KR20040101490A - 기업 네트워크에서의 악의적 코드 검출 및 무효화 - Google Patents

기업 네트워크에서의 악의적 코드 검출 및 무효화 Download PDF

Info

Publication number
KR20040101490A
KR20040101490A KR10-2004-7016497A KR20047016497A KR20040101490A KR 20040101490 A KR20040101490 A KR 20040101490A KR 20047016497 A KR20047016497 A KR 20047016497A KR 20040101490 A KR20040101490 A KR 20040101490A
Authority
KR
South Korea
Prior art keywords
local
server
machines
alerts
behavior
Prior art date
Application number
KR10-2004-7016497A
Other languages
English (en)
Inventor
야론 키드론
Original Assignee
컴퓨터 어소시에이츠 싱크, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 컴퓨터 어소시에이츠 싱크, 인코포레이티드 filed Critical 컴퓨터 어소시에이츠 싱크, 인코포레이티드
Publication of KR20040101490A publication Critical patent/KR20040101490A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Meter Arrangements (AREA)
  • Dc Digital Transmission (AREA)
  • Cable Transmission Systems, Equalization Of Radio And Reduction Of Echo (AREA)
  • Magnetic Resonance Imaging Apparatus (AREA)
  • Materials For Medical Uses (AREA)
  • Organic Low-Molecular-Weight Compounds And Preparation Thereof (AREA)

Abstract

기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템 및 방법이 제공된다. 패턴 인식 프로세서는, 불규칙한 로컬 거동 패턴들을 검출하기 위해, 기업 네트워크를 통해 접속되어 있는 복수개의 로컬 머신들상의 로컬 동작들을 모니터링한다. 로컬 머신상의 거동 패턴에서 불규칙성이 검출되면, 경보가 발생될 수 있다. 복수개 로컬 머신들로부터의 불규칙 거동 경보들이 분석된다. 유사한 경보들이 대응되는 시주기에 걸쳐 임계 갯수 이상의 로컬 머신들로부터 수신되면, 불규칙 거동 경보들의 분석에 기초해 하나 이상의 대책 동작들이 선택된다. 선택된 대책 동작들은 로컬 머신들로 전달되며 로컬 머신들에 의해 수행된다.

Description

기업 네트워크에서의 악의적 코드 검출 및 무효화{DETECTING AND COUNTERING MALICIOUS CODE IN ENTERPRISE NETWORKS}
관련 출원의 상호-참조
본 발명은 "DETECTING AND COUNTERING MALICIOUS CODE IN ENTERPRISE NETWORKS"라는 명칭으로 2002년 4월 17일에 출원된, 공동 양도된 미국 가출원 제 60/373,135호에 대한 우선권을 주장한다.
현재의 정보 시대에서, 컴퓨터 및 다른 정보 기술(IT;information technology)은 사실상 모든 기업(예를 들어, 주식회사, 상사, 회사, 영업소, 관공서, 매장, 대리점, 자선 단체, 다른 조직 등)의 경영에 있어 중요한 역할을 한다. 많은 경우에, 기업은, 데이터 및 정보의 교환을 용이하게 하기 위해, 그들의 컴퓨터 네트워크 및 정보 시스템(의 적어도 일부)을 공급자들, 파트너들, 회원들, 고객들 및 다른 조직들에 의한 액세스를 위해 개방한다. 기업 네트워크는, 예를 들어, LAN(local area network), WAN(wide area network), 인트라넷, 원격 액세스를 통한VPN(virtual private network), 광역 통신망 또는 인터넷 등의 하나로서 또는 그 조합으로서 구성될 수 있다. 또한, 기업 사용자들에게는 대개, 다른 것들로부터의 데이터/정보를 획득하기 위해 외부 네트워크로의 (그리고 그들의 기업 네트워크를 통할 수도 있는) 모뎀 또는 광대역 액세스가 제공된다.
기업 네트워크는 대개 개방 환경(open environment)을 제공할 수 있으므로, 바이러스, 트로이 목마(Trojans), 웜 및 다른 악의적 컴퓨터 코드와 같은 악의적 소프트웨어에 의한 공격이 기업 정보 시스템의 컴퓨터 및 다른 컴포넌트에 대해 지속적으로 증가하는 위협이다. 기업 컴퓨팅 환경의 사용자들은 일반적으로, 시스템에 의해 감염이 경보되지 않으면, 그들의 컴퓨터가 악의적 코드에 의해 감염된 것을 인식하지 못한다. 따라서, 기업 환경의 컴퓨터가 악의적 코드에 감염되면, 대개 그 감염은 기업 네트워크를 통해 다른 컴퓨터들 및 기업 리소스들로 신속하게 확산된다. 대부분의 경우, 악의적 코드가 네트워크 환경을 감염시킨 시간이 길수록, 그 환경으로부터 감염을 제거하기는 어려워진다.
많은 타입의 컴퓨터 바이러스가 존재하는 것으로 공지되어 있다. 메모리 상주형 바이러스는 일반적으로 실행 파일에 부착되어, 실행 파일이 실행될 때 컴퓨터의 메모리로 로딩된다. 메모리에서는, 바이러스가 컴퓨터의 오퍼레이팅 시스템을 장악할 수 있으므로, (보안 장치와 같은) 제한된 리소스들로의 액세스를 획득할 수 있다.
부트 섹터 바이러스는, 시스템이 부팅될 때 실행되는 코드를 포함하는 컴퓨터 하드 디스크의 부트 섹터를 바이러스 코드로 겹쳐쓰기하여, 컴퓨터가 부팅될 때(예를 들어, 컴퓨터가 시작/재시작될 때)면 언제나 컴퓨터의 메모리로 바이러스가 로딩된다. 일단 컴퓨터의 메모리에서는, 바이러스가 컴퓨터를 통해 빠르게 확산될 수 있다.
일부 바이러스들은, 감염된 프로그램이 실행될 때 다른 프로그램들/파일들을 감염시키는 것과 같이, 컴퓨터의 파일 시스템에 숨어서 스스로를 복제한다. 일부 파일 바이러스들은 스스로를 필수 시스템 파일들(essential system files)로 복사함으로써, 보호된 리소스들로의 액세스를 획득할 수 있으며 제거를 더 어렵게 만들 수 있다.
다른 타입의 바이러스들은 특정 컴퓨터 프로그램들(예를 들어, 워드 프로세싱 프로그램, 스프레드시트 프로그램 등)의 매크로 언어에 기재되어, 예를 들어, 프로그램이 실행될 때, 프로그램을 통해 문서가 액세스될 때, 또는 사용자가 프로그램내에서, 특정한 키스트로크 또는 메뉴 선택과 같은 소정 동작을 수행할 때, 트리거된다.
일부 바이러스들은 다상형(polymorphic)이므로(예를 들어, 그들의 기호들을 주기적으로 변경하므로), 바이러스 기호를 스캔하는 기호 스캐닝 검출 방법들(signature scanning detection methods)을 벗어날 수 있다. 하이브리드 또는 다분할 바이러스들(hybrid or multipartite viruses)은 한가지 타입 이상의 악의적 코드에 대한 특징들을 가진다.
일부 악의적 코드들은 트로이 목마와 유사한 특징들을 가진다. 트로이 목마는, 존재하지 않는 것처럼 가장함으로써, 전설 속의 목마와 유사하게 동작한다.일반적으로, 트로이 목마는, 프로그램을 실행 중인 사용자에게 부여된 권한하에서 목표 컴퓨터에서 실행되는 바이러스 코드 또는 악의적 코드를 전달하면서, 유용하거나 재미있는 소프트웨어로 가장한다. 트로이 목마는 대개 호스팅 머신을 직접적으로 공격하지는 않지만, 보다 심각한 후속 공격을 위한 백도어(backdoor)를 제공한다.
웜은, 대개 (파일 열기, 프로그램 실행 등과 같은) 어떠한 인간적 중재없이, 컴퓨터 네트워크를 통해 스스로를 전파시키는 소트트웨어의 일종이다. 일반적으로, 목표 컴퓨터에서 실행 중인 흔히 사용되는 네트워크 소프트웨어에 버그들 또는 간과된 사양들(overlooked features)을 활용함으로써, 네트워크를 감염시킨다.
종래의 보안 도구들은 일반적으로 공지의 악의적 코드들을 목표로 하지만, 끊임없이 증가하는 경향의 새로운 바이러스들 및 다른 악의적 코드들에는 취약하다. 이러한 보안 도구들은 대개 새로운 악의적 코드들의 확산을 저지하기 위해 분투한다. 종래의 보안 도구들 대부분은 새로운 보안 위협들을 검출하고 대처하는 도구들의 능력을 향상시키기 위해, 2진 패치 및/또는 알고리즘 최적화 등을 통해, 재배열 또는 재구성되어야 한다. 새로운 위협에 대해 도구가 업그레이드될 때까지, 도구는, 기업 네트워크를 위협에 의해 야기된 혼란에 노출시키며, 무방비 상태로 남게 된다.
새로운 보안 위협들의 풍부함과 끊임없이 변하는 특징으로 인해, 보안 틈새가 발생하기 전에도 동작할 수 있는 예방적 보안 도구가 필요하다.
예방적 보안은 잠재적 위협을 인식하는 단계를 포함한다. 종래의 보안 메커니즘 대부분은 정해진(fixed), 공지의 바이러스 기호 또는 보안 취약점을 공격하기 위해 빈번하게 사용되는 기술들을 검출하는 것에 의존한다. 이러한 검출 메커니즘은 바이러스 기호 파일들 및/또는 정해진 보안 정책 규칙들을 사용한다. 그러나, 이러한 기호 파일들 및/또는 정책 규칙들은 사전에 적절히 업데이트되어야만 새로운 악의적 코드가 검출될 수 있다.
종래의 보안 대책들은 일반적으로 악의적 코드를, 특정 머신을 목표로 설계된 원자적 실행 모듈(atomic execution module)로서 취급한다. 그러나, 상술한 바와 같이, 대부분의 악의적 코드들은 하나의 목표 머신으로부터 다음 목표 머신으로 전파하도록 설계되며, 많은 악의적 코드들은 자기-전파적이다. 악의적 코드는 일반적으로 원자 단위가 아니므로, 소프트웨어 바이러스가 기업 환경에 침투했다면, 수개의 머신들에 걸쳐 유사하게 동작할 것이다. 따라서, 하나의 머신에 대해 검출 메커니즘을 로컬라이징(localizing)하는 것은 불충분하다. 또한, 종래의 보안 도구들 대부분은, 공격이 기업 환경을 통해 실질적으로 전파된 이후에야 악의적 공격에 대한 검출 및 조정이 가능해지는 프로세싱 지연(processing latency)을 가진다.
일부의 기업 보안 도구들이 기업 네트워크에 대한 보안 정책들을 동기화하고 그리고/또는 클라이언트 피드백을 수집할 수는 있지만, 이들이, 네트워크 환경에 걸친 대규모의 수상한 거동을 진단하기에 유용한 보안 정보일 수 있는 대규모의 클라이언트 거동을 모니터링하기 위해 클라이언트 머신들로부터 수신된 데이터를 동기화하지는 않는다.
악의적 공격들을 와해하고, 블로킹하며 분리시키는 것 또한 예방적 보안 계획의 일부이다. 종래의 블로킹 프로시저들은 일반적으로, 위기 상황에 대해 한정된 즉각적 해결책들을 제공하는 정해진 방법들에 의존한다. 또한, 네트워크 환경에서, 이러한 대책들은 대개, 정해진 원격-관리 프로토콜(fixed remote-management protocol)에 의존하는데, 이로 인해, 예상치 못한 공격이, 프로토콜이 수행할 수 없는 동작을 요할 경우, 기능성을 심각하게 제한받게 된다.
따라서, 새로운 컴퓨터 바이러스들 및 악의적 코드를 식별하고 무효화하는 보다 유동적인 새로운 방법이 필요하다.
<발명의 개요>
본 개시는 기업 네트워크에서 공지 및 미공지의 악의적 코드를 식별하고 무효화하는 시스템을 제공한다. 일 실시예에서, 본 시스템은 서버 및, 기업 네트워크를 통해 서버에 접속되어 있는 복수개의 로컬 머신들을 포함한다. 각각의 로컬 머신은, 불규칙한 로컬 거동 패턴들을 검출하기 위해 로컬 동작을 모니터링하며 로컬 거동 패턴의 불규칙성이 검출된 후에는 경보를 발생시키는 패턴 인식 프로세서를 포함한다. 서버는 복수개의 로컬 머신들을 모니터링하며 그들로부터의 불규칙 거동 경보들을 분석한다. 대응되는 시주기에 걸쳐 임계 갯수 이상의 로컬 머신들로부터 유사한 경보들이 수신되면, 서버는 불규칙 거동 경보들의 분석에 기초해 하나 이상의 대책 동작들을 선택하며 로컬 머신에 의해 수행될 선택된 대책 동작들을 로컬 머신들로 전달한다.
본 개시는 또한, 서버 및 복수개의 로컬 머신들을 가진 기업 네트워크 시스템에서 악의적 코드를 검출하고 무효화하는 방법을 제공한다. 일 실시예에서, 본방법은 (a) 불규칙한 로컬 거동 패턴들을 검출하기 위해 각 로컬 머신에서의 로컬 동작들을 모니터링하고, 로컬 머신에서 로컬 거동 패턴의 불규칙성이 검출되면, 로컬 머신으로부터 서버로 불규칙 거동 경보를 발생시키는 단계, 및 (b) 서버에서 로컬 머신들로부터의 불규칙 거동 경보들을 분석하고, 대응되는 시주기에 걸쳐 임계 갯수 이상의 로컬 머신들로부터 유사한 경보들이 수신되면, 불규칙 거동 경보들의 분석에 기초해 하나 이상의 대책 동작들을 선택하며 선택된 대책 동작들을 로컬 머신들로 전달하는 단계를 포함한다.
본 발명은 컴퓨터 바이러스 및 다른 악의적 컴퓨터 코드에 관한 것이다. 보다 구체적으로, 본 발명은 기업 컴퓨팅 환경에서 바이러스 및 다른 악의적 코드를 검출하고 무효화하는 것에 관한 것이다.
첨부된 도면들을 참조하는 다음의 상세한 설명으로부터 본 발명의 특징들을 보다 손쉽게 이해할 수 있다.
도 1A는 본 발명의 일 실시예에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템의 블록도를 나타낸다.
도 1B는 본 발명의 다른 실시예에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템의 블록도를 나타낸다.
도 2A는 본 발명의 다른 실시예에 따른, 로컬 머신들의 클러스터링(clustering) 개략도를 나타낸다.
도 2B는 도 2A에 대응되는 실시예의 로컬 머신들의 클러스터에 대한 타이밍 개략도를 나타낸다.
도 3은 본 발명의 일 실시예에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 방법의 흐름도를 나타낸다.
도 4는 본 발명의 다른 실시예에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템의 블록도를 나타낸다.
본 발명은 기업 네트워크에서 공지 및 미지의 악의적 코드를 검출하고 무효화하는 도구들을 시스템 및 방법의 형태로 제공한다. 악의적 코드의 검출은, 일부의 경우들에서, 실행 중인 새로운 미인식 코드가 원인일 수 있는 기업-영역의 불규칙 동작들(irregular operations enterprise-wide)에 대한 모니터링을 통해 실현될 수 있다. 도구들은 컴퓨터 판독가능 매체에 저장되고 그리고/또는 컴퓨터 네트워크 또는 다른 전송 매체를 통해 전송되는 하나 이상의 컴퓨터 프로그램들로 구현될 수 있다.
도구들은, 예를 들어, 기업-영역의 보안에 대한 위험들을 보다 효과적으로 검출하기 위한 기업 관리 소프트웨어로 통합될 수 있다. (여기에서 "로컬 머신들"이라고도 하는) 기업 워크스테이션들/컴퓨터들은 일반적으로 (기업 정책에 의해 특정될 수 있는 바와 같이) 유사하게 구성될 수 있다. 대부분의 기업 사용자들은 도구들의 유사한 집합을 사용하며 유사한 소프트웨어 사용 습관을 가진다. 기업 사용자들은 일반적으로, 동일한 직무(예를 들어, 관리, 마케팅, 지원 등)에 종사하는 것과 같은, 논리적 집합들로 분류된다. 논리적 분류로 인해 이들은 더욱 뚜렷하게 서로 차별화된다. 상이하므로, 각 그룹은, 후술하는 바와 같이, 패턴 인식 프로세서로 트레이닝되기 위해, 상이한 프로파일로 자기-조정될 수 있다. 수개의 워크스테이션들이 그들의 정상적인 실행 경로로부터 벗어날 경우, 불규칙한 무엇인가가기업 환경에 걸쳐 발생하고 있는 중이라고 할 수 있다.
일 실시예에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템을 도 1A에 나타낸다. 시스템(1)은 서버(3) 및, 네트워크(5)를 통해 서버에 접속되어 있는 로컬 머신들(2-1 내지 2-N)을 구비한다. 각각의 로컬 머신(2-1 내지 2-N)은 패턴 인식 프로세서(2a)를 포함한다. 패턴 인식 프로세서는 불규칙한 로컬 거동 패턴들을 검출하기 위해 로컬 동작들을 모니터링하며, 로컬 거동 패턴의 불규칙성이 검출된 후에는 경보를 발생시킨다. 서버(3)는 로컬 머신들(2-1 내지 2-N)로부터의 불규칙 거동 경보들을 모니터링하고 분석한다. 대응되는 시주기에 걸쳐 임계 갯수 이상의 로컬 머신들로부터 유사한 경보들이 수신되면, 서버는 불규칙 거동 경보들의 분석에 기초해 하나 이상의 대책 동작들을 선택하며 로컬 머신들에 의해 수행될 선택된 대책 동작들을 로컬 머신들로 전달한다.
기업 환경에서의 미지 특징의(즉, 공지의 기호 또는 거동 패턴이 존재하지 않는) 악의적 코드 이용은 (신경망, 클러스터링 기술, 판정 트리 기술 등과 같은) 패턴 인식 기술을 통해 검출될 수 있다. 예를 들어, 로컬 머신들에서의 패턴을 벗어난 로컬 거동(local out-of-pattern behavior)이 짧은 구간에서 지속적으로 또는 주기적으로 모니터링되면, 대규모의 불규칙 거동 패턴들을 인식하기 위해, 기업 네트워크를 통해 접속되어 있는 복수개 로컬 머신들로부터의 결과들이 동기화된다.
예를 들어, 패턴 인식 프로세서는 로컬 오퍼레이팅 시스템으로의 호출들을 모니터링할 수 있다. 로컬 오퍼레이팅 시스템 호출들의 로그(log)를 유지하기 위해 신호 모니터가 제공될 수 있다.
각각의 로컬 머신은 서버와의 통신을 위한 네트워크 릴레이를 포함하는 원격 제어 코어(remote control core)를 더 포함할 수 있다. 불규칙 거동 경보는 로컬 머신으로부터 네트워크 릴레이를 통해 서버로 전달된다. 로컬 머신에서의 불규칙 거동 검출은 네트워크로의 경보 발행을 트리거할 수 있지만, 불규칙 거동의 추가적 확인은 기업 네트워크에 대해 중재 대책들(interventional measures)을 트리거할 수 있다. 악의적 코드의 검출이 확인된 후, 그 위협을 로컬 머신들에서 처리하기 위해 필요한 변화, 패치, 또는 가능한 임의 동작을 즉각적으로 활용하기 위해 원격 제어 코어가 이용될 수 있다. 원격 제어 명령은 네트워크 릴레이를 통해 로컬 머신에 의해 수신될 수 있다.
시스템은 클러스터 관리자를 더 포함할 수 있다. 불규칙 거동 경보는 복수개의 로컬 머신들로부터 클러스터 관리자를 통해 서버로 전달된다.
서버는 기업 네트워크에서 수상한 활동을 모니터링하기 위한 전용 시스템일 수 있다. 대책 동작들(countermeasure operations)은 기업-영역 관리 유틸리티들(enterprise-wide administration utilities)로의 통지, 불규칙 거동 경보들과 관련된 하나 이상의 로컬 기능들을 셧다운하기 위한 로컬 머신들로의 명령, 및/또는 이-메일에 의한 사용자들로의 경고를 포함할 수 있다. 서버에 의해 로컬 머신들로 전달되는 대책 동작은 라이브러리 이름과 함수 호출(function call)에 의해, 또는 유틸리티 이름에 의해 식별될 수 있다.
클라이언트-서버 패러다임에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템을 도 1B에 나타낸다. 그러나, 본 발명의 도구들은 클라이언트-서버 프로그래밍 모델에 한정되지 않으며, 피어-대-피어 시스템, 메시지 전달 시스템 뿐만 아니라 다른 프로그래밍 모델에도 사용될 수 있다는 것을 알 수 있다.
시스템(10)은 서버(14) 및, 네트워크(15)를 통해 서버에 접속되어 있는 복수개 로컬 머신들(11-1 내지 11-N)상의 클라이언트들(12)을 구비한다. 각각의 클라이언트(12)는 패턴 인식 프로세서(12a), 및 선택적으로 오퍼레이팅 시스템 신호 모니터(12b)와 원격 제어 코어(12c)를 포함할 수 있다. 패턴 인식 프로세서, 신호 모니터 및 원격 제어 코어를 포함하는 클라이언트(12)는 대응되는 로컬 머신(11-1 내지 11-N)상의 컴퓨터 판독가능 매체에 저장되고 그리고/또는 컴퓨터 네트워크 또는 다른 전송 매체를 통해 로컬 머신으로 전송되는 컴퓨터 프로그램일 수 있다. 예를 들어, 클라이언트는 오퍼레이팅 시스템 커널(operating system kernel)로의 콤팩트 확장(compact extension)일 수 있다.
패턴 인식 프로세서(2a 또는 12a)는, 로컬 오퍼레이팅 시스템(13)으로의 호출들과 같은, 대응되는 로컬 머신상의 동작들을 모니터링한다. 패턴 인식 프로세서는 로컬 머신내의 불규칙 거동 패턴들을 검출하기 위해 신경망 및 다른 인공 지능 기술들을 이용할 수 있다. 예를 들어, 본 방법들은, 여기에서 그 전체를 참조하는, 공동-소유의 미국특허 제 5,796,942호, 제 5,734,796호, 제 6,134,537호, 제 6,212,509호 및 제 6,327,550호와 공동-소유의 계류 중인 미국출원, "PROCESSING MIXED NUMERIC AND/OR NON-NUMERIC DATA"라는 명칭의 제 60/374,064호, "AUTOMATIC NEURAL-NET MODEL GENERATION AND MAINTENANCE"라는 명칭의 제 60/374,020호, "VIEWING MULTI-DIMENSIONAL DATA THROUGH HIERARCHICAL VISUALIZATION"이란 명칭의 제 60/374,024호, "METHOD AND APPARATUS FOR DISCOVERING EVOLUTIONARY CHANGES WITHIN A SYSTEM"이란 명칭의 제 60/374,041호, "AUTOMATIC MODEL MAINTENANCE THROUGH LOCAL NETS"라는 명칭의 제 60/373,977호 및 "USING NEURAL NETWORKS FOR DATA MINING"이란 명칭의 제 60/373,780호에 설명되어 있는 바와 같이, 신경망, 룰-기반 및 상태 분석 기술들의 조합을 포함할 수 있다.
패턴 인식 프로세서는 로컬 거동 패턴을 지속적으로 모니터링하거나, 각 시구간이 단지 수 분인 것이 바람직한 시주기로 동작할 수 있다. 시구간의 끝에서, 패턴 검출 프로세서는 그 구간 동안의 거동 패턴을 분석하고, 불규칙 패턴이 검출되면, 마지막 발견물(latest findings)을 가진 원격 제어 코어로 경보를 전송한다. 분석은 또한, 예방 시구간들에서 로그된 거동 패턴에 대한 고려를 포함할 수 있다.
패턴 인식 프로세서가 로컬 오퍼레이팅 시스템(13)으로의 호출을 모니터링하는 실시예에서, 신호 모니터(12b)는, 오퍼레이팅 시스템 호출들(예를 들어, 파일 입-출력, 네트워크 입-출력, 메모리 관리 등)을 감사하기 위해, 로컬 머신상의 오퍼레이팅 시스템으로의 후킹에 제공될 수 있다. 신호 모니터 모듈은, 예를 들어, 오퍼레이팅 시스템 커널로의 확장으로서, 오퍼레이팅 시스템에 가까이 결합될 수 있다. 오퍼레이팅 시스템으로의 이러한 결합을 통해, 신호 모니터 모듈은, 무해하거나 악의적인 오퍼레이팅 시스템 호출 활동을 모니터링하고 로그한다. 패턴 인식 프로세서(12a)는 임의의 불규칙 패턴을 검출하기 위해 오퍼레이팅 시스템 호출들의 로그를 주기적으로 분석한다.
패턴 인식 프로세서는 다른 불규칙 및/또는 악의적 또는 바이러스 거동 패턴들을 검출하도록 트레이닝되거나 적응될 수 있다. 불규칙 거동 패턴들은, 예를 들어, 공지 또는 미지의 바이러스, 트로이 목마, 웜, 또는 (예를 들어, 메모리 상주, 파일 및/또는 매크로 바이러스의 특징들을 가진) 다른 악의적 코드에 대응될 수 있다. 또한, 패턴 인식 프로세서는 수개의 기업 머신들에 미치는 순수한 또는 직접적으로 공격적인 "삭제" 동작들과 같은 내부의 악의적 동작들을 검출할 수도 있다.
패턴 인식 프로세서는, 패턴 인식 기술과 함께, 완전성 검사(integrity checking;예를 들어, 프로그램의 파일 사이즈에 대한 체크섬 또는 변화 검출), 다상형 코드 검출, 모니터링 인터럽트 (제한된 시스템 리소스들로의 액세스 모니터링), 통계 분석, 기호 및/또는 발견적 스캐닝(heuristic scanning) 등과 같은, 복수개의 검출 방법들을 사용할 수 있다. 일부의 예시적인 바이러스/악의적 코드 검출 방법들이, 모두가 2001년 7월 14일에 출원된 미국출원 제 09/905,342호, 제 09/905,340호, 제 09/905,533호, 제 09/905,341호, 제 09/905/532호 및 제 09/905,343호, 2001년 3월 30일에 출원된 제 09/823,673호, 및 2001년 11월 30일에 출원된 제 60/334,420호에 설명되어 있는데, 여기에서는 이들 각각을 참조하고 있다.
원격 제어 코어(12c)는 국부적으로 액세스된 정보를 서버로 전송하며, 서버로부터 로컬 워크스테이션의 원격 관리를 위한 명령을 수신하는 네트워크 릴레이를 제공한다. 원격 제어 프로세스는 로컬 보안 대책을 위한 관리 프로토콜을 포함할 수 있다. 로컬 보호의 (또는 중재의) 보안 대책은, 예를 들어, 선택된 파일로의 임의 액세스를 블로킹하는 것, 수상한 파일의 (서버, 다른 저장 매체, 다른 도메인등으로의) 복사를 방지하기 위해 수상한 파일상에 차단을 설정하는 것, 로컬 머신으로부터 다른 머신들로의 파일 전송 및/또는 다른 통신을 방지하는 것, 로컬 및/또는 기업 리소스들(예를 들어, 파일 시스템)로의 사용자 액세스를 제한하기 위해 특정 사용자에 대해 차단을 설정하는 것, 감염된 파일을 치료하는 것 등을 포함할 수 있다.
바람직하게도, 원격적으로 호출될 수 있는 블로킹 및/또는 중재 기능들을 실현하기 위해, 시스템의 소프트웨어 특징들(예를 들어, 오퍼레이팅 시스템, 애플리케이션 소프트웨어, 유틸리티, 동적으로 링크된 라이브러리 등의 설치된 코드에 대한 임의의 요구사항들)로 컴파일하는 추상적 제어 메커니즘(abstract control mechanism)이 제공된다. 또한, 통신 오버헤드를 최소화하기 위해, 제어 메커니즘은 통신 프로토콜에 의해 제한되지 않는 것이 바람직하다. 원격 관리는, 실행될 동작(예를 들어, 라이브러리 이름과 함수 호출, 유틸리티 이름, 파라미터 등)을 특정함으로써 서버에 의해 수행될 수 있다. 그 다음, 원격 클라이언트는 그 동작을 동적으로 실행한다. 추상적 원격-관리 코어로 인해 시스템-지원 동작들이 원격적으로 특정될 수 있다. 따라서, 정해진 프로토콜 제한들이 원격 제어 코어에서 최소화될 수 있다.
보다 관습적인 보안 정책들이 활용되기 전에 보안 갭을 셧다운하기 위해, 실질적으로 임의의 원격 동작이 특정되어 실행될 수 있다. 예를 들어, 한정된 액세스 시스템 리소스로의 수상한 오퍼레이팅 시스템 호출과 관련된 경보들이 클러스터의 소정 갯수(예를 들어, 3) 또는 그 이상의 로컬 머신들로부터 서버에 의해 수신되면, 서버는 그것의 원격 제어 코어를 통해, (a) 특정 시주기 동안 목표 시스템 리소스로의 액세스를 금지할 것, (b) 에뮬레이션 모드에서 실행하면서, 시주기 동안 오퍼레이팅 시스템 호출들의 소스들(및 다른 세부사항들)을 식별할 것을 머신에 지시하기 위해 클러스터의 각 머신으로 전달할 수 있다.
LAN을 통해 수개의 로컬 머신들을 클러스터링함으로써, 클라이언트들은 동기화된 네트워크로 손쉽게 분류될 수 있다. 수상한 거동 패턴들의 흐름을 서버(14;도 2A 및 도 2B)로 전송하기 위해 하나 이상의 클러스터 관리자들이 회귀적으로 사용될 수 있다. 클러스터 관리자는 로컬 머신상에 상주할 수 있다. 로컬 머신들은 그들의 최후 발견물에 대한 압축된 기호를 클러스터 관리자에 대한 경보로서 전송할 수 있다.
로컬 머신은 공지의 컴퓨팅 플랫폼들(예를 들어, IBM-호환형 또는 매킨토시 퍼스널 컴퓨터, 워크스테이션, 핸드헬드 컴퓨터 또는 컴퓨팅 장치, 내장형 프로세서 및 오퍼레이팅 시스템을 가진 다른 장치들 등) 중 하나일 수 있다. LAN은 종래의 케이블-접속형 또는 (예를 들어, IEEE 802.11b 표준에 따른) 무선일 수 있다.
전용 머신이 서버(14)로서 동작할 수 있다. 기업-영역의 경보들을 수집함으로써, 서버는 수상한 활동을 전역적으로 모니터링할 수 있다. 서버는, 로컬 머신에서 대책 동작들이 취해져야 할 때를 판정하기 위해 룰-기반 방법(및/또는 다른 인공 지능)을 사용할 수 있으며, 소정 임계치의 유사 경보들이 충족될 때, 대책들이 취해진다.
예를 들어, 서버는, 예를 들어, 사용자 및/또는 리소스 액세스를 제한할 것을 기업-영역 (사용자 및 리소스) 관리 유틸리티들에 통지하기; 이-메일(또는 방송)에 의해 모든 사용자들에게 경고 발행하기; 각각의 (가능한) 감염 머신들에게 셧다운할 것을 지시하기; 네트워크를 통한 악의적 코드의 정확한 흐름을 지적하기; 및 클라이언트들의 원격 제어 코어를 통해 그들에게 방송함으로써, 위협으로부터 방어할 수 있는 방법에 대한 빠른 해결책(예를 들어, 이-메일 프로그램 또는 워드 프로세싱 프로그램과 같은 목표 소프트웨어의 디스에이블 또는 소정 TCP/IP 포트의 셧다운)을 제공하기와 같은 동작들 중의 하나 이상을 취할 수 있다.
본 발명의 일 실시예에 따른, 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 방법을 도 1 내지 도 3을 참조하여 설명한다. 로컬 머신(2 또는 11)의 패턴 인식 프로세서(2a 또는 12a)는 로컬 머신에서의 불규칙 동작 패턴들을 검출하기 위해, 로컬 오퍼레이팅 시스템으로의 호출들과 같은 로컬 동작들을 모니터링한다(단계 S31). 선택적으로, 신호 모니터(12b)는 로컬 오퍼레이팅 시스템 호출들의 로그를 유지하기 위해 오퍼레이팅 시스템 호출들(예를 들어, 파일 입-출력 호출들, 네트워크 입-출력 호출들, 메모리 관리 호출들 등)을 로컬 머신에 등록할 수 있다. 어떤 경우에서든, 패턴 인식 프로세서가 로컬 거동 패턴의 불규칙성을 검출하면(단계 S32), 프로세서는 불규칙 거동 경보를 발생시킨다(단계 S33). 이 경보는 로컬 머신으로부터, 예를 들어, 원격 제어 코어(12c)의 네트워크 릴레이 뿐만 아니라 선택적으로 클러스터 관리자를 통해 서버(3 또는 4)로 전달된다. 한편, 서버는 로컬 머신들로부터의 불규칙 거동 경보들을 분석한다(단계 S34). 서버는 기업 네트워크에서 수상한 활동을 모니터링하는 태스크에 할당된 전용 시스템일 수 있다. 유사한 경보들의 갯수가 대응되는 시주기에 걸쳐 임계 수치를 초과하면(예를 들어, 5분 동안 5개의 경보, 10분 동안 12개의 경보 등)[단계 S35], 서버는 경보의 특징에 따라 하나 이상의 대책 동작들을 선택하며 이 대책 동작들을 클라이언트로 전달한다(단계 S36). 대책 동작들은 기업-영역 관리 유틸리티들로의 통지, 하나 이상의 로컬 기능들을 셧다운하라는 명령, 및/또는 이-메일에 의한 사용자로의 경고를 포함할 수 있다. 대책 동작들은 라이브러리 이름과 함수 호출, 유틸리티 호출 등에 의해 식별될 수 있다.
(신경망 및 다른 인공 지능과 같은) 패턴 인식 방법들의 능력을 불규칙한 시스템 거동을 밀접하게 추적하는데 사용함으로써, 미지의 악의적 코드(예를 들어, 바이러스, 웜, 트로이 목마, 내재된 스크립트, 또는 다른 임의 형태의 소프트웨어 바이러스)를 예방적으로 검출하고 무효화할 수 있다. 상술한 실시예들에서, 데이터는, 새로운 바이러스를 지시할 수 있는 널리 확산된 임의의 불규칙성을 검출하기 위해, 클러스터될 수 있는 네트워킹된 기업 워크스테이션들에 대해 동기화될 수 있다. 바이러스와 유사한 불규칙성이 검출되면, 통합된, 추상적 원격-관리 코어가 바이러스를 무효화하기 위한 실시간 대책을 수행하는데 뿐만 아니라 바이러스의 추가적인 감염을 방지하는데 이용될 수 있다.
다른 실시예(도 4)에 따르면, 데이터는 로컬 머신들(42-1 내지 42-N)로부터 수집될 수 있으며 중심 위치(서버 41)의 패턴 인식 프로세서(41a)에 의해 프로세싱될 수 있다. 중심 위치에서의 데이터 수집 및 프로세싱은 네트워크 트래픽을 증가시킬 수 있다. 그러나, 증가된 트래픽은, 간략화된 검출 구성을 사용함으로써(예를 들어, 클라이언트 데이터 수집의 규모를 축소시킴으로써), 완화될 수 있다.
상술한 실시예들의 서버는 전용국(dedicated station)인 것이 바람직하지만, 다른 기능들 및 직무들을 가진 국 또한 기업 모니터로서 동작할 수 있다. 또한, 기업 네트워크의 각 머신에는 서버의 함수들 뿐만 아니라 클라이언트의 함수들이 제공될 수 있다. 경보는 하나의 머신으로부터 후속 머신으로의 메시지로서 (패킷으로 또는 개별적으로) 전달될 수 있다. 머신이 경보들에 대한 임계 갯수를 포함하는 메시지를 수신할 때, 머신은 경보들을 분석하기 위한 서버 기능들을 호출할 수 있으며 로컬 머신의 원격 제어 코어를 통해 이용가능한 하나 이상의 대책들을 수행하기 위한 명령을 로컬 머신에 전달할 수 있다.
또한, 본 개시의 정신으로부터 또는 첨부된 청구항들의 범위로부터 벗어나지 않으면서, 예시적인 실시예들에 대해 많은 타 변형들이 도입될 수 있다. 상이한 예시적 실시예들의 요소들 및/또는 특징들이 본 개시 및 첨부된 청구항들의 범위내에서 서로 조합 및/또는 대체될 수 있다.
예를 들어, 패턴 인식 프로세서가 불규칙 오퍼레이팅 시스템 호출들의 검출에 한정될 필요는 없다. 모든 불규칙 보안 틈새가 아니라 모든 보안 틈새에 대해 경보가 발생될 수도 있다. 이러한 검출 방식은 구현이 훨씬 용이하다. 그러나, 훨씬 많은 오경보를 발생시킨다.
여기에서 그 전체를 참조하고 있는, 2002년 4월 17일에 출원된 미국 가출원 제 60/373,135호의 판독을 통해, 당업자는 추가적인 변형들이 가능하다는 것을 분명히 알 수 있다.

Claims (20)

  1. 기업 네트워크에서 악의적 코드를 검출하고 무효화하는 시스템에 있어서,
    서버; 및
    상기 기업 네트워크를 통해 상기 서버에 접속되어 있는 복수개의 로컬 머신들을 포함하고,
    상기 로컬 머신 각각은 패턴 인식 프로세서를 포함하며,
    상기 패턴 인식 프로세서는 불규칙한 로컬 거동 패턴들을 검출하기 위해 로컬 동작들을 모니터링하고, 로컬 거동 패턴의 불규칙성이 검출되면 경보를 발생시키며,
    상기 서버는 상기 복수개의 로컬 머신들로부터의 불규칙 거동 경보들을 모니터링하고 분석하며, 대응되는 시주기에 걸쳐 임계 갯수 이상의 로컬 머신들로부터 유사한 경보들이 수신되면, 상기 서버는 상기 불규칙 거동 경보들의 상기 분석에 기초하여 하나 이상의 대책 동작들을 선택하고 상기 로컬 머신들에 의해 수행될 상기 선택된 대책 동작들을 상기 로컬 머신들로 전달하는 시스템.
  2. 제1항에 있어서,
    상기 패턴 인식 프로세서는 상기 로컬 오퍼레이팅 시스템으로의 호출들을 모니터링하는 시스템.
  3. 제2항에 있어서,
    상기 로컬 머신 각각은 신호 모니터를 더 포함하고,
    상기 신호 모니터는 로컬 오퍼레이팅 시스템 호출들의 로그를 유지하는 시스템.
  4. 제1항에 있어서,
    상기 로컬 머신 각각은 상기 서버와의 통신을 위한 네트워크 릴레이를 포함하는 원격 제어 코어를 포함하고, 상기 불규칙 거동 경보는 상기 로컬 머신으로부터 상기 네트워크 릴레이를 통해 상기 서버로 전달되며, 상기 로컬 머신에 의해 상기 네트워크 릴레이를 통해 원격 제어 명령들이 수신되는 시스템.
  5. 제1항에 있어서,
    클러스터 관리자를 더 포함하고,
    상기 불규칙 거동 경보들은 상기 복수개의 로컬 머신들로부터 상기 클러스터 관리자를 통해 상기 서버로 전달되는 시스템.
  6. 제1항에 있어서,
    상기 서버는 상기 기업 네트워크에서 수상한 활동을 모니터링하기 위한 전용 시스템인 시스템.
  7. 제1항에 있어서,
    상기 대책 동작들은 기업-영역 관리 유틸리티들로의 통지를 포함하는 시스템.
  8. 제1항에 있어서,
    상기 대책 동작들은 상기 불규칙 거동 경보들과 관련된 하나 이상의 로컬 기능들을 셧다운하기 위한 상기 로컬 머신들로의 명령을 포함하는 시스템.
  9. 제1항에 있어서,
    상기 서버에 의해 상기 로컬 머신들로 전달되는 대책 동작은 라이브러리 이름 및 함수 호출에 의해 식별되는 시스템.
  10. 제1항에 있어서,
    상기 서버에 의해 상기 로컬 머신들로 전달되는 대책 동작은 유틸리티 이름에 의해 식별되는 시스템.
  11. 서버 및 복수개의 로컬 머신들을 가진 기업 네트워크 시스템에서 악의적 코드를 검출하고 무효화하는 방법에 있어서,
    불규칙한 로컬 거동 패턴들을 검출하기 위해 각 로컬 머신에서의 로컬 동작들을 모니터링하고, 상기 로컬 거동 패턴의 불규칙성이 상기 로컬 머신에서 검출되면, 상기 로컬 머신으로부터 상기 서버로의 불규칙 거동 경보를 발생시키는 단계; 및
    상기 서버에서 상기 로컬 머신들로부터의 불규칙 거동 경보들을 분석하고, 유사한 경보들이 대응되는 시주기에 걸쳐 임계 갯수 이상의 로컬 머신들로부터 수신되면, 상기 불규칙 거동 경보들의 상기 분석에 기초해 하나 이상의 대책 동작들을 선택하고 상기 선택된 대책 동작들을 상기 로컬 머신들로 전달하는 단계를 포함하는 방법.
  12. 제11항에 있어서,
    상기 로컬 오퍼레이팅 시스템으로의 호출들을 모니터링하는 단계를 더 포함하는 방법.
  13. 제12항에 있어서,
    상기 로컬 오퍼레이팅 시스템 호출들의 로그를 유지하는 단계를 더 포함하는 방법.
  14. 제11항에 있어서,
    상기 대책 동작들은 기업-영역 관리 유틸리티들로의 통지를 포함하는 방법.
  15. 제11항에 있어서,
    상기 대책 동작들은 상기 불규칙 거동 경보들과 관련된 하나 이상의 로컬 기능들을 셧다운하기 위한 상기 로컬 머신들로의 명령을 포함하는 방법.
  16. 제11항에 있어서,
    상기 서버에 의해 상기 로컬 머신들로 전달되는 대책 동작은 라이브러리 이름 및 함수 호출에 의해 식별되는 방법.
  17. 제11항에 있어서,
    상기 서버에 의해 상기 로컬 머신들로 전달되는 대책 동작은 유틸리티 이름에 의해 식별되는 방법.
  18. 시스템에 있어서,
    프로세서; 및
    상기 시스템이 판독할 수 있는 프로그램 저장 장치를 포함하고,
    머신에 의해 실행되어 제11항의 방법을 수행할 수 있는 명령어들의 프로그램을 구체적으로 구현하는 시스템.
  19. 머신에 의해 판독가능한 프로그램 저장 장치에 있어서,
    머신에 의해 실행되어 제11항의 방법을 수행할 수 있는 명령들의 프로그램을 구체적으로 구현하는 프로그램 저장 장치.
  20. 컴퓨터 데이터 신호에 있어서,
    컴퓨터에 의해 실행되어 제11항의 방법을 수행할 수 있는 명령어들을 구현하는 전송 매체에 구현되는 컴퓨터 데이터 신호.
KR10-2004-7016497A 2002-04-17 2003-04-15 기업 네트워크에서의 악의적 코드 검출 및 무효화 KR20040101490A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US37313502P 2002-04-17 2002-04-17
US60/373,135 2002-04-17
PCT/US2003/011824 WO2003090426A1 (en) 2002-04-17 2003-04-15 Detecting and countering malicious code in enterprise networks

Publications (1)

Publication Number Publication Date
KR20040101490A true KR20040101490A (ko) 2004-12-02

Family

ID=29250972

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2004-7016497A KR20040101490A (ko) 2002-04-17 2003-04-15 기업 네트워크에서의 악의적 코드 검출 및 무효화

Country Status (12)

Country Link
US (1) US7934103B2 (ko)
EP (1) EP1495616B1 (ko)
JP (1) JP2005523539A (ko)
KR (1) KR20040101490A (ko)
CN (1) CN1647483A (ko)
AT (1) ATE467297T1 (ko)
AU (1) AU2003223656A1 (ko)
BR (1) BR0309288A (ko)
CA (1) CA2480475A1 (ko)
DE (1) DE60332448D1 (ko)
IL (1) IL164609A0 (ko)
WO (1) WO2003090426A1 (ko)

Families Citing this family (94)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7647645B2 (en) * 2003-07-23 2010-01-12 Omon Ayodele Edeki System and method for securing computer system against unauthorized access
WO2005050369A2 (en) * 2003-11-12 2005-06-02 The Trustees Of Columbia University In The City Ofnew York Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US7752320B2 (en) * 2003-11-25 2010-07-06 Avaya Inc. Method and apparatus for content based authentication for network access
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
US7603716B2 (en) * 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
GB2411313B (en) * 2004-02-21 2006-07-26 Hewlett Packard Development Co Network connection control
US20050229250A1 (en) * 2004-02-26 2005-10-13 Ring Sandra E Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations
US20050216762A1 (en) * 2004-03-25 2005-09-29 Cyrus Peikari Protecting embedded devices with integrated reset detection
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine
US20050257263A1 (en) * 2004-05-13 2005-11-17 International Business Machines Corporation Andromeda strain hacker analysis system and method
US8407792B2 (en) 2004-05-19 2013-03-26 Ca, Inc. Systems and methods for computer security
WO2005114952A1 (en) 2004-05-20 2005-12-01 Computer Associates Think, Inc. Intrusion detection with automatic signature generation
WO2005114955A1 (en) * 2004-05-21 2005-12-01 Computer Associates Think, Inc. Systems and methods of computer security
US20060037077A1 (en) * 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics
US7690033B2 (en) * 2004-09-28 2010-03-30 Exobox Technologies Corp. Electronic computer system secured from unauthorized access to and manipulation of data
US20060085850A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation System and methods for providing network quarantine using IPsec
KR100628317B1 (ko) * 2004-12-03 2006-09-27 한국전자통신연구원 네트워크 공격 상황 탐지 장치 및 그 방법
FI20041681A0 (fi) * 2004-12-29 2004-12-29 Nokia Corp Liikenteen rajoittaminen kommunikaatiojärjestelmissä
US8161554B2 (en) * 2005-04-26 2012-04-17 Cisco Technology, Inc. System and method for detection and mitigation of network worms
JP4559295B2 (ja) * 2005-05-17 2010-10-06 株式会社エヌ・ティ・ティ・ドコモ データ通信システム及びデータ通信方法
US20060282525A1 (en) * 2005-06-10 2006-12-14 Giles James R Method and apparatus for delegating responses to conditions in computing systems
US20060288417A1 (en) * 2005-06-21 2006-12-21 Sbc Knowledge Ventures Lp Method and apparatus for mitigating the effects of malicious software in a communication network
US20060294596A1 (en) * 2005-06-27 2006-12-28 Priya Govindarajan Methods, systems, and apparatus to detect unauthorized resource accesses
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US20070006300A1 (en) * 2005-07-01 2007-01-04 Shay Zamir Method and system for detecting a malicious packed executable
US8549639B2 (en) 2005-08-16 2013-10-01 At&T Intellectual Property I, L.P. Method and apparatus for diagnosing and mitigating malicious events in a communication network
US7624447B1 (en) 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
JP4754922B2 (ja) * 2005-09-30 2011-08-24 富士通株式会社 ワーム感染装置の検出装置
US7526677B2 (en) * 2005-10-31 2009-04-28 Microsoft Corporation Fragility handling
US7827545B2 (en) * 2005-12-15 2010-11-02 Microsoft Corporation Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy
AU2006100099A4 (en) * 2006-02-08 2006-03-16 Pc Tools Technology Pty Limited Automated Threat Analysis System
KR100791290B1 (ko) * 2006-02-10 2008-01-04 삼성전자주식회사 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US20070198525A1 (en) * 2006-02-13 2007-08-23 Microsoft Corporation Computer system with update-based quarantine
US8443354B1 (en) * 2006-03-29 2013-05-14 Symantec Corporation Detecting new or modified portions of code
US7930727B1 (en) * 2006-03-30 2011-04-19 Emc Corporation System and method for measuring and enforcing security policy compliance for software during the development process of the software
US7793096B2 (en) * 2006-03-31 2010-09-07 Microsoft Corporation Network access protection
WO2008079103A2 (en) * 2006-05-18 2008-07-03 Cisco Technology, Inc. System and method for detection and mitigation of network worms
US7779465B2 (en) * 2006-05-26 2010-08-17 Microsoft Corporation Distributed peer attack alerting
US8220049B2 (en) * 2006-12-28 2012-07-10 Intel Corporation Hardware-based detection and containment of an infected host computing device
JP2008165601A (ja) * 2006-12-28 2008-07-17 Secure Ware:Kk 通信監視システム、通信監視装置、及び通信制御装置
US7720965B2 (en) * 2007-04-23 2010-05-18 Microsoft Corporation Client health validation using historical data
US9225684B2 (en) 2007-10-29 2015-12-29 Microsoft Technology Licensing, Llc Controlling network access
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
KR100977365B1 (ko) * 2007-12-20 2010-08-20 삼성에스디에스 주식회사 바이러스 및 네트워크 공격에 대한 자기 방어 기능을 갖는모바일 디바이스 및 이를 이용한 자기 방어 방법
US8266518B2 (en) * 2008-01-16 2012-09-11 Raytheon Company Anti-tamper process toolset
US8775333B1 (en) * 2008-08-20 2014-07-08 Symantec Corporation Systems and methods for generating a threat classifier to determine a malicious process
US9256737B2 (en) 2008-08-26 2016-02-09 International Business Machines Corporation System and method for triggering and performing scans to protect virtual environments
US20100138575A1 (en) 2008-12-01 2010-06-03 Micron Technology, Inc. Devices, systems, and methods to synchronize simultaneous dma parallel processing of a single data stream by multiple devices
US8281395B2 (en) * 2009-01-07 2012-10-02 Micron Technology, Inc. Pattern-recognition processor with matching-data reporting module
US20100174887A1 (en) * 2009-01-07 2010-07-08 Micron Technology Inc. Buses for Pattern-Recognition Processors
US8621626B2 (en) * 2009-05-01 2013-12-31 Mcafee, Inc. Detection of code execution exploits
WO2011022104A1 (en) * 2009-08-19 2011-02-24 Opanga Networks, Inc. Optimizing channel resources by coordinating data transfers based on data type and traffic
US9785909B2 (en) * 2009-08-27 2017-10-10 International Business Machines Corporation Preventing propagation of malicious content in a virtual universe
US8607353B2 (en) * 2010-07-29 2013-12-10 Accenture Global Services Gmbh System and method for performing threat assessments using situational awareness
TWI419003B (zh) * 2010-11-12 2013-12-11 Univ Nat Chiao Tung 自動化分析與分類惡意程式之方法及系統
US9413721B2 (en) 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
CN102930210B (zh) * 2012-10-14 2015-11-25 江苏金陵科技集团有限公司 恶意程序行为自动化分析、检测与分类系统及方法
US9117072B2 (en) * 2012-10-28 2015-08-25 Google Inc. Software exploit detection
CN103916365B (zh) * 2012-12-31 2018-09-11 西门子公司 导出和验证恶意代码的网络行为特征的方法和装置
KR101398852B1 (ko) 2013-02-13 2014-06-27 주식회사 잉카인터넷 스크립트를 이용한 멀웨어 치료 시스템 및 방법
WO2014128256A1 (en) * 2013-02-22 2014-08-28 Adaptive Mobile Security Limited Network security system and method
EP2959698A1 (en) 2013-02-22 2015-12-30 Adaptive Mobile Security Limited System and method for embedded mobile (em)/machine to machine (m2m) security, pattern detection, mitigation
EP2959658A1 (en) * 2013-02-22 2015-12-30 Adaptive Mobile Security Limited Dynamic traffic steering system and method in a network
US10127379B2 (en) 2013-03-13 2018-11-13 Mcafee, Llc Profiling code execution
US9288219B2 (en) 2013-08-02 2016-03-15 Globalfoundries Inc. Data protection in a networked computing environment
US20150074808A1 (en) * 2013-09-06 2015-03-12 Triumfant, Inc. Rootkit Detection in a Computer Network
US20150350208A1 (en) * 2014-05-27 2015-12-03 Turgut BAYRAMKUL Token server-based system and methodology providing user authentication and verification for online secured systems
US9886577B2 (en) * 2014-09-26 2018-02-06 Mcafee, Llc Detection and mitigation of malicious invocation of sensitive code
US9525707B2 (en) * 2014-12-23 2016-12-20 Mcafee, Inc. Incident response tool using a data exchange layer system
US11120106B2 (en) * 2016-07-30 2021-09-14 Endgame, Inc. Hardware—assisted system and method for detecting and analyzing system calls made to an operating system kernel
US10404740B2 (en) 2016-10-03 2019-09-03 Telepathy Labs, Inc. System and method for deprovisioning
US10542018B1 (en) * 2016-12-27 2020-01-21 Wells Fargo Bank, N.A. Security breach notification
CA3058010A1 (en) * 2017-04-03 2018-10-11 Royal Bank Of Canada Systems and methods for malicious code detection
US10419468B2 (en) * 2017-07-11 2019-09-17 The Boeing Company Cyber security system with adaptive machine learning features
US11151251B2 (en) 2017-07-13 2021-10-19 Endgame, Inc. System and method for validating in-memory integrity of executable files to identify malicious activity
US11151247B2 (en) 2017-07-13 2021-10-19 Endgame, Inc. System and method for detecting malware injected into memory of a computing device
US10873589B2 (en) 2017-08-08 2020-12-22 Sonicwall Inc. Real-time prevention of malicious content via dynamic analysis
US10635813B2 (en) 2017-10-06 2020-04-28 Sophos Limited Methods and apparatus for using machine learning on multiple file fragments to identify malware
US10685110B2 (en) 2017-12-29 2020-06-16 Sonicwall Inc. Detection of exploitative program code
US10681073B2 (en) * 2018-01-02 2020-06-09 International Business Machines Corporation Detecting unauthorized user actions
WO2019145912A1 (en) 2018-01-26 2019-08-01 Sophos Limited Methods and apparatus for detection of malicious documents using machine learning
CN112005234A (zh) * 2018-01-31 2020-11-27 帕洛阿尔托网络公司 恶意软件检测的上下文剖析
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US11941491B2 (en) 2018-01-31 2024-03-26 Sophos Limited Methods and apparatus for identifying an impact of a portion of a file on machine learning classification of malicious content
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11270205B2 (en) 2018-02-28 2022-03-08 Sophos Limited Methods and apparatus for identifying the shared importance of multiple nodes within a machine learning model for multiple tasks
US11232201B2 (en) * 2018-05-14 2022-01-25 Sonicwall Inc. Cloud based just in time memory analysis for malware detection
US11120131B2 (en) 2018-07-30 2021-09-14 Rubrik, Inc. Ransomware infection detection in filesystems
US11947668B2 (en) 2018-10-12 2024-04-02 Sophos Limited Methods and apparatus for preserving information between layers within a neural network
EP3903213A1 (en) * 2018-12-27 2021-11-03 British Telecommunications public limited company Threat forecasting
US11574052B2 (en) 2019-01-31 2023-02-07 Sophos Limited Methods and apparatus for using machine learning to detect potentially malicious obfuscated scripts
KR20210081156A (ko) * 2019-12-23 2021-07-01 삼성전자주식회사 전자 장치 및 그 제어 방법
CN111260059B (zh) * 2020-01-23 2023-06-02 复旦大学 视频分析神经网络模型的后门攻击方法
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6789202B1 (en) * 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US7127743B1 (en) * 2000-06-23 2006-10-24 Netforensics, Inc. Comprehensive security structure platform for network managers
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US6910134B1 (en) * 2000-08-29 2005-06-21 Netrake Corporation Method and device for innoculating email infected with a virus
US20030140253A1 (en) * 2001-11-16 2003-07-24 Mark Crosbie Method of and apparatus for detecting creation of set user identification (setuid) files, and computer program for enabling such detection
US6714513B1 (en) * 2001-12-21 2004-03-30 Networks Associates Technology, Inc. Enterprise network analyzer agent system and method
US6892227B1 (en) * 2001-12-21 2005-05-10 Networks Associates Technology, Inc. Enterprise network analyzer host controller/zone controller interface system and method
US7269851B2 (en) * 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US20030163729A1 (en) * 2002-02-27 2003-08-28 International Business Machines Corporation Security management in data processing networks
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system

Also Published As

Publication number Publication date
DE60332448D1 (de) 2010-06-17
IL164609A0 (en) 2005-12-18
ATE467297T1 (de) 2010-05-15
CA2480475A1 (en) 2003-10-30
EP1495616B1 (en) 2010-05-05
WO2003090426A1 (en) 2003-10-30
JP2005523539A (ja) 2005-08-04
CN1647483A (zh) 2005-07-27
US7934103B2 (en) 2011-04-26
AU2003223656A1 (en) 2003-11-03
EP1495616A1 (en) 2005-01-12
BR0309288A (pt) 2005-02-09
US20030200464A1 (en) 2003-10-23

Similar Documents

Publication Publication Date Title
KR20040101490A (ko) 기업 네트워크에서의 악의적 코드 검출 및 무효화
Milajerdi et al. Holmes: real-time apt detection through correlation of suspicious information flows
US10778725B2 (en) Using indications of compromise for reputation based network security
US10516531B2 (en) Key management for compromised enterprise endpoints
US20220131836A1 (en) Firewall techniques for colored objects on endpoints
US10382459B2 (en) Threat detection using a time-based cache of reputation information on an enterprise endpoint
US10558800B2 (en) Labeling objects on an endpoint for encryption management
US9967283B2 (en) Normalized indications of compromise
TWI362196B (en) Network isolation techniques suitable for virus protection
US20160080417A1 (en) Labeling computing objects for improved threat detection
JP2017503222A (ja) ネットワークセキュリティシステム、方法、及び装置
GB2558811A (en) Labeling computing objects for improved threat detection
US11909761B2 (en) Mitigating malware impact by utilizing sandbox insights
Vigna et al. Host-based intrusion detection
Hu et al. Detecting unknown massive mailing viruses using proactive methods
Patel et al. Malware Detection Using Yara Rules in SIEM
Scandariato et al. An automated defense system to counter internet worms
King et al. CIDS: Causality Based Intrusion Detection System
Hussein et al. Worm detection using intelligent agents
Janson et al. Interactive Security Assistance for End-User Supervision of Untrusted Programs

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid