JP5878560B2 - 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 - Google Patents
悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 Download PDFInfo
- Publication number
- JP5878560B2 JP5878560B2 JP2013550585A JP2013550585A JP5878560B2 JP 5878560 B2 JP5878560 B2 JP 5878560B2 JP 2013550585 A JP2013550585 A JP 2013550585A JP 2013550585 A JP2013550585 A JP 2013550585A JP 5878560 B2 JP5878560 B2 JP 5878560B2
- Authority
- JP
- Japan
- Prior art keywords
- network content
- malicious
- network
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 62
- 238000012545 processing Methods 0.000 claims description 17
- 230000008569 process Effects 0.000 claims description 13
- 241001481833 Coryphaena hippurus Species 0.000 claims 2
- 238000004458 analytical method Methods 0.000 description 58
- 238000001514 detection method Methods 0.000 description 38
- 238000004891 communication Methods 0.000 description 36
- 206010042635 Suspiciousness Diseases 0.000 description 19
- 230000006870 function Effects 0.000 description 13
- 241000700605 Viruses Species 0.000 description 11
- 230000004044 response Effects 0.000 description 10
- 238000007689 inspection Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 6
- 230000002159 abnormal effect Effects 0.000 description 5
- 239000007921 spray Substances 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 230000007704 transition Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 4
- 230000003278 mimic effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000006378 damage Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000009931 harmful effect Effects 0.000 description 3
- 210000003813 thumb Anatomy 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本出願は、「悪意あるネットワークコンテンツを検出するシステムおよび方法」を発明の名称とし、2008年11月3日に提出された米国特許出願12/263,971号の一部継続出願である。
本出願は、「仮想マシン上でのリプレイによる経験則ベースのキャプチャ」を発明の名称とし、2006年4月20日に提出された同時係属中の米国特許出願11/409,355号にも関連する。当該関連出願は、「コンピュータウイルス防御システムおよび方法」を発明の名称とし、2005年6月13日に提出された米国特許出願11/152,286号の一部継続出願である。当該一部継続出願は、「コンピュータウイルス防御システムおよび方法」を発明の名称とし、2004年6月14日に提出された米国特許仮出願60/579,910の優先権の利益を主張するものである。
米国特許出願11/409,355号は、「コンピュータウイルスを検出するシステムおよび方法」を発明の名称とし、2005年3月31日に提出された米国特許出願11/096,287号の一部継続出願でもある。当該一部継続出願は、「コンピュータウイルスを検出するシステムおよび方法」を発明の名称とし、2004年4月1日に提出された米国特許仮出願60/559,198の優先権の利益を主張するものである。
米国特許出願11/409,355号は、「コンピュータウイルスをインターセプトするシステムおよび方法」を発明の名称とし、2005年6月13日に提出された米国特許出願11/151,812号の一部継続出願でもある。当該一部継続出願は、「コンピュータウイルスをインターセプトするシステムおよび方法」を発明の名称とし、2004年6月14日に提出された米国特許仮出願60/579,953の優先権の利益を主張するものである。
上記各特許出願の内容は、ここに参照として取り込まれる。
本出願は、「仮想マシン上でのリプレイによる経験則ベースのキャプチャ」を発明の名称とし、2006年4月20日に提出された同時係属中の米国特許出願11/409,355号にも関連する。当該関連出願は、「コンピュータウイルス防御システムおよび方法」を発明の名称とし、2005年6月13日に提出された米国特許出願11/152,286号の一部継続出願である。当該一部継続出願は、「コンピュータウイルス防御システムおよび方法」を発明の名称とし、2004年6月14日に提出された米国特許仮出願60/579,910の優先権の利益を主張するものである。
米国特許出願11/409,355号は、「コンピュータウイルスを検出するシステムおよび方法」を発明の名称とし、2005年3月31日に提出された米国特許出願11/096,287号の一部継続出願でもある。当該一部継続出願は、「コンピュータウイルスを検出するシステムおよび方法」を発明の名称とし、2004年4月1日に提出された米国特許仮出願60/559,198の優先権の利益を主張するものである。
米国特許出願11/409,355号は、「コンピュータウイルスをインターセプトするシステムおよび方法」を発明の名称とし、2005年6月13日に提出された米国特許出願11/151,812号の一部継続出願でもある。当該一部継続出願は、「コンピュータウイルスをインターセプトするシステムおよび方法」を発明の名称とし、2004年6月14日に提出された米国特許仮出願60/579,953の優先権の利益を主張するものである。
上記各特許出願の内容は、ここに参照として取り込まれる。
本出願は、主にネットワークセキュリティに関連し、より具体的には、悪意あるネットワークコンテンツの検出に関連する。
現在、悪意あるネットワークコンテンツ(悪意あるソフトウェア、マルウェアなど)が通信ネットワークを経由して様々な装置を攻撃可能である。例えば、マルウェアは、コンピュータユーザにとって有害なプログラムやファイルを含みうる。例えば、ボット、コンピュータウイルス、ワーム、トロイの木馬、アドウェア、スパイウェア、コンピュータユーザの情報を収集したり、当該ユーザの許可なく動作したりするプログラミングが挙げられる。
アドウェアは、コンピュータや特定のユーザに広告を宛てるプログラムである。一例として、アドウェアは、様々なウェブサイトをブラウザで訪問したコンピュータとユーザの少なくとも一方を特定する。するとウェブサイトは、ポップアップ広告を生成したり、特定の広告をユーザのブラウザに宛てるべく、アドウェアを使用しうる。
スパイウェアは、ユーザ、コンピュータ、およびユーザのネットワーク習慣の少なくとも1つに係る情報を収集するプログラムである。一例として、スパイウェアは、ユーザが閲覧したウェブサイトの名称と種別に係る情報を収集し、当該情報を別のコンピュータに送信しうる。
アドウェアとスパイウェアは、これらをホストするウェブサイトをユーザが閲覧した後に当該ユーザのコンピュータに追加されることが多い。ユーザはこれらのプログラムが追加されたことに気づかないことが多い。アドウェアやスパイウェアの機能についても同様である。
スパイウェアは、ユーザ、コンピュータ、およびユーザのネットワーク習慣の少なくとも1つに係る情報を収集するプログラムである。一例として、スパイウェアは、ユーザが閲覧したウェブサイトの名称と種別に係る情報を収集し、当該情報を別のコンピュータに送信しうる。
アドウェアとスパイウェアは、これらをホストするウェブサイトをユーザが閲覧した後に当該ユーザのコンピュータに追加されることが多い。ユーザはこれらのプログラムが追加されたことに気づかないことが多い。アドウェアやスパイウェアの機能についても同様である。
悪意あるネットワークコンテンツが引き起こしうる問題を防ぐために、様々な処理や装置が用いられている。例えば、コンピュータは、アンチウイルススキャンソフトを内蔵することが多い。当該ソフトは、特定のクライアント装置におけるウイルスをスキャンする。またコンピュータは、スパイウェアとアドウェアの少なくとも一方をスキャンするソフトウェアを内蔵しうる。スキャンは手動で実行されてもよいし、そのコンピュータに関わるユーザやシステム管理者などによって指定されたスケジュールに基づいて実行されてもよい。残念なことに、そのスキャンソフトによってウイルスやスパイウェアが検出されるまでは、そのコンピュータにおけるダメージや、プライバシーの損失がすでに生じているおそれがある。
悪意あるソフトウェアコンテンツは、ボットを備えている場合がある。ボットは、デジタル装置(コンピュータなど)の少なくとも一部を、当該デジタル装置に係る正規所有者の許可なく遠隔制御するように構成されたソフトウェアロボットである。ボットに関わる動作としては、ボットの伝搬や、ネットワーク上における他のコンピュータの攻撃が含まれる。ボットは、ネットワーク上で動作しているノード(例えばコンピュータやその他のデジタル装置)をスキャンし、脆弱なターゲットを探すことにより、広く伝搬する。脆弱なコンピュータが見つかると、ボットは自身のコピーを当該コンピュータにインストールしうる。インストールが済むと、新たなボットは、感染させるネットワーク上の他のコンピュータの探索を継続しうる。ボットは、悪意あるウェブサイトからも伝搬しうる。当該サイトは、そのウェブページを訪れた脆弱なコンピュータにつけこむように構成されている。
ボットは、感染したコンピュータユーザの許可なく、コマンドを生成し、命令を受信する通信チャネルを制御しうる。またボットは、コマンドを受信し、中央ボットサーバや他の感染したコンピュータからの通信を制御しうる。当該通信は、例えば、感染したコンピュータ上のボットにより形成されたピアツーピア(P2P)ネットワークを経由して行なわれる。複数のボット(いわゆるボットネット)がともに動作すると、感染したコンピュータ(いわゆるゾンビ)は、ネットワーク上の少なくとも1つのコンピュータに対して組織化された攻撃を行なったり、犯罪活動に関与したりすることがある。少なくとも1つのボットが、命令を受信すると感染したコンピュータに宛ててスパムを送信しうる例もある。認可されていない医薬品を販売する医薬品ウェブサイトのような不法ビジネスを、ボットがホストしうる例もある。
悪意あるネットワークコンテンツは、例えばウェブサイトやHTTP標準に基づいて動作するサーバを経由してネットワークに広がりうる。このようにして広がった悪意あるネットワークコンテンツは、これをホストするウェブサイトにアクセスするだけで、ユーザの承諾や認識を伴うことなく積極的にダウンロードされ、当該ユーザのコンピュータにインストールされうる。悪意あるネットワークコンテンツをホストするウェブサイトは、悪意あるウェブサイトと称されることがある。
悪意あるネットワークコンテンツは、悪意あるウェブサイトにホストされたウェブページに付随するデータに埋め込まれうる。例えば、ウェブページはジャバスクリプト(JavaScript:登録商標)コードを含みうる。そして悪意あるネットワークコンテンツは、当該ジャバスクリプトコードに埋め込まれうる。本例において、ジャバスクリプトコードに埋め込まれた悪意あるネットワークコンテンツは見つかりにくくされうる。当該ジャバスクリプトコードが実行されるまで、それが悪意あるネットワークコンテンツを含んでいることが判らないようにするためである。したがって、悪意あるネットワークコンテンツは、アンチウイルスソフト、ファイヤーウォール、侵入検知システムなどにより検出される前に、ユーザのコンピュータを攻撃したり感染させたりしうる。
悪意あるネットワークコンテンツは、悪意あるウェブサイトにホストされたウェブページに付随するデータに埋め込まれうる。例えば、ウェブページはジャバスクリプト(JavaScript:登録商標)コードを含みうる。そして悪意あるネットワークコンテンツは、当該ジャバスクリプトコードに埋め込まれうる。本例において、ジャバスクリプトコードに埋め込まれた悪意あるネットワークコンテンツは見つかりにくくされうる。当該ジャバスクリプトコードが実行されるまで、それが悪意あるネットワークコンテンツを含んでいることが判らないようにするためである。したがって、悪意あるネットワークコンテンツは、アンチウイルスソフト、ファイヤーウォール、侵入検知システムなどにより検出される前に、ユーザのコンピュータを攻撃したり感染させたりしうる。
N. Provos, P, Mavrommatis, M. A. Rajab, and F. Monrose, "All your iFRAMEs Point to Us," Google Technical Report Provos-2008a, February 4, 2008
2009年の始まり頃、ボットの作者の間では、ウェブ媒介攻撃を伝搬させるためにアドビシステム社のポータブルドキュメントフォーマット(PDF)形式の悪意ある文書を用いることが広く知られていた。悪意あるPDF文書は、犯罪者によって制御されたウェブサーバによってホストされ、当該ウェブサーバへのリンクが他の多くのウェブサイトによって作成された。よって不慣れなユーザは、悪意あるPDFをブラウザおよびPDFリーダにロードさせるウェブサイトを、偶然かつ無認識のうちに閲覧してしまい、ユーザのコンピュータアカウントやコンピュータ全体が支配下に置かれる可能性があった。これにより、悪意あるボットソフトがインストールされうる状況となる。
幾つかの実施形態によれば、本発明は、悪意あるポータブルドキュメントフォーマット(PDF)形式のネットワークコンテンツを検出する方法に係る。当該方法は、少なくとも以下のステップを含みうる。
(a)受信したPDFネットワークコンテンツの少なくとも一部を検査し、当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれていることを示す少なくとも1つの不審性があるかを判断する。
(b)当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれていると判断された場合、当該PDFネットワークコンテンツの少なくとも一部を少なくとも1つの仮想マシンに提供し、当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれているかを検証する。
(a)受信したPDFネットワークコンテンツの少なくとも一部を検査し、当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれていることを示す少なくとも1つの不審性があるかを判断する。
(b)当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれていると判断された場合、当該PDFネットワークコンテンツの少なくとも一部を少なくとも1つの仮想マシンに提供し、当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれているかを検証する。
ネットワークコンテンツは、ネットワークを通じて送信されるデータ(すなわちネットワークデータ)を含みうる。ネットワークデータは、テキスト、ソフトウェア、画像、音声、その他のデジタルデータを含みうる。
一例として、ネットワークコンテンツは、ウェブコンテンツや、HTTP(HyperTextTransfer Protocol)、HTTP(HyperText Markup Language Protocol)、あるいはウェブブラウザソフトウェアアプリケーション上での表示に適した手法を用いて転送されうるネットワークデータを含みうる。
別例として、ネットワークコンテンツは、電子メールプロトコルを用いて転送されうる電子メールメッセージを含みうる。電子メールプロトコルとしては、SMTP(Simple Mail Transfer Protocol)、POP3(Post Office Protocol version 3)、IMAP4(Internet Message Access Protocol)が挙げられる。
さらに別例として、ネットワークコンテンツは、インスタントメッセージングプロトコルを用いて転送されうるインスタントメッセージを含みうる。インスタントメッセージングプロトコルとしては、SIP(Session Initiation Protocol)、XMPP(eXtensible Messaging and Presence Protocol)などが挙げられる。
さらにネットワークコンテンツは、FTP(File Transfer Protocol)のような他のデータ転送プロトコルを用いて転送されうるネットワークデータを含みうる。
ここではネットワークコンテンツを、ネットワークプロトコルヘッダ情報と区別する。ネットワークプロトコルヘッダ情報は、ネットワークコンテンツの宛先を指定し、送信経路を決定し、送り届けるために用いられる。
一例として、ネットワークコンテンツは、ウェブコンテンツや、HTTP(HyperTextTransfer Protocol)、HTTP(HyperText Markup Language Protocol)、あるいはウェブブラウザソフトウェアアプリケーション上での表示に適した手法を用いて転送されうるネットワークデータを含みうる。
別例として、ネットワークコンテンツは、電子メールプロトコルを用いて転送されうる電子メールメッセージを含みうる。電子メールプロトコルとしては、SMTP(Simple Mail Transfer Protocol)、POP3(Post Office Protocol version 3)、IMAP4(Internet Message Access Protocol)が挙げられる。
さらに別例として、ネットワークコンテンツは、インスタントメッセージングプロトコルを用いて転送されうるインスタントメッセージを含みうる。インスタントメッセージングプロトコルとしては、SIP(Session Initiation Protocol)、XMPP(eXtensible Messaging and Presence Protocol)などが挙げられる。
さらにネットワークコンテンツは、FTP(File Transfer Protocol)のような他のデータ転送プロトコルを用いて転送されうるネットワークデータを含みうる。
ここではネットワークコンテンツを、ネットワークプロトコルヘッダ情報と区別する。ネットワークプロトコルヘッダ情報は、ネットワークコンテンツの宛先を指定し、送信経路を決定し、送り届けるために用いられる。
通信ネットワークを通じて演算装置に転送される悪意あるネットワークコンテンツ(悪意あるウェブコンテンツなど)を検出するために、受信システム上におけるネットワークコンテンツの受信と処理をシミュレーションする仮想マシンが用いられうる。当該ネットワークコンテンツが悪意あるものかの判断は、仮想マシンの当該ネットワークコンテンツに対する応答に基づいてなされうる。不審なネットワークコンテンツが悪意なしと判断されることもある。仮想マシンにおける不審なネットワークコンテンツの処理は、当該不審なネットワークコンテンツが実際に悪意あるものかを判断し、誤って悪意ありとみなされることを防止するために重要なステップである。悪意あるネットワークコンテンツの検出時における誤判定は、不審なネットワークコンテンツを仮想マシン内で処理し、当該不審なネットワークコンテンツに対する当該仮想マシンの応答を分析して悪意あるネットワークコンテンツを検出することにより、回避されうる。
従来は、悪意あるネットワークコンテンツをホストするウェブサーバと演算装置間のネットワークにおいてプロキシが用いられうる。プロキシは、当該演算装置上で動作するウェブブラウザにより発行されるネットワークコンテンツの要求をインターセプトしうる。そしてプロキシは、演算装置の代理としてウェブサーバに要求を発行しうる。プロキシは、当該要求に対する応答をウェブサーバより受信しうる。そしてプロキシは、悪意あるネットワークコンテンツを検出するために、当該要求と応答を含むデータ交換を仮想マシン上で処理し、当該データ交換に対する仮想マシンの応答を評価しうる。悪意あるネットワークコンテンツが検出されない場合、プロキシは、要求されたネットワークコンテンツを要求元の演算装置に提供しうる。
各データ交換は仮想マシンを用いて処理されるため、この手法は非常に演算負荷が高く、ネットワーク上の多くの演算装置に対して拡張可能ではない。また要求されたネットワークコンテンツは、それが悪意あるネットワークコンテンツを含んでいないと判断されるまでは演算装置に届けられないため、ネットワークコンテンツを要求してから届けられるまでの間に顕著な遅れが発生する。
非特許文献1は、大型のウェブリポジトリおよび不審なURLのコーパスを用いたウェブマルウェアの分析について報告している。非特許文献1においては、ウェブリポジトリ内のウェブページから特徴を抽出し、当該特徴を尤度スコアに変換するために、まず分析用のデータが前処理フェーズにおいて機械学習フレームワークを用いて収集される。次に、機械学習フレームワークにより特定された候補を検証する検証フェーズにおいて、仮想マシンが用いられる。ウェブリポジトリ内のウェブページの約0.1%が、検証フェーズにおいて仮想マシンにより処理される。非特許文献1は、リポジトリ内の各URLを余すところなく検査することは、法外なコストを伴うとしている。非特許文献1において用いられているシステムは、クローラに依存している。クローラは、リポジトリ内のデータを検査のために収集すべく、ウェブ内を徐々に進んでいく。仮想マシン内での検査のために進行中のネットワーク上におけるウェブページを検査・選択することはできない。
図1は、悪意あるネットワークコンテンツの検出環境100の例を示す図である。悪意あるネットワークコンテンツの検出環境100は、サーバ装置105、クライアント装置110、およびタップ115(データアクセスコンポーネントとしても知られる)を備える。これらの各々は通信ネットワーク120と結合されている。
様々な実施形態において、サーバ装置105とクライアント装置110はそれぞれ複数であってもよい。
タップ115は、さらに悪意あるネットワークコンテンツの検出システム125と結合されている。悪意あるネットワークコンテンツの検出システム125は、ネットワークコンテンツ(ウェブコンテンツなど)が悪意あるネットワークコンテンツを含むと判定されるまで、これをインターセプトあるいは保持するのではなく、ネットワークコンテンツの流通を監視しうる。悪意あるネットワークコンテンツの検出システム125は、通信ネットワーク120を通じて流通するネットワークコンテンツを検査し、不審なネットワークコンテンツを特定し、当該不審なネットワークコンテンツを仮想マシンで分析することにより悪意あるネットワークコンテンツを検出するように構成されうる。
このように、悪意あるネットワークコンテンツの検出システム125は、演算効率が高く、データトラフィック量と通信ネットワークを通じて通信を行なう演算装置の数の増加に対してスケーラブルでありうる。したがって、悪意あるネットワークコンテンツの検出システム125は、悪意あるネットワークコンテンツの検出環境100におけるボトルネックとはなりえない。
様々な実施形態において、サーバ装置105とクライアント装置110はそれぞれ複数であってもよい。
タップ115は、さらに悪意あるネットワークコンテンツの検出システム125と結合されている。悪意あるネットワークコンテンツの検出システム125は、ネットワークコンテンツ(ウェブコンテンツなど)が悪意あるネットワークコンテンツを含むと判定されるまで、これをインターセプトあるいは保持するのではなく、ネットワークコンテンツの流通を監視しうる。悪意あるネットワークコンテンツの検出システム125は、通信ネットワーク120を通じて流通するネットワークコンテンツを検査し、不審なネットワークコンテンツを特定し、当該不審なネットワークコンテンツを仮想マシンで分析することにより悪意あるネットワークコンテンツを検出するように構成されうる。
このように、悪意あるネットワークコンテンツの検出システム125は、演算効率が高く、データトラフィック量と通信ネットワークを通じて通信を行なう演算装置の数の増加に対してスケーラブルでありうる。したがって、悪意あるネットワークコンテンツの検出システム125は、悪意あるネットワークコンテンツの検出環境100におけるボトルネックとはなりえない。
通信ネットワーク120は、インターネットのような公衆コンピュータネットワークや、無線電話ネットワーク、広域ネットワーク、ローカルエリアネットワーク、あるいはこれらの組合せのような私的コンピュータネットワークを含みうる。通信ネットワーク120は、あらゆる種類のネットワークを含み、異なる種類のデータ通信に用いられうるが、例示の目的で、ウェブデータの通信について以下述べることとする。
サーバ装置105とクライアント装置110は、デジタル装置を含みうる。デジタル装置の例としては、コンピュータ、サーバ、ラップトップ、個人用携帯情報端末、携帯電話などが挙げられる。サーバ装置105は、通信ネットワーク120を通じてネットワークデータをクライアント装置110に送信するように構成されうる。クライアント装置110は、サーバ装置105からのネットワークデータを受信するように構成されうる。ネットワークデータは、ネットワーク通信プロトコル(HTTPなど)を用いて送信されたウェブページのような、ネットワークコンテンツを含みうる。
様々な実施形態において、サーバ装置105は、ネットワークコンテンツを提供するように構成されたウェブサーバを含みうる。クライアント装置110は、ネットワークコンテンツの読出しと表示の少なくとも一方を行なうように構成されたウェブラウザを含みうる。
様々な実施形態において、サーバ装置105は、ネットワークコンテンツを提供するように構成されたウェブサーバを含みうる。クライアント装置110は、ネットワークコンテンツの読出しと表示の少なくとも一方を行なうように構成されたウェブラウザを含みうる。
タップ115は、ネットワークデータを監視し、当該ネットワークデータのコピーを悪意ネットワークコンテンツの検出システム125に提供するように構成されたデジタルデータタップを含みうる。ネットワークデータは、通信ネットワーク120を通じて送信され、サーバ装置105からクライアント装置110へのデータフローを含む信号およびデータを備えうる。一例として、タップ115は、ネットワークデータの監視およびコピーを、サーバ装置105、クライアント装置110、通信ネットワーク120の性能低下が認識されることなく実行する。タップ115は、ネットワークデータの任意の部分をコピーしうる。例えば、タップ115は、ネットワークデータから任意の数のデータパケットを受信し、コピーしうる。
幾つかの実施形態においては、ネットワークデータが、少なくとも1つのデータフローにまとめられ、悪意あるネットワークコンテンツの検出システム125に提供されうる。
様々な実施形態において、タップ115は、サンプリングスキームに基づいてネットワークデータをサンプリングしうる。データフローは、当該サンプリングされたネットワークデータに再構成されうる。
様々な実施形態において、タップ115は、サンプリングスキームに基づいてネットワークデータをサンプリングしうる。データフローは、当該サンプリングされたネットワークデータに再構成されうる。
またタップ115は、ネットワークデータからメタデータを保存しうる。メタデータは、サーバ装置105とクライアント装置110の少なくとも一方と関連付けられうる。例えば、メタデータは、サーバ装置105とクライアント装置110の少なくとも一方を特定しうる。
別の実施形態においては、後述するヒューリスティックモジュール130が、メタデータを生成するためにネットワークデータ中のデータパケットを分析することにより、サーバ装置105とクライアント装置110を特定しうる。
別の実施形態においては、後述するヒューリスティックモジュール130が、メタデータを生成するためにネットワークデータ中のデータパケットを分析することにより、サーバ装置105とクライアント装置110を特定しうる。
悪意ネットワークコンテンツの検出システム125は、タップ115からネットワークデータを受信するデジタル装置、ソフトウェア、あるいはこれらの組合せを含みうる。悪意ネットワークコンテンツの検出システム125は、ヒューリスティックモジュール130、経験則データベース135、スケジューラ140、仮想マシンプール145、および分析環境150を含む。
幾つかの実施形態においては、タップ115が、悪意ネットワークコンテンツの検出システム125に含まれうる。
幾つかの実施形態においては、タップ115が、悪意ネットワークコンテンツの検出システム125に含まれうる。
ヒューリスティックモジュール130は、タップ115からネットワークデータのコピーを受信し、当該データに経験則を適用してネットワークデータが不審なネットワークコンテンツを含んでいるかを判定する。ヒューリスティックモジュール130により適用される経験則は、経験則データベース135に保存されているデータと規則の少なくとも一方に基づきうる。一例として、ヒューリスティックモジュール130は、経験則分析を適用した後、ネットワークデータが不審であるとのフラグを立てうる。そのネットワークデータは次いでバッファされ、データフローにまとめられうる。そのデータフローは、次いでスケジューラ140に提供されうる。
幾つかの実施形態においては、不審なネットワークデータが、バッファされたりデータフローにまとめられたりすることなく、スケジューラ140に直接提供されうる。
その他の実施形態において、仮想マシンによる後の読出しのために、データフローグループ(関連するウェブページ要求と応答のセットなど)の通知が、スケジューラ140に対してなされうる。
幾つかの実施形態においては、不審なネットワークデータが、バッファされたりデータフローにまとめられたりすることなく、スケジューラ140に直接提供されうる。
その他の実施形態において、仮想マシンによる後の読出しのために、データフローグループ(関連するウェブページ要求と応答のセットなど)の通知が、スケジューラ140に対してなされうる。
ヒューリスティックモジュール130は、少なくとも1つの経験則分析をネットワークデータに対して行ないうる。ヒューリスティックモジュール130は、タップ115により過去にコピーされた特定のデータフローに所属するデータパケットを保持しうる。一例として、ヒューリスティックモジュール130は、タップ115からデータパケットを受信し、当該データパケットをバッファあるいは他のメモリに保存する。ヒューリスティックモジュール130が所定数のデータパケットを特定のデータフローから受信すると、ヒューリスティックモジュール130は、経験則分析と確率分析の少なくとも一方を実行しうる。
幾つかの実施形態においては、ヒューリスティックモジュール130が、データフローに所属するデータパケットのセットに対して経験則分析を行ない、当該データパケットをバッファあるいは他のメモリに保存する。そしてヒューリスティックモジュール130は、同じデータフローに所属する新たなデータパケットの読み出しを継続しうる。同じデータフローに所属する所定数の新たなデータパケットが読み出されると、不審なネットワークコンテンツの尤度を特定するために、バッファされたデータパケットと新たなデータパケットの組合せに対して経験則分析が行なわれうる。
幾つかの実施形態においては、任意のバッファが、フラグの立てられたネットワークデータをヒューリスティックモジュール130から受信する。当該バッファは、フラグの立てられたネットワークデータを保存し、少なくとも1つのデータフローにまとめるために用いられうる。その後、当該少なくとも1つのデータフローが、スケジューラ140に提供される。一例として、当該バッファは、ネットワークデータを保存することにより、悪意ネットワークコンテンツの検出システム125における他のコンポーネントが機能の遂行や、データ渋滞の解消を可能にする。
幾つかの実施形態においては、ヒューリスティックモジュール130が、仮想マシンの処理対象となりうるネットワークコンテンツデータのコピーを維持し、要求に応じて提供しうる(例えば、後に仮想マシン内でウェブブラウザ実行され、それ以前にネットワーク上に送信されたエンティティを要求したとき)。ヒューリスティックモジュール130がこのデータをメモリ内に保持する時間の長さは、そのデータの不審さ、システムにかかる負荷の程度、および他の要因の少なくとも1つに基づきうる。
スケジューラ140は、クライアント装置110を特定し、当該クライアント装置110に関連付けられた仮想マシンを読み出しうる。仮想マシンは、装置(クライアント装置110など)の動作を模倣するように構成されたソフトウェアである。仮想マシンは、仮想マシンプール145から読み出されうる。さらに、スケジューラ140は、クライアント装置110上で動作するウェブブラウザを特定し、当該ウェブブラウザに関連付けられた仮想マシンを読み出しうる。
幾つかの実施形態においては、ヒューリスティックモジュール130が、クライアント装置110を特定するメタデータをスケジューラ140に送信する。
別の実施形態においては、スケジューラ140が、ネットワークデータにおける少なくとも1つのデータパケットを、ヒューリスティックモジュール130から受信し、クライアント装置110を特定するために当該少なくとも1つのデータパケットを分析する。
さらに別の実施形態においては、メタデータがタップ115から受信されうる。
別の実施形態においては、スケジューラ140が、ネットワークデータにおける少なくとも1つのデータパケットを、ヒューリスティックモジュール130から受信し、クライアント装置110を特定するために当該少なくとも1つのデータパケットを分析する。
さらに別の実施形態においては、メタデータがタップ115から受信されうる。
スケジューラ140は、仮想マシンを読み出し、クライアント装置110の関連する動作特性を模倣するように当該仮想マシンを構成しうる。一例として、スケジューラ140は、タップ115によりコピーされたネットワークデータにより影響を受けるクライアント装置110の特徴のみを模倣するように、仮想マシンの特性を構成する。スケジューラ140は、ネットワークデータにより影響を受けるクライアント装置110の特徴を、タップ115からの当該ネットワークデータを受信および分析することにより、決定しうる。そのようなクライアント装置110の特徴としては、ネットワークデータを受信するためのポート、ネットワークデータに応答するためにデバイスドライバ、およびネットワークデータに応答可能かつクライアント装置110に結合あるいは装備された他の装置の選択が含まれうる。
他の実施形態においては、ヒューリスティックモジュール130が、ネットワークデータにより影響を受けるクライアント装置110の特徴を、タップ115からの当該ネットワークデータを受信および分析することにより、決定しうる。ヒューリスティックモジュール130は、当該クライアント装置の特徴を、スケジューラ140に送信しうる。
他の実施形態においては、ヒューリスティックモジュール130が、ネットワークデータにより影響を受けるクライアント装置110の特徴を、タップ115からの当該ネットワークデータを受信および分析することにより、決定しうる。ヒューリスティックモジュール130は、当該クライアント装置の特徴を、スケジューラ140に送信しうる。
仮想マシンプール145は、少なくとも1つの仮想マシンを保存するように構成されうる。仮想マシンプール145は、ソフトウェアと、ソフトウェアを保存可能な記憶媒体の少なくとも一方を含みうる。一例として、仮想マシンプール145は、単一の仮想マシンを保存する。当該単一の仮想マシンは、スケジューラ140によって、通信ネットワーク120上のクライアント装置110の動作を模倣するように構成されうる。仮想マシンプール145は、様々なクライアント装置110の動作をシミュレートするように構成されうる任意の数の独立した仮想マシンを保存しうる。
分析環境150は、ネットワークコンテンツをクライアント装置110から受信した後に、当該ネットワークコンテンツがクライアント装置110に与える影響を分析するために、サーバ装置105からのネットワークデータの受信と表示の少なくとも一方をシミュレートする。分析環境150は、仮想マシンにより実行されたネットワークコンテンツがクライアント装置110に与える影響のシミュレーションを分析することにより、マルウェアや悪意あるネットワークコンテンツの影響を特定しうる。ネットワークコンテンツの複数のフローをシミュレートするために、複数の分析環境150が設けられてもよい。分析環境150については、図2を参照しつつ、さらに説明する。
図1は、サーバ装置105からクライアント装置110へ送信されるデータを示しているが、どちらの装置も相互にデータの送受信が可能である。同様に、2つの装置のみが示されているが、任意の数の装置が通信ネットワーク120を通じてデータの送受信を行ないうる。さらに、タップ115は、通信ネットワーク120や、これに接続された装置の性能に目に見える影響を与えることなく、複数の装置から送信されるデータの監視とコピーを行なうことが可能である。
図2は、分析環境150の例を示す。分析環境150は、レプレイヤ205、仮想スイッチ210、および仮想マシン215を含む。リプレイヤ205は、ヒューリスティックモジュール130によってフラグが立てられたネットワークコンテンツを受信し、当該ネットワークコンテンツを、仮想スイッチ210を介して仮想マシン215に提供する(すなわち、ネットワークコンテンツをリプレイする)。
幾つかの実施形態においては、リプレイヤ205は、フラグが立てられたネットワークコンテンツの送信時におけるサーバ装置105の挙動を模倣する。サーバ装置105とクライアント装置110間におけるネットワークコンテンツの送信をシミュレートする任意の数のリプレイヤ205が設けられうる。
別の実施形態においては、リプレイヤ205が、リプレイされるプロトコルシーケンスにおける「現実の」クライアントやサーバをエミュレートするために、必要に応じてセッション変数を直接変更しうる。一例として、直接置き換えられる動的変数は、直接割り当てられたポート、トランザクションID、および各プロトコルセッションについて動的である他の変数を含む。
幾つかの実施形態においては、リプレイヤ205は、フラグが立てられたネットワークコンテンツの送信時におけるサーバ装置105の挙動を模倣する。サーバ装置105とクライアント装置110間におけるネットワークコンテンツの送信をシミュレートする任意の数のリプレイヤ205が設けられうる。
別の実施形態においては、リプレイヤ205が、リプレイされるプロトコルシーケンスにおける「現実の」クライアントやサーバをエミュレートするために、必要に応じてセッション変数を直接変更しうる。一例として、直接置き換えられる動的変数は、直接割り当てられたポート、トランザクションID、および各プロトコルセッションについて動的である他の変数を含む。
仮想スイッチ210は、フラグを立てられたネットワークコンテンツのパケットを仮想マシン215に送ることができるソフトウェアを含みうる。一例として、リプレイヤ205は、サーバ装置105によるデータフローの送信をシミュレートする。仮想スイッチ210は通信ネットワーク120をシミュレートし、仮想マシン215はクライアント装置110をシミュレートする。仮想スイッチ210は、データフローのパケットを仮想マシン215の正しいポートへ送りうる。
幾つかの実施形態においては、仮想マシン215におけるクライアントソフトウェア(ウェブブラウザなど)からデータがキャッシュされているヒューリスティックモジュール130へのデータ要求が、リプレイヤによってプロキシされうる。ヒューリスティックモジュール130から仮想マシン215上で動作しているクライアントソフトウェアへの応答も、リプレイヤによってプロキシされうる。
仮想マシン215は、スケジューラ140によって分析環境150に提供されうるクライアント装置110のリプレゼンテーションを含む。一例として、スケジューラ140は、仮想マシン215のインスタンスを仮想マシンプール145から読み出し、クライアント装置110を模倣するように仮想マシン215を構成する。そうして構成された仮想マシン215は、分析環境150に提供され、フラグが立てられたネットワークコンテンツを仮想スイッチ210から受信しうる。
分析環境150がネットワークコンテンツの送受信をシミュレートすることにより、仮想マシン215の無権限活動に係る挙動が厳重に監視されうる。仮想マシン215がクラッシュしたり、不法な動作を行なったり、異常動作をしたり、無権限エンティティ(無権限のコンピュータユーザやボットなど)へのデータアクセスを許可したりすると、分析環境150が反応しうる。一例として、分析環境150は、コマンドをクライアント装置110に送信し、サーバ装置105からのネットワークコンテンツやデータフローの受け入れを停止する。
幾つかの実施形態においては、特定種のマルウェアや悪意あるネットワークコンテンツを判断するために、分析環境150が、仮想マシン215の挙動を監視・分析する。また分析環境150は、新種のウイルス、ワーム、ボッツ、アドウェア、スパイウェア、その他のマルウェアや悪意あるネットワークコンテンツを排除するように構成されたコンピュータコードを生成しうる。
様々な実施形態において、分析環境150は、マルウェアや悪意あるネットワークコンテンツにより与えられたダメージを修復するように構成されたコンピュータコードを生成する。不審なネットワークコンテンツの送受信をシミュレーションし、かつ仮想マシン215の応答を分析することにより、分析環境150は、コンピュータシステムがダメージを与えられたり、危険に晒されたりする前に、既知あるいは未特定のマルウェアおよび悪意あるネットワークコンテンツを特定しうる。
様々な実施形態において、分析環境150は、マルウェアや悪意あるネットワークコンテンツにより与えられたダメージを修復するように構成されたコンピュータコードを生成する。不審なネットワークコンテンツの送受信をシミュレーションし、かつ仮想マシン215の応答を分析することにより、分析環境150は、コンピュータシステムがダメージを与えられたり、危険に晒されたりする前に、既知あるいは未特定のマルウェアおよび悪意あるネットワークコンテンツを特定しうる。
図3は、悪意あるネットワークコンテンツを検出する方法300の例を示す。
ステップ305においては、ネットワークコンテンツのパケットがインターセプトあるいはコピーされる。パケットは、サーバ装置105と宛先(クライアント装置110など)の間のネットワークデータ転送において、例えばタップ115などによって、インターセプトとコピーの少なくとも一方が行なわれうる。パケットは、ネットワークコンテンツのようなデータの要求や、要求に応答して提供されるデータを含みうる。
ステップ305においては、ネットワークコンテンツのパケットがインターセプトあるいはコピーされる。パケットは、サーバ装置105と宛先(クライアント装置110など)の間のネットワークデータ転送において、例えばタップ115などによって、インターセプトとコピーの少なくとも一方が行なわれうる。パケットは、ネットワークコンテンツのようなデータの要求や、要求に応答して提供されるデータを含みうる。
ステップ310においては、ネットワークコンテンツのパケットが検査される。ヒューリスティックモジュール130は、ネットワークコンテンツのパケットが不審なものであるかを検査するために、少なくとも1つの経験則を利用しうる。不審なネットワークコンテンツは、パケット内に悪意あるネットワークコンテンツやマルウェアが存在する可能性を示す。
ネットワークコンテンツのパケットは、別のネットワークコンテンツのパケットを含むデータフローの一部でありうる。例えば、ネットワークコンテンツのパケットは、ウェブページの一部を表現しうる。一方、データフローにおいて関連する他のパケットは、ウェブページの別の一部を表現しうる。ネットワークコンテンツのパケットは、データフローに含まれるネットワークコンテンツのパケット群が連続あるいは並行して検査されうるように、当該関連する他のパケットとともに保存されうる。悪意あるネットワークコンテンツの検出システムは、ネットワークコンテンツのパケット群、およびデータフローの少なくとも一部を保存しうる。データフローとデータパケット群は、検査のために任意のタイミングで任意の期間(数秒から数分、数十分よりも長く)保存されうる。
高いデータ転送速度の通信ネットワークを通じてのデータフローをより長い時間保存することを容易にするため、多数のデータパケットに含まれる大容量のデータオブジェクトが切り捨てられて、代表的なデータパケットの小容量のサブセットとされうる。データオブジェクトの切捨ては、ネットワーク通信帯域幅の大半が大容量のデータオブジェクトのごく一部によって利用される場合(動画の場合など)において、とりわけ有用である。例えば、動画データは、少数のデータパケット(最初の数パケットなど)に切り捨てられうる。大容量のデータパケットが切り捨てられる程度は、利用可能なメモリ量、データ帯域幅、データオブジェクトの種別、その他の因子に依存しうる。
データフローを保存するために割り当てられたメモリ量は、データ種別のようなデータフローの特性にも依存しうる。一例として、8ビットのストリーム、テキストストリーム、HTMLストリーム、および様々なバイナリストリームには、1メガバイト(MB)が割り当てられうる。動画、音声、その他ほとんどのデータ種には、128キロバイト(kB)が割り当てられうる。悪意あるネットワークコンテンツの検出精度を維持し、メモリの制限内で動作しつつ、分析スループットを向上させるために、各データフロー種の保存に割り当てられるメモリ量は、動的にあるいは定期的に調整されうる。
データフローを保存するために割り当てられたメモリ量は、データ種別のようなデータフローの特性にも依存しうる。一例として、8ビットのストリーム、テキストストリーム、HTMLストリーム、および様々なバイナリストリームには、1メガバイト(MB)が割り当てられうる。動画、音声、その他ほとんどのデータ種には、128キロバイト(kB)が割り当てられうる。悪意あるネットワークコンテンツの検出精度を維持し、メモリの制限内で動作しつつ、分析スループットを向上させるために、各データフロー種の保存に割り当てられるメモリ量は、動的にあるいは定期的に調整されうる。
ステップ315においては、ネットワークコンテンツの不審性が特定される。ヒューリスティックモジュール130は、ステップ310におけるネットワークコンテンツ検査の結果として、ネットワークコンテンツの不審性を特定しうる。文字列やキーワードといったパケットの特性が、ステップ310において用いられた経験則の条件に合致すると判断されると、ネットワークコンテンツの不審性あるいは「特徴」が特定される。特定された特徴は、参照および分析のために保存されうる。
幾つかの実施形態においては、パケット全体が検査に供され、次のステップに進む前に複数の特徴が特定されうる。
幾つかの実施形態においては、ネットワークコンテンツを含む複数のパケットにわたる分析の結果として、特徴が特定されうる。
幾つかの実施形態においては、パケット全体が検査に供され、次のステップに進む前に複数の特徴が特定されうる。
幾つかの実施形態においては、ネットワークコンテンツを含む複数のパケットにわたる分析の結果として、特徴が特定されうる。
経験則に用いられるキーワードは、近似ベイズ確率論的分析を行なうことにより選択されうる。当該分析は、HTML仕様における全てのキーワードに対して、悪意あるネットワークコンテンツのコーパスおよび悪意なきネットワークコンテンツのコーパスを用いて行なわれる。近似ベイズ確率論的分析は、ベイズ理論と単純ベイズ分類法の少なくとも一方の原理に基づきうる。例えば、悪意あるネットワークコンテンツにキーワードが出現する確率Pmは、悪意あるネットワークコンテンツのコーパスを用いて計算されうる。一方、悪意なきネットワークコンテンツにキーワードが出現する確率Pnは、悪意なきネットワークコンテンツのコーパスを用いて計算されうる。あるキーワードは、計算された比Pm/Pnに基づくスコアが不審度閾値を上回る場合に、悪意あるネットワークコンテンツと関連付けられる不審性を有するものとして特定されうる。不審度閾値は、1、10、30、60、100以上の値、あるいは、不審性がどの程度であるかを示す他の値とされうる。すなわち、ネットワークコンテンツが悪意なきものであるよりは、悪意あるものであろうことを示しうる値とされうる。
ステップ320においては、ステップ315で特定された不審性が悪意あるネットワークコンテンツを示す確率に係るスコアが決定される。近似ベイズ確率論的分析は、リアルタイムで実行されうる。あるいは、過去に行なわれた近似ベイズ確率論的分析に基づくルックアップテーブルを用いて実行されうる。
例えば、特定の特徴がパケット中の悪意あるネットワークコンテンツの存在に関連付けられる相対確率スコアを決定するために、近似ベイズ確率論的分析が、悪意あるネットワークコンテンツのコーパスと通常あるいは悪意なきネットワークコンテンツのコーパスを比較することにより行なわれうる。特徴は、ステップ310で用いられた経験則の条件に合致するパケットの特性(文字列やキーワード列など)を含みうる。また特徴は、順次あるいは並列に検査された少なくとも1つのパケットに関連する特性を含みうる。一例として、特徴は、文字列「eval(unescape(」を含みうる。当該文字列は、ジャバスクリプトの「eval」コマンド引数内にネストされたジャバスクリプトの「unescape」コマンドを示す。特徴の別例は、方法400におけるステップ445を参照して後述する。
悪意あるネットワークコンテンツのパケット中に特徴が存在する確率Pf|mは、悪意なきネットワークコンテンツのコーパスを分析することにより計算される。悪意なきネットワークコンテンツのパケット中に特徴が存在する確率Pf|nは、悪意なきネットワークコンテンツのコーパスを分析することにより計算される。悪意あり確率スコアは、特徴が悪意あるネットワークコンテンツに関連付けられる相対確率因子Pf|mの2を底とする対数として計算される。悪意あり確率スコアは、悪意あるネットワークコンテンツのパケット中に特徴が存在する確率の2を底とする対数と、悪意なきネットワークコンテンツのパケット中に特徴が存在する確率の2を底とする対数の比を計算することにより求められる。相対確率因子は、次式で表される。
悪意あるネットワークコンテンツのパケット中に特徴が存在する確率Pf|mは、悪意なきネットワークコンテンツのコーパスを分析することにより計算される。悪意なきネットワークコンテンツのパケット中に特徴が存在する確率Pf|nは、悪意なきネットワークコンテンツのコーパスを分析することにより計算される。悪意あり確率スコアは、特徴が悪意あるネットワークコンテンツに関連付けられる相対確率因子Pf|mの2を底とする対数として計算される。悪意あり確率スコアは、悪意あるネットワークコンテンツのパケット中に特徴が存在する確率の2を底とする対数と、悪意なきネットワークコンテンツのパケット中に特徴が存在する確率の2を底とする対数の比を計算することにより求められる。相対確率因子は、次式で表される。
log2(Pm|f)=log2(Pf|m)/log2(Pf|n) (式1)
log2(Pm|f)の値の大きさ(すなわち悪意あり確率スコア)は、不審なネットワークコンテンツが悪意あるネットワークコンテンツを含む確率を示しうる。例えば、11という計算結果は、悪意あるネットワークコンテンツ内における特徴の現れやすさが、悪意なきネットワークコンテンツ内の場合よりも約2000倍大きいことを示しうる。同様に、12という計算結果は、悪意あるネットワークコンテンツ内における特徴の現れやすさが約4000倍であることを示しうる。
幾つかの実施形態においては、悪意ありコーパスと悪意なしコーパスの少なくとも一方が、モニタされるネットワークデータ通信量に応じて連続的に更新されうる。また特徴に関連付けられた悪意あり確率スコアが、コーパスの更新に応じて連続的に更新されうる。
他の実施形態においては、特徴が特定される際に参照するためのルックアップテーブルに予め計算された悪意あり確率スコアが保存される前に、コーパスが生成および使用されうる。悪意あるネットワークコンテンツの顕著な確率に関連付けられた特徴は、コーパスの変更に伴って変更しうる。
他の実施形態においては、特徴が特定される際に参照するためのルックアップテーブルに予め計算された悪意あり確率スコアが保存される前に、コーパスが生成および使用されうる。悪意あるネットワークコンテンツの顕著な確率に関連付けられた特徴は、コーパスの変更に伴って変更しうる。
ステップ325においては、ステップ320で計算された特徴の悪意あり確率スコアが分析閾値に達した場合、悪意あるネットワークコンテンツが特定あるいはフラグ立てされうる。分析閾値は、1、10、30、60、100、1000、2000、あるいはより大きな数を上回る値とされうる。分析閾値は、予め設定されうる。あるいは悪意あるネットワークコンテンツの検出システム125の動作条件に基づいて可変とされうる。悪意あり確率スコアが分析閾値に達しなかった場合、悪意あり確率スコアに関連付けられた特徴に対して何も行なわれなくともよい。あるいは、分析が次のステップに進行しうる。例えば、仮想マシン(例えば仮想マシン215)による処理を通じた分析を行なうステップ330に進行しうる。
幾つかの実施形態においては、優先度を各特徴とパケット全体の少なくとも一方に割り当てるために、ステップ320で計算された全ての悪意あり確率スコアが、分析閾値と比較されうる。優先度は、様々な因子に基づいて計算されうる。因子の例としては、パケット内で特定された特徴の数や、パケット中の特徴に係る悪意あり確率スコアの最大値、平均値、中間値などが挙げられる。
幾つかの実施形態においては、優先度を各特徴とパケット全体の少なくとも一方に割り当てるために、ステップ320で計算された全ての悪意あり確率スコアが、分析閾値と比較されうる。優先度は、様々な因子に基づいて計算されうる。因子の例としては、パケット内で特定された特徴の数や、パケット中の特徴に係る悪意あり確率スコアの最大値、平均値、中間値などが挙げられる。
分析閾値は、悪意あるネットワークコンテンツの検出システム125の動作条件に基づいて適応可能とされうる。あるいは当該動作条件に基づいて頻繁に更新されうる。
例えば、閾値は、検査されるネットワークコンテンツのパケット量に応じて動的に更新されうる。ステップ310においてネットワークデータ送信からインターセプトやコピーがされるデータパケット量が増えると、検査されるデータパケットの量も増える。これにより演算負荷が増加し、データパケットのより詳細な分析のために利用可能な演算帯域幅を大きくできない。したがって、より詳細な分析のために利用可能な演算帯域幅の減少を補うために、閾値が大きくされうる。
別例として、閾値は、より詳細な分析に用いられる少なくとも1つの仮想マシンの利用可能性に応じて動的に更新されうる。閾値は、悪意あるネットワークコンテンツを示す顕著な可能性を有する特徴のみが仮想マシンを用いて処理されるように、設定されうる。例えば、1000を超える特徴のうち、50未満が顕著とみなされうる。
例えば、閾値は、検査されるネットワークコンテンツのパケット量に応じて動的に更新されうる。ステップ310においてネットワークデータ送信からインターセプトやコピーがされるデータパケット量が増えると、検査されるデータパケットの量も増える。これにより演算負荷が増加し、データパケットのより詳細な分析のために利用可能な演算帯域幅を大きくできない。したがって、より詳細な分析のために利用可能な演算帯域幅の減少を補うために、閾値が大きくされうる。
別例として、閾値は、より詳細な分析に用いられる少なくとも1つの仮想マシンの利用可能性に応じて動的に更新されうる。閾値は、悪意あるネットワークコンテンツを示す顕著な可能性を有する特徴のみが仮想マシンを用いて処理されるように、設定されうる。例えば、1000を超える特徴のうち、50未満が顕著とみなされうる。
複数の動的適応性のある閾値が用いられうる。それらは相互に同期されうる。例えば、スケジューラ140は、待ち行列に入れられた不審なネットワークコンテンツを処理するために割り当てられるべき仮想マシンを決定するために、閾値を用いうる。スケジューラ140の閾値は、仮想マシンを実行することによる分析環境150用に利用可能な演算リソースの不足によって大きくなりうる。ヒューリスティックモジュール130は、特定された特徴に経験則が適用可能かを判断するために、別の閾値を用いうる。ヒューリスティックモジュール130の閾値は、特定された特徴の悪意あり確率スコアに基づきうる。スケジューラ140の閾値が大きくなると、ヒューリスティックモジュール130の閾値も大きくなりうる。これは、特定された特徴に対して運用中の経験則に基づいて不審なネットワークコンテンツにフラグを立てることが適切でないためである。また、スケジューラ140の演算リソースの非効率的な使用は、スケジューラ140内の閾値が増すことにより、仮想マシンにおける不審なネットワークコンテンツを処理しない。
ステップ325において、さらなる分析のために不審なネットワークコンテンツにフラグが立てられた後、当該不審なネットワークコンテンツを含む保存されたデータフロー全体が再分析されうる。データフロー内の特徴が閾値よりも大きな悪意あり確率スコアを有することが見出されることにより、各特徴は、より高い悪意あり確率スコアを与えられうる。
データフロー中に見出された各特徴の優先度は、高められうる。不審なネットワークコンテンツに関わるドメインに関連付けられた全てのデータパケットおよびデータフローは、キャッシュされ、そうでない場合よりも高い優先度と悪意あり確率スコアが与えられうる。
スケジューラ140は、データフローにおいてフラグが立てられた不審なネットワークコンテンツの各々を処理するために、仮想マシンを実行しうる。当該処理は、個別に、優先度の順に、元の登場順に、あるいはその他の順序にしたがって行なわれうる。仮想マシンは、より優先度の高いものに割り込まれるまでは、目前の不審なネットワークコンテンツを処理しうる。
データフロー中に見出された各特徴の優先度は、高められうる。不審なネットワークコンテンツに関わるドメインに関連付けられた全てのデータパケットおよびデータフローは、キャッシュされ、そうでない場合よりも高い優先度と悪意あり確率スコアが与えられうる。
スケジューラ140は、データフローにおいてフラグが立てられた不審なネットワークコンテンツの各々を処理するために、仮想マシンを実行しうる。当該処理は、個別に、優先度の順に、元の登場順に、あるいはその他の順序にしたがって行なわれうる。仮想マシンは、より優先度の高いものに割り込まれるまでは、目前の不審なネットワークコンテンツを処理しうる。
ステップ330においては、不審なネットワークコンテンツを処理するために仮想マシンが実行される。仮想マシンは、当該マシン上で動作するウェブブラウザにおける不審なネットワークコンテンツを、効果的にリプレイしうる。
ヒューリスティックモジュール130は、当該不審なネットワークコンテンツを含むパケットを、当該パケット中に存在する特徴のリストおよび各特徴に対応付けられた悪意あり確率スコアとともに、スケジューラ140に提供しうる。
あるいは、ヒューリスティックモジュール130は、当該不振なネットワークコンテンツを含むパケットを示すポインタを、スケジューラ140に提供しうる。これによりスケジューラ140は、ヒューリスティックモジュール130と共有するメモリを経由して当該パケットにアクセスしうる。
別の実施形態においては、ヒューリスティックモジュール130が、パケットに係る識別情報をスケジューラ140に提供しうる。これによりスケジューラ140、リプレイヤ205や仮想マシンが、必要に応じて当該パケットに係るデータについて、ヒューリスティックモジュール130にクエリを行ないうる。
ヒューリスティックモジュール130は、当該不審なネットワークコンテンツを含むパケットを、当該パケット中に存在する特徴のリストおよび各特徴に対応付けられた悪意あり確率スコアとともに、スケジューラ140に提供しうる。
あるいは、ヒューリスティックモジュール130は、当該不振なネットワークコンテンツを含むパケットを示すポインタを、スケジューラ140に提供しうる。これによりスケジューラ140は、ヒューリスティックモジュール130と共有するメモリを経由して当該パケットにアクセスしうる。
別の実施形態においては、ヒューリスティックモジュール130が、パケットに係る識別情報をスケジューラ140に提供しうる。これによりスケジューラ140、リプレイヤ205や仮想マシンが、必要に応じて当該パケットに係るデータについて、ヒューリスティックモジュール130にクエリを行ないうる。
またヒューリスティックモジュール130は、パケットの優先度と当該パケット中に存在する特徴の少なくとも一方を提供しうる。次いでスケジューラ140は、仮想マシンを仮想マシンプール145からロードして構成を行ない、不審なネットワークコンテンツを処理するために当該仮想マシンを分析環境150に割り当てうる。仮想マシンは、最小限の量の処理を実行するように、あるいは最小限の時間(45秒など)だけ動作するように構成されうる。当該最小限の時間が経過すると、仮想マシンは、別の仮想マシンを割り当てるためのスケジューラ140による割り込みを受けうる。複数の仮想マシンが同時に動作しうる。
スケジューラ140は、ヒューリスティックモジュール130により提供された優先度に応じて、どの特徴を最初に処理するかを選択しうる。スケジューラ140は、分析環境150において既に別の特徴、パケット、あるいはパケット群のセットを処理あるいは分析している別の仮想マシンを、ロードされた仮想マシンの割り当てに先立って終了させうる。例えば、別の特徴を処理している別の仮想マシンにより演算リソースが占有され、ロードされた仮想マシンを実行できないことがある。スケジューラ140は、仮想マシンに処理されている特徴の優先度、仮想マシンが既にどれくらいの時間を処理に費やしているか、あるいはその他の理由に基づいて、終了させる仮想マシン(群)を選択しうる。
スケジューラ140は、新たに特定された不審なネットワークコンテンツに基づいて、仮想マシンに処理されるべく既に待ち行列にある不審なネットワークコンテンツの優先順位を変更しうる。例えば、新たに特定された不審なネットワークコンテンツと共通に特定されたドメインが存在する場合、既に待ち行列に入れられた不審なネットワークコンテンツの優先順位が変更されうる。多くの不審なネットワークコンテンツが単一のドメインに関連付けられている場合、当該ドメインに関連付けられている全てのネットワークコンテンツの優先度を高くできる。
分析環境150におけるリプレイヤ205は、仮想マシンにより要求されたネットワークコンテンツの記録をとりうる。既にスケジューラ140の待ち行列にある不審なネットワークコンテンツが要求され、先に割り当てられた他の不審なネットワークコンテンツを処理しつつ、当該順番待ちの不審なネットワークコンテンツが処理される場合、および順番待ちの不審なネットワークコンテンツが悪意ありとみなされなかった場合、スケジューラ140は、当該順番待ちの不審なネットワークコンテンツを待ち行列から削除しうる。このようにして、演算要求が削減されうる。ある不審なネットワークコンテンツは、別の不審なネットワークコンテンツにその都度参照されるのではなく、一度だけ仮想マシンで処理されるためである。
ステップ335においては、不審なネットワークコンテンツが検出される。検出は、当該不審なネットワークコンテンツに対する仮想マシンの応答を分析することにより行なわれる。分析環境150は、不審なネットワークコンテンツが実際に悪意あるネットワークコンテンツであるかを識別すべく仮想マシンをモニタするように構成されうる。分析環境150は、異常なメモリアクセス、実行可能な処理の異常な生成、異常なネットワーク通信、クラッシュ、異常な動作の変化などについて、仮想マシンをモニタしうる。分析環境150は、監視された仮想マシンの挙動に応じて、不審なネットワークコンテンツに悪意あるネットワークコンテンツであることを示すフラグを立てうる。
仮想マシンが悪意あるネットワークコンテンツを検出することなく、不審なネットワークコンテンツの処理時間が所定量を上回った場合、スケジューラ140は、演算リソースを解放するために当該仮想マシンを終了させうる。所定量の時間は、仮想マシンによる処理を待つ不審なネットワークコンテンツの待ち行列、不審なネットワークコンテンツが悪意あるネットワークコンテンツである確率、利用可能な演算リソースなどに応じて可変とされうる。所定量の時間の長さとしては、45秒、2分などが挙げられる。
不審なネットワークコンテンツが悪意あるネットワークコンテンツと判定されると、悪意あるネットワークシステムの検出システム125は、当該悪意あるネットワークコンテンツについて、報告と将来参照するための記録の少なくとも一方を行ないうる。例えば、悪意あるネットワークコンテンツの検出システム125は、検出されたネットワークコンテンツのパケットが悪意あるネットワークコンテンツを含む旨の警告を生成しうる。悪意あるネットワークコンテンツの検出システム125は、悪意あるネットワークコンテンツを、サーバ装置105を運用担当する者に報告しうる。
悪意あるネットワークコンテンツがサーバ装置105に由来するものであると判断された場合、クライアント装置110は、サーバ装置105とのネットワーク通信を継続しないように指示されうる。サーバ装置105を担当する者が既知の場合、悪意あるネットワーク装置の検出システム125は、悪意あるネットワークコンテンツを、当該サーバ装置105を担当する者に報告しうる。当該サーバ装置105は、悪意あるネットワークコンテンツの提供者リストに加えられ、以降の当該サーバ装置105からの宛先を指定されたネットワーク通信がブロックされうる。
悪意あるネットワークコンテンツがサーバ装置105に由来するものであると判断された場合、クライアント装置110は、サーバ装置105とのネットワーク通信を継続しないように指示されうる。サーバ装置105を担当する者が既知の場合、悪意あるネットワーク装置の検出システム125は、悪意あるネットワークコンテンツを、当該サーバ装置105を担当する者に報告しうる。当該サーバ装置105は、悪意あるネットワークコンテンツの提供者リストに加えられ、以降の当該サーバ装置105からの宛先を指定されたネットワーク通信がブロックされうる。
図4は、別例として、悪意あるネットワークコンテンツを検出する方法400を示す。方法400は、ヒューリスティックモジュール130により実行されうる。方法400においては、ネットワークコンテンツのパケットが、悪意あるネットワークコンテンツの存在を示す特徴を特定すべく検査される。方法400は、単一パスのパーサと拡張有限オートマトンの少なくとも一方の使用を含みうる。これにより状態のスタックを維持できる。方法400は、文字列「HTTP」が識別された後の文字で始まるデータパケットの処理を開始しうる。
ステップ405においては、データ文字がデータパケットから読み出される。読み出されたデータ文字は、有力なキーワード、方法300について説明した有力な特徴、あるいは異なる種類のデータ(例えばHTMLコンテンツに埋め込まれたジャバスクリプトコンテンツ)の始まりを示しうる。そのようなデータ文字は、例えば開き括弧「<」を含みうる。読み出されたデータ文字がキーワードや特徴の始まりを示す場合、方法400はステップ415に進みうる。それ以外の場合、方法400はステップ420に進みうる。
ステップ415においては、方法400がキーワードや特徴の始まりに遭遇したことを示すべく、新規の状態が状態のスタックに加えられる。新規の状態は、方法400がキーワード処理の最中であることを示すInKeyword状態とされうる。読み出された文字に応じて、異なる新たな状態がスタックに加えられうる。最後に読み出された文字や次に読み出される文字で始まる文字列が保存されうる。方法400は、次にステップ440に進む。
ステップ420においては、ステップ405で読み出されたデータ文字が、キーワードあるいは方法300を参照して説明した特徴の終わりを示すものであるかを判断すべく評価される。そのようなデータ文字は、例えば閉じ括弧「>」を含みうる。読み出されたデータ文字がキーワードや特徴の終わりを示す場合、方法400はステップ425に進みうる。それ以外の場合、方法400はステップ440に進みうる。
ステップ425においては、データパケットに適用される経験則が特定され、読み出された文字列(ステップ410で特定されたデータ文字で始まり、ステップ420で特定されたデータ文字列で終わるもの)に基づいて適用される。ヒューリスティックモジュール300は、文字列を保存しうる。文字列は、キーワードに基づいてデータパケットに適用されうる少なくとも1つの経験則を決定すべく、経験則データベース135に保存された文字列のデータベースと比較されうる。
幾つかの実施形態においては、経験則の適用結果のリストが作成されうる。結果のリストは、ステップ445において参照できるように保存されうる。
幾つかの実施形態においては、経験則の適用結果のリストが作成されうる。結果のリストは、ステップ445において参照できるように保存されうる。
パケットに適用されうる経験則は、例えばキーワードマッチングを含みうる。幾つかのキーワードは、悪意なきネットワークコンテンツよりも悪意あるネットワークコンテンツとの関連が高いとされ、ネットワークコンテンツのパケットにおける当該キーワードの存在は、当該パケットが不審なネットワークコンテンツを含む旨を示しうる。
経験則の一例においては、ピリオドに続くオブジェクトファイル名の拡張子が分析されうる。例えば、「.ini」、「.anr」や「.htm」の文字で終了するファイル名
は不審であるとみなされうる。また、通常はあるファイル形式に関連付けられているが、別のファイル形式を参照するように関連付けられているファイル名は、不審であるとみなされうる。例えば、「.jpg」の文字で終わるのに画像ファイルを参照しないファイル名は、不審であるとみなされうる。
は不審であるとみなされうる。また、通常はあるファイル形式に関連付けられているが、別のファイル形式を参照するように関連付けられているファイル名は、不審であるとみなされうる。例えば、「.jpg」の文字で終わるのに画像ファイルを参照しないファイル名は、不審であるとみなされうる。
経験則の別例においては、ネットワークコンテンツが不審であるかを判断すべく、ウェブページのコンテンツが分析されうる。例えば、幅と高さの少なくとも一方が0か1ピクセルであるような小さなインラインフレームがウェブページ内に存在する場合、不審であるとみなされうる。
さらに別例に係る経験則は、ジャバスクリプトのコードシーケンスに関連付けられうる。「eval(unescape(…))」というジャバスクリプトのコマンドシーケンス(「eval」コマンドの引数内にネストされた「unescape」コマンド)がデータパケット内に検出されると、当該経験則は、不審なネットワークコンテンツを特定すべく、当該コマンドシーケンスを評価しうる。「eval(unescape(…))」というコマンドシーケンスは、悪意あるネットワークコンテンツを見つけにくくするために用いられうる。これにより、ネットワークデータ通信において悪意あるネットワークコンテンツが検出されにくくなる。したがって、「eval(unescape(…))」というコマンドシーケンスは、不審なネットワークコンテンツを示唆しうる。
さらに別例に係る経験則は、「unescape」や他のジャバスクリプト関数の引数の長さ(始めの文字から終わりの文字までの長さ)に係る。「unescape」や他の関数名の後の開き丸括弧と閉じ丸括弧の間の文字数を数えるか、時間を測定することにより、上記の長さが特定されうる。丸括弧間の文字数が多い場合、難読化されたコマンド本体が用いられていることを示唆しうる。
さらに別例に係る経験則として、バイグラム検出がジャバスクリプトや他のネットワークコンテンツに用いられうる。バイグラム検出においては、ネットワークコンテンツ内における文字遷移が分析される。データの評価に伴い、条件確率テーブルが生成および連続的に更新されうる。条件確率テーブルは、1文字目の後に現れる2文字目の確率を示す。ある1文字目C1に対する2文字目C2の確率は、P(C2|C1)と書き表されうる。経験則は、条件確率テーブルに基づいて、普通でない遷移をする文字列の出現を特定しうる。
普通でない遷移をする文字列の長さに係る閾値が、文字遷移が普通でない旨のフラグを立てる条件確率の値との組合せで予め設定されうる。当該設定は、悪意あるネットワークコンテンツのコーパスおよび悪意なきネットワークコンテンツのコーパスを用いるベイズ確率論分析に基づく。当該閾値は、条件確率テーブルの更新に伴い、ほぼリアルタイムで調節されてもよい。例えば、普通でない遷移をする長い文字列は、ジャバスクリプトの「eval(unescape(…))」節における悪意あるネットワークコンテンツの存在を示唆しうる。
普通でない遷移をする文字列の長さに係る閾値が、文字遷移が普通でない旨のフラグを立てる条件確率の値との組合せで予め設定されうる。当該設定は、悪意あるネットワークコンテンツのコーパスおよび悪意なきネットワークコンテンツのコーパスを用いるベイズ確率論分析に基づく。当該閾値は、条件確率テーブルの更新に伴い、ほぼリアルタイムで調節されてもよい。例えば、普通でない遷移をする長い文字列は、ジャバスクリプトの「eval(unescape(…))」節における悪意あるネットワークコンテンツの存在を示唆しうる。
他の経験則よりも誤検出率を下げるために用いられる経験則の別例として、ドメインプロフィールが用いられる。ドメインプロフィール経験則は、悪意あるネットワークコンテンツの検出に係るスループットを向上し、演算負荷を低減するために、他の経験則と連携して用いられうる。監視対象であるネットワークがやり取りされるネットワークドメインの各々は、分類され、当該ネットワークドメインに関連付けられたネットワークコンテンツ内に存在する特徴のリストにより注釈付けがなされうる。
別の経験則によりある特徴が特定されると、当該特徴は、当該ネットワークドメインに関連付けられた特徴のリストが参照されうる。当該特徴が当該ネットワークドメインに関連するものとしてリストされており、当該ドメインに関連付けられたネットワークコンテンツ内の特徴の特定により悪意あるネットワークコンテンツが過去に検出されていない場合、当該ネットワークドメインに関連付けられた特徴を含むネットワークコンテンツを処理するために仮想マシンが実行されなくてもよい。一方、当該特徴が過去に検出されたか当該ネットワークドメインに関連付けられていた場合、当該ネットワークコンテンツは悪意あるものと特定され、仮想マシンにより処理されうる。
別の経験則によりある特徴が特定されると、当該特徴は、当該ネットワークドメインに関連付けられた特徴のリストが参照されうる。当該特徴が当該ネットワークドメインに関連するものとしてリストされており、当該ドメインに関連付けられたネットワークコンテンツ内の特徴の特定により悪意あるネットワークコンテンツが過去に検出されていない場合、当該ネットワークドメインに関連付けられた特徴を含むネットワークコンテンツを処理するために仮想マシンが実行されなくてもよい。一方、当該特徴が過去に検出されたか当該ネットワークドメインに関連付けられていた場合、当該ネットワークコンテンツは悪意あるものと特定され、仮想マシンにより処理されうる。
悪意あるネットワークコンテンツを含むドメインやウェブサイトのリストは、維持されうる。悪意あるネットワークコンテンツのソースのリストは、コンピュータネットワーク上でホストされ、当該コンピュータネットワーク上のクライアントによりアクセス可能とされる。ヒューリスティックモジュール130は、ドメインプロファイル経験則により提供される情報を補うべく、悪意あるネットワークコンテンツを含むドメインやウェブサイトのリストにアクセスできる。
例えば、悪意あるネットワークコンテンツソースのリストにおける、ウェブサイトに関連付けられたネットワークコンテンツに係る閾値は、他のネットワークコンテンツに係る閾値よりも低く設定されうる。これに加えてあるいは代えて、悪意あるネットワークコンテンツの優先度は、他のネットワークコンテンツに係る優先度よりも高く設定されうる。悪意あるネットワークコンテンツが検出されると、他者により参照される情報とともに、ドメインリストが通知あるいは更新されうる。
例えば、悪意あるネットワークコンテンツソースのリストにおける、ウェブサイトに関連付けられたネットワークコンテンツに係る閾値は、他のネットワークコンテンツに係る閾値よりも低く設定されうる。これに加えてあるいは代えて、悪意あるネットワークコンテンツの優先度は、他のネットワークコンテンツに係る優先度よりも高く設定されうる。悪意あるネットワークコンテンツが検出されると、他者により参照される情報とともに、ドメインリストが通知あるいは更新されうる。
ステップ430においては、ある状態が終了すると、当該終了した状態がスタックから削除される。終了した状態がInKeyword状態である場合、方法400がもはやキーワード読み取り中でない旨を示すべく、当該InKeyword状態がスタックから削除されうる。ある状態が終了していなければ、その状態はスタックから削除されなくてもよい。
複数の状態がスタックに保存されうる。幾つかの実施形態においては、同時に32個までの状態がスタックに存在しうる。例えば、ジャバスクリプトはHTMLに埋め込まれうる。したがって、ネストされた特徴を構成するために複数の状態が同時にアクティブとなりうる。様々な実施形態において、悪意あるネットワークコンテンツについて分析されるデータパケットに関連付けられた60個を超える状態が存在しうる。
複数の状態がスタックに保存されうる。幾つかの実施形態においては、同時に32個までの状態がスタックに存在しうる。例えば、ジャバスクリプトはHTMLに埋め込まれうる。したがって、ネストされた特徴を構成するために複数の状態が同時にアクティブとなりうる。様々な実施形態において、悪意あるネットワークコンテンツについて分析されるデータパケットに関連付けられた60個を超える状態が存在しうる。
ステップ435においては、方法400が新規の状態の処理中である旨を示すべく、当該新規の状態がスタックに加えられる。当該新規の状態は、最後に読み取られたキーワードによって、あるいは新たな種類のコンテンツを示す文字によって、特定されうる。例えば、方法400が別キーワードの処理を待機中である旨を示すInBetweenKeyword状態が当該新規の状態でもよい。幾つかの実施形態においては、方法400がジャバスクリプトセグメントの読み取り中である旨を示すInJavaScript状態が当該新規の状態でもよい。
当該状態は、ステップ445においてどの経験則が特定されてウェブデータのパケットに特定されるのかについて影響を与えうる。例えば、第1の状態がアクティブであれば第1の経験則が選択され、第2の状態がアクティブであれば第2の経験則が選択されうる。
当該状態は、ステップ445においてどの経験則が特定されてウェブデータのパケットに特定されるのかについて影響を与えうる。例えば、第1の状態がアクティブであれば第1の経験則が選択され、第2の状態がアクティブであれば第2の経験則が選択されうる。
ステップ440においては、データ文字がパケットの最後にあるかを判断すべく、ステップ405で読み取られた文字のカウントが評価される。データ文字がパケットの最後にある場合、方法400はステップ445に進みうる。そうでない場合、方法400はステップ405に進みうる。
ステップ445においては、データパケット内のどの特徴が仮想マシンを用いて処理されるかを決定すべく、ステップ425において経験則を適用することにより生成されたデータパケット内の特徴に係る結果のリストが参照される。その特徴が不審なネットワークコンテンツを示しているかを判断すべく、各特徴についての悪意あり確率スコアが閾値と比較されうる。データパケットと関連付けられた特徴には、優先順位が付与されうる。特徴は、データパケットおよび関連付けられたコンテンツを仮想マシンに割り当てるかどうかの優先順位をつけるために用いられうる。割り当て順序は、ステップ425で特定された順序、悪意あり確率スコアにより定められた優先度に基づく順序、その他の順序とされうる。
図5は、コントローラ500の例を示す。コントローラ500は、幾つかの実施形態に係る悪意あるネットワークコンテンツの検出システム125を備えうる。コントローラ500は、少なくともプロセッサ505、メモリシステム510、ストレージシステム515を備えうる。これらの全てはバス520と結合されている。コントローラ500は、通信ネットワークインターフェース525、入出力(I/O)インターフェース530、および表示インターフェース535も備えうる。通信ネットワークインターフェース525は、通信媒体540を介して通信ネットワーク120と結合しうる。
幾つかの実施形態においては、コントローラ500がタップ(例えばタップ115)と結合しうる。この場合、当該タップを通じて通信ネットワーク120と結合する。
バス520は、通信ネットワークインターフェース525、プロセッサ505、メモリシステム510、ストレージシステム515、I/Oインターフェース530、および表示インターフェース535間の通信を提供する。
幾つかの実施形態においては、コントローラ500がタップ(例えばタップ115)と結合しうる。この場合、当該タップを通じて通信ネットワーク120と結合する。
バス520は、通信ネットワークインターフェース525、プロセッサ505、メモリシステム510、ストレージシステム515、I/Oインターフェース530、および表示インターフェース535間の通信を提供する。
通信ネットワークインターフェース525は、他のデジタル装置(図示なし)と通信媒体540を介して通信しうる。プロセッサ505は、命令を実行する。メモリシステム510は、永続的にあるいは一時的にデータを保存する。メモリシステム510の例としては、RAMとROMが挙げられる。ストレージシステム515もまた、永続的にあるいは一時的にデータを保存する。ストレージシステム515の例としては、ハードディスクとディスクドライブが挙げられる。I/Oインターフェース530は、入力を受け付け、出力をユーザに提供可能な任意の装置を含みうる。I/Oインターフェース530は、キーボード、マウス、タッチスクリーン、キーパッド、バイオセンサ、コンパクトディスク(CD)ドライブ、デジタル多用途ディスク(DVD)ドライブ、フレキシブルディスクドライブを含みうるが、これらに限定されるものではない。表示インターフェース535は、ディスプレイ、モニタ、スクリーンを支持するように構成されたインターフェースを含みうる。幾つかの実施形態においては、コントローラ500が、モニタを通じてユーザcに表示されるグラフィカルユーザインターフェースを備えうる。ユーザは、当該グラフィカルユーザインターフェースによりコントローラ500の制御が可能とされる。
他の実施形態によれば、悪意あるネットワークコンテンツは、悪意あるポータブルドキュメントフォーマット(PDF)のネットワークコンテンツも含みうる。「悪意あるPDFネットワークコンテンツ」という語が、ポータブルドキュメントフォーマット(PDF)ファイルを含むことは明らかである。当該PDFファイルは、少なくとも1つのサーバ装置105に配置され、通信ネットワーク120を介して少なくとも1つのクライアント装置110に分配可能とされるものである。
一般的に、タップ115は、PDFネットワークコンテンツの取得要求をインターセプト可能とされうる。当該要求は、クライアント装置110に関連付けられたウェブブラウザ、PDFリーダなどのアプリケーション、そのようなPDFネットワークコンテンツを要求するモジュールやエンジンより受信される。
幾つかの実施形態においては、少なくとも1つのクライアント装置110と少なくとも1つのサーバ装置105の間にタップ115が配置され、PDFネットワークコンテンツの取得要求を悪意あるネットワークコンテンツの検出システム600(後に図6を参照して詳述する)へ送りうる。タップ115が複数のサーバ装置105間に配置され、当該サーバ装置105間でやり取りされるPDFネットワークコンテンツをインターセプトする仕組みを提供しうることは明らかである。
幾つかの実施形態においては、少なくとも1つのクライアント装置110と少なくとも1つのサーバ装置105の間にタップ115が配置され、PDFネットワークコンテンツの取得要求を悪意あるネットワークコンテンツの検出システム600(後に図6を参照して詳述する)へ送りうる。タップ115が複数のサーバ装置105間に配置され、当該サーバ装置105間でやり取りされるPDFネットワークコンテンツをインターセプトする仕組みを提供しうることは明らかである。
背景として、PDF文書のようなPDFネットワークコンテンツは、PDFリーダアプリケーション(図示せず)によりパースされる際に当該PDF文書に含まれるデータの視覚的表示を生成するレイアウト固定文書を含みうる。PDF文書内のデータは、ヘッダに始まり、少なくとも1つのオブジェクトを示す情報を含む本体部と「XREF」テーブルとしても知られる相互参照テーブル、およびトレーラを含むように、階層的に配置されている。ヘッダは、文書が貼り付けられるPDF仕様バージョン番号を示す情報を含む。バージョン番号は、PDF文書をパースするために最適化されたPDF文書リーダのバージョンを特定するために用いられうる。
XREFテーブルは、PDF文書中におけるオブジェクトの位置を示すオフセット情報を含む。その場合、XREFテーブルは、PDFリーダアプリケーションがPDF文書の各部分(ページなど)をパースやウォークできるようにする。このときPDFリーダアプリケーションは、PDF文書全体をパースやウォークする必要はない。最後に、PDF文書のトレーラは、PDFアプリケーションがXREFテーブルを他の適当なオブジェクトに対して効率的に配置できるようにする。当該他のオブジェクトは、上記視覚的表示を構成すべくPDFリーダアプリケーションにより利用されうる。
本体部は、PDF文書のコンテンツを備える少なくとも1つのオブジェクトを含みうる。一般に、PDF文書のオブジェクトは、ブール演算子、数字、名前、文字列、配列、辞書、ストリーム、およびこれらの組合せを含みうるが、これらに限られるものではない。本体部は、メタデータ、セキュリティ機能などのトランスペアレントなオブジェクトも含みうる。
PDF文書のオブジェクトは、概ね直接的か間接的のいずれかに分類されうる。直接的オブジェクトが、他のオブジェクトを参照できないことは明らかである。逆に間接的オブジェクトは、少なくとも1つのオブジェクトを参照しうる。当該参照されるオブジェクトは、直接的でも間接的でもよい。PDF文書は、AcroForm要素やXML形式データフォーマット(XFDF)要素のようなインタラクティブ要素も含みうる。AcroForm要素とXFDF要素の双方は、ジャバスクリプトAPIとしても知られるジャバスクリプトコードを含みうる。
PDFリーダアプリケーションとウェブブラウザアプリケーションの双方に存在する脆弱性を攻撃すべく、マルウェアがジャバスクリプトコードを利用するように構成されていることは明らかである。PDFリーダアプリケーションとウェブブラウザアプリケーションがプラグインを介して協働可能であることも明らかである。例えば、ウェブブラウザがPDF文書を要求すると、PDFリーダアプリケーションは、当該PDF文書をパースすべく自動的に起動される。当該PDF文書が、ジャバスクリプトコードを参照する少なくとも1つのオブジェクトを含んでいる場合、パース中に呼び出されるジャバスクリプトコードは、自身に関連付けられた機能を実行すべくウェブブラウザ内に仮想OSを構成しうる。
PDFリーダアプリケーションとウェブブラウザアプリケーションによるプラグイン協働が顕著な利益(クライアント装置110のOSに依存しないクロスプラットフォーム互換性など)をもたらす一方、ウェブブラウザ内に多くの脆弱性が生成されうる。当該脆弱性は、クライアント装置110を異なる種類のマルウェアやウイルスなどに曝しうる。
幾つかの実施形態においては、PDFリーダアプリケーションの動作に割り当てられたメモリに悪意あるコードをロードする(しばしば「ヒープスプレー」と呼ばれる)ことにより、ジャバスクリプトコードがウェブブラウザアプリケーションにおける少なくとも1つの脆弱性を攻撃しうる。ヒープスプレーは、PDFリーダアプリケーションに割り当てられたメモリにシェルコードを作成するように構成されている。作成が済むと、脆弱性をトリガすべく脆弱なジャバスクリプトコードが呼び出され、当該シェルコードが実行され、ペイロードがもたらされる。「ペイロード」という語が、悪意あるネットワークコンテンツにより引き起こされるクライアント装置110にとって有害な影響を含むことは明らかである。悪意あるネットワークコンテンツにより引き起こされる有害な影響は、個別に記載するにはあまりに多すぎる。しかしながら、当業者であれば本明細書の開示に基づいて容易に理解できると思われる。有害な影響の例としては、メモリの消費、システムやプログラムファイルの上書きや破損などが挙げられるが、これに限られるものではない。
HTML文書の場合、PDF文書に添付された悪意あるネットワークコンテンツを示す不審性は、先に図1を参照して説明したヒューリスティックモジュール130を介して特定されうる。その場合、ヒューリスティックモジュール130は、経験則データベース135内にある経験則的手法のいずれか(あるいは組合せ)を利用しうる。
図6に示すように、幾つかの実施形態においては、PDF文書に添付された悪意あるネットワークコンテンツを示す不審性は、悪意あるネットワークコンテンツの検出システム600を介して特定されうる。悪意あるネットワークコンテンツの検出システム600は、悪意あるネットワークコンテンツの検出システム125(図1参照)の各要素とともに、PDFパーサ605のような少なくとも1つの別モジュールを含みうる。PDFパーサ605は、悪意あるネットワークコンテンツを示す少なくとも1つの不審性がPDFネットワークコンテンツに含まれているかを判断すべく、インターセプトなどを通じて受信したPDFネットワークコンテンツを検査可能とされうる。「検査」という語が、ウォーク、パース、インスペクト、ビュー、コンパイル、リード、エクストラクト、デコードやこれらの組合せを含むものと理解されうることは明らかである。
悪意あるネットワークコンテンツの検出システム600は、HTMLファイルについて説明した方法(図4を参照して説明した悪意あるネットワークコンテンツを検出する方法400など)を用いて悪意あるネットワークコンテンツを示す不審性を特定可能とされうる。またPDFパーサ605は、PDFネットワークコンテンツに固有の悪意あるネットワークコンテンツを示す少なくとも1つの不審性を特定可能とされうる。例えば、PDFパーサ605は、特定種のジャバスクリプトコードを含むオブジェクトを検索すべく、PDFネットワークコンテンツの本体を検査可能とされうる。ウェブブラウザの脆弱性を攻撃するためによく用いられるジャバスクリプトコードの例としては、eval()、util.printf()、media.newPlayer()が挙げられるが、これに限られるものではない。
PDFネットワークコンテンツマルウェアの制作者は、マルウェアを参照するジャバスクリプトコードを複数のオブジェクトに分けることによって発見し難くしようと試みる場合がある。当該複数のオブジェクトは、PDFリーダアプリケーションによって参照されると、悪意あるコードを実行すべく結合されうる。したがって、PDFパーサ605は、getField()機能を利用して複数のオブジェクトにまたがる難読化された悪意あるジャバスクリプトコードを特定可能とされうる。
別の実施形態においては、PDFパーサ605は、RC4やAES暗号化方式のようなソフトウェアストリーム暗号化を利用してPDFネットワークコンテンツ内に暗号化された悪意あるジャバスクリプトコードを特定可能とされうる。
上述の例においては、ジャバスクリプトコードのような不審コンテンツの特定に対するPDFパーサ605の適合可能性について考慮したが、PDFパーサ605は、他のオブジェクトに関連付けられた別種のマルウェアを特定可能とされうる。そのようなオブジェクトの例としては埋め込みフラッシュストリームオブジェクトが挙げられるが、これに限られるものではない。例えば、フラッシュファイルは、ActionScript仮想マシン指令を含みうる。当該指令は、ヒープスプレイをシェルコードでセットアップ可能である。別例として、悪意あるコードは、少なくとも1つのTIFF(Tagged Image File Format)脆弱性を介してPDFネットワークコンテンツに内蔵されうる。TIFF脆弱性がヒープスプレー機能を利用できないことは明らかである。
全てを列挙しているわけではないが、以下の機能は悪意あるネットワークコンテンツを含むPDFネットワークコンテンツを示すものとされうる。
PDFBadVersion(PDFネットワークコンテンツに関連付けられたPDF仕様バージョン番号が正しいかを判断する)
PDFHeader1_0(PDFネットワーク文書のヘッダ情報のエラー、すなわち不正な形式のヘッダ情報であるかを検査する)
PDFNameJS(ジャバスクリプトコードを示すJSという文字を含む名前をPDFオブジェクトが含んでいるかについてPDF文書を検査する)
PDFNameJavaScript(ジャバスクリプトコードを示すJavaScriptという文字を含む名前をPDFオブジェクトが含んでいるかについてPDF文書を検査する)
PDFBadFileStart(不適切なファイルスタートシグネチャについてPDFネットワークコンテンツを検査する)
PDFNameOpenAction(PDFコンテンツの初期ロードに際してジャバスクリプト機能を実行させるPDFコンテンツについてPDFネットワークコンテンツを検査する)
PDFCouldNotParse(PDFパーサがPDFネットワークコンテンツを適切にパースできないかを判断する)
PDFパーサ605は、PDFネットワークコンテンツに含まれる少なくとも1つの不審性を特定すべく、上記の機能やその組合せを利用できる。
PDFBadVersion(PDFネットワークコンテンツに関連付けられたPDF仕様バージョン番号が正しいかを判断する)
PDFHeader1_0(PDFネットワーク文書のヘッダ情報のエラー、すなわち不正な形式のヘッダ情報であるかを検査する)
PDFNameJS(ジャバスクリプトコードを示すJSという文字を含む名前をPDFオブジェクトが含んでいるかについてPDF文書を検査する)
PDFNameJavaScript(ジャバスクリプトコードを示すJavaScriptという文字を含む名前をPDFオブジェクトが含んでいるかについてPDF文書を検査する)
PDFBadFileStart(不適切なファイルスタートシグネチャについてPDFネットワークコンテンツを検査する)
PDFNameOpenAction(PDFコンテンツの初期ロードに際してジャバスクリプト機能を実行させるPDFコンテンツについてPDFネットワークコンテンツを検査する)
PDFCouldNotParse(PDFパーサがPDFネットワークコンテンツを適切にパースできないかを判断する)
PDFパーサ605は、PDFネットワークコンテンツに含まれる少なくとも1つの不審性を特定すべく、上記の機能やその組合せを利用できる。
PDFネットワークコンテンツにおける少なくとも1つの部分(ページなど)が、当該PDFネットワークコンテンツ全体をウォークやパースすることなくアセンブルされうることは明らかであり、PDFパーサ605は、クライアント装置110により要求されたPDFネットワークコンテンツの一部のみを評価可能である。
PDFパーサ605により検索された不審性の種別や量によらず、不審性がPDFネットワークコンテンツの少なくとも一部に含まれると判断された場合、当該PDFネットワークコンテンツの少なくとも一部は、悪意あるネットワークコンテンツの検証のために少なくとも1つの仮想マシンに提供されうる。
当該少なくとも1つの仮想マシンは、分析対象であるPDFネットワークコンテンツのヘッダに含まれるPDF仕様バージョン番号に一部基づいて、仮想マシンプール145から選択されうる。
幾つかの実施形態においては、当該少なくとも1つの仮想マシンが、それぞれ拡張有限オートマトンを含みうる。これらの拡張有限オートマトンは、それぞれ異なる構成のコンピュータ読み取り可能な指令(OS指令、ウェブブラウザ指令、PDFリーダアプリケーション指令、と少なくとも1つのウェブブラウザをPDFリーダアプリケーションと動作可能に結合させるプラグイン指令など)とともに、PDFネットワークコンテンツに悪意あるネットワークコンテンツが含まれているかを検証可能な別種のコンピュータ読み取り可能な指令を含みうる。
幾つかの実施形態においては、当該少なくとも1つの仮想マシンが、それぞれ拡張有限オートマトンを含みうる。これらの拡張有限オートマトンは、それぞれ異なる構成のコンピュータ読み取り可能な指令(OS指令、ウェブブラウザ指令、PDFリーダアプリケーション指令、と少なくとも1つのウェブブラウザをPDFリーダアプリケーションと動作可能に結合させるプラグイン指令など)とともに、PDFネットワークコンテンツに悪意あるネットワークコンテンツが含まれているかを検証可能な別種のコンピュータ読み取り可能な指令を含みうる。
幾つかの実施形態においては、複数(2以上)の拡張有限オートマトンの使用により、PDFネットワークコンテンツが様々なシステム構成にまたがって処理されうる。すなわち、OS指令、ウェブブラウザ指令、およびPDFリーダアプリケーション指令が置き換えられうる。その場合、ある種のウェブブラウザアプリケーション内の脆弱性を攻撃することはないPDFネットワークコンテンツが、別種のウェブブラウザアプリケーション内の脆弱性を攻撃するかが検証されうる。このような多面的分析は、特定バージョンのプログラムやアプリケーションの脆弱性を攻撃する悪意あるネットワークコンテンツがPDFネットワークコンテンツ内に存在するかを検証しやすくする。
拡張有限オートマトンの各々は、PDFネットワークコンテンツのクライアント装置110への影響を分析すべく、PDFネットワークコンテンツの受信、編集、実行、表示の少なくとも1つをシミュレートする分析環境150を含んでいる。例えば、分析環境150は、PDFネットワークコンテンツをサーバ装置105から要求するウェブブラウザを含みうる。当該ウェブブラウザは、PDFリーダアプリケーションに当該PDFネットワークコンテンツをパースさせる。当該PDFネットワークコンテンツが実際に悪意あるコード(ジャバスクリプト、フラッシュなど)を含んでいる場合、ウェブブラウザアプリケーションまたはPDFリーダアプリケーションにおける少なくとも1つの脆弱性が当該悪意あるコードにより攻撃され、ペイロードがもたらされうる。ペイロードの影響は、直接的あるいは間接的に分析環境150内で観察されうる。
分析環境150の例については、先に図2を参照して詳細に説明した通りであり、少なくとも1つの不審性を含むと判断されたPDFネットワークコンテンツのパースの影響を観察可能とされうることは明らかである。
幾つかの実施形態においては、悪意あるネットワークコンテンツの検出システム600が、悪意あるネットワークコンテンツを含むと検証されたPDFネットワークコンテンツに対してさらにインデックス付与を可能とされうる。インデックス付与は、当該PDFネットワークコンテンツに識別子を関連付け、当該関連付けのなされたPDFネットワークコンテンツを記録として少なくとも1つのデータベースに保存することにより行なわれる。当該識別子は、PDFネットワークコンテンツが取得される少なくとも1つのドメインを示す。当該データベースは、少なくとも1つのサーバ装置105と動作可能に結合される。
データベースは、少なくとも1つの不審性を含むと判断されたPDFネットワークコンテンツを、過去に悪意あるネットワークコンテンツを含むと検証されたPDFネットワークコンテンツのインデックスと比較すべく、悪意あるネットワークコンテンツの検出システム600により利用されうる。また、悪意あるネットワークコンテンツを含むと検証されたPDFネットワークをホストしたと判断されたドメインに属する全てのPDFネットワーク文書が、自動的にレビューされうる。PDFネットワークコンテンツの不審性についてさらなる検査は行なわれない。
図7は、悪意あるネットワークコンテンツを検出する方法700の例を示す。方法700は、PDFネットワークコンテンツの少なくとも一部の要求を、タップ115を介してインターセプトするステップ705を含みうる。当該PDFネットワークコンテンツの少なくとも一部がウェブブラウザアプリケーションに受信される前に、タップ115がそれをインターセプトしうることは明らかである。
次に方法700は、悪意あるネットワークコンテンツを示す少なくとも1つの不審な機能や特性が当該PDFネットワークコンテンツの少なくとも一部に含まれているか判断すべく、当該PDFネットワークコンテンツの少なくとも一部を検査するステップ710を含みうる。前述のように、検査は、当該PDFネットワークコンテンツの少なくとも一部に添付された特定の機能や特定の脆弱なジャバスクリプトコードの存在を判断すべく、経験則やPDFパーサを利用することを含みうる。
方法700は、PDFネットワークコンテンツの少なくとも一部を少なくとも1つの仮想マシン(拡張有限オートマトンとしても知られる)に提供するステップ715も含みうる。
次に、当該PDFネットワークコンテンツの少なくとも一部を当該少なくとも1つの仮想マシンにおいて実行あるいはコンパイルすることにより、当該PDFネットワークコンテンツの少なくとも一部に悪意あるネットワークコンテンツが含まれるかが検証されうる(ステップ720)。当該PDFネットワークコンテンツの少なくとも一部のコンパイルは、脆弱なジャバスクリプトコードに、それと関連付けられた悪意あるネットワークコンテンツを実行させる。
次に方法700は、当該PDFネットワークコンテンツの少なくとも一部が実際に悪意あるネットワークコンテンツを含むかを判断すべく、少なくとも1つの仮想マシンの挙動を観測するステップ725を含みうる。悪意あるネットワークコンテンツの実行を示す挙動が観測される例としては、PDFリーダアプリケーションに割り当てられたメモリ内におけるヒープスプレーの生成、シェルコードの実行、メモリの消費、システムやプログラムファイルの上書きや破壊などが挙げられるが、これらに限定されるものではない。
最後に方法700は、悪意あるネットワークコンテンツを含むと検証されたPDFネットワークコンテンツの少なくとも一部が要求元のクライアント装置に提供されることを阻止するステップ730を含みうる。
上記のモジュールは、記憶媒体(コンピュータ読み取り可能な媒体など)に保存された命令群からなる。当該命令群は、プロセッサ(プロセッサ505など)により読出しと実行がなされうる。当該命令群の例としては、ソフトウェア、プログラムコード、およびファームウェアが挙げられる。記憶媒体は、例えばメモリ装置および集積回路を備える。当該命令群は、プロセッサにより実行されて利用可能とされ、当該プロセッサを本発明の実施形態に基づいて動作させる。当業者は、命令群、プロセッサ、および記憶媒体について精通している。
これまで本明細書において特定の実施形態を参照しつつ本発明について記載したが、本発明がこれに限定されないことは当業者にとって明らかである。上述の発明に係る様々な特徴や態様は、独立してあるいは組み合わせて利用可能である。さらに、本発明は、背景にある思想と明細書の開示範囲を逸脱しない限りにおいて、明細書に記載された数を上回る環境やアプリケーションにおいて利用可能である。したがって、明細書と図面は、例示的なものであって限定的なものではない。ここで用いられている「備える」、「含む」、「有する」という語は、各要素を最低限含むこと(開放形式)を表す専門用語として読まれることを特に意図している。
Claims (5)
- ネットワークを通じてデジタル装置によって受信された悪意あるポータブルドキュメントフォーマット(PDF)文書を検出する方法であって、
前記デジタル装置内のPDFパーサによって、少なくともヘッダを含む前記PDF文書の一部に悪意あるネットワークコンテンツを示す少なくとも1つの不審性が含まれているかを判断すべく、当該PDF文書の当該一部の検査を行ない、
前記PDF文書の前記一部に悪意あるネットワークコンテンツを示す少なくとも1つの不審性が含まれていると判断された場合、当該PDF文書を、前記デジタル装置内で動作する少なくとも1つの仮想マシンに提供し、
前記少なくとも1つの仮想マシンによって、PDFリーダアプリケーションを用いて前記PDF文書の前記一部の処理を行ない、当該PDF文書の当該一部が前記悪意あるネットワークコンテンツを含んでいるかを検証する、方法。 - 前記PDF文書の前記一部が悪意あるネットワークコンテンツを示す少なくとも1つの不審性を含んでいると判断されると、少なくとも当該PDF文書に関連付けられたデータに基づいて前記デジタル装置に関連付けられた前記少なくとも1つの仮想マシンを構成する、請求項1に記載の方法。
- ネットワークを通じて受信した悪意あるポータブルドキュメントフォーマット(PDF)文書を検出するシステムであって、
少なくともヘッダを含む前記PDF文書の一部が悪意あるネットワークコンテンツを示す少なくとも1つの不審性を含んでいるかを判断するために、当該PDF文書の当該一部を検査するように構成されたパーサと、
前記パーサと通信可能に結合され、(i)前記パーサによって前記PDF文書の前記一部が悪意あるネットワークコンテンツを示す少なくとも1つの不審性を含んでいると判断されると、当該PDF文書の少なくとも当該一部を受信し、(ii)PDFリーダアプリケーションを用いて当該PDF文書の当該一部を処理し、当該PDF文書の当該一部が当該悪意あるネットワークコンテンツを含んでいるかを検証するように構成された少なくとも1つの仮想マシンと、
を備えている、システム。 - 前記PDF文書の前記一部が検査され、当該PDF文書の当該一部が悪意あるネットワークコンテンツを示す少なくとも1つの不審性を含むと判断されると、少なくとも当該PDF文書に関連付けられたデータに基づいて前記少なくとも1つの仮想マシンが構成される、請求項3に記載のシステム。
- 前記少なくとも1つの仮想マシンは、前記パーサにより検査される前記PDF文書の前記ヘッダに含まれるPDF仕様バージョン番号に一部基づいて構成される、請求項3に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/011,344 US8997219B2 (en) | 2008-11-03 | 2011-01-21 | Systems and methods for detecting malicious PDF network content |
| US13/011,344 | 2011-01-21 | ||
| PCT/US2012/021916 WO2012100088A1 (en) | 2011-01-21 | 2012-01-19 | Systems and methods for detecting malicious pdf network content |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2014504765A JP2014504765A (ja) | 2014-02-24 |
| JP2014504765A5 JP2014504765A5 (ja) | 2016-02-04 |
| JP5878560B2 true JP5878560B2 (ja) | 2016-03-08 |
Family
ID=46516091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013550585A Active JP5878560B2 (ja) | 2011-01-21 | 2012-01-19 | 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US8997219B2 (ja) |
| EP (1) | EP2666093A4 (ja) |
| JP (1) | JP5878560B2 (ja) |
| WO (1) | WO2012100088A1 (ja) |
Families Citing this family (245)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7383223B1 (en) * | 2000-09-20 | 2008-06-03 | Cashedge, Inc. | Method and apparatus for managing multiple accounts |
| US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
| US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
| US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
| US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US9729513B2 (en) | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| WO2010059843A2 (en) * | 2008-11-19 | 2010-05-27 | Secure Works, Inc. | System and method for run-time attack prevention |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| US9398032B1 (en) * | 2009-07-09 | 2016-07-19 | Trend Micro Incorporated | Apparatus and methods for detecting malicious scripts in web pages |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US8505094B1 (en) * | 2010-01-13 | 2013-08-06 | Trend Micro, Inc. | Detection of malicious URLs in a web page |
| US8997233B2 (en) | 2011-04-13 | 2015-03-31 | Microsoft Technology Licensing, Llc | Detecting script-based malware using emulation and heuristics |
| US8695096B1 (en) * | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US9686293B2 (en) | 2011-11-03 | 2017-06-20 | Cyphort Inc. | Systems and methods for malware detection and mitigation |
| US9792430B2 (en) | 2011-11-03 | 2017-10-17 | Cyphort Inc. | Systems and methods for virtualized malware detection |
| US9213837B2 (en) * | 2011-12-06 | 2015-12-15 | Raytheon Cyber Products, Llc | System and method for detecting malware in documents |
| KR101296716B1 (ko) * | 2011-12-14 | 2013-08-20 | 한국인터넷진흥원 | 피디에프 문서형 악성코드 탐지 시스템 및 방법 |
| US9049222B1 (en) * | 2012-02-02 | 2015-06-02 | Trend Micro Inc. | Preventing cross-site scripting in web-based e-mail |
| US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
| US10169579B1 (en) * | 2012-03-06 | 2019-01-01 | Palo Alto Networks, Inc. | Malicious PDF detection |
| CN103310150A (zh) * | 2012-03-13 | 2013-09-18 | 百度在线网络技术(北京)有限公司 | 一种检测pdf漏洞的方法和装置 |
| CN103679019B (zh) * | 2012-09-10 | 2017-03-08 | 腾讯科技(深圳)有限公司 | 恶意文件识别方法及装置 |
| US9904792B1 (en) * | 2012-09-27 | 2018-02-27 | Palo Alto Networks, Inc | Inhibition of heap-spray attacks |
| US9774617B2 (en) * | 2012-10-12 | 2017-09-26 | Trustwave Holdings, Inc. | Distributed client side user monitoring and attack system |
| JP5912074B2 (ja) * | 2012-10-30 | 2016-04-27 | 株式会社日立製作所 | プログラム解析システム及び方法 |
| US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
| US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
| US9692771B2 (en) * | 2013-02-12 | 2017-06-27 | Symantec Corporation | System and method for estimating typicality of names and textual data |
| US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
| US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
| US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
| US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
| US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
| US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
| US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
| US20140283024A1 (en) * | 2013-03-13 | 2014-09-18 | Qualcomm Incorporated | Method for efficient behavioral analysis on a mobile station |
| US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
| US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
| US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
| US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
| US9824211B2 (en) | 2013-03-15 | 2017-11-21 | Fireeye, Inc. | System and method to visualize user sessions |
| US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
| WO2014145805A1 (en) | 2013-03-15 | 2014-09-18 | Mandiant, Llc | System and method employing structured intelligence to verify and contain threats at endpoints |
| US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
| US9497213B2 (en) | 2013-03-15 | 2016-11-15 | Fireeye, Inc. | System and method to manage sinkholes |
| US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
| US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
| US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
| US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
| US9686304B1 (en) * | 2013-06-25 | 2017-06-20 | Symantec Corporation | Systems and methods for healing infected document files |
| US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
| US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| US10084817B2 (en) * | 2013-09-11 | 2018-09-25 | NSS Labs, Inc. | Malware and exploit campaign detection system and method |
| US10015191B2 (en) * | 2013-09-18 | 2018-07-03 | Paypal, Inc. | Detection of man in the browser style malware using namespace inspection |
| US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
| US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
| US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
| US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
| US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
| US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
| US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US9288220B2 (en) * | 2013-11-07 | 2016-03-15 | Cyberpoint International Llc | Methods and systems for malware detection |
| US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
| US9781046B1 (en) * | 2013-11-19 | 2017-10-03 | Tripwire, Inc. | Bandwidth throttling in vulnerability scanning applications |
| US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
| US9756074B2 (en) * | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
| US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
| US9292686B2 (en) | 2014-01-16 | 2016-03-22 | Fireeye, Inc. | Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment |
| US10469510B2 (en) * | 2014-01-31 | 2019-11-05 | Juniper Networks, Inc. | Intermediate responses for non-html downloads |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US10225280B2 (en) * | 2014-02-24 | 2019-03-05 | Cyphort Inc. | System and method for verifying and detecting malware |
| US10326778B2 (en) | 2014-02-24 | 2019-06-18 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
| US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
| US10095866B2 (en) | 2014-02-24 | 2018-10-09 | Cyphort Inc. | System and method for threat risk scoring of security threats |
| US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
| US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
| US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
| US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
| US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
| US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
| US9438623B1 (en) * | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
| US9015814B1 (en) | 2014-06-10 | 2015-04-21 | Kaspersky Lab Zao | System and methods for detecting harmful files of different formats |
| US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
| US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
| US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
| US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
| US9912644B2 (en) | 2014-08-05 | 2018-03-06 | Fireeye, Inc. | System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology |
| US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
| US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
| CN104239800B (zh) * | 2014-09-28 | 2017-10-13 | 北京奇虎科技有限公司 | Pdf中触发漏洞威胁的检测方法及装置 |
| US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
| US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US20160164886A1 (en) | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
| US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
| US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
| US20160191531A1 (en) * | 2014-12-29 | 2016-06-30 | Check Point Software Technologies Ltd | Method for file scrubbing in a security gateway for threat prevention |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
| US10339300B2 (en) * | 2015-03-23 | 2019-07-02 | Binary Guard Corp. | Advanced persistent threat and targeted malware defense |
| US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
| US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
| US9438613B1 (en) * | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
| US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
| US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
| US10320823B2 (en) * | 2015-05-13 | 2019-06-11 | Cisco Technology, Inc. | Discovering yet unknown malicious entities using relational data |
| US10776486B2 (en) | 2015-06-16 | 2020-09-15 | Nec Corporation | Analysis system, analysis method, analysis device, and storage medium for analyzing operation of a program executed in an analysis environment |
| US9646158B1 (en) * | 2015-06-22 | 2017-05-09 | Symantec Corporation | Systems and methods for detecting malicious files |
| US10129291B2 (en) * | 2015-06-27 | 2018-11-13 | Mcafee, Llc | Anomaly detection to identify malware |
| US9804800B2 (en) | 2015-06-29 | 2017-10-31 | Palo Alto Networks, Inc. | Detecting heap-spray in memory images |
| US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
| US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
| US10216927B1 (en) | 2015-06-30 | 2019-02-26 | Fireeye, Inc. | System and method for protecting memory pages associated with a process using a virtualization layer |
| US10395029B1 (en) | 2015-06-30 | 2019-08-27 | Fireeye, Inc. | Virtual system and method with threat protection |
| US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
| US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| CN105095756A (zh) * | 2015-07-06 | 2015-11-25 | 北京金山安全软件有限公司 | 可移植文档格式文档的检测方法和装置 |
| US9916443B1 (en) | 2015-07-21 | 2018-03-13 | Palo Alto Networks, Inc. | Detecting an attempt to exploit a memory allocation vulnerability |
| US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
| US20170063883A1 (en) * | 2015-08-26 | 2017-03-02 | Fortinet, Inc. | Metadata information based file processing |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US10033759B1 (en) | 2015-09-28 | 2018-07-24 | Fireeye, Inc. | System and method of threat detection under hypervisor control |
| US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
| US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
| US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
| US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
| US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
| US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
| US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
| US11170098B1 (en) * | 2015-11-10 | 2021-11-09 | Source Defense Ltd. | System, method, and medium for protecting a computer browser from third-party computer code interference |
| US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
| US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
| US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
| US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
| US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
| US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
| US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
| US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
| US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
| US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
| US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
| US9928363B2 (en) * | 2016-02-26 | 2018-03-27 | Cylance Inc. | Isolating data for analysis to avoid malicious attacks |
| EP3430775A1 (en) * | 2016-03-17 | 2019-01-23 | Johann Schlamp | Constructible automata for internet routes |
| US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
| US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
| US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
| US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10110626B2 (en) | 2016-04-26 | 2018-10-23 | International Business Machines Corporation | Biology based techniques for handling information security and privacy |
| US9665714B1 (en) * | 2016-05-31 | 2017-05-30 | AO Kaspersky Lab | System and method of detecting malicious files on virtual machines in a distributed network |
| US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
| US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
| US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
| US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
| RU2634178C1 (ru) * | 2016-10-10 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных составных файлов |
| JP6187667B1 (ja) * | 2016-10-24 | 2017-08-30 | 富士ゼロックス株式会社 | 情報処理装置、画像ファイルのデータ構造及びプログラム |
| US10505981B2 (en) * | 2016-11-03 | 2019-12-10 | RiskIQ, Inc. | Techniques for detecting malicious behavior using an accomplice model |
| US10567420B2 (en) * | 2016-11-08 | 2020-02-18 | International Business Machines Corporation | Biology based techniques with cognitive system analysis for handling information security and privacy |
| US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
| US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
| US10346191B2 (en) * | 2016-12-02 | 2019-07-09 | Wmware, Inc. | System and method for managing size of clusters in a computing environment |
| US11483345B2 (en) * | 2016-12-08 | 2022-10-25 | Cequence Security, Inc. | Prevention of malicious automation attacks on a web service |
| BR112019012654B1 (pt) * | 2016-12-19 | 2023-12-19 | Telefonica Cybersecurity & Cloud Tech S.L.U | Método e sistema para detectar um programa malicioso em um documento eletrônico e programa de informática |
| US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
| US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
| US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
| US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
| US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US10554507B1 (en) | 2017-03-30 | 2020-02-04 | Fireeye, Inc. | Multi-level control for enhanced resource and object evaluation management of malware detection system |
| US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
| US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
| US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
| JP6418290B2 (ja) * | 2017-07-19 | 2018-11-07 | 富士ゼロックス株式会社 | 情報処理装置、画像ファイルのデータ構造及びプログラム |
| US10764755B2 (en) * | 2017-09-07 | 2020-09-01 | 802 Secure, Inc. | Systems and methods for providing wireless access security by interrogation |
| US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
| US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
| US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
| US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
| US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| US10817607B1 (en) * | 2018-01-26 | 2020-10-27 | CA Inc. | Securing a network device from malicious executable code embedded in a computer document |
| US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
| US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
| US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
| US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
| US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
| US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
| US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
| GB2576923B (en) * | 2018-09-06 | 2020-09-02 | Arm Ip Ltd | A method of processing transactions from an untrusted source |
| US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
| US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
| US11176251B1 (en) | 2018-12-21 | 2021-11-16 | Fireeye, Inc. | Determining malware via symbolic function hash analysis |
| US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
| US11743290B2 (en) | 2018-12-21 | 2023-08-29 | Fireeye Security Holdings Us Llc | System and method for detecting cyberattacks impersonating legitimate sources |
| US11601444B1 (en) | 2018-12-31 | 2023-03-07 | Fireeye Security Holdings Us Llc | Automated system for triage of customer issues |
| JP7433323B2 (ja) | 2019-01-10 | 2024-02-19 | シグニファイ ホールディング ビー ヴィ | 照明ネットワークのセキュアな動作を提供する方法 |
| US11310238B1 (en) | 2019-03-26 | 2022-04-19 | FireEye Security Holdings, Inc. | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources |
| US11677786B1 (en) | 2019-03-29 | 2023-06-13 | Fireeye Security Holdings Us Llc | System and method for detecting and protecting against cybersecurity attacks on servers |
| US11636198B1 (en) | 2019-03-30 | 2023-04-25 | Fireeye Security Holdings Us Llc | System and method for cybersecurity analyzer update and concurrent management system |
| US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
| US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
| US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
| US11303653B2 (en) * | 2019-08-12 | 2022-04-12 | Bank Of America Corporation | Network threat detection and information security using machine learning |
| US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
| US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
| US11522884B1 (en) | 2019-12-24 | 2022-12-06 | Fireeye Security Holdings Us Llc | Subscription and key management system |
| US11838300B1 (en) | 2019-12-24 | 2023-12-05 | Musarubra Us Llc | Run-time configurable cybersecurity system |
| US11436327B1 (en) | 2019-12-24 | 2022-09-06 | Fireeye Security Holdings Us Llc | System and method for circumventing evasive code for cyberthreat detection |
| US11755728B2 (en) * | 2020-12-08 | 2023-09-12 | Mcafee, Llc | Systems, methods, and media for analyzing structured files for malicious content |
| US11025671B1 (en) * | 2021-02-23 | 2021-06-01 | Five Media Marketing Limited | Monitoring of javascript object properties for detection of web browser security threats |
| US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
| US20230004639A1 (en) * | 2021-06-30 | 2023-01-05 | Palo Alto Networks, Inc. | Early exit dynamic analysis of a virtual machine |
| US11595321B2 (en) | 2021-07-06 | 2023-02-28 | Vmware, Inc. | Cluster capacity management for hyper converged infrastructure updates |
| US20230344867A1 (en) * | 2022-04-25 | 2023-10-26 | Palo Alto Networks, Inc. | Detecting phishing pdfs with an image-based deep learning approach |
| CN116132502A (zh) * | 2022-08-01 | 2023-05-16 | 马上消费金融股份有限公司 | 网页访问处理方法、装置及电子设备 |
Family Cites Families (457)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2851871C2 (de) | 1978-11-30 | 1984-06-07 | Siemens AG, 1000 Berlin und 8000 München | Schaltungsanordnung zur Bedämpfung von Leistungspendelungen in Netzen |
| GB9003890D0 (en) | 1990-02-21 | 1990-04-18 | Rodime Plc | Method and apparatus for controlling access to and corruption of information in computer systems |
| US5175732A (en) | 1991-02-15 | 1992-12-29 | Standard Microsystems Corp. | Method and apparatus for controlling data communication operations within stations of a local-area network |
| US5390325A (en) | 1992-12-23 | 1995-02-14 | Taligent, Inc. | Automated testing system |
| US5440723A (en) | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
| WO1995033237A1 (en) | 1994-06-01 | 1995-12-07 | Quantum Leap Innovations Inc. | Computer virus trap |
| US5537540A (en) | 1994-09-30 | 1996-07-16 | Compaq Computer Corporation | Transparent, secure computer virus detection method and apparatus |
| JPH08171482A (ja) | 1994-10-29 | 1996-07-02 | Mitsubishi Electric Corp | プログラムのバージョン生成方式 |
| US6424627B1 (en) | 1997-02-24 | 2002-07-23 | Metrobility Optical Systems | Full-duplex medium tap apparatus and system |
| US6094677A (en) | 1997-05-30 | 2000-07-25 | International Business Machines Corporation | Methods, systems and computer program products for providing insertions during delays in interactive systems |
| US5978917A (en) | 1997-08-14 | 1999-11-02 | Symantec Corporation | Detection and elimination of macro viruses |
| US5983348A (en) | 1997-09-10 | 1999-11-09 | Trend Micro Incorporated | Computer network malicious code scanner |
| US6357008B1 (en) | 1997-09-23 | 2002-03-12 | Symantec Corporation | Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases |
| IL121898A0 (en) | 1997-10-07 | 1998-03-10 | Cidon Israel | A method and apparatus for active testing and fault allocation of communication networks |
| US6118382A (en) | 1997-10-30 | 2000-09-12 | Fireeye Development, Incorporated | System and method for alerting safety personnel of unsafe air temperature conditions |
| US6417774B1 (en) | 1997-10-30 | 2002-07-09 | Fireeye Development Inc. | System and method for identifying unsafe temperature conditions |
| US6108799A (en) | 1997-11-21 | 2000-08-22 | International Business Machines Corporation | Automated sample creation of polymorphic and non-polymorphic marcro viruses |
| US6088803A (en) | 1997-12-30 | 2000-07-11 | Intel Corporation | System for virus-checking network data during download to a client device |
| US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US6298445B1 (en) | 1998-04-30 | 2001-10-02 | Netect, Ltd. | Computer security |
| US7711714B2 (en) | 1998-09-22 | 2010-05-04 | Hitachi, Ltd. | Method and a device for sterilizing downloaded files |
| US6550012B1 (en) | 1998-12-11 | 2003-04-15 | Network Associates, Inc. | Active firewall system and methodology |
| US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US6484315B1 (en) | 1999-02-01 | 2002-11-19 | Cisco Technology, Inc. | Method and system for dynamically distributing updates in a network |
| US20030191957A1 (en) | 1999-02-19 | 2003-10-09 | Ari Hypponen | Distributed computer virus detection and scanning |
| US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
| US6430691B1 (en) | 1999-06-21 | 2002-08-06 | Copytele, Inc. | Stand-alone telecommunications security device |
| US6442696B1 (en) | 1999-10-05 | 2002-08-27 | Authoriszor, Inc. | System and method for extensible positive client identification |
| US6493756B1 (en) | 1999-10-28 | 2002-12-10 | Networks Associates, Inc. | System and method for dynamically sensing an asynchronous network event within a modular framework for network event processing |
| US7249175B1 (en) | 1999-11-23 | 2007-07-24 | Escom Corporation | Method and system for blocking e-mail having a nonexistent sender address |
| US6775657B1 (en) | 1999-12-22 | 2004-08-10 | Cisco Technology, Inc. | Multilayered intrusion detection system and method |
| GB2353372B (en) | 1999-12-24 | 2001-08-22 | F Secure Oyj | Remote computer virus scanning |
| US6832367B1 (en) | 2000-03-06 | 2004-12-14 | International Business Machines Corporation | Method and system for recording and replaying the execution of distributed java programs |
| US20010047326A1 (en) | 2000-03-14 | 2001-11-29 | Broadbent David F. | Interface system for a mortgage loan originator compliance engine |
| US20040006473A1 (en) | 2002-07-02 | 2004-01-08 | Sbc Technology Resources, Inc. | Method and system for automated categorization of statements |
| US6831893B1 (en) | 2000-04-03 | 2004-12-14 | P-Cube, Ltd. | Apparatus and method for wire-speed classification and pre-processing of data packets in a full duplex network |
| US7054943B1 (en) | 2000-04-28 | 2006-05-30 | International Business Machines Corporation | Method and apparatus for dynamically adjusting resources assigned to plurality of customers, for meeting service level agreements (slas) with minimal resources, and allowing common pools of resources to be used across plural customers on a demand basis |
| EP1290558A1 (en) | 2000-05-19 | 2003-03-12 | Self Repairing Computers, Inc. | A computer with switchable components |
| US7240364B1 (en) | 2000-05-20 | 2007-07-03 | Ciena Corporation | Network device identity authentication |
| US6907396B1 (en) | 2000-06-01 | 2005-06-14 | Networks Associates Technology, Inc. | Detecting computer viruses or malicious software by patching instructions into an emulator |
| US6971097B1 (en) | 2000-06-09 | 2005-11-29 | Sun Microsystems, Inc. | Method and apparatus for implementing concurrently running jobs on an extended virtual machine using different heaps managers |
| US7080407B1 (en) | 2000-06-27 | 2006-07-18 | Cisco Technology, Inc. | Virus detection and removal system and method for network-based systems |
| US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| JP2002035109A (ja) | 2000-07-21 | 2002-02-05 | Tadashi Kokubo | 抗血栓性材料及びその製造方法 |
| US6981279B1 (en) | 2000-08-17 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for replicating and analyzing worm programs |
| GB0022485D0 (en) | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
| US20020038430A1 (en) | 2000-09-13 | 2002-03-28 | Charles Edwards | System and method of data collection, processing, analysis, and annotation for monitoring cyber-threats and the notification thereof to subscribers |
| JP2002108610A (ja) * | 2000-09-27 | 2002-04-12 | Hitachi Ltd | 問題点管理システム及び管理方法 |
| US7496960B1 (en) | 2000-10-30 | 2009-02-24 | Trend Micro, Inc. | Tracking and reporting of computer virus information |
| US20020091819A1 (en) | 2001-01-05 | 2002-07-11 | Daniel Melchione | System and method for configuring computer applications and devices using inheritance |
| US20060047665A1 (en) | 2001-01-09 | 2006-03-02 | Tim Neil | System and method for simulating an application for subsequent deployment to a device in communication with a transaction server |
| US20020095607A1 (en) | 2001-01-18 | 2002-07-18 | Catherine Lin-Hendel | Security protection for computers and computer-networks |
| US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| GB0103416D0 (en) | 2001-02-12 | 2001-03-28 | Nokia Networks Oy | Message authentication |
| US7281267B2 (en) | 2001-02-20 | 2007-10-09 | Mcafee, Inc. | Software audit system |
| US20020166063A1 (en) | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20030074206A1 (en) | 2001-03-23 | 2003-04-17 | Restaurant Services, Inc. | System, method and computer program product for utilizing market demand information for generating revenue |
| US7770223B2 (en) | 2001-04-12 | 2010-08-03 | Computer Associates Think, Inc. | Method and apparatus for security management via vicarious network devices |
| CN1147795C (zh) | 2001-04-29 | 2004-04-28 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统 |
| EP1395890A2 (en) | 2001-05-09 | 2004-03-10 | ECD Systems, Inc. | Systems and methods for the prevention of unauthorized use and manipulation of digital content |
| US7043757B2 (en) | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
| US20020194490A1 (en) | 2001-06-18 | 2002-12-19 | Avner Halperin | System and method of virus containment in computer networks |
| US7657419B2 (en) | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
| US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
| US20030021728A1 (en) | 2001-07-26 | 2003-01-30 | Sharpe Richard R. | Method of and apparatus for object-oriented real-time mechanical control of automated chemistry instruments |
| US7096368B2 (en) | 2001-08-01 | 2006-08-22 | Mcafee, Inc. | Platform abstraction layer for a wireless malware scanning engine |
| US8438241B2 (en) | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
| US7356736B2 (en) | 2001-09-25 | 2008-04-08 | Norman Asa | Simulated computer system for monitoring of software performance |
| US7107617B2 (en) | 2001-10-15 | 2006-09-12 | Mcafee, Inc. | Malware scanning of compressed computer files |
| US20030074578A1 (en) | 2001-10-16 | 2003-04-17 | Richard Ford | Computer virus containment |
| US7007107B1 (en) | 2001-10-22 | 2006-02-28 | United Electronic Industries | Methods and apparatus for performing data acquisition and control |
| US20030084318A1 (en) | 2001-10-31 | 2003-05-01 | Schertz Richard L. | System and method of graphically correlating data for an intrusion protection system |
| US7320142B1 (en) | 2001-11-09 | 2008-01-15 | Cisco Technology, Inc. | Method and system for configurable network intrusion detection |
| US20030101381A1 (en) | 2001-11-29 | 2003-05-29 | Nikolay Mateev | System and method for virus checking software |
| US7512980B2 (en) | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
| US7080408B1 (en) | 2001-11-30 | 2006-07-18 | Mcafee, Inc. | Delayed-delivery quarantining of network communications having suspicious contents |
| US7062553B2 (en) | 2001-12-04 | 2006-06-13 | Trend Micro, Inc. | Virus epidemic damage control system and method for network environment |
| US6895550B2 (en) * | 2001-12-05 | 2005-05-17 | I2 Technologies Us, Inc. | Computer-implemented PDF document management |
| US7093002B2 (en) | 2001-12-06 | 2006-08-15 | Mcafee, Inc. | Handling of malware scanning of files stored within a file storage device of a computer network |
| NZ516346A (en) | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| US7607171B1 (en) | 2002-01-17 | 2009-10-20 | Avinti, Inc. | Virus detection by executing e-mail code in a virtual machine |
| US7100201B2 (en) | 2002-01-24 | 2006-08-29 | Arxceo Corporation | Undetectable firewall |
| US7448084B1 (en) | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
| US7069316B1 (en) | 2002-02-19 | 2006-06-27 | Mcafee, Inc. | Automated Internet Relay Chat malware monitoring and interception |
| KR100871581B1 (ko) | 2002-02-19 | 2008-12-02 | 포스티니 코포레이션 | E-메일 관리 서비스들 |
| JP3713491B2 (ja) | 2002-02-28 | 2005-11-09 | 株式会社エヌ・ティ・ティ・ドコモ | サーバ装置、及び情報処理方法 |
| US7458098B2 (en) | 2002-03-08 | 2008-11-25 | Secure Computing Corporation | Systems and methods for enhancing electronic communication security |
| US7096498B2 (en) | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| US20030188190A1 (en) | 2002-03-26 | 2003-10-02 | Aaron Jeffrey A. | System and method of intrusion detection employing broad-scope monitoring |
| US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
| US6995665B2 (en) | 2002-05-17 | 2006-02-07 | Fireeye Development Incorporated | System and method for identifying, monitoring and evaluating equipment, environmental and physiological conditions |
| US7415723B2 (en) | 2002-06-11 | 2008-08-19 | Pandya Ashish A | Distributed network security system and a hardware processor therefor |
| US8539580B2 (en) | 2002-06-19 | 2013-09-17 | International Business Machines Corporation | Method, system and program product for detecting intrusion of a wireless network |
| US8423374B2 (en) | 2002-06-27 | 2013-04-16 | Siebel Systems, Inc. | Method and system for processing intelligence information |
| US7124327B2 (en) | 2002-06-29 | 2006-10-17 | Intel Corporation | Control over faults occurring during the operation of guest software in the virtual-machine architecture |
| US7519990B1 (en) | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
| US7418729B2 (en) | 2002-07-19 | 2008-08-26 | Symantec Corporation | Heuristic detection of malicious computer code by page tracking |
| US7487543B2 (en) | 2002-07-23 | 2009-02-03 | International Business Machines Corporation | Method and apparatus for the automatic determination of potentially worm-like behavior of a program |
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7251215B1 (en) | 2002-08-26 | 2007-07-31 | Juniper Networks, Inc. | Adaptive network router |
| US20040047356A1 (en) | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
| US7467408B1 (en) | 2002-09-09 | 2008-12-16 | Cisco Technology, Inc. | Method and apparatus for capturing and filtering datagrams for network security monitoring |
| GB0220907D0 (en) | 2002-09-10 | 2002-10-16 | Ingenia Holdings Ltd | Security device and system |
| US8909926B2 (en) | 2002-10-21 | 2014-12-09 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis, validation, and learning in an industrial controller environment |
| US7159149B2 (en) | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
| US20050033989A1 (en) | 2002-11-04 | 2005-02-10 | Poletto Massimiliano Antonio | Detection of scanning attacks |
| US7363656B2 (en) | 2002-11-04 | 2008-04-22 | Mazu Networks, Inc. | Event detection/anomaly correlation heuristics |
| US7353539B2 (en) | 2002-11-04 | 2008-04-01 | Hewlett-Packard Development Company, L.P. | Signal level propagation mechanism for distribution of a payload to vulnerable systems |
| US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US20040111531A1 (en) | 2002-12-06 | 2004-06-10 | Stuart Staniford | Method and system for reducing the rate of infection of a communications network by a software worm |
| US7428300B1 (en) | 2002-12-09 | 2008-09-23 | Verizon Laboratories Inc. | Diagnosing fault patterns in telecommunication networks |
| US20040128355A1 (en) | 2002-12-25 | 2004-07-01 | Kuo-Jen Chao | Community-based message classification and self-amending system for a messaging system |
| US7546638B2 (en) | 2003-03-18 | 2009-06-09 | Symantec Corporation | Automated identification and clean-up of malicious computer code |
| US7949785B2 (en) | 2003-03-31 | 2011-05-24 | Inpro Network Facility, Llc | Secure virtual community network system |
| US6898632B2 (en) | 2003-03-31 | 2005-05-24 | Finisar Corporation | Network security tap for use with intrusion detection system |
| US7607010B2 (en) | 2003-04-12 | 2009-10-20 | Deep Nines, Inc. | System and method for network edge data protection |
| US8640234B2 (en) | 2003-05-07 | 2014-01-28 | Trustwave Holdings, Inc. | Method and apparatus for predictive and actual intrusion detection on a network |
| US7464404B2 (en) | 2003-05-20 | 2008-12-09 | International Business Machines Corporation | Method of responding to a truncated secure session attack |
| US7308716B2 (en) | 2003-05-20 | 2007-12-11 | International Business Machines Corporation | Applying blocking measures progressively to malicious network traffic |
| US7543051B2 (en) | 2003-05-30 | 2009-06-02 | Borland Software Corporation | Method of non-intrusive analysis of secure and non-secure web application traffic in real-time |
| US7231667B2 (en) | 2003-05-29 | 2007-06-12 | Computer Associates Think, Inc. | System and method for computer virus detection utilizing heuristic analysis |
| US7881661B2 (en) | 2003-06-18 | 2011-02-01 | Intellisync Corporation | Apparatus and method for providing notification on remote devices |
| US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
| US8627457B2 (en) | 2003-06-30 | 2014-01-07 | Verizon Business Global Llc | Integrated security system |
| US20070256132A2 (en) | 2003-07-01 | 2007-11-01 | Securityprofiling, Inc. | Vulnerability and remediation database |
| US20050050334A1 (en) | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Network traffic management by a virus/worm monitor in a distributed network |
| US7392542B2 (en) | 2003-08-29 | 2008-06-24 | Seagate Technology Llc | Restoration of data corrupted by viruses using pre-infected copy of data |
| KR100432675B1 (ko) | 2003-09-19 | 2004-05-27 | 주식회사 아이앤아이맥스 | 네트워크상의 장비들 간의 통신제어방법 및 이를 위한 장치 |
| US7644441B2 (en) | 2003-09-26 | 2010-01-05 | Cigital, Inc. | Methods for identifying malicious software |
| WO2006109236A2 (en) | 2005-04-13 | 2006-10-19 | Netmask (El-Mar) Internet Technologies Ltd. | Dynamic content conversion |
| US7496961B2 (en) | 2003-10-15 | 2009-02-24 | Intel Corporation | Methods and apparatus to provide network traffic support and physical security support |
| US7694328B2 (en) | 2003-10-21 | 2010-04-06 | Google Inc. | Systems and methods for secure client applications |
| US7584455B2 (en) | 2003-10-23 | 2009-09-01 | Microsoft Corporation | Predicate-based test coverage and generation |
| JP4051020B2 (ja) | 2003-10-28 | 2008-02-20 | 富士通株式会社 | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 |
| JP3999188B2 (ja) | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
| US7421689B2 (en) | 2003-10-28 | 2008-09-02 | Hewlett-Packard Development Company, L.P. | Processor-architecture for facilitating a virtual machine monitor |
| JP4662944B2 (ja) | 2003-11-12 | 2011-03-30 | ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 |
| US20050114710A1 (en) | 2003-11-21 | 2005-05-26 | Finisar Corporation | Host bus adapter for secure network devices |
| US20050201297A1 (en) | 2003-12-12 | 2005-09-15 | Cyrus Peikari | Diagnosis of embedded, wireless mesh networks with real-time, flexible, location-specific signaling |
| WO2005071923A1 (en) | 2004-01-20 | 2005-08-04 | Intrusic, Inc | Systems and methods for monitoring data transmissions to detect a compromised network |
| ATE526628T1 (de) | 2004-01-22 | 2011-10-15 | Nec Lab America Inc | System und verfahren zum modellieren, abstrahieren und analysieren von software |
| US7610627B1 (en) | 2004-01-23 | 2009-10-27 | Acxiom Corporation | Secure data exchange technique |
| US8220055B1 (en) | 2004-02-06 | 2012-07-10 | Symantec Corporation | Behavior blocking utilizing positive behavior system and method |
| US7530104B1 (en) | 2004-02-09 | 2009-05-05 | Symantec Corporation | Threat analysis |
| US20050183143A1 (en) | 2004-02-13 | 2005-08-18 | Anderholm Eric J. | Methods and systems for monitoring user, application or device activity |
| US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
| US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
| US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US8006305B2 (en) | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US7966658B2 (en) | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US7533415B2 (en) | 2004-04-21 | 2009-05-12 | Trend Micro Incorporated | Method and apparatus for controlling traffic in a computer network |
| US20050240781A1 (en) | 2004-04-22 | 2005-10-27 | Gassoway Paul A | Prioritizing intrusion detection logs |
| US7779463B2 (en) | 2004-05-11 | 2010-08-17 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| US8042180B2 (en) | 2004-05-21 | 2011-10-18 | Computer Associates Think, Inc. | Intrusion detection based on amount of network traffic |
| US7441272B2 (en) | 2004-06-09 | 2008-10-21 | Intel Corporation | Techniques for self-isolation of networked devices |
| US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
| US20060010495A1 (en) | 2004-07-06 | 2006-01-12 | Oded Cohen | Method for protecting a computer from suspicious objects |
| JPWO2006009081A1 (ja) * | 2004-07-16 | 2008-05-01 | 松下電器産業株式会社 | アプリケーション実行装置及びアプリケーション実行装置のアプリケーション実行方法 |
| US20060015715A1 (en) | 2004-07-16 | 2006-01-19 | Eric Anderson | Automatically protecting network service from network attack |
| US7444521B2 (en) | 2004-07-16 | 2008-10-28 | Red Hat, Inc. | System and method for detecting computer virus |
| US7603715B2 (en) | 2004-07-21 | 2009-10-13 | Microsoft Corporation | Containment of worms |
| US20060031476A1 (en) | 2004-08-05 | 2006-02-09 | Mathes Marvin L | Apparatus and method for remotely monitoring a computer network |
| US7949849B2 (en) * | 2004-08-24 | 2011-05-24 | Mcafee, Inc. | File system for a capture system |
| US8214901B2 (en) | 2004-09-17 | 2012-07-03 | Sri International | Method and apparatus for combating malicious code |
| US7434261B2 (en) | 2004-09-27 | 2008-10-07 | Microsoft Corporation | System and method of identifying the source of an attack on a computer network |
| US7849506B1 (en) | 2004-10-12 | 2010-12-07 | Avaya Inc. | Switching device, method, and computer program for efficient intrusion detection |
| US20060101516A1 (en) | 2004-10-12 | 2006-05-11 | Sushanthan Sudaharan | Honeynet farms as an early warning system for production networks |
| US7478428B1 (en) | 2004-10-12 | 2009-01-13 | Microsoft Corporation | Adapting input to find integer overflows |
| US20060101517A1 (en) | 2004-10-28 | 2006-05-11 | Banzhof Carl E | Inventory management-based computer vulnerability resolution system |
| US7610375B2 (en) | 2004-10-28 | 2009-10-27 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| WO2007001439A2 (en) | 2004-11-04 | 2007-01-04 | Telcordia Technologies, Inc. | Detecting exploit code in network flows |
| US20060101277A1 (en) | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
| US7540025B2 (en) | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
| US7784097B1 (en) | 2004-11-24 | 2010-08-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| US20060117385A1 (en) | 2004-11-30 | 2006-06-01 | Mester Michael L | Monitoring propagation protection within a network |
| US7987272B2 (en) | 2004-12-06 | 2011-07-26 | Cisco Technology, Inc. | Performing message payload processing functions in a network element on behalf of an application |
| US20060161989A1 (en) | 2004-12-13 | 2006-07-20 | Eran Reshef | System and method for deterring rogue users from attacking protected legitimate users |
| US7937761B1 (en) | 2004-12-17 | 2011-05-03 | Symantec Corporation | Differential threat detection processing |
| US20060143709A1 (en) | 2004-12-27 | 2006-06-29 | Raytheon Company | Network intrusion prevention |
| US7725938B2 (en) | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
| US20060164199A1 (en) | 2005-01-26 | 2006-07-27 | Lockdown Networks, Inc. | Network appliance for securely quarantining a node on a network |
| US7676841B2 (en) | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
| US7668962B2 (en) | 2005-02-07 | 2010-02-23 | Symantec Operating Corporation | System and method for connection failover using redirection |
| US7904518B2 (en) | 2005-02-15 | 2011-03-08 | Gytheion Networks Llc | Apparatus and method for analyzing and filtering email and for providing web related services |
| US7784099B2 (en) | 2005-02-18 | 2010-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
| US7516488B1 (en) | 2005-02-23 | 2009-04-07 | Symantec Corporation | Preventing data from being submitted to a remote system in response to a malicious e-mail |
| JP2006270193A (ja) | 2005-03-22 | 2006-10-05 | Fuji Xerox Co Ltd | 画像形成システムおよび方法および画像読取装置 |
| US7650639B2 (en) | 2005-03-31 | 2010-01-19 | Microsoft Corporation | System and method for protecting a limited resource computer from malware |
| JP4630706B2 (ja) | 2005-03-31 | 2011-02-09 | 富士通株式会社 | サービス装置、サービス装置によるクライアント装置の接続先切替制御方法およびプログラム |
| US20060221956A1 (en) | 2005-03-31 | 2006-10-05 | Narayan Harsha L | Methods for performing packet classification via prefix pair bit vectors |
| US7568233B1 (en) | 2005-04-01 | 2009-07-28 | Symantec Corporation | Detecting malicious software through process dump scanning |
| US20080098476A1 (en) | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
| CN101185063A (zh) | 2005-04-18 | 2008-05-21 | 纽约市哥伦比亚大学理事会 | 用于使用“蜜罐”检测和阻止攻击的系统和方法 |
| US7603712B2 (en) | 2005-04-21 | 2009-10-13 | Microsoft Corporation | Protecting a computer that provides a Web service from malware |
| US8069250B2 (en) | 2005-04-28 | 2011-11-29 | Vmware, Inc. | One-way proxy system |
| US7493602B2 (en) | 2005-05-02 | 2009-02-17 | International Business Machines Corporation | Methods and arrangements for unified program analysis |
| US7480773B1 (en) | 2005-05-02 | 2009-01-20 | Sprint Communications Company L.P. | Virtual machine use and optimization of hardware configurations |
| CN101495969B (zh) * | 2005-05-05 | 2012-10-10 | 思科埃恩波特系统有限公司 | 识别电子消息中的威胁 |
| US7930738B1 (en) * | 2005-06-02 | 2011-04-19 | Adobe Systems Incorporated | Method and apparatus for secure execution of code |
| US8272054B2 (en) | 2005-06-06 | 2012-09-18 | International Business Machines Corporation | Computer network intrusion detection system and method |
| US20060288417A1 (en) | 2005-06-21 | 2006-12-21 | Sbc Knowledge Ventures Lp | Method and apparatus for mitigating the effects of malicious software in a communication network |
| US7877803B2 (en) | 2005-06-27 | 2011-01-25 | Hewlett-Packard Development Company, L.P. | Automated immune response for a computer |
| US7636938B2 (en) | 2005-06-30 | 2009-12-22 | Microsoft Corporation | Controlling network access |
| US20070016951A1 (en) | 2005-07-13 | 2007-01-18 | Piccard Paul L | Systems and methods for identifying sources of malware |
| US7984493B2 (en) | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
| US7797387B2 (en) | 2005-08-15 | 2010-09-14 | Cisco Technology, Inc. | Interactive text communication system |
| US8407785B2 (en) | 2005-08-18 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
| WO2007025279A2 (en) | 2005-08-25 | 2007-03-01 | Fortify Software, Inc. | Apparatus and method for analyzing and supplementing a program to provide security |
| US7739740B1 (en) | 2005-09-22 | 2010-06-15 | Symantec Corporation | Detecting polymorphic threats |
| US7725737B2 (en) | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
| US7730011B1 (en) * | 2005-10-19 | 2010-06-01 | Mcafee, Inc. | Attributes of captured objects in a capture system |
| CN100428157C (zh) | 2005-10-19 | 2008-10-22 | 联想(北京)有限公司 | 一种可进行完整性检测的计算机系统和方法 |
| US7971256B2 (en) | 2005-10-20 | 2011-06-28 | Cisco Technology, Inc. | Mechanism to correlate the presence of worms in a network |
| US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
| WO2007050244A2 (en) | 2005-10-27 | 2007-05-03 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
| KR100735411B1 (ko) | 2005-12-07 | 2007-07-04 | 삼성전기주식회사 | 배선기판의 제조방법 및 배선기판 |
| US7698548B2 (en) | 2005-12-08 | 2010-04-13 | Microsoft Corporation | Communications traffic segregation for security purposes |
| US7577424B2 (en) | 2005-12-19 | 2009-08-18 | Airdefense, Inc. | Systems and methods for wireless vulnerability analysis |
| US20070143827A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
| US20080018122A1 (en) | 2005-12-28 | 2008-01-24 | Robert Zierler | Rifle Sling and Method of Use Thereof |
| US7849143B2 (en) | 2005-12-29 | 2010-12-07 | Research In Motion Limited | System and method of dynamic management of spam |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US8533680B2 (en) | 2005-12-30 | 2013-09-10 | Microsoft Corporation | Approximating finite domains in symbolic state exploration |
| US20090271867A1 (en) | 2005-12-30 | 2009-10-29 | Peng Zhang | Virtual machine to detect malicious code |
| US8209667B2 (en) | 2006-01-11 | 2012-06-26 | International Business Machines Corporation | Software verification using hybrid explicit and symbolic model checking |
| US8196205B2 (en) | 2006-01-23 | 2012-06-05 | University Of Washington Through Its Center For Commercialization | Detection of spyware threats within virtual machine |
| US8018845B2 (en) | 2006-01-25 | 2011-09-13 | Cisco Technology, Inc | Sampling rate-limited traffic |
| US20070192500A1 (en) | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
| US20070192858A1 (en) | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Peer based network access control |
| US8176480B1 (en) | 2006-02-27 | 2012-05-08 | Symantec Operating Corporation | Adaptive instrumentation through dynamic recompilation |
| US8448242B2 (en) | 2006-02-28 | 2013-05-21 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based upon anomaly detection |
| US7774459B2 (en) | 2006-03-01 | 2010-08-10 | Microsoft Corporation | Honey monkey network exploration |
| WO2007110093A1 (en) | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor |
| US7757112B2 (en) | 2006-03-29 | 2010-07-13 | Lenovo (Singapore) Pte. Ltd. | System and method for booting alternate MBR in event of virus attack |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| US9009818B2 (en) | 2006-04-06 | 2015-04-14 | Pulse Secure, Llc | Malware detection system and method for compressed data on mobile platforms |
| US8510827B1 (en) | 2006-05-18 | 2013-08-13 | Vmware, Inc. | Taint tracking mechanism for computer security |
| US8261344B2 (en) | 2006-06-30 | 2012-09-04 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
| US8365286B2 (en) | 2006-06-30 | 2013-01-29 | Sophos Plc | Method and system for classification of software using characteristics and combinations of such characteristics |
| US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
| DE202006011850U1 (de) | 2006-08-02 | 2006-10-05 | Harting Electric Gmbh & Co. Kg | Kontaktelement für geschirmte Steckverbinder |
| US7870612B2 (en) | 2006-09-11 | 2011-01-11 | Fujian Eastern Micropoint Info-Tech Co., Ltd | Antivirus protection system and method for computers |
| US8789172B2 (en) * | 2006-09-18 | 2014-07-22 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
| US20080077793A1 (en) | 2006-09-21 | 2008-03-27 | Sensory Networks, Inc. | Apparatus and method for high throughput network security systems |
| US8533819B2 (en) | 2006-09-29 | 2013-09-10 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting compromised host computers |
| US8412865B2 (en) | 2006-10-04 | 2013-04-02 | Trek 2000 International Ltd. | Method, apparatus and system for authentication of external storage devices |
| DE102006047979B4 (de) | 2006-10-10 | 2009-07-16 | OCé PRINTING SYSTEMS GMBH | Datenverarbeitungssystem, Verfahren und Computerprogrammprodukt zum Ausführen einer Testroutine in Verbindung mit einem Betriebssystem |
| US7832008B1 (en) | 2006-10-11 | 2010-11-09 | Cisco Technology, Inc. | Protection of computer resources |
| US8949826B2 (en) | 2006-10-17 | 2015-02-03 | Managelq, Inc. | Control and management of virtual systems |
| US8234640B1 (en) | 2006-10-17 | 2012-07-31 | Manageiq, Inc. | Compliance-based adaptations in managed virtual systems |
| US8042184B1 (en) | 2006-10-18 | 2011-10-18 | Kaspersky Lab, Zao | Rapid analysis of data stream for malware presence |
| US20080141376A1 (en) | 2006-10-24 | 2008-06-12 | Pc Tools Technology Pty Ltd. | Determining maliciousness of software |
| US8656495B2 (en) | 2006-11-17 | 2014-02-18 | Hewlett-Packard Development Company, L.P. | Web application assessment based on intelligent generation of attack strings |
| KR100922579B1 (ko) | 2006-11-30 | 2009-10-21 | 한국전자통신연구원 | 네트워크 공격 탐지 장치 및 방법 |
| GB2444514A (en) * | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
| WO2008079990A2 (en) | 2006-12-20 | 2008-07-03 | The Penn State Research Foundation | Proactive worm containment (pwc) for enterprise networks |
| DE602006008166D1 (de) | 2006-12-21 | 2009-09-10 | Ericsson Telefon Ab L M | Verschleierung von Computerprogrammcodes |
| WO2008084569A1 (ja) | 2006-12-26 | 2008-07-17 | Sharp Kabushiki Kaisha | バックライト装置、表示装置およびテレビ受像機 |
| US7996836B1 (en) | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
| GB2458094A (en) | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
| US8380987B2 (en) | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
| US8069484B2 (en) | 2007-01-25 | 2011-11-29 | Mandiant Corporation | System and method for determining data entropy to identify malware |
| US7908660B2 (en) | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
| US20080201778A1 (en) | 2007-02-21 | 2008-08-21 | Matsushita Electric Industrial Co., Ltd. | Intrusion detection using system call monitors on a bayesian network |
| US9021590B2 (en) | 2007-02-28 | 2015-04-28 | Microsoft Technology Licensing, Llc | Spyware detection mechanism |
| US20080222729A1 (en) | 2007-03-05 | 2008-09-11 | Songqing Chen | Containment of Unknown and Polymorphic Fast Spreading Worms |
| US20080222728A1 (en) | 2007-03-05 | 2008-09-11 | Paula Natasha Chavez | Methods and interfaces for executable code analysis |
| US8392997B2 (en) | 2007-03-12 | 2013-03-05 | University Of Southern California | Value-adaptive security threat modeling and vulnerability ranking |
| US20080320594A1 (en) | 2007-03-19 | 2008-12-25 | Xuxian Jiang | Malware Detector |
| US8955122B2 (en) | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US9083712B2 (en) | 2007-04-04 | 2015-07-14 | Sri International | Method and apparatus for generating highly predictive blacklists |
| US7904961B2 (en) | 2007-04-20 | 2011-03-08 | Juniper Networks, Inc. | Network attack detection using partial deterministic finite automaton pattern matching |
| US20080295172A1 (en) | 2007-05-22 | 2008-11-27 | Khushboo Bohacek | Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks |
| US8402529B1 (en) | 2007-05-30 | 2013-03-19 | M86 Security, Inc. | Preventing propagation of malicious software during execution in a virtual machine |
| GB2449852A (en) | 2007-06-04 | 2008-12-10 | Agilent Technologies Inc | Monitoring network attacks using pattern matching |
| US7853689B2 (en) | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
| US7968217B2 (en) | 2007-06-26 | 2011-06-28 | General Electric Company | Articles for high temperature service and methods for their manufacture |
| US20090007100A1 (en) | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
| US8135007B2 (en) | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
| US8584094B2 (en) | 2007-06-29 | 2013-11-12 | Microsoft Corporation | Dynamically computing reputation scores for objects |
| US7836502B1 (en) | 2007-07-03 | 2010-11-16 | Trend Micro Inc. | Scheduled gateway scanning arrangement and methods thereof |
| US20090013408A1 (en) * | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Detection of exploits in files |
| US8448161B2 (en) | 2007-07-30 | 2013-05-21 | Adobe Systems Incorporated | Application tracking for application execution environment |
| US8060074B2 (en) | 2007-07-30 | 2011-11-15 | Mobile Iron, Inc. | Virtual instance architecture for mobile device management systems |
| US8621610B2 (en) | 2007-08-06 | 2013-12-31 | The Regents Of The University Of Michigan | Network service for the detection, analysis and quarantine of malicious and unwanted files |
| US8763115B2 (en) | 2007-08-08 | 2014-06-24 | Vmware, Inc. | Impeding progress of malicious guest software |
| US8601451B2 (en) | 2007-08-29 | 2013-12-03 | Mcafee, Inc. | System, method, and computer program product for determining whether code is unwanted based on the decompilation thereof |
| KR101377014B1 (ko) | 2007-09-04 | 2014-03-26 | 삼성전자주식회사 | 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템 |
| US8307443B2 (en) | 2007-09-28 | 2012-11-06 | Microsoft Corporation | Securing anti-virus software with virtualization |
| US7614084B2 (en) | 2007-10-02 | 2009-11-03 | Kaspersky Lab Zao | System and method for detecting multi-component malware |
| US8019700B2 (en) | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
| US20090113111A1 (en) | 2007-10-30 | 2009-04-30 | Vmware, Inc. | Secure identification of execution contexts |
| US8045458B2 (en) | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
| US8302080B2 (en) | 2007-11-08 | 2012-10-30 | Ntt Docomo, Inc. | Automated test input generation for web applications |
| KR100942795B1 (ko) | 2007-11-21 | 2010-02-18 | 한국전자통신연구원 | 악성프로그램 탐지장치 및 그 방법 |
| US7797748B2 (en) | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
| US7996904B1 (en) | 2007-12-19 | 2011-08-09 | Symantec Corporation | Automated unpacking of executables packed by multiple layers of arbitrary packers |
| US8510828B1 (en) | 2007-12-31 | 2013-08-13 | Symantec Corporation | Enforcing the execution exception to prevent packers from evading the scanning of dynamically created code |
| US8225288B2 (en) | 2008-01-29 | 2012-07-17 | Intuit Inc. | Model-based testing using branches, decisions, and options |
| US8595834B2 (en) | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
| US20100031353A1 (en) | 2008-02-04 | 2010-02-04 | Microsoft Corporation | Malware Detection Using Code Analysis and Behavior Monitoring |
| US8201246B1 (en) | 2008-02-25 | 2012-06-12 | Trend Micro Incorporated | Preventing malicious codes from performing malicious actions in a computer system |
| US8805947B1 (en) | 2008-02-27 | 2014-08-12 | Parallels IP Holdings GmbH | Method and system for remote device access in virtual environment |
| US20090228233A1 (en) | 2008-03-06 | 2009-09-10 | Anderson Gary F | Rank-based evaluation |
| US8407784B2 (en) | 2008-03-19 | 2013-03-26 | Websense, Inc. | Method and system for protection against information stealing software |
| US9264441B2 (en) | 2008-03-24 | 2016-02-16 | Hewlett Packard Enterprise Development Lp | System and method for securing a network from zero-day vulnerability exploits |
| US8239944B1 (en) | 2008-03-28 | 2012-08-07 | Symantec Corporation | Reducing malware signature set size through server-side processing |
| US8549486B2 (en) | 2008-04-21 | 2013-10-01 | Microsoft Corporation | Active property checking |
| WO2010011411A1 (en) | 2008-05-27 | 2010-01-28 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for detecting network anomalies |
| US8732825B2 (en) | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
| US8516478B1 (en) | 2008-06-12 | 2013-08-20 | Mcafee, Inc. | Subsequent processing of scanning task utilizing subset of virtual machines predetermined to have scanner process and adjusting amount of subsequest VMs processing based on load |
| US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
| US8381298B2 (en) | 2008-06-30 | 2013-02-19 | Microsoft Corporation | Malware detention for suspected malware |
| US8850570B1 (en) | 2008-06-30 | 2014-09-30 | Symantec Corporation | Filter-based identification of malicious websites |
| US8087086B1 (en) | 2008-06-30 | 2011-12-27 | Symantec Corporation | Method for mitigating false positive generation in antivirus software |
| US7996475B2 (en) | 2008-07-03 | 2011-08-09 | Barracuda Networks Inc | Facilitating transmission of email by checking email parameters with a database of well behaved senders |
| US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
| JP5446167B2 (ja) | 2008-08-13 | 2014-03-19 | 富士通株式会社 | ウイルス対策方法、コンピュータ、及びプログラム |
| US20100058474A1 (en) | 2008-08-29 | 2010-03-04 | Avg Technologies Cz, S.R.O. | System and method for the detection of malware |
| JP4521456B2 (ja) | 2008-09-05 | 2010-08-11 | 株式会社東芝 | 情報処理システムおよび情報処理システムの制御方法 |
| US8667583B2 (en) | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US8931086B2 (en) | 2008-09-26 | 2015-01-06 | Symantec Corporation | Method and apparatus for reducing false positive detection of malware |
| US8028338B1 (en) | 2008-09-30 | 2011-09-27 | Symantec Corporation | Modeling goodware characteristics to reduce false positive malware signatures |
| US8171201B1 (en) | 2008-10-07 | 2012-05-01 | Vizioncore, Inc. | Systems and methods for improving virtual machine performance |
| JPWO2010041442A1 (ja) | 2008-10-10 | 2012-03-08 | パナソニック株式会社 | 情報処理装置、方法、プログラム及び集積回路 |
| US20100100718A1 (en) | 2008-10-20 | 2010-04-22 | Novell, Inc. | In-the-flow security services for guested virtual machines |
| US8347386B2 (en) | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
| US9367680B2 (en) | 2008-10-21 | 2016-06-14 | Lookout, Inc. | System and method for mobile communication device application advisement |
| US8984628B2 (en) | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8484727B2 (en) | 2008-11-26 | 2013-07-09 | Kaspersky Lab Zao | System and method for computer malware detection |
| JP2010140277A (ja) * | 2008-12-11 | 2010-06-24 | Lac Co Ltd | 電子ファイル処理装置、コンピュータシステム、電子ファイル処理方法、及びコンピュータプログラム |
| US8161556B2 (en) | 2008-12-17 | 2012-04-17 | Symantec Corporation | Context-aware real-time computer-protection systems and methods |
| US8635694B2 (en) | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
| JP5324934B2 (ja) | 2009-01-16 | 2013-10-23 | 株式会社ソニー・コンピュータエンタテインメント | 情報処理装置および情報処理方法 |
| US8233620B2 (en) | 2009-02-27 | 2012-07-31 | Inside Secure | Key recovery mechanism for cryptographic systems |
| US8370835B2 (en) | 2009-03-12 | 2013-02-05 | Arend Erich Dittmer | Method for dynamically generating a configuration for a virtual machine with a virtual hard disk in an external storage device |
| CN102422269B (zh) * | 2009-03-13 | 2015-02-25 | 多塞股份公司 | 用于文档管理、转换和安全性的系统和方法 |
| US20100251104A1 (en) | 2009-03-27 | 2010-09-30 | Litera Technology Llc. | System and method for reflowing content in a structured portable document format (pdf) file |
| US8935773B2 (en) * | 2009-04-09 | 2015-01-13 | George Mason Research Foundation, Inc. | Malware detector |
| US8555391B1 (en) | 2009-04-25 | 2013-10-08 | Dasient, Inc. | Adaptive scanning |
| US8516590B1 (en) | 2009-04-25 | 2013-08-20 | Dasient, Inc. | Malicious advertisement detection and remediation |
| US8370938B1 (en) * | 2009-04-25 | 2013-02-05 | Dasient, Inc. | Mitigating malware |
| JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
| US8090797B2 (en) | 2009-05-02 | 2012-01-03 | Citrix Systems, Inc. | Methods and systems for launching applications into existing isolation environments |
| US20120066698A1 (en) | 2009-05-20 | 2012-03-15 | Nec Corporation | Dynamic data flow tracking method, dynamic data flow tracking program, and dynamic data flow tracking apparatus |
| US8370945B2 (en) | 2009-05-20 | 2013-02-05 | International Business Machines Corporation | Identifying security breaches caused by web-enabled software applications |
| US8527466B2 (en) | 2009-05-31 | 2013-09-03 | Red Hat Israel, Ltd. | Handling temporary files of a virtual machine |
| US8233882B2 (en) | 2009-06-26 | 2012-07-31 | Vmware, Inc. | Providing security in mobile devices via a virtualization software layer |
| US8225061B2 (en) | 2009-07-02 | 2012-07-17 | Apple Inc. | Method and apparatus for protected content data processing |
| US8266091B1 (en) | 2009-07-21 | 2012-09-11 | Symantec Corporation | Systems and methods for emulating the behavior of a user in a computer-human interaction environment |
| US8522348B2 (en) | 2009-07-29 | 2013-08-27 | Northwestern University | Matching with a large vulnerability signature ruleset for high performance network defense |
| US8390454B2 (en) | 2009-07-31 | 2013-03-05 | Hewlett-Packard Development Company, L.P. | USB hosted sensor module |
| US8789178B2 (en) * | 2009-08-03 | 2014-07-22 | Barracuda Networks, Inc. | Method for detecting malicious javascript |
| US20110041179A1 (en) | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
| WO2011027352A1 (en) | 2009-09-03 | 2011-03-10 | Mcafee, Inc. | Network access control |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US20110145934A1 (en) | 2009-10-13 | 2011-06-16 | Miron Abramovici | Autonomous distributed programmable logic for monitoring and securing electronic systems |
| US8713681B2 (en) | 2009-10-27 | 2014-04-29 | Mandiant, Llc | System and method for detecting executable machine instructions in a data stream |
| WO2011060190A1 (en) * | 2009-11-12 | 2011-05-19 | Dan Kaminsky Holdings, Llc | Apparatus and method for securing and isolating operational nodes in a computer network |
| US8479286B2 (en) | 2009-12-15 | 2013-07-02 | Mcafee, Inc. | Systems and methods for behavioral sandboxing |
| US8893280B2 (en) | 2009-12-15 | 2014-11-18 | Intel Corporation | Sensitive data tracking using dynamic taint analysis |
| US9684785B2 (en) * | 2009-12-17 | 2017-06-20 | Red Hat, Inc. | Providing multiple isolated execution environments for securely accessing untrusted content |
| US8528091B2 (en) | 2009-12-31 | 2013-09-03 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for detecting covert malware |
| US8307435B1 (en) * | 2010-02-18 | 2012-11-06 | Symantec Corporation | Software object corruption detection |
| US20110219449A1 (en) | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
| US8863279B2 (en) | 2010-03-08 | 2014-10-14 | Raytheon Company | System and method for malware detection |
| US8468602B2 (en) | 2010-03-08 | 2013-06-18 | Raytheon Company | System and method for host-level malware detection |
| US8938782B2 (en) | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
| US9501644B2 (en) | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
| US8566944B2 (en) * | 2010-04-27 | 2013-10-22 | Microsoft Corporation | Malware investigation by analyzing computer memory |
| US8914879B2 (en) * | 2010-06-11 | 2014-12-16 | Trustwave Holdings, Inc. | System and method for improving coverage for web code |
| US8260914B1 (en) | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| US8627476B1 (en) * | 2010-07-05 | 2014-01-07 | Symantec Corporation | Altering application behavior based on content provider reputation |
| US8584234B1 (en) * | 2010-07-07 | 2013-11-12 | Symantec Corporation | Secure network cache content |
| RU2446459C1 (ru) * | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
| US20120023593A1 (en) | 2010-07-26 | 2012-01-26 | Puder George | System and method for filtering internet content & blocking undesired websites by secure network appliance |
| US9245114B2 (en) * | 2010-08-26 | 2016-01-26 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
| US8661544B2 (en) | 2010-08-31 | 2014-02-25 | Cisco Technology, Inc. | Detecting botnets |
| US8869277B2 (en) * | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
| US8479291B1 (en) | 2010-10-28 | 2013-07-02 | Symantec Corporation | Systems and methods for identifying polymorphic malware |
| RU2449348C1 (ru) | 2010-11-01 | 2012-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных |
| US8412984B2 (en) | 2010-11-12 | 2013-04-02 | Microsoft Corporation | Debugging in a cluster processing network |
| US8682054B2 (en) | 2010-11-15 | 2014-03-25 | Siemens Aktiengesellschaft | Method and system for propagation of myocardial infarction from delayed enhanced cardiac imaging to cine magnetic resonance imaging using hybrid image registration |
| AU2011336466C1 (en) | 2010-12-01 | 2017-01-19 | Cisco Technology, Inc. | Detecting malicious software through contextual convictions, generic signatures and machine learning techniques |
| US9100425B2 (en) * | 2010-12-01 | 2015-08-04 | Cisco Technology, Inc. | Method and apparatus for detecting malicious software using generic signatures |
| US8682812B1 (en) | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
| US8479276B1 (en) | 2010-12-29 | 2013-07-02 | Emc Corporation | Malware detection using risk analysis based on file system and network activity |
| US20120174196A1 (en) | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
| US9118712B2 (en) * | 2010-12-30 | 2015-08-25 | Everis, Inc. | Network communication system with improved security |
| US8566648B2 (en) | 2011-02-02 | 2013-10-22 | Salesforce, Inc. | Automated testing on devices |
| US9087199B2 (en) | 2011-03-31 | 2015-07-21 | Mcafee, Inc. | System and method for providing a secured operating system execution environment |
| US8479295B2 (en) | 2011-03-30 | 2013-07-02 | Intel Corporation | Method and apparatus for transparently instrumenting an application program |
| US8756693B2 (en) | 2011-04-05 | 2014-06-17 | The United States Of America As Represented By The Secretary Of The Air Force | Malware target recognition |
| US8510842B2 (en) | 2011-04-13 | 2013-08-13 | International Business Machines Corporation | Pinpointing security vulnerabilities in computer software applications |
| US8997233B2 (en) | 2011-04-13 | 2015-03-31 | Microsoft Technology Licensing, Llc | Detecting script-based malware using emulation and heuristics |
| US8806647B1 (en) | 2011-04-25 | 2014-08-12 | Twitter, Inc. | Behavioral scanning of mobile applications |
| EP3324665B1 (en) | 2011-04-27 | 2022-03-30 | Seven Networks, LLC | Detection and filtering of malware based on traffic observations made in a distributed mobile traffic management system |
| US8695096B1 (en) * | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US8640246B2 (en) | 2011-06-27 | 2014-01-28 | Raytheon Company | Distributed malware detection |
| CN102339371B (zh) | 2011-09-14 | 2013-12-25 | 奇智软件(北京)有限公司 | 一种检测恶意程序的方法、装置及虚拟机 |
| US9003532B2 (en) | 2011-09-15 | 2015-04-07 | Raytheon Company | Providing a network-accessible malware analysis |
| US9672355B2 (en) | 2011-09-16 | 2017-06-06 | Veracode, Inc. | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security |
| US8739280B2 (en) | 2011-09-29 | 2014-05-27 | Hewlett-Packard Development Company, L.P. | Context-sensitive taint analysis |
| US8806639B2 (en) | 2011-09-30 | 2014-08-12 | Avaya Inc. | Contextual virtual machines for application quarantine and assessment method and system |
| US9256735B2 (en) | 2011-10-10 | 2016-02-09 | Masergy Communications, Inc. | Detecting emergent behavior in communications networks |
| US9177142B2 (en) * | 2011-10-14 | 2015-11-03 | Trustwave Holdings, Inc. | Identification of electronic documents that are likely to contain embedded malware |
| US8677487B2 (en) | 2011-10-18 | 2014-03-18 | Mcafee, Inc. | System and method for detecting a malicious command and control channel |
| CN103890848B (zh) | 2011-10-21 | 2016-03-09 | 三菱电机株式会社 | 视频信息再现方法以及视频信息再现装置 |
| US9021587B2 (en) | 2011-10-27 | 2015-04-28 | Microsoft Technology Licensing, Llc | Detecting software vulnerabilities in an isolated computing environment |
| US8782792B1 (en) | 2011-10-27 | 2014-07-15 | Symantec Corporation | Systems and methods for detecting malware on mobile platforms |
| US9519781B2 (en) | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
| KR20130051116A (ko) | 2011-11-09 | 2013-05-20 | 한국전자통신연구원 | 애플리케이션 보안성 점검 자동화 장치 및 방법 |
| EP2592784B1 (en) | 2011-11-14 | 2013-09-18 | Alcatel Lucent | Apparatus, method and computer program for routing data packets |
| US8590041B2 (en) | 2011-11-28 | 2013-11-19 | Mcafee, Inc. | Application sandboxing using a dynamic optimization framework |
| US8533835B2 (en) | 2011-12-14 | 2013-09-10 | Mcafee, Inc. | Method and system for rapid signature search over encrypted content |
| KR101296716B1 (ko) * | 2011-12-14 | 2013-08-20 | 한국인터넷진흥원 | 피디에프 문서형 악성코드 탐지 시스템 및 방법 |
| DE102011056502A1 (de) | 2011-12-15 | 2013-06-20 | Avira Holding GmbH | Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen |
| US10701097B2 (en) | 2011-12-20 | 2020-06-30 | Micro Focus Llc | Application security testing |
| US20130160130A1 (en) | 2011-12-20 | 2013-06-20 | Kirill Mendelev | Application security testing |
| US8214905B1 (en) | 2011-12-21 | 2012-07-03 | Kaspersky Lab Zao | System and method for dynamically allocating computing resources for processing security information |
| RU2472215C1 (ru) | 2011-12-28 | 2013-01-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ выявления неизвестных программ с использованием эмуляции процесса загрузки |
| US20130174214A1 (en) | 2011-12-29 | 2013-07-04 | Imation Corp. | Management Tracking Agent for Removable Media |
| US20130185795A1 (en) | 2012-01-12 | 2013-07-18 | Arxceo Corporation | Methods and systems for providing network protection by progressive degradation of service |
| US8533836B2 (en) | 2012-01-13 | 2013-09-10 | Accessdata Group, Llc | Identifying software execution behavior |
| JP5711160B2 (ja) | 2012-01-15 | 2015-04-30 | レノボ・シンガポール・プライベート・リミテッド | パスワードを保護する方法およびコンピュータ |
| US9922190B2 (en) | 2012-01-25 | 2018-03-20 | Damballa, Inc. | Method and system for detecting DGA-based malware |
| US8774761B2 (en) | 2012-01-27 | 2014-07-08 | Qualcomm Incorporated | Mobile device to detect unexpected behaviour |
| US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
| US8726392B1 (en) | 2012-03-29 | 2014-05-13 | Symantec Corporation | Systems and methods for combining static and dynamic code analysis |
| US8776180B2 (en) | 2012-05-01 | 2014-07-08 | Taasera, Inc. | Systems and methods for using reputation scores in network services and transactions to calculate security risks to computer systems and platforms |
| GB2490431B (en) | 2012-05-15 | 2014-03-26 | F Secure Corp | Foiling a document exploit attack |
| US9495537B2 (en) | 2012-08-15 | 2016-11-15 | Qualcomm Incorporated | Adaptive observation of behavioral features on a mobile device |
| US9747440B2 (en) | 2012-08-15 | 2017-08-29 | Qualcomm Incorporated | On-line behavioral analysis engine in mobile device with multiple analyzer model providers |
| JP5969618B2 (ja) | 2012-10-10 | 2016-08-17 | 株式会社日立製作所 | セキュリティシステム、および、セキュリティ監視方法 |
| US8850581B2 (en) * | 2012-11-07 | 2014-09-30 | Microsoft Corporation | Identification of malware detection signature candidate code |
| US8910238B2 (en) | 2012-11-13 | 2014-12-09 | Bitdefender IPR Management Ltd. | Hypervisor-based enterprise endpoint protection |
| US9277378B2 (en) | 2012-12-21 | 2016-03-01 | Verizon Patent And Licensing Inc. | Short message service validation engine |
| RU2522019C1 (ru) | 2012-12-25 | 2014-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной |
| US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
| US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
| US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
| US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
| US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
-
2011
- 2011-01-21 US US13/011,344 patent/US8997219B2/en active Active
-
2012
- 2012-01-19 JP JP2013550585A patent/JP5878560B2/ja active Active
- 2012-01-19 WO PCT/US2012/021916 patent/WO2012100088A1/en active Application Filing
- 2012-01-19 EP EP12736373.7A patent/EP2666093A4/en not_active Withdrawn
- 2012-05-10 US US13/469,046 patent/US9118715B2/en active Active
-
2015
- 2015-03-30 US US14/673,292 patent/US9438622B1/en active Active
-
2016
- 2016-09-02 US US15/256,367 patent/US9954890B1/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US9954890B1 (en) | 2018-04-24 |
| EP2666093A1 (en) | 2013-11-27 |
| US9438622B1 (en) | 2016-09-06 |
| WO2012100088A1 (en) | 2012-07-26 |
| US20120222121A1 (en) | 2012-08-30 |
| JP2014504765A (ja) | 2014-02-24 |
| US20110247072A1 (en) | 2011-10-06 |
| US8997219B2 (en) | 2015-03-31 |
| US9118715B2 (en) | 2015-08-25 |
| EP2666093A4 (en) | 2014-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5878560B2 (ja) | 悪意あるpdfネットワークコンテンツを検出するシステムおよび方法 | |
| US8990939B2 (en) | Systems and methods for scheduling analysis of network content for malware | |
| US10505956B1 (en) | System and method for detecting malicious links in electronic messages | |
| US10282548B1 (en) | Method for detecting malware within network content | |
| US20220046057A1 (en) | Deep learning for malicious url classification (urlc) with the innocent until proven guilty (iupg) learning framework | |
| JP6013455B2 (ja) | マルウェア検出のための電子メッセージ分析 | |
| Xu et al. | Cross-layer detection of malicious websites | |
| Egele et al. | Defending browsers against drive-by downloads: Mitigating heap-spraying code injection attacks | |
| US9888016B1 (en) | System and method for detecting phishing using password prediction | |
| CA2545916C (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
| US11856003B2 (en) | Innocent until proven guilty (IUPG): adversary resistant and false positive resistant deep learning models | |
| US20230344861A1 (en) | Combination rule mining for malware signature generation | |
| US8266704B1 (en) | Method and apparatus for securing sensitive data from misappropriation by malicious software | |
| Hiremath | A novel approach for analyzing and classifying malicious web pages | |
| RU2757330C1 (ru) | Способ выявления несогласованного использования ресурсов вычислительного устройства пользователя | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| US20240154997A1 (en) | Tor-based malware detection | |
| Johansson et al. | Improving intrusion detection for IoT networks-a snort GPGPU modification using OpenCL | |
| Annis | Zombie networks: An investigation into the use of anti-forensic techniques employed by botnets | |
| Sundareswaran et al. | Decore: Detecting content repurposing attacks on clients’ systems | |
| Corbetta et al. | Inner-Eye: Appearance-based Detection of Computer Scams |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150116 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150116 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20151125 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151210 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20151210 |
|
| TRDD | Decision of grant or rejection written | ||
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20151224 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160128 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5878560 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |