MX2007013025A - Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas. - Google Patents
Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas.Info
- Publication number
- MX2007013025A MX2007013025A MX2007013025A MX2007013025A MX2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A MX 2007013025 A MX2007013025 A MX 2007013025A
- Authority
- MX
- Mexico
- Prior art keywords
- application
- hive
- anomaly detection
- detection component
- traffic
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
De acuerdo con algunas modalidades de la presente invencion, se proporcionan sistemas y metodos que protegen una aplicacion de ataques. En algunas modalidades de la presente invencion, el trafico proveniente de una red de comunicaciones se recibe por un componente de deteccion de anomalias. El componente de deteccion de anomalias monitorea el trafico recibido y dirige el trafico ya sea hacia la aplicacion protegida o hacia una colmena, donde al colmena comparte toda la informacion de estado con la aplicacion. Si el trafico recibido se dirige a la colmena, la colmena monitorea el trafico respecto a un ataque. Si ocurre un ataque, la colmena repara la aplicacion protegida (por ejemplo, descartando cualquier cambio de estado incurrido a partir del ataque, revirtiendo a la informacion de estado previamente guardada, etc.).
Description
SBSTEMAS Y MÉTODOS PARA DETECTAR E B iHflBBR MEPBANTE EL US© DE COLM ' '
Referencia Cruzada @@n S@BS@¡ftud Reiaejemacüa Esta solicitud reclama el beneficio bajo la 35 U.S.C. § 1 19(e) de la Solicitud de Patente Provisional de los Estados Unidos No. 60/672,280, presentada el 18 de Abril de 2005, la cual se incorpora en la presente para referencia en su totalidad.
Campo ú® Ba iravene?ón La presente invención se refiere al campo de seguridad en computadoras. Más particularmente, la presente invención se refiere a sistemas y métodos para detectar e inhibir ataques de software.
Antecedentes úe ia [isweoncnéip) Los virus de computadoras, serpentines, trojans, piratas informativos, ataques de recuperación de clave, ejecutables de mala intención, sondas, etc., son una amenaza a los usuarios de computadoras conectados a las redes de computadoras públicas (tales como la I nternet) y/o redes privadas (tales como redes de computadoras de corporativos). En respuesta a estas amenazas, muchas computadoras se protegen mediante software de antivirus y muros cortafuegos. Sin embargo, estas medidas preventivas no siempre son adecuadas. Por ejemplo, ha habido muchos casos donde los serpentines y otros ataques han tomado ventaja de una vulnerabilidad conocida en soflware de compuiadora (por ejemplo, en íecnología de muros coríafuego) el día después de que el público se hace conscieníe de ia vulnerabilidad. Debido a íal lanzamienío rápido, el parche necesario para corregir la vulnerabilidad podría no desplegarse a liempo para evitar el ataque. De manera si milar, la mayoría del software aníi-virus depende de acíualizaciones a ese sofíware a fin de que las fi rmas de virus conocidos puedan ulilizarse para reconocer amenazas. En el caso de un serpeníín de "día-cero" o virus (por ejemplo, un serpentín o virus que acaba de lanzarse) , la mayoría de los sisíemas de compuíadora son compleiamenle vulnerables al aíaque debido a que no se ha puesío disponi ble actualización de fi rma o parche conocido alguno. Debido al nivel de acíividad maliciosa en la I nternet, las organizaciones despliegan mecanismos para detecíar y responder a nuevos ataques o a actividad sospechosa, algunas veces referidos como sistemas de prevención de intrusos. Sin embargo, muchos de estos sistemas de prevención de intrusos se limitan a prolección coníra aíaques ya conocidos debido a que usan sisíemas de deíección de intrusos en base a reglas. Los mecanismos de deíección, lales como colmenas y sisíemas de detección de anomalías, se han desarrollado para usarse en sistemas de defensa-reactivos más poderosos. En contrasle con los sisíemas de detección de intrusos, las colmenas y sistemas de detección de anomalías ofrecen la posibilidad de detectar y responder a ataques previamente desconocidos o aíaques de "día- cero" . Una col mena general mente se defi ne como una trampa que se establece para detectar o desviar intentos de uso no autorizado de sistemas de i nformación. Si n embargo, debe observarse que las colmenas no ven tráfico o actividad legíti mos. Una razón de esto se debe a que las colmenas con frecuencia se colocan en una ubicación de red a la que no tiene razón de acceder el tráfico legíti mo. Otra razón es que las colmenas normalmente son demasiado tenías para procesar tráfico en el tiempo requerido para aplicaciones del mundo real. Todavía otra razón es que las colmenas no tienen las capacidades para dar servicio completo a tráfico legíti mo debido, por ejemplo, a que las col menas no comparten por completo el estado con el sistema real . Los sistemas de detección de anomalías protegen un recurso al monitorear accesos propuestos y usar heurísticas para clasificar los accesos como normales o anómalos. Las colmenas y los sistemas de detección de anomalías ofrecen diferentes transacciones entre exactitud y el alcance de ataques que pueden detectarse. Las colmenas pueden i nsirumentarse de fuerte manera para detectar ataques de manera exacta, pero dependen de un atacanle que iníeníe explotar una vulnerabilidad coníra ellos. Esto hace a las colmenas buenas en la defección de serpenti nes de exploración , pero i neficaces contra ataques manual mente dirigidos o topológicos y serpenti nes de lista de ataque. Además, las colmenas se utilizan tipicamenle solo para aplicaciones de lipo servidor. Los sistemas de detección de anomalías pueden detectar teóricamenle ambos ti pos de ataques, pero normalmente son mucho menos exactos que las colmenas. La mayoría de los sislemas de detección ofrece una transacción entre velocidades de detección falso positivas y falso negativas. Por ejemplo, con frecuencia es posible sintonizar el sistema para detectar ataques más potenciales, si n embargo, esto es un riesgo incrementado de clasificar erróneamente el tráfico legítimo. Aunque el posible hacer más insensi ble a los ataques a un sistema de detección de anomal ías, esto crea el riesgo de omitir algunos ataques reales. Debido a que los sistemas de detección de anomal ías pueden afectar negativameníe el tráfico legítimo al derribar, por ejemplo, demandas legítimas, los diseñadores de sisíemas con frecuencia si níonizan el sisíema para bajas velocidades de íransmisión de falso positivos que pueden clasificar erróneamente ataques como tráfico legítimo. De acuerdo con lo anterior, es deseable proporcionar sistemas y métodos que superen estas y otras deficiencias de la técnica anterior.
¡Breve D®s@róp©8( ?p? ú® Ha Dcw neoéipi En algunas modalidades de la presente invención, se proporcionan sistemas y métodos para proteger a las aplicaciones de los ataques. El tráfico recibido (por ejemplo, el íráfico de red) se transmite a través de un componente de detección de anomalías. El componente de detección de anomalías predice si el tráfico reci bido es un ataque potencial sobre la aplicación y el componente de deíección de anomalías se siníoniza para lograr una baja velocidad de iransmisión de falsos negalivos. En respuesta a recibir una indicación del componente de detección de anomalías de que el tráfico puede ser un ataque, se transmite el tráfico recibido a una colmena. La colmena puede ser una instancia insírumeníada de la aplicación que comparle la información de eslado con la aplicación. Debe observarse que, en algunas modalidades, la colmena puede ser al menos una porción de la aplicación protegida en sí. La colmena monitorea el tráfico recibido respecto a ataques sobre la aplicación. En respuesta a recibir una indicación de la colmena acerca de que el tráfico recibido es un ataque a la aplicación, la colmena proporciona una instrucción de reparar la información de estado de la aplicación.
En algunas modalidades, la reparación puede incluir la reversión de la información de estado de la aplicación a la información de estado previamente guardada. En algunas modalidades, la reparación puede incluir descartar la información de estado de la aplicación. En algunas modalidades, la reparación puede incluir iniciar una nueva instancia de la aplicación información de estado previamente guardada. En algunas modalidades, puede proporcionarse un filtro que filtre el tráfico antes de transmilir el tráfico recibido al componente de detección de anomalías. La filtración puede basarse en al menos un contenido de carga y fuente del ataque. En algunas modalidades, la reíroalimenlación puede proporcionarse por la colmena. En algunas modalidades, la retroalimentación de la colmena puede utilizarse para actualizar el componente de detección de anomalías (por ejemplo, los predictores y modelos asociados con el componeníe de delección de anomalías) y/o el filíro. En algunas modalidades, la reíroalimenlación puede utilizarse para sintonizar de manera automática el componente de detección de anomal ías y/o el filtro. Se han perfilado de este modo, más bien de una manera amplia, las características más importantes de la invención con objeto de que pueda entenderse mejor la descripción detallada de la misma que se presenta a continuación, y con objeto de que la presente contribución a la materia pueda apreciarse mejor. Por supuesto, existen características adicionales de la invención que serán descritas posteriormente en la presente y que formarán la materia sujeto de las reivindicaciones anexas a la misma. En esíe aspecío, antes de explicar ai menos una modalidad de la invención a detalle, debe entenderse que la invención no se limita en su aplicación a los detalles de construcción y a las instalaciones de los componentes establecidos en la siguiente descripción o ilustrados en los dibujos. La invención es capaz de otras modalidades y de practicarse y llevarse a cabo de diversas maneras. También, debe entenderse que la fraseología y terminología empleados en la presente son para propósiíos de descripción y no deben considerarse como limiianíes. Por lo lanto, aquellos expertos en la materia apreciarán que la concepción, sobre la cual se basa esta exposición, puede utilizarse fácilmente como una base para el diseño de otras esírucíuras, métodos y sistemas para llevar a cabo los diversos propósitos de la presente invención. Por consiguiente, es importaníe que las reivindicaciones se consideren incluyendo lales conslrucciones equivalentes siempre y cuando no se aparten del espíritu y alcance de la presente invención. Esto, junto con oíros objelos de la invención, junio con las diversas caracíerísíicas de novedad que caracterizan la invención, se señalan con particularidad en las reivindicaciones anexas y que forman paríe de esta exposición. Para un mejor entendimiento de la invención, sus ventajas operativas y los objetos específicos logrados por sus usos, debe hacerse referencia a los dibujos acompañantes y la materia descriptiva en la cual se ilustran las modalidades preferidas de la invención.
Breve DescrSpeióra de ios Dibujos Las anteriores y otras ventajas de la presente invención serán aparentes a partir de la consideración de la siguieníe descripción detallada, tomada en conjunto con los dibujos acompañaníes, en los cuales los caracíeres de referencia similar se refieren a parles similares a íravés de los mismos, y en los cuales: La FIG. 1 es un diagrama esquemático de un sistema ilustrativo, adecuado para implementación de una aplicación que monitorea tráfico y protege las aplicaciones de ataques de acuerdo con algunas modalidades de la presente invención;
La FIG . 2 es un ejemplo detallado del servidor y uno de los clientes de la FIG. 1 que puede utilizarse de acuerdo con algunas modalidades de ia presente invención; La FIG. 3 es un diagrama esquemático de otra instalación ilustrativa, adecuada para monitorear tráfico y proteger las aplicaciones de aíaques de acuerdo con algunas modalidades de la presente invención; La FIG. 4 es un diagrama de flujo ilustralivo para proíeger una aplicación de ataques de acuerdo con algunas modalidades de la presente invención; La FIG. 5 es un diagrama esquemático de otra instalación ilustrativa, adecuada para monitorear tráfico y proteger a las aplicaciones de ataques de acuerdo con algunas modalidades de la presente invención; La FIG. 6 es un diagrama esquemático de otra instalación ilustraíiva, adecuada para monilorear iráfico y proteger las aplicaciones de ataques de acuerdo con algunas modalidades de la presente invención; La FIG. 7 es un ejemplo de una asignación de memoria en base a pmalloc(), según se utiliza de acuerdo con algunas modalidades de la presente invención; y La FIG. 8 es un ejemplo de una transformación de código C, llevada a cabo de acuerdo con algunas modalidades de la presente invención.
DaseripeBén DdftaBBaiági ú® Ba llpv®?p)©l.ó?p) En la siguieníe descripción, se esíablecen numerosos detalles específicos con respecto a los sisíemas y méíodos de la preseníe invención y los ambienles en los cuales íales sistemas y métodos pueden operar, etc. , con objeto de proporcionar un concienzudo entendimienío de la preseníe invención. Será apareníe para un experto en la materia, sin embargo, que la preseníe invención puede practicarse sin íales deíalles específicos, y que ciertas caracteríslicas que son muy conocidas en la materia no se describen en detalle, con objeto de evitar complicación de la materia sujeto de la presente invención. Además, se entenderá que los ejemplos proporcionados a continuación son ejemplares y que se contempla que existan otros métodos y sistemas que se encuenlran deníro del alcance de la présenle invención. De acuerdo con la preseníe invención, se proporcionan sisíemas y mélodos para la protección mejorada de ataques en una aplicación. Estos sistemas y métodos proporcionan al menos un detector de anomalías y al menos una colmena (algunas veces referida como una "colmena sombra"). Estas colmenas sombra permiten que los signos de un ataque sean detectados y que la aplicación se proteja de tal ataque. El detector de anomalías monitorea todo el tráfico dirigido a una aplicación protegida. En lugar de permitir que la aplicación procese el tráfico que se considera anómalo, el tráfico anómalo se procesa por la colmena. Según se utiliza en la presente, la colmena es una instancia de la aplicación protegida que comparte sustancialmente todo estado interno con una instancia regular de la aplicación. Sin embargo, la colmena puede proporcionarse en diversos enfoques. Por ejemplo, en algunas modalidades, la aplicación de colmena puede ser al menos una porción de la aplicación protegida en sí. Usando la colmena, los ataques contra la colmena se deteclan y la colmena repara la aplicación (por ejemplo, cualquier cambio de estado en que se incurra se descarta). En otras modalidades, la aplicación puede restaurarse y cargarse con la información de estado que se guardó antes del ataque. El tráfico legítimo que se clasifica erróneamente por el detector de anomalías puede validarse por la colmena y puede procesarse correctamente por el sistema y de manera transparente por el usuario. Debe observarse que una colmena sombra puede usarse para protección tanto del servidor como de las aplicaciones del cliente. Algunas modalidades de la presente invención permiten que los diseñadores del sistema sintonicen el sistema de detección de anomalías para transmisiones de datos negafivas, falsas, bajas, reduciendo así el riesgo de clasificar erróneamente un aíaque real como íráfico legítimo, ya que la colmena retira cualquier positivo falso (o una indicación activada como falsa de un ataque). La presente invención puede defenderse de ataques que se adapían a un sitio específico con un estado interno particular. La FIG. 1 es un diagrama esquemático de un sistema ilusíraíivo 100, adecuado para implemeníación de sisiemas y méíodos para proteger a una aplicación de ataques de acuerdo con algunas modalidades de la presente invención. Refiriéndose a la FIG. 1 , se muestra un sistema ejemplar 100 para implemeníar la présenle invención. Como se ilusíra, el sisíema 100 puede incluir uno o más clientes 102. Los clientes 102 pueden ser locales entre sí o ser remotos entre sí, y se conectan por uno o más enlaces de comunicación 104 a una red de comunicaciones 106 que se enlaza a través de un enlace de comunicaciones 108 a un servidor 1 10. Diversas modalidades de la presente solicitud pueden implementarse en al menos el servidor y los clientes. En el sistema 100, el servidor 1 10 puede ser un servidor adecuado para ejecutar una aplicación, tal como un procesador, una compuíadora, un disposiíivo procesador de daíos, o una combinación de tales dispositivos. La red de comunicaciones 106 puede ser cualquier red de computadoras adecuada, incluyendo la I nterneí, una Intranet, una red de área amplia (WAN), una red de área local (LAN), una red inalámbrica, una red de línea de suscripíor digiíal (DSL), una red de relé de estrucíura, una red de modo de iransferencia asincrono (ATM), una red privada viríual (VPN), o cualquier combinación de cualquiera de las mismas. Los enlaces de comunicaciones 104 y 108 pueden ser cualquier enlace de comunicaciones adecuado para la comunicación de daíos eníre clientes 102 y el servidor 100, tal como enlaces de redes, enlaces de marcación, enlaces inalámbricos, enlaces conectados por cable, etc. Los clientes 102 pueden ser computadoras personales, compuíadoras portátiles, computadoras de estrucíura principal , íerminales, despliegues de daíos, buscadores en Internet, asistentes digitales personales (PDAs), paginadores de dos vías, terminales inalámbricas, teléfonos portátiles, etc. , o cualquier combinación de los mismos. Los clieníes 102 y el servidor 1 10 pueden localizarse en cualquier ubicación adecuada. En una modalidad, los clieníes 102 y el servidor 110 pueden localizarse deníro de una organización. De manera allernaíiva, los clienles 102 y el servidor 1 10 pueden dislribuirse enlre múlliples organizaciones. Ei servidor y uno de los clieníes, los cuales se ilustran en la
FIG. 1 , se Musirán con mayor delalle en la FIG. 2. Refiriéndose a la FIG. 2, el cliente 102 puede incluir el procesador 202, el dispositivo de despliegue 204, el dispositivo de entrada 206 y la memoria 208, los cuales pueden interconectarse. En una modalidad preferida, la memoria 208 contiene un dispositivo de almacenamiento para almacenar un programa cliente para controlar el procesador 202. La memoria 208 también puede contener una aplicación para proteger al menos otra aplicación de los ataques. En algunas modalidades, las aplicaciones pueden ser residentes en la memoria del cliente 102 o el servidor 1 10. Aunque los métodos y sistemas de la presente invención se describen en la presente, como implementados en un cliente o servidor, esto es solo ilustrativo. La aplicación puede implementarse en cualquier plataforma adecuada (por ejemplo, una computadora personal (PC), una computadora de esírucíura principal, una lerminal simple, un despliegue de datos, un paginador de dos vías, una terminal inalámbrica, un teléfono portátil, una compuladora porlátil , una minicomputadora personal , una H/PC, una PC de automóvil, una computadora transportable, un asistente digital personal (PDA), un teléfono celular y PDA combinados, etc.) para proporcionar tales características. Una ilustración simplificada del sisfema de algunas modalidades de acuerdo con la presente invención se ilustra en la FIG. 3. Como se muestra, el sistema 300 incluye un sensor de detección de anomalías 310. El sensor de detección de anomal ías 310 recibe el tráfico proveniente de la red 320. El sensor de detección de anomalías 310 puede dirigir el tráfico ya sea a la aplicación protegida 330 o una versión de colmena de la aplicación 340. En algunas modalidades, el sensor de detección de anomalías 310 puede dirigir el tráfico a la aplicación protegida 330 o la colmena 340 en base a una predicción realizada por el sensor de detección de anomal ías 310. Por ejemplo, el sensor de detección de anomalías 310 puede realizar una predicción sobre el tráfico proveniente de la red 320 en base al menos en parte a la realización de un análisis de carga o análisis de comportamiento de la red. Como se describió previamente, la versión de colmena de la aplicación 340 es una instancia de la aplicación protegida 330 que comparte sustancialmente todo estado interno con una instancia regular de la aplicación. En algunas modalidades, la aplicación de colmena puede ser al menos una porción de la aplicación protegida en sí. Usando la colmena 340, los ataques contra la colmena 340 se detectan y se descarta cualquier cambio en que se incurra. El tráfico 320 que se clasifica de manera errónea por el sensor de detección de anomalías 310 puede validarse por la colmena 340 y puede procesarse de manera correcta por el sistema 300 y de manera transparente hacia el usuario. Tanto la colmena 340 como la aplicación prolegida 330 se conectan a la misma información de estado del proceso 350. En general , la información de estado del proceso 350 puede incluir, por ejemplo, valores variables , información de asignación de memoria, información de estado relacionada con componentes o dispositivos asociados, o cualquier oíra información adecuada que puede necesiíarse para definir el estado actual de un proceso. En algunas modalidades, las colmenas, tal como la colmena 340, puede proporcionar sensores de detección de anomalías o cualquier otro componeníe de sisíema adecuado 300 con reíroalimeníación. Como se muesíra en la FIG. 3, el panal 340 puede proporcionar retroalimentación 360 al sensor de detección de anomalías 310. Por ejemplo, el panal 340 puede proporcionar información con respecto al ataque hacia el sensor de detección de anomalías 310. El sensor deíecíor de anomalías 310 puede uíilizar la retroalimentación 360 proveniente de la colmena 340 para actualizar los predictores usados deníro del sensor de deíección de anomalías 310 o utilizan la retroalimentación 360 en cualquier otro enfoque para sintonizar el sensor de detección de anomalías 310.
La FIG. 4 es un diagrama de flujo iluslralivo que iluslra la interacción del sensor de detección de anomalías y la colmena de acuerdo con algunas modalidades de la presente invención. El íráfico proveniente de una red se recibe por el sistema en el sensor de detección de anomalías (410 en la FIG. 4). El sensor de detección de anomalías determina si el tráfico recibido es o no un ataque en la aplicación (420 en la FIG. 4). Si el sensor de detección de anomalías predice que el tráfico recibido es un ataque, el tráfico recibido se dirige a la colmena (430 en la FIG. 4). El tráfico que llega a la colmena se procesa por la colmena y se moniíorea respecto a ataques (440 en la FIG. 4). Si no se deíecfa ataque por la colmena, el procesamiento del código se manera de manera transpareníe por el sislema (450 en la FIG. 4). Desde el punió de vista del usuario, parece que el tráfico se procesara por la aplicación protegida. La colmena íambién puede informar al sensor de deíección de anomalías que realizó una predicción errónea (450 en la FIG. 4). El sensor de detección de anomalías puede usar esta información para mejorar las predicciones futuras realizadas por el sensor de defección de anomal ías. De oíro modo, si la colmena deíermina que el íráfico recibido es un ataque, la colmena puede descartar cualquier cambio de esíado originado por el alaque (460 en la FIG. 4). La colmena también puede informar al sensor de detección de anomalías de una predicción correcta. La información con respecío a predicciones correctas también puede uíilizarse para mejorar predicciones fuluras realizadas por el sensor de defección de anomalías. Alternaíivameníe, si el sensor de deíección de anomalías predice que el tráfico recibido no es un ataque, el íráfico recibido se dirige a la aplicación prolegida (470 en la FIG. 4). En esíe caso, el íráfico recibido no se dirige a la versión de colmena. La FIG. 5 muestra otra instalación ilustrativa para el sistema de detección de ataque, de acuerdo con algunas modalidades de la présenle invención. En la instalación de la FIG. 5, el sistema 500 incluye un motor de filtración 510, una instalación de sensores de detección de anomalías 520, una versión de colmena de la aplicación 530, una aplicación protegida 540, un estado de proceso actual 550 y una declaración de proceso guardada para la repetidora 560. El motor de filtración 510 recibe el tráfico proveniente de la red 570. El motor de filtración 510 puede utilizarse por el sistema 500 para bloquear ataques conocidos dentro diel tráfico recibido 570. La filíración puede realizarse, por ejemplo, en base al coníenido de carga, la fueníe del ataque, una combinación de cualquier metodología de filtración adecuada, o medíanle cualquier otro enfoque adecuado para la filtración del tráfico recibido. Como se muestra en la FIG. 5, el motor de filtración 510 puede configurarse como un estrato entre la instalación de los sensores de detección de anomalías 520 y el tráfico proveniente dé la red 570. El motor de filtración 510 puede utilizarse para derribar tipos específicos de tráfico antes de que se lleve a cabo cualquier procesamiento adicional .
Si el tráfico proveniente de la red 570 pasa a través del motor de filtración 510, la instalación de uno o más de los sensores de detección de anomalías 520 puede usarse para procesar el tráfico recibido 570. Los ejemplos de tipos de sensores de detección de anomalías 520 que pueden utilizarse en el sistema 500 incluyen sensores que llevan a cabo análisis de carga y detectores de anomalías de comportamiento de la red. Sin embargo, debe observarse que puede utilizarse cualquier sensor de detección de anomalías adecuado, de acuerdo con la presente invención. Debe observarse que los resultados pueden mejorar si los sensores de detección de anomalías 520 se sintonizan a una sensibilidad elevada. Aunque esto incrementa la cantidad de falsos positivos reportados por los sensores de detección de anomalías 520, asegura aún más que los ataques no alcancen las aplicaciones protegidas 540. En base, al menos en parte, a la predicción del uno o más sensores de detección de anomalías 520, el sistema 500invoca ya sea la instancia regular de la aplicación protegida 540 o la versión de colmena de la aplicación 530. Como se describió previamente, la versión de colmena de la aplicación 530 es una inslancia inslrumenlada de la aplicación, que comparíe sustancialmente todo estado interno con una instancia regular de la aplicación. Usando la colmena 530, se detectan los ataques contra la colmena 530 y se descarta cualquier cambio de esíado incurrido. Tanío la colmena 530 como la aplicación protegida 540 se conectan a la misma información de estado del proceso 550. Sin embargo, en respuesta a la defección de un ataque o falla, la colmena 530 puede revertir cualquier cambio de estado a un estado bueno conocido. Por ejemplo, la colmena 530 puede revertir el eslado que lenía la aplicación prolegida 540 anles del procesamiento de la demanda maliciosa (por ejemplo, una declaración de proceso guardada para la repetidora 560). De manera alternativa, la colmena 530 puede reiniciar la aplicación o iniciar una nueva instancia de la aplicación que había guardado previamente la información de estado en respuesta a la detección de un ataque. En algunas modalidades, la colmena 530 puede proporcionar el motor de filtración 510, uno o más sensores de detección de anomalías 520, o cualquier otro componente de sistema adecuado 500 con retroalimentación. Por ejemplo, en respuesta a que la colmena 530 detecta un ataque real , determina un falso positivo, o no detecta ataques, la colmena 530 puede proporcionar información a uno o más de los sensores de detección de anomal ías 520. El uno o más sensores de detección de anomalías 520 puede usar la retroalimentación 580 de la colmena 530 para actualizar los predictores usados dentro del uno o más sensores de detección de anomalías 520 o usar la retroalimentación 580 en cualquier otro enfoque adecuado para sintonizar el uno o más sensores de detección de anomalías 520. Por ejemplo, el uno o más sensores de detección de anomalías 520 pueden uíilizar la información para bloquear ataques similares en el futuro y/o aprender de predicciones correctas e incorrectas del pasado. En otro ejemplo, los predicíores o modelos de predicción pueden actualizarse si no se deíecían aíaques . También puede uíilizarse cualquier oíro enfoque adecuado para la auío-si níonización y actualización del uno o más sensores de detección de anomal ías 520. En otro ejemplo, en respuesta a que la col mena 530 detecta un ataque real , determina un falso posilivo, o no deíecta ataques, la colmena 530 puede proporcionar i nformación (por ejemplo, retroalimeníación 590) al motor de filtración 51 0. El moíor de filtración 51 0 puede utilizar la retroalimenlación 590 provenieníe de la colmena 530 para actualizar los filtros usados por el motor de filtración 510 o usar la reiroalimeníación 590 en cualquier otro enfoque adecuado para sintonizar el molor de filtración 51 0. Por ejemplo, el motor de filtración 51 0 puede usar la retroalimentación 590 para bloquear ataques similares en el futuro y/o aprender de predicciones correctas e incorrectas del pasado. También puede utilizarse cualquier otro enfoque adecuado de auto-sintonización y actualización del motor de filtración 51 0. Debe observarse que el tráfico a través del sistema 500, incluyendo tráfico de ataque, puede interactuar con la aplicación protegida a través de procesamiento mediante el motor de filtración 510 y uno o más sensores de detección de anomalías 520, donde no se permite acceso del canal lateral . Ciertas modalidades de la presente i nvención pueden integrarse tanto con servidores como con clientes. En algunas modalidades, la colmena sombra puede acoplarse de manera exacta con un servidor. La aplicación del servidor puede protegerse al tener las demandas sospechosas desviadas a una versión de colmena de la aplicación de servidor en la cual la aplicación de servidor y la colmena lienen funcionalidad y eslado de reflejo. La aplicación prolegida puede ser, por ejemplo, un servidor en red. En algunas modalidades, la colmena sombra puede acoplarse de manera exacta con un cliente. La aplicación de cliente puede protegerse de, por ejemplo, ataques pasivos donde el atacante invite a un usuario del cliente a descargar datos que contienen un ataque (por ejemplo, la vulnerabilidad de sobre-flujo de regulador, reciente, en el manejo TPEG de Microsoft Internet Explorer). La aplicación protegida puede utilizarse para proteger, por ejemplo, un explorador en red o cualquier otra aplicación en el cliente de un ataque contenido en un solo paquete, un flujo entero o un conjunto de flujos.
Aunque la presente invención se ha descrito e ilustrado en las modalidades ejemplares anteriores como acoplado de manera exacta a fin de que los atacantes no puedan explotar las diferencias entre el esíado de la colmena y el estado de la aplicación debido a que ambas comparten el mismo estado, debe observarse que la presente exposición se ha elaborado solo a manera de ejemplo, y que numerosos cambios en los detalles de construcción y combinación e instalación de los procesos y equipo, pueden hacerse sin apartarse del espíritu y alcance de la invención. Por ejemplo, puede proporcionarse una configuración acoplada de manera débil de acuerdo con algunas modalidades de la presente invención. La colmena puede residir en un sistema diferente y no compartiría estado con la aplicación protegida. Esta modalidad acoplada de manera débil permite que la colmena se maneje por una entidad separada, proporcionando así al usuario la habilidad de manejar de manera externa la colmena. Como se muestra, los componentes de filtración y detección de anomalías (por ejemplo, motor de filtración 510 y uno o más sensores de defección de anomalías 520) pueden acoplarse de manera exacta con la aplicación protegida. De manera alternaliva, los componenles de fillración y de detección de anomalías podrían centrarse en un punfo de adición natural en la topología de la red, tal como el muro cortafuego. La FIG. 6 muesíra un diagrama de otra insíalación ilustraíiva para el sisíema de deíección de aíaques de acuerdo con algunas modalidades de la presente invención. Como se muestra en la instalación de la FIG. 6, los componentes de detección de anomalías y de filtración pueden implementarse con un procesador en red como una balanza de carga del cliente escalable y una instalación de sensores esnórkel que se ejecutan en computadoras conectadas al panel del procesador de trabajo en red que implementa todas las heurísticas de delección. Por ejemplo, el procesador de írabajo en red seleccionado puede ser un procesador de írabajo en red IXP1200. En algunas modalidades, ninguna de las heurísticas de deíección se implemenía en ésta, ya que los procesadores de trabajo en red se diseñan para simple avance y carecen de capacidad de procesamienío requerida para las velocidades necesarias y pueden ser más difíciles de programar y depurar que oíros procesadores . Sin embargo, en algunas modalidades, las heurísíicas de detección pueden implementarse en el procesador de trabajo en red. El componente de detección de anomalías proporciona la habilidad de desviar demandas maliciosas hacia la colmena. Por ejemplo, en servidores en red, una definición razonable del coníexto de ataque es una demanda HTTP. Para este propósito, el componenle de deíección de anomalías conslruye una demanda, ejecuta las heurísticas de detección de anomalías y avanza la demanda dependiendo del resultado. Ya que este procesamiento puede llevarse a cabo a nivel HTTP, se proporciona una función similar a una representación HTTP. Los componentes de detección de anomalías del servidor de colmena acoplado de manera exacta pueden implementarse al aumentar una representación HTTP con la habilidad para aplicar la heurística de detección de Ejecución de Carga Abstracta en la demanda entrante y dirigirla de acuerdo con su decisión. Para el escenario cliente, puede ulilizarse una solución allernativa en base a monitoreo pasivo. En es?a configuración, las corrienles TCP de las conexiones HTTP pueden reconstruirse y el protocolo HTTP puede decodificarse para extraer objelos sospechosos. Un objelo puede entonces examinarse directamenle al aplicar un algoritmo heurístico. Si los objetos parecen sospechosos, se da principio a un servidor que reproduce la respuesta sospechosa y dirige un explorador de colmena a este servidor. La traducción de la carga y la detección de sobre-flujo en el regulador a través de la ejecución de carga abstracta pueden utilizarse como heurísíica para deíección de anomalías. El algoriímo de íraducción de carga deriva huellas digiiales de serpentines de rápida difusión medianíe ideníificación de subseries populares en el tráfico de red. La detección de sobre-flujo de regulador a través de ejecución de carga abstracta detecta ataques al sobre-fl ujo de regulador medianíe búsqueda de secuencias lo suficieníemeníe largas de instrucciones válidas en el tráfico de red. Las secuencias largas de instrucciones válidas pueden aparecer en datos no maliciosos y es aquí donde puede implementarse la colmena. Este mecanismo de detección es atraciivo debido a que puede aplicarse a alaques individuales y acliva la detección después de encontrar la primera insíancia de un alaque. Eslo es a diferencia de muchos mecanismos de deíección de anomalías que se requieren para atestiguar múltiples ataques antes de eíiqueíar los ataques como anómalos. En algunas modalidades, puede utilizarse una herramienta de transformación de código para crear una colmena. Esta herramienta recibe la aplicación original como entrada y la inserta en el código de colmena. Aunque los errores de violación de memoria se describen básicameníe en estas modalidades, debe observarse que la presente invención también puede uíilizarse para alrapar y deiecíar otras violaciones. TXL, en lenguaje en base a reglas, funcional e híbrido, puede utilizarse para llevar a cabo las transformaciones de código, donde GCC C (Compilador GNU C) puede utilizarse como el extremo frontal. TXL es muy adecuado para llevar a cabo transformación de fuente a fuente, sin embargo, también podrían utilizarse una muy aplica variedad de lenguajes. La gramática responsable de ordenar la entrada de origen se específica en una noíación similar a Exíended Backus Naur. En algunas modalidades, la colmena se crea al mover lodos los reguladores estáticos a la pila. Los reguladores estáticos pueden moverse a la pila al asignar dinámicamente cada regulador después de introducir la función en la cual se declaró previamente. Estos reguladores pueden des-asignarse después de abandonar la función, ya sea de manera implícita (por ejemplo, al alcanzar el final del cuerpo de la función) o de manera explícita (por ejemplo, a través de una declaración de retorno). Debe observarse que debido a que se instrumentan regiones de memoria asignadas, se detectan accesos ilegales con respecto al solapamiento de señaladores. Para la asignación de memoria, se creó una nueva versión de mallocO, llamado pmallocQ. La FIG. 7 es un ejemplo ilustrativo de una asignación de memoria en base a pmallocQ de acuerdo con algunas modalidades de la presente invención. Como se muestra en la FIG. 7, la asignación de memoria en base a pmalloc() asigna tres páginas de memoria 710. Aparte de la página básica, pmalloc() asigna dos páginas adicionales, protegidas contra escritura, no rellenas, 720, que encuadran el regulador solicitado. Las páginas extra pueden representarse mmapQ a partir de /dev/cero como de solo lectura. Debido a que mmapQ opera a granularidad de página de memoria, las demandas de memoria se aproximan a la página más cercana. El señalador 730 que se registra por pmalloc() puede ajustarse para atrapar inmediatamente cualquier sobre-flujo o subflujo del regulador. La FIG. 8 muestra un ejemplo de una traducción de código de acuerdo con algunas modalidades de la presente invención. El código original se muestra en el bloque 810 y el código traducido se muestra en el bloque 820. Los reguladores que se asignan a través de mallocQ pueden cambiarse a pmalloc() 830. Esto puede lograrse al examinar declaraciones en la fuente y su transformación a señaladores donde el tamaño se asigna con una llamada de función mallocQ. El lenguaje C también puede ajustarse para liberar la memoria 840 antes de que regrese la función. Cualquier sobre-flujo o sub-flujo en un regulador asignado a través de pmallocQ puede originar que el proceso reciba una señal de Violación de Segmentación (SEGV), lá cual es capíurada por un manejador de señal que se agrega al código fueníe en principalQ. El manejador de señal noíifica al sisíema óperalivo aboríar iodos los cambios de esíado elaborados por el proceso mienlras se procesa esía demanda. Para hacer esto, puede agregarse una nueva llamada de sislema al sislema operativo llamada transacciónQ. La función de transacciónQ se invoca condicionalmente en tres lugares en el código a discreción de la función de permitir_sombra(). La función de permitir_sombra() se vuelve verdadera cuando se ejecuta la versión de colmena del código. La primer ubicación en que se coloca esa IransacciónQ es en el interior del ciclo de procesamiento principal antes de iniciar el manejo de una nueva demanda. Esto indica al sistema operativo que ha comenzado una nueva transacción. El sistema operativo realiza un respaldo de todos los permisos de memoria y marca todas las páginas de memoria de pila como de solo lectura. A medida que se ejecuta el proceso y modifica estas páginas, el sisfema operativo mantiene una copia de la página original y asigna una nueva página, a la cual se dan los permisos de la página original desde el respaldo, para utilizar el proceso. Esío se realiza de la misma manera en que funcionan las copias en sislemas operativos modernos. Esta llamada de transacción() puede colocarse manualmente, por ejemplo, por el programador o diseñador del sistema. Ambas copias de la página se mantienen hasta que se llame nuevamente la IransacciónQ, como se describirá a continuación. Después de terminar de manejar una demanda, dentro del ciclo de procesamiento principal, puede invocarse la segunda transacción() de ubicación. Esio se realiza aquí para indicar al sislema operativo que se ha completado exitosamente una transacción. El sistema operativo descarta entonces todas las copias originales de páginas de memoria que se han modificado durante el procesamiento de la demanda. Esta llamada de transacción también puede colocarse manualmente. La tercer ubicación en que puede invocarse la transacción es dentro del manejador de señal . Esta ubicación puede instalarse de manera automática mediante modalidades de la presente invención. Esto se realiza para indicar al sistema operativo que se ha detectado un ataque (excepción). El sistema operativo descarta entonces todas las páginas de memoria modificadas al restaurar las páginas originales. En algunas modalidades, un mecanismo similar al arriba descrito puede conformarse alrededor de un sistema de archivo. Esto puede realizarse, por ejemplo, al utilizar una copia privada de una memoria intermedia de regulador para el procesamiento realizado en la versión de colmena del código. Debe entenderse que la invención no se limita en su aplicación a los detalles de construcción y a las instalaciones de los componentes establecidos en la siguiente descripción o ilustrados en los dibujos. La invención es capaz de otras modalidades y de practicarse y llevarse a cabo de diversas maneras. También, debe entenderse que la fraseología y terminología empleadas en ia presente son con el propósito de descripción y no deben considerarse como limitantes. Por lo tanto, aquellos expertos en la materia apreciarán que la concepción, sobre la cual se basa esta exposición, puede utilizarse fácilmente como una base para el diseño de otras estructuras, métodos y sistemas para llevar a cabo los diversos propósitos de la presente invención. Por consiguiente, es importante que las reivindicaciones se consideren incluyendo tales construcciones equivaleníes, siempre y cuando no se aparíen de la preseníe invención. Aunque la presente invención se ha descrito e ilustrado en las modalidades ejemplares anteriores, se enliende que la présenle exposición se ha elaborado solo a manera de ejemplo y que pueden hacerse numerosos cambios en los delalles de implementación de la invención sin apartarse del espíritu y alcance de la invención, la cual se limita solo por las reivindicaciones que siguen.
Claims (1)
- ( EDWDMDOC ClOí^ ES 1 . Un método para proteger aplicaciones de ataques , caracterizado el método porque comprende: recibir el tráfico proveniente de una red de comunicaciones que intenta llegar a una aplicación; transmitir el tráfico recibido a través de un componenle de delección de anomalías, en donde el componente de detección de anomal ías predice si el tráfico recibido es un ataque potencial sobre la aplicación y en donde el componente de detección de anomalías se sintoniza para lograr una baja velocidad de transmisión de falsos negativos; recibir una indicación proveniente del componente de detección de anomalías con relación a la predicción del ataque potencial sobre la aplicación; en respuesta a la recepción de la indicación proveniente del componente de detección de anomalías, transmitir el tráfico recibido a una colmena, en donde la colmena es una instancia de la aplicación que comparte información de estado con la aplicación y en donde la colmena monitorea el tráfico recibido respecto a ataques sobre la aplicación; recibir una indicación proveniente de la colmena de que el tráfico recibido es un ataque sobre la aplicación; y recibir una indicación proveniente de la colmena para reparar la información de estado de la aplicación. 2. El método según la reivindicación 1 , caracterizado porque la reparación comprende además revertir la información de esíado de la aplicación a la información de esíado previamente guardada. 3. El método según la reivindicación 1 , caracíerizado porque la reparación comprende además descartar la información de estado de la aplicación. 4. El método según la reivindicación 1 , caracterizado porque la reparación comprende además iniciar una nueva instancia de la aplicación con la información de esíado previameníe guardada. 5. El méíodo según la reivindicación 1 , caraclerizado porque comprende además filtrar el tráfico recibido antes de transmitir el tráfico recibido al componente de detección de anomalías. 6. El método según la reivindicación 5, caraclerizado porque la filtración se basa en al menos uno del contenido de carga y la fuente del ataque. 7. El método según la reivindicación 1 , caracterizado porque comprende además transmitir la retroalimentación proveniente de la colmena hacia el componente de detección de anomalías. 8. El método según la reivindicación 7, caracterizado porque comprende además actualizar el componente de detección de anomalías en base al menos en parte a la retroalimentación proveniente de la colmena. 9. El método según la reivindicación 7, caracíerizado porque comprende además aclualizar al menos uno de los prediclores y modelos asociados con el componeníe de delección de anomalías. 10. El méiodo según la reivindicación 7, caracterizado porque comprende además usar la retroalimentación para si ntonizar automáticamente el componente de detección de anomal ías. 1 1 . El método según la reivindicación 7, caracterizado porque comprende además usar la retroalimentación para si ntonizar automáticamente un filtro. 12. El método según la reivindicación 1 , caracterizado porque la aplicación es una de una aplicación de servidor, una aplicación de cliente, un sisíema operalivo, y una aplicación en una estrucíura principal . 13. El método según la reivindicación 1 , caracterizado porque comprende además: proporcionar un filtro antes del componeníe de delección de anomal ías; transmitir la retroalimentación proveniente de la colmena al filtro; y actualizar el filtro en base al menos en parte a la retroalimentación proveniente de la colmena. 14. Un sistema para proteger a las aplicaciones de los ataques, caracterizado el sistema porque comprende: un componente de detección de anomalías que se sintoniza para lograr una baja velocidad de transmisión de falsos negativos, en donde el componente de detección de anomalías se configura para: recibir el íráfico proveniente de una red de comunicaciones que i ntenla llegar a la aplicación; y predecir si el íráfico recibido es un alaque poíencial sobre la aplicación; y una colmena que es una i nstancia de la aplicación que comparte i nformación de estado con la aplicación, en donde la colmena se configura para: recibir una indicación proveniente del componente de detección de anomalías con relación a la predicción del ataque polencial ; moniíorear el íráfico recibido respecío a alaques sobre la aplicación; y en respuesía a la deíerminación de que el íráfico recibido es un ataque sobre la aplicación, reparar la información de estado de la aplicación. 1 5. El sistema según la reivindicación 14, caracterizado porque la colmena se configura además para reveríir la i nformación de estado de la aplicación a la información de estado previameníe guardada. 16. El sislema según la reivindicación 14, caracterizado porque la colmena se configura además para descartar la información de estado de la aplicación. 1 7. El sistema según la reivi ndicación 14, caracterizado porque la colmena se configura además para iniciar una nueva instancia de la aplicación con i nformación de estado previamente guardada. 1 8. El sistema según la reivindicación 14, caracterizado porque comprende además un filtro que filtra el tráfico recibido antes de la transmisión del tráfico recibido al componente de detección de anomalías. 19. El sistema según la reivindicación 14, caracterizado porque la colmena se configura además para transmitir la retroalimentación proveniente de la colmena hacia el componente de detección de anomalías. 20. El sistema según la reivindicación 19, caracterizado porque el componente de detección de anomalías se configura además para actualizar el componente de detección de anomalías en base al menos en parte a la retroalimentación proveniente de la colmena. 21. El sistema según la reivindicación 19, caracterizado porque el componente de detección de anomalías se configura además para actualizar al menos uno de los predictores y modelos asociados con el componente de detección de anomalías. 22. El sistema según la reivindicación 19, caracterizado porque el componente de detección de anomalías se configura además para sintonizar el componente de detección de anomalías en base al menos en parte a la retroalimentación. 23. El sistema según la reivindicación 14, caracterizado porque comprende además un filtro configurado para recibir el tráfico antes que el componente de detección de anomalías, en donde el filtro recibe la retroalimentación proveniente de la colmena y se actualiza en base, al menos en parte, a la retroalimentación proveniente de la colmena. L ES0W3EM De acuerdo con algunas modalidades de la presente invención, se proporcionan sistemas y métodos que protegen una aplicación de ataques. En algunas modalidades de la presente invención, el tráfico proveniente de una red de comunicaciones se recibe por un componente de detección de anomalías. El componente de detección de anomalías monitorea el tráfico recibido y dirige el tráfico ya sea hacia la aplicación protegida o hacia una colmena, donde la colmena comparte toda la información de estado con la aplicación. Si el tráfico recibido se dirige a la colmena, la colmena monitorea el tráfico respecto a un ataque. Si ocurre un ataque, la colmena repara la aplicación protegida (por ejemplo, descartando cualquier cambio de estado incurrido a partir del ataque, revirtiendo a la información de estado previamente guardada, etc. ).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US67228005P | 2005-04-18 | 2005-04-18 | |
PCT/US2006/014704 WO2006113781A1 (en) | 2005-04-18 | 2006-04-18 | Systems and methods for detecting and inhibiting attacks using honeypots |
Publications (1)
Publication Number | Publication Date |
---|---|
MX2007013025A true MX2007013025A (es) | 2008-01-11 |
Family
ID=37115495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
MX2007013025A MX2007013025A (es) | 2005-04-18 | 2006-04-18 | Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas. |
Country Status (10)
Country | Link |
---|---|
US (1) | US7904959B2 (es) |
EP (1) | EP1872222A1 (es) |
JP (1) | JP2008537267A (es) |
CN (1) | CN101185063A (es) |
AU (1) | AU2006236283A1 (es) |
BR (1) | BRPI0610855A2 (es) |
CA (1) | CA2604544A1 (es) |
MX (1) | MX2007013025A (es) |
RU (1) | RU2007142368A (es) |
WO (1) | WO2006113781A1 (es) |
Families Citing this family (276)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8549638B2 (en) * | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8429746B2 (en) | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
US8479288B2 (en) * | 2006-07-21 | 2013-07-02 | Research In Motion Limited | Method and system for providing a honeypot mode for an electronic device |
US8407160B2 (en) | 2006-11-15 | 2013-03-26 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for generating sanitized data, sanitizing anomaly detection models, and/or generating sanitized anomaly detection models |
US8949986B2 (en) * | 2006-12-29 | 2015-02-03 | Intel Corporation | Network security elements using endpoint resources |
US8239688B2 (en) * | 2007-01-07 | 2012-08-07 | Apple Inc. | Securely recovering a computing device |
US8286244B2 (en) * | 2007-01-19 | 2012-10-09 | Hewlett-Packard Development Company, L.P. | Method and system for protecting a computer network against packet floods |
DE102007017400A1 (de) * | 2007-04-13 | 2008-10-16 | Wilhelm, Andreas | Verfahren zur Filterung von unerwünschten E-Mails |
CN101729389B (zh) * | 2008-10-21 | 2012-05-23 | 北京启明星辰信息技术股份有限公司 | 基于流量预测和可信网络地址学习的流量控制装置和方法 |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
CN101567887B (zh) * | 2008-12-25 | 2012-05-23 | 中国人民解放军总参谋部第五十四研究所 | 一种漏洞拟真超载蜜罐方法 |
JP5393286B2 (ja) * | 2009-06-22 | 2014-01-22 | 日本電信電話株式会社 | アクセス制御システム、アクセス制御装置及びアクセス制御方法 |
CN101582907B (zh) * | 2009-06-24 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 一种增强蜜网诱骗力度的方法和蜜网系统 |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8489534B2 (en) * | 2009-12-15 | 2013-07-16 | Paul D. Dlugosch | Adaptive content inspection |
US9369437B2 (en) | 2010-04-01 | 2016-06-14 | Cloudflare, Inc. | Internet-based proxy service to modify internet responses |
US9049247B2 (en) | 2010-04-01 | 2015-06-02 | Cloudfare, Inc. | Internet-based proxy service for responding to server offline errors |
US9106697B2 (en) | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
US8789189B2 (en) | 2010-06-24 | 2014-07-22 | NeurallQ, Inc. | System and method for sampling forensic data of unauthorized activities using executability states |
US9032521B2 (en) | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
US8752174B2 (en) | 2010-12-27 | 2014-06-10 | Avaya Inc. | System and method for VoIP honeypot for converged VoIP services |
JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
JP5697206B2 (ja) | 2011-03-31 | 2015-04-08 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 不正アクセスに対する防御をするシステム、方法およびプログラム |
US8285808B1 (en) | 2011-05-20 | 2012-10-09 | Cloudflare, Inc. | Loading of web resources |
US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US9245115B1 (en) | 2012-02-13 | 2016-01-26 | ZapFraud, Inc. | Determining risk exposure and avoiding fraud using a collection of terms |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
US10270739B2 (en) | 2012-02-28 | 2019-04-23 | Raytheon Bbn Technologies Corp. | System and method for protecting service-level entities |
US9560011B2 (en) * | 2012-02-28 | 2017-01-31 | Raytheon Company | System and method for protecting service-level entities |
US8347391B1 (en) | 2012-05-23 | 2013-01-01 | TrustPipe LLC | System and method for detecting network activity of interest |
US9485276B2 (en) | 2012-09-28 | 2016-11-01 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
CN103051615B (zh) * | 2012-12-14 | 2015-07-29 | 陈晶 | 一种蜜场系统中抗大流量攻击的动态防御系统 |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US8856324B2 (en) | 2013-01-28 | 2014-10-07 | TrustPipe LLC | System and method for detecting a compromised computing system |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US9436652B2 (en) * | 2013-06-01 | 2016-09-06 | General Electric Company | Honeyport active network security |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9794275B1 (en) * | 2013-06-28 | 2017-10-17 | Symantec Corporation | Lightweight replicas for securing cloud-based services |
US8973142B2 (en) * | 2013-07-02 | 2015-03-03 | Imperva, Inc. | Compromised insider honey pots using reverse honey tokens |
US10277628B1 (en) | 2013-09-16 | 2019-04-30 | ZapFraud, Inc. | Detecting phishing attempts |
US20150089655A1 (en) * | 2013-09-23 | 2015-03-26 | Electronics And Telecommunications Research Institute | System and method for detecting malware based on virtual host |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US10694029B1 (en) | 2013-11-07 | 2020-06-23 | Rightquestion, Llc | Validating automatic number identification data |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
CN103632100B (zh) * | 2013-11-08 | 2017-06-27 | 北京奇安信科技有限公司 | 一种网站漏洞检测方法及装置 |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
CN103607399B (zh) * | 2013-11-25 | 2016-07-27 | 中国人民解放军理工大学 | 基于暗网的专用ip网络安全监测系统及方法 |
GB201321949D0 (en) | 2013-12-12 | 2014-01-29 | Ibm | Semiconductor nanowire fabrication |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9292686B2 (en) | 2014-01-16 | 2016-03-22 | Fireeye, Inc. | Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9942250B2 (en) | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US9560075B2 (en) | 2014-10-22 | 2017-01-31 | International Business Machines Corporation | Cognitive honeypot |
EP3123311B8 (en) | 2014-11-17 | 2021-03-03 | Morphisec Information Security 2014 Ltd | Malicious code protection for computer systems based on process modification |
US9535731B2 (en) | 2014-11-21 | 2017-01-03 | International Business Machines Corporation | Dynamic security sandboxing based on intruder intent |
CN104980423A (zh) * | 2014-11-26 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种高级可持续威胁诱捕系统及方法 |
US9591022B2 (en) | 2014-12-17 | 2017-03-07 | The Boeing Company | Computer defenses and counterattacks |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
EP3041190B1 (en) * | 2014-12-30 | 2020-11-25 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
EP3243313B1 (en) | 2015-01-07 | 2020-09-16 | GoSecure Inc. | System and method for monitoring a computer system using machine interpretable code |
USD814494S1 (en) | 2015-03-02 | 2018-04-03 | Norse Networks, Inc. | Computer display panel with an icon image of a live electronic threat intelligence visualization interface |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
USD810775S1 (en) | 2015-04-21 | 2018-02-20 | Norse Networks, Inc. | Computer display panel with a graphical live electronic threat intelligence visualization interface |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US9954870B2 (en) | 2015-04-29 | 2018-04-24 | International Business Machines Corporation | System conversion in a networked computing environment |
US9462013B1 (en) | 2015-04-29 | 2016-10-04 | International Business Machines Corporation | Managing security breaches in a networked computing environment |
US9923908B2 (en) | 2015-04-29 | 2018-03-20 | International Business Machines Corporation | Data protection in a networked computing environment |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US9923914B2 (en) * | 2015-06-30 | 2018-03-20 | Norse Networks, Inc. | Systems and platforms for intelligently monitoring risky network activities |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US20170134405A1 (en) * | 2015-11-09 | 2017-05-11 | Qualcomm Incorporated | Dynamic Honeypot System |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10135867B2 (en) * | 2015-12-08 | 2018-11-20 | Bank Of America Corporation | Dynamically updated computing environments for detecting and capturing unauthorized computer activities |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
WO2017132170A1 (en) | 2016-01-26 | 2017-08-03 | ZapFraud, Inc. | Detection of business email compromise |
US10402563B2 (en) | 2016-02-11 | 2019-09-03 | Morphisec Information Security Ltd. | Automated classification of exploits based on runtime environmental features |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10616266B1 (en) | 2016-03-25 | 2020-04-07 | Fireeye, Inc. | Distributed malware detection system and submission workflow thereof |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10333982B2 (en) | 2016-04-19 | 2019-06-25 | Visa International Service Association | Rotation of authorization rules in memory of authorization system |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US20180020024A1 (en) * | 2016-07-14 | 2018-01-18 | Qualcomm Incorporated | Methods and Systems for Using Self-learning Techniques to Protect a Web Application |
WO2018017151A1 (en) * | 2016-07-21 | 2018-01-25 | Level 3 Communications, Llc | System and method for voice security in a telecommunications network |
US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10476895B2 (en) * | 2016-09-12 | 2019-11-12 | Sap Se | Intrusion detection and response system |
US10805314B2 (en) | 2017-05-19 | 2020-10-13 | Agari Data, Inc. | Using message context to evaluate security of requested data |
US10880322B1 (en) | 2016-09-26 | 2020-12-29 | Agari Data, Inc. | Automated tracking of interaction with a resource of a message |
US10805270B2 (en) | 2016-09-26 | 2020-10-13 | Agari Data, Inc. | Mitigating communication risk by verifying a sender of a message |
US11936604B2 (en) | 2016-09-26 | 2024-03-19 | Agari Data, Inc. | Multi-level security analysis and intermediate delivery of an electronic message |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US20180124018A1 (en) * | 2016-11-01 | 2018-05-03 | Qualcomm Incorporated | Coordinated application firewall |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US11722513B2 (en) | 2016-11-30 | 2023-08-08 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US11044267B2 (en) | 2016-11-30 | 2021-06-22 | Agari Data, Inc. | Using a measure of influence of sender in determining a security risk associated with an electronic message |
US10715543B2 (en) | 2016-11-30 | 2020-07-14 | Agari Data, Inc. | Detecting computer security risk based on previously observed communications |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10554507B1 (en) | 2017-03-30 | 2020-02-04 | Fireeye, Inc. | Multi-level control for enhanced resource and object evaluation management of malware detection system |
US11019076B1 (en) | 2017-04-26 | 2021-05-25 | Agari Data, Inc. | Message security assessment using sender identity profiles |
US10599838B2 (en) * | 2017-05-08 | 2020-03-24 | Micron Technology, Inc. | Crypto-ransomware compromise detection |
US10897472B1 (en) * | 2017-06-02 | 2021-01-19 | Enigma Networkz, LLC | IT computer network threat analysis, detection and containment |
CN107332823A (zh) * | 2017-06-06 | 2017-11-07 | 北京明朝万达科技股份有限公司 | 一种基于机器学习的服务器伪装方法和系统 |
US11757914B1 (en) | 2017-06-07 | 2023-09-12 | Agari Data, Inc. | Automated responsive message to determine a security risk of a message sender |
US11102244B1 (en) | 2017-06-07 | 2021-08-24 | Agari Data, Inc. | Automated intelligence gathering |
EP3416084B1 (en) * | 2017-06-15 | 2021-01-27 | Nokia Solutions and Networks Oy | Communication apparatus, method and software |
US10534915B2 (en) * | 2017-06-29 | 2020-01-14 | Aqua Security Software, Ltd. | System for virtual patching security vulnerabilities in software containers |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
CN107426242B (zh) * | 2017-08-25 | 2020-03-31 | 中国科学院计算机网络信息中心 | 网络安全防护方法、装置及存储介质 |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US10769275B2 (en) * | 2017-10-06 | 2020-09-08 | Ca, Inc. | Systems and methods for monitoring bait to protect users from security threats |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US10826939B2 (en) * | 2018-01-19 | 2020-11-03 | Rapid7, Inc. | Blended honeypot |
US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
WO2019152421A1 (en) * | 2018-01-31 | 2019-08-08 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US20200012890A1 (en) * | 2018-07-06 | 2020-01-09 | Capital One Services, Llc | Systems and methods for data stream simulation |
US10733297B2 (en) * | 2018-07-09 | 2020-08-04 | Juniper Networks, Inc. | Real-time signatureless malware detection |
EP3605374A1 (en) * | 2018-08-03 | 2020-02-05 | Hewlett-Packard Development Company, L.P. | Intrusion resilient applications |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
CN109104438B (zh) * | 2018-10-22 | 2021-06-18 | 杭州安恒信息技术股份有限公司 | 窄带物联网中的僵尸网络预警方法、装置及可读存储介质 |
CN109547250B (zh) * | 2018-11-26 | 2022-08-09 | 深信服科技股份有限公司 | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11263295B2 (en) * | 2019-07-08 | 2022-03-01 | Cloud Linux Software Inc. | Systems and methods for intrusion detection and prevention using software patching and honeypots |
US11550899B2 (en) | 2019-07-22 | 2023-01-10 | Cloud Linux Software Inc. | Systems and methods for hardening security systems using live patching |
US11409862B2 (en) * | 2019-07-22 | 2022-08-09 | Cloud Linux Software Inc. | Intrusion detection and prevention for unknown software vulnerabilities using live patching |
US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
CN111027059B (zh) * | 2019-11-29 | 2022-07-19 | 武汉大学 | 一种基于llvm的抵御内存泄露的系统及方法 |
US11165823B2 (en) * | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
US20230057332A1 (en) * | 2020-01-22 | 2023-02-23 | Siemens Industry, Inc. | Real-time and independent cyber-attack monitoring and automatic cyber-attack response system |
CN111400703B (zh) * | 2020-02-15 | 2023-08-01 | 江苏亨通工控安全研究院有限公司 | 一种带有签名功能的工业控制领域的蜜罐系统 |
CN111506316B (zh) * | 2020-03-20 | 2023-02-24 | 微梦创科网络科技(中国)有限公司 | 一种自动化蜜罐部署方法及装置 |
CN112035154B (zh) * | 2020-08-13 | 2023-12-01 | 上海帆一尚行科技有限公司 | 一种修复车载终端内核的方法、装置和电子设备 |
EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
CN113645234B (zh) * | 2021-08-10 | 2022-12-13 | 东方财富信息股份有限公司 | 基于蜜罐的网络防御方法、系统、介质及装置 |
CN113553590B (zh) * | 2021-08-12 | 2022-03-29 | 广州锦行网络科技有限公司 | 一种蜜罐防止攻击者逃逸的方法 |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US20230289435A1 (en) * | 2022-03-10 | 2023-09-14 | Denso Corporation | Incident response according to risk score |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6389532B1 (en) | 1998-04-20 | 2002-05-14 | Sun Microsystems, Inc. | Method and apparatus for using digital signatures to filter packets in a network |
US6658565B1 (en) | 1998-06-01 | 2003-12-02 | Sun Microsystems, Inc. | Distributed filtering and monitoring system for a computer internetwork |
US6715084B2 (en) * | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
US7086089B2 (en) * | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
US7467408B1 (en) * | 2002-09-09 | 2008-12-16 | Cisco Technology, Inc. | Method and apparatus for capturing and filtering datagrams for network security monitoring |
US7870608B2 (en) * | 2004-05-02 | 2011-01-11 | Markmonitor, Inc. | Early detection and monitoring of online fraud |
US8763103B2 (en) | 2006-04-21 | 2014-06-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for inhibiting attacks on applications |
-
2006
- 2006-04-18 CA CA002604544A patent/CA2604544A1/en not_active Abandoned
- 2006-04-18 JP JP2008507829A patent/JP2008537267A/ja active Pending
- 2006-04-18 CN CNA2006800129514A patent/CN101185063A/zh active Pending
- 2006-04-18 RU RU2007142368/09A patent/RU2007142368A/ru not_active Application Discontinuation
- 2006-04-18 AU AU2006236283A patent/AU2006236283A1/en not_active Abandoned
- 2006-04-18 BR BRPI0610855-5A patent/BRPI0610855A2/pt not_active Application Discontinuation
- 2006-04-18 EP EP06750684A patent/EP1872222A1/en not_active Withdrawn
- 2006-04-18 MX MX2007013025A patent/MX2007013025A/es not_active Application Discontinuation
- 2006-04-18 WO PCT/US2006/014704 patent/WO2006113781A1/en active Application Filing
-
2007
- 2007-10-10 US US11/870,043 patent/US7904959B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
AU2006236283A1 (en) | 2006-10-26 |
EP1872222A1 (en) | 2008-01-02 |
US7904959B2 (en) | 2011-03-08 |
JP2008537267A (ja) | 2008-09-11 |
CN101185063A (zh) | 2008-05-21 |
WO2006113781A1 (en) | 2006-10-26 |
US20080141374A1 (en) | 2008-06-12 |
CA2604544A1 (en) | 2006-10-26 |
BRPI0610855A2 (pt) | 2010-08-03 |
RU2007142368A (ru) | 2009-05-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
MX2007013025A (es) | Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas. | |
US10305919B2 (en) | Systems and methods for inhibiting attacks on applications | |
CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
JP6086968B2 (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
US11562068B2 (en) | Performing threat detection by synergistically combining results of static file analysis and behavior analysis | |
CN1777179B (zh) | 用于分发安全策略的方法和系统 | |
EP2106085B1 (en) | System and method for securing a network from zero-day vulnerability exploits | |
EP2513805B1 (en) | Systems and methods for behavioral sandboxing | |
US8407785B2 (en) | Systems, methods, and media protecting a digital data processing device from attack | |
CA2661398A1 (en) | System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment | |
KR101089154B1 (ko) | 가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법 | |
US10931685B2 (en) | Malware analysis and recovery | |
CA2545916A1 (en) | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data | |
US20210200859A1 (en) | Malware detection by a sandbox service by utilizing contextual information | |
US8839406B2 (en) | Method and apparatus for controlling blocking of service attack by using access control list | |
Abbasi et al. | Machine learning-based EDoS attack detection technique using execution trace analysis | |
KR101089157B1 (ko) | 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법 | |
Salah et al. | Surviving cyber warfare with a hybrid multiagent-base intrusion prevention system | |
Anagnostakis et al. | Shadow honeypots | |
Sparks et al. | A chipset level network backdoor: bypassing host-based firewall & ids | |
Hsu et al. | Scalable network-based buffer overflow attack detection | |
Alminshid et al. | Detecting backdoor using stepping stone detection approach | |
Hsu et al. | CTCP: A transparent centralized TCP/IP architecture for network security | |
Shouman et al. | Surviving cyber warfare with a hybrid multiagent-based intrusion prevention system | |
Gheorghe et al. | Attack evaluation and mitigation framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FA | Abandonment or withdrawal |