MX2007013025A - Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas. - Google Patents

Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas.

Info

Publication number
MX2007013025A
MX2007013025A MX2007013025A MX2007013025A MX2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A
Authority
MX
Mexico
Prior art keywords
application
hive
anomaly detection
detection component
traffic
Prior art date
Application number
MX2007013025A
Other languages
English (en)
Inventor
Stylianos Sidiroglou
Angelos D Keromytis
Kostas G Anagnostakis
Original Assignee
Univ Columbia
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Univ Columbia filed Critical Univ Columbia
Publication of MX2007013025A publication Critical patent/MX2007013025A/es

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

De acuerdo con algunas modalidades de la presente invencion, se proporcionan sistemas y metodos que protegen una aplicacion de ataques. En algunas modalidades de la presente invencion, el trafico proveniente de una red de comunicaciones se recibe por un componente de deteccion de anomalias. El componente de deteccion de anomalias monitorea el trafico recibido y dirige el trafico ya sea hacia la aplicacion protegida o hacia una colmena, donde al colmena comparte toda la informacion de estado con la aplicacion. Si el trafico recibido se dirige a la colmena, la colmena monitorea el trafico respecto a un ataque. Si ocurre un ataque, la colmena repara la aplicacion protegida (por ejemplo, descartando cualquier cambio de estado incurrido a partir del ataque, revirtiendo a la informacion de estado previamente guardada, etc.).

Description

SBSTEMAS Y MÉTODOS PARA DETECTAR E B iHflBBR MEPBANTE EL US© DE COLM ' ' Referencia Cruzada @@n S@BS@¡ftud Reiaejemacüa Esta solicitud reclama el beneficio bajo la 35 U.S.C. § 1 19(e) de la Solicitud de Patente Provisional de los Estados Unidos No. 60/672,280, presentada el 18 de Abril de 2005, la cual se incorpora en la presente para referencia en su totalidad.
Campo ú® Ba iravene?ón La presente invención se refiere al campo de seguridad en computadoras. Más particularmente, la presente invención se refiere a sistemas y métodos para detectar e inhibir ataques de software.
Antecedentes úe ia [isweoncnéip) Los virus de computadoras, serpentines, trojans, piratas informativos, ataques de recuperación de clave, ejecutables de mala intención, sondas, etc., son una amenaza a los usuarios de computadoras conectados a las redes de computadoras públicas (tales como la I nternet) y/o redes privadas (tales como redes de computadoras de corporativos). En respuesta a estas amenazas, muchas computadoras se protegen mediante software de antivirus y muros cortafuegos. Sin embargo, estas medidas preventivas no siempre son adecuadas. Por ejemplo, ha habido muchos casos donde los serpentines y otros ataques han tomado ventaja de una vulnerabilidad conocida en soflware de compuiadora (por ejemplo, en íecnología de muros coríafuego) el día después de que el público se hace conscieníe de ia vulnerabilidad. Debido a íal lanzamienío rápido, el parche necesario para corregir la vulnerabilidad podría no desplegarse a liempo para evitar el ataque. De manera si milar, la mayoría del software aníi-virus depende de acíualizaciones a ese sofíware a fin de que las fi rmas de virus conocidos puedan ulilizarse para reconocer amenazas. En el caso de un serpeníín de "día-cero" o virus (por ejemplo, un serpentín o virus que acaba de lanzarse) , la mayoría de los sisíemas de compuíadora son compleiamenle vulnerables al aíaque debido a que no se ha puesío disponi ble actualización de fi rma o parche conocido alguno. Debido al nivel de acíividad maliciosa en la I nternet, las organizaciones despliegan mecanismos para detecíar y responder a nuevos ataques o a actividad sospechosa, algunas veces referidos como sistemas de prevención de intrusos. Sin embargo, muchos de estos sistemas de prevención de intrusos se limitan a prolección coníra aíaques ya conocidos debido a que usan sisíemas de deíección de intrusos en base a reglas. Los mecanismos de deíección, lales como colmenas y sisíemas de detección de anomalías, se han desarrollado para usarse en sistemas de defensa-reactivos más poderosos. En contrasle con los sisíemas de detección de intrusos, las colmenas y sistemas de detección de anomalías ofrecen la posibilidad de detectar y responder a ataques previamente desconocidos o aíaques de "día- cero" . Una col mena general mente se defi ne como una trampa que se establece para detectar o desviar intentos de uso no autorizado de sistemas de i nformación. Si n embargo, debe observarse que las colmenas no ven tráfico o actividad legíti mos. Una razón de esto se debe a que las colmenas con frecuencia se colocan en una ubicación de red a la que no tiene razón de acceder el tráfico legíti mo. Otra razón es que las colmenas normalmente son demasiado tenías para procesar tráfico en el tiempo requerido para aplicaciones del mundo real. Todavía otra razón es que las colmenas no tienen las capacidades para dar servicio completo a tráfico legíti mo debido, por ejemplo, a que las col menas no comparten por completo el estado con el sistema real . Los sistemas de detección de anomalías protegen un recurso al monitorear accesos propuestos y usar heurísticas para clasificar los accesos como normales o anómalos. Las colmenas y los sistemas de detección de anomalías ofrecen diferentes transacciones entre exactitud y el alcance de ataques que pueden detectarse. Las colmenas pueden i nsirumentarse de fuerte manera para detectar ataques de manera exacta, pero dependen de un atacanle que iníeníe explotar una vulnerabilidad coníra ellos. Esto hace a las colmenas buenas en la defección de serpenti nes de exploración , pero i neficaces contra ataques manual mente dirigidos o topológicos y serpenti nes de lista de ataque. Además, las colmenas se utilizan tipicamenle solo para aplicaciones de lipo servidor. Los sistemas de detección de anomalías pueden detectar teóricamenle ambos ti pos de ataques, pero normalmente son mucho menos exactos que las colmenas. La mayoría de los sislemas de detección ofrece una transacción entre velocidades de detección falso positivas y falso negativas. Por ejemplo, con frecuencia es posible sintonizar el sistema para detectar ataques más potenciales, si n embargo, esto es un riesgo incrementado de clasificar erróneamente el tráfico legítimo. Aunque el posible hacer más insensi ble a los ataques a un sistema de detección de anomal ías, esto crea el riesgo de omitir algunos ataques reales. Debido a que los sistemas de detección de anomal ías pueden afectar negativameníe el tráfico legítimo al derribar, por ejemplo, demandas legítimas, los diseñadores de sisíemas con frecuencia si níonizan el sisíema para bajas velocidades de íransmisión de falso positivos que pueden clasificar erróneamente ataques como tráfico legítimo. De acuerdo con lo anterior, es deseable proporcionar sistemas y métodos que superen estas y otras deficiencias de la técnica anterior.
¡Breve D®s@róp©8( ?p? ú® Ha Dcw neoéipi En algunas modalidades de la presente invención, se proporcionan sistemas y métodos para proteger a las aplicaciones de los ataques. El tráfico recibido (por ejemplo, el íráfico de red) se transmite a través de un componente de detección de anomalías. El componente de detección de anomalías predice si el tráfico reci bido es un ataque potencial sobre la aplicación y el componente de deíección de anomalías se siníoniza para lograr una baja velocidad de iransmisión de falsos negalivos. En respuesta a recibir una indicación del componente de detección de anomalías de que el tráfico puede ser un ataque, se transmite el tráfico recibido a una colmena. La colmena puede ser una instancia insírumeníada de la aplicación que comparle la información de eslado con la aplicación. Debe observarse que, en algunas modalidades, la colmena puede ser al menos una porción de la aplicación protegida en sí. La colmena monitorea el tráfico recibido respecto a ataques sobre la aplicación. En respuesta a recibir una indicación de la colmena acerca de que el tráfico recibido es un ataque a la aplicación, la colmena proporciona una instrucción de reparar la información de estado de la aplicación.
En algunas modalidades, la reparación puede incluir la reversión de la información de estado de la aplicación a la información de estado previamente guardada. En algunas modalidades, la reparación puede incluir descartar la información de estado de la aplicación. En algunas modalidades, la reparación puede incluir iniciar una nueva instancia de la aplicación información de estado previamente guardada. En algunas modalidades, puede proporcionarse un filtro que filtre el tráfico antes de transmilir el tráfico recibido al componente de detección de anomalías. La filtración puede basarse en al menos un contenido de carga y fuente del ataque. En algunas modalidades, la reíroalimenlación puede proporcionarse por la colmena. En algunas modalidades, la retroalimentación de la colmena puede utilizarse para actualizar el componente de detección de anomalías (por ejemplo, los predictores y modelos asociados con el componeníe de delección de anomalías) y/o el filíro. En algunas modalidades, la reíroalimenlación puede utilizarse para sintonizar de manera automática el componente de detección de anomal ías y/o el filtro. Se han perfilado de este modo, más bien de una manera amplia, las características más importantes de la invención con objeto de que pueda entenderse mejor la descripción detallada de la misma que se presenta a continuación, y con objeto de que la presente contribución a la materia pueda apreciarse mejor. Por supuesto, existen características adicionales de la invención que serán descritas posteriormente en la presente y que formarán la materia sujeto de las reivindicaciones anexas a la misma. En esíe aspecío, antes de explicar ai menos una modalidad de la invención a detalle, debe entenderse que la invención no se limita en su aplicación a los detalles de construcción y a las instalaciones de los componentes establecidos en la siguiente descripción o ilustrados en los dibujos. La invención es capaz de otras modalidades y de practicarse y llevarse a cabo de diversas maneras. También, debe entenderse que la fraseología y terminología empleados en la presente son para propósiíos de descripción y no deben considerarse como limiianíes. Por lo lanto, aquellos expertos en la materia apreciarán que la concepción, sobre la cual se basa esta exposición, puede utilizarse fácilmente como una base para el diseño de otras esírucíuras, métodos y sistemas para llevar a cabo los diversos propósitos de la presente invención. Por consiguiente, es importaníe que las reivindicaciones se consideren incluyendo lales conslrucciones equivalentes siempre y cuando no se aparten del espíritu y alcance de la presente invención. Esto, junto con oíros objelos de la invención, junio con las diversas caracíerísíicas de novedad que caracterizan la invención, se señalan con particularidad en las reivindicaciones anexas y que forman paríe de esta exposición. Para un mejor entendimiento de la invención, sus ventajas operativas y los objetos específicos logrados por sus usos, debe hacerse referencia a los dibujos acompañantes y la materia descriptiva en la cual se ilustran las modalidades preferidas de la invención.
Breve DescrSpeióra de ios Dibujos Las anteriores y otras ventajas de la presente invención serán aparentes a partir de la consideración de la siguieníe descripción detallada, tomada en conjunto con los dibujos acompañaníes, en los cuales los caracíeres de referencia similar se refieren a parles similares a íravés de los mismos, y en los cuales: La FIG. 1 es un diagrama esquemático de un sistema ilustrativo, adecuado para implementación de una aplicación que monitorea tráfico y protege las aplicaciones de ataques de acuerdo con algunas modalidades de la presente invención; La FIG . 2 es un ejemplo detallado del servidor y uno de los clientes de la FIG. 1 que puede utilizarse de acuerdo con algunas modalidades de ia presente invención; La FIG. 3 es un diagrama esquemático de otra instalación ilustrativa, adecuada para monitorear tráfico y proteger las aplicaciones de aíaques de acuerdo con algunas modalidades de la presente invención; La FIG. 4 es un diagrama de flujo ilustralivo para proíeger una aplicación de ataques de acuerdo con algunas modalidades de la presente invención; La FIG. 5 es un diagrama esquemático de otra instalación ilustrativa, adecuada para monitorear tráfico y proteger a las aplicaciones de ataques de acuerdo con algunas modalidades de la presente invención; La FIG. 6 es un diagrama esquemático de otra instalación ilustraíiva, adecuada para monilorear iráfico y proteger las aplicaciones de ataques de acuerdo con algunas modalidades de la presente invención; La FIG. 7 es un ejemplo de una asignación de memoria en base a pmalloc(), según se utiliza de acuerdo con algunas modalidades de la presente invención; y La FIG. 8 es un ejemplo de una transformación de código C, llevada a cabo de acuerdo con algunas modalidades de la presente invención.
DaseripeBén DdftaBBaiági ú® Ba llpv®?p)©l.ó?p) En la siguieníe descripción, se esíablecen numerosos detalles específicos con respecto a los sisíemas y méíodos de la preseníe invención y los ambienles en los cuales íales sistemas y métodos pueden operar, etc. , con objeto de proporcionar un concienzudo entendimienío de la preseníe invención. Será apareníe para un experto en la materia, sin embargo, que la preseníe invención puede practicarse sin íales deíalles específicos, y que ciertas caracteríslicas que son muy conocidas en la materia no se describen en detalle, con objeto de evitar complicación de la materia sujeto de la presente invención. Además, se entenderá que los ejemplos proporcionados a continuación son ejemplares y que se contempla que existan otros métodos y sistemas que se encuenlran deníro del alcance de la présenle invención. De acuerdo con la preseníe invención, se proporcionan sisíemas y mélodos para la protección mejorada de ataques en una aplicación. Estos sistemas y métodos proporcionan al menos un detector de anomalías y al menos una colmena (algunas veces referida como una "colmena sombra"). Estas colmenas sombra permiten que los signos de un ataque sean detectados y que la aplicación se proteja de tal ataque. El detector de anomalías monitorea todo el tráfico dirigido a una aplicación protegida. En lugar de permitir que la aplicación procese el tráfico que se considera anómalo, el tráfico anómalo se procesa por la colmena. Según se utiliza en la presente, la colmena es una instancia de la aplicación protegida que comparte sustancialmente todo estado interno con una instancia regular de la aplicación. Sin embargo, la colmena puede proporcionarse en diversos enfoques. Por ejemplo, en algunas modalidades, la aplicación de colmena puede ser al menos una porción de la aplicación protegida en sí. Usando la colmena, los ataques contra la colmena se deteclan y la colmena repara la aplicación (por ejemplo, cualquier cambio de estado en que se incurra se descarta). En otras modalidades, la aplicación puede restaurarse y cargarse con la información de estado que se guardó antes del ataque. El tráfico legítimo que se clasifica erróneamente por el detector de anomalías puede validarse por la colmena y puede procesarse correctamente por el sistema y de manera transparente por el usuario. Debe observarse que una colmena sombra puede usarse para protección tanto del servidor como de las aplicaciones del cliente. Algunas modalidades de la presente invención permiten que los diseñadores del sistema sintonicen el sistema de detección de anomalías para transmisiones de datos negafivas, falsas, bajas, reduciendo así el riesgo de clasificar erróneamente un aíaque real como íráfico legítimo, ya que la colmena retira cualquier positivo falso (o una indicación activada como falsa de un ataque). La presente invención puede defenderse de ataques que se adapían a un sitio específico con un estado interno particular. La FIG. 1 es un diagrama esquemático de un sistema ilusíraíivo 100, adecuado para implemeníación de sisiemas y méíodos para proteger a una aplicación de ataques de acuerdo con algunas modalidades de la presente invención. Refiriéndose a la FIG. 1 , se muestra un sistema ejemplar 100 para implemeníar la présenle invención. Como se ilusíra, el sisíema 100 puede incluir uno o más clientes 102. Los clientes 102 pueden ser locales entre sí o ser remotos entre sí, y se conectan por uno o más enlaces de comunicación 104 a una red de comunicaciones 106 que se enlaza a través de un enlace de comunicaciones 108 a un servidor 1 10. Diversas modalidades de la presente solicitud pueden implementarse en al menos el servidor y los clientes. En el sistema 100, el servidor 1 10 puede ser un servidor adecuado para ejecutar una aplicación, tal como un procesador, una compuíadora, un disposiíivo procesador de daíos, o una combinación de tales dispositivos. La red de comunicaciones 106 puede ser cualquier red de computadoras adecuada, incluyendo la I nterneí, una Intranet, una red de área amplia (WAN), una red de área local (LAN), una red inalámbrica, una red de línea de suscripíor digiíal (DSL), una red de relé de estrucíura, una red de modo de iransferencia asincrono (ATM), una red privada viríual (VPN), o cualquier combinación de cualquiera de las mismas. Los enlaces de comunicaciones 104 y 108 pueden ser cualquier enlace de comunicaciones adecuado para la comunicación de daíos eníre clientes 102 y el servidor 100, tal como enlaces de redes, enlaces de marcación, enlaces inalámbricos, enlaces conectados por cable, etc. Los clientes 102 pueden ser computadoras personales, compuíadoras portátiles, computadoras de estrucíura principal , íerminales, despliegues de daíos, buscadores en Internet, asistentes digitales personales (PDAs), paginadores de dos vías, terminales inalámbricas, teléfonos portátiles, etc. , o cualquier combinación de los mismos. Los clieníes 102 y el servidor 1 10 pueden localizarse en cualquier ubicación adecuada. En una modalidad, los clieníes 102 y el servidor 110 pueden localizarse deníro de una organización. De manera allernaíiva, los clienles 102 y el servidor 1 10 pueden dislribuirse enlre múlliples organizaciones. Ei servidor y uno de los clieníes, los cuales se ilustran en la FIG. 1 , se Musirán con mayor delalle en la FIG. 2. Refiriéndose a la FIG. 2, el cliente 102 puede incluir el procesador 202, el dispositivo de despliegue 204, el dispositivo de entrada 206 y la memoria 208, los cuales pueden interconectarse. En una modalidad preferida, la memoria 208 contiene un dispositivo de almacenamiento para almacenar un programa cliente para controlar el procesador 202. La memoria 208 también puede contener una aplicación para proteger al menos otra aplicación de los ataques. En algunas modalidades, las aplicaciones pueden ser residentes en la memoria del cliente 102 o el servidor 1 10. Aunque los métodos y sistemas de la presente invención se describen en la presente, como implementados en un cliente o servidor, esto es solo ilustrativo. La aplicación puede implementarse en cualquier plataforma adecuada (por ejemplo, una computadora personal (PC), una computadora de esírucíura principal, una lerminal simple, un despliegue de datos, un paginador de dos vías, una terminal inalámbrica, un teléfono portátil, una compuladora porlátil , una minicomputadora personal , una H/PC, una PC de automóvil, una computadora transportable, un asistente digital personal (PDA), un teléfono celular y PDA combinados, etc.) para proporcionar tales características. Una ilustración simplificada del sisfema de algunas modalidades de acuerdo con la presente invención se ilustra en la FIG. 3. Como se muestra, el sistema 300 incluye un sensor de detección de anomalías 310. El sensor de detección de anomal ías 310 recibe el tráfico proveniente de la red 320. El sensor de detección de anomalías 310 puede dirigir el tráfico ya sea a la aplicación protegida 330 o una versión de colmena de la aplicación 340. En algunas modalidades, el sensor de detección de anomalías 310 puede dirigir el tráfico a la aplicación protegida 330 o la colmena 340 en base a una predicción realizada por el sensor de detección de anomal ías 310. Por ejemplo, el sensor de detección de anomalías 310 puede realizar una predicción sobre el tráfico proveniente de la red 320 en base al menos en parte a la realización de un análisis de carga o análisis de comportamiento de la red. Como se describió previamente, la versión de colmena de la aplicación 340 es una instancia de la aplicación protegida 330 que comparte sustancialmente todo estado interno con una instancia regular de la aplicación. En algunas modalidades, la aplicación de colmena puede ser al menos una porción de la aplicación protegida en sí. Usando la colmena 340, los ataques contra la colmena 340 se detectan y se descarta cualquier cambio en que se incurra. El tráfico 320 que se clasifica de manera errónea por el sensor de detección de anomalías 310 puede validarse por la colmena 340 y puede procesarse de manera correcta por el sistema 300 y de manera transparente hacia el usuario. Tanto la colmena 340 como la aplicación prolegida 330 se conectan a la misma información de estado del proceso 350. En general , la información de estado del proceso 350 puede incluir, por ejemplo, valores variables , información de asignación de memoria, información de estado relacionada con componentes o dispositivos asociados, o cualquier oíra información adecuada que puede necesiíarse para definir el estado actual de un proceso. En algunas modalidades, las colmenas, tal como la colmena 340, puede proporcionar sensores de detección de anomalías o cualquier otro componeníe de sisíema adecuado 300 con reíroalimeníación. Como se muesíra en la FIG. 3, el panal 340 puede proporcionar retroalimentación 360 al sensor de detección de anomalías 310. Por ejemplo, el panal 340 puede proporcionar información con respecto al ataque hacia el sensor de detección de anomalías 310. El sensor deíecíor de anomalías 310 puede uíilizar la retroalimentación 360 proveniente de la colmena 340 para actualizar los predictores usados deníro del sensor de deíección de anomalías 310 o utilizan la retroalimentación 360 en cualquier otro enfoque para sintonizar el sensor de detección de anomalías 310.
La FIG. 4 es un diagrama de flujo iluslralivo que iluslra la interacción del sensor de detección de anomalías y la colmena de acuerdo con algunas modalidades de la presente invención. El íráfico proveniente de una red se recibe por el sistema en el sensor de detección de anomalías (410 en la FIG. 4). El sensor de detección de anomalías determina si el tráfico recibido es o no un ataque en la aplicación (420 en la FIG. 4). Si el sensor de detección de anomalías predice que el tráfico recibido es un ataque, el tráfico recibido se dirige a la colmena (430 en la FIG. 4). El tráfico que llega a la colmena se procesa por la colmena y se moniíorea respecto a ataques (440 en la FIG. 4). Si no se deíecfa ataque por la colmena, el procesamiento del código se manera de manera transpareníe por el sislema (450 en la FIG. 4). Desde el punió de vista del usuario, parece que el tráfico se procesara por la aplicación protegida. La colmena íambién puede informar al sensor de deíección de anomalías que realizó una predicción errónea (450 en la FIG. 4). El sensor de detección de anomalías puede usar esta información para mejorar las predicciones futuras realizadas por el sensor de defección de anomal ías. De oíro modo, si la colmena deíermina que el íráfico recibido es un ataque, la colmena puede descartar cualquier cambio de esíado originado por el alaque (460 en la FIG. 4). La colmena también puede informar al sensor de detección de anomalías de una predicción correcta. La información con respecío a predicciones correctas también puede uíilizarse para mejorar predicciones fuluras realizadas por el sensor de defección de anomalías. Alternaíivameníe, si el sensor de deíección de anomalías predice que el tráfico recibido no es un ataque, el íráfico recibido se dirige a la aplicación prolegida (470 en la FIG. 4). En esíe caso, el íráfico recibido no se dirige a la versión de colmena. La FIG. 5 muestra otra instalación ilustrativa para el sistema de detección de ataque, de acuerdo con algunas modalidades de la présenle invención. En la instalación de la FIG. 5, el sistema 500 incluye un motor de filtración 510, una instalación de sensores de detección de anomalías 520, una versión de colmena de la aplicación 530, una aplicación protegida 540, un estado de proceso actual 550 y una declaración de proceso guardada para la repetidora 560. El motor de filtración 510 recibe el tráfico proveniente de la red 570. El motor de filtración 510 puede utilizarse por el sistema 500 para bloquear ataques conocidos dentro diel tráfico recibido 570. La filíración puede realizarse, por ejemplo, en base al coníenido de carga, la fueníe del ataque, una combinación de cualquier metodología de filtración adecuada, o medíanle cualquier otro enfoque adecuado para la filtración del tráfico recibido. Como se muestra en la FIG. 5, el motor de filtración 510 puede configurarse como un estrato entre la instalación de los sensores de detección de anomalías 520 y el tráfico proveniente dé la red 570. El motor de filtración 510 puede utilizarse para derribar tipos específicos de tráfico antes de que se lleve a cabo cualquier procesamiento adicional .
Si el tráfico proveniente de la red 570 pasa a través del motor de filtración 510, la instalación de uno o más de los sensores de detección de anomalías 520 puede usarse para procesar el tráfico recibido 570. Los ejemplos de tipos de sensores de detección de anomalías 520 que pueden utilizarse en el sistema 500 incluyen sensores que llevan a cabo análisis de carga y detectores de anomalías de comportamiento de la red. Sin embargo, debe observarse que puede utilizarse cualquier sensor de detección de anomalías adecuado, de acuerdo con la presente invención. Debe observarse que los resultados pueden mejorar si los sensores de detección de anomalías 520 se sintonizan a una sensibilidad elevada. Aunque esto incrementa la cantidad de falsos positivos reportados por los sensores de detección de anomalías 520, asegura aún más que los ataques no alcancen las aplicaciones protegidas 540. En base, al menos en parte, a la predicción del uno o más sensores de detección de anomalías 520, el sistema 500invoca ya sea la instancia regular de la aplicación protegida 540 o la versión de colmena de la aplicación 530. Como se describió previamente, la versión de colmena de la aplicación 530 es una inslancia inslrumenlada de la aplicación, que comparíe sustancialmente todo estado interno con una instancia regular de la aplicación. Usando la colmena 530, se detectan los ataques contra la colmena 530 y se descarta cualquier cambio de esíado incurrido. Tanío la colmena 530 como la aplicación protegida 540 se conectan a la misma información de estado del proceso 550. Sin embargo, en respuesta a la defección de un ataque o falla, la colmena 530 puede revertir cualquier cambio de estado a un estado bueno conocido. Por ejemplo, la colmena 530 puede revertir el eslado que lenía la aplicación prolegida 540 anles del procesamiento de la demanda maliciosa (por ejemplo, una declaración de proceso guardada para la repetidora 560). De manera alternativa, la colmena 530 puede reiniciar la aplicación o iniciar una nueva instancia de la aplicación que había guardado previamente la información de estado en respuesta a la detección de un ataque. En algunas modalidades, la colmena 530 puede proporcionar el motor de filtración 510, uno o más sensores de detección de anomalías 520, o cualquier otro componente de sistema adecuado 500 con retroalimentación. Por ejemplo, en respuesta a que la colmena 530 detecta un ataque real , determina un falso positivo, o no detecta ataques, la colmena 530 puede proporcionar información a uno o más de los sensores de detección de anomal ías 520. El uno o más sensores de detección de anomalías 520 puede usar la retroalimentación 580 de la colmena 530 para actualizar los predictores usados dentro del uno o más sensores de detección de anomalías 520 o usar la retroalimentación 580 en cualquier otro enfoque adecuado para sintonizar el uno o más sensores de detección de anomalías 520. Por ejemplo, el uno o más sensores de detección de anomalías 520 pueden uíilizar la información para bloquear ataques similares en el futuro y/o aprender de predicciones correctas e incorrectas del pasado. En otro ejemplo, los predicíores o modelos de predicción pueden actualizarse si no se deíecían aíaques . También puede uíilizarse cualquier oíro enfoque adecuado para la auío-si níonización y actualización del uno o más sensores de detección de anomal ías 520. En otro ejemplo, en respuesta a que la col mena 530 detecta un ataque real , determina un falso posilivo, o no deíecta ataques, la colmena 530 puede proporcionar i nformación (por ejemplo, retroalimeníación 590) al motor de filtración 51 0. El moíor de filtración 51 0 puede utilizar la retroalimenlación 590 provenieníe de la colmena 530 para actualizar los filtros usados por el motor de filtración 510 o usar la reiroalimeníación 590 en cualquier otro enfoque adecuado para sintonizar el molor de filtración 51 0. Por ejemplo, el motor de filtración 51 0 puede usar la retroalimentación 590 para bloquear ataques similares en el futuro y/o aprender de predicciones correctas e incorrectas del pasado. También puede utilizarse cualquier otro enfoque adecuado de auto-sintonización y actualización del motor de filtración 51 0. Debe observarse que el tráfico a través del sistema 500, incluyendo tráfico de ataque, puede interactuar con la aplicación protegida a través de procesamiento mediante el motor de filtración 510 y uno o más sensores de detección de anomalías 520, donde no se permite acceso del canal lateral . Ciertas modalidades de la presente i nvención pueden integrarse tanto con servidores como con clientes. En algunas modalidades, la colmena sombra puede acoplarse de manera exacta con un servidor. La aplicación del servidor puede protegerse al tener las demandas sospechosas desviadas a una versión de colmena de la aplicación de servidor en la cual la aplicación de servidor y la colmena lienen funcionalidad y eslado de reflejo. La aplicación prolegida puede ser, por ejemplo, un servidor en red. En algunas modalidades, la colmena sombra puede acoplarse de manera exacta con un cliente. La aplicación de cliente puede protegerse de, por ejemplo, ataques pasivos donde el atacante invite a un usuario del cliente a descargar datos que contienen un ataque (por ejemplo, la vulnerabilidad de sobre-flujo de regulador, reciente, en el manejo TPEG de Microsoft Internet Explorer). La aplicación protegida puede utilizarse para proteger, por ejemplo, un explorador en red o cualquier otra aplicación en el cliente de un ataque contenido en un solo paquete, un flujo entero o un conjunto de flujos.
Aunque la presente invención se ha descrito e ilustrado en las modalidades ejemplares anteriores como acoplado de manera exacta a fin de que los atacantes no puedan explotar las diferencias entre el esíado de la colmena y el estado de la aplicación debido a que ambas comparten el mismo estado, debe observarse que la presente exposición se ha elaborado solo a manera de ejemplo, y que numerosos cambios en los detalles de construcción y combinación e instalación de los procesos y equipo, pueden hacerse sin apartarse del espíritu y alcance de la invención. Por ejemplo, puede proporcionarse una configuración acoplada de manera débil de acuerdo con algunas modalidades de la presente invención. La colmena puede residir en un sistema diferente y no compartiría estado con la aplicación protegida. Esta modalidad acoplada de manera débil permite que la colmena se maneje por una entidad separada, proporcionando así al usuario la habilidad de manejar de manera externa la colmena. Como se muestra, los componentes de filtración y detección de anomalías (por ejemplo, motor de filtración 510 y uno o más sensores de defección de anomalías 520) pueden acoplarse de manera exacta con la aplicación protegida. De manera alternaliva, los componenles de fillración y de detección de anomalías podrían centrarse en un punfo de adición natural en la topología de la red, tal como el muro cortafuego. La FIG. 6 muesíra un diagrama de otra insíalación ilustraíiva para el sisíema de deíección de aíaques de acuerdo con algunas modalidades de la presente invención. Como se muestra en la instalación de la FIG. 6, los componentes de detección de anomalías y de filtración pueden implementarse con un procesador en red como una balanza de carga del cliente escalable y una instalación de sensores esnórkel que se ejecutan en computadoras conectadas al panel del procesador de trabajo en red que implementa todas las heurísticas de delección. Por ejemplo, el procesador de írabajo en red seleccionado puede ser un procesador de írabajo en red IXP1200. En algunas modalidades, ninguna de las heurísticas de deíección se implemenía en ésta, ya que los procesadores de trabajo en red se diseñan para simple avance y carecen de capacidad de procesamienío requerida para las velocidades necesarias y pueden ser más difíciles de programar y depurar que oíros procesadores . Sin embargo, en algunas modalidades, las heurísíicas de detección pueden implementarse en el procesador de trabajo en red. El componente de detección de anomalías proporciona la habilidad de desviar demandas maliciosas hacia la colmena. Por ejemplo, en servidores en red, una definición razonable del coníexto de ataque es una demanda HTTP. Para este propósito, el componenle de deíección de anomalías conslruye una demanda, ejecuta las heurísticas de detección de anomalías y avanza la demanda dependiendo del resultado. Ya que este procesamiento puede llevarse a cabo a nivel HTTP, se proporciona una función similar a una representación HTTP. Los componentes de detección de anomalías del servidor de colmena acoplado de manera exacta pueden implementarse al aumentar una representación HTTP con la habilidad para aplicar la heurística de detección de Ejecución de Carga Abstracta en la demanda entrante y dirigirla de acuerdo con su decisión. Para el escenario cliente, puede ulilizarse una solución allernativa en base a monitoreo pasivo. En es?a configuración, las corrienles TCP de las conexiones HTTP pueden reconstruirse y el protocolo HTTP puede decodificarse para extraer objelos sospechosos. Un objelo puede entonces examinarse directamenle al aplicar un algoritmo heurístico. Si los objetos parecen sospechosos, se da principio a un servidor que reproduce la respuesta sospechosa y dirige un explorador de colmena a este servidor. La traducción de la carga y la detección de sobre-flujo en el regulador a través de la ejecución de carga abstracta pueden utilizarse como heurísíica para deíección de anomalías. El algoriímo de íraducción de carga deriva huellas digiiales de serpentines de rápida difusión medianíe ideníificación de subseries populares en el tráfico de red. La detección de sobre-flujo de regulador a través de ejecución de carga abstracta detecta ataques al sobre-fl ujo de regulador medianíe búsqueda de secuencias lo suficieníemeníe largas de instrucciones válidas en el tráfico de red. Las secuencias largas de instrucciones válidas pueden aparecer en datos no maliciosos y es aquí donde puede implementarse la colmena. Este mecanismo de detección es atraciivo debido a que puede aplicarse a alaques individuales y acliva la detección después de encontrar la primera insíancia de un alaque. Eslo es a diferencia de muchos mecanismos de deíección de anomalías que se requieren para atestiguar múltiples ataques antes de eíiqueíar los ataques como anómalos. En algunas modalidades, puede utilizarse una herramienta de transformación de código para crear una colmena. Esta herramienta recibe la aplicación original como entrada y la inserta en el código de colmena. Aunque los errores de violación de memoria se describen básicameníe en estas modalidades, debe observarse que la presente invención también puede uíilizarse para alrapar y deiecíar otras violaciones. TXL, en lenguaje en base a reglas, funcional e híbrido, puede utilizarse para llevar a cabo las transformaciones de código, donde GCC C (Compilador GNU C) puede utilizarse como el extremo frontal. TXL es muy adecuado para llevar a cabo transformación de fuente a fuente, sin embargo, también podrían utilizarse una muy aplica variedad de lenguajes. La gramática responsable de ordenar la entrada de origen se específica en una noíación similar a Exíended Backus Naur. En algunas modalidades, la colmena se crea al mover lodos los reguladores estáticos a la pila. Los reguladores estáticos pueden moverse a la pila al asignar dinámicamente cada regulador después de introducir la función en la cual se declaró previamente. Estos reguladores pueden des-asignarse después de abandonar la función, ya sea de manera implícita (por ejemplo, al alcanzar el final del cuerpo de la función) o de manera explícita (por ejemplo, a través de una declaración de retorno). Debe observarse que debido a que se instrumentan regiones de memoria asignadas, se detectan accesos ilegales con respecto al solapamiento de señaladores. Para la asignación de memoria, se creó una nueva versión de mallocO, llamado pmallocQ. La FIG. 7 es un ejemplo ilustrativo de una asignación de memoria en base a pmallocQ de acuerdo con algunas modalidades de la presente invención. Como se muestra en la FIG. 7, la asignación de memoria en base a pmalloc() asigna tres páginas de memoria 710. Aparte de la página básica, pmalloc() asigna dos páginas adicionales, protegidas contra escritura, no rellenas, 720, que encuadran el regulador solicitado. Las páginas extra pueden representarse mmapQ a partir de /dev/cero como de solo lectura. Debido a que mmapQ opera a granularidad de página de memoria, las demandas de memoria se aproximan a la página más cercana. El señalador 730 que se registra por pmalloc() puede ajustarse para atrapar inmediatamente cualquier sobre-flujo o subflujo del regulador. La FIG. 8 muestra un ejemplo de una traducción de código de acuerdo con algunas modalidades de la presente invención. El código original se muestra en el bloque 810 y el código traducido se muestra en el bloque 820. Los reguladores que se asignan a través de mallocQ pueden cambiarse a pmalloc() 830. Esto puede lograrse al examinar declaraciones en la fuente y su transformación a señaladores donde el tamaño se asigna con una llamada de función mallocQ. El lenguaje C también puede ajustarse para liberar la memoria 840 antes de que regrese la función. Cualquier sobre-flujo o sub-flujo en un regulador asignado a través de pmallocQ puede originar que el proceso reciba una señal de Violación de Segmentación (SEGV), lá cual es capíurada por un manejador de señal que se agrega al código fueníe en principalQ. El manejador de señal noíifica al sisíema óperalivo aboríar iodos los cambios de esíado elaborados por el proceso mienlras se procesa esía demanda. Para hacer esto, puede agregarse una nueva llamada de sislema al sislema operativo llamada transacciónQ. La función de transacciónQ se invoca condicionalmente en tres lugares en el código a discreción de la función de permitir_sombra(). La función de permitir_sombra() se vuelve verdadera cuando se ejecuta la versión de colmena del código. La primer ubicación en que se coloca esa IransacciónQ es en el interior del ciclo de procesamiento principal antes de iniciar el manejo de una nueva demanda. Esto indica al sistema operativo que ha comenzado una nueva transacción. El sistema operativo realiza un respaldo de todos los permisos de memoria y marca todas las páginas de memoria de pila como de solo lectura. A medida que se ejecuta el proceso y modifica estas páginas, el sisfema operativo mantiene una copia de la página original y asigna una nueva página, a la cual se dan los permisos de la página original desde el respaldo, para utilizar el proceso. Esío se realiza de la misma manera en que funcionan las copias en sislemas operativos modernos. Esta llamada de transacción() puede colocarse manualmente, por ejemplo, por el programador o diseñador del sistema. Ambas copias de la página se mantienen hasta que se llame nuevamente la IransacciónQ, como se describirá a continuación. Después de terminar de manejar una demanda, dentro del ciclo de procesamiento principal, puede invocarse la segunda transacción() de ubicación. Esio se realiza aquí para indicar al sislema operativo que se ha completado exitosamente una transacción. El sistema operativo descarta entonces todas las copias originales de páginas de memoria que se han modificado durante el procesamiento de la demanda. Esta llamada de transacción también puede colocarse manualmente. La tercer ubicación en que puede invocarse la transacción es dentro del manejador de señal . Esta ubicación puede instalarse de manera automática mediante modalidades de la presente invención. Esto se realiza para indicar al sistema operativo que se ha detectado un ataque (excepción). El sistema operativo descarta entonces todas las páginas de memoria modificadas al restaurar las páginas originales. En algunas modalidades, un mecanismo similar al arriba descrito puede conformarse alrededor de un sistema de archivo. Esto puede realizarse, por ejemplo, al utilizar una copia privada de una memoria intermedia de regulador para el procesamiento realizado en la versión de colmena del código. Debe entenderse que la invención no se limita en su aplicación a los detalles de construcción y a las instalaciones de los componentes establecidos en la siguiente descripción o ilustrados en los dibujos. La invención es capaz de otras modalidades y de practicarse y llevarse a cabo de diversas maneras. También, debe entenderse que la fraseología y terminología empleadas en ia presente son con el propósito de descripción y no deben considerarse como limitantes. Por lo tanto, aquellos expertos en la materia apreciarán que la concepción, sobre la cual se basa esta exposición, puede utilizarse fácilmente como una base para el diseño de otras estructuras, métodos y sistemas para llevar a cabo los diversos propósitos de la presente invención. Por consiguiente, es importante que las reivindicaciones se consideren incluyendo tales construcciones equivaleníes, siempre y cuando no se aparíen de la preseníe invención. Aunque la presente invención se ha descrito e ilustrado en las modalidades ejemplares anteriores, se enliende que la présenle exposición se ha elaborado solo a manera de ejemplo y que pueden hacerse numerosos cambios en los delalles de implementación de la invención sin apartarse del espíritu y alcance de la invención, la cual se limita solo por las reivindicaciones que siguen.

Claims (1)

  1. ( EDWDMDOC ClOí^ ES 1 . Un método para proteger aplicaciones de ataques , caracterizado el método porque comprende: recibir el tráfico proveniente de una red de comunicaciones que intenta llegar a una aplicación; transmitir el tráfico recibido a través de un componenle de delección de anomalías, en donde el componente de detección de anomal ías predice si el tráfico recibido es un ataque potencial sobre la aplicación y en donde el componente de detección de anomalías se sintoniza para lograr una baja velocidad de transmisión de falsos negativos; recibir una indicación proveniente del componente de detección de anomalías con relación a la predicción del ataque potencial sobre la aplicación; en respuesta a la recepción de la indicación proveniente del componente de detección de anomalías, transmitir el tráfico recibido a una colmena, en donde la colmena es una instancia de la aplicación que comparte información de estado con la aplicación y en donde la colmena monitorea el tráfico recibido respecto a ataques sobre la aplicación; recibir una indicación proveniente de la colmena de que el tráfico recibido es un ataque sobre la aplicación; y recibir una indicación proveniente de la colmena para reparar la información de estado de la aplicación. 2. El método según la reivindicación 1 , caracterizado porque la reparación comprende además revertir la información de esíado de la aplicación a la información de esíado previamente guardada. 3. El método según la reivindicación 1 , caracíerizado porque la reparación comprende además descartar la información de estado de la aplicación. 4. El método según la reivindicación 1 , caracterizado porque la reparación comprende además iniciar una nueva instancia de la aplicación con la información de esíado previameníe guardada. 5. El méíodo según la reivindicación 1 , caraclerizado porque comprende además filtrar el tráfico recibido antes de transmitir el tráfico recibido al componente de detección de anomalías. 6. El método según la reivindicación 5, caraclerizado porque la filtración se basa en al menos uno del contenido de carga y la fuente del ataque. 7. El método según la reivindicación 1 , caracterizado porque comprende además transmitir la retroalimentación proveniente de la colmena hacia el componente de detección de anomalías. 8. El método según la reivindicación 7, caracterizado porque comprende además actualizar el componente de detección de anomalías en base al menos en parte a la retroalimentación proveniente de la colmena. 9. El método según la reivindicación 7, caracíerizado porque comprende además aclualizar al menos uno de los prediclores y modelos asociados con el componeníe de delección de anomalías. 10. El méiodo según la reivindicación 7, caracterizado porque comprende además usar la retroalimentación para si ntonizar automáticamente el componente de detección de anomal ías. 1 1 . El método según la reivindicación 7, caracterizado porque comprende además usar la retroalimentación para si ntonizar automáticamente un filtro. 12. El método según la reivindicación 1 , caracterizado porque la aplicación es una de una aplicación de servidor, una aplicación de cliente, un sisíema operalivo, y una aplicación en una estrucíura principal . 13. El método según la reivindicación 1 , caracterizado porque comprende además: proporcionar un filtro antes del componeníe de delección de anomal ías; transmitir la retroalimentación proveniente de la colmena al filtro; y actualizar el filtro en base al menos en parte a la retroalimentación proveniente de la colmena. 14. Un sistema para proteger a las aplicaciones de los ataques, caracterizado el sistema porque comprende: un componente de detección de anomalías que se sintoniza para lograr una baja velocidad de transmisión de falsos negativos, en donde el componente de detección de anomalías se configura para: recibir el íráfico proveniente de una red de comunicaciones que i ntenla llegar a la aplicación; y predecir si el íráfico recibido es un alaque poíencial sobre la aplicación; y una colmena que es una i nstancia de la aplicación que comparte i nformación de estado con la aplicación, en donde la colmena se configura para: recibir una indicación proveniente del componente de detección de anomalías con relación a la predicción del ataque polencial ; moniíorear el íráfico recibido respecío a alaques sobre la aplicación; y en respuesía a la deíerminación de que el íráfico recibido es un ataque sobre la aplicación, reparar la información de estado de la aplicación. 1 5. El sistema según la reivindicación 14, caracterizado porque la colmena se configura además para reveríir la i nformación de estado de la aplicación a la información de estado previameníe guardada. 16. El sislema según la reivindicación 14, caracterizado porque la colmena se configura además para descartar la información de estado de la aplicación. 1 7. El sistema según la reivi ndicación 14, caracterizado porque la colmena se configura además para iniciar una nueva instancia de la aplicación con i nformación de estado previamente guardada. 1 8. El sistema según la reivindicación 14, caracterizado porque comprende además un filtro que filtra el tráfico recibido antes de la transmisión del tráfico recibido al componente de detección de anomalías. 19. El sistema según la reivindicación 14, caracterizado porque la colmena se configura además para transmitir la retroalimentación proveniente de la colmena hacia el componente de detección de anomalías. 20. El sistema según la reivindicación 19, caracterizado porque el componente de detección de anomalías se configura además para actualizar el componente de detección de anomalías en base al menos en parte a la retroalimentación proveniente de la colmena. 21. El sistema según la reivindicación 19, caracterizado porque el componente de detección de anomalías se configura además para actualizar al menos uno de los predictores y modelos asociados con el componente de detección de anomalías. 22. El sistema según la reivindicación 19, caracterizado porque el componente de detección de anomalías se configura además para sintonizar el componente de detección de anomalías en base al menos en parte a la retroalimentación. 23. El sistema según la reivindicación 14, caracterizado porque comprende además un filtro configurado para recibir el tráfico antes que el componente de detección de anomalías, en donde el filtro recibe la retroalimentación proveniente de la colmena y se actualiza en base, al menos en parte, a la retroalimentación proveniente de la colmena. L ES0W3EM De acuerdo con algunas modalidades de la presente invención, se proporcionan sistemas y métodos que protegen una aplicación de ataques. En algunas modalidades de la presente invención, el tráfico proveniente de una red de comunicaciones se recibe por un componente de detección de anomalías. El componente de detección de anomalías monitorea el tráfico recibido y dirige el tráfico ya sea hacia la aplicación protegida o hacia una colmena, donde la colmena comparte toda la información de estado con la aplicación. Si el tráfico recibido se dirige a la colmena, la colmena monitorea el tráfico respecto a un ataque. Si ocurre un ataque, la colmena repara la aplicación protegida (por ejemplo, descartando cualquier cambio de estado incurrido a partir del ataque, revirtiendo a la información de estado previamente guardada, etc. ).
MX2007013025A 2005-04-18 2006-04-18 Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas. MX2007013025A (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US67228005P 2005-04-18 2005-04-18
PCT/US2006/014704 WO2006113781A1 (en) 2005-04-18 2006-04-18 Systems and methods for detecting and inhibiting attacks using honeypots

Publications (1)

Publication Number Publication Date
MX2007013025A true MX2007013025A (es) 2008-01-11

Family

ID=37115495

Family Applications (1)

Application Number Title Priority Date Filing Date
MX2007013025A MX2007013025A (es) 2005-04-18 2006-04-18 Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas.

Country Status (10)

Country Link
US (1) US7904959B2 (es)
EP (1) EP1872222A1 (es)
JP (1) JP2008537267A (es)
CN (1) CN101185063A (es)
AU (1) AU2006236283A1 (es)
BR (1) BRPI0610855A2 (es)
CA (1) CA2604544A1 (es)
MX (1) MX2007013025A (es)
RU (1) RU2007142368A (es)
WO (1) WO2006113781A1 (es)

Families Citing this family (276)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8793787B2 (en) 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8549638B2 (en) * 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8429746B2 (en) 2006-05-22 2013-04-23 Neuraliq, Inc. Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems
US20140373144A9 (en) 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
US8479288B2 (en) * 2006-07-21 2013-07-02 Research In Motion Limited Method and system for providing a honeypot mode for an electronic device
US8407160B2 (en) 2006-11-15 2013-03-26 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for generating sanitized data, sanitizing anomaly detection models, and/or generating sanitized anomaly detection models
US8949986B2 (en) * 2006-12-29 2015-02-03 Intel Corporation Network security elements using endpoint resources
US8239688B2 (en) * 2007-01-07 2012-08-07 Apple Inc. Securely recovering a computing device
US8286244B2 (en) * 2007-01-19 2012-10-09 Hewlett-Packard Development Company, L.P. Method and system for protecting a computer network against packet floods
DE102007017400A1 (de) * 2007-04-13 2008-10-16 Wilhelm, Andreas Verfahren zur Filterung von unerwünschten E-Mails
CN101729389B (zh) * 2008-10-21 2012-05-23 北京启明星辰信息技术股份有限公司 基于流量预测和可信网络地址学习的流量控制装置和方法
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
CN101567887B (zh) * 2008-12-25 2012-05-23 中国人民解放军总参谋部第五十四研究所 一种漏洞拟真超载蜜罐方法
JP5393286B2 (ja) * 2009-06-22 2014-01-22 日本電信電話株式会社 アクセス制御システム、アクセス制御装置及びアクセス制御方法
CN101582907B (zh) * 2009-06-24 2012-07-04 成都市华为赛门铁克科技有限公司 一种增强蜜网诱骗力度的方法和蜜网系统
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8489534B2 (en) * 2009-12-15 2013-07-16 Paul D. Dlugosch Adaptive content inspection
US9369437B2 (en) 2010-04-01 2016-06-14 Cloudflare, Inc. Internet-based proxy service to modify internet responses
US9049247B2 (en) 2010-04-01 2015-06-02 Cloudfare, Inc. Internet-based proxy service for responding to server offline errors
US9106697B2 (en) 2010-06-24 2015-08-11 NeurallQ, Inc. System and method for identifying unauthorized activities on a computer system using a data structure model
US8789189B2 (en) 2010-06-24 2014-07-22 NeurallQ, Inc. System and method for sampling forensic data of unauthorized activities using executability states
US9032521B2 (en) 2010-10-13 2015-05-12 International Business Machines Corporation Adaptive cyber-security analytics
US8752174B2 (en) 2010-12-27 2014-06-10 Avaya Inc. System and method for VoIP honeypot for converged VoIP services
JP5739182B2 (ja) 2011-02-04 2015-06-24 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 制御システム、方法およびプログラム
JP5731223B2 (ja) 2011-02-14 2015-06-10 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
JP5697206B2 (ja) 2011-03-31 2015-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 不正アクセスに対する防御をするシステム、方法およびプログラム
US8285808B1 (en) 2011-05-20 2012-10-09 Cloudflare, Inc. Loading of web resources
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
US9245115B1 (en) 2012-02-13 2016-01-26 ZapFraud, Inc. Determining risk exposure and avoiding fraud using a collection of terms
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US10270739B2 (en) 2012-02-28 2019-04-23 Raytheon Bbn Technologies Corp. System and method for protecting service-level entities
US9560011B2 (en) * 2012-02-28 2017-01-31 Raytheon Company System and method for protecting service-level entities
US8347391B1 (en) 2012-05-23 2013-01-01 TrustPipe LLC System and method for detecting network activity of interest
US9485276B2 (en) 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
CN103051615B (zh) * 2012-12-14 2015-07-29 陈晶 一种蜜场系统中抗大流量攻击的动态防御系统
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US8856324B2 (en) 2013-01-28 2014-10-07 TrustPipe LLC System and method for detecting a compromised computing system
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9436652B2 (en) * 2013-06-01 2016-09-06 General Electric Company Honeyport active network security
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9794275B1 (en) * 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
US8973142B2 (en) * 2013-07-02 2015-03-03 Imperva, Inc. Compromised insider honey pots using reverse honey tokens
US10277628B1 (en) 2013-09-16 2019-04-30 ZapFraud, Inc. Detecting phishing attempts
US20150089655A1 (en) * 2013-09-23 2015-03-26 Electronics And Telecommunications Research Institute System and method for detecting malware based on virtual host
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10694029B1 (en) 2013-11-07 2020-06-23 Rightquestion, Llc Validating automatic number identification data
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
CN103632100B (zh) * 2013-11-08 2017-06-27 北京奇安信科技有限公司 一种网站漏洞检测方法及装置
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
CN103607399B (zh) * 2013-11-25 2016-07-27 中国人民解放军理工大学 基于暗网的专用ip网络安全监测系统及方法
GB201321949D0 (en) 2013-12-12 2014-01-29 Ibm Semiconductor nanowire fabrication
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US9560075B2 (en) 2014-10-22 2017-01-31 International Business Machines Corporation Cognitive honeypot
EP3123311B8 (en) 2014-11-17 2021-03-03 Morphisec Information Security 2014 Ltd Malicious code protection for computer systems based on process modification
US9535731B2 (en) 2014-11-21 2017-01-03 International Business Machines Corporation Dynamic security sandboxing based on intruder intent
CN104980423A (zh) * 2014-11-26 2015-10-14 哈尔滨安天科技股份有限公司 一种高级可持续威胁诱捕系统及方法
US9591022B2 (en) 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
EP3041190B1 (en) * 2014-12-30 2020-11-25 Juniper Networks, Inc. Dynamic service handling using a honeypot
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
EP3243313B1 (en) 2015-01-07 2020-09-16 GoSecure Inc. System and method for monitoring a computer system using machine interpretable code
USD814494S1 (en) 2015-03-02 2018-04-03 Norse Networks, Inc. Computer display panel with an icon image of a live electronic threat intelligence visualization interface
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
USD810775S1 (en) 2015-04-21 2018-02-20 Norse Networks, Inc. Computer display panel with a graphical live electronic threat intelligence visualization interface
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9954870B2 (en) 2015-04-29 2018-04-24 International Business Machines Corporation System conversion in a networked computing environment
US9462013B1 (en) 2015-04-29 2016-10-04 International Business Machines Corporation Managing security breaches in a networked computing environment
US9923908B2 (en) 2015-04-29 2018-03-20 International Business Machines Corporation Data protection in a networked computing environment
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US9923914B2 (en) * 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US20170134405A1 (en) * 2015-11-09 2017-05-11 Qualcomm Incorporated Dynamic Honeypot System
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10135867B2 (en) * 2015-12-08 2018-11-20 Bank Of America Corporation Dynamically updated computing environments for detecting and capturing unauthorized computer activities
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
WO2017132170A1 (en) 2016-01-26 2017-08-03 ZapFraud, Inc. Detection of business email compromise
US10402563B2 (en) 2016-02-11 2019-09-03 Morphisec Information Security Ltd. Automated classification of exploits based on runtime environmental features
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10616266B1 (en) 2016-03-25 2020-04-07 Fireeye, Inc. Distributed malware detection system and submission workflow thereof
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10333982B2 (en) 2016-04-19 2019-06-25 Visa International Service Association Rotation of authorization rules in memory of authorization system
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US20180020024A1 (en) * 2016-07-14 2018-01-18 Qualcomm Incorporated Methods and Systems for Using Self-learning Techniques to Protect a Web Application
WO2018017151A1 (en) * 2016-07-21 2018-01-25 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10476895B2 (en) * 2016-09-12 2019-11-12 Sap Se Intrusion detection and response system
US10805314B2 (en) 2017-05-19 2020-10-13 Agari Data, Inc. Using message context to evaluate security of requested data
US10880322B1 (en) 2016-09-26 2020-12-29 Agari Data, Inc. Automated tracking of interaction with a resource of a message
US10805270B2 (en) 2016-09-26 2020-10-13 Agari Data, Inc. Mitigating communication risk by verifying a sender of a message
US11936604B2 (en) 2016-09-26 2024-03-19 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US20180124018A1 (en) * 2016-11-01 2018-05-03 Qualcomm Incorporated Coordinated application firewall
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US11722513B2 (en) 2016-11-30 2023-08-08 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US11044267B2 (en) 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10554507B1 (en) 2017-03-30 2020-02-04 Fireeye, Inc. Multi-level control for enhanced resource and object evaluation management of malware detection system
US11019076B1 (en) 2017-04-26 2021-05-25 Agari Data, Inc. Message security assessment using sender identity profiles
US10599838B2 (en) * 2017-05-08 2020-03-24 Micron Technology, Inc. Crypto-ransomware compromise detection
US10897472B1 (en) * 2017-06-02 2021-01-19 Enigma Networkz, LLC IT computer network threat analysis, detection and containment
CN107332823A (zh) * 2017-06-06 2017-11-07 北京明朝万达科技股份有限公司 一种基于机器学习的服务器伪装方法和系统
US11757914B1 (en) 2017-06-07 2023-09-12 Agari Data, Inc. Automated responsive message to determine a security risk of a message sender
US11102244B1 (en) 2017-06-07 2021-08-24 Agari Data, Inc. Automated intelligence gathering
EP3416084B1 (en) * 2017-06-15 2021-01-27 Nokia Solutions and Networks Oy Communication apparatus, method and software
US10534915B2 (en) * 2017-06-29 2020-01-14 Aqua Security Software, Ltd. System for virtual patching security vulnerabilities in software containers
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
CN107426242B (zh) * 2017-08-25 2020-03-31 中国科学院计算机网络信息中心 网络安全防护方法、装置及存储介质
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US10769275B2 (en) * 2017-10-06 2020-09-08 Ca, Inc. Systems and methods for monitoring bait to protect users from security threats
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10826939B2 (en) * 2018-01-19 2020-11-03 Rapid7, Inc. Blended honeypot
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
WO2019152421A1 (en) * 2018-01-31 2019-08-08 Palo Alto Networks, Inc. Context profiling for malware detection
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US20200012890A1 (en) * 2018-07-06 2020-01-09 Capital One Services, Llc Systems and methods for data stream simulation
US10733297B2 (en) * 2018-07-09 2020-08-04 Juniper Networks, Inc. Real-time signatureless malware detection
EP3605374A1 (en) * 2018-08-03 2020-02-05 Hewlett-Packard Development Company, L.P. Intrusion resilient applications
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
CN109104438B (zh) * 2018-10-22 2021-06-18 杭州安恒信息技术股份有限公司 窄带物联网中的僵尸网络预警方法、装置及可读存储介质
CN109547250B (zh) * 2018-11-26 2022-08-09 深信服科技股份有限公司 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11263295B2 (en) * 2019-07-08 2022-03-01 Cloud Linux Software Inc. Systems and methods for intrusion detection and prevention using software patching and honeypots
US11550899B2 (en) 2019-07-22 2023-01-10 Cloud Linux Software Inc. Systems and methods for hardening security systems using live patching
US11409862B2 (en) * 2019-07-22 2022-08-09 Cloud Linux Software Inc. Intrusion detection and prevention for unknown software vulnerabilities using live patching
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
CN111027059B (zh) * 2019-11-29 2022-07-19 武汉大学 一种基于llvm的抵御内存泄露的系统及方法
US11165823B2 (en) * 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US20230057332A1 (en) * 2020-01-22 2023-02-23 Siemens Industry, Inc. Real-time and independent cyber-attack monitoring and automatic cyber-attack response system
CN111400703B (zh) * 2020-02-15 2023-08-01 江苏亨通工控安全研究院有限公司 一种带有签名功能的工业控制领域的蜜罐系统
CN111506316B (zh) * 2020-03-20 2023-02-24 微梦创科网络科技(中国)有限公司 一种自动化蜜罐部署方法及装置
CN112035154B (zh) * 2020-08-13 2023-12-01 上海帆一尚行科技有限公司 一种修复车载终端内核的方法、装置和电子设备
EP4218212A1 (en) 2020-09-23 2023-08-02 ExtraHop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
CN113645234B (zh) * 2021-08-10 2022-12-13 东方财富信息股份有限公司 基于蜜罐的网络防御方法、系统、介质及装置
CN113553590B (zh) * 2021-08-12 2022-03-29 广州锦行网络科技有限公司 一种蜜罐防止攻击者逃逸的方法
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US20230289435A1 (en) * 2022-03-10 2023-09-14 Denso Corporation Incident response according to risk score
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6389532B1 (en) 1998-04-20 2002-05-14 Sun Microsystems, Inc. Method and apparatus for using digital signatures to filter packets in a network
US6658565B1 (en) 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US6715084B2 (en) * 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7042852B2 (en) * 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7086089B2 (en) * 2002-05-20 2006-08-01 Airdefense, Inc. Systems and methods for network security
US7467408B1 (en) * 2002-09-09 2008-12-16 Cisco Technology, Inc. Method and apparatus for capturing and filtering datagrams for network security monitoring
US7870608B2 (en) * 2004-05-02 2011-01-11 Markmonitor, Inc. Early detection and monitoring of online fraud
US8763103B2 (en) 2006-04-21 2014-06-24 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications

Also Published As

Publication number Publication date
AU2006236283A1 (en) 2006-10-26
EP1872222A1 (en) 2008-01-02
US7904959B2 (en) 2011-03-08
JP2008537267A (ja) 2008-09-11
CN101185063A (zh) 2008-05-21
WO2006113781A1 (en) 2006-10-26
US20080141374A1 (en) 2008-06-12
CA2604544A1 (en) 2006-10-26
BRPI0610855A2 (pt) 2010-08-03
RU2007142368A (ru) 2009-05-27

Similar Documents

Publication Publication Date Title
MX2007013025A (es) Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas.
US10305919B2 (en) Systems and methods for inhibiting attacks on applications
CN112073411B (zh) 一种网络安全推演方法、装置、设备及存储介质
JP6086968B2 (ja) 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
CN1777179B (zh) 用于分发安全策略的方法和系统
EP2106085B1 (en) System and method for securing a network from zero-day vulnerability exploits
EP2513805B1 (en) Systems and methods for behavioral sandboxing
US8407785B2 (en) Systems, methods, and media protecting a digital data processing device from attack
CA2661398A1 (en) System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment
KR101089154B1 (ko) 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법
US10931685B2 (en) Malware analysis and recovery
CA2545916A1 (en) Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US20210200859A1 (en) Malware detection by a sandbox service by utilizing contextual information
US8839406B2 (en) Method and apparatus for controlling blocking of service attack by using access control list
Abbasi et al. Machine learning-based EDoS attack detection technique using execution trace analysis
KR101089157B1 (ko) 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법
Salah et al. Surviving cyber warfare with a hybrid multiagent-base intrusion prevention system
Anagnostakis et al. Shadow honeypots
Sparks et al. A chipset level network backdoor: bypassing host-based firewall & ids
Hsu et al. Scalable network-based buffer overflow attack detection
Alminshid et al. Detecting backdoor using stepping stone detection approach
Hsu et al. CTCP: A transparent centralized TCP/IP architecture for network security
Shouman et al. Surviving cyber warfare with a hybrid multiagent-based intrusion prevention system
Gheorghe et al. Attack evaluation and mitigation framework

Legal Events

Date Code Title Description
FA Abandonment or withdrawal