JP6441957B2 - 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 - Google Patents

疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 Download PDF

Info

Publication number
JP6441957B2
JP6441957B2 JP2016561597A JP2016561597A JP6441957B2 JP 6441957 B2 JP6441957 B2 JP 6441957B2 JP 2016561597 A JP2016561597 A JP 2016561597A JP 2016561597 A JP2016561597 A JP 2016561597A JP 6441957 B2 JP6441957 B2 JP 6441957B2
Authority
JP
Japan
Prior art keywords
exploit
logic
proven
objects
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016561597A
Other languages
English (en)
Other versions
JP2017502442A (ja
JP2017502442A5 (ja
Inventor
アシャール アジズ
アシャール アジズ
ツェン ブ
ツェン ブ
ムハンマド アミン
ムハンマド アミン
オスマン アブドゥル イズマエル
オスマン アブドゥル イズマエル
Original Assignee
ファイヤアイ インク
ファイヤアイ インク
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ファイヤアイ インク, ファイヤアイ インク filed Critical ファイヤアイ インク
Publication of JP2017502442A publication Critical patent/JP2017502442A/ja
Publication of JP2017502442A5 publication Critical patent/JP2017502442A5/ja
Application granted granted Critical
Publication of JP6441957B2 publication Critical patent/JP6441957B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Description

本出願は、2013年12月26日に出願された米国仮出願61/921,033の優先権の利益を主張し、その全ての内容は、ここに参照として援用される。
本開示における実施形態は、データセキュリティの分野に関連する。より具体的には、本開示における一実施形態は、疑わしいオブジェクトを特定し、仮想処理を通じて当該疑わしいオブジェクトがエクスプロイトであると自動的に実証するシステム、装置、および方法に関連する。
過去十年間で、悪意あるソフトウェアは、攻撃に曝されるソフトウェア脆弱性を含む最もネットワーク化されたリソースとして、インターネットユーザの間で広く知られる問題になっている。例えば、過去数年にわたって、ネットワークデバイスに実装されたソフトウェアにおけるより多くの脆弱性(OSにおける脆弱性など)が明らかになっている。幾つかの脆弱性はソフトウェアパッチを通じて対処され続けるが、そのようなソフトウェアパッチのリリースされる前においては、ネットワークリソースがエクスプロイトを通じて標的とされ続ける。
一般に、エクスプロイトとは、標的とされたコンピュータの正常動作に悪影響を及ぼしたり攻撃したりすることにより、コンピュータソフトウェアにおける脆弱性を利用しようとする情報である。一例として、ポータブルドキュメントフォーマット(PDF)ファイルは、PDFファイルを実行(開く)ことにより起動され、アクロバット(登録商標)リーダのバージョン9.0に関連付けられた脆弱性を利用するエクスプロイトによって影響を受けうる。
現在、エクスプロイトを検出するために広く使用されているセキュリティアプリケーションの一つは、侵入防止システム(IPS)である。通常はファイヤウォールの一部として実現されるIPSは、既知のエクスプロイトを含むと疑われるパケットを特定し、当該エクスプロイトの伝播を阻止あるいは停止し、当該パケットに関連付けられた情報を記録あるいは報告するように構成されている。しかしながら、従来のIPSは、多くの短所に悩まされている。
従来のIPS技術に係る短所の一つは、IPSが結果を自動的に実証するメカニズムに依拠していないことである。むしろ、従来のIPSによって生じる結果の実証は、手作業に委ねられている。
別の短所は、IPSが自動実証を経ることなく多数の誤判断(すなわちIPSが特定の無害なオブジェクトをエクスプロイトとして報告する際に生じる不正確なアラート)を生じる傾向にある点である。これらの誤判断は、様々な悪影響を引き起こす。多数の誤判断により引き起こされる悪影響の一例は、ネットワークトラフィック内で検出されたエクスプロイトが管理者に気づかれないままとなる可能性である。他の悪影響の例としては、(1)到来するネットワークトラフィックの不必要なブロック、(2)処理リソースが不必要に奪われる、(3)誤って分類されたオブジェクトを扱うために管理リソースが顕著に奪われる、(4)疑わしいオブジェクトの幾つかだけを散発的にチェックする考え方や方針が広まる、などが挙げられる。
誤判断の数を低減するために、IPSは、シグネチャデータベースのカスタマイズと定期的な調整を頻繁に要求させることもできるが、コストのかかる試みである。また、誤判断の数を顕著に低減するためだけにIPSを調整すると、IPSの有効性が大幅に低下したり、ネットワークの操作性が大幅に阻害されたりする。
本開示における様々な実施形態は、脅威検出および防止システム(TDP)などのネットワーク接続性を有する電子デバイスに関連する。当該電子デバイスは、静的分析エンジン、動的分析エンジン、および報告ロジックを備えている。本開示における一実施形態によれば、当該静的分析エンジンは、侵入防止システム(IPS)ロジックを備えている。当該ロジックは、少なくともエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を、分析中のオブジェクトに対して行なう。これにより、当該オブジェクトの特性がエクスプロイトを示しているかを特定する。特性がエクスプロイトを示していると特定されたオブジェクトは、「疑わしい」オブジェクトであると識別される。上記動的分析エンジンは、仮想実行ロジックを備えている。当該ロジックは、IPSロジックから提供された疑わしいオブジェクト内のコンテンツを、ユーザ支援を伴なわずに自動的かつ順次に分析する。これにより、当該疑わしいオブジェクトのいずれかがエクスプロイトであるかを実証する。
IPSロジックと仮想実行ロジックからの結果に基づき、TDPシステム内の報告ロジックは、レポート(少なくとも一つの表示画面、印刷レポートなど)を生成する。当該レポートは、「実証された」エクスプロイト(すなわち先ずIPSロジックによって特定され、仮想実行ロジックによってエクスプロイトであると実証された疑わしいオブジェクト)に関連付けられた情報を強調する。当該実証済みエクスプロイトに関連付けられた情報の少なくとも一部(「実証済みエクスプロイト情報」と称する)は、実証済みエクスプロイトを非実証済みエクスプロイト(すなわち先ずIPSロジックによって特定され、仮想実行ロジックによってエクスプロイトであると実証されなかった疑わしいオブジェクト)から視覚的に区別されるように強調されうる。実証済みエクスプロイト情報をどのように強調するかの例としては、(1)実証済みエクスプロイト情報の少なくとも特定部分の位置または順序を変更し、レポート中における該当情報を顕著に表示する、(2)実証済みエクスプロイト情報の一部の伝達に使用されるフォント(色、サイズ、書体、スタイル、エフェクトなどの少なくとも一つ)を変更する、(3)少なくとも一つの画像を実証済みエクスプロイト情報の近傍に配置する、などが挙げられる。
発明の実施形態例は、限定を伴うことなく添付の図面に示される。同じ参照符号は、同様の要素を示す。
電子デバイス内の脅威検出および防止の動作フローを示すブロック図の第一例である。 電子デバイス内の脅威検出および防止の動作フローを示すブロック図の第二例である。 仮想実行ロジックにより実証された結果とともに侵入防止システム(IPS)ロジックを用いてエクスプロイト分析を行なうフレームワークを備えた複数の脅威検出および防止(TDP)システムを実装した通信システムのブロック図を示す第一例である。 仮想実行ロジックにより実証された結果とともにIPSロジックを用いてエクスプロイト分析を行なうフレームワークを備えた複数のTDPシステムを実装した通信システムを示すブロック図の第二例である。 図2Aと図2BのTDPシステムと関連付けられたロジックを示すブロック図の例である。 脅威検出および防止処理の動作を例示するフローチャートの例である。 表示ロジックにより生成されたユーザインターフェース表示画面の実施形態例(表示画面がインタラクティブなダッシュボードを提供する)を示している。 表示ロジックにより生成されたユーザインターフェース表示画面の実施形態例(表示画面がインタラクティブなダッシュボードを提供する)を示している。 TDPシステムの別実施形態に係るネットワークトラフィックに関連付けられた分析済みオブジェクトの動作フローの例を示すブロック図の例である。 TDPシステムの別実施形態に係るネットワークトラフィックに関連付けられた分析済みオブジェクトの動作フローの例を示すブロック図の例である。 別実施形態に係る仮想実行ロジックにより実証された結果とともに侵入防止システム(IPS)ロジックとヒューリスティックロジックを用いてエクスプロイト分析を行なうフレームワークを備えた複数の脅威検出および防止(TDP)システムを実装した通信システムを示すブロック図の例である。 別実施形態に係る仮想実行ロジックにより実証された結果とともに侵入防止システム(IPS)ロジックとヒューリスティックロジックを用いてエクスプロイト分析を行なうフレームワークを備えた複数の脅威検出および防止(TDP)システムを実装した通信システムを示すブロック図の例である。 図7Aと図7Bのフレームワークに係る脅威検出および防止処理の動作を例示するフローチャートの例である。 図7Aと図7Bのフレームワークに係る脅威検出および防止処理の動作を例示するフローチャートの例である。
1.用語
以降の説明においては、発明の特徴を記述するために特定の用語が使用される。例えば、特定の状況下において、「ロジック」と「エンジン」の両用語は、少なくとも一つの機能を実行するように構成されたハードウェア、ファームウェア、ソフトウェアの少なくとも一つを表す。ハードウェアの場合、ロジック(あるいはエンジン)は、データを処理あるいは記憶する機能を有する回路を含みうる。そのような回路の例としては、マイクロプロセッサ、少なくとも一つのプロセッサコア、プログラマブルゲートアレイ、マイクロコントローラ、特定用途向け集積回路、無線受信回路、無線送信回路、無線送受信回路、半導体メモリ、組合せロジックが挙げられるが、これらに限定あるいは制限されない。
ロジック(あるいはエンジン)は、少なくとも一つのソフトウェアモジュールの形態でありうる。そのような例としては、実行可能なアプリケーションの形態である実行可能なコード、アプリケーションプログラミングインターフェース(API)、サブルーチン、関数、プロシージャ、アプレット、サーブレット、ソースコード、オブジェクトコード、共有ライブラリまたはダイナミックロードライブラリ、少なくとも一つの指令が挙げられる。これらのソフトウェアモジュールは、あらゆる適当な非一時的な記憶媒体または一時的な記憶媒体に記憶されうる。一時的な記憶媒体の例としては、電気的、光学的、音響的などの形態をとる伝達信号(搬送波、赤外信号、デジタル信号など)が挙げられる。非一時的な記憶媒体の例としては、プログラマブル回路、半導体メモリ、揮発性メモリ(例えば、あらゆるランダムアクセスメモリ;RAM)のような非永続性ストレージ、不揮発性メモリ(読出し専用メモリ;ROM、電源バックアップ型RAM、フラッシュメモリ、フェーズチェンジメモリなど)のような永続性ストレージ、半導体ドライブ、ハードディスクドライブ、光ディスクドライブ、携帯メモリ装置などが挙げられる。ファームウェアの例としては、永続性ストレージに記憶された実行可能なコードが挙げられる。
「・・・オブジェクト」という語は、主としてデータの収集に関連している。データは、(例えばネットワーク上で)移動中であるか静止しているか(例えば保存されている)を問わない。オブジェクトは、分析を目的として分類されることを可能にする論理的構造あるいは構成を有している。例えば、分析中においては、オブジェクトは、期待された特性のセットを示し、処理中においては、期待された挙動のセットを示しうる。また、オブジェクトは、エクスプロイトであることを実証し、当該オブジェクトをエクスプロイトと分類可能にしうる予期せぬ特性のセットと挙動のセットを示しうる。
オブジェクトの例としては、少なくとも一つのフロー、あるいはフロー自体が内蔵しているエレメントが挙げられる。「フロー」は、通信セッション内において受信、送信、あるいは交換される関連パケットを主に意味する。便宜上、パケットは、所定のフォーマットを有する一連のビットあるいはバイトを広く意味し、パケット、フレーム、あるいはセルを含みうる。
一例として、オブジェクトは、フローのセットを含みうる。当該フローのセットの例としては、(1)特定の通信プロトコル(ユーザデータグラムプロトコル;UDM、伝送制御プロトコル;TCP、あるいはハイパーテキスト転送プロトコル;HTTPなど)に基づく送信シーケンスや、(2)プロセス間通信(リモートプロシージャコール;RPCやアナログ処理など)が挙げられる。同様の別例として、オブジェクトは、内蔵エレメントを含みうる。そのようなオブジェクトは複数の種別を含んでおり、実行可能なファイル、実行不可能なファイル(文書や動的リンクライブラリなど)、ポータブルドキュメントフォーマット(PDF)ファイル、ジャバスクリプトファイル、ZIPファイル、フラッシュファイル、マイクロソフトオフィス(登録商標)文書などの文書、電子メール(eメール)、ダウンロードされたウェブページ、セッション確立プロトコル(SIP)などのメッセージングプロトコルに基づくインスタントメッセージングエレメントなどが挙げられる。
「エクスプロイト」は、ソフトウェアの脆弱性を利用しようとする情報(実行可能なコード、データ、コマンドなど)として広く解釈されうる。一般に、「脆弱性」とは、コーディングエラーやソフトウェア(コンピュータプログラムなど)のアーティファクトであり、電子デバイスによるソフトウェア(コンピュータプログラム)の処理中における正規の制御フローを攻撃者が変更できるようにすることによって、当該電子デバイスに望ましくない、あるいは予期せぬ挙動を行なわせる。この望ましくない、あるいは予期せぬ挙動は、通信ベースの異常や実行ベースの異常を含みうる。当該異常は、(1)アプリケーションソフトウェアを実行している電子デバイスの機能を悪意ある手法で変更、(2)アプリケーションソフトウェアを実行している電子デバイスの機能を悪意なく変更、(3)別の状況においては一般に受け入れられうる不要な機能を提供、などが可能である。例えば、コンピュータプログラムは、状態機械とみなされうる。状態機械においては、全ての有効な状態(および状態間の遷移)が当該プログラムによって管理および定義される。この場合、エクスプロイトは、状態(あるいは遷移)の少なくとも一つを、当該プログラムによって定義されたものから変更しようとするものとみなされうる。
マルウェアは、脆弱性を利用してエクスプロイトを実行する(電子デバイスの動作を害したり勝手に利用したりする、データを悪用、変更、削除するなど)コンピュータコードとして広く解釈されうる。従来からマルウェアは、悪意とともに設計されていると言われている。オブジェクトは、マルウェアを構成したり含んだりできる。
「送信媒体」という語は、複数のシステム間の通信経路を意味する。システムの例としては、セキュリティアプライアンス、サーバ、メインフレーム、コンピュータ、ネットブック、タブレット、スマートフォン、ルータ、スイッチ、ブリッジ、ブルータなどのデータ処理機能を有する電子装置が挙げられる。当該通信経路は、有線セグメントと無線セグメントの少なくとも一方を含みうる。これらの例としては、電気配線、光ファイバ、ケーブル、バストレース、赤外線やラジオ周波数(RF)を用いた無線チャネルなどの信号伝達機構が挙げられる。
特定の状況においては、ここで用いられている「検出される」および「実証される」という語は、分析中のオブジェクト内に所定レベルの確度(あるいは確率)でエクスプロイトが存在することを意味する。例えば、IPSロジック(後述)は、分析中のオブジェクトの特性や特徴を調べることによって潜在的なエクスプロイトを「検出し」、当該オブジェクトがエクスプロイトを示す特性を有している(「疑わしいオブジェクト」である)かを判断する。この判断は、分析中のオブジェクトがエクスプロイトである確率が少なくとも第一確率であるかの分析を通じて行なわれうる。同様に、仮想実行ロジックは、予期せぬ挙動あるいは異常な挙動を監視あるいは観察することによってエクスプロイトの存在を「実証し」、疑わしいオブジェクトがエクスプロイトであると判断する。本開示における一実施形態によれば、仮想実行ロジックによる判断は、当該疑わしいオブジェクトがエクスプロイトである確率が少なくとも第二確率であるかの分析を伴いうる。当該第二確率は、上記第一確率よりも大きい値をとりうる。また、当該第二確率は、上記第一確率を考慮しうる。
「コンピュータ制御された」という語は、ソフトウェアとファームウェアの少なくとも一方と協働するハードウェアにより行なわれる動作を主に表す。また、「比較する」あるいは「比較」という語は、二つの事物の間に一致(特定レベルの相関など)が成立するかを判断することを主に表す。当該二つの事物の一方は、特定のシグネチャパターンを含みうる。
最後に、本明細書で用いられる「または」と「〜の少なくとも一つ」という語は、両立的(inclusive)であることを意味する。すなわち、「A、B、またはC」あるいは「A、B、Cの少なくとも一つ」は、A、B、C、AとB、AとC、BとC、AとBとCのいずれをも意味する。この定義における例外は、要素、機能、ステップ、動作などの組合せが排他的(exclusive)であることが明らかな場合のみである。
多くの異なる形態の実施形態に対して本発明が適用可能となるように、本開示は、当該発明の原理の一例とみなされることを意図しており、本発明が図示および記載された特定の実施形態に限定されることを意図するものではない。
第一実施形態 仮想実行ロジックによる実証を伴なうIPSロジック
A.通信フロー
図1Aは、電子デバイス100内の脅威検出および防止の動作フローを示すブロック図の一例である。監視対象のネットワークトラフィックと関連付けられた到来オブジェクト110の少なくとも一部は、IPSロジック120により受け付けられる。IPSロジック120は、例えば図2Aと図2Bに示される静的分析エンジンの一部である。IPSロジック120は、捕捉フィルタ装置として構成されている。捕捉フィルタ装置は、到来オブジェクト110を受け付け、少なくともエクスプロイトシグネチャと脆弱性シグネチャの少なくとも一方を用いて抽出する。抽出されたオブジェクトは、より詳細な分析に供される。エクスプロイトシグネチャと脆弱性シグネチャの少なくとも一方は、周期的に、あるいは非周期的に更新されうる。
より具体的には、エクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を行なうことにより、疑わしいエクスプロイトが検出されうる。すなわち、分析対象のオブジェクトが少なくとも一つの予め保存されたエクスプロイトシグネチャと脆弱性シグネチャの少なくとも一方と比較され、一致が検出されるかが判断される。一般に、「エクスプロイトシグネチャ」は、過去に検出された、あるいは既知の攻撃パターンに関連する情報を含んでいる。「脆弱性シグネチャ」は、過去に検出された、あるいは既知の脆弱性を利用する可能性がある企てを特徴づける情報を含んでいる。脆弱性に係る特定のエクスプロイトが既知であるかは問わない。本開示における一実施形態においては、脆弱性シグネチャは、プロトコル状態機械と見なされうる。当該プロトコル状態機械は、状態を維持し、通常はオブジェクトのパラメータを定義するように構成されている。当該オブジェクトは、脆弱性シグネチャが保護しようとしている特定のソフトウェア脆弱性を利用するためになされる企てを表すフローのセットである。
到来オブジェクト110に対してエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を少なくとも行ない、エクスプロイト(疑わしいオブジェクト)を示す特性を有するオブジェクトの第一部分集合130を特定するに際して、IPSロジック120は、疑わしいオブジェクトの第一部分集合130を実証ロジック150に提供し、その分析結果140(「IPSベースの結果」と称する)を、保存および以降のアクセスのために報告ロジック170に提供する。
オブジェクトの第一部分集合130は、到来オブジェクト110よりも少ない数(場合によっては非常に少ない数)をとりうると考えられる。例えば、オブジェクトの第一部分集合130は、オブジェクトのストリームでありうる。本節においては議論を容易にするため、オブジェクトの第一部分集合130は、最初にエクスプロイトであると疑われた(容疑オブジェクトが、予め保存されたエクスプロイトシグネチャや脆弱性シグネチャと一致する場合など)少なくとも一つの到来オブジェクトを指すものとする。よって、IPSロジック120は、容疑オブジェクト130を実証ロジック150に転送し、容疑オブジェクト130に関連付けられたIPSベースの結果140を、報告ロジック170に出力する。
IPSベースの結果140は、容疑オブジェクト130内の少なくとも一つの容疑エクスプロイトに係る詳細情報を提供しうる。例えば、詳細情報は、(1)容疑エクスプロイトの特定の名前やファミリなど(既知であれば)のエクスプロイト識別子、(2)容疑オブジェクトを送信している電子デバイスのソースアドレス(URLやIPアドレスなど)、(3)分析時刻、(4)容疑エクスプロイトによって行なわれうると予測される異常活動に関連付けられた情報、(5)ネットワークトラフィックに適用可能なプロトコルからの予測される通信の逸脱に関する情報、および(6)当該種のエクスプロイトに対して推奨される救済技術の少なくとも一つを含みうる。
上述のように、容疑オブジェクト130は、実証ロジック150(図2Aと図2Bに例示される動的分析エンジン270の一部である仮想実行ロジックなど)に転送される。実証ロジック150は、容疑オブジェクト130内の仮想処理コンテンツと後述する仮想処理中の挙動を監視することによって、容疑オブジェクト130がエクスプロイトであるかを実証しようとする。
この分析の結果160は、報告ロジック170による後続使用のために実証ロジック150から出力される。報告ロジック170は、視覚的に示すレポート180を生成し、オブジェクトの第一部分集合130において、実証された容疑オブジェクト(実証エクスプロイト)と実証されなかった容疑オブジェクト(非実証エクスプロイト)を分離する。図1Aには例示されていないが、仮想マシンベースの結果160は、(1)容疑オブジェクト、(2)分析時刻、(3)容疑オブジェクトがエクスプロイトであろうことを実証するために使用される少なくとも一つのスコアを含みうる。実証がなされると、当該結果は、(1)エクスプロイトの識別子、(2)実証済みエクスプロイトに関連付けられた特性や異常挙動(異常挙動の映像または画像を含みうる)、および(3)実証済みエクスプロイトに対して脆弱性を有すると検出されたソフトウェアの名前とバージョン番号の少なくとも一方、の少なくとも一つを含みうる。
その後、容疑オブジェクトに係るIPSベースの結果140と仮想マシンベースの結果160の少なくとも一部が結合される。より具体的には、容疑オブジェクト130がエクスプロイトであると実証ロジック150が実証できなかったことを仮想マシンベースの結果160が示している場合(計算されたスコアが所定の閾値を下回っている場合など)、当該オブジェクトに係るIPSベースの結果140と仮想マシンベースの結果160の少なくとも一部が結合され、保存および報告ロジック170による使用のために「非実証済みエクスプロイト情報」190の一部に加えられる。
しかしながら、容疑オブジェクト130がエクスプロイトであると実証ロジック150が実証したことを仮想マシンベースの結果160が示している場合(計算されたスコアが所定の閾値以上である場合など)、IPSベースの結果140と仮想マシンベースの結果160は、少なくとも実証済みエクスプロイトの強調表示をなすために変更されうる。例えば、結果140と結果160の少なくとも一方における特定の部分が、表示コマンドと関連付けられうる。当該表示コマンドは、報告ロジック170内の表示ロジックの一部として表示コントローラによって認識され、当該表示ロジックに出力を生成させる。当該出力は、非実証済みエクスプロイトに関連付けられた表示結果と実証済みエクスプロイトに関連付けられた表示結果の違いを視覚的に示しうる。実証済みエクスプロイトに関連付けられたエクスプロイト情報は、「実証済みエクスプロイト情報」195の一部として保存されうる。
表示ロジック290も、非実証済みエクスプロイト情報190よりも顕著に実証済みエクスプロイト情報195が表示されることを認識するように構成されうる。例えば、表示ロジック290は、実証済みエクスプロイト情報を顕著に表示するように構成されうる。表示は、別の表示画面、別の表示ウインドウ、表示画面における別の領域、あるいはリストのトップになされうる。これに加えてあるいは代えて、実証された各エクスプロイトに係る実証済みエクスプロイト情報の少なくとも一部は、非実証済みエクスプロイトに関連付けられたエクスプロイト情報の提供に用いられるフォントとは異なるフォント(色、大きさ、書体、スタイル、エフェクトの少なくとも一つが異なる)を用いて提供されうる。これに加えてあるいは代えて、実証された各エクスプロイトに関連付けられたエクスプロイト情報の近傍に少なくとも一つの画像が配置されうる。画面表示の例は、図5Aと図5Bに示されている。
エクスプロイト情報の表示に加えて、報告ロジック170は、セキュリティ管理者などに少なくとも一つの実証済みエクスプロイトを扱うことの切迫性を伝えるアラート(eメールやテキストメッセージなどによる)を発行しうる。また、報告ロジック170は、選択された脅威レベルがユーザに伝わる手法で、少なくとも一つの非実証済みエクスプロイトに係るアラートを発行しうる。
さらに図示されるように、IPSロジック120は、特定のクライアントデバイスを行き先とする少なくとも一つのフローなどの到来オブジェクト110を受け付けるために、ネットワーク105(パブリックネットワークやプライベートネットワークなど)と通信可能に結合されうる。IPSロジック120は、到来オブジェクト110のいずれかがエクスプロイトを示す特性を有するかを判断するために、到来オブジェクト110に対してエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を行ない、少なくとも一つの容疑オブジェクト130を実証ロジック150へ提供するように構成される。
本開示における一実施形態においては、IPSロジック120と実証ロジック150の間の通信カップリングがサイドバンド構成で設けられる。当該通信カップリングにおいては、少なくとも一つの容疑オブジェクト130(またはそのコピー)が、一時的に保存され、実証ロジック150において処理される。当該処理は、IPSロジック120による他のオブジェクトの分析と同時に行なわれる。これにより、実証ロジック150によるより長い時間をかけての分析(より長い時間をかけての処理および仮想実行ロジック内における容疑オブジェクト130の処理の監視など)を通じてエクスプロイトの検出が可能になる。これにより、遅延起動を伴うエクスプロイト(時限爆弾を含む)の検出も可能になる。しかしながら、図1Bに示されるように、IPSロジック120は、実証ロジック150と直列に構成されうる。この場合、IPSロジック120は、容疑オブジェクト130とIPSベースの結果140の双方を、実証ロジック150に提供しうる。当該IPSベースの結果は、続いて実証ロジック150から報告ロジック170へ転送されうる。
B.一般的なアーキテクチャ(第一実施形態)
図2Aは、通信システム200のブロック図の一例を示している。通信システム200は、複数の脅威検出および防止(TDP)システム210〜210(Nは1よりも大きく、例えば3である)を備えている。TDPシステム210〜210は、ネットワーク225を通じて管理システム220と通信可能に結合されている。例えば、管理システム220は、TDPシステム210〜210の少なくとも一部においてIPSロジックに使用される少なくとも一つのエクスプロイトシグネチャと脆弱性シグネチャの少なくとも一方を更新する責任を負う。これらのシグネチャの各々は、過去に検出されたエクスプロイトや未知のソフトウェア脆弱性を表しうる。このような共有は、自動的になされてもよいし、管理者によって手動でアップロードされてもよい。また、このような共有は、TDPシステム210〜210の間で自由に行なわれてもよいし、サブスクリプションに基づいて行なわれてもよい。
図2Aに例示されている実施形態においては、第一TDPシステム210は、ネットワークトラフィックに関連付けられた情報を分析するように構成された電子デバイスである。当該ネットワークトラフィックは、少なくとも一つのサーバデバイス232と少なくとも一つのクライアントデバイス234の間で通信ネットワーク230を介して転送される。通信ネットワーク230は、インターネットなどのパブリックネットワークを含みうる。この場合、任意のファイヤウォール236(破線で示されている)がクライアントデバイス234にアクセスする前に介挿されうる。あるいは、通信ネットワーク230は、無線データ通信ネットワーク、広域ネットワーク、ローカルエリアネットワーク(LAN)の類、あるいは複数のネットワークの組合せなどのプライベートネットワークを含みうる。
図示のように、第一TDPシステム210は、ネットワークインターフェース238を通じて通信ネットワーク230と通信可能に結合されうる。一般に、ネットワークインターフェース238は、データ取得デバイスとして動作する(「タップ」や「ネットワークタップ」と称されることもある)。データ取得デバイスは、クライアントデバイス234との間で伝達されるデータを受け付け、当該データの少なくとも一部を第一TDPシステム210へ提供するように構成される。あるいは、図2Bに示されるように、第一TDPシステム210は、クライアントデバイス234とともにファイヤウォール236の後段に配置されうる。
本開示における一実施形態においては、ネットワークインターフェース238は、ネットワークトラフィックに関連付けられたオブジェクトの受け付けと第一TDPシステム210への転送が可能である。ネットワークインターフェース238は、オブジェクト全体あるいはオブジェクト内の特定のコンテンツ(フローのセットの一部である少なくとも一つのファイル、パケットペイロードなど)を提供しうる。図示を省略するが、実施形態によっては、ネットワークインターフェース238は、第一TDPシステム210内に収容されうる。
本開示における一実施形態においては、ネットワークインターフェース238は、さらにクライアントデバイス234宛てのネットワークトラフィックからメタデータを取得するように構成されている。一実施形態においては、当該メタデータの少なくとも一部は、プロトコル、アプリケーション種別などの情報を判断するために使用されうる。当該情報は、第一TDPシステム210内のロジックによって、少なくとも一つの具体的なソフトウェアプロファイルを判断するために使用されうる。当該少なくとも一つのソフトウェアプロファイルは、後述するように動的分析エンジン270の一部として選択あるいは構成される少なくとも一つの仮想マシンにおけるランタイム環境の選択と構成の少なくとも一方を行なうために使用される。しかしながら、別実施形態においては、「合致した」脆弱性シグネチャが仮想マシンの構成に使用されうる。これにより、当該合致した脆弱性シグネチャに関連付けられた特定の脆弱性を有する少なくとも一つのソフトウェアプロファイル(あるいは対応する少なくとも一つのソフトウェアイメージ)が特定される。当該少なくとも一つのソフトウェアプロファイルは、ストレージデバイス265から対応するソフトウェアイメージをフェッチするために、同じソフトウェアアプリケーションの別バージョンにディレクトされうる。
第一TDPシステム210が専用のアプライアンスやコンピュータシステムとして実現される全ての実施形態については、ネットワークインターフェース238は、当該アプライアンスやコンピュータシステムに統合されたアセンブリを含みうる。当該コンピュータシステムに統合されたアセンブリは、通信ネットワーク230に接続するためのネットワークインターフェースカードおよび関連するロジック(不図示)を含む。当該接続は、ファイヤウォール236を通過するネットワークトラフィックを絶え間なく「タップ」し、当該ネットワークトラフィックの少なくとも一部の複製と当該ネットワークトラフィックの少なくとも一部自体を静的分析エンジン250へ提供するために行なわれる。別実施形態においては、ネットワークインターフェース238は、通信経路(SPANポートを備えうるファイヤウォール236、ルータ、スイッチなどのネットワーク電子デバイスなど)上の中間デバイスに統合されてもよいし、適当な市販のネットワークタップのようなスタンドアロンのコンポーネントでもよい。仮想環境においては、仮想ネットワークからファイルを複製するために仮想タップ(vTAP)が使用されうる。
図2Aにさらに示されるように、第一TDPシステム210は、静的分析エンジン250、データベース255、スケジューラ260、ストレージデバイス265、動的分析エンジン270、オプション分類ロジック285、および表示ロジック290を備えている。分類ロジック285の機能は、表示ロジック290に統合されうる。この場合、表示ロジック290は、優先付けロジック286とタグイメージ生成ロジック288の少なくとも一方とともに構成されうる。
幾つかの実施形態においては、図2Aと図2Bに示されるように、静的分析エンジン250は、少なくとも一つのソフトウェアモジュールを含みうる。当該ソフトウェアモジュールは、少なくとも一つのプロセッサによって実行されると、特定のオブジェクトに対してマルチレベルの静的スキャン(すなわち、IPSロジック120によるエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方)を行なう。このようなシグネチャチェック動作は、少なくとも一つの非一時的な記憶媒体(シグネチャデータベース251など)から予め保存されたシグネチャへのアクセスを伴いうる。静的分析エンジン250と動的分析エンジン270は、少なくとも一つのソフトウェアモジュールでありうる。当該ソフトウェアモジュールは、同じプロセッサによって実行されてもよいし、異なる複数のプロセッサによって実行されてもよい。後者の場合、当該複数のプロセッサは、プロセッサコアが異なる同じプロセッサパッケージ内に配置されてもよいし、専用の通信リンクなどによって通信可能に結合されたリモートの場所(地理的に離れた場所でもよい)に配置されてもよいし、ネットワークに配置されてもよい。
一般に、図2Aに示されるように、静的分析エンジン250は、ネットワークトラフィックから少なくとも一つのオブジェクトを受け付けるために通信可能に結合されている。当該オブジェクト同士の関連性の有無は問わない。例えば、あるオブジェクトは、ネットワーク230を通じて転送されるフローとして動作する一連のHTTPパケットでありうる。静的分析エンジン250は、IPSロジック120を備えている。IPSロジック120は、エクスプロイトシグネチャを用い、既知のエクスプロイトについて各オブジェクトを分析するとともに、脆弱性シグネチャを用い、プロトコルアクティビティについて各オブジェクトを分析する。例えば、IPSロジック120内のエクスプロイトマッチングロジック252は、エクスプロイトシグネチャチェックを行なう。当該チェックは、シグネチャデータベース251からの少なくとも一つの予め保存されたエクスプロイトシグネチャ(予め構成あるいは決定された容疑オブジェクトに対する攻撃パターン)の比較を伴いうる。同様に、IPSロジック120内のシグネチャマッチングロジック253は、脆弱性シグネチャチェックを行なう。当該チェックは、利用可能な通信プロトコル(HTTP、TCPなど)に定められたメッセージングプラクティスにおける異変を発見するプロセスを伴いうる。一例として、HTTPメッセージは、当該プロトコルにおいて定められた特定のメッセージフォーマット(異常コマンドなど)に対するコンプライアンスを決定するために分析されうる。また、コンプライアンスをさらに判断するために、HTTPメッセージのペイロードパラメータが分析されうる。
エクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方の間に合致が検出される(分析中のオブジェクトがエクスプロイトであると示唆する特性を有している)と、IPSロジック120は、IPSベースの結果140をデータベース255への保存のためにアップロードするように構成されうる。当該結果140は、(1)容疑オブジェクト(既知であれば)の具体的な名前やファミリなどのエクスプロイト識別子、(2)容疑オブジェクトのソースのユニフォームリソースロケータ(URL)、インターネットプロトコル(IP)アドレスなどのソースアドレス、(3)分析時刻、(4)容疑エクスプロイトによって行なわれうると予測される異常活動に関連付けられた情報、(5)ネットワークトラフィックに適用可能なプロトコルからの予測される通信の逸脱に関する情報、および(6)当該種のエクスプロイトに対して推奨される救済技術の少なくとも一つを含みうるが、これらに限定あるいは制限されるものではない。IPSベースの結果140は、後述するように、分類ロジック285と表示ロジック290の少なくとも一方によってアクセス可能でありうる。
また、IPSロジック120は、容疑オブジェクトを動的分析エンジン270内の仮想実行ロジック150に転送する。動的分析エンジン270は、容疑オブジェクトのコンテンツを分析することにより、IPSロジック120よりも詳細な分析を提供するように構成される。これにより、当該容疑オブジェクトがエクスプロイトであるかを実証する。加えて、本開示における一実施形態においては、動的分析エンジン270内の仮想処理後に容疑オブジェクトに対応して保存されたIPSベースの結果140のロケーティングに使用されるタグ値が、容疑オブジェクトに付与または関連付けされうる。例えば、タグ値は、アドレス、インデックス番号などでありうる。タグ値は、容疑オブジェクトから分離されてもよいし、当該容疑オブジェクト自体の内部(ヘッダ部分やペイロードなどの内部)に意図的に配置されてもよい。
より具体的には、静的スキャニングの完了後、IPSロジック120は、仮想マシン(VM)275〜275(M>1)を用いてより詳細な分析を行なうために、容疑オブジェクトを動的分析エンジン270へ提供する。例えば、動的分析エンジン270は、仮想マシンを備えている相手デバイスによる送信と受信の少なくとも一方をシミュレートしうる。勿論、オブジェクトがエクスプロイトであるとの疑いがなければ、IPSロジック120は、単にIPSベースの結果140をデータベース225内に保存し、当該オブジェクトが無害であることを示せばよい。
一実施形態においては、仮想実行環境272における少なくとも一つの仮想マシン275〜275は、IPSロジック120によって行なわれるエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの結果に基づいて構成されうる。例えば、未知の脆弱性については、仮想マシン275〜275は、ストレージデバイス265内に保存されたソフトウェアイメージに対応する全てのソフトウェアプロファイルで構成されうる。あるいは、仮想マシン275〜275は、普及しているソフトウェア構成、特定の企業ネットワーク内の電子デバイスによって使用されるソフトウェア構成、あるいは処理されるオブジェクトに必要とされる環境に基づいて構成されうる。当該環境は、ウェブブラウザアプリケーションやPDFリーダアプリケーションなどのソフトウェアを含みうる。しかしながら、脆弱性シグネチャチェック中に合致が得られた後に生じる既知の脆弱性については、仮想マシン275〜275は、脆弱性を有するソフトウェアに関連付けられたソフトウェアプロファイルに対してより狭く構成されうる。
第一の例として、容疑オブジェクトが特定の脆弱性シグネチャと合致することが検出されると、スケジューラ260は、(1)どの脆弱性シグネチャがタグ付けされたか、(2)脆弱性がサーバ側のものであるのかクライアント側のものであるのか、(3)タグ付けされた脆弱性シグネチャに関連付けられた脆弱性を有するソフトウェアにどのソフトウェアイメージが関連付けられているのか、の少なくとも一つを判断する。その後、当該ソフトウェアイメージをフェッチするために、少なくとも一つのソフトウェアプロファイルがスケジューラによって選択される。当該ソフトウェアイメージは、仮想マシン275を構成するためのものである。このような個別必要性に応じた選択スキームは、合致した(タグ付けされた)ソフトウェア脆弱性を考慮していないソフトウェアの仮想マシン構成を回避する。
第二の例として、スケジューラ260は、シグネチャ合致ロジック253によって特定された容疑オブジェクトがエクスプロイトであることを実証することを目的とした様々なソフトウェアバージョンの同時仮想実行のために、複数の仮想マシン275〜275を構成しうる。
勿論、上記の仮想マシン構成は、スケジューラ260以外のロジックによって取り扱われうる。例えば、図示を省略するが、静的分析エンジン250は、構成ロジックを含みうる。当該構成ロジックは、(1)どの脆弱性シグネチャがタグ付けされたか、(2)脆弱性がサーバ側のものであるのかクライアント側のものであるのか、(3)タグ付けされた脆弱性シグネチャに関連付けられた脆弱性を有するソフトウェアにどのソフトウェアイメージが関連付けられているのか、の少なくとも一つを判断するように構成される。当該構成ロジックは、上記の仮想マシン構成を取り扱うために、スケジューラ260と動的分析エンジン270の少なくとも一方に仮想マシン構成情報を送信しうる。
本開示における一実施形態においては、動的分析エンジン270は、オブジェクトの種別により予期されるランタイム環境内で分析下にあるオブジェクトに関連付けられたコンテンツの受信と実行をシミュレートするために、少なくとも一つの仮想マシン275〜275を実行するように構成される。例えば、動的分析エンジン270は、容疑オブジェクトをリプレイし、リプレイされたデータフローを仮想マシン275〜275の少なくとも一つに提供するプロトコルシーケンスリプレイヤ(リプレイロジック)280を含みうる。あるいは、動的分析エンジン270は、仮想マシン275〜275の少なくとも一つによる仮想処理のためにデータフローに内蔵されたオブジェクトを抽出するオブジェクト抽出ロジック282を含みうる。当該プロトコルシーケンスリプレイヤは、米国特許8375444号明細書に記載されており、その全ての内容は、ここに参照として援用される。
例えば、リプレイロジック280は、容疑オブジェクトに関連付けられたパケットを提供し(場合によってはIPアドレスなどを変更し)、当該パケットに応じて仮想実行環境272によって生成された戻りネットワークトラフィックと同期化するように構成されうる。よって、リプレイロジック280は、当該戻りネットワークトラフィックを抑制(破棄するなど)しうる。これにより、当該戻りネットワークトラフィックは、通信ネットワーク230へ送信されない。本開示における一実施形態においては、TCPシーケンスやUDPシーケンスのようなフローである特定のオブジェクトについて、リプレイロジック280は、TCP接続やUDPセッションを介してパケットを仮想実行環境272へ送ることによって、データパケットをリプレイしうる。また、プロトコルシーケンスリプレイロジック280は、TCP接続やUDPセッションを終了することにより、戻りネットワークトラフィックを同期化する。
さらに図2Aに示されるように、動的分析ロジック270内の監視ロジック276は、エクスプロイトを示す異常あるいは予期せぬ活動を検出するために、少なくとも一つの仮想マシン275〜275によって分析中のコンテンツの挙動を監視するように構成されうる。当該コンテンツが悪意ある活動に関連付けられていると判断されると、スコア判定ロジック278とともに動作する監視ロジック276は、仮想マシンベースの結果160を分類ロジック285とデータベース255の少なくとも転送しうる。仮想マシンベースの結果160の例としては、計算されたスコア、検出された悪意ある挙動に関連付けられた情報、検出された容疑オブジェクトによる悪意ある活動に関連付けられた情報などが挙げられる。タグ値が使用される場合は、仮想マシンベースの結果160の一部として提供されうる。
本開示における一実施形態においては、スコア決定ロジック278は、容疑オブジェクトがエクスプロイトである確率(あるいは確かさのレベル)を決定するために使用される少なくとも一つのソフトウェアモジュールを備えている。スコア判定ロジック278は、危険性のあるエクスプロイトの脅威を分類する値(「スコア」と称する)を生成するように構成される。勿論、スコアは、同じ容疑オブジェクトに関連付けられた別のコンテンツの分析によって決定されたスコアを数学的に組み合わせることにより、まとめて容疑オブジェクトに付与されうる。これにより、当該容疑オブジェクトに係る全体スコアが取得される。その後、容疑オブジェクトとスコアの少なくとも一方が、優先付けに使用されるために分類ロジック285へ転送される。
一般に、分類ロジック285は、仮想マシンベースの結果160を受け付けるように構成されうる。本開示における一実施形態においては、スコアの少なくとも一部は、容疑オブジェクトがエクスプロイトであると仮想実行ロジック150が実証したかを判断するために使用されうる。容疑オブジェクト130がエクスプロイトの特徴を有していることが仮想実行ロジック150によって実証されていないことをスコアが表している場合、仮想マシンベースの結果160の少なくとも一部は、非実証済みエクスプロイト情報190を生成するために、対応するIPSベースの結果140と組み合わされうる。非実証済みエクスプロイト情報190は、データベース255に保存される。
しかしながら、容疑オブジェクト130がエクスプロイトであると仮想実行ロジック150によって実証されたと当該スコアが表している場合、結合されたIPSベースの結果140と仮想マシンベースの結果160の少なくとも一方は、分類ロジック285によって変更され、続いて実証済みエクスプロイト情報195の少なくとも一部として保存されうる。換言すると、データベース255とともに動作する分類ロジック285は、実証済みエクスプロイトに関連付けられたエクスプロイト情報の表示の優先付けを担当しうる。これにより、表示される実証済みエクスプロイト情報に係る順序や位置の変更、あるいは表示ロジック290によって表示順序や位置の変更に使用される実証済みエクスプロイト情報への情報の追加、特定の実証済みエクスプロイト情報を提供するテキストに使用されるフォント種別(色、サイズ、書体、スタイル、エフェクトなどの少なくとも一つ)の変更、各実証済みエクスプロイトに係る実証済みエクスプロイト情報の近傍への少なくとも一つの画像の配置などを、分類ロジック285に行なわせる。
スコアと組み合わせて、あるいはスコアとは個別に使用される他のパラメータが、容疑オブジェクトと関連付けられたエクスプロイト情報の表示を強調するのか、およびどの程度強調するのかの少なくとも一方を判断するために使用あるいは依拠されてもよいことは勿論である。
その後、非実証済みエクスプロイト情報190とともに、実証済みエクスプロイト情報195がデータベース255に保存され、表示ロジック290によるアクセスが可能になる。
より具体的には、本開示における一実施形態においては、分類ロジック285は、優先付けロジック286とタグ画像生成ロジック288を備えている。本開示における一実施形態においては、優先付けロジック286は、少なくとも一つの因子に基づいて、実証済みエクスプロイトに関連付けられたエクスプロイト情報の変更(変更、表示コマンドの関連付けなど)を行なうように構成されうる。当該因子は、(1)オブジェクトに関連付けられたスコア、(2)オブジェクトのソース、(3)別の容疑オブジェクトにおいて繰り返し検出された同じエクスプロイトなどを含む。この変更は、エクスプロイト情報の分類と実証済みエクスプロイト情報195としての保存を伴う。実証済みエクスプロイト情報195は、表示ロジック290によりアクセスされると、実証済みエクスプロイトに関連付けられたエクスプロイト情報を、表示画面上あるいは表示画像内(特定のウインドウや実証済みエクスプロイトを列挙する画面内、実証済みエクスプロイトと非実証済みエクスプロイトのリスト内における特定の順序など)に配置する。
あるいは、表示ロジック290は、分類ロジック285内での展開に代えて、優先付けロジック286とタグ画像生成ロジック288の少なくとも一方に関連付けられた機能の少なくとも一部によって実現されうることは勿論である。よって、表示ロジック290は、分類ロジックにより受け付けられた情報に応じて、実証済みエクスプロイトに関連付けられた情報を変更するように構成されうる。
タグ画像生成ロジック288は、タグ画像(不図示)を生成するために優先付けロジック286との組合せで動作するように構成されうる。当該タグ画像は、表示に供される容疑オブジェクトに関連付けられた実証済みエクスプロイト情報の一部に含まれる。タグ画像は、実証済みエクスプロイト(すなわち、IPSロジック120によって検出された容疑エクスプロイトであって、その存在が仮想実行ロジック150によって実証されたもの)の存在を表す他の視覚的表現を提供するために使用される。
TDPシステム210〜210によって行なわれる静的スキャン動作に加えてあるいは代えて、エクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を実行するために、クラウドコンピューティングサービス240がIPSロジック120によって実施されうることは勿論である。これに加えてあるいは代えて、本開示における分析下にあるオブジェクト内のコンテンツの仮想実行を行なうために、クラウドコンピューティングサービス240が仮想実行ロジック150によって実施されうることは勿論である。表示ロジック290は、実証済みエクスプロイトと非実証済みエクスプロイトの少なくとも一方に関連付けられたエクスプロイト情報を、グラフィックに、あるいはクラウドコンピューティングサービス240からダウンロードされた少なくとも一つのページを通じて表示させる。クラウドコンピューティングサービス240を通じて取得された結果の表示は、クライアントデバイスあるいはクライアントデバイス上で動作中のアプリケーションで行なわれる。本実施形態によれば、TDPシステム210は、クラウドコンピューティングサービス240と情報をやり取りするための安全な通信を確保できる。
C.一般的なアーキテクチャ(第二実施形態)
図2Bに示されるように、第一TDPシステム210は、通信ネットワーク230とともにクライアントデバイス234にも結合されうる。図2Aの実施形態とは異なり、第一TDP210は、インターフェースユニット295を備えている。インターフェースユニット295は、通信ネットワーク230上の信号を静的分析エンジン250または分類ロジック285へ送る。動的分析エンジン270は、クラウドコンピューティングサービス240に配置される。よって、ネットワークトラフィックから静的分析のために取得されるオブジェクトは、通信経路296を介して静的分析エンジン250へ転送される。容疑オブジェクトは、経路297を介してクラウドコンピューティングサービス240内の動的分析エンジン270へ転送されうる。同様に、少なくとも「疑わしい」と判断されなかったオブジェクトは、経路297を介して返送され、続いてクライアントデバイス234へ転送されうる。動的分析エンジン270の結果(エクスプロイト情報など)は、優先付けとタグ付けのために経路298を介して転送されうる。当該優先付けとタグ付けは、続いて表示ロジック290に使用されるためのデータベース255への保存前に行なわれる。
D.TDPシステムのロジックレイアウト例
図3には、図2Aと図2Bに示されたTDPシステム210と関連付けられたロジックのブロック図の例が示されている。TDPシステム210は、少なくとも一つのプロセッサ300を備えている。プロセッサ300は、第一送信媒体320を介して通信インターフェースロジック310と結合されている。通信インターフェースロジック310は、図2Aと図2Bにおける他のTDPシステム210〜210および管理システム220との通信を可能にする。本開示における一実施形態においては、通信インターフェースロジック310は、少なくとも一つの有線コネクタ用ポートを含む物理インターフェースによって実現されうる。
これに加えてあるいは代えて、通信インターフェースロジック310は、他の電子デバイスとの無線通信をサポートしている少なくとも一つの無線ユニットによって実現されうる。
少なくとも一つのプロセッサ300は、送信媒体325を介してさらに固定ストレージ330と結合されている。本開示における一実施形態においては、固定ストレージ330は、(1)第一分析ロジック250(IPSロジックなど)を含む静的分析エンジン250、(2)仮想実行ロジック272、監視ロジック276、スコア決定ロジック278を含む(リレーとオブジェクト抽出ロジック280、282をさらに含んでもよい)動的分析エンジン270、(3)優先付けロジック286とタグ画像生成ロジック288を含む分類ロジック285、および(4)表示ロジック290を含みうる。ハードウェアによって実現される場合、これらのロジックユニットの少なくとも一つは、相互独立して実現されうることは勿論である。
IPSロジック120は、各到来オブジェクトに対して第一静的分析を行なう少なくとも一つのソフトウェアモジュールを備えている。上述のように、この分析においては、各到来オブジェクトに対して少なくともエクスプロイトシグネチャチェックと脆弱性シグネチャチェックを実施し、当該オブジェクトの特性がエクスプロイトであることを示すものが存在するかを判断する。存在しない場合、当該オブジェクトに対する分析は終了されうる。あるいは、当該オブジェクトは、非リアルタイムの法的レビューに供されうる。少なくとも一つの容疑オブジェクトがエクスプロイトであることを示す特性を有していると確認されると、IPSロジック120は、当該少なくとも一つの容疑オブジェクトを仮想実行ロジック150に提供する。タグ値が使用される場合、当該タグ値は、当該容疑オブジェクトに添付(あるいは関連付け)されうる。これにより、上述のように、当該容疑オブジェクトに係るIPSベースの結果140の保存場所が特定される。当該IPSベースの結果140は、分類ロジック285によって以降のアクセスを受けるために、少なくとも一部がデータベースとして動作するデータストア350にアップロードされる。
仮想実行環境272は、容疑オブジェクトに対して仮想マシンを用いたより詳細かつ動的なリアルタイム分析を行なうために使用される少なくとも一つのソフトウェアモジュールを備えている。より具体的には、仮想実行環境272、プロトコルシーケンスリプレイロジック280、およびオブジェクト抽出ロジック282の少なくとも一つは、少なくとも一つの仮想マシンを実行するように構成されている。当該仮想マシンは、容疑オブジェクトに関連付けられたコンテンツの受信と実行をシミュレートすることによって当該コンテンツを仮想処理し、少なくとも一つのエクスプロイトの存在を判定する。さらに、監視ロジック276は、特定のソフトウェアで構成された仮想マシンによって、合致を得たエクスプロイトや脆弱性により推定的に標的を定められた異常な挙動と特徴をリアルタイムで監視する(さらにログを取ってもよい)。要するに、監視ロジック276は、同じソフトウェアや特徴構成を有する実際の電子デバイスに対して容疑オブジェクトが及ぼす虞のある影響を特定する。そのような影響の例としては、異常なネットワーク送信、動作の異常な変化などが挙げられる。
その後、仮想実行されたコンテンツの観察された挙動に基づき、監視ロジック276は、当該コンテンツが少なくとも一つのエクスプロイトに関連付けられているかを判断しうる。そして、観測された異常挙動の深刻度とエクスプロイトに起因する異常挙動の可能性の少なくとも一方が、スコア決定ロジック278によって付与される「スコア」として評価および反映される。その結果、これらのロジックは、実証済みエクスプロイトに関連付けられた情報を強調するために分類ロジック285によって使用されるための仮想マシンベースの結果160を一括出力する。
優先付けロジック286は、実証済みエクスプロイトに関連付けられた情報(すなわち実証済みエクスプロイト情報195)を強調するために使用される少なくとも一つのソフトウェアモジュールを備えている。例えば、優先付けロジック286は、実証済みエクスプロイトを示すエクスプロイト情報により高い優先度を付与しうる。当該優先度は、表示順序や表示場所を決定するために表示ロジック290によって使用されうる。また、優先付けロジック286は、実証済みエクスプロイト情報の表示に使用されるフォント(色、サイズ、書体、スタイル、エフェクトの少なくとも一つ)を変更するように構成されうる。または、優先付けロジック286は、タグ画像生成ロジック288によって対応するエクスプロイト情報の近傍に提供される少なくとも一つの画像の配置を制御するように構成されうる。
上記の例においては、少なくとも一つのプロセッサ300は、表示ロジック290を起動しうる。表示ロジック290は、TDPシステム2101によって検出された実証エクスプロイトと非実証エクスプロイトの少なくとも一方の詳細なサマリを提示するための少なくとも一つの画面表示を生成する。本開示における一実施形態においては、実証済みエクスプロイトに関連付けられた情報(実証済みエクスプロイト情報195)は、表示画面の第一領域に提示されうる。他方、非実証済みエクスプロイトに関連付けられた情報(非実証済みエクスプロイト情報190)は、当該表示画面の第二領域に提示されうる。別例として、実証済みエクスプロイト情報195は、IPSロジックにより検出された全エクスプロイトのリストのトップエントリに提示されうる。他方、非実証済みエクスプロイト情報190は、それ以降に提示されうる。別例として、実証済みエクスプロイト情報195の少なくとも一部は、非実証済みエクスプロイト情報190を提示するために使用されるフォントとは異なるフォント(異なる書体、色、太字や斜字などのスタイル、下線や網掛けなどのエフェクトなど)で提示されうる。さらに別例として、容疑オブジェクトに関連付けられた非実証済みエクスプロイト情報190ではなく、実証済みエクスプロイト情報195の隣にタグ画像が配置されうる。
E.検出されたエクスプロイトの表示および優先付け
図4には、脅威検出および防止プロセスを例示するフローチャートの例が示されている。当該プロセスは、IPSロジックにより検出され、仮想実行環境によって実証された容疑オブジェクトに関連付けられた強調するレポートを生成する。オブジェクトを受け付けると、TDPシステムは、当該オブジェクトに対して第一静的分析動作を行なう(ブロック400)。第一静的分析動作は、IPSロジックによるエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を含みうる。これにより、分析対象のオブジェクトの特性がエクスプロイトであることを示しているかが判断される。容疑オブジェクトが少なくとも一つの容疑エクスプロイトの特性を有しうると判断されると、当該オブジェクトは、仮想マシンベースの分析のためにタグ付けされ、容疑オブジェクトと容疑エクスプロイトの少なくとも一方に関連付けられた情報(IPSベースの結果)が、以降のアクセスのために保存される(ブロック405と410)。
図示されていないが、容疑オブジェクトが容疑エクスプロイトの特性を有していると判定されると、IPSロジックは、当該オブジェクトが標的のクライアントデバイスへ向かうのを阻止するように構成されうる。但し、検出漏れによるエラーを軽減するために、阻止は仮想マシンベースの分析が完了するまで遅延されうる。このブロック機能は、ネットワーク管理者によって容疑エクスプロイトの深刻度や種別、所定期間内におけるこの種のエクスプロイトの出現数などに基づいて調整されうる。また、さらなるエクスプロイト分析の実施に先立ち、IPSロジックからの出力時に必要に応じてタグ値が容疑オブジェクトに添付(あるいは関連付け)されうる。これにより、当該容疑オブジェクトに係るIPSベースの結果は、当該オブジェクトに係る以降の仮想マシンベースの結果に関連付けされうる。
当該容疑オブジェクトに対するIPSベースの分析が完了した後、当該容疑オブジェクトのコンテンツは、仮想マシンベースの分析に供されうる(ブロック415と420)。仮想マシンベースの分析結果(仮想マシンベースの結果)は、以降のレビューのために提供される(ブロック425)。本開示における一実施形態においては、分類ロジックが当該レビューを行なう。但し、動的分析エンジン内のロジックが当該レビューを行なってもよい。
通常は、仮想マシンベースの分析によって容疑オブジェクトがエクスプロイトであることを実証できない場合、エクスプロイトが検出されなかったことを示すスコアが付与されうる(ブロック430)。この場合、容疑オブジェクトに対する仮想マシンベースの分析中に生成された情報が、対応するIPSベースの結果とともに、非実証済みエクスプロイト情報の一部として保存される(ブロック435)。しかしながら、容疑オブジェクトがエクスプロイトであることを、当該オブジェクトの仮想実行中における監視対象の挙動が示した場合、「実証された」少なくとも一つのエクスプロイトに係る該当性と脅威レベルの少なくとも一方を表すスコアが付与される。
本開示における一実施形態においては、分類ロジックは、実証済みエクスプロイトに関連付けられたIPSベースの結果を取得するように構成されうる。ブロック440と445に例示されるように、IPSベースの結果から得られる情報の少なくとも一部と仮想マシンベースの結果が、顕著に表示(強調)されうる。強調の仕方は、以下のものを含みうる。(1)実証済みエクスプロイトに係るエクスプロイト情報に対して、非実証済みエクスプロイトに関連付けられたエクスプロイト情報とは異なる特定の表示位置を付与する。(2)実証済みエクスプロイトに関連付けられたエクスプロイト情報の外見(フォント書体、色、スタイルなど)を変更することにより、非実証済みエクスプロイトに関連付けられたエクスプロイト情報は異なる外見を有する。(3)実証された容疑オブジェクトのみに関連付けられたエクスプロイト情報の近傍への少なくとも一つの画像の配置を制御する。他の表示調節も用いられうる。このような強調が行なわれることにより、実証済みエクスプロイトに関連付けられたエクスプロイト情報を、非実証済みエクスプロイトに関連付けられたエクスプロイト情報と視覚的に異ならせる。
その後、(強調された)実証済みエクスプロイト情報は、保存のためにデータベースにアップロードされ、表示ロジックによりレンダリングのためにアクセス可能となる(ブロック450と455)。
F.検出された悪意あるオブジェクトの表示画面
図5Aには、第一ユーザインターフェース表示画面500の実施形態例が示されている。第一ユーザインターフェース表示画面500は、図2Aと図2Bの表示ロジックにより作成され、インタラクティブなダッシュボードを提供する。表示ロジックによりレンダリングされた表示画面500は、複数の表示領域510、530を備えている。複数の表示領域510、530は、所定期間内にTDPシステムによって発見されなかったエクスプロイトに係る情報を表示する。複数の強調技術が表示画面500、545に示されている。特定の表示に対し、少なくとも一つの強調技術が用いられうる。
より具体的には、本開示における一実施形態においては、実証済みエクスプロイトと非実証済みエクスプロイトの少なくとも一方に係る情報を提供する複数のエントリ520〜520(R>1、本実施形態においてはR=6)を第一領域510が表示する。図示されるように、表示ロジックによってレンダリングされたエントリの各列(例えば5201)は、複数のフィールドを備えている。当該フィールドは、以下に列挙するものの少なくとも一つを含んでいる。(1)容疑オブジェクトに関連付けられたエクスプロイトの名前521、(2)分析下にあるオブジェクトに利用可能なシグネチャパターン522、(3)実証された、あるいは非実証済みエクスプロイトを提供しているソースデバイスに係るアドレス情報(IPアドレスやMACアドレスなど)、(4)脅威スコアに少なくとも部分的に対応する、検出されたエクスプロイトの深刻度524(高、中、低など)、(5)エクスプロイト分析プロセスが行なわれた時刻525、および(6)検出されたエクスプロイトに対する脆弱性が検出されたソフトウェアの名前とバージョン番号の少なくとも一方526。
第二領域530は、少なくとも一つの画像とともに構成されうる。当該画像は、実証済みエクスプロイト(すなわち、まずIPSロジックによりエクスプロイトを示す特性を有すると特定され、仮想実行ロジックによりエクスプロイトであると実証されたもの)に係る各エントリに対応する。例えば、図5Aに示されるように、画像535は、対応する実証済みエクスプロイトに関連付けられた「HTTP Exploit_ID1」という名前の情報の近傍に表示される。実証済みエクスプロイトに関連付けられた「HTTP Exploit_ID2」、「JAVA Exploit_ID1」、および「HTML Exploit_ID1」という名前の情報についても同様の画像が例示されている。
実証済みエクスプロイトが存在するという事実のみで強調された深刻度の付与が必要とされるが、実証されたかったエクスプロイトに対して実証済みエクスプロイトよりも高い深刻度を付与される可能性があるという事実のみでは、例示の強調された深刻度が付与されることはない。実証済みエクスプロイトに関連付けられたエクスプロイト情報は、非実証済みエクスプロイトに関連付けられた情報よりも顕著に表示される。これにより、ネットワーク管理者は、より迅速かつ容易に実証済みエクスプロイトを判断でき、検出漏れに伴う管理上および運用上の不利益を抑制できる。
強調手法の一例として、エクスプロイト名(HTTP Exploit_ID1、HTTP Exploit_ID2、JAVA Exploit_ID1、およびHTML Exploit_ID1)に関連付けられたフォントは、非実証済みエクスプロイトに係るエクスプロイト名(JAVA Exploit_ID2など)に関連付けられたフォントとは異なるように表示されうる。あるいは、実証済みエクスプロイトに関連付けられた実証済みエクスプロイト情報は、リストの先頭に順序づけられうる(図5B参照)。また、単一の表示画面は、二つの領域を作成しうる。第一の領域は実証済みエクスプロイトに関連付けられたエクスプロイト情報を含み、第二の領域は非実証済みエクスプロイトに関連付けられたエクスプロイト情報を含む(図5B参照)。
さらに、図示を省略するが、エントリの一部(フィールド521、522、523、524、525、526内の下線を付与されたエントリや「DETAILS」フィールド540)を選択することにより、エクスプロイトと当該エクスプロイトの分析の少なくとも一方に係るより詳細な情報をネットワーク管理者が取得できるようにしうる。
例えば、リストされた特定のエクスプロイト521を選択することにより、管理者は、当該エクスプロイトのファミリなどの情報(記録された攻撃、推奨される救済法、標的とされたクライアントデバイスなど)を知ることができる。また、シグネチャ522を選択することにより、管理者は、どのシグネチャ(エクスプロイト、脆弱性など)がIPSによって容疑オブジェクトと合致すると判断されたのかに関する追加情報へのアクセス権を有しうる。シグネチャの更新情報、他のオブジェクトに係る当該シグネチャの検出履歴などの追加情報も提供されうる。
同様に、対応するホストアドレス523または深刻度524を選択することにより、管理者は、当該エクスプロイトに対応する容疑オブジェクトのソースの地理的位置、当該容疑オブジェクトを受け付けた中間デバイスのアドレス情報、当該エクスプロイトにより標的とされた特定のネットワーク動作などに係る追加情報を提供されうる。また、ソフトウェア種別526を選択することにより、実証済みエクスプロイトに脆弱性を有する全てのソフトウェア種別のリスト(そのようなエクスプロイトの存在を示す監視対象の異常挙動の映像や画像)がアクセスされうる。
図5Bには、図2Aと図2Bの表示ロジックにより作成された第二ユーザインターフェース表示画面545の実施形態例が示されている。表示画面545は、インタラクティブなダッシュボードを提供する。表示画面545は、選択された期間にわたるIPS検出分析の結果を表示する複数の領域550、570、580を備えている。
図示されているように、第一ユーザインターフェース表示画面500と同様に、第二ユーザインターフェース表示画面545の第一領域550は、実証済みエクスプロイトに係る情報を提供する複数のエントリ560〜560(S>1、本実施形態はS=4)を表示している。表示ロジックによりレンダリングされた各エントリ(例えば560)は、以下に列挙するものの少なくとも一つを含んでいる。(1)実証済みエクスプロイト(エクスプロイトであると実証された容疑オブジェクト)の名前561、(2)エクスプロイトを示す特性を有するものとしてまず特定されたシグネチャ562、(3)検出されたエクスプロイトを提供しているソースデバイスのアドレス情報563(IPアドレスやMACアドレスなど)、(4)脅威スコアに少なくとも部分的に対応する、深刻度564(高、中、低など)、(5)エクスプロイト分析プロセスが行なわれた時刻565、および(6)検出されたエクスプロイトに対する脆弱性が検出されたソフトウェアの名前とバージョン番号の少なくとも一方566。
図示されているように、第二領域570が提供されうる。第二領域570は、上述のように、実証済みエクスプロイトに関連付けられた各エントリに対応する画像を含んでいる。図5Bに例示されるように、画像535は、対応する「HTTP Exploit_ID1」という名前の実証済みエクスプロイトに関連付けられた情報とともに表示される。「HTTP Exploit_ID2」、「JAVA Exploit_ID1」、および「HTML Exploit_ID1」という名前の実証済みエクスプロイトについて、強調された実証済みエクスプロイト情報として同様の画像が例示されている。
第三領域580は、「JAVA Exploit_ID2」および「RPC Exploit_ID1」という名前の非実証済みエクスプロイトに関連付けられたエクスプロイト情報を例示している。
別実施形態(IPSロジックおよび仮想実行ロジック実証を伴なう第二分析ロジック)
本開示における別実施形態においては、静的分析エンジンは、第一静的分析ロジック(IPSロジックなど)と第二静的分析ロジック(ヒューリスティックエンジンなど)を伴なうように構成されうる。第二静的分析ロジックは、IPSロジックとは独立して動作し、到来オブジェクトのいずれかの特性がエクスプロイトであることを示しているかを判断するように構成される。後述するように、第一静的分析ロジックと第二静的分析ロジックは、並列的にあるいは連携して動作しうる。
具体的には、上述のように、第一静的分析エンジン(IPSロジック)は、エクスプロイトを示す特性を有するオブジェクトの第一部分集合を特定するために、到来オブジェクトに対してエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を少なくとも行なう。第二静的分析ロジック(ヒューリスティックエンジン)は、同じあるいは異なるオブジェクトを分析するように構成されうる。当該分析は、第一静的分析ロジック(IPSロジック)によって利用されるものとは異なる複数の規則とシグネチャの少なくとも一方に基づきうる。
より具体的には、本実施形態においては、容疑オブジェクト(オブジェクトの第一部分集合)を特定するに際して、第一静的分析ロジック(IPSロジック)は、容疑オブジェクト(タグ識別子が付与されているか関連付けられていることが多い)を、図6Aと図6Bの実証ロジック150に提供する。当該タグ識別子は、以降「tag_ID1」と称する。Tag_ID1は、容疑オブジェクトが第一静的分析ロジック(IPSロジック)に由来することを他のロジックに示すために使用されうる。
第二静的ロジック(ヒューリスティックロジック)は、当該オブジェクトがエクスプロイトでありうることを示す悪意ある活動の可能性を、オブジェクト内の情報の存在、不在、あるいは変更が示しうるかを判断するために、到来オブジェクトを分析するように構成されている。当該判断は、少なくとも一つの「悪意ある識別子」に対応するオブジェクトの特定部分が既知のエクスプロイト、エクスプロイトパターン、あるいはシェルコードパターンに関連付けられた特定のソースアドレスあるいは宛先アドレス(URL、IPアドレス、MACアドレスなど)を含みうるかを判断する第二静的分析ロジック(ヒューリスティックロジック)による動作を伴う。
加えて、各容疑オブジェクトとともに、ヒューリスティックロジックは、各容疑オブジェクト630に関連付けられた対応するヒューリスティックベースの結果640をロケートするために使用されるタグ識別子(tag_ID2)提供しうる。よって、tag_ID2は、当該容疑オブジェクトがヒューリスティックロジック620に由来するものであることを他のロジックに示すためにも使用されうる。
第一静的分析ロジック(IPSロジック)と第二静的分析ロジックのいずれかが、エクスプロイトを示す特性をどの到来オブジェクトが有しているかを判断した後、容疑オブジェクトは、より詳細な少なくとも一つの仮想マシンを用いる動的分析のために仮想実行ロジックに提供される。当該動的分析は、上記のように構成された少なくとも一つの仮想マシンによる容疑オブジェクトのコンテンツの仮想実行を含みうる。仮想マシンの挙動は、異常あるいは予期せぬ活動を検出するために監視される。
第一静的分析ロジック(IPSロジック)と第二静的分析ロジック(ヒューリスティックロジック)は、並列動作しうる。この場合、両ロジックは、同じ容疑オブジェクトに対して予備的エクスプロイト検出分析を行なう。より具体的には、第二静的分析ロジック(ヒューリスティックロジック)は、ネットワークトラフィックから抽出されたオブジェクトに対して分析を行ないうる。当該分析は、IPSロジックによる同じ容疑オブジェクトの分析と同時に(少なくとも部分的に時間が重複して)行なわれる。これにより、IPSロジックによるエクスプロイトの検出不足を示す検出漏れを把握する能力がTDPシステムに与えられる。また、このような並列分析は、エクスプロイトとの関連が高い特定の地理的場所、悪意あるソースと特定済みのIPアドレスなどから到来するオブジェクトに係るネットワークトラフィックの監視を強化するために行なわれうる。
第一静的分析ロジック(IPSロジック)と第二静的分析ロジック(ヒューリスティックロジック)は、連携して動作しうることは勿論である。この場合、到来するオブジェクトは、IPSロジックとヒューリスティックロジックのいずれかによって処理されうる。静的分析が第一静的分析ロジック(IPSロジック)と第二静的分析ロジック(ヒューリスティックロジック)のいずれにより行なわれるかの選択制御は、静的分析エンジン内の別の制御ロジックに委ねられうる。当該制御は、分析対象のオブジェクトの種別、ソース、トラフィック状態などに基づきうる。
A.一般的な通信フロー
図6Aには、電子デバイス600内の脅威検出および防止の動作フローのブロック図の例が示されている。監視されたネットワークトラフィックに関連付けられた到来オブジェクト110の少なくとも一部は、上述した第一静的分析ロジック(図1AのIPSロジック120など)により受け付けられうる。IPSロジック120は、到来オブジェクト110の少なくとも一部に対してエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を行なうように構成される。
到来オブジェクト110の第一部分集合610が「疑わしい」と特定されると(例えば、少なくとも一つの到来オブジェクト110がエクスプロイトシグネチャと脆弱性シグネチャの少なくとも一方と合致すると)、続いてIPSロジック120は、容疑オブジェクトの第一部分集合610を実証ロジック150(仮想実行ロジックなど)に転送する。これらのオブジェクトの各々には、タグ識別子(tag_ID1)が付与され、実証ロジック150に提供されうる。
(IPSロジック120から報告ロジック170へ提供される)容疑オブジェクトに関連付けられたIPベースの結果140を続けてロケートするために使用されるのに加え、tag_ID1は、容疑オブジェクト610がIPSロジック120から提供されたことを実証ロジック150と報告ロジック170の少なくとも一方に知らせるために使用されうる。
そのような情報は、IPSロジック実証済みエクスプロイトに関連付けられたエクスプロイト情報を特定するために有用でありうる。このエクスプロイト情報は、第二静的分析ロジック620を起源とする実証済みエクスプロイトに関連付けられたエクスプロイト情報とは異なる手法で強調されうる。
IPSロジック120と連携してあるいは並列に動作することにより、第二静的分析ロジック620(ヒューリスティックロジックなど)は、エクスプロイトを示す特性を有するオブジェクトの部分集合630を作成するために、オブジェクト110の少なくとも一部に対して別種の静的分析を行なう。よって、並列動作する場合、ヒューリスティックロジック620は、IPSロジック120によっても受信および分析された到来オブジェクト110を受信しうる。IPSロジック120と連携して動作する場合、ヒューリスティックロジック620は、到来オブジェクト110の少なくとも一部を受信しうる。特定の到来オブジェクトがIPSロジック120により受信されるかヒューリスティックロジック620により受信されるかの切替えは、図6Bに示されるように、TDPシステム2101内におけるスケジューラ260などの別ロジックからの制御信号647を介して切替ロジック645によって行なわれる。
IPSロジック120とヒューリスティックロジック620の少なくとも一方によって検出された容疑オブジェクト610と容疑オブジェクト630の少なくとも一方(まとめて「容疑オブジェクト635」と称する)は、実証ロジック150に転送される。実証ロジック150は、容疑オブジェクトのいずれかがエクスプロイトであるかを、オブジェクト635内のコンテンツの仮想処理を通じて実証するように構成されている。この分析による仮想マシンベースの結果650は、上述のように、以降の報告ロジック170による表示目的の使用のために実証ロジック150から出力される。
より具体的には、第一静的分析ロジック(IPSロジック120)は、分析されたオブジェクト110のいずれかの特性がエクスプロイトを示しているかを特定するために、エクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を行なう。分析されたオブジェクト110のいずれかの特性がエクスプロイトを示している場合、IPSロジック120は、容疑オブジェクト610を実証ロジック150に送る。
加えて、オブジェクト110の少なくとも一部に対し少なくとも一度のヒューリスティックチェックが行なわれうる。当該チェックは、上述のように、オブジェクトの一部に対する少なくとも一つの悪意ある識別子との対応性を判断するための様々なスキャン動作を含む。IPSロジック120は、エクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方に基づいてオブジェクトを特定するように構成されている。ヒューリスティックチェックは、オブジェクト110の少なくとも一部のより広範な静的分析のために行なわれる。当該分析は、別種のシグネチャや他の静的分析スキームの使用を含んでいる。
ヒューリスティックロジック620によるヒューリスティックチェックが行なわれた後、容疑オブジェクトの第二部分集合630が実証ロジック150に提供される。容疑オブジェクトの第二部分集合630は、到来オブジェクト110よりも数が少ない(多くの場合、顕著に少ない)。
容疑オブジェクト610と容疑オブジェクト630の少なくとも一方の各々におけるコンテンツの仮想処理の後、特定のオブジェクトがエクスプロイトであると実証され、実証ロジック150は、レポート650(少なくとも一つの表示画面、印刷レポートなど)を生成するために仮想マシンベースの結果650を提供する。仮想マシンベースの結果650は、対応するIPSベースの結果140に基づいて変更されうる。レポート660は、実証済みエクスプロイトに関連付けられたエクスプロイト情報を、非実証済みエクスプロイト(仮想マシンによって非実証済みエクスプロイトの特性を有している容疑オブジェクト)に関連付けられたエクスプロイト情報に対して視覚的に強調するように構成されうる。
B.一般的なアーキテクチャ
図7Aには、複数の脅威検知および防止(TDP)システム710〜710(N>1、例えばN=3)を使用している通信システム700のブロック図の例が示されている。TDPシステム710は、静的分析エンジン750が二つの異なる静的分析ロジックを含んでいる以外は、図2AのTDPシステム210と同一である。より具体的には、図7Aと図7Bに示されるように、静的分析エンジン750は、少なくとも一つのソフトウェアモジュールを含みうる。当該ソフトウェアモジュールは、少なくとも一つのプロセッサにより実行されると、特定のオブジェクトに対してマルチレベルの静的スキャン(すなわち、IPSロジック120によるエクスプロイトおよび脆弱性のシグネチャチェックとヒューリスティックロジック620によるヒューリスティックチェック)を行なう。
IPSロジック120と並列にあるいは連携して動作することにより、ヒューリスティックロジック620は、分析中のオブジェクトに対して少なくとも一度のヒューリスティックチェックを行なうように構成されうる。当該ヒューリスティックチェックは、上述したIPSロジック120によるエクスプロイトチェックや脆弱性チェックよりもより広範な分析とされうる。
ヒューリスティックロジック620により行なわれたヒューリスティックチェックの結果に基づき、スコア決定ロジック720は、分析されたオブジェクトの特性がエクスプロイトを示している可能性(あるいは確度レベル)を判断する。換言すると、スコア決定ロジック720は、分析されたオブジェクトの各々によって特徴づけられる容疑エクスプロイトの脅威レベルを分類する値を生成するように構成される。例えば、ヒューリスティックチェックがある種の特性(分析中のオブジェクトがエクスプロイトであることを示唆する)を検出すると、当該オブジェクトは、第一脅威レベルに分類されうる。第一脅威レベルは、当該オブジェクトがエクスプロイトである可能性に対応するスコア(値)によって表されうる(10点のうち3点など)。しかしながら、分析中のオブジェクトがエクスプロイトであるとより強く示唆する複数の特性あるいは別種の特性を当該ヒューリスティックチェックが検出すると、より高いエクスプロイトの存在可能性が検出されたことを示すより高いスコア(10点のうち8点など)がスコア決定ロジック720によって付与されうる。
その後、オブジェクトとそれに対応するスコアは、どの容疑オブジェクト(存在すれば)がエクスプロイトであるかを実証するための更なる分析に使用されるために、静的分析エンジン750から動的分析エンジン270へ転送されうる。これに加えてあるいは代えて、上記のスコアは、優先付けに使用されるために分類ロジック785へ提供されうる。
より具体的には、静的スキャニングの完了後、上記のオブジェクトは、仮想マシン275〜275(M>1)を用いた詳細な動的分析のために動的分析エンジン270へ提供されうる。当該オブジェクトの特性がエクスプロイトを示していない場合、ヒューリスティックロジック620は、当該オブジェクトのコンテンツに対するさらなる分析を停止しうる。
一般に、動的分析エンジン270からの仮想マシンベースの結果160の受け付けに加え、分類ロジック785は、付与されたスコアを静的分析エンジン750から受け付けるように構成されうる。分類ロジック785は、実証済みエクスプロイトあるいは非実証済みエクスプロイトに付与された全スコアを取得するために、容疑オブジェクトに関連付けられたコンテンツに付与されたスコア同士(静的分析エンジン750と動的分析エンジン270による検出に基づくもの)を数学的に組み合わせるように構成されうる。
本開示における一実施形態においては、非実証済みエクスプロイトから実証済みエクスプロイトを特定するために、上記の全スコアの少なくとも一部が使用されうる。また、強調動作(上記のように表示順序に影響を与えうる表示優先度の付与など)のために、スコアの少なくとも一部が使用されうる。しかしながら、エクスプロイトを分類するために、あるいは表示優先度に影響を与えるために、他のパラメータが、エクスプロイトに付与されたスコアと組み合わせて、あるいは当該スコアとは別個に使用されうる。例えば、上記の全スコアは、他のパラメータ(仮想マシンベースの結果に含まれたエクスプロイト情報の一部としてのtag_ID1やtag_ID2の存在)とともに、当該エクスプロイトの表示順序に影響を与えうる。
図7Bに示されるように、第一TDPシステム710は、通信ネットワーク230と結合されうる。図2Bに例示されたものと同様に、第一TDPシステム710は、通信ネットワーク230上の信号を、静的分析エンジン750または分類ロジック785へ送るインターフェースユニット295を備えている。この場合、動的分析エンジン270は、クラウドコンピューティングサービス240に配置される。
C.検出されたエクスプロイトの表示と優先付け
図8Aと図8Bには、静的分析にIPSロジックとヒューリスティックロジックの少なくとも一方を利用する脅威検出および防止処理を例示するフローチャートの例が示されている。当該プロセスは、IPSロジックまたはヒューリスティックロジックにより検出され、仮想実行環境により実証された容疑オブジェクトに関連付けられた情報を強調するレポートを生成する。なお、IPSロジックとヒューリスティックロジックは、並列動作してもよいし、連係動作してもよい。
IPSロジックとヒューリスティックロジックは、検出されたエクスプロイトに対する強化された監視を必要とする因子に基づいて、並列動作(あるいは連係動作)するように構成されうる。例えば、エクスプロイトである可能性が高い特定の地理的場所あるいは悪意あるソースとして特定されている特定のIPアドレスを起源とするオブジェクトの量が増える場合がある。並列処理の場合、図8Aのブロック805〜825とブロック830〜855に関連付けられた動作が並列的に行なわれる。しかしながら、IPSロジックとヒューリスティックロジックは、連係動作しうる。また、特定の政府機関については、エクスプロイトとエクスプロイトの経験履歴の少なくとも一方に対する感度は、追加分析を必要としうる。
分析対象のオブジェクトを受信すると、ブロック800に記載のように、TDPシステムは、第一静的分析ロジック(IPSロジック)と第二静的分析ロジック(ヒューリスティックロジック)の少なくとも一方による静的分析が行なわれるべきかの判断を行なう。一実施形態においては、初期状態としてIPSロジックが選択される。
選択がなされると、IPSロジックは、当該分析対象のオブジェクトの特性がエクスプロイトを示しているかを判断するために、エクスプロイトシグネチャチェックと脆弱性シグネチャチェックの少なくとも一方を行なう(ブロック805)。当該分析対象のオブジェクトの特性がエクスプロイトを示していると判断されると、容疑オブジェクトとエクスプロイト(IPSベースの結果)の少なくとも一方に関連付けられた情報が、以降のアクセスのために保存される(ブロック810と815)。
図示が省略されているが、容疑オブジェクトが容疑エクスプロイトの特性を有していると判断されると、IPSロジックは、当該オブジェクトが標的のクライアントデバイスへ向かうのをブロックするように構成されうる。但し、ブロッキングは、仮想マシンベースの分析が完了するまで延期されうる。このブロック機能は、容疑エクスプロイトの深刻度や種別、所定の期間内におけるこの種のエクスプロイトの出現数などに基づいて、ネットワーク管理者によって調整されうる。また、さらなるエクスプロイト分析に先立ち、図8Aにおいて破線によって示されるオプションの特徴として、IPSロジックからの出力時にtag_ID1が容疑オブジェクトに添付しうる。これにより、(1)容疑オブジェクトに係るIPSベースの結果が、後続する当該容疑オブジェクトに係る仮想マシンベースの結果と関連付けられ、(2)仮想実行ロジックと分類ロジックの少なくとも一方が、IPSロジックを起源とする容疑オブジェクトを特定できる(ブロック820)。その後、容疑オブジェクトとtag_ID1の少なくとも一方が、以降の分析のために動的分析エンジンに供給される(ブロック825)。
これに加えてあるいは代えて、分析対象のオブジェクトの特性がエクスプロイトを示しているかを判断するために、第二静的分析が行なわれうる(ブロック830)。この判断は、少なくとも一度のヒューリスティックチェックを伴いうる。当該ヒューリスティックチェックは、(1)当該オブジェクトが少なくとも一つの悪意ある識別子と特定の関連度を有しているか、あるいは(2)当該オブジェクトに関連付けられたコンテンツの存在、不在、または変更がエクスプロイトの可能性を示しているか、を判断するために行なわれる。当該分析中において、当該オブジェクトがエクスプロイトである可能性を特定するためのスコアが付与されうる(ブロック835)。
容疑オブジェクトが仮想マシンベースの分析にタグ付けされた場合(当該付与されたスコアが所定の閾値スコア以上であるとき、そのように判断されうる)、当該スコアを含む容疑オブジェクトと容疑エクスプロイトの少なくとも一方に関連付けられた情報(以降、「ヒューリスティックベースの結果」と称する)は、以降の分類ロジックによるアクセスのために保存されうる(ブロック840、845)。その後、当該容疑オブジェクト(tag_ID2を伴なってもよい)は、以降の分析のために動的分析エンジンに提供される(ブロック850、855)。
IPSロジックまたはヒューリスティックロジックによる静的分析が行なわれるかに依らず、当該容疑オブジェクトは、さらなる分析に供されうる。当該分析においては、当該容疑オブジェクトに関連付けられたコンテンツに対して仮想マシンベースの分析が行なわれる。少なくとも一つの仮想マシンによるコンテンツの仮想処理の挙動は、仮想マシンベースの結果を生成する(ブロック860と865)。仮想マシンベースの分析により当該容疑オブジェクトのコンテンツ内にエクスプロイトを検出できなかった場合、エクスプロイトが検出されなかったことを示すスコアが付与されうる。そして、当該仮想マシンベースの結果が、保存されうる(ブロック870と875)。
しかしながら、動的分析エンジンが(当該容疑オブジェクト内のコンテンツの仮想処理中に)当該容疑オブジェクトがエクスプロイトを構成していることを実証すると、当該検出されたエクスプロイトの可能性と脅威度の少なくとも一方を表すスコアが、この「実証された」エクスプロイトに付与される。より具体的には、仮想実行ロジックによる以降の当該容疑オブジェクト内のコンテンツの分析中において、当該容疑オブジェクトがエクスプロイトであると判断されると(当該容疑オブジェクト内のコンテンツがエクスプロイトを構成している特定の可能性が判断されると)、当該検出されたエクスプロイトの可能性と脅威度の少なくとも一方を示すスコアが付与される。
その後、本開示における一実施形態においては、IPSベースの結果が仮想マシンベースの結果とともに取得される。そして、当該IPSベースの結果と仮想マシンベースの結果より得られた情報の少なくとも一部が、ブロック880と885に例示されるように、顕著に表示(強調)されうる。
その後、実証(強調)されたエクスプロイト情報が、保存のためにデータベースにアップロードされる。これにより、当該情報は、レンダリングのために表示ロジックによりアクセス可能となる(ブロック890と895)。
上記の記載においては、特定の実施形態例を参照して本発明を説明した。しかしながら、添付の特許請求の範囲に記載されたより広い発明の趣旨から逸脱しなければ、様々な修正および変更がなされうることは明らかである。

Claims (10)

  1. 複数の第一オブジェクトを受け付け、当該複数の第一オブジェクトを分析することにより、当該複数の第一オブジェクトの部分集合であり、当該複数の第一オブジェクトの数以下である複数の第二オブジェクトを容疑エクスプロイトとして特定するように構成された侵入防止システム(IPS)ロジックと、
    前記複数の第二オブジェクトの各々に含まれるコンテンツを処理し、処理中におけるエクスプロイトを示す異常挙動を監視することにより、当該複数の第二オブジェクトの第一部分集合に含まれる少なくとも一つの実証済みオブジェクトを分類するように構成された少なくとも一つの仮想マシンを含む仮想実行ロジックと、
    少なくとも一つの非実証済みエクスプロイトの視覚表現とは異なる表示がなされる、前記少なくとも一つの実証済みエクスプロイトに関連付けられたエクスプロイト情報の視覚表現を含む表示を生成するように構成された表示生成ロジックと、
    を備えており、
    前記少なくとも一つの実証済みエクスプロイトに関連付けられたエクスプロイト情報の視覚表現は、前記少なくとも一つの非実証済みエクスプロイトの視覚表現よりも強調される、
    脅威検出システム。
  2. 前記少なくとも一つの実証済みエクスプロイトに関連付けられたエクスプロイト情報の表示は、インタラクティブダッシュボードを含んでおり、
    前記インタラクティブダッシュボードは、第一表示領域を有しており、
    前記第一表示領域は、
    前記実証済みエクスプロイトのうち第一実証済みエクスプロイトの名前と、
    前記第一実証済みエクスプロイトの検出に関連付けられた時刻と、
    前記IPSロジックによる検出または前記第一実証済みエクスプロイトの実証に使用されたパターンと、
    を示している、
    請求項1に記載の脅威検出システム。
  3. 前記インタラクティブダッシュボードは、ユーザに選択された実証済みエクスプロイトに係る追加情報へのアクセスを提供する第二表示領域を含んでいる、
    請求項2に記載の脅威検出システム。
  4. 侵入防止システム(IPS)ロジックによって複数の第一オブジェクトを受け付け、
    前記複数の第一オブジェクトの各々に対してエクスプロイトシグネチャチェックと脆弱性シグネチャチェックの一方を行なうことにより当該複数の第一オブジェクトの部分集合であり、当該複数の第一オブジェクトの数以下である複数の第二オブジェクトを容疑エクスプロイトとして特定することを含む分析を前記IPSロジックによって行ない、
    前記複数の第二オブジェクトの各々に含まれるコンテンツを処理し、処理中におけるエクスプロイトを示す異常挙動を監視するように構成された少なくとも一つの仮想マシンを含む仮想実行ロジックによって、当該複数の第二オブジェクトの第一部分集合がエクスプロイトであることを自動的に実証し、
    前記複数の第二オブジェクトの前記第一部分集合に関連付けられたエクスプロイト情報の視覚表現と、非実証済みエクスプロイトを含む前記複数の第二オブジェクトの第二部分集合に関連付けられた視覚表現を含む表示を生成し、
    前記複数の第二オブジェクトの前記第二部分集合に関連付けられた前記エクスプロイト情報の視覚表現は、前記複数の第二オブジェクトの前記第一部分集合に関連付けられた前記エクスプロイト情報の視覚表現とは異なった表示がなされ、
    前記少なくとも一つの実証済みエクスプロイトに関連付けられたエクスプロイト情報の視覚表現は、前記少なくとも一つの非実証済みエクスプロイトの視覚表現よりも強調される、
    コンピュータ制御された方法。
  5. 前記表示は、インタラクティブダッシュボードを含んでおり、
    前記インタラクティブダッシュボードは、第一表示領域と第二表示領域を含んでおり、
    前記第一表示領域は、
    前記複数の第二オブジェクトの前記第一部分集合に含まれる第一実証済みエクスプロイトの名前と、
    前記第一実証済みエクスプロイトの検出に関連付けられた時刻と、
    前記第一実証済みエクスプロイトの検出または実証に使用されたパターンと、
    を示しており、
    前記第二表示領域は、前記複数の第二オブジェクトの前記第一部分集合に含まれる選択された実証済みエクスプロイトに係る追加情報へのアクセスを提供する、
    請求項4に記載のコンピュータ制御された方法。
  6. 少なくとも一つのエンドポイントデバイスのために報告を生成するように構成された報告ロジックを備えており、
    前記報告は、情報とフィールドを含んでおり、
    前記情報は、
    複数の疑わしいオブジェクトの部分集合である少なくとも一つの強調されたオブジェクトと、
    前記少なくとも一つのエクスプロイトの各々と、
    を特定しており、
    前記フィールドは、選択されることによって、前記疑わしいオブジェクトに関連付けられた前記少なくとも一つのエクスプロイトのうち選択されたエクスプロイトに関するより詳細な情報を提供する、
    請求項1に記載の脅威検出システム。
  7. 表示は、前記少なくとも一つのエクスプロイトに含まれる少なくとも一つのソースデバイスのアドレス情報を含む、
    請求項6に記載の脅威検出システム。
  8. 前記表示生成ロジックにより生成された前記表示は、前記少なくとも一つのエクスプロイトに含まれる少なくとも一つのソースデバイスのアドレス情報を含む、
    請求項1に記載の脅威検出システム。
  9. 少なくとも一つのエンドポイントデバイスのために報告を生成し、
    前記報告は、情報とフィールドを含んでおり、
    前記情報は、
    複数の疑わしいオブジェクトの部分集合である少なくとも一つの強調されたオブジェクトと、
    前記少なくとも一つのエクスプロイトの各々と、
    を特定しており、
    前記フィールドは、選択されることによって、前記疑わしいオブジェクトに関連付けられた前記少なくとも一つのエクスプロイトのうち選択されたエクスプロイトに関するより詳細な情報を提供する、
    請求項4に記載のコンピュータ制御された方法。
  10. 前記表示は、前記少なくとも一つのエクスプロイトに含まれる少なくとも一つのソースデバイスのアドレス情報を含む、
    請求項9に記載のコンピュータ制御された方法。
JP2016561597A 2013-12-26 2014-12-23 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法 Active JP6441957B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361921033P 2013-12-26 2013-12-26
US61/921,033 2013-12-26
US14/228,073 US9756074B2 (en) 2013-12-26 2014-03-27 System and method for IPS and VM-based detection of suspicious objects
US14/228,073 2014-03-27
PCT/US2014/072292 WO2015100388A1 (en) 2013-12-26 2014-12-23 System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits

Publications (3)

Publication Number Publication Date
JP2017502442A JP2017502442A (ja) 2017-01-19
JP2017502442A5 JP2017502442A5 (ja) 2018-02-08
JP6441957B2 true JP6441957B2 (ja) 2018-12-19

Family

ID=52395199

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016561597A Active JP6441957B2 (ja) 2013-12-26 2014-12-23 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法

Country Status (4)

Country Link
US (4) US9756074B2 (ja)
EP (1) EP3087528A1 (ja)
JP (1) JP6441957B2 (ja)
WO (1) WO2015100388A1 (ja)

Families Citing this family (168)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9159035B1 (en) * 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9824211B2 (en) 2013-03-15 2017-11-21 Fireeye, Inc. System and method to visualize user sessions
US9497213B2 (en) 2013-03-15 2016-11-15 Fireeye, Inc. System and method to manage sinkholes
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) * 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9912644B2 (en) 2014-08-05 2018-03-06 Fireeye, Inc. System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US9537841B2 (en) 2014-09-14 2017-01-03 Sophos Limited Key management for compromised enterprise endpoints
US9965627B2 (en) * 2014-09-14 2018-05-08 Sophos Limited Labeling objects on an endpoint for encryption management
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US10291628B2 (en) * 2014-11-07 2019-05-14 International Business Machines Corporation Cognitive detection of malicious documents
US9591022B2 (en) * 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10216927B1 (en) 2015-06-30 2019-02-26 Fireeye, Inc. System and method for protecting memory pages associated with a process using a virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10395029B1 (en) 2015-06-30 2019-08-27 Fireeye, Inc. Virtual system and method with threat protection
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US9385993B1 (en) * 2015-08-06 2016-07-05 XL Associates, Inc. Media for detecting common suspicious activity occurring on a computer network using firewall data and reports from a network filter device
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
WO2017044134A1 (en) * 2015-09-11 2017-03-16 Hewlett Packard Enterprise Development Lp Human-readable cloud structures
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033759B1 (en) 2015-09-28 2018-07-24 Fireeye, Inc. System and method of threat detection under hypervisor control
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10616266B1 (en) 2016-03-25 2020-04-07 Fireeye, Inc. Distributed malware detection system and submission workflow thereof
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US9825982B1 (en) 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US10805316B2 (en) * 2016-05-31 2020-10-13 University Of South Florida Systems and methods for detecting attacks in big data systems
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
CN107666590B (zh) * 2016-07-29 2020-01-17 华为终端有限公司 一种目标监控方法、摄像头、控制器和目标监控系统
US10264010B2 (en) * 2016-07-29 2019-04-16 Rohde & Schwarz Gmbh & Co. Kg Method and apparatus for testing a security of communication of a device under test
US10073975B2 (en) * 2016-08-11 2018-09-11 International Business Machines Corporation Application integrity verification in multi-tier architectures
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
JP6852337B2 (ja) * 2016-09-29 2021-03-31 富士通株式会社 情報処理装置、情報処理プログラム、情報処理システム及び情報処理方法
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US11256606B2 (en) 2016-11-04 2022-02-22 Salesforce.Com, Inc. Declarative signup for ephemeral organization structures in a multitenant environment
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10339320B2 (en) * 2016-11-18 2019-07-02 International Business Machines Corporation Applying machine learning techniques to discover security impacts of application programming interfaces
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10554507B1 (en) 2017-03-30 2020-02-04 Fireeye, Inc. Multi-level control for enhanced resource and object evaluation management of malware detection system
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
CN107508838A (zh) * 2017-09-28 2017-12-22 北京云衢科技有限公司 一种访问控制方法、装置和系统
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11184369B2 (en) * 2017-11-13 2021-11-23 Vectra Networks, Inc. Malicious relay and jump-system detection using behavioral indicators of actors
US10943031B2 (en) * 2017-12-22 2021-03-09 Citrix Systems, Inc. Adaptive data sanitation system for endpoints
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11558401B1 (en) * 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US10872133B1 (en) * 2018-06-18 2020-12-22 NortonLifeLock Inc. Software application activation using a picture-based activation key
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
EP4287053A3 (en) * 2018-06-28 2024-01-31 CrowdStrike, Inc. Analysis of malware
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11010272B2 (en) * 2018-07-31 2021-05-18 Salesforce.Com, Inc. Systems and methods for secure data transfer between entities in a multi-user on-demand computing environment
US11010481B2 (en) * 2018-07-31 2021-05-18 Salesforce.Com, Inc. Systems and methods for secure data transfer between entities in a multi-user on-demand computing environment
CN109255238B (zh) * 2018-08-24 2022-01-28 成都网思科平科技有限公司 终端威胁检测与响应方法及引擎
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US10938558B2 (en) * 2018-12-17 2021-03-02 Zebra Technologies Corporation Authentication for connecting a barcode reader to a client computing device
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11176251B1 (en) 2018-12-21 2021-11-16 Fireeye, Inc. Determining malware via symbolic function hash analysis
US11743290B2 (en) 2018-12-21 2023-08-29 Fireeye Security Holdings Us Llc System and method for detecting cyberattacks impersonating legitimate sources
US11601444B1 (en) 2018-12-31 2023-03-07 Fireeye Security Holdings Us Llc Automated system for triage of customer issues
US11310238B1 (en) 2019-03-26 2022-04-19 FireEye Security Holdings, Inc. System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources
US11677786B1 (en) 2019-03-29 2023-06-13 Fireeye Security Holdings Us Llc System and method for detecting and protecting against cybersecurity attacks on servers
US11636198B1 (en) 2019-03-30 2023-04-25 Fireeye Security Holdings Us Llc System and method for cybersecurity analyzer update and concurrent management system
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
JP7276465B2 (ja) * 2019-08-29 2023-05-18 日本電気株式会社 バックドア検査装置、バックドア検査方法、及びプログラム
CN112448921A (zh) * 2019-08-30 2021-03-05 华为技术有限公司 检测后门的方法和装置
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11303628B2 (en) 2019-11-15 2022-04-12 Sap Se Software deployment certification
US11838300B1 (en) 2019-12-24 2023-12-05 Musarubra Us Llc Run-time configurable cybersecurity system
US11522884B1 (en) 2019-12-24 2022-12-06 Fireeye Security Holdings Us Llc Subscription and key management system
US11436327B1 (en) 2019-12-24 2022-09-06 Fireeye Security Holdings Us Llc System and method for circumventing evasive code for cyberthreat detection
EP4229785A1 (en) 2020-10-13 2023-08-23 Bedrock Systems, Inc. A formally verified trusted computing base with active security and policy enforcement

Family Cites Families (610)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2851871C2 (de) 1978-11-30 1984-06-07 Siemens AG, 1000 Berlin und 8000 München Schaltungsanordnung zur Bedämpfung von Leistungspendelungen in Netzen
GB9003890D0 (en) 1990-02-21 1990-04-18 Rodime Plc Method and apparatus for controlling access to and corruption of information in computer systems
US5319776A (en) 1990-04-19 1994-06-07 Hilgraeve Corporation In transit detection of computer virus with safeguard
US5175732A (en) 1991-02-15 1992-12-29 Standard Microsystems Corp. Method and apparatus for controlling data communication operations within stations of a local-area network
US5390325A (en) 1992-12-23 1995-02-14 Taligent, Inc. Automated testing system
US5440723A (en) 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
WO1995033237A1 (en) 1994-06-01 1995-12-07 Quantum Leap Innovations Inc. Computer virus trap
GB2303947A (en) 1995-07-31 1997-03-05 Ibm Boot sector virus protection in computer systems
US6154844A (en) 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6424627B1 (en) 1997-02-24 2002-07-23 Metrobility Optical Systems Full-duplex medium tap apparatus and system
US7821926B2 (en) * 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US5960170A (en) 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US6094677A (en) 1997-05-30 2000-07-25 International Business Machines Corporation Methods, systems and computer program products for providing insertions during delays in interactive systems
US5978917A (en) 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US5983348A (en) 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
IL121898A0 (en) 1997-10-07 1998-03-10 Cidon Israel A method and apparatus for active testing and fault allocation of communication networks
US6417774B1 (en) 1997-10-30 2002-07-09 Fireeye Development Inc. System and method for identifying unsafe temperature conditions
US6118382A (en) 1997-10-30 2000-09-12 Fireeye Development, Incorporated System and method for alerting safety personnel of unsafe air temperature conditions
US6108799A (en) 1997-11-21 2000-08-22 International Business Machines Corporation Automated sample creation of polymorphic and non-polymorphic marcro viruses
US6088803A (en) 1997-12-30 2000-07-11 Intel Corporation System for virus-checking network data during download to a client device
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6298445B1 (en) 1998-04-30 2001-10-02 Netect, Ltd. Computer security
US7711714B2 (en) 1998-09-22 2010-05-04 Hitachi, Ltd. Method and a device for sterilizing downloaded files
US6550012B1 (en) 1998-12-11 2003-04-15 Network Associates, Inc. Active firewall system and methodology
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6484315B1 (en) 1999-02-01 2002-11-19 Cisco Technology, Inc. Method and system for dynamically distributing updates in a network
EP1026898A1 (en) * 1999-02-04 2000-08-09 CANAL+ Société Anonyme Method and apparatus for encrypted transmission
US20030191957A1 (en) 1999-02-19 2003-10-09 Ari Hypponen Distributed computer virus detection and scanning
US7240368B1 (en) 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6430691B1 (en) 1999-06-21 2002-08-06 Copytele, Inc. Stand-alone telecommunications security device
US6442696B1 (en) 1999-10-05 2002-08-27 Authoriszor, Inc. System and method for extensible positive client identification
US6493756B1 (en) 1999-10-28 2002-12-10 Networks Associates, Inc. System and method for dynamically sensing an asynchronous network event within a modular framework for network event processing
US7249175B1 (en) 1999-11-23 2007-07-24 Escom Corporation Method and system for blocking e-mail having a nonexistent sender address
US6775657B1 (en) 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
GB2353372B (en) 1999-12-24 2001-08-22 F Secure Oyj Remote computer virus scanning
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US6832367B1 (en) 2000-03-06 2004-12-14 International Business Machines Corporation Method and system for recording and replaying the execution of distributed java programs
US20010047326A1 (en) 2000-03-14 2001-11-29 Broadbent David F. Interface system for a mortgage loan originator compliance engine
US20040006473A1 (en) 2002-07-02 2004-01-08 Sbc Technology Resources, Inc. Method and system for automated categorization of statements
US6831893B1 (en) 2000-04-03 2004-12-14 P-Cube, Ltd. Apparatus and method for wire-speed classification and pre-processing of data packets in a full duplex network
US7054943B1 (en) 2000-04-28 2006-05-30 International Business Machines Corporation Method and apparatus for dynamically adjusting resources assigned to plurality of customers, for meeting service level agreements (slas) with minimal resources, and allowing common pools of resources to be used across plural customers on a demand basis
US7240364B1 (en) 2000-05-20 2007-07-03 Ciena Corporation Network device identity authentication
TWI304928B (en) 2000-05-19 2009-01-01 Vir2Us Inc A self-repairing computer
US6907396B1 (en) 2000-06-01 2005-06-14 Networks Associates Technology, Inc. Detecting computer viruses or malicious software by patching instructions into an emulator
US6971097B1 (en) 2000-06-09 2005-11-29 Sun Microsystems, Inc. Method and apparatus for implementing concurrently running jobs on an extended virtual machine using different heaps managers
US7080407B1 (en) 2000-06-27 2006-07-18 Cisco Technology, Inc. Virus detection and removal system and method for network-based systems
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
JP2002035109A (ja) 2000-07-21 2002-02-05 Tadashi Kokubo 抗血栓性材料及びその製造方法
US6981279B1 (en) 2000-08-17 2005-12-27 International Business Machines Corporation Method and apparatus for replicating and analyzing worm programs
US20020038430A1 (en) 2000-09-13 2002-03-28 Charles Edwards System and method of data collection, processing, analysis, and annotation for monitoring cyber-threats and the notification thereof to subscribers
GB0022485D0 (en) 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US7496960B1 (en) 2000-10-30 2009-02-24 Trend Micro, Inc. Tracking and reporting of computer virus information
US20020091819A1 (en) 2001-01-05 2002-07-11 Daniel Melchione System and method for configuring computer applications and devices using inheritance
US20060047665A1 (en) 2001-01-09 2006-03-02 Tim Neil System and method for simulating an application for subsequent deployment to a device in communication with a transaction server
US20020095607A1 (en) 2001-01-18 2002-07-18 Catherine Lin-Hendel Security protection for computers and computer-networks
US7290283B2 (en) 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
GB0103416D0 (en) 2001-02-12 2001-03-28 Nokia Networks Oy Message authentication
US7281267B2 (en) 2001-02-20 2007-10-09 Mcafee, Inc. Software audit system
WO2002071227A1 (en) 2001-03-01 2002-09-12 Cyber Operations, Llc System and method for anti-network terrorism
US20030074206A1 (en) 2001-03-23 2003-04-17 Restaurant Services, Inc. System, method and computer program product for utilizing market demand information for generating revenue
US7117493B2 (en) * 2001-03-28 2006-10-03 Ricoh Company, Ltd. Image formation system, software acquisition method, and computer product
US7770223B2 (en) 2001-04-12 2010-08-03 Computer Associates Think, Inc. Method and apparatus for security management via vicarious network devices
CN1147795C (zh) 2001-04-29 2004-04-28 北京瑞星科技股份有限公司 检测和清除已知及未知计算机病毒的方法、系统
CA2446584A1 (en) 2001-05-09 2002-11-14 Ecd Systems, Inc. Systems and methods for the prevention of unauthorized use and manipulation of digital content
US7043757B2 (en) 2001-05-22 2006-05-09 Mci, Llc System and method for malicious code detection
US20020194490A1 (en) 2001-06-18 2002-12-19 Avner Halperin System and method of virus containment in computer networks
US7657419B2 (en) 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US7028179B2 (en) 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
US20030021728A1 (en) 2001-07-26 2003-01-30 Sharpe Richard R. Method of and apparatus for object-oriented real-time mechanical control of automated chemistry instruments
US7861303B2 (en) 2001-08-01 2010-12-28 Mcafee, Inc. Malware scanning wireless service agent system and method
US8438241B2 (en) 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US7356736B2 (en) 2001-09-25 2008-04-08 Norman Asa Simulated computer system for monitoring of software performance
US7107617B2 (en) 2001-10-15 2006-09-12 Mcafee, Inc. Malware scanning of compressed computer files
US20030074578A1 (en) 2001-10-16 2003-04-17 Richard Ford Computer virus containment
US7007107B1 (en) 2001-10-22 2006-02-28 United Electronic Industries Methods and apparatus for performing data acquisition and control
US20030084318A1 (en) 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically correlating data for an intrusion protection system
US7320142B1 (en) 2001-11-09 2008-01-15 Cisco Technology, Inc. Method and system for configurable network intrusion detection
US20030101381A1 (en) 2001-11-29 2003-05-29 Nikolay Mateev System and method for virus checking software
US7080408B1 (en) 2001-11-30 2006-07-18 Mcafee, Inc. Delayed-delivery quarantining of network communications having suspicious contents
US7512980B2 (en) 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US7062553B2 (en) 2001-12-04 2006-06-13 Trend Micro, Inc. Virus epidemic damage control system and method for network environment
US6895550B2 (en) 2001-12-05 2005-05-17 I2 Technologies Us, Inc. Computer-implemented PDF document management
US7093002B2 (en) 2001-12-06 2006-08-15 Mcafee, Inc. Handling of malware scanning of files stored within a file storage device of a computer network
NZ516346A (en) 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
GB2384403B (en) * 2002-01-17 2004-04-28 Toshiba Res Europ Ltd Data transmission links
US7607171B1 (en) 2002-01-17 2009-10-20 Avinti, Inc. Virus detection by executing e-mail code in a virtual machine
US7100201B2 (en) 2002-01-24 2006-08-29 Arxceo Corporation Undetectable firewall
US7448084B1 (en) 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
US7069316B1 (en) 2002-02-19 2006-06-27 Mcafee, Inc. Automated Internet Relay Chat malware monitoring and interception
WO2003071390A2 (en) 2002-02-19 2003-08-28 Postini Corporation E-mail management services
JP3713491B2 (ja) 2002-02-28 2005-11-09 株式会社エヌ・ティ・ティ・ドコモ サーバ装置、及び情報処理方法
US7096498B2 (en) 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US7458098B2 (en) 2002-03-08 2008-11-25 Secure Computing Corporation Systems and methods for enhancing electronic communication security
US20030188190A1 (en) 2002-03-26 2003-10-02 Aaron Jeffrey A. System and method of intrusion detection employing broad-scope monitoring
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US6995665B2 (en) 2002-05-17 2006-02-07 Fireeye Development Incorporated System and method for identifying, monitoring and evaluating equipment, environmental and physiological conditions
US7415723B2 (en) 2002-06-11 2008-08-19 Pandya Ashish A Distributed network security system and a hardware processor therefor
US8539580B2 (en) 2002-06-19 2013-09-17 International Business Machines Corporation Method, system and program product for detecting intrusion of a wireless network
US8423374B2 (en) 2002-06-27 2013-04-16 Siebel Systems, Inc. Method and system for processing intelligence information
US7124327B2 (en) 2002-06-29 2006-10-17 Intel Corporation Control over faults occurring during the operation of guest software in the virtual-machine architecture
US7418729B2 (en) 2002-07-19 2008-08-26 Symantec Corporation Heuristic detection of malicious computer code by page tracking
US8140660B1 (en) 2002-07-19 2012-03-20 Fortinet, Inc. Content pattern recognition language processor and methods of using the same
US7487543B2 (en) 2002-07-23 2009-02-03 International Business Machines Corporation Method and apparatus for the automatic determination of potentially worm-like behavior of a program
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US20040047356A1 (en) 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
US7467408B1 (en) 2002-09-09 2008-12-16 Cisco Technology, Inc. Method and apparatus for capturing and filtering datagrams for network security monitoring
GB0220907D0 (en) 2002-09-10 2002-10-16 Ingenia Holdings Ltd Security device and system
US8909926B2 (en) 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US7159149B2 (en) 2002-10-24 2007-01-02 Symantec Corporation Heuristic detection and termination of fast spreading network worm attacks
US20050033989A1 (en) 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7363656B2 (en) 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7353539B2 (en) 2002-11-04 2008-04-01 Hewlett-Packard Development Company, L.P. Signal level propagation mechanism for distribution of a payload to vulnerable systems
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20040111531A1 (en) 2002-12-06 2004-06-10 Stuart Staniford Method and system for reducing the rate of infection of a communications network by a software worm
US7428300B1 (en) 2002-12-09 2008-09-23 Verizon Laboratories Inc. Diagnosing fault patterns in telecommunication networks
US20040128355A1 (en) 2002-12-25 2004-07-01 Kuo-Jen Chao Community-based message classification and self-amending system for a messaging system
US7546638B2 (en) 2003-03-18 2009-06-09 Symantec Corporation Automated identification and clean-up of malicious computer code
US6898632B2 (en) 2003-03-31 2005-05-24 Finisar Corporation Network security tap for use with intrusion detection system
US7949785B2 (en) 2003-03-31 2011-05-24 Inpro Network Facility, Llc Secure virtual community network system
US7607010B2 (en) 2003-04-12 2009-10-20 Deep Nines, Inc. System and method for network edge data protection
US8640234B2 (en) 2003-05-07 2014-01-28 Trustwave Holdings, Inc. Method and apparatus for predictive and actual intrusion detection on a network
US7464404B2 (en) 2003-05-20 2008-12-09 International Business Machines Corporation Method of responding to a truncated secure session attack
US7308716B2 (en) 2003-05-20 2007-12-11 International Business Machines Corporation Applying blocking measures progressively to malicious network traffic
US7543051B2 (en) 2003-05-30 2009-06-02 Borland Software Corporation Method of non-intrusive analysis of secure and non-secure web application traffic in real-time
US7231667B2 (en) 2003-05-29 2007-06-12 Computer Associates Think, Inc. System and method for computer virus detection utilizing heuristic analysis
US20050108562A1 (en) 2003-06-18 2005-05-19 Khazan Roger I. Technique for detecting executable malicious code using a combination of static and dynamic analyses
EP1636918B1 (en) 2003-06-18 2016-12-28 Intellisync Corporation System and method for providing notification on remote devices
US8627457B2 (en) 2003-06-30 2014-01-07 Verizon Business Global Llc Integrated security system
US20070256132A2 (en) 2003-07-01 2007-11-01 Securityprofiling, Inc. Vulnerability and remediation database
US7512808B2 (en) 2003-08-29 2009-03-31 Trend Micro, Inc. Anti-computer viral agent suitable for innoculation of computing devices
US7392542B2 (en) 2003-08-29 2008-06-24 Seagate Technology Llc Restoration of data corrupted by viruses using pre-infected copy of data
KR100432675B1 (ko) 2003-09-19 2004-05-27 주식회사 아이앤아이맥스 네트워크상의 장비들 간의 통신제어방법 및 이를 위한 장치
US7644441B2 (en) 2003-09-26 2010-01-05 Cigital, Inc. Methods for identifying malicious software
US7496961B2 (en) 2003-10-15 2009-02-24 Intel Corporation Methods and apparatus to provide network traffic support and physical security support
WO2005043360A1 (en) 2003-10-21 2005-05-12 Green Border Technologies Systems and methods for secure client applications
US7584455B2 (en) 2003-10-23 2009-09-01 Microsoft Corporation Predicate-based test coverage and generation
JP3999188B2 (ja) 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
JP4051020B2 (ja) 2003-10-28 2008-02-20 富士通株式会社 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US7421689B2 (en) 2003-10-28 2008-09-02 Hewlett-Packard Development Company, L.P. Processor-architecture for facilitating a virtual machine monitor
CA2545916C (en) 2003-11-12 2015-03-17 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US7437764B1 (en) * 2003-11-14 2008-10-14 Symantec Corporation Vulnerability assessment of disk images
US20050114710A1 (en) 2003-11-21 2005-05-26 Finisar Corporation Host bus adapter for secure network devices
US20050201297A1 (en) 2003-12-12 2005-09-15 Cyrus Peikari Diagnosis of embedded, wireless mesh networks with real-time, flexible, location-specific signaling
WO2005071923A1 (en) 2004-01-20 2005-08-04 Intrusic, Inc Systems and methods for monitoring data transmissions to detect a compromised network
US7346486B2 (en) 2004-01-22 2008-03-18 Nec Laboratories America, Inc. System and method for modeling, abstraction, and analysis of software
US7610627B1 (en) 2004-01-23 2009-10-27 Acxiom Corporation Secure data exchange technique
US8220055B1 (en) 2004-02-06 2012-07-10 Symantec Corporation Behavior blocking utilizing positive behavior system and method
US7725937B1 (en) * 2004-02-09 2010-05-25 Symantec Corporation Capturing a security breach
US7530104B1 (en) 2004-02-09 2009-05-05 Symantec Corporation Threat analysis
US20050183143A1 (en) 2004-02-13 2005-08-18 Anderholm Eric J. Methods and systems for monitoring user, application or device activity
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8006305B2 (en) 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US7966658B2 (en) 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
US7533415B2 (en) 2004-04-21 2009-05-12 Trend Micro Incorporated Method and apparatus for controlling traffic in a computer network
US20050240781A1 (en) 2004-04-22 2005-10-27 Gassoway Paul A Prioritizing intrusion detection logs
US7779463B2 (en) 2004-05-11 2010-08-17 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
US7832012B2 (en) * 2004-05-19 2010-11-09 Computer Associates Think, Inc. Method and system for isolating suspicious email
US7370233B1 (en) * 2004-05-21 2008-05-06 Symantec Corporation Verification of desired end-state using a virtual machine environment
WO2005114955A1 (en) 2004-05-21 2005-12-01 Computer Associates Think, Inc. Systems and methods of computer security
US7441272B2 (en) 2004-06-09 2008-10-21 Intel Corporation Techniques for self-isolation of networked devices
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
US20060010495A1 (en) 2004-07-06 2006-01-12 Oded Cohen Method for protecting a computer from suspicious objects
US7624269B2 (en) * 2004-07-09 2009-11-24 Voltage Security, Inc. Secure messaging system with derived keys
US20070271446A1 (en) 2004-07-16 2007-11-22 Tomonori Nakamura Application Execution Device and Application Execution Device Application Execution Method
US20060015715A1 (en) 2004-07-16 2006-01-19 Eric Anderson Automatically protecting network service from network attack
US7444521B2 (en) 2004-07-16 2008-10-28 Red Hat, Inc. System and method for detecting computer virus
US7603715B2 (en) 2004-07-21 2009-10-13 Microsoft Corporation Containment of worms
US20060031476A1 (en) 2004-08-05 2006-02-09 Mathes Marvin L Apparatus and method for remotely monitoring a computer network
US7949849B2 (en) 2004-08-24 2011-05-24 Mcafee, Inc. File system for a capture system
US7433473B2 (en) * 2004-09-10 2008-10-07 Nagracard S.A. Data transmission method between a broadcasting center and a multimedia unit
US8214901B2 (en) 2004-09-17 2012-07-03 Sri International Method and apparatus for combating malicious code
JP2006093832A (ja) * 2004-09-21 2006-04-06 Mitsubishi Electric Corp 侵入検知システム及び侵入検知プログラム並びに侵入検知情報分析装置及び侵入検知情報分析プログラム
US7434261B2 (en) 2004-09-27 2008-10-07 Microsoft Corporation System and method of identifying the source of an attack on a computer network
US7987293B2 (en) 2004-10-04 2011-07-26 Netmask (El-Mar) Internet Technologies Ltd. Dynamic content conversion
US7849506B1 (en) 2004-10-12 2010-12-07 Avaya Inc. Switching device, method, and computer program for efficient intrusion detection
US20060101516A1 (en) 2004-10-12 2006-05-11 Sushanthan Sudaharan Honeynet farms as an early warning system for production networks
US7478428B1 (en) 2004-10-12 2009-01-13 Microsoft Corporation Adapting input to find integer overflows
US20060101517A1 (en) 2004-10-28 2006-05-11 Banzhof Carl E Inventory management-based computer vulnerability resolution system
US7610375B2 (en) 2004-10-28 2009-10-27 Cisco Technology, Inc. Intrusion detection in a data center environment
WO2007001439A2 (en) 2004-11-04 2007-01-04 Telcordia Technologies, Inc. Detecting exploit code in network flows
US20060101277A1 (en) 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
US7540025B2 (en) 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US7784097B1 (en) 2004-11-24 2010-08-24 The Trustees Of Columbia University In The City Of New York Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems
US9450966B2 (en) * 2004-11-29 2016-09-20 Kip Sign P1 Lp Method and apparatus for lifecycle integrity verification of virtual machines
US20060117385A1 (en) 2004-11-30 2006-06-01 Mester Michael L Monitoring propagation protection within a network
US7987272B2 (en) 2004-12-06 2011-07-26 Cisco Technology, Inc. Performing message payload processing functions in a network element on behalf of an application
US20060161989A1 (en) 2004-12-13 2006-07-20 Eran Reshef System and method for deterring rogue users from attacking protected legitimate users
US7937761B1 (en) 2004-12-17 2011-05-03 Symantec Corporation Differential threat detection processing
US20060143709A1 (en) 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention
US7725938B2 (en) 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US20060164199A1 (en) 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US7676841B2 (en) 2005-02-01 2010-03-09 Fmr Llc Network intrusion mitigation
US7668962B2 (en) 2005-02-07 2010-02-23 Symantec Operating Corporation System and method for connection failover using redirection
US7904518B2 (en) 2005-02-15 2011-03-08 Gytheion Networks Llc Apparatus and method for analyzing and filtering email and for providing web related services
US7784099B2 (en) 2005-02-18 2010-08-24 Pace University System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning
JP2006270193A (ja) 2005-03-22 2006-10-05 Fuji Xerox Co Ltd 画像形成システムおよび方法および画像読取装置
US7650639B2 (en) 2005-03-31 2010-01-19 Microsoft Corporation System and method for protecting a limited resource computer from malware
JP4630706B2 (ja) 2005-03-31 2011-02-09 富士通株式会社 サービス装置、サービス装置によるクライアント装置の接続先切替制御方法およびプログラム
US20060221956A1 (en) 2005-03-31 2006-10-05 Narayan Harsha L Methods for performing packet classification via prefix pair bit vectors
US7568233B1 (en) 2005-04-01 2009-07-28 Symantec Corporation Detecting malicious software through process dump scanning
WO2006107712A2 (en) 2005-04-04 2006-10-12 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for defending against zero-day worm-based attacks
BRPI0610855A2 (pt) 2005-04-18 2010-08-03 Univ Columbia sistemas e métodos para detectar e inibir ataques usando "honeypots"
US7603712B2 (en) 2005-04-21 2009-10-13 Microsoft Corporation Protecting a computer that provides a Web service from malware
US8069250B2 (en) 2005-04-28 2011-11-29 Vmware, Inc. One-way proxy system
US7493602B2 (en) 2005-05-02 2009-02-17 International Business Machines Corporation Methods and arrangements for unified program analysis
US7480773B1 (en) 2005-05-02 2009-01-20 Sprint Communications Company L.P. Virtual machine use and optimization of hardware configurations
US7854007B2 (en) 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages
US7930738B1 (en) 2005-06-02 2011-04-19 Adobe Systems Incorporated Method and apparatus for secure execution of code
JP4742144B2 (ja) 2005-06-06 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
US20060288417A1 (en) 2005-06-21 2006-12-21 Sbc Knowledge Ventures Lp Method and apparatus for mitigating the effects of malicious software in a communication network
US7877803B2 (en) 2005-06-27 2011-01-25 Hewlett-Packard Development Company, L.P. Automated immune response for a computer
US7636938B2 (en) 2005-06-30 2009-12-22 Microsoft Corporation Controlling network access
US20070016951A1 (en) 2005-07-13 2007-01-18 Piccard Paul L Systems and methods for identifying sources of malware
JP2007025422A (ja) 2005-07-20 2007-02-01 Alps Electric Co Ltd 波長分岐フィルタ及び光通信モジュール
US7984493B2 (en) 2005-07-22 2011-07-19 Alcatel-Lucent DNS based enforcement for confinement and detection of network malicious activities
US7797387B2 (en) 2005-08-15 2010-09-14 Cisco Technology, Inc. Interactive text communication system
EP1934742A4 (en) 2005-08-25 2009-08-19 Fortify Software Inc DEVICE AND METHOD FOR ANALYZING AND COMPLEMENTING A PROGRAM FOR PROVIDING SAFETY
US8429630B2 (en) * 2005-09-15 2013-04-23 Ca, Inc. Globally distributed utility computing cloud
US7739740B1 (en) 2005-09-22 2010-06-15 Symantec Corporation Detecting polymorphic threats
US7725737B2 (en) 2005-10-14 2010-05-25 Check Point Software Technologies, Inc. System and methodology providing secure workspace environment
CN100428157C (zh) 2005-10-19 2008-10-22 联想(北京)有限公司 一种可进行完整性检测的计算机系统和方法
US7730011B1 (en) 2005-10-19 2010-06-01 Mcafee, Inc. Attributes of captured objects in a capture system
US7971256B2 (en) 2005-10-20 2011-06-28 Cisco Technology, Inc. Mechanism to correlate the presence of worms in a network
US9055093B2 (en) 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US20070094731A1 (en) * 2005-10-25 2007-04-26 Microsoft Corporation Integrated functionality for detecting and treating undesirable activities
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
KR100735411B1 (ko) 2005-12-07 2007-07-04 삼성전기주식회사 배선기판의 제조방법 및 배선기판
US7698548B2 (en) 2005-12-08 2010-04-13 Microsoft Corporation Communications traffic segregation for security purposes
US7577424B2 (en) 2005-12-19 2009-08-18 Airdefense, Inc. Systems and methods for wireless vulnerability analysis
US20070143827A1 (en) 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US20080018122A1 (en) 2005-12-28 2008-01-24 Robert Zierler Rifle Sling and Method of Use Thereof
US7849143B2 (en) 2005-12-29 2010-12-07 Research In Motion Limited System and method of dynamic management of spam
US8533680B2 (en) 2005-12-30 2013-09-10 Microsoft Corporation Approximating finite domains in symbolic state exploration
US8255996B2 (en) 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
WO2007076624A1 (en) 2005-12-30 2007-07-12 Intel Corporation Virtual machine to detect malicious code
US8209667B2 (en) 2006-01-11 2012-06-26 International Business Machines Corporation Software verification using hybrid explicit and symbolic model checking
US8196205B2 (en) 2006-01-23 2012-06-05 University Of Washington Through Its Center For Commercialization Detection of spyware threats within virtual machine
US8018845B2 (en) 2006-01-25 2011-09-13 Cisco Technology, Inc Sampling rate-limited traffic
US20070192858A1 (en) 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
US20070192500A1 (en) 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US8176480B1 (en) 2006-02-27 2012-05-08 Symantec Operating Corporation Adaptive instrumentation through dynamic recompilation
US8448242B2 (en) 2006-02-28 2013-05-21 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for outputting data based upon anomaly detection
US7774459B2 (en) 2006-03-01 2010-08-10 Microsoft Corporation Honey monkey network exploration
EP1999925B1 (en) 2006-03-27 2011-07-06 Telecom Italia S.p.A. A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US7757112B2 (en) 2006-03-29 2010-07-13 Lenovo (Singapore) Pte. Ltd. System and method for booting alternate MBR in event of virus attack
US8479174B2 (en) 2006-04-05 2013-07-02 Prevx Limited Method, computer program and computer for analyzing an executable computer file
WO2007117636A2 (en) 2006-04-06 2007-10-18 Smobile Systems, Inc. Malware detection system and method for comprssed data on mobile platforms
US7751397B2 (en) 2006-05-05 2010-07-06 Broadcom Corporation Switching network employing a user challenge mechanism to counter denial of service attacks
US8510827B1 (en) 2006-05-18 2013-08-13 Vmware, Inc. Taint tracking mechanism for computer security
US8261344B2 (en) 2006-06-30 2012-09-04 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
US8365286B2 (en) 2006-06-30 2013-01-29 Sophos Plc Method and system for classification of software using characteristics and combinations of such characteristics
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US7681132B2 (en) * 2006-07-13 2010-03-16 International Business Machines Corporation System, method and program product for visually presenting data describing network intrusions
DE202006011850U1 (de) 2006-08-02 2006-10-05 Harting Electric Gmbh & Co. Kg Kontaktelement für geschirmte Steckverbinder
US7870612B2 (en) 2006-09-11 2011-01-11 Fujian Eastern Micropoint Info-Tech Co., Ltd Antivirus protection system and method for computers
US8789172B2 (en) 2006-09-18 2014-07-22 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting attack on a digital processing device
US20080077793A1 (en) 2006-09-21 2008-03-27 Sensory Networks, Inc. Apparatus and method for high throughput network security systems
US8533819B2 (en) 2006-09-29 2013-09-10 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting compromised host computers
SG176471A1 (en) 2006-10-04 2011-12-29 Trek 2000 Int Ltd Method, apparatus and system for authentication of external storage devices
DE102006047979B4 (de) 2006-10-10 2009-07-16 OCé PRINTING SYSTEMS GMBH Datenverarbeitungssystem, Verfahren und Computerprogrammprodukt zum Ausführen einer Testroutine in Verbindung mit einem Betriebssystem
US7832008B1 (en) 2006-10-11 2010-11-09 Cisco Technology, Inc. Protection of computer resources
US8234640B1 (en) 2006-10-17 2012-07-31 Manageiq, Inc. Compliance-based adaptations in managed virtual systems
US8949826B2 (en) 2006-10-17 2015-02-03 Managelq, Inc. Control and management of virtual systems
US8042184B1 (en) 2006-10-18 2011-10-18 Kaspersky Lab, Zao Rapid analysis of data stream for malware presence
US20080141376A1 (en) 2006-10-24 2008-06-12 Pc Tools Technology Pty Ltd. Determining maliciousness of software
US8656495B2 (en) 2006-11-17 2014-02-18 Hewlett-Packard Development Company, L.P. Web application assessment based on intelligent generation of attack strings
KR100922579B1 (ko) 2006-11-30 2009-10-21 한국전자통신연구원 네트워크 공격 탐지 장치 및 방법
GB2444514A (en) 2006-12-04 2008-06-11 Glasswall Electronic file re-generation
US8904535B2 (en) 2006-12-20 2014-12-02 The Penn State Research Foundation Proactive worm containment (PWC) for enterprise networks
DE602006008166D1 (de) 2006-12-21 2009-09-10 Ericsson Telefon Ab L M Verschleierung von Computerprogrammcodes
CN101573653B (zh) 2006-12-26 2011-03-16 夏普株式会社 背光装置、显示装置和电视接收机
US7996836B1 (en) 2006-12-29 2011-08-09 Symantec Corporation Using a hypervisor to provide computer security
US8380987B2 (en) 2007-01-25 2013-02-19 Microsoft Corporation Protection agents and privilege modes
US8069484B2 (en) 2007-01-25 2011-11-29 Mandiant Corporation System and method for determining data entropy to identify malware
US7908660B2 (en) 2007-02-06 2011-03-15 Microsoft Corporation Dynamic risk management
US8613080B2 (en) * 2007-02-16 2013-12-17 Veracode, Inc. Assessment and analysis of software security flaws in virtual machines
US20080201778A1 (en) 2007-02-21 2008-08-21 Matsushita Electric Industrial Co., Ltd. Intrusion detection using system call monitors on a bayesian network
US9021590B2 (en) 2007-02-28 2015-04-28 Microsoft Technology Licensing, Llc Spyware detection mechanism
US20080222729A1 (en) 2007-03-05 2008-09-11 Songqing Chen Containment of Unknown and Polymorphic Fast Spreading Worms
US8392997B2 (en) 2007-03-12 2013-03-05 University Of Southern California Value-adaptive security threat modeling and vulnerability ranking
US20080320594A1 (en) 2007-03-19 2008-12-25 Xuxian Jiang Malware Detector
US8955122B2 (en) 2007-04-04 2015-02-10 Sri International Method and apparatus for detecting malware infection
US9083712B2 (en) 2007-04-04 2015-07-14 Sri International Method and apparatus for generating highly predictive blacklists
US7904961B2 (en) 2007-04-20 2011-03-08 Juniper Networks, Inc. Network attack detection using partial deterministic finite automaton pattern matching
US7984483B2 (en) * 2007-04-25 2011-07-19 Acxess, Inc. System and method for working in a virtualized computing environment through secure access
US20080295172A1 (en) 2007-05-22 2008-11-27 Khushboo Bohacek Method, system and computer-readable media for reducing undesired intrusion alarms in electronic communications systems and networks
US8402529B1 (en) 2007-05-30 2013-03-19 M86 Security, Inc. Preventing propagation of malicious software during execution in a virtual machine
GB2449852A (en) 2007-06-04 2008-12-10 Agilent Technologies Inc Monitoring network attacks using pattern matching
US7853689B2 (en) 2007-06-15 2010-12-14 Broadcom Corporation Multi-stage deep packet inspection for lightweight devices
US20090007100A1 (en) 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
US8135007B2 (en) 2007-06-29 2012-03-13 Extreme Networks, Inc. Method and mechanism for port redirects in a network switch
US8584094B2 (en) 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
US7836502B1 (en) 2007-07-03 2010-11-16 Trend Micro Inc. Scheduled gateway scanning arrangement and methods thereof
US20090013408A1 (en) 2007-07-06 2009-01-08 Messagelabs Limited Detection of exploits in files
US8448161B2 (en) 2007-07-30 2013-05-21 Adobe Systems Incorporated Application tracking for application execution environment
US8060074B2 (en) 2007-07-30 2011-11-15 Mobile Iron, Inc. Virtual instance architecture for mobile device management systems
US8621610B2 (en) 2007-08-06 2013-12-31 The Regents Of The University Of Michigan Network service for the detection, analysis and quarantine of malicious and unwanted files
US8763115B2 (en) 2007-08-08 2014-06-24 Vmware, Inc. Impeding progress of malicious guest software
US8601451B2 (en) 2007-08-29 2013-12-03 Mcafee, Inc. System, method, and computer program product for determining whether code is unwanted based on the decompilation thereof
KR101377014B1 (ko) 2007-09-04 2014-03-26 삼성전자주식회사 면역 데이터베이스 기반의 악성코드 진단 방법 및 시스템
US8307443B2 (en) 2007-09-28 2012-11-06 Microsoft Corporation Securing anti-virus software with virtualization
US7620992B2 (en) 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US8019700B2 (en) 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US20090113111A1 (en) 2007-10-30 2009-04-30 Vmware, Inc. Secure identification of execution contexts
US8302080B2 (en) 2007-11-08 2012-10-30 Ntt Docomo, Inc. Automated test input generation for web applications
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
KR100942795B1 (ko) 2007-11-21 2010-02-18 한국전자통신연구원 악성프로그램 탐지장치 및 그 방법
US7797748B2 (en) 2007-12-12 2010-09-14 Vmware, Inc. On-access anti-virus mechanism for virtual machine architecture
US7996904B1 (en) 2007-12-19 2011-08-09 Symantec Corporation Automated unpacking of executables packed by multiple layers of arbitrary packers
US8788379B1 (en) * 2007-12-21 2014-07-22 Amazon Technologies, Inc. Providing configurable pricing for execution of software images
US8510828B1 (en) 2007-12-31 2013-08-13 Symantec Corporation Enforcing the execution exception to prevent packers from evading the scanning of dynamically created code
US8225288B2 (en) 2008-01-29 2012-07-17 Intuit Inc. Model-based testing using branches, decisions, and options
US9106630B2 (en) 2008-02-01 2015-08-11 Mandiant, Llc Method and system for collaboration during an event
US7937387B2 (en) 2008-02-01 2011-05-03 Mandiant System and method for data preservation and retrieval
US8949257B2 (en) 2008-02-01 2015-02-03 Mandiant, Llc Method and system for collecting and organizing data corresponding to an event
US8566476B2 (en) 2008-02-01 2013-10-22 Mandiant Corporation Method and system for analyzing data related to an event
US8595834B2 (en) 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US20100031353A1 (en) 2008-02-04 2010-02-04 Microsoft Corporation Malware Detection Using Code Analysis and Behavior Monitoring
US8201246B1 (en) 2008-02-25 2012-06-12 Trend Micro Incorporated Preventing malicious codes from performing malicious actions in a computer system
US8805947B1 (en) 2008-02-27 2014-08-12 Parallels IP Holdings GmbH Method and system for remote device access in virtual environment
US20090228233A1 (en) 2008-03-06 2009-09-10 Anderson Gary F Rank-based evaluation
US8407784B2 (en) 2008-03-19 2013-03-26 Websense, Inc. Method and system for protection against information stealing software
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits
US8239944B1 (en) 2008-03-28 2012-08-07 Symantec Corporation Reducing malware signature set size through server-side processing
US8549486B2 (en) 2008-04-21 2013-10-01 Microsoft Corporation Active property checking
US9123027B2 (en) 2010-10-19 2015-09-01 QinetiQ North America, Inc. Social engineering protection appliance
US9237166B2 (en) * 2008-05-13 2016-01-12 Rpx Corporation Internet search engine preventing virus exchange
WO2010011411A1 (en) 2008-05-27 2010-01-28 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for detecting network anomalies
US8732825B2 (en) 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US8516478B1 (en) 2008-06-12 2013-08-20 Mcafee, Inc. Subsequent processing of scanning task utilizing subset of virtual machines predetermined to have scanner process and adjusting amount of subsequest VMs processing based on load
US8356352B1 (en) * 2008-06-16 2013-01-15 Symantec Corporation Security scanner for user-generated web content
US8234709B2 (en) 2008-06-20 2012-07-31 Symantec Operating Corporation Streaming malware definition updates
US8745703B2 (en) * 2008-06-24 2014-06-03 Microsoft Corporation Identifying exploitation of vulnerabilities using error report
US8381298B2 (en) 2008-06-30 2013-02-19 Microsoft Corporation Malware detention for suspected malware
US8850570B1 (en) 2008-06-30 2014-09-30 Symantec Corporation Filter-based identification of malicious websites
US8087086B1 (en) 2008-06-30 2011-12-27 Symantec Corporation Method for mitigating false positive generation in antivirus software
US7996475B2 (en) 2008-07-03 2011-08-09 Barracuda Networks Inc Facilitating transmission of email by checking email parameters with a database of well behaved senders
US20100211663A1 (en) * 2008-07-28 2010-08-19 Viewfinity Inc. Management of pool member configuration
US8881271B2 (en) 2008-08-01 2014-11-04 Mandiant, Llc System and method for forensic identification of elements within a computer system
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
JP5446167B2 (ja) 2008-08-13 2014-03-19 富士通株式会社 ウイルス対策方法、コンピュータ、及びプログラム
US20100058474A1 (en) 2008-08-29 2010-03-04 Avg Technologies Cz, S.R.O. System and method for the detection of malware
KR101507439B1 (ko) * 2008-09-02 2015-03-31 엘지전자 주식회사 바이러스 감염을 방지할 수 있는 휴대 단말기 및 그 동작 제어방법
JP4521456B2 (ja) 2008-09-05 2010-08-11 株式会社東芝 情報処理システムおよび情報処理システムの制御方法
US8667583B2 (en) 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8931086B2 (en) 2008-09-26 2015-01-06 Symantec Corporation Method and apparatus for reducing false positive detection of malware
US8028338B1 (en) 2008-09-30 2011-09-27 Symantec Corporation Modeling goodware characteristics to reduce false positive malware signatures
US8171201B1 (en) 2008-10-07 2012-05-01 Vizioncore, Inc. Systems and methods for improving virtual machine performance
EP2337262A1 (en) 2008-10-10 2011-06-22 Panasonic Corporation Information processing device, method, program, and integrated circuit
US9367680B2 (en) 2008-10-21 2016-06-14 Lookout, Inc. System and method for mobile communication device application advisement
US8984628B2 (en) 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US8347386B2 (en) 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8325893B2 (en) 2008-11-24 2012-12-04 Ringcentral, Inc. Click-to-call attack prevention
US8484727B2 (en) 2008-11-26 2013-07-09 Kaspersky Lab Zao System and method for computer malware detection
US8161556B2 (en) 2008-12-17 2012-04-17 Symantec Corporation Context-aware real-time computer-protection systems and methods
US8635694B2 (en) 2009-01-10 2014-01-21 Kaspersky Lab Zao Systems and methods for malware classification
JP5324934B2 (ja) 2009-01-16 2013-10-23 株式会社ソニー・コンピュータエンタテインメント 情報処理装置および情報処理方法
US8233620B2 (en) 2009-02-27 2012-07-31 Inside Secure Key recovery mechanism for cryptographic systems
US8370835B2 (en) 2009-03-12 2013-02-05 Arend Erich Dittmer Method for dynamically generating a configuration for a virtual machine with a virtual hard disk in an external storage device
JP5889638B2 (ja) 2009-03-13 2016-03-30 ドキュサイン,インク. ドキュメント管理変換および機密保全のためのシステムおよび方法
US20100251104A1 (en) 2009-03-27 2010-09-30 Litera Technology Llc. System and method for reflowing content in a structured portable document format (pdf) file
US8935773B2 (en) 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
US8516590B1 (en) 2009-04-25 2013-08-20 Dasient, Inc. Malicious advertisement detection and remediation
US8555391B1 (en) 2009-04-25 2013-10-08 Dasient, Inc. Adaptive scanning
US8370938B1 (en) 2009-04-25 2013-02-05 Dasient, Inc. Mitigating malware
US8090797B2 (en) 2009-05-02 2012-01-03 Citrix Systems, Inc. Methods and systems for launching applications into existing isolation environments
US8954725B2 (en) 2009-05-08 2015-02-10 Microsoft Technology Licensing, Llc Sanitization of packets
US8370945B2 (en) 2009-05-20 2013-02-05 International Business Machines Corporation Identifying security breaches caused by web-enabled software applications
JP5459313B2 (ja) 2009-05-20 2014-04-02 日本電気株式会社 動的データフロー追跡方法、動的データフロー追跡プログラム、動的データフロー追跡装置
US8527466B2 (en) 2009-05-31 2013-09-03 Red Hat Israel, Ltd. Handling temporary files of a virtual machine
US8233882B2 (en) 2009-06-26 2012-07-31 Vmware, Inc. Providing security in mobile devices via a virtualization software layer
US8225061B2 (en) 2009-07-02 2012-07-17 Apple Inc. Method and apparatus for protected content data processing
US8266091B1 (en) 2009-07-21 2012-09-11 Symantec Corporation Systems and methods for emulating the behavior of a user in a computer-human interaction environment
US8522348B2 (en) 2009-07-29 2013-08-27 Northwestern University Matching with a large vulnerability signature ruleset for high performance network defense
US8390454B2 (en) 2009-07-31 2013-03-05 Hewlett-Packard Development Company, L.P. USB hosted sensor module
US8789178B2 (en) 2009-08-03 2014-07-22 Barracuda Networks, Inc. Method for detecting malicious javascript
US20110041179A1 (en) 2009-08-11 2011-02-17 F-Secure Oyj Malware detection
WO2011027352A1 (en) 2009-09-03 2011-03-10 Mcafee, Inc. Network access control
US8528080B2 (en) * 2009-09-15 2013-09-03 Reefedge Networks, Llc Short-range mobile honeypot for sampling and tracking threats
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US20110145934A1 (en) 2009-10-13 2011-06-16 Miron Abramovici Autonomous distributed programmable logic for monitoring and securing electronic systems
US8713681B2 (en) 2009-10-27 2014-04-29 Mandiant, Llc System and method for detecting executable machine instructions in a data stream
US20110111863A1 (en) 2009-11-12 2011-05-12 Daniel Kaminsky Method and apparatus for securing networked gaming devices
EP2326057A1 (en) 2009-11-20 2011-05-25 British Telecommunications public limited company Detecting malicious behaviour on a network
US8893280B2 (en) 2009-12-15 2014-11-18 Intel Corporation Sensitive data tracking using dynamic taint analysis
US8479286B2 (en) 2009-12-15 2013-07-02 Mcafee, Inc. Systems and methods for behavioral sandboxing
US8528091B2 (en) 2009-12-31 2013-09-03 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for detecting covert malware
US8250638B2 (en) * 2010-02-01 2012-08-21 Vmware, Inc. Maintaining the domain access of a virtual machine
US8307435B1 (en) 2010-02-18 2012-11-06 Symantec Corporation Software object corruption detection
US20110219449A1 (en) 2010-03-04 2011-09-08 St Neitzel Michael Malware detection method, system and computer program product
US8863279B2 (en) 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US8468602B2 (en) 2010-03-08 2013-06-18 Raytheon Company System and method for host-level malware detection
US8938782B2 (en) 2010-03-15 2015-01-20 Symantec Corporation Systems and methods for providing network access control in virtual environments
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US20110239291A1 (en) * 2010-03-26 2011-09-29 Barracuda Networks, Inc. Detecting and Thwarting Browser-Based Network Intrusion Attacks For Intellectual Property Misappropriation System and Method
US8566944B2 (en) 2010-04-27 2013-10-22 Microsoft Corporation Malware investigation by analyzing computer memory
US8914879B2 (en) 2010-06-11 2014-12-16 Trustwave Holdings, Inc. System and method for improving coverage for web code
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
US9106697B2 (en) 2010-06-24 2015-08-11 NeurallQ, Inc. System and method for identifying unauthorized activities on a computer system using a data structure model
US8627476B1 (en) 2010-07-05 2014-01-07 Symantec Corporation Altering application behavior based on content provider reputation
US8584234B1 (en) 2010-07-07 2013-11-12 Symantec Corporation Secure network cache content
US9270690B2 (en) * 2010-07-21 2016-02-23 Seculert Ltd. Network protection system and method
RU2446459C1 (ru) 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US20120023593A1 (en) 2010-07-26 2012-01-26 Puder George System and method for filtering internet content & blocking undesired websites by secure network appliance
US9245114B2 (en) 2010-08-26 2016-01-26 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8661544B2 (en) 2010-08-31 2014-02-25 Cisco Technology, Inc. Detecting botnets
US8869277B2 (en) 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
US8479291B1 (en) 2010-10-28 2013-07-02 Symantec Corporation Systems and methods for identifying polymorphic malware
US8756696B1 (en) * 2010-10-30 2014-06-17 Sra International, Inc. System and method for providing a virtualized secure data containment service with a networked environment
RU2449348C1 (ru) 2010-11-01 2012-04-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для антивирусной проверки на стороне сервера скачиваемых из сети данных
US8412984B2 (en) 2010-11-12 2013-04-02 Microsoft Corporation Debugging in a cluster processing network
US8682054B2 (en) 2010-11-15 2014-03-25 Siemens Aktiengesellschaft Method and system for propagation of myocardial infarction from delayed enhanced cardiac imaging to cine magnetic resonance imaging using hybrid image registration
US8875286B2 (en) 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
CA2819832C (en) 2010-12-01 2017-03-14 Sourcefire, Inc. Detecting malicious software through contextual convictions, generic signatures and machine learning techniques
US8682812B1 (en) 2010-12-23 2014-03-25 Narus, Inc. Machine learning based botnet detection using real-time extracted traffic features
US8479276B1 (en) 2010-12-29 2013-07-02 Emc Corporation Malware detection using risk analysis based on file system and network activity
US9118712B2 (en) 2010-12-30 2015-08-25 Everis, Inc. Network communication system with improved security
US20120174196A1 (en) 2010-12-30 2012-07-05 Suresh Bhogavilli Active validation for ddos and ssl ddos attacks
US8566648B2 (en) 2011-02-02 2013-10-22 Salesforce, Inc. Automated testing on devices
US9087199B2 (en) 2011-03-31 2015-07-21 Mcafee, Inc. System and method for providing a secured operating system execution environment
US8479295B2 (en) 2011-03-30 2013-07-02 Intel Corporation Method and apparatus for transparently instrumenting an application program
US8756693B2 (en) 2011-04-05 2014-06-17 The United States Of America As Represented By The Secretary Of The Air Force Malware target recognition
US8510842B2 (en) 2011-04-13 2013-08-13 International Business Machines Corporation Pinpointing security vulnerabilities in computer software applications
US8997233B2 (en) 2011-04-13 2015-03-31 Microsoft Technology Licensing, Llc Detecting script-based malware using emulation and heuristics
US8806647B1 (en) 2011-04-25 2014-08-12 Twitter, Inc. Behavioral scanning of mobile applications
GB2512685B (en) 2011-04-27 2018-11-14 Seven Networks Llc Detection and filtering of malware based on traffic observations made in a distributed mobile traffic management system
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US8826395B2 (en) * 2011-06-20 2014-09-02 Digicert, Inc. Method of improving online credentials
US8640246B2 (en) 2011-06-27 2014-01-28 Raytheon Company Distributed malware detection
CN102339371B (zh) 2011-09-14 2013-12-25 奇智软件(北京)有限公司 一种检测恶意程序的方法、装置及虚拟机
US9003532B2 (en) 2011-09-15 2015-04-07 Raytheon Company Providing a network-accessible malware analysis
EP2610776B1 (en) 2011-09-16 2019-08-21 Veracode, Inc. Automated behavioural and static analysis using an instrumented sandbox and machine learning classification for mobile security
US8739280B2 (en) 2011-09-29 2014-05-27 Hewlett-Packard Development Company, L.P. Context-sensitive taint analysis
US8776043B1 (en) * 2011-09-29 2014-07-08 Amazon Technologies, Inc. Service image notifications
US8806639B2 (en) 2011-09-30 2014-08-12 Avaya Inc. Contextual virtual machines for application quarantine and assessment method and system
US9256735B2 (en) 2011-10-10 2016-02-09 Masergy Communications, Inc. Detecting emergent behavior in communications networks
US8677487B2 (en) 2011-10-18 2014-03-18 Mcafee, Inc. System and method for detecting a malicious command and control channel
WO2013057977A1 (ja) 2011-10-21 2013-04-25 三菱電機株式会社 映像情報再生方法及び映像情報再生装置
US8782792B1 (en) 2011-10-27 2014-07-15 Symantec Corporation Systems and methods for detecting malware on mobile platforms
US9021587B2 (en) 2011-10-27 2015-04-28 Microsoft Technology Licensing, Llc Detecting software vulnerabilities in an isolated computing environment
US8584235B2 (en) * 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9686293B2 (en) 2011-11-03 2017-06-20 Cyphort Inc. Systems and methods for malware detection and mitigation
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US9792430B2 (en) * 2011-11-03 2017-10-17 Cyphort Inc. Systems and methods for virtualized malware detection
KR20130051116A (ko) 2011-11-09 2013-05-20 한국전자통신연구원 애플리케이션 보안성 점검 자동화 장치 및 방법
EP2592784B1 (en) 2011-11-14 2013-09-18 Alcatel Lucent Apparatus, method and computer program for routing data packets
US8590041B2 (en) 2011-11-28 2013-11-19 Mcafee, Inc. Application sandboxing using a dynamic optimization framework
KR101296716B1 (ko) 2011-12-14 2013-08-20 한국인터넷진흥원 피디에프 문서형 악성코드 탐지 시스템 및 방법
US8533835B2 (en) 2011-12-14 2013-09-10 Mcafee, Inc. Method and system for rapid signature search over encrypted content
DE102011056502A1 (de) 2011-12-15 2013-06-20 Avira Holding GmbH Verfahren und Vorrichtung zur automatischen Erzeugung von Virenbeschreibungen
US10701097B2 (en) 2011-12-20 2020-06-30 Micro Focus Llc Application security testing
US20130160130A1 (en) 2011-12-20 2013-06-20 Kirill Mendelev Application security testing
US8214905B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for dynamically allocating computing resources for processing security information
RU2472215C1 (ru) 2011-12-28 2013-01-10 Закрытое акционерное общество "Лаборатория Касперского" Способ выявления неизвестных программ с использованием эмуляции процесса загрузки
US20130174214A1 (en) 2011-12-29 2013-07-04 Imation Corp. Management Tracking Agent for Removable Media
US20130185795A1 (en) 2012-01-12 2013-07-18 Arxceo Corporation Methods and systems for providing network protection by progressive degradation of service
US8533836B2 (en) 2012-01-13 2013-09-10 Accessdata Group, Llc Identifying software execution behavior
JP5711160B2 (ja) 2012-01-15 2015-04-30 レノボ・シンガポール・プライベート・リミテッド パスワードを保護する方法およびコンピュータ
US9922190B2 (en) 2012-01-25 2018-03-20 Damballa, Inc. Method and system for detecting DGA-based malware
US8774761B2 (en) 2012-01-27 2014-07-08 Qualcomm Incorporated Mobile device to detect unexpected behaviour
US9129108B2 (en) * 2012-01-31 2015-09-08 International Business Machines Corporation Systems, methods and computer programs providing impact mitigation of cyber-security failures
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9594903B1 (en) * 2012-02-29 2017-03-14 Symantec Corporation Reputation scoring of social networking applications
US9275229B2 (en) 2012-03-15 2016-03-01 Mandiant, Llc System to bypass a compromised mass storage device driver stack and method thereof
US8726392B1 (en) 2012-03-29 2014-05-13 Symantec Corporation Systems and methods for combining static and dynamic code analysis
US9027125B2 (en) 2012-05-01 2015-05-05 Taasera, Inc. Systems and methods for network flow remediation based on risk correlation
GB2490431B (en) 2012-05-15 2014-03-26 F Secure Corp Foiling a document exploit attack
US9268936B2 (en) 2012-07-27 2016-02-23 Mandiant, Llc Physical memory forensics system and method
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
CN107979612A (zh) 2012-08-18 2018-05-01 赋格有限公司 提供安全的计算机环境的系统和方法
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US8844045B2 (en) * 2012-09-14 2014-09-23 Mastercard International Incorporated Methods and systems for evaluating software for known vulnerabilities
US8850581B2 (en) 2012-11-07 2014-09-30 Microsoft Corporation Identification of malware detection signature candidate code
US8910238B2 (en) * 2012-11-13 2014-12-09 Bitdefender IPR Management Ltd. Hypervisor-based enterprise endpoint protection
US9954883B2 (en) * 2012-12-18 2018-04-24 Mcafee, Inc. Automated asset criticality assessment
US9277378B2 (en) 2012-12-21 2016-03-01 Verizon Patent And Licensing Inc. Short message service validation engine
US20140181984A1 (en) * 2012-12-21 2014-06-26 International Business Machines Corporation Method and apparatus for authentication of solution topology
RU2522019C1 (ru) 2012-12-25 2014-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
US9633134B2 (en) 2012-12-26 2017-04-25 Fireeye, Inc. Timeline wrinkling system and method
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9690935B2 (en) 2012-12-31 2017-06-27 Fireeye, Inc. Identification of obfuscated computer items using visual algorithms
US9241067B2 (en) 2013-01-15 2016-01-19 Interactive Intelligence Group, Inc. System and method for self-service callback modification
JP5945512B2 (ja) * 2013-02-13 2016-07-05 株式会社日立製作所 計算機システム、及び仮想計算機管理方法
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US20140259169A1 (en) * 2013-03-11 2014-09-11 Hewlett-Packard Development Company, L.P. Virtual machines
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9497213B2 (en) 2013-03-15 2016-11-15 Fireeye, Inc. System and method to manage sinkholes
US9824211B2 (en) 2013-03-15 2017-11-21 Fireeye, Inc. System and method to visualize user sessions
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US8869281B2 (en) 2013-03-15 2014-10-21 Shape Security, Inc. Protecting against the introduction of alien content
CA2908206C (en) * 2013-04-05 2023-08-29 Sergey Ignatchenko Systems, methods and apparatuses for protection of antivirus software
US20140337621A1 (en) * 2013-05-07 2014-11-13 Serguei Nakhimov Wearable communication device, security complex and user interface
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9292328B2 (en) * 2013-05-24 2016-03-22 Bromium, Inc. Management of supervisor mode execution protection (SMEP) by a hypervisor
US9158915B1 (en) * 2013-05-24 2015-10-13 Symantec Corporation Systems and methods for analyzing zero-day attacks
US8943594B1 (en) 2013-06-24 2015-01-27 Haystack Security LLC Cyber attack disruption through multiple detonations of received payloads
US10133863B2 (en) * 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9426071B1 (en) 2013-08-22 2016-08-23 Fireeye, Inc. Storing network bidirectional flow data and metadata with efficient processing technique
US9185128B2 (en) * 2013-08-30 2015-11-10 Bank Of America Corporation Malware analysis methods and systems
GB2518636B (en) 2013-09-26 2016-03-09 F Secure Corp Distributed sample analysis
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9350747B2 (en) * 2013-10-31 2016-05-24 Cyberpoint International Llc Methods and systems for malware analysis
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US10223530B2 (en) 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) * 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9537972B1 (en) 2014-02-20 2017-01-03 Fireeye, Inc. Efficient access to sparse packets in large repositories of stored network traffic
US9241010B1 (en) * 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9680862B2 (en) 2014-07-01 2017-06-13 Fireeye, Inc. Trusted threat-aware microvisor
US10032027B2 (en) * 2014-07-29 2018-07-24 Digital Arts Inc. Information processing apparatus and program for executing an electronic data in an execution environment
US9912644B2 (en) 2014-08-05 2018-03-06 Fireeye, Inc. System and method to communicate sensitive information via one or more untrusted intermediate nodes with resilience to disconnected network topology
US20160048679A1 (en) * 2014-08-18 2016-02-18 Bitdefender IPR Management Ltd. Systems And Methods for Exposing A Current Processor Instruction Upon Exiting A Virtual Machine
US9374365B2 (en) * 2014-08-20 2016-06-21 Vmware, Inc. Pushing a virtual desktop session from an authenticated device using image scanning
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9781144B1 (en) 2014-09-30 2017-10-03 Fireeye, Inc. Determining duplicate objects for malware analysis using environmental/context information
TWI608420B (zh) * 2014-10-20 2017-12-11 緯創資通股份有限公司 虛擬機器監控方法及其系統
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10009379B2 (en) * 2014-12-23 2018-06-26 Peter W. J. Jones Systems and methods for sterilizing email attachments and other communications delivered by email
US9467460B1 (en) 2014-12-23 2016-10-11 Fireeye, Inc. Modularized database architecture using vertical partitioning for a state machine
US10075455B2 (en) * 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US20160191550A1 (en) 2014-12-29 2016-06-30 Fireeye, Inc. Microvisor-based malware detection endpoint architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10148693B2 (en) * 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10417031B2 (en) * 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9912681B1 (en) 2015-03-31 2018-03-06 Fireeye, Inc. Injection of content processing delay in an endpoint
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) * 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10216927B1 (en) 2015-06-30 2019-02-26 Fireeye, Inc. System and method for protecting memory pages associated with a process using a virtualization layer
US10044749B2 (en) * 2015-07-31 2018-08-07 Siemens Corporation System and method for cyber-physical security
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033759B1 (en) 2015-09-28 2018-07-24 Fireeye, Inc. System and method of threat detection under hypervisor control
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10121000B1 (en) 2016-06-28 2018-11-06 Fireeye, Inc. System and method to detect premium attacks on electronic networks and electronic devices
US10191861B1 (en) 2016-09-06 2019-01-29 Fireeye, Inc. Technique for implementing memory views using a layered virtualization architecture
US10025691B1 (en) 2016-09-09 2018-07-17 Fireeye, Inc. Verification of complex software code using a modularized architecture
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10749890B1 (en) * 2018-06-19 2020-08-18 Architecture Technology Corporation Systems and methods for improving the ranking and prioritization of attack-related events

Also Published As

Publication number Publication date
US9756074B2 (en) 2017-09-05
WO2015100388A1 (en) 2015-07-02
US10476909B1 (en) 2019-11-12
JP2017502442A (ja) 2017-01-19
US20150186645A1 (en) 2015-07-02
EP3087528A1 (en) 2016-11-02
US9306974B1 (en) 2016-04-05
US11089057B1 (en) 2021-08-10

Similar Documents

Publication Publication Date Title
JP6441957B2 (ja) 疑わしいオブジェクトにおけるエクスプロイトを自動的に実証し、当該実証済みエクスプロイトに関連付けられた表示情報を強調するシステム、装置、および方法
US10467411B1 (en) System and method for generating a malware identifier
US10666686B1 (en) Virtualized exploit detection system
US10902117B1 (en) Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US11297074B1 (en) Dynamically remote tuning of a malware content detection system
US10581898B1 (en) Malicious message analysis system
US10637880B1 (en) Classifying sets of malicious indicators for detecting command and control communications associated with malware
US11240262B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10855700B1 (en) Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10523609B1 (en) Multi-vector malware detection and analysis
US10893059B1 (en) Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10432649B1 (en) System and method for classifying an object based on an aggregated behavior results
US9438623B1 (en) Computer exploit detection using heap spray pattern matching
US9973531B1 (en) Shellcode detection
US10581874B1 (en) Malware detection system with contextual analysis
US10084816B2 (en) Protocol based detection of suspicious network traffic
US9628507B2 (en) Advanced persistent threat (APT) detection center
US20160261612A1 (en) Fuzzy hash of behavioral results
US10805340B1 (en) Infection vector and malware tracking with an interactive user display
US11552986B1 (en) Cyber-security framework for application of virtual features
US11763004B1 (en) System and method for bootkit detection
US11637862B1 (en) System and method for surfacing cyber-security threats with a self-learning recommendation engine

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181023

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181122

R150 Certificate of patent or registration of utility model

Ref document number: 6441957

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250