns通信の使用 |
US20140310811A1 (en) * | 2013-04-11 | 2014-10-16 | F-Secure Corporation | Detecting and Marking Client Devices |
Non-Patent Citations (1)
Title |
---|
福田 鉄平: "DGAの時間的局所性を用いたボットネット検知手法の実装と評価", 電子情報通信学会技術研究報告 VOL.114 NO.489, vol. 第114巻, JPN6020012192, 24 February 2015 (2015-02-24), JP, pages 19 - 24, ISSN: 0004244986 * |
Also Published As
Publication number | Publication date |
---|---|
JP6726429B2 (ja) | 2020-07-22 |
AU2016348500B2 (en) | 2020-04-30 |
EP3371953A1 (en) | 2018-09-12 |
CN108353083B (zh) | 2021-02-26 |
SG11201803441WA (en) | 2018-05-30 |
IL258776A (en) | 2018-06-28 |
US20170126706A1 (en) | 2017-05-04 |
EP3371953B1 (en) | 2021-05-12 |
US9819696B2 (en) | 2017-11-14 |
CN108353083A (zh) | 2018-07-31 |
AU2016348500A1 (en) | 2018-05-10 |
KR102271545B1 (ko) | 2021-07-05 |
RU2726032C2 (ru) | 2020-07-08 |
RU2018118828A3 (ja) | 2020-03-25 |
RU2018118828A (ru) | 2019-12-05 |
WO2017076859A1 (en) | 2017-05-11 |
CA3002605C (en) | 2022-03-29 |
KR20180081053A (ko) | 2018-07-13 |
HK1254971A1 (zh) | 2019-08-02 |
CA3002605A1 (en) | 2017-05-11 |
ES2880269T3 (es) | 2021-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6726429B2 (ja) | ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法 | |
EP3430557B1 (en) | System and method for reverse command shell detection | |
Rastogi et al. | Are these Ads Safe: Detecting Hidden Attacks through the Mobile App-Web Interfaces. | |
Nikiforakis et al. | You are what you include: large-scale evaluation of remote javascript inclusions | |
Lu et al. | Blade: an attack-agnostic approach for preventing drive-by malware infections | |
US9135443B2 (en) | Identifying malicious threads | |
US20150172305A1 (en) | Systems and methods for incubating malware in a virtual organization | |
RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
US20140223566A1 (en) | System and method for automatic generation of heuristic algorithms for malicious object identification | |
Kedrowitsch et al. | A first look: Using linux containers for deceptive honeypots | |
US11416613B2 (en) | Attack detection through exposure of command abuse | |
Shao et al. | Understanding in-app ads and detecting hidden attacks through the mobile app-web interface | |
Tanabe et al. | Evasive malware via identifier implanting | |
Musch et al. | Server-Side Browsers: Exploring the Web's Hidden Attack Surface | |
EP3999985A1 (en) | Inline malware detection | |
Takata et al. | MineSpider: Extracting hidden URLs behind evasive drive-by download attacks | |
Kaur et al. | UAC: a lightweight and scalable approach to detect malicious web pages | |
EP3522057B1 (en) | System and method of detecting hidden behavior of a browser extension | |
US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
Wu et al. | Detection of Android Malware Behavior in Browser Downloads | |
Al Shamsi | Mapping, Exploration, and Detection Strategies for Malware Universe | |
Hovmark et al. | Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS | |
Hsu et al. | A Cloud-based Protection approach against JavaScript-based attacks to browsers | |
RU2673407C1 (ru) | Система и способ определения вредоносного файла | |
Rahman | Characterisation and detections of third-party content loading in the web |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190521 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200331 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200327 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200508 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200601 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200624 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6726429 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |