KR20140045448A - 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 - Google Patents

프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 Download PDF

Info

Publication number
KR20140045448A
KR20140045448A KR1020137034510A KR20137034510A KR20140045448A KR 20140045448 A KR20140045448 A KR 20140045448A KR 1020137034510 A KR1020137034510 A KR 1020137034510A KR 20137034510 A KR20137034510 A KR 20137034510A KR 20140045448 A KR20140045448 A KR 20140045448A
Authority
KR
South Korea
Prior art keywords
fingerprint
reputation
protocol
network connection
connection
Prior art date
Application number
KR1020137034510A
Other languages
English (en)
Other versions
KR101554809B1 (ko
Inventor
드미트리 알페로비치
젱 부
데이비드 프레데릭 디엘
스벤 크라세르
Original Assignee
맥아피 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 맥아피 인코퍼레이티드 filed Critical 맥아피 인코퍼레이티드
Publication of KR20140045448A publication Critical patent/KR20140045448A/ko
Application granted granted Critical
Publication of KR101554809B1 publication Critical patent/KR101554809B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload

Abstract

일례의 실시예에서, 네트워크 연결을 통해 수신된 데이터 패킷들로부터 추출된 속성들에 기초하여 지문을 생성하는 단계 및 지문에 기초하여 평판 값을 요청하는 단계를 포함하는 방법이 제공된다. 수신된 평판 값이 지문이 악성 활동과 연관됨을 나타내면, 네트워크 연결에 대해 정책 액션이 취해질 수 있다. 본 방법은, 또한, 프로토콜 지문들에 기초하여, 그리고 특히, 인식되지 않은 프로토콜들의 지문들에 기초하여 프로토콜들에 대한 정보를 디스플레이하는 단계를 포함할 수 있다. 또 다른 실시예들에서, 평판 값은 또한 네트워크 연결과 연관된 네트워크 어드레스에 기초할 수 있다.

Description

프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법{SYSTEM AND METHOD FOR PROTOCOL FINGERPRINTING AND REPUTATION CORRELATION}
본 명세서는 일반적으로 네트워크 보안 분야에 관한 것으로, 특히, 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법에 관한 것이다.
네트워크 보안 분야는 현대의 사회에서 점점 더 중요해지고 있다. 인터넷은 전 세계에 상이한 컴퓨터 네트워크들의 상호 연결을 가능케 했다. 그러나, 안정적인 컴퓨터들 및 시스템들을 효과적으로 보호 및 유지하는 능력은, 컴포넌트 제조자들, 시스템 설계자들, 및 네트워크 오퍼레이터들에게 상당한 장애를 준다. 이 장애는 악성 오퍼레이터들에 의해 이용되는 계속해서 발전하는 전략들의 집합체로 인해 한층 더 복잡해지고 있다. 특정 타입의 악성 소프트웨어(예를 들어, 보트(bot))가 일단 호스트 컴퓨터를 감염시키면, 악성 오퍼레이터는 악성 소프트웨어를 제어하기 위해 원격 컴퓨터로부터 명령들을 발행할 수 있다. 악성 소프트웨어는, 예를 들어, 호스트 컴퓨터로부터 스팸 또는 악성 이메일들을 송신하고, 호스트 컴퓨터와 연관된 기업 또는 개인으로부터 민감한 정보를 훔치며, 다른 호스트 컴퓨터들에 전파하고/하거나, 서비스 거부 공격들의 분포를 돕는 등의 임의의 수의 악성 액션들을 실행하도록 명령받을 수 있다. 또한, 악성 오퍼레이터는 다른 악성 오퍼레이터들에게 액세스(access)를 팔거나 제공하여, 호스트 컴퓨터들의 부당 이용을 확대시킬 수 있다. 따라서, 악성 오퍼레이터들이 컴퓨터들을 부당 이용할 수 있게 하는 전략들을 방지하기 위한 혁신적인 도구들을 개발하는 큰 난제가 남아 있다.
본 발명 및 그 특징들 및 장점들의 더 완전한 이해를 제공하기 위해, 첨부 도면들과 함께 취해진, 이하의 설명에 대한 참조가 이루어지고, 도면들에서, 유사한 참조 부호들은 유사한 요소들을 나타낸다.
도 1은 본 발명에 따라, 네트워크 보호를 위해 프로토콜들이 핑거프린팅되고 상관될 수 있는 네트워크 환경의 일례의 실시예를 도시한 간소화된 블록도이다.
도 2는 본 발명에 따라, 네트워크 환경의 하나의 잠재적인 실시예와 연관될 수 있는 추가 세부 사항들을 도시한 간소화된 블록도이다.
도 3은 본 발명에 따라, 네트워크 환경의 일 실시예와 연관될 수 있는 일례의 동작들을 도시한 간소화된 상호 작용 도면이다.
개요
일례의 실시예에서, 네트워크 연결을 통해 수신된 데이터 패킷들로부터 추출된 속성들에 기초하여 지문을 생성하는 단계 및 지문에 기초하여 평판 값을 요청하는 단계를 포함하는 방법이 제공된다. 수신된 평판 값이 지문이 악성 활동과 연관됨을 나타내면, 네트워크 연결에 대해 정책 액션이 취해질 수 있다. 본 방법은, 또한, 프로토콜 지문들에 기초하여, 그리고 특히, 인식되지 않은 프로토콜들의 지문들에 기초하여 프로토콜들에 대한 정보를 디스플레이하는 단계를 포함할 수 있다. 또 다른 실시예들에서, 평판 값은 또한 네트워크 연결과 연관된 네트워크 어드레스들에 기초할 수 있다.
일례의 실시예들
도 1을 참조하면, 도 1은 네트워크 보호를 위해 프로토콜들이 핑거프린팅되고 상관될 수 있는 네트워크 환경(10)의 일례의 실시예의 간소화된 블록도이다. 네트워크 환경(10)은 인터넷(15), 엔드호스트들(20a 및 20b), 파이어월(22), 원격 호스트들(25a 및 25b), 및 위협 인텔리전스 서버(30)를 포함할 수 있다. 일반적으로, 엔드호스트들(20a-b)은, 데스크톱 컴퓨터, 서버, 랩톱, 휴대 전화, 또는 예를 들어, 임의의 2개의 포트들(35a-f) 간의, 원격 호스트와의 네트워크 연결을 수신 또는 설정할 수 있는 임의의 다른 타입의 장치를 포함하지만 이들로만 제한되지 않은, 네트워크 연결의 임의의 타입의 종단 지점일 수 있다. 예를 들어, 엔드호스트(20a)는 애플리케이션들(40a)을 실행할 수 있으며, 엔드호스트(20b)는 애플리케이션(40b)을 실행할 수 있다. 원격 호스트들(25a-b)은, 명령 및 제어(command and control, C&C) 서버(45) 등의, 컴퓨터 또는 장치의 제어하에 있을 수 있는, 악성 소프트웨어("malware(멀웨어)")에 의해 위험에 처할 수 있는(compromised) 임의의 타입의 컴퓨터 또는 다른 장치를 일반적으로 나타낸다. 엔드호스트들(20a-b), 파이어월(22), 원격 호스트들(25a-b), 위협 인텔리전스 서버(30), 및 C&C 서버(45) 각각은 연관된 인터넷 프로토콜(IP) 어드레스들을 가질 수 있다.
도 1의 요소들 각각은, 간단한 인터페이스들을 통해, 또는, 네트워크 통신을 위한 실행가능한 경로를 제공하는 임의의 다른 적합한 연결(유선 또는 무선)을 통해 서로 연결될 수 있다. 또한, 이 요소들 중 임의의 하나 이상의 요소들은 특정 구성 요구 사항들에 기초하여 아키텍처로부터 조합 또는 제거될 수 있다. 네트워크 통신은 통상, 요소들 간에 메시지들을 교환하기 위한 프로시저들 및 포맷을 지시하는, 특정 프로토콜들에 따른다. 따라서, 네트워크 환경(10)은 네트워크에서의 패킷들의 송신 또는 수신을 위한 송신 제어 프로토콜/인터넷 프로토콜(TCP/IP) 통신이 가능한 구성을 포함할 수 있다. 네트워크 환경(10)은 또한 적절한 경우 특정 요구 사항들에 기초하여 사용자 데이터그램 프로토콜/IP(UDP/IP) 또는 임의의 다른 적합한 프로토콜과 관련하여 동작할 수 있다.
악성 소프트웨어로부터의 네트워크 보호를 위한 시스템의 기술들을 설명하기 위해, 소정의 네트워크 내에서 발생하는 활동들을 이해하는 것이 중요하다. 이하의 기본적인 정보는 본 발명이 적절히 설명될 수 있는 기초로서 간주될 수 있다. 이러한 정보는 진정으로 설명을 위해서만 제공되며, 따라서, 어떤 식으로든 본 발명 및 그 잠재적인 응용들의 광범위한 범위를 제한하는 것으로 해석되어서는 안 된다.
조직들에서 개인들에 의해 사용되는 전형적인 네트워크 환경들은, 예를 들어, 인터넷을 사용하여 다른 네트워크들과 전자적으로 통신하여 인터넷에 연결된 서버들에서 호스팅된 웹 페이지들에 액세스하거나, 전자 메일(즉, 이메일) 메시지들을 송신 또는 수신하거나, 또는 인터넷에 연결된 최종 사용자들 또는 서버들과 파일들을 교환하는 기능을 포함한다. 악성 사용자들은 인터넷을 사용하여 멀웨어를 퍼뜨리고 비밀 정보에 대한 액세스를 얻는 새로운 전략들을 계속해서 개발중이다.
컴퓨터 보안에 대한 증가하는 위협을 나타내는 전략들은, 종종, 심각한 인터넷 보안 문제가 된, 봇네트들(botnets)을 포함한다. 많은 경우에, 이들은 널리 공지된 및 새로운 취약점들의 조합을 포함하는 정교한 공격 방식들을 사용한다. 봇네트들은, 한 타입의 악성 소프트웨어(즉, 보트)가 호스트 컴퓨터에 배치되고, 악성 사용자(예를 들어, 봇네트 오퍼레이터)에 의해 제어될 수 있는 명령 및 제어 서버(C&C 서버)와 통신하는 클라이언트-서버 아키텍처를 일반적으로 사용한다. 대개, 봇네트는, 인터넷 릴레이 채트(IRC) 및 피어-투-피어(P2P) 통신을 포함하는, 각종 채널들을 통해 C&C 프로토콜을 사용해서 오퍼레이터에 의해 제어되는 다수의 보트들로 구성된다. 보트는 특정 악성 활동들을 실행하기 위해 명령 및 제어 서버로부터 명령들을 수신할 수 있으며, 그에 따라, 이러한 명령들을 실행할 수 있다. 보트는 또한 임의의 결과들 또는 도난 정보를 명령 및 제어 서버에 다시 송신할 수 있다.
봇네트 공격들은 일반적으로 동일한 라이프사이클을 따른다. 먼저, 데스크톱 컴퓨터들은, 종종 드라이브-바이(drive-by) 다운로드들, 트로이 목마 바이러스(Trojans), 또는 패치되지 않은(un-patched) 취약점들을 통해, 멀웨어에 의해 위험에 처해진다. 멀웨어는 그 후 이 컴퓨터들을 보트들로 전복시켜, 이들에 대한 제어를 봇마스터(botmaster)에게 제공할 수 있다. 멀웨어는 컴퓨터 소유자의 알려진 동의 없이 컴퓨터에 액세스하고/하거나 이를 제어하도록 설계된 임의의 소프트웨어를 일반적으로 포함하고, 컴퓨터 바이러스, 스파이웨어, 애드웨어 등의 임의의 적대적인, 거슬리는, 또는 성가신 소프트웨어에 대한 라벨로서 가장 흔히 사용된다. 일단 위험에 처하면, 컴퓨터들은 그 후 보트들로 전복되어, 이들에 대한 제어를 봇마스터에게 제공할 수 있다. 봇마스터는 그 후 스팸 메일 보내기(spamming) 등의 악성 활동을 위해 이 컴퓨터들을 사용할 수 있다. 악성 활동들을 실행하라는 명령들을 수신하는 것 외에, 보트는 또한 조직의 네트워크 내에서 또는 다른 네트워크들에 걸쳐 다른 조직들 또는 개인들에 그 보트가 퍼질 수 있게 하는 하나 이상의 전파 벡터들을 통상 포함한다. 흔한 전파 벡터들은 로컬 네트워크 내의 호스트들에서 공지된 취약점들을 부당 이용하여, 악성 프로그램이 첨부된 악성 이메일들을 송신하거나 이메일들 내에 악성 링크들을 제공하는 것을 포함한다.
기존 파이어월 및 네트워크 침입 방지 기술들이 항상 봇네트들을 인식 및 포함할 수 있는 것은 아니다. 현재의 파이어월들은 공지된 애플리케이션들과 연관된 트래픽을 검출 및 그에 작용하는 기능을 가질 수 있다. 그러나, APT(advanced persistent threats) 등의, 네트워크에 대한 다수의 위협들은, 예를 들어, 커스텀 프로토콜들을 포함하는, 공지되지 않은 통신 메커니즘들을 사용한다. 게다가, 기존 파이어월들은 애플리케이션 서명들의 표준 집합에 따라 임의의 소정의 네트워크상의 상당한 양의 트래픽을 분류하지 못할 수 있다고 예상될 수 있다. 따라서, 기존 파이어월들 및 다른 네트워크 침입 방지 기술들은 인식되지 않은 트래픽에 대한 임의의 의미 있는 정책 결정들을 구현하지 못한다.
일부 평판 시스템들은 특정 봇네트에 대한 실행 가능한 방어를 제공할 수 있다. 일반적으로, 평판 시스템은 활동을 모니터하고, 과거 동작에 기초하여 엔티티에 평판 값 또는 점수를 할당한다. 평판 값은 양성으로부터 악성까지 스펙트럼에서 상이한 레벨들의 신뢰성을 나타낼 수 있다. 예를 들어, 연결 평판 값(예를 들어, 최소 위험, 미증명, 고 위험 등)이 네트워크 어드레스에 대해, 그 어드레스 또는 어드레스로부터 비롯된 이메일에 의해 이루어진 네트워크 연결들에 기초하여 계산될 수 있다. 연결 평판 시스템들은, IP 어드레스가 악성 활동과 연관된 것으로 알려지거나 또는 그럴 가능성 있다고 나타내는 등의 받아들일 수 없는 연결 평판을 가진 IP 어드레스들을 가진 이메일 또는 네트워크 연결들을 거부하는데 사용될 수 있다. 다른 평판 시스템들은 악성 활동과 연관된 것으로 알려지거나 또는 그럴 가능성 있는 해시들을 가진 애플리케이션들의 활동을 블로킹할 수 있다. 그러나, 연결 평판 룩업들이 순수하게 네트워크 트래픽에 의해 구동될 수 있으며, 다른 평판 룩업들은 어떠한 네트워크 트래픽도 고려하지 않을 수 있다.
일 실시예에 따라, 네트워크 환경(10)은 프로토콜들을 핑거프린팅하고 평판 데이터를 상관함으로써 이 단점들(및 기타)을 극복할 수 있다. 예를 들어, 네트워크 환경(10)은 프로토콜을 나타내는 특정 속성들에 기초하여 인식되지 않은 프로토콜들을 핑거프린팅하기 위한 메커니즘을 제공할 수 있으며, 글로벌 위협 인텔리전스(GTI) 데이터가 인식되지 않은 프로토콜들을 사용하는 트래픽에 대한 정책 결정들을 안내하는데 사용될 수 있다. 예를 들어, 이러한 GTI 데이터는 프로토콜 평판, 접촉된 외부 어드레스들의 평판, 또는 인식되지 않은 프로토콜 트래픽에 대한 지리적 브레이크다운을 포함할 수 있다.
특히, 프로토콜 지문은 네트워크에서 인식되지 않은 프로토콜에 대해 생성될 수 있다. 인식되지 않은 프로토콜은, 예를 들어, 지문을 이미 갖고 있지 않거나 또는 기존 서명을 가진 애플리케이션과 연관되지 않은 프로토콜들을 대략 포함한다. 프로토콜 지문은 프로토콜을 사용해서 관측 트래픽으로부터 추출된 속성들로부터 유도될 수 있으며, 위협 인텔리전스 서버에 연결 데이터와 함께 송신될 수 있다. 위협 인텔리전스 서버는 연결 데이터 및 프로토콜 지문에 기초한 평판 값을 반환할 수 있다. 따라서, 프로토콜 평판은, 이전에 핑거프린팅된 트래픽 흐름들 및 애플리케이션 서명이 유효한 흐름들을 포함하는, 동작 가능한 인식되지 않은 트래픽 흐름들에 대한 정보를 만들 수 있다.
도 2를 참조하면, 도 2는 네트워크 환경(10)의 하나의 잠재적인 실시예와 연관된 추가 세부 사항들을 도시한 간소화된 블록도이다. 도 2는 인터넷(15), 엔드호스트들(20a-b), 파이어월(22), 원격 호스트(25a), 및 위협 인텔리전스 서버(30)를 포함한다. 이 요소들 각각은 각각의 프로세서(50a-e), 각각의 메모리 소자(55a-e), 및 각종 소프트웨어 요소들을 포함할 수 있다. 특히, 엔드호스트들(20a-b)은, 각각, 애플리케이션 모듈들(40a-b)을 호스팅할 수 있다. 파이어월(22)은 프로토콜 핑거프린팅 엔진(42), 애플리케이션 서명들(44), 및 사용자 인터페이스(46)를 호스팅할 수 있다. 상관 엔진(60)은 위협 인텔리전스 서버(30)에 의해 호스팅될 수 있고, 보트(65)는 원격 호스트(25a)에 의해 호스팅될 수 있다.
일례의 구현에서, 엔드호스트들(20a-b), 원격 호스트(25a), 및/또는 위협 인텔리전스 서버(30)는, 네트워크 기기들, 서버들, 파이어월들, 라우터들, 스위치들, 게이트웨이들, 브리지들, 로드-밸런서들, 프로세서들, 모듈들, 또는 네트워크 환경에서 정보를 교환하도록 동작하는 임의의 다른 적합한 장치, 컴포넌트, 소자, 또는 객체를 망라하는 것으로 여겨지는, 네트워크 요소들이다. 파이어월(22)은 적합한 대로 다른 네트워크 요소와 통합 또는 결합될 수도 있다. 네트워크 요소들은 동작들을 용이하게 하는 임의의 적합한 하드웨어, 소프트웨어, 컴포넌트들, 모듈들, 인터페이스들, 또는 객체들을 포함할 수 있다. 이는 데이터 또는 정보의 효과적인 교환을 가능케 하는 적합한 알고리즘들 및 통신 프로토콜들을 포함할 수 있다. 그러나, 엔드호스트들(20a-b)은, 게이트웨이 또는 파이어월과 대조적으로, 네트워크 연결을 위한 종단 지점으로서 작용하는 경향이 있으므로, 다른 네트워크 요소들과 일반적으로 구별될 수 있다. 엔드호스트들은, 데스크톱 컴퓨터들, 랩톱 컴퓨터들, 태블릿 컴퓨터들(예를 들어, 아이패드들), e-북 리더들, 휴대 전화들, 스마트폰들(예를 들어, 아이폰, 안드로이드 폰 등) 및 다른 유사 장치들 등의, 유선 및 무선 네트워크 종점들을 포함한다. 원격 호스트(25a)는 네트워크 연결을 위한 종단 지점으로서 유사하게 작용할 수 있으며, 이러한 장치들을 포함할 수 있다.
네트워크 환경(10)과 연관된 내부 구조에 관하여, 엔드호스트들(20a-b), 파이어월(22), 원격 호스트(25a), 및/또는 위협 인텔리전스 서버(30) 각각은 본 명세서에 기재된 동작들에서 사용될 정보를 저장하기 위한 (도 2에 도시된 바와 같은) 메모리 소자들을 포함할 수 있다. 또한, 이 장치들 각각은 본 명세서에 기술된 바와 같이 활동들을 실행하기 위해 소프트웨어 또는 알고리즘을 실행할 수 있는 프로세서를 포함할 수 있다. 이 장치들은 또한 적절한 경우 특정 요구 사항들에 기초하여 임의의 적합한 메모리 소자(랜덤 액세스 메모리(RAM), ROM, EPROM, EEPROM, ASIC 등), 소프트웨어, 하드웨어로, 또는 임의의 다른 적합한 컴포넌트, 장치, 소자, 또는 객체로 정보를 유지할 수 있다. 본 명세서에 기술된 메모리 항목들 중 임의의 메모리 항목은 폭넓은 용어 '메모리 소자' 내에 포함되는 것으로 해석되어야만 한다. 엔드호스트들(20a-b), 파이어월(22), 원격 호스트(25a), 및/또는 위협 인텔리전스 서버(30)에 의해 추적 또는 송신되는 정보는 임의의 데이터베이스, 레지스터, 제어 리스트, 또는 기억 구조로 제공될 수 있으며, 이 모두는 임의의 적합한 기간에 참조될 수 있다. 이러한 임의의 기억 옵션들은 본 명세서에서 사용된 폭넓은 용어 '메모리 소자' 내에 포함될 수 있다. 유사하게, 본 명세서에 기술된 잠재적인 프로세싱 요소들, 모듈들, 및 기계들 중 임의의 것은 폭넓은 용어 '프로세서' 내에 포함되는 것으로 해석되어야만 한다. 네트워크 요소들 각각은 또한 네트워크 환경에서 데이터 또는 정보를 수신, 송신, 및/또는 달리 통신하기 위한 적합한 인터페이스들을 포함할 수 있다.
일례의 구현에서, 엔드호스트들(20a-b), 파이어월(22), 원격 호스트(25a), 및/또는 위협 인텔리전스 서버(30)는 본 명세서에 기술된 바와 같이 동작들을 달성 또는 조성하기 위한 소프트웨어(예를 들어, 핑거프린팅 엔진(42)의 일부로서 등)를 포함한다. 다른 실시예들에서, 이러한 동작들은 이 요소들 외부에서 실행될 수 있으며, 또는 의도된 기능을 달성하기 위해 일부 다른 네트워크 요소에 포함될 수 있다. 대안으로, 이 요소들은, 본 명세서에 기술된 바와 같이, 동작들을 달성하기 위해 조정할 수 있는 소프트웨어(또는 반복 소프트웨어)를 포함할 수 있다. 또 다른 실시예들에서, 이 장치들 중 하나 또는 전부는 동작들을 용이하게 하는 임의의 적합한 알고리즘들, 하드웨어, 소프트웨어, 컴포넌트들, 모듈들, 인터페이스들, 또는 객체들을 포함할 수 있다.
특정 일례의 구현들에서, 본 명세서에 기술된 기능들은 하나 이상의 유형의, 비일시적 매체(예를 들어, 주문형 반도체(ASIC), 디지털 신호 프로세서(DSP) 명령들, 프로세서에 의해 실행되는 소프트웨어(객체 코드 및 소스 코드를 잠재적으로 포함함), 또는 다른 유사 기계 등으로 제공된 내장된 로직)에서 인코딩된 로직에 의해 구현될 수 있다. 이 실례들 중 일부에서, (도 2에 도시된 바와 같은) 메모리 소자들은 본 명세서에 기술된 동작들에 사용되는 데이터를 저장할 수 있다. 이는 본 명세서에 기술된 활동들을 수행하기 위해 실행되는 소프트웨어, 로직, 코드, 또는 프로세서 명령들을 저장할 수 있는 메모리 소자들을 포함한다. 프로세서는 본 명세서에 상세히 기술된 동작들을 달성하기 위해 데이터와 연관된 임의의 타입의 명령들을 실행할 수 있다. 일례에서, (도 2에 도시된 바와 같은) 프로세서들은 하나의 상태 또는 사물로부터 다른 상태 또는 사물로 한 요소 또는 품목(예를 들어, 데이터)을 변환할 수 있다. 다른 일례에서, 본 명세서에 기술된 활동들은 고정된 로직 또는 프로그래밍 가능한 로직(예를 들어, 프로세서에 의해 실행되는 소프트웨어/컴퓨터 명령들)으로 구현될 수 있으며, 본 명세서에 기술된 소자들은 일부 타입의 프로그래밍 가능한 프로세서, 프로그래밍 가능한 디지털 로직(예를 들어, 필드 프로그래밍 가능 게이트 어레이(FPGA), 소거 가능 프로그래밍 가능 판독 전용 메모리(EPROM), 전기적 소거 가능 프로그래밍 가능 ROM(EEPROM) 또는 디지털 로직, 소프트웨어, 코드, 전자 명령들, 또는 임의의 적합한 조합을 포함하는 ASIC)일 수 있다.
도 3은 네트워크 환경(10)의 하나의 실시예와 연관될 수 있는 일례의 동작들을 도시한 간소화된 상호 작용 도면(300)이다. 일반적으로, 파이어월(22)은 원격 호스트(25a) 등의 원격 노드들로부터 인바운드 네트워크 트래픽(302a); 엔드호스트들(20a-b) 등의 로컬 노드들들로부터 아웃바운드 네트워크 트래픽(302b); 또는 엔드호스트들(20a-b) 간의 트래픽 등의 내부 네트워크 트래픽을 수신할 수 있다. 네트워크 트래픽(302a-b)은 304에서 기존 프로토콜 및/또는 애플리케이션 서명들과 비교될 수 있으며, 공지되지 않은 또는 인식되지 않은 프로토콜들의 지문이, 306에서, 예를 들어, 핑거프린팅 엔진(42)에 의해 생성될 수 있다. 공지된 프로토콜들은 또한 일부 실시예들에서 306에서 핑거프린팅될 수 있다.
지문은 인바운드 네트워크 트래픽(302a) 및 아웃바운드 네트워크 트래픽(302b) 등의 네트워크에서 관측된 트래픽 프로토콜들의 각종 거동 속성들을 추출함으로써 생성될 수 있다. 예를 들어, 핑거프린팅 엔진(42)은 네트워크 연결을 통해 수신된 다수의 데이터 패킷들을 관측할 수 있으며, 하나의 지문 특성으로서 트래픽의 질의/응답 비율을 (예를 들어, 패킷 카운트 및/또는 크기로) 기록할 수 있다. 핑거프린팅 엔진(42)은 또한 패킷 크기 분포 등의 속성들에 기초하여 스트림 또는 메시지 기반으로 프로토콜을 특징지을 수 있으며, 해당 정보를 지문 특성으로서 기록할 수 있다. 예를 들어, 스트림-기반 프로토콜의 많은 다운로드들은 최대 패킷 크기를 가진 다수의 패킷들로 분할될 가능성이 있다. 대조적으로, 메시지-기반 스트림들은 가변 크기들을 가진 더 작은 패킷들로 구성될 가능성이 있다. 유사하게, 트래픽은 ASCII 또는 바이너리로 특징지어지고 지문에 통합될 수 있다. 지문 속성들의 다른 일례들은 전송 프로토콜, 제1 토큰(예를 들어, ASCII 프로토콜의 "GET"), 처음 X개의 바이트, 제1 라인의 최종 X개의 바이트, 및 제1 라인의 최종 토큰(예를 들어, 하이퍼텍스트 전송 프로토콜의 "HTTP/1.1\r\n")을 포함한다. 패킷 콘텐츠의 엔트로피(즉, 무작위성(randomness)의 양)는 관측 및 핑거프린팅될 수 있는 프로토콜 속성의 또 다른 일례이다. 주로 영문으로 구성된 패킷들은, 예를 들어, 상당한 중복을 가질 수 있으며, 압축 또는 암호 파일은 매우 적은 중복을 가져서 높은 엔트로피를 가질 수 있다. 다른 구별되는 속성들은 패킷들의 처음 두 바이트들(예를 들어, 길이 포인터들인 경우), 키-콜론-값-새줄 포맷(key-colon-value-newline formatting), ASN.1(Abstract Syntax Notation One) 인코딩 데이터, 교환 순서(즉, 클라이언트 또는 서버가 제1 메시지를 송신함), 패킷의 제1 바이트들로서의 수치 값들(예를 들어, 하이퍼텍스트 전송 프로토콜의 "200 OK"), 매직 넘버로 시작하는 메시지들, 스트림 전 협상 패턴(negotiation-before-stream pattern)(예를 들어, 데이터 스트리밍 전에 교환된 작은 패킷들), 트랜잭션 식별자들(예를 들어, 클라이언트로부터의 처음 두 바이트들은 서버로부터의 처음 두 바이트들과 동일함), 및 타입-길이-값(TLV) 또는 길이-값(LV) 포맷을 포함할 수 있다.
평판 질의가, 예를 들어, 인터넷(15) 등의 네트워크에 걸쳐, 위협 인텔리전스 서버(30)로 308에서 송신될 수 있다. 평판 질의(308)는, 예를 들어, 연결 데이터 및 프로토콜 지문을 포함할 수 있다. 연결 데이터는, 네트워크 어드레스들 등의, 네트워크 연결을 식별하는 각종 파라미터들을 포함할 수 있다. 네트워크 어드레스들은, 로컬 (엔드호스트) IP 어드레스 및 포트 및 원격 호스트 IP 어드레스 및 포트 등의, 연결의 엔드호스트 및 원격 단말 둘 다를 식별하는 데이터를 일반적으로 포함한다. 위협 인텔리전스 서버(30)는 312에서 평판 데이터(310)와 프로토콜 지문을 상관시키고, 314에서 응답을 반환할 수 있다.
314의 응답은, 프로토콜 지문의 평판(즉, 프로토콜 평판) 및/또는 연결과 연관된 네트워크 어드레스(즉, 연결 평판)에 기초하여 양성으로부터 악성까지 스펙트럼에서 상이한 레벨들의 신뢰성을 나타낼 수 있는, 평판 값을 포함할 수 있으며, 연결이 허용되어야만 하는지를 또한 나타낼 수 있다. 질의 응답이 연결이 아마도 양성이라고 나타내면, 연결은 허용될 수 있지만, 응답이 연결이 악성일 수 있다고 나타내면, 적합한 정책 액션이 정책에 기초하여 취해질 수 있다. 예를 들어, 적합한 액션은 연결을 블로킹하는 것, 사용자 또는 관리자에게 경고하는 것, 또는 차후의 법의학적 분석을 위해 지문 및 다른 네트워크 정보를 로그에 기록하는 것을 포함할 수 있다.
대안으로 또는 추가로, 316에서, 사용자 인터페이스는 프로토콜 지문들에 기초한 모든 공지되지 않은 프로토콜들에 대한 정보뿐만 아니라, 특정 실시예들에서 애플리케이션 서명들에 기초할 수 있는, 모든 공지된 애플리케이션들/프로토콜들에 대한 통계들을 디스플레이할 수 있다. 예를 들어, 연관된 지문들을 가진 10개의 유일한 프로토콜들이 있으면, 사용자 인터페이스는 인식되지 않은 프로토콜들에 대한 정보를 디스플레이할 수 있다. 관리자 또는 다른 사용자는 또한 프로토콜 지문과 연관된 추가 데이터를 검색하기 위해 318에서 사용자 인터페이스를 통해 위협 인텔리전스 서버(30)에 질의를 송신할 수 있어서, GTI 데이터로 정보를 더 풍부하게 한다. 예를 들어, 질의는, 원격 호스트 어드레스들의 지리적 분포(즉, 어떤 국가들에 인식되지 않은 프로토콜을 말하는 외부 IP들이 위치하고 있는지), 인식되지 않은 프로토콜을 사용하는 원격 호스트 어드레스들의 평판(예를 들어, 나쁜 또는 비인식), 및 인식되지 않은 프로토콜을 보고하는 사이트들의 수(프로토콜이 국부적인 현상인지 또는 목표 위협인지를 나타낼 수 있음) 등의, 프로토콜 지문에 대한 글로벌 데이터를 검색할 수 있다. 따라서, 더 특정한 일례로서, 미국(American) 은행이 인식되지 않은 프로토콜을 핑거프린팅하고, 그 지문이 러시아에 있는 네트워크 어드레스들에 의해 가장 빈번히 사용된다고 위협 인텔리전스 서버(30)가 결정하면, 관리자는 이 정보에 기초하여 인식되지 않은 프로토콜을 블로킹할 수 있다. 더욱이, 인식되지 않은 프로토콜에 대한 추가 정보가 수집됨에 따라, 기술 정보 및 메타데이터가 프로토콜과 연관될 수 있다. 예를 들어, 인식되지 않은 프로토콜이 파이어월에 의해 관찰되고 위협 인텔리전스 서버에 제출되면, 위협 인텔리전스 서버는 프로토콜이 차후에 APT와 연관되면 파이어월 또는 관리자에게 경고할 수 있다.
상술된 일례들뿐만 아니라, 다수의 다른 잠재적 일례들에 의해, 2개의, 3개의, 또는 4개의 네트워크 요소들에 관하여 상호 작용이 기술될 수 있음을 주지하라. 그러나, 이는 명료성 및 예시를 위해서만 행해졌다. 특정 경우들에서, 제한된 수의 네트워크 요소들만을 참조함으로써 동작들의 소정의 집합의 기능들 중 하나 이상의 기능들을 기술하는 것이 더 쉬울 수 있다. 네트워크 환경(10)은 쉽게 확장 축소될 수 있으며, 다수의 컴포넌트들뿐만 아니라, 더 복잡한/정교한 배열들 및 구성들을 수용할 수 있음을 알아야만 한다. 따라서, 제공된 일례들은 무수한 다른 아키텍처들에 잠재적으로 적용되므로 네트워크 환경(10)의 범위를 제한하거나 폭넓은 교시를 억제하지 않아야만 한다. 또한, 핑거프린팅 엔진 등의 특정 모듈이 네트워크 요소 내에서 제공되는 특정 시나리오들을 참조해서 기술되더라도, 이 모듈들은 외부적으로 제공되거나, 또는 임의의 적합한 방식으로 강화 및/또는 결합될 수 있다. 특정 실례들에서, 이 모듈들은 단일 독점 유닛으로 제공될 수도 있다.
첨부 도면들의 단계들은 네트워크 환경(10)에 의해 또는 네트워크 환경(10) 내에서 실행될 수 있는 가능한 시나리오들 및 패턴들 중 일부만을 도시함을 주지하는 것이 또한 중요하다. 이 단계들 중 일부는 적절한 경우에 삭제 또는 제거될 수 있으며, 또는 이 단계들은 본 명세서에서 제공된 교시들의 범위로부터 벗어나지 않은 채로 상당히 변경 또는 변화될 수 있다. 또한, 다수의 이 동작들은 하나 이상의 추가 동작들과 동시에 또는 그와 병행해서 실행되는 것으로 기술되었다. 그러나, 이 동작들의 타이밍은 상당히 변경될 수 있다. 앞선 동작 흐름들은 일례 및 설명을 목적으로 제공되었다. 임의의 적합한 배열들, 연대순, 구성들, 및 타이밍 메커니즘들이 본 명세서에서 제공된 교시들로부터 벗어나지 않은 채로 제공될 수 있다는 점에서, 상당한 유연성이 네트워크 환경(10)에 의해 제공된다.
다수의 다른 변화들, 치환들, 변형들, 변경들, 및 수정들이 당업자에게 확인될 수 있으며, 본 발명은 첨부된 청구항들의 범위 내에 속한 모든 변화들, 치환들, 변형들, 변경들, 및 수정들을 망라하는 것으로 의도된 것이다. 미국 특허청(USPTO)과, 또한, 본 출원에 대해 발행된 임의의 특허의 임의의 독자들이 첨부된 청구항들을 해석하는 것을 돕기 위해, 출원인은: (a) 첨부된 청구항들 중 어떠한 청구항도 그 특정 청구항들에서 단어들 "means for(~하기 위한 수단)" 또는 "step for(~하기 위한 단계)"가 명확하게 사용되지 않는 한 이 문서의 제출일에 존재하는 대로 미국 특허법 112조(35 U.S.C. Section 112)의 단락 6을 적용하려고 의도하지 않으며; (b) 본 명세서의 어떠한 문장에 의해서도, 첨부된 청구항들에 달리 반영되지 않은 어떠한 방법으로도 본 발명을 제한하려고 의도하지 않는다는 것을 주지하기를 출원인은 원한다.

Claims (31)

  1. 네트워크 연결을 통해 수신된 데이터 패킷들로부터 추출된 속성들에 기초하여 지문을 생성하는 단계;
    상기 지문에 기초하여 평판 값을 요청하는 단계; 및
    수신된 상기 평판 값이 상기 지문이 악성 활동과 연관됨을 나타내면 상기 네트워크 연결에 대해 정책 액션을 취하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    감사 로그(audit log)에 상기 지문을 저장하는 단계를 더 포함하는 방법.
  3. 제1항에 있어서,
    상기 지문에 기초하여 프로토콜에 대한 정보를 디스플레이하는 단계를 더 포함하는 방법.
  4. 제1항에 있어서,
    상기 데이터 패킷들은 인식되지 않은 프로토콜과 연관되는 방법.
  5. 제1항에 있어서,
    상기 평판 값은 상기 네트워크 연결과 연관된 네트워크 어드레스에 더 기초하는 방법.
  6. 제1항에 있어서,
    상기 평판 값은 상기 지문과 연관된 프로토콜 평판 및 상기 네트워크 연결과 연관된 연결 평판에 기초하는 방법.
  7. 제1항에 있어서,
    상기 평판 값은 상기 지문과 연관되고 상기 네트워크 연결과 연관된 연결 평판과 상관된 프로토콜 평판에 기초하는 방법.
  8. 제1항에 있어서,
    상기 정책 액션은 상기 연결을 블로킹하는 단계를 포함하는 방법.
  9. 제1항에 있어서,
    상기 정책 액션은 관리자에게 경고하는 단계를 포함하는 방법.
  10. 제1항에 있어서,
    상기 지문이 나중에 악성 활동과 연관되면 경고를 수신하는 단계를 더 포함하는 방법.
  11. 제1항에 있어서,
    상기 지문과 연관된 글로벌 인텔리전스 데이터(global intelligence data)를 요청하고 상기 지문에 기초하여 상기 글로벌 인텔리전스 데이터를 디스플레이하는 단계를 더 포함하는 방법.
  12. 실행을 위한 코드를 포함하고, 하나 이상의 프로세서들에 의해 실행될 때, 동작들을 실행하도록 동작하는 하나 이상의 비일시적 매체에 인코딩된 로직으로서, 상기 동작들은
    네트워크 연결을 통해 수신된 데이터 패킷들로부터 추출된 속성들에 기초하여 지문을 생성하는 단계;
    상기 지문에 기초하여 평판 값을 요청하는 단계; 및
    수신된 상기 평판 값이 상기 지문이 악성 활동과 연관됨을 나타내면 상기 네트워크 연결에 대해 정책 액션을 취하는 단계
    를 포함하는 인코딩된 로직.
  13. 제12항에 있어서,
    상기 동작들은 감사 로그에 상기 지문을 저장하는 단계를 더 포함하는 인코딩된 로직.
  14. 제12항에 있어서,
    상기 동작들은 상기 지문에 기초하여 프로토콜에 대한 정보를 디스플레이하는 단계를 더 포함하는 인코딩된 로직.
  15. 제12항에 있어서,
    상기 데이터 패킷들은 인식되지 않은 프로토콜과 연관되는 인코딩된 로직.
  16. 제12항에 있어서,
    상기 평판 값은 상기 네트워크 연결과 연관된 네트워크 어드레스에 더 기초하는 인코딩된 로직.
  17. 제12항에 있어서,
    상기 평판 값은 상기 지문과 연관된 프로토콜 평판 및 상기 네트워크 연결과 연관된 연결 평판에 기초하는 인코딩된 로직.
  18. 제12항에 있어서,
    상기 평판 값은 상기 지문과 연관되고 상기 네트워크 연결과 연관된 연결 평판과 상관된 프로토콜 평판에 기초하는 인코딩된 로직.
  19. 제12항에 있어서,
    상기 정책 액션은 상기 연결을 블로킹하는 단계를 포함하는 인코딩된 로직.
  20. 제12항에 있어서,
    상기 정책 액션은 관리자에게 경고하는 단계를 포함하는 인코딩된 로직.
  21. 제12항에 있어서,
    상기 지문이 나중에 악성 활동과 연관되면 경고를 수신하는 단계를 더 포함하는 인코딩된 로직.
  22. 핑거프린팅 엔진; 및
    상기 핑거프린팅 엔진과 연관된 명령들을 실행하도록 동작하는 하나 이상의 프로세서들을 포함하고, 상기 하나 이상의 프로세서들은 추가 동작들을 실행하도록 동작하며, 상기 동작들은
    네트워크 연결을 통해 수신된 데이터 패킷들로부터 추출된 속성들에 기초하여 지문을 생성하는 단계;
    상기 지문에 기초하여 평판 값을 요청하는 단계; 및
    수신된 상기 평판 값이 상기 지문이 악성 활동과 연관됨을 나타내면 상기 네트워크 연결에 대해 정책 액션을 취하는 단계
    를 포함하는 장치.
  23. 제22항에 있어서,
    상기 동작들은 감사 로그에 상기 지문을 저장하는 단계를 더 포함하는 장치.
  24. 제22항에 있어서,
    상기 동작들은 상기 지문에 기초하여 프로토콜에 대한 정보를 디스플레이하는 단계를 더 포함하는 장치.
  25. 제22항에 있어서,
    상기 데이터 패킷들은 인식되지 않은 프로토콜과 연관되는 장치.
  26. 제22항에 있어서,
    상기 평판 값은 상기 네트워크 연결과 연관된 네트워크 어드레스에 더 기초하는 장치.
  27. 제22항에 있어서,
    상기 평판 값은 상기 지문과 연관된 프로토콜 평판 및 상기 네트워크 연결과 연관된 연결 평판에 기초하는 장치.
  28. 제22항에 있어서,
    상기 평판 값은 상기 지문과 연관되고 상기 네트워크 연결과 연관된 연결 평판과 상관된 프로토콜 평판에 기초하는 장치.
  29. 제22항에 있어서,
    상기 정책 액션은 상기 연결을 블로킹하는 단계를 포함하는 장치.
  30. 제22항에 있어서,
    상기 정책 액션은 관리자에게 경고하는 단계를 포함하는 장치.
  31. 제22항에 있어서,
    상기 지문이 나중에 악성 활동과 연관되면 경고를 수신하는 단계를 더 포함하는 장치.
KR1020137034510A 2011-06-27 2012-06-27 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 KR101554809B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/170,163 US9106680B2 (en) 2011-06-27 2011-06-27 System and method for protocol fingerprinting and reputation correlation
US13/170,163 2011-06-27
PCT/US2012/044453 WO2013003493A2 (en) 2011-06-27 2012-06-27 System and method for protocol fingerprinting and reputation correlation

Publications (2)

Publication Number Publication Date
KR20140045448A true KR20140045448A (ko) 2014-04-16
KR101554809B1 KR101554809B1 (ko) 2015-09-21

Family

ID=47363117

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137034510A KR101554809B1 (ko) 2011-06-27 2012-06-27 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법

Country Status (6)

Country Link
US (1) US9106680B2 (ko)
EP (1) EP2724492B1 (ko)
JP (2) JP5886422B2 (ko)
KR (1) KR101554809B1 (ko)
CN (1) CN103797766B (ko)
WO (1) WO2013003493A2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019066295A1 (ko) * 2017-09-28 2019-04-04 큐비트시큐리티 주식회사 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법
WO2022075559A1 (ko) * 2020-10-05 2022-04-14 크리니티(주) 악성 메일 처리 시스템 및 방법

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8875286B2 (en) 2010-12-01 2014-10-28 Cisco Technology, Inc. Method and apparatus for detecting malicious software using machine learning techniques
US9218461B2 (en) * 2010-12-01 2015-12-22 Cisco Technology, Inc. Method and apparatus for detecting malicious software through contextual convictions
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US9106680B2 (en) 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
IL219499B (en) 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
JPWO2013179551A1 (ja) * 2012-05-29 2016-01-18 パナソニックIpマネジメント株式会社 送信装置、受信装置、通信システム、送信方法、及び受信方法
US10332005B1 (en) * 2012-09-25 2019-06-25 Narus, Inc. System and method for extracting signatures from controlled execution of applications and using them on traffic traces
CA2886058A1 (en) * 2012-09-28 2014-04-03 Level 3 Communications, Llc Identifying and mitigating malicious network threats
US20150215334A1 (en) * 2012-09-28 2015-07-30 Level 3 Communications, Llc Systems and methods for generating network threat intelligence
IL226747B (en) * 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
WO2015084327A1 (en) * 2013-12-03 2015-06-11 Hewlett-Packard Development Company, L.P. Security action of network packet based on signature and reputation
US10917787B2 (en) 2013-12-20 2021-02-09 Mcafee, Llc Security gateway for a regional/home network
US10432658B2 (en) * 2014-01-17 2019-10-01 Watchguard Technologies, Inc. Systems and methods for identifying and performing an action in response to identified malicious network traffic
WO2015128612A1 (en) * 2014-02-28 2015-09-03 British Telecommunications Public Limited Company Malicious encrypted traffic inhibitor
EP3111612B1 (en) 2014-02-28 2018-03-21 British Telecommunications public limited company Profiling for malicious encrypted network traffic identification
EP3111614B1 (en) * 2014-02-28 2018-04-18 British Telecommunications public limited company Malicious encrypted network traffic identification
GB2558811B (en) * 2014-09-14 2019-03-27 Sophos Ltd Labeling computing objects for improved threat detection
US9992228B2 (en) 2014-09-14 2018-06-05 Sophos Limited Using indications of compromise for reputation based network security
US10122687B2 (en) 2014-09-14 2018-11-06 Sophos Limited Firewall techniques for colored objects on endpoints
US10965711B2 (en) 2014-09-14 2021-03-30 Sophos Limited Data behavioral tracking
US9967264B2 (en) 2014-09-14 2018-05-08 Sophos Limited Threat detection using a time-based cache of reputation information on an enterprise endpoint
US9537841B2 (en) 2014-09-14 2017-01-03 Sophos Limited Key management for compromised enterprise endpoints
US9967283B2 (en) 2014-09-14 2018-05-08 Sophos Limited Normalized indications of compromise
US9965627B2 (en) 2014-09-14 2018-05-08 Sophos Limited Labeling objects on an endpoint for encryption management
US9967282B2 (en) 2014-09-14 2018-05-08 Sophos Limited Labeling computing objects for improved threat detection
US10594707B2 (en) 2015-03-17 2020-03-17 British Telecommunications Public Limited Company Learned profiles for malicious encrypted network traffic identification
EP3272095B1 (en) 2015-03-17 2021-03-31 British Telecommunications public limited company Malicious encrypted network traffic identification using fourier transform
IL238001B (en) 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
US20170091482A1 (en) * 2015-09-30 2017-03-30 Symantec Corporation Methods for data loss prevention from malicious applications and targeted persistent threats
CN105530098B (zh) * 2015-12-04 2018-10-09 北京浩瀚深度信息技术股份有限公司 一种协议指纹自动提取方法及系统
US10931689B2 (en) 2015-12-24 2021-02-23 British Telecommunications Public Limited Company Malicious network traffic identification
EP3394784B1 (en) 2015-12-24 2020-10-07 British Telecommunications public limited company Malicious software identification
EP3394783B1 (en) 2015-12-24 2020-09-30 British Telecommunications public limited company Malicious software identification
US10764311B2 (en) 2016-09-21 2020-09-01 Cequence Security, Inc. Unsupervised classification of web traffic users
IL248306B (en) 2016-10-10 2019-12-31 Verint Systems Ltd System and method for creating data sets for learning to recognize user actions
US10237293B2 (en) * 2016-10-27 2019-03-19 Bitdefender IPR Management Ltd. Dynamic reputation indicator for optimizing computer security operations
US10284578B2 (en) 2017-03-06 2019-05-07 International Business Machines Corporation Creating a multi-dimensional host fingerprint for optimizing reputation for IPV6
EP3602999B1 (en) 2017-03-28 2021-05-19 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
IL260986B (en) 2018-08-05 2021-09-30 Verint Systems Ltd A system and method for using a user action log to study encrypted traffic classification
EP3623982B1 (en) 2018-09-12 2021-05-19 British Telecommunications public limited company Ransomware remediation
EP3623980B1 (en) 2018-09-12 2021-04-28 British Telecommunications public limited company Ransomware encryption algorithm determination
US10999295B2 (en) 2019-03-20 2021-05-04 Verint Systems Ltd. System and method for de-anonymizing actions and messages on networks
IL270391B (en) * 2019-11-03 2022-08-01 Cognyte Tech Israel Ltd System and method for detecting file transfers
IL270392B2 (en) * 2019-11-03 2023-08-01 Cognyte Tech Israel Ltd A system and method for estimating file sizes transmitted over encrypted connections
EP4046337A1 (en) 2019-11-03 2022-08-24 Cognyte Technologies Israel Ltd System and method for identifying exchanges of encrypted communication traffic

Family Cites Families (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5970066A (en) * 1996-12-12 1999-10-19 Paradyne Corporation Virtual ethernet interface
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US7681032B2 (en) * 2001-03-12 2010-03-16 Portauthority Technologies Inc. System and method for monitoring unauthorized transport of digital content
US8438241B2 (en) 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US20040047356A1 (en) 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
US8990723B1 (en) 2002-12-13 2015-03-24 Mcafee, Inc. System, method, and computer program product for managing a plurality of applications via a single interface
US8533270B2 (en) * 2003-06-23 2013-09-10 Microsoft Corporation Advanced spam detection techniques
JP2005182640A (ja) * 2003-12-22 2005-07-07 Japan Telecom Co Ltd ファイアウォール装置、及びそれを用いた通信システム、通信方法
US20100223349A1 (en) 2004-02-03 2010-09-02 Joel Thorson System, method and apparatus for message targeting and filtering
US8201257B1 (en) 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US8037144B2 (en) 2004-05-25 2011-10-11 Google Inc. Electronic message source reputation information system
US7756930B2 (en) 2004-05-28 2010-07-13 Ironport Systems, Inc. Techniques for determining the reputation of a message sender
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US7680890B1 (en) 2004-06-22 2010-03-16 Wei Lin Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US7415727B1 (en) 2004-06-24 2008-08-19 Mcafee, Inc. System, method, and computer program product for tailoring security responses for local and remote file open requests
US7664819B2 (en) 2004-06-29 2010-02-16 Microsoft Corporation Incremental anti-spam lookup and update service
US7490356B2 (en) 2004-07-20 2009-02-10 Reflectent Software, Inc. End user risk management
US9160755B2 (en) 2004-12-21 2015-10-13 Mcafee, Inc. Trusted communication network
US8738708B2 (en) 2004-12-21 2014-05-27 Mcafee, Inc. Bounce management in a trusted communication network
US7822620B2 (en) 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
US7765481B2 (en) 2005-05-03 2010-07-27 Mcafee, Inc. Indicating website reputations during an electronic commerce transaction
US7562304B2 (en) 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
EP1877905B1 (en) 2005-05-05 2014-10-22 Cisco IronPort Systems LLC Identifying threats in electronic messages
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US7499412B2 (en) * 2005-07-01 2009-03-03 Net Optics, Inc. Active packet content analyzer for communications network
KR100651841B1 (ko) * 2005-07-19 2006-12-01 엘지전자 주식회사 수신 차단 방법
US20070033408A1 (en) 2005-08-08 2007-02-08 Widevine Technologies, Inc. Preventing illegal distribution of copy protected content
US20070056035A1 (en) 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP4509904B2 (ja) * 2005-09-29 2010-07-21 富士通株式会社 ネットワークセキュリティ装置
US20070078675A1 (en) 2005-09-30 2007-04-05 Kaplan Craig A Contributor reputation-based message boards and forums
JP2007104509A (ja) * 2005-10-06 2007-04-19 Nippon F Secure Kk エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム
US7712134B1 (en) * 2006-01-06 2010-05-04 Narus, Inc. Method and apparatus for worm detection and containment in the internet core
US7877801B2 (en) 2006-05-26 2011-01-25 Symantec Corporation Method and system to detect malicious software
US7761912B2 (en) 2006-06-06 2010-07-20 Microsoft Corporation Reputation driven firewall
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US8176178B2 (en) 2007-01-29 2012-05-08 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US7711684B2 (en) 2006-12-28 2010-05-04 Ebay Inc. Collaborative content evaluation
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8959568B2 (en) 2007-03-14 2015-02-17 Microsoft Corporation Enterprise security assessment sharing
US20080282338A1 (en) 2007-05-09 2008-11-13 Beer Kevin J System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network
CN100539555C (zh) * 2007-06-01 2009-09-09 清华大学 基于可扩展消息在线协议和信誉机制的电子邮件传送方法
US8584094B2 (en) 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
CN100574310C (zh) * 2007-08-24 2009-12-23 中国科学院计算技术研究所 一种信誉流量控制方法
JP5046836B2 (ja) * 2007-10-02 2012-10-10 Kddi株式会社 不正検知装置、プログラム、および記録媒体
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8321937B2 (en) 2007-11-25 2012-11-27 Trend Micro Incorporated Methods and system for determining performance of filters in a computer intrusion prevention detection system
US20090150236A1 (en) 2007-12-10 2009-06-11 Rhapline, Inc. Digital asset management system and method
US8561129B2 (en) 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
US8893285B2 (en) 2008-03-14 2014-11-18 Mcafee, Inc. Securing data using integrated host-based data loss agent with encryption detection
JP5042125B2 (ja) 2008-06-02 2012-10-03 株式会社日立製作所 P2p通信制御システム及び制御方法
WO2010008825A1 (en) 2008-06-23 2010-01-21 Cloudmark, Inc. Systems and methods for re-evaluating data
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US9495538B2 (en) 2008-09-25 2016-11-15 Symantec Corporation Graduated enforcement of restrictions according to an application's reputation
US8341724B1 (en) * 2008-12-19 2012-12-25 Juniper Networks, Inc. Blocking unidentified encrypted communication sessions
US9426179B2 (en) 2009-03-17 2016-08-23 Sophos Limited Protecting sensitive information from a secure data store
US8667121B2 (en) * 2009-03-25 2014-03-04 Mcafee, Inc. System and method for managing data and policies
US8381289B1 (en) 2009-03-31 2013-02-19 Symantec Corporation Communication-based host reputation system
US8935773B2 (en) * 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
US9081958B2 (en) 2009-08-13 2015-07-14 Symantec Corporation Using confidence about user intent in a reputation system
US8621654B2 (en) 2009-09-15 2013-12-31 Symantec Corporation Using metadata in security tokens to prevent coordinated gaming in a reputation system
EP2326091B1 (en) * 2009-11-13 2015-08-12 NTT DoCoMo, Inc. Method and apparatus for synchronizing video data
US20120174219A1 (en) 2010-05-14 2012-07-05 Mcafee, Inc. Identifying mobile device reputations
IL206240A0 (en) * 2010-06-08 2011-02-28 Verint Systems Ltd Systems and methods for extracting media from network traffic having unknown protocols
US8621591B2 (en) 2010-10-19 2013-12-31 Symantec Corporation Software signing certificate reputation model
US8621618B1 (en) * 2011-02-07 2013-12-31 Dell Products, Lp System and method for assessing whether a communication contains an attack
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US8763072B2 (en) 2011-05-09 2014-06-24 Symantec Corporation Preventing inappropriate data transfers based on reputation scores
US9106680B2 (en) 2011-06-27 2015-08-11 Mcafee, Inc. System and method for protocol fingerprinting and reputation correlation
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019066295A1 (ko) * 2017-09-28 2019-04-04 큐비트시큐리티 주식회사 실시간 웹 해킹 탐지를 위한 웹 트래픽 로깅 시스템 및 방법
EP3691217A4 (en) * 2017-09-28 2021-05-12 Qubit Security Inc. WEB TRAFFIC LOGGING SYSTEM AND METHOD FOR DETECTING WEB HACKING IN REAL TIME
WO2022075559A1 (ko) * 2020-10-05 2022-04-14 크리니티(주) 악성 메일 처리 시스템 및 방법

Also Published As

Publication number Publication date
EP2724492B1 (en) 2021-01-13
WO2013003493A2 (en) 2013-01-03
KR101554809B1 (ko) 2015-09-21
US20120331556A1 (en) 2012-12-27
EP2724492A2 (en) 2014-04-30
CN103797766A (zh) 2014-05-14
CN103797766B (zh) 2019-06-18
JP2016136735A (ja) 2016-07-28
JP2014524169A (ja) 2014-09-18
WO2013003493A3 (en) 2013-02-28
EP2724492A4 (en) 2015-01-28
JP5886422B2 (ja) 2016-03-16
US9106680B2 (en) 2015-08-11

Similar Documents

Publication Publication Date Title
KR101554809B1 (ko) 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법
Ghafir et al. Botdet: A system for real time botnet command and control traffic detection
US9661017B2 (en) System and method for malware and network reputation correlation
US10855700B1 (en) Post-intrusion detection of cyber-attacks during lateral movement within networks
US9838356B2 (en) Encrypted peer-to-peer detection
US9954873B2 (en) Mobile device-based intrusion prevention system
US9553888B2 (en) Systems and methods for dynamic protection from electronic attacks
US8677487B2 (en) System and method for detecting a malicious command and control channel
Ndatinya et al. Network forensics analysis using Wireshark
Rizal et al. Network forensics for detecting flooding attack on internet of things (IoT) device
US20130074143A1 (en) System and method for real-time customized threat protection
US8650638B2 (en) System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file
Girija Devi et al. Security breach and forensics in intelligent systems
Simkhada et al. Security threats/attacks via botnets and botnet detection & prevention techniques in computer networks: a review
Hategekimana et al. Hardware isolation technique for irc-based botnets detection
JP6635029B2 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
Patel et al. Security Issues, Attacks and Countermeasures in Layered IoT Ecosystem.
Ng et al. Advanced persistent threat detection based on network traffic noise pattern and analysis
US10757078B2 (en) Systems and methods for providing multi-level network security
US20220337488A1 (en) Network device type classification
Liakopoulos Malware analysis & C2 covert channels
Osawere Detection of Ransomware by Analyzing Network Traffic Using Machine Learning
Asokan et al. A Case Study Using National e-Government Portals to Investigate the Deployment of the Nmap Tool for Network Vulnerability Assessment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180828

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190830

Year of fee payment: 5