[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2014519113A - マルウェア解析システム - Google Patents

マルウェア解析システム Download PDF

Info

Publication number
JP2014519113A
JP2014519113A JP2014512893A JP2014512893A JP2014519113A JP 2014519113 A JP2014519113 A JP 2014519113A JP 2014512893 A JP2014512893 A JP 2014512893A JP 2014512893 A JP2014512893 A JP 2014512893A JP 2014519113 A JP2014519113 A JP 2014519113A
Authority
JP
Japan
Prior art keywords
malware
firewall
signature
virtual machine
candidate sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014512893A
Other languages
English (en)
Inventor
シエ・ホワガーン
ワーン・シンラン
リウ・ジアーンシア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Palo Alto Networks Inc
Original Assignee
Palo Alto Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Palo Alto Networks Inc filed Critical Palo Alto Networks Inc
Publication of JP2014519113A publication Critical patent/JP2014519113A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【解決手段】いくつかの実施形態において、マルウェア解析システムは、ファイアウォールからマルウェア候補サンプルを受信し、マルウェア候補サンプルがマルウェアであるか否かを判定するために仮想マシンを用いてマルウェア候補サンプルを解析し、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成することを備える。いくつかの実施形態において、マルウェア候補サンプルは既存のシグネチャーと一致せず、マルウェアはゼロデイ攻撃である。
【選択図】図1

Description

ファイアウォールは、一般的に、不正なアクセスからネットワークを保護する一方で、承認された通信がファイアウォールを通過することを許可する。ファイアウォールは、通常、ネットワークアクセスに対してファイアウォール機能を提供する装置、装置群又はコンピュータ等のデバイス上で実行されるソフトウェアである。たとえば、ファイアウォールは、装置(コンピュータ、スマートフォンやその他の種類のネットワーク通信可能な装置等)のオペレーティングシステム内に組み込まれるものでもよい。また、ファイアウォールは、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング装置(ネットワークルータ等)又はデータ機器(セキュリティ機器やその他の種類の専用装置等)上のソフトウェアに組み込まれるもの、又は、ソフトウェアとして実行されるものでもよい。
ファイアウォールは、通常、ルール群に基づいて、ネットワーク送信を拒絶又は許可する。このようなルール群はポリシーとも呼ばれる。たとえば、ファイアウォールは、ルール群又はポリシーを適用することによって、インバウンドトラフィックのフィルタリングを行なうことができる。また、ファイアウォールは、ルール群又はポリシーを適用することによって、アウトバウンドトラフィックのフィルタリングを行なうこともできる。ファイアウォールは、さらに、基本ルーティング機能を実施可能である。
本発明のさまざまな実施形態を、添付の図面と共に以下に詳細に記載する。
いくつかの実施形態に従うマルウェア解析システムの機能図。
いくつかの実施形態に従うマルウェア解析システムのアーキテクチャを示すブロック図。
いくつかの実施形態に従うマルウェア解析システム用のデータ機器のハードウェアコンポーネントを示す機能図。
いくつかの実施形態に従うマルウェア解析システム用のデータ機器の論理コンポーネントを示す機能図。
いくつかの実施形態に従うマルウェア解析システムのフローチャート。
いくつかの実施形態に従うマルウェア解析システムの別のフローチャート。
いくつかの実施形態に従うマルウェア解析システムの別のフローチャート。
いくつかの実施形態に従うマルウェア解析システムの別のフローチャート。
いくつかの実施形態に従うマルウェア解析システムの別のフローチャート。
いくつかの実施形態に従うマルウェア解析システムの別のフローチャート。
本発明は、プロセス、装置、システム、組成、コンピュータ読み取り可能な記憶媒体上に実現されるコンピュータプログラム製品、及び/又は、プロセッサに接続される記憶装置上に保存される、及び/又は、プロセッサに接続される記憶装置により提供される命令を実行するように構成されるプロセッサ等のプロセッサを含む、さまざまな態様で実施可能である。本明細書において、これらの態様又は本発明を実施する他のあらゆる形態を、手法とも称する。一般に、本明細書で開示する処理の各工程の順序は、本発明の要旨の範囲内で変更可能である。他に明記しない限り、あるタスクを実行するように構成されるものとして記載されるプロセッサまたは記憶装置等の構成要素は、任意の時点でそのタスクを実行するように一時的に構成される一般的な構成要素として実現されるものでもよいし、そのタスクを実行するように製造された専用の構成要素として実現されるものでもよい。本明細書において用いられる「プロセッサ」という用語は、コンピュータプログラム命令等のデータを処理するように構成される1つ以上のデバイス、回路及び/又は処理コアを示す。
本発明の1つ又は複数の実施形態の詳細を、本発明の原理を例示する添付の図面と共に、以下に記載する。本発明を実施形態に関連して説明するが、本発明はいかなる実施形態にも限定されるものではない。本発明の範囲は請求項によってのみ限定されるものであり、本発明には、多数の変形例、変更例及びそれらの等価物が包含される。以下、本発明が十分に理解されるように、数多くの具体的な詳細を説明するが、これらの詳細は例示に過ぎず、これらの具体的な詳細の一部または全部を省略した形態でも請求項に従って本発明を実施可能である。理解を容易にするために、本発明に関連する技術分野で周知の技術要素に関しては、本発明を不要に不明確にすることがないように、詳細に説明しない。
ファイアウォールは、一般的に、不正なアクセスからネットワークを保護する一方で、承認された通信がファイアウォールを通過することを許可する。ファイアウォールは、通常、ネットワークアクセスに対してファイアウォール機能を提供する装置、装置群又はデバイス上で実行されるソフトウェアである。たとえば、ファイアウォールは、装置(コンピュータ、スマートフォンやその他の種類のネットワーク通信可能な装置等)のオペレーティングシステム内に組み込まれるものでもよい。また、ファイアウォールは、コンピュータサーバ、ゲートウェイ、ネットワーク/ルーティング装置(ネットワークルータ等)又はデータ機器(セキュリティ機器やその他の種類の専用装置等)等、さまざまな種類の装置上のアプリケーションソフトウェアに組み込まれるもの、又は、アプリケーションソフトウェアとして実行されるものでもよい。
ファイアウォールは、通常、ルール群(一連の規則)に基づいて、ネットワーク送信を拒絶又は許可する。このようなルール群はポリシーとも呼ばれる。たとえば、ファイアウォールは、保護対象の装置に不要な外部トラフィックが到達することがないようにルール群又はポリシーを適用することによって、インバウンドトラフィックのフィルタリングを行なうことができる。また、ファイアウォールは、ルール群又はポリシーを適用することによって、アウトバウンドトラフィックのフィルタリングを行なうこともできる(たとえば、本明細書に記載するもの等様々な基準に基づいて起動可能な許可、遮断、監視、通知、ログ、及び/又は、その他の動作をファイアウォールルール又はファイアウォールポリシーにおいて指定することができる)。ファイアウォールは、さらに、基本ルーティング機能を実施可能である。
基本パケットフィルタ型ファイアウォールは、ネットワークを介して送信される個々のパケットを検査することによって、ネットワーク通信トラフィックのフィルタリングを行う(ステートレスなパケットフィルタ型ファイアウォールであるパケットフィルタ型ファイアウォール又は第1世代ファイアウォール等)。ステートレスなパケットフィルタ型ファイアウォールは、通常、(たとえば、パケットの送信元および送信先アドレス情報とプロトコル情報とポート番号との組み合わせを用いて)個々のパケット自体を検査して、検査されたパケットに基づいてルールを適用する。
また、アプリケーション・ファイアウォールは、アプリケーションレイヤのフィルタリングを実行することができる(TCP/IPスタックのアプリケーションレベル上で動作するアプリケーションレイヤ・フィルタリング・ファイアウォール又は第2世代ファイアウォール等)。アプリケーションレイヤ・フィルタリング・ファイアウォール又はアプリケーション・ファイヤウォールは、一般的に、所定のアプリケーション及びプロトコル(たとえば、Hyper Text Transfer Protocol(HTTP)を用いるウェブブラウジング、Domain Name System(DNS)要求、File Transfer Protocol(FTP)を用いるファイル転送及びさまざまなその他の種類のアプリケーションやTelnet、DHCP、TCP、UDP及びTFTP(GSS)等その他のプロトコル)を特定可能である。たとえば、アプリケーション・ファイアウォールは、標準ポートを介した通信を試みる不正なプロトコルを遮断することができる(たとえば、アプリケーション・ファイアウォールによって一般的にプロトコルを特定可能な非標準ポートを用いて擦り抜けようと試みる不正な/ポリシー外のプロトコル)。
また、ステートフル・ファイアウォールは、パケットのネットワーク送信のフロー/パケットフローに関連する一連のパケットのコンテクスト内で各パケットを検査する、ステートフルなパケット検査を行うことができる(ステートフル・ファイアウォール又は第3世代ファイアフォール等)。このファイアウォール技術では、ファイアウォールを通過したすべての接続の記録を保持し、あるパケットが新たな接続の開始なのか、既存の接続の一部なのか、あるいは、無効なパケットであるのかを判定することができるため、これを、一般的に、ステートフルなパケット検査と称する。たとえば、接続状態自体を、ポリシーにおける1つのルールを起動する基準の1つとすることができる。
先進ファイアウォール又は次世代ファイアウォールは、上述したようなステートレス及びステートフル・パケットフィルタリング及びアプリケーションレイヤ・フィルタリングを行なうことができる。また、次世代ファイアウォールは、さらに別のファイアウォール技術も実行可能である。たとえば、先進ファイアウォール又は次世代ファイアウォールとも称される最新のファイアウォールは、ユーザ及びコンテンツの識別も可能である(次世代ファイアウォール等)。特に、所定の次世代ファイアウォールでは、これらのファイアウォールが自動的に識別可能なアプリケーションのリストを何千ものアプリケーションに拡大しつつある。このような次世代ファイアウォールの例として、パロアルトネットワークス社から市販されているものが挙げられる(たとえば、パロアルトネットワークスのPAシリーズ・ファイアウォール)。たとえば、パロアルトネットワークスの次世代ファイアウォールは、以下のような様々な識別技術を用いて、単なるポート、IPアドレスやパケットではなく、アプリケーション、ユーザ及びコンテンツを企業が識別して制御することを可能にする。APP-IDによる正確なアプリケーション識別、User-IDによるユーザ識別(たとえば、ユーザ又はユーザグループ)及びContent-IDによるリアルタイムのコンテンツ・スキャニング(たとえば、ウェブサーフィンの制御やデータ及びファイル転送の制限)。これらの識別技術によって、従来のポート遮断ファイアウォールにより提供される従来のアプローチに従う代わりに、企業によるビジネス関連概念を用いたアプリケーションの使用が確実に可能になる。また、たとえば、専用機器として実現されるような次世代ファイアウォール用の専用ハードウェアは、汎用ハードウェア上で実行されるソフトウェアよりも高性能なレベルのアプリケーション検査を可能にする(たとえば、ネットワークスループットを最大にするとともに待ち時間を最小限に抑えるシングルパス・ソフトウェアエンジンと緊密に一体化された専用の特定機能処理を用いるパロアルトネットワークス社により提供されるセキュリティ機器)。
現在のファイアウォールは、通常、シグネチャー及び/又はヒューリスティックスに基づく強制を行う。このため、マルウェアを検出するためには、ファイアウォールは、一般的に、マルウェアを検出可能な既存のシグネチャー又は既存のヒューリスティックス(たとえば、所定のシグネチャー及び/又は所定のヒューリスティック)を備える必要がある。
ただし、ゼロアワー攻撃ともデイゼロ攻撃とも称されるゼロデイ攻撃は、他者又はソフトウェア開発者にとって新たな及び/又は今までに未確認又は未知の(オペレーティングシステム、アプリケーションソフトウェア、セキュリティソフトウェア及び/又はその他の形態のコンピューティング/ネットワークプラットフォームにおける)脆弱性を利用したエクスプロイトを試みるマルウェア脅威又は攻撃である。ゼロデイ・エクスプロイトは、通常、セキュリティホールへの攻撃をエクスプロイトするソフトウェアを意味する。ゼロデイ・エクスプロイトは、対象となるソフトウェア/プラットフォームの開発者が脆弱性を認識する前に、及び/又は、対象となるソフトウェア/プラットフォームのプロバイダーが脆弱性に対する解決策を提供する前に(たとえば、セキュリティホールにパッチを適用するアップデートを配布する前に)、及び/又は、セキュリティ・プロバイダーがマルウェアを検出可能なアップデートを提供する前に(たとえば、脆弱性を利用したエクスプロイトを試みる攻撃を検出可能なシグネチャー及び/又はヒューリスティックを配布する前に)、ハッカー又はアタッカーにより用いられる又は共有される。
ゼロデイ・エクスプロイトに対処する様々なアプローチが存在するが、このようなアプローチには各々異なった問題点がある。たとえば、脆弱性評価ソフトウェアは、ソフトウェアプラットフォーム及び/又はアプリケーションの脆弱性を特定しようとするものである。しかし、脆弱性評価手法では、すべての新たな脆弱性候補を特定することはできない。また、たとえば、(ファイアウォール及び/又は侵入検出/防止システム等によって実現される)ホワイトリスト手法は、周知の問題のないアプリケーションに基づいてアクセスを制限することができる。しかし、このようなアプローチは非常に限定的であり、周知の問題のないアプリケーションの中には、試験の際には特定されなかった、又は、脆弱性評価手法では特定されなかったような脆弱性が後で見つかることもあり得る。(たとえば、周知の問題のあるアプリケーション、又は、周知の脆弱性を持つアプリケーションを遮断するシグネチャーに基づく手法を用いる)ブラックリスト手法とホワイトリスト手法とを組み合わせる手法を用いて、周知の問題のないアプリケーションにアクセスを限定する、及び/又は、周知の問題のあるアプリケーションへのアクセスを防止することもできる。しかし、このアプローチも、上述のアプローチと同様の問題点があり、同様に、ユーザ及びネットワーク/コンピューティング環境に対して非常に限定的である。他の現在のアプローチは、ホストが感染した(たとえば、悪質なファイルをダウンロードした)可能性があることを判定して、感染したホストを検疫するものであるが、このようなアプローチでは、ホストの感染を防止することはできず、また、一般的に、同じ悪質なファイルによる他のホストの将来的な感染を防ぐこともできない。
ネットワーク上で通信する装置をさらに保護するために必要なものは、(たとえば、新たなゼロデイ・エクスプロイトを効果的に防止するように)既存のシグネチャーが検出しないマルウェアを検出するためのマルウェア解析システムである。したがって、マルウェア解析システムを開示する。特に、本明細書に記載する様々な手法を用いて、ゼロデイ保護を可能にするマルウェア解析を提供する。ゼロデイ保護は、既存のシグネチャーでは存在しない新たなマルウェア脅威を検出し、新たなマルウェア脅威に対してリアルタイムで自動的に新たなシグネチャーを生成することによって、ゼロデイ・エクスプロイトから保護する。たとえば、仮想マシン(virtual machine:VM)を用いて、ファイル転送時に(たとえば、ファイルダウンロード時に)リアルタイムで実行可能なヒューリスティック型解析手法を用いた(VMサンドボックス環境等における)挙動プロファイリングを実行するようにしてもよい。ダウンロード中のファイルが悪質なものであると判定されると、ファイアウォールは、その解析結果に基づいて、自動的にファイルのダウンロードを遮断して、新たなシグネチャーを生成して配布し、悪質なものと判定されたファイルをダウンロードする将来的なファイル転送要求を自動的に遮断する。いくつかの実施形態において、VMを用いるマルウェア解析システムによって、様々なヒューリスティック手法を実行し、(たとえば、JavaScript(登録商標)等の実行コードを備える)ファイルの共同、ウェブサイトのコンテンツ、及び/又は、他の挙動をエミュレートして、マルウェア候補サンプルを解析する。たとえば、所定のウェブサイトにアクセスして、そのウェブサイトから所定のコンテンツをダウンロードするVMエミュレーションは、所定のプラットフォーム、ソフトウェア又はレジストリ設定に対する変更等、ある種疑いのある挙動と見なすことができる。以下、種々の実施形態を参照して、VM環境を用いたマルウェア解析のための他の様々なヒューリスティック型解析手法を説明する。
いくつかの実施形態において、マルウェア解析システムは、ファイアウォールからマルウェア候補サンプルを受信し、マルウェア候補サンプルがマルウェアであるか否かを判定するために仮想マシンを用いてマルウェア候補サンプルを解析し、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャー(たとえば、ファイル用のハッシュ型シグネチャー及び/又は本明細書に記載する他の種類のシグネチャー)を自動的に生成することを備える。いくつかの実施形態において、シグネチャーは、複数のネットワーク装置/機能(たとえば、ルータ及びゲートウェイ)及び/又はセキュリティ装置/機能(たとえば、セキュリティ/ファイアウォール機器、セキュリティ/ファイアウォールゲートウェイ、ホスト型ファイアウォール、ホスト型セキュリティスイート、及び、セキュリティクラウドサービス)に配布される。いくつかの実施形態において、マルウェア候補サンプルは、既存のシグネチャーと一致しない。いくつかの実施形態において、マルウェア候補サンプルは、既存のシグネチャーと一致せず、マルウェアはゼロデイ攻撃である。
いくつかの実施形態において、ファイアウォールは、第1の装置上で実行され、仮想マシンは第2の装置上で実行される。いくつかの実施形態において、ファイアウォールは、セキュリティ機器(たとえば、ファイアウォール機器)によって実施され、仮想マシンは、仮想マシン(VM)機器によって実施される。いくつかの実施形態において、ファイアウォールは、第1の装置上で実行されるホスト型ファイアウォールであり、仮想マシンは、仮想マシン機器によって実施される。いくつかの実施形態において、仮想マシンは、セキュリティクラウドサービスによって実施される。いくつかの実施形態において、ファイアウォールは、ネットワークトラフィックフローを復号して、仮想マシンを用いた解析を行うように、マルウェア候補サンプルを生成する。
いくつかの実施形態において、マルウェア解析システムは、さらに、シグネチャーをファイアウォールに送信することを備え、ファイアウォールは、1つ又は複数のファイアウォールポリシー内にシグネチャーを備える。いくつかの実施形態において、マルウェア解析システムは、さらに、シグネチャーをファイアウォールに送信することを備え、ファイアウォールは、ゲートウェイセキュリティ装置、セキュリティ機器、ネットワーク・ルーティング装置、又は、ホスト型ファイアウォールを実行する汎用コンピュータにおいて実施される。いくつかの実施形態において、マルウェア解析システムは、さらに、シグネチャーをクラウドセキュリティサービスに送信することを備える。
いくつかの実施形態において、マルウェア解析システムは、さらに、仮想マシンを用いるエミュレーションの際にマルウェア候補サンプルの挙動を監視して、マルウェアを特定することを備える。たとえば、本明細書に記載するような様々なヒューリスティックに基づく手法を用いて(たとえば、URL、DNS、プロトコル、及び/又はファイル又は他の情報、活動若しくは挙動プロファイリング手法を用いて)、マルウェア候補サンプルがマルウェアであると判定する、又は、マルウェアと判定するべきであると判定するようにしてもよい。
いくつかの実施形態において、マルウェア解析システムは、マルウェア候補に関するログ情報を仮想マシンに送信することを備える。たとえば、ログ情報は、セッション情報、アプリケーション識別情報、URLカテゴリー情報、及び/又は、脆弱性警告情報を含むものでもよい。いくつかの実施形態において、仮想マシンは、ログ情報を用いて事後解析を行って、マルウェア候補がマルウェアであるか否かを判定する。
いくつかの実施形態において、マルウェア解析システムは、複数のネットワークトラフィックフローを監視することと、暗号化ネットワークトラフィックフローを復号して、既存のシグネチャーと一致しないマルウェア候補サンプルを生成することと、仮想マシンを実行し仮想マシンを用いてマルウェア候補サンプルを解析することによってマルウェア候補サンプルがマルウェアであるか否かを判定するマルウェア解析装置にマルウェア候補サンプルを送信することと、マルウェア解析装置からマルウェア候補サンプルの解析結果を受信することと、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成することと、シグネチャーに基づいてネットワークアクセス用のセキュリティポリシーを実行(強制)することと、を備える。
いくつかの実施形態において、マルウェア解析システムは、仮想マシンを用いてシグネチャーが存在しないマルウェア候補サンプルを解析することによって、マルウェア候補サンプルがマルウェアであるか否かを判定することと、マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成することと、シグネチャーに基づくファイアウォールルールを追加することと、シグネチャーを用いてファイアウォールルールを実行することと、を備える。
図1は、いくつかの実施形態に従うマルウェア解析システムの機能図である。図1に示すように、ファイアウォール100で、ネットワークトラフィックが監視される。いくつかの実施形態において、データ機器(たとえば、ファイアウォールを備えるセキュリティ機器等、セキュリティ機能を備えるデータ機器)を用いて、ネットワークトラフィックが監視される。いくつかの実施形態において、ゲートウェイ(たとえば、セキュリティゲートウェイ等、セキュリティ機能を備えるゲートウェイ)を用いて、ネットワークトラフィックが監視される。いくつかの実施形態において、ホスト(たとえば、ネットワークサーバや、パーソナルコンピュータ、ノートパソコン、タブレットやスマートフォンのようなクライアントコンピューティング装置等、ホスト装置上で実行されるセキュリティソフトウェア)を用いて、ネットワークトラフィックが監視される。いくつかの実施形態において、インライン監視技術を用いて、ネットワークトラフィックが監視される。いくつかの実施形態において、ネットワークトラフィックが収集及び/又は監視される(たとえば、ネットワークトラフィックの一部は、インライン監視技術を用いて監視される、及び/又は、ネットワークトラフィックの一部は、ネットワークトラフィックのログ等、ネットワークトラフィックをオフラインで監視するために収集及び解析される)。
いくつかの実施形態において、ステート型ファイアウォールを用いて、ネットワークトラフィックが監視される。いくつかの実施形態において、ステート型ファイアウォールは、APP-ID(アプリケーションID)エンジンを用いてトラフィックフローを監視するものでもよい(アプリケーション(APP)シグネチャー・チェック108)。たとえば、監視対象となるネットワークトラフィックは、HTTPトラフィック、FTPトラフィック、DNS要求、分類されていないアプリケーショントラフィック(たとえば、未知のアプリケーショントラフィック)、及び/又は、その他の種類のトラフィック(たとえば、他の種類の既知のプロトコル又は未知のプロトコルを用いるトラフィック)を含むものでもよい。
図1に示すように、102で、ネットワークトラフィックの監視が開始荒れる。IPアドレス及びポートエンジン104は、パケット解析に基づいて、監視対象のトラフィックフロー(たとえば、セッション)用のIPアドレス及びポート番号を決定する。いくつかの実施形態において、次にユーザ識別を行う(たとえば、ソースIPアドレスに基づいてユーザIDを推定するようにしてもよい)。ポリシーチェックエンジン106は、IPアドレス及びポート番号に基づいて、いずれかのポリシーが適用されているか否かを判定する。アプリケーションシグネチャー・チェックエンジン108は、(たとえば、パケットフロー解析に基づくアプリケーション識別のために種々のアプリケーションシグネチャーを用いるAPP-IDエンジンを使用して)アプリケーションを識別する。たとえば、APP-IDエンジン108は、HTTPトラフィック、FTPトラフィック、DNS要求、未知のトラフィック及び種々の他の種類のトラフィック等、どのような種類のトラフィックをセッションが含むかを判定するように構成されるものでもよい。このように分類されたトラフィックを、デコーダ112、114及び116等、適当なデコーダに送って、各監視対象のセッションのトラフィックフローに関して分類されたトラフィックを復号(解読)するようにしてもよい。監視対象のトラフィックが暗号化されている(たとえば、SSL、SSH又はその他の既知の暗号化プロトコルを用いて暗号化されている)場合には、(たとえば、自己署名証明書を用いる中間者手法を適用して)復号エンジン110を用いて監視対象のトラフィックを復号するようにしてもよい。既知プロトコルデコーダエンジン112は、既知のプロトコルを用いて(たとえば、既知のプロトコルに様々なシグネチャーを適用して)トラフィックフローを復号して解析し、監視対象のトラフィック解析を報告・ポリシー強制(実行)エンジン120に報告する。特定トラフィック(復号不要)エンジン114は、特定されたトラフィックを報告・ポリシー強制エンジン120に報告する。未知プロトコルデコーダエンジン116は、(たとえば、様々なヒューリスティックスを適用して)トラフィックフローを復号して解析し、監視対象のトラフィック解析を報告・ポリシー強制エンジン120に報告する。
いくつかの実施形態において、上述した既知プロトコルデコーダエンジン112と、特定トラフィックエンジン114と、未知プロトコルデコーダエンジン116とを用いた様々なトラフィック監視手法の結果は、報告・ポリシー強制エンジン120(たとえば、ネットワーク/ルーティングポリシー、セキュリティポリシー、及び/又はファイアウォールポリシー)に提供される。たとえば、アプリケーション識別、ユーザ識別、及び/又は、既存のシグネチャー(たとえば、ファイル型シグネチャー、プロトコル型シグネチャー、及び/又は、マルウェア又は疑いのある挙動を検出するための他の種類/形態のシグネチャー)と照合される他の情報を用いて、監視対象のネットワークトラフィックにファイアウォールポリシーを適用するようにしてもよい。
図1に示すように、VMマルウェア解析エンジン118は、ファイアウォールからマルウェア候補サンプルを受信する。いくつかの実施形態において、上述した既知プロトコルデコーダエンジン112と、特定トラフィックエンジン114と、未知プロトコルデコーダエンジン116とを用いた様々なトラフィック監視手法の結果は、報告・ポリシー強制エンジン120(たとえば、ネットワーク/ルーティングポリシー、セキュリティポリシー、及び/又はファイアウォールポリシー)に提供される。この結果は、既存のシグネチャーのいずれにも一致しない。一部の実施形態において、いずれの既存のシグネチャーも一致しない場合には、マルウェア候補サンプルを、さらなる解析のために選択し、さらなる解析(たとえば、サンドボックス環境を提供してマルウェアを検出する仮想マシンを用いるリアルタイムの挙動プロファイリング解析、及び/又は、様々な実施形態に関して記載するようなログ情報を用いる事後解析)を実行するVMマルウェア解析エンジンに転送して、マルウェア候補サンプルがマルウェアであるか否かを判定するようにしてもよい。いくつかの実施形態において、様々なルール/ポリシーを適用して、さらなる解析のために仮想マシンエンジンにマルウェア候補サンプルを提供するべきか否かを判定する。このようなルール/ポリシーは、地理(たとえば、コンテンツを供給している国/地理)に基づくものでもよい。URLカテゴリーに基づくものでもよい。ファイルの種類(たとえば、PDFや他のファイルの種類)に基づくものでもよい。ファイルサイズに基づくものでもよい(たとえば、リアルタイムVMエミュレーション解析用に転送されるファイルサイズは、1GB等の最大容量または他のファイルサイズに限定され、VM技術を用いてリアルタイムでエミュレートされるファイルが大きくなりすぎないようにする)。難読化されたJavaScript(登録商標)(たとえば、非常に長い変数、評価関数を用いるパックコードを含む長い変数、及びその他の難読化手法)に基づくものでもよい。及び/又は、リアルタイムVMエミュレーション・マルウェア解析に適した疑わしいマルウェアを選択するルール/ポリシーでもよい。
いくつかの実施形態において、マルウェア候補サンプルがマルウェアであると判定された場合には、本明細書に記載する様々な手法を用いて新たなシグネチャーを生成する。いくつかの実施形態において、他の装置又は他の機能を用いて、新たなシグネチャーを生成する。たとえば、ファイアウォールが新たなシグネチャーを生成するものでもよい。
いくつかの実施形態において、ファイアウォール100は、(図示しない)コンテンツIDエンジンをさらに備える。いくつかの実施形態において、コンテンツIDエンジンにより特定されたコンテンツを、アプリケーション、ユーザ及び/又は別の情報等、他の情報と様々に組み合わせて、報告・ポリシー強制エンジン120を用いて、様々なセキュリティ/ファイアウォールポリシー/ルールを実行するようにしてもよい。
いくつかの実施形態において、様々な他の機能アーキテクチャ及びフローを提供して、本明細書に記載するホスト情報プロファイル技術を用いてポリシー実行を実施する。たとえば、これらの機能の一部を汎用プロセッサ上で実行されるソフトウェアで実施するようにしてもよい。及び/又は、これらの機能の一部をネットワークトラフィックの高速パケット処理のためのハードウェア・アクセラレーション技術を用いて実施するようにしてもよい。
図2は、いくつかの実施形態に従うマルウェア解析システムのアーキテクチャを示すブロック図である。図2に示すように、クライアントデバイス204A、204B及び204Ch、セキュリティ装置202を介してインターネット206と通信を行う。いくつかの実施形態において、セキュリティ装置202は、図示するように、ファイアウォール212を備える。いくつかの実施形態において、図示するように、クライアント装置204A〜204Cの1つ以上がファイアウォール214(たとえば、ホスト型ファイアウォール)を備える。いくつかの実施形態において、セキュリティ装置202は、データ機器(たとえば、セキュリティ機器)、ゲートウェイ(たとえば、セキュリティサーバ)、サーバ(たとえば、ファイアウォール212を含むセキュリティソフトウェアを実行するサーバ)、及び/又は、たとえば、コンピューティング・ハードウェア、ソフトウェア又はこれらの様々な組み合わせを用いて実現可能な他のセキュリティ装置を含む。いくつかの実施形態において、ファイアウォール212及び/又はファイアウォール214は、図1を参照して上述した機能の一部又は全部を実行する。たとえば、クライアント装置204A〜204Cは、コンピュータ、ノートパソコン、タブレット、スマートフォン、及び/又は、ネットワーク通信能力を備える種々の他の種類のコンピューティング装置等、有線及び/又は無線通信を介してインターネットにアクセス可能な様々なコンピューティング装置を含むものでもよい。また、図示するように、サーバ208A及び208Bは、インターネットと通信する。たとえば、クライアント装置は、インターネットを介してサーバにより提供されるサービス、たとえば、ウェブ関連サービス(ウェブサイト、クラウド型サービス、ストリーミングサービスやeメールサービス等)、ピアツーピア関連サービス(ファイル共有等)、IRCサービス(チャットサービス等)、及び/又は、インターネットを介して提供される任意の他のサービス等、にアクセス可能である。
また、図2に示すように、仮想マシン(Virtual Machine;VM)機器/サーバ216が提供される。たとえば、VM機器/サーバ216は、VMware(登録商標)又はXEN(登録商標)仮想マシン/仮想化ソフトウェア(Microsoft Windows(登録商標)又はゲストホストとして監視対象のクライアント装置のOSを実行する)、並びに、適切な性能又は高性能に必要な/推奨される任意のハードウェア及びその他ソフトウェア/プラットフォーム要件を備えるものでもよい。たとえば、ハードウェア要件は、仮想マシン/仮想化ソフトウェアを実行するためのコンピューティング要件に関して通常高く、他の専用機器又はサーバにVM機能を備えることにより、他のセキュリティ機器/装置はこのようなハードウェアを必要としないため、より低コストのハードウェアを用いることができる。VM機器/サーバ216は、ファイアウォール212と通信する。たとえば、ファイアウォール212は、既存のシグネチャーのどれとも一致しないマルウェア候補サンプルをVM機器/サーバ216に送信して、本明細書に記載する技術を用いてさらなる解析を行うようにしてもよい。マルウェア候補サンプルがマルウェアであると判定された場合には、VM機器/サーバ216(又は、その他の機能/装置)は、そのマルウェアに関する新たなシグネチャーを自動的に生成して、ファイアウォール212に送信して、ファイアウォール212のシグネチャー/データ及び/又はルール/ポリシーを更新し、そのマルウェアを検出可能として、そのマルウェアを遮断する等の適当な措置をファイアウォール212が講じることができるようにしてもよい。したがって、このような技術を用いて、ゼロデイ攻撃でも検出及び遮断できる。いくつかの実施形態において、仮想マシン機器/サーバ216は、クライアント装置の1つ以上(たとえば、クライアント204Bのファイアウォール214)、及び/又は、セキュリティクラウドサービス210、及び、場合によっては、他の装置/機能と通信する。
いくつかの実施形態において、VM機器/サーバ216は、セキュリティ機器/ゲートウェイ/サーバ202上で実行される、又は、セキュリティ機器/ゲートウェイ/サーバ202に組み込まれる。いくつかの実施形態において、VM機器/サーバ216は、セキュリティクラウドサービス210上で実行される、または、セキュリティクラウドサービス210に組み込まれる。
たとえば、セキュリティ装置202(統合セキュリティ機器/ゲートウェイ/サーバ等)は、(たとえば、暗号化通信技術等の秘密通信を用いて)セキュリティクラウドサービス210と通信を行って、セキュリティ関連のコンテンツのアップデート(シグネチャー、ヒューリスティックス、アプリケーションID関連情報、ユーザID関連情報、コンテンツID関連情報、信頼済み/信頼できないゾーン情報、及び/又は、ポリシー/ルール等)を受信するものでもよい。また別の例として、セキュリティ装置202(統合セキュリティ機器/ゲートウェイ/サーバ等)は、(たとえば、暗号化通信技術等の秘密通信を用いて)セキュリティクラウドサービス210と通信を行って、監視対象のトラフィック情報(たとえば、パケットフローの一部等、監視対象のトラフィック情報のサブセット形態のもの等のマルウェア候補サンプル、監視対象のURL/DNS情報、アップロード/ダウンロード/アクセス用に求められる監視対象のファイル、及び/又は、その他の情報トラフィックに加えて、フローに関係するクライアント装置のためのコンテンツ情報やユーザ識別及び/又はアプリケーション識別情報等の他の情報)を提供するものでもよく、セキュリティクラウドサービス210は追加のリアルタイム解析及び/又は事後解析(たとえば、様々な実施形態に関して記載されるような、新たなマルウェア脅威及びゼロデイ攻撃を含むマルウェアを検出する、及び/又は、セキュリティクラウドサービスの他の顧客用に受信及び解析された他のサンプルと比較するための追加のヒューリスティック解析)を行うものでもよい。以下で明らかになるように、図1に関連して上述した機能の一部又はすべては、セキュリティクラウドサービスによって、全体として、又は、部分的に、支援される、又は、実施されるものでもよい。セキュリティクラウドサービスは、これらの機能の一部を実行することによって、クライアント装置(たとえば、204B)、セキュリティ装置202、及び/又は、VM機器/サーバ216の処理を削減することができる。セキュリティクラウドサービスは、また、追加のヒューリスティック型解析を提供することができ、及び/又は、(ネットワークトラフィック挙動及び/又はURLを含む)さらに多くの情報のネットワークトラフィックフローを受信することによって追加の情報を用いることができ、このような情報を集めて、セキュリティ装置202には(まだ)知られていない可能性のある(まだシグネチャーが存在していないもの等)所定のアプリケーショントラフィックフロー及び/又はURL用により多くの情報を提供することができる。
いくつかの実施形態において、本明細書に記載する様々な技術を用いて自動的に生成される新たなシグネチャーは、ホスト型ファイアウォール、セキュリティ機器、ネットワーク装置、及び/又は、セキュリティクラウドサービス等の様々な他のセキュリティ機能/装置及び/又はサービスに配布される。いくつかの実施形態において、既存のシグネチャーが存在しないマルウェアを検出するための仮想マシン(VM)機能は、セキュリティ機器、ファイアウォール機器、ネットワーク/データ機器に組み込まれる、及び/又は、セキュリティサーバ、ネットワークサーバ又はゲートウェイ、及び/又は、クライアント装置(たとえば、パーソナルコンピュータ、ノートパソコン、タブレット、及び/又は、仮想マシンを実行するために十分なプロセッサ及びメモリを備える他の汎用クライアント装置)等のホスト装置上で実行される。いくつかの実施形態において、既存のシグネチャーが存在しないマルウェアを検出するためのVM機能は、セキュリティクラウドサービスにより提供される。いくつかの実施形態において、クライアント装置等のホスト装置、及び/又は、ゲートウェイ又はセキュリティサーバ等のサービスは、VM機能/装置にマルウェア候補サンプルを提供する。
図3は、いくつかの実施形態に従うマルウェア解析システム用のデータ機器のハードウェアコンポーネントを示す機能図である。図示される例は、データ機器202(データ機器又はゲートウェイ等)に備えることができる物理コンポーネントを例示する。具体的には、データ機器202は、高性能マルチコアCPU302とRAM304とを備える。データ機器202は、さらに、ポリシー及びその他の構成情報並びに既存のシグネチャーを保存するのに用いられる記憶装置310(たとえば、1つ以上のハードディスク又は半導体記憶装置)を備える。データ機器202は、さらに、1つ以上のハードウェア・アクセラレータを必要に応じて備えるものでもよい。たとえば、データ機器202は、暗号及び復号動作を行うように構成される暗号化エンジン306、及び、シグネチャー照合を実行し、ネットワークプロセッサーとして動作し、及び/又は、他のタスクを実行するように構成される1つ以上のFPGA308を備えるものでもよい。
図4は、いくつかの実施形態に従うマルウェア解析システム用のデータ機器の論理コンポーネントを示す機能図である。図示される例は、データ機器202に備えることができる論理コンポーネントを例示する。図示するように、データ機器202は、管理プレーン403と、データプレーン404とを備える。いくつかの実施形態において、管理プレーンは、たとえば、ポリシーを構成する及びログデータを見るためのユーザインタフェースを提供することによって、ユーザインタラクションを管理するものである。データプレーンは、たとえば、パケット処理やセッション処理を行うことによって、データを管理するものである。
クライアント204Aが、SSL等の暗号化セッションプロトコルを用いてサーバ208Bにアクセスを試みると仮定する。ネットワークプロセッサ406は、クライアント204Aからパケットを受信し、そのパケットを処理のためにデータプレーン404に供給するように構成される。フロー408は、パケットが新たなセッションの一部であると特定し、新たなセッションフローを作成する。それに続くパケットは、フロールックアップに基づき、セッションに属するものと見なされる。該当する場合には、SSL復号器410によりSSL復号が実行される。そうでなければ、SSL復号器410による処理は省略される。アプリケーション識別モジュール412は、セッションがどの種類のトラフィックを含むかを判定し、そのトラフィックフローに関係するユーザを識別するように構成される。たとえば、アプリケーション識別モジュール412は、受信データのGET要求を認識し、セッションがHTTPデコーダを必要とするという結論を下すものでもよい。プロトコルの種類ごとに、対応するデコーダ414が存在する。いくつかの実施形態において、アプリケーション識別モジュール(APP-IDエンジン等)によりアプリケーション識別が実行され、他の機能/エンジンによりユーザ識別が実行される。アプリケーション識別モジュール412による特定に基づいて、パケットが適当なデコーダ414に送信される。デコーダ414は、(バラバラの順序で受信した可能性のある)パケットを正しい順序に組み立てて、トークン化を行い、情報を中質する。デコーダ414は、また、シグネチャー照合を行って、パケットに何が生じたかを判断する。また、図示するように、シグネチャー418は、管理プレーン402に受信・保存される。いくつかの実施形態において、監視、同定及び復号されたセッションのトラフィックフローに基づいて、様々な実施形態を参照して記載したように、シグネチャーを用いたポリシー・エンフォースメントを適用する(ポリシーは、1つ以上のルールを含むものでもよく、ルールは1つ以上のシグネチャーを適用するものでもよい)。いくつかの実施形態において、様々な実施形態を参照して記載した種々の技術を利用して、デコーダ414は、新たに生成されたシグネチャーを含む、管理プレーン402によって提供されるシグネチャー418を用いて、ポリシー416を実行するものでもよい。
図5は、いくつかの実施形態に従うマルウェア解析システムのフローチャートである。ステップ502では、ファイアウォール(又は、ネットワークルータやIDS/IPS機能/装置等、その他のインラインセキュリティ若しくはネットワーク装置/機能)からマルウェア候補サンプルが受信される。ステップ504では、仮想マシンを用いて、マルウェア候補サンプルが解析される。
ステップ506では、マルウェア候補サンプルがマルウェアであると判定された場合に、新たなシグネチャーが自動的に生成され。いくつかの実施形態において、新たなシグネチャーは、新たなファイル型シグネチャー(たとえば、マルウェアファイルを識別するためのMD5ハッシュ型シグネチャー、マルウェアファイルを識別するためのファイルの種類に基づくファイルのヘッダ情報からのダイジェスト、又は、疑わしいJavaScript(登録商標)若しくはPDFファイルに新たなデータを付加する最近追加されたヘッダリファレンスであるJavaScript(登録商標)を含むPDFファイル等の解析に基づくヒューリスティック型ファイルシグネチャー生成技術)である。いくつかの実施形態において、新たなシグネチャーは、DNS型シグネチャー、URL型シグネチャー、IP型シグネチャー、プロトコル型シグネチャー、ポート型シグネチャー、及び/又は、インラインネットワークセキュリティ(フィルタリングやファイアウォール等)技術を用いて効果的に適用及び実行可能な他の種類のシグネチャー又はこれらの組み合わせである。たとえば、新たなシグネチャーは、悪質なコンテンツを含むと判定されるPDFファイル用に生成されるものでもよい。該当する場合には、PDFファイルを易読化し、解析するようにしてもよい。PDFファイルに(JavaScript(登録商標)等の)スクリプトが含まれていることを検出すると、悪質なJavaScript(登録商標)要素用を検出する悪質スクリプト検出エンジンを用いて、スクリプトをスキャンする。場合によっては、PDFファイルの1つ以上のスクリプト部分内で識別されたパターンを用いてシグネチャーを生成するようにしてもよい。PDFファイルの1つ以上のスクリプト部分内で識別されたパターンを用いてシグネチャーが生成されなかった場合、及び/又は、PDFファイルにスクリプトが含まれていない場合には、PDFファイルのクロスリファレンステーブルに関係するPDFファイルの部分を用いてシグネチャーを生成するようにしてもよい。生成されたシグネチャーを用いて、以降に受信したPDFファイルがマルウェアを含むか否かを検出するようにしてもよい。
ステップ508では、新たなシグネチャーがファイアウォールに送信される。いくつかの実施形態において、新たなシグネチャーは、他のセキュリティ機能/装置及び/又はセキュリティクラウドサービスに配布される。
図6は、いくつかの実施形態に従うマルウェア解析システムの別のフローチャートである。ステップ602では、クライアント装置からの/クライアント装置へのネットワークトラフィックフローが監視される。ステップ604では、暗号化ネットワークトラフィックフローが復号され、既存のシグネチャーが一致しない場合には、マルウェア候補サンプルが生成され。ステップ606では、マルウェア候補サンプルがマルウェア解析装置(たとえば、上述したマルウェア解析及び検出に関する様々な技術を用いて、VMを実行して挙動プロファイル解析を行う仮想マシン(VM)機器又はサーバ)に送信される。ステップ608では、マルウェア候補サンプルの解析結果がマルウェア解析装置から受信される。ステップ610では、マルウェア候補サンプルがマルウェアであると判定された場合に、新たなシグネチャーが自動的に生成される。ステップ612では、新たなシグネチャーに基づいて、ネットワークアクセス/制御のためにセキュリティポリシーが実行される(たとえば、セキュリティポリシーは、様々なファイアウォールルール又は新たなシグネチャーを用いる/適用することができるその他のネットワークアクセス/制御ルールを含むものでもよい)。
図7は、いくつかの実施形態に従うマルウェア解析システムの別のフローチャートである。ステップ702では、(たとえば、セキュリティ/ファイアウォール機器/装置/サーバにより実行される)仮想マシンを用いて、マルウェア候補サンプルが解析される。ステップ704では、マルウェア候補サンプルがマルウェアであると判定された場合に、新たなシグネチャーが自動的に生成される。ステップ706では、新たなシグネチャーに基づく、又は、新たなシグネチャーを用いる新たなファイアウォールルールが追加される。ステップ708では、新たなシグネチャーを用いて、新たなファイアウォールルールが実行される。
実施形態において、VMを用いるマルウェア解析システムによって様々なヒューリスティック技術を実行して、ファイルまたはウェブサイトコンテンツの挙動大間その他の挙動をエミュレートし、VM環境の制御された/安全なサンドボックス環境内でマルウェア候補サンプルの解析を行う。たとえば、マルウェアと関連することが多い疑惑のある挙動を特定するための挙動プロファイリング技術は、セキュリティアプリケーション/プラットフォーム設定に対するプログラムで実行される変更(たとえば、ウィンドウズ(登録商標)・フィルタリング・プラットフォーム(Windows(登録商標) Filtering Platform:WFP)設定に対する変更、インターネットエクスプローラー(Internet Explorer:IE)ブラウザ設定に対する変更、自動開始レジストリに対する変更、及び/又は、インストールドライバに対する変更)を含むものでもよい。マルウェア解析及び特定に関する様々な他のヒューリスティック手法を図8、図9、及び図10を参照して以下に記載する。
図8は、いくつかの実施形態に従うマルウェア解析システムの別のフローチャートである。ステップ802では、マルウェア又はマルウェア候補を特定するためにネットワークトラフィック内における挙動が監視される(たとえば、VMを用いてマルウェア候補サンプルの挙動をエミュレートする/監視する)。ステップ804では、(たとえば、HTTPトラフィック用のポート80以外のポートを用いる)HTTPトラフィック用の非標準的なHTTPポートに接続するネットワークトラフィック内における挙動が監視される。ステップ806では、架空ドメインにアクセスするネットワークトラフィック内における挙動が監視される。ステップ808では、非標準的な実行ファイル拡張子を有する実行ファイル(たとえば、一般的な「exe」ファイル拡張子と異なるファイル拡張子を有する実行ファイル)をダウンロードするネットワークトラフィック内における挙動が監視される。ステップ810では、eメールサーバ用のDNSクエリを実行するネットワークトラフィック内における挙動が監視される。ステップ812では、一般的な長さよりも短い長さのHTTPヘッダを用いて通信を行うネットワークトラフィック内における挙動が監視される。たとえば、閾値は3つのHTTPヘッダフィールドで設定され得、以下のように2つのHTTPヘッダフィールド「User-agent」及び「host」しかない場合に起動され得る。
GET/xin.rar HTTP/1.1
User-Agent: RookIE/1.0
Host: www.wc86.com
ステップ814では、HTTPトラフィックにおいてポスト法で通信を行うネットワークトラフィック内における挙動が監視される。ステップ816では、HTTPポートを介して分類されていないトラフィック(たとえば、未知のアプリケーショントラフィック)の通信を行うネットワークトラフィック内における挙動が監視される。いくつかの実施形態において、マルウェア候補を特定するためのネットワークトラフィック挙動監視に関して様々な他のヒューリスティックスを実行するようにしてもよい。たとえば、(HTTPプロトコルトラフィックにのみ通常用いられるポート80を用いるIRCプロトコルトラフィック等の)IRCトラフィック用の非標準的なIRCポートに接続する挙動を特定するようにネットワークトラフィックの監視を行うようにしてもよい。別の例として、侵入防止システム回避手法を用いて通信を行うネットワークトラフィック内における挙動を監視する。一例として、HTTPポスト要求において、3つのIPパケットによってストリング「POST」を送信すると仮定する。第1のパケットは、1つの文字「P」であり、第2のパケットは、「P」の重複パケットであり、第3のパケットは「ost」である。この方法は、TCPパケットを再組立てしないファイアウォール/IPS機能を回避するものであるが、TCPパケットの再組立てを含む本明細書に記載する技術を用いることによって、この種の挙動を検出できる。ステップ818では、監視及び分類対象のネットワークトラフィックの挙動を相関させて、監視/分類された疑わしい挙動に基づきスコア(たとえば、重大性スコア又はマルウェアスコア)が算出される。
図9は、いくつかの実施形態に従うマルウェア解析システムの別のフローチャートである。ステップ902では、マルウェアを特定するためにネットワークトラフィック内における挙動が監視される(たとえば、マルウェア候補サンプルの挙動をエミュレート/監視するためにVMを用いる)。ステップ904では、通常のドメイン名の長さよりも長いドメイン名を持つドメインにアクセスするネットワークトラフィック内における挙動が監視される(たとえば、既知のマルウェアは、ドメイン2.0.0.805.784286832.1595022578.128.4096.014a0d3f846ea4af889dd9d8bc8aa80bc65807eadd2dbb27f1.twothousands.comにアクセスする。これは閾値長が90である)。ステップ906では、ダイナミックDNSドメインにアクセスするネットワークトラフィック内における挙動が監視される。ステップ908では、ファストフラックスドメインにアクセスするネットワークトラフィック内における挙動が監視される。ステップ910では、最近作成されたドメインにアクセスするネットワークトラフィック内における挙動が監視される。ステップ912では、監視及び分類対象のネットワークトラフィックの挙動を相関させて、監視/分類された疑わしい挙動に基づきスコア(たとえば、重大性スコア又はマルウェアスコア)が算出される。
図10は、いくつかの実施形態に従うマルウェア解析システムの別のフローチャートである。ステップ1002では、悪質なドメインを特定するためにアクセスしたドメイン関連挙動が監視される(たとえば、マルウェア候補サンプルの挙動をエミュレート/監視するためにVMを用いる)。ステップ1004では、アクセスしたドメインのドメイン名の長さに関するアクセスドメイン関連挙動が監視される。ステップ1006では、アクセスしたドメインがダイナミックDNSドメインであるか否かに関するアクセスドメイン関連挙動が監視される。ステップ1008では、アクセスしたドメインがファストフラックスドメインであるか否かに関するアクセスドメイン関連挙動が監視される。ステップ1010では、アクセスしたドメインが最近作成されたドメインであるか否かに関するアクセスドメイン関連挙動が監視される。ステップ1012では、監視及び分類対象のネットワークトラフィックの挙動を相関させて、監視/分類された疑わしい挙動に基づきスコア(たとえば、重大性スコア又はマルウェアスコア)が算出される。
自明のことであるが、上述した様々な実施形態に従うマルウェア解析システムを用いて、他の種々のヒューリスティック型マルウェア検出技術を適用可能である。また、上述した様々な技術を用いて、種々のシステム及びネットワークアーキテクチャを適用可能である。たとえば、インラインフィルタリング機能を提供し、上述したような仮想マシン解析技術を実行する統合型セキュリティ機器において、上述したマルウェア解析のための様々な技術を実現するようにしてもよい。別の例として、マルウェア解析結果(たとえば、新しいシグネチャー、及び/又は、他の機能部による新しいシグネチャーの生成を容易にするマルウェア解析結果)を他の種々のセキュリティ機能部(たとえば、セキュリティ機器、ネットワーク機器、及び/又は、ホスト型セキュリティソフトウェア)に通信可能な別の機器又はコンピュータサーバを用いて、仮想マシン機能を実現するようにしてもよい。また別の例として、マルウェア解析結果(たとえば、新しいシグネチャー、及び/又は、他の機能部による新しいシグネチャーの生成を容易にするマルウェア解析結果)を他の種々のセキュリティ機能部(たとえば、セキュリティ機器、ネットワーク機器、及び/又は、ホスト型セキュリティソフトウェア)に通信可能な、及び/又は、新たなセキュリティアップデート(たとえば、セキュリティクラウドサービスベンダーからのシグネチャーアップデートに登録している様々なセキュリティ装置/ソフトウェアに新たなシグネチャーをプッシュする)を生成可能な(たとえば、上述したようなログ情報を用いる所定の事後解析技術を実行する)セキュリティクラウドサービスを用いて、又は、セキュリティクラウドサービスの支援により、仮想マシン機能を実現するようにしてもよい。
以上、理解を助ける目的で実施形態を詳細に説明したが、本発明は上述した詳細に限定されるものではなく、本発明は多くの別の形態で実施可能である。上述した実施形態は例示に過ぎず、限定するものではない。

Claims (25)

  1. システムであって、
    ファイアウォールからマルウェア候補サンプルを受信し、
    前記マルウェア候補サンプルがマルウェアであるか否かを判定するために仮想マシンを用いて前記マルウェア候補サンプルを解析し、
    前記マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成する、ように構成されているプロセッサと、
    前記プロセッサに接続され、前記プロセッサに命令を提供すように構成されているメモリと、
    を備えるシステム。
  2. 請求項1に記載のシステムであって、
    前記マルウェア候補サンプルは、既存のシグネチャーに一致しない、システム。
  3. 請求項1に記載のシステムであって、
    前記マルウェア候補サンプルは、既存のシグネチャーに一致せず、前記マルウェアはゼロデイ攻撃である、システム。
  4. 請求項1に記載のシステムであって、
    前記ファイアウォールは第1の装置上で実行され、前記仮想マシンは第2の装置上で実行される、システム。
  5. 請求項1に記載のシステムであって、
    前記ファイアウォールはセキュリティ機器によって実装され、前記仮想マシンは仮想マシン機器によって実装される、システム。
  6. 請求項1に記載のシステムであって、
    前記ファイアウォールは第1の装置上で実行されるホスト型ファイアウォールであり、前記仮想マシンは仮想マシン機器によって実装される、システム。
  7. 請求項1に記載のシステムであって、
    前記仮想マシンはセキュリティクラウドサービスによって実装される、システム。
  8. 請求項1に記載のシステムであって、
    前記ファイアウォールは、前記マルウェア候補サンプルを生成するために、ネットワークトラフィックフローを復号して、前記仮想マシンを用いた解析を行う、システム。
  9. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、前記シグネチャーを前記ファイアウォールに送信するように構成され、
    前記ファイアウォールは、1つ又は複数のファイアウォールポリシー内に前記シグネチャーを備える、システム。
  10. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、前記シグネチャーを前記ファイアウォールに送信するように構成され、
    前記ファイアウォールは、ゲートウェイセキュリティ装置、セキュリティ機器、ネットワーク・ルーティング装置、又は、ホスト型ファイアウォールを実行する汎用コンピュータにおいて実装される、システム。
  11. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、前記シグネチャーをクラウドセキュリティサービスに送信するように構成されている、システム。
  12. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、ヒューリスティックスに基づいて、マルウェアを特定するために、前記仮想マシンを用いるエミュレーションの際に、前記マルウェア候補サンプルの挙動を監視するように構成されている、システム。
  13. 請求項1に記載のシステムであって、
    前記メモリは、さらに、マルウェアを特定するために、前記プロセッサに、前記仮想マシンを用いるエミュレーションの際に、前記マルウェア候補サンプルの挙動を監視させる命令を前記プロセッサに与えるように構成され、
    マルウェア候補を示す監視対象となる挙動は、HTTPトラフィック用の非標準的なHTTPポートに接続すること、架空ドメインにアクセスすること、非標準的な実行ファイル拡張子を有する実行ファイルをダウンロードすること、eメールサーバ用のDNSクエリを実行すること、一般的な長さよりも短い長さのHTTPヘッダを用いて通信を行うこと、HTTPトラフィックにおいてポスト法で通信を行うこと、IRCトラフィック用の非標準的なIRCポートに接続すること、侵入防止システム回避手法を用いて通信を行うこと、及び、HTTPポートを介して分類されていないトラフィックの通信を行うことの1つ以上を含む、システム。
  14. 請求項1に記載のシステムであって、
    前記メモリは、さらに、マルウェアを特定するために、前記プロセッサに、前記仮想マシンを用いるエミュレーションの際に、前記マルウェア候補サンプルの挙動を監視させる命令を前記プロセッサに与えるように構成され、
    マルウェア候補を示す監視対象となる挙動は、通常のドメイン名の長さよりも長いドメイン名を持つドメインにアクセスすること、ダイナミックDNSドメインにアクセスすること、ファストフラックスドメインにアクセスすること及び最近作成されたドメインにアクセスすることの1つ以上を含む、システム。
  15. 請求項1に記載のシステムであって、
    前記メモリは、さらに、悪質なドメインを特定するために、前記プロセッサに、前記仮想マシンを用いるエミュレーションの際に、前記マルウェア候補サンプルの挙動を監視させる命令を前記プロセッサに与えるように構成され、
    アクセスされたドメインが閾値を超える長さのドメイン名を持つこと、アクセスされたドメインがダイナミックDNSドメインであるか否か、アクセスされたドメインがファストフラックスドメインであるか否か、及びアクセスされたドメインが最近作成されたドメインであるか否かのうちの1つ以上に基づいて、 監視対象となるドメインアクセスに関連する挙動は、悪質なドメインである可能性を示す、システム。
  16. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、ハッシュ関数またはファイルヘッダ情報のダイジェストを用いて、ファイル型シグネチャーを生成するように構成されている、システム。
  17. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、マルウェア候補に関するログ情報を前記仮想マシンに送信するように構成され、
    前記ログ情報は、セッション情報、アプリケーション識別情報、URLカテゴリー情報、及び、脆弱性警告情報の1つ以上を含む、システム。
  18. 請求項1に記載のシステムであって、
    前記プロセッサは、さらに、マルウェア候補に関するログ情報を前記仮想マシンに送信するように構成され、
    前記仮想マシンは、前記ログ情報を用いた事後解析を行って、前記マルウェア候補がマルウェアであるか否かを判定する、システム。
  19. 方法であって、
    ファイアウォールからマルウェア候補サンプルを受信し、
    前記マルウェア候補サンプルがマルウェアであるか否かを判定するために、仮想マシンを用いて前記マルウェア候補サンプルを解析し、
    前記マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成する、方法。
  20. 請求項19に記載の方法であって、
    さらに、マルウェアを特定するために、前記仮想マシンを用いるエミュレーションの際に、前記マルウェア候補サンプルの挙動を監視する、方法。
  21. コンピュータプログラム製品であって、
    コンピュータ読み取り可能な記憶媒体に組み込まれ、
    ファイアウォールからマルウェア候補サンプルを受信するためのコンピュータ命令と、
    前記マルウェア候補サンプルがマルウェアであるか否かを判定するために、仮想マシンを用いて前記マルウェア候補サンプルを解析するためのコンピュータ命令と、
    前記マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成するためのコンピュータ命令と、を備えるコンピュータプログラム製品。
  22. 請求項21に記載のコンピュータプログラム製品であって、
    さらに、マルウェアを特定するために、前記仮想マシンを用いるエミュレーションの際に、前記マルウェア候補サンプルの挙動を監視するためのコンピュータ命令を備えるコンピュータプログラム製品。
  23. システムであって、
    ファイアウォールからマルウェア候補サンプルを受信し、
    前記マルウェア候補サンプルがマルウェアであるか否かを判定するために、仮想マシンを用いて前記マルウェア候補サンプルを解析し、
    前記マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成し、
    前記シグネチャーを複数のセキュリティ装置に配布する、ように構成されているプロセッサと、
    前記プロセッサに接続され、前記プロセッサに命令を与えるように構成されているメモリと、
    を備えるシステム。
  24. システムであって、
    複数のネットワークトラフィックフローを監視し、
    既存のシグネチャーと一致しないマルウェア候補サンプルを生成するために暗号化ネットワークトラフィックフローを復号し、
    仮想マシンを用いて前記マルウェア候補サンプルを解析することによって前記マルウェア候補サンプルがマルウェアであるか否かを判定するために前記仮想マシンを実行するマルウェア解析装置にマルウェア候補サンプルを送信し、
    前記マルウェア解析装置から前記マルウェア候補サンプルの解析結果を受信し、
    前記マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成し、
    前記シグネチャーに基づいてネットワークアクセス用のセキュリティポリシーを実行するように構成されているプロセッサと、
    前記プロセッサに接続され、前記プロセッサに命令を与えるように構成されているメモリと、
    を備えるシステム。
  25. システムであって、
    マルウェア候補サンプルがマルウェアであるか否かを判定するために、仮想マシンを用いてシグネチャーが存在しない前記マルウェア候補サンプルを解析し、
    前記マルウェア候補サンプルがマルウェアであると判定された場合にシグネチャーを自動的に生成し、
    前記シグネチャーに基づくファイアウォールルールを追加し、
    前記シグネチャーを用いて前記ファイアウォールルールを実行するように構成されているプロセッサと、
    前記プロセッサに接続され、前記プロセッサに命令を与えるように構成されているメモリと、
    を備えるシステム。
JP2014512893A 2011-05-24 2012-05-17 マルウェア解析システム Pending JP2014519113A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/115,032 2011-05-24
US13/115,032 US9047441B2 (en) 2011-05-24 2011-05-24 Malware analysis system
PCT/US2012/038439 WO2012162102A1 (en) 2011-05-24 2012-05-17 Malware analysis system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2016045104A Division JP6106780B2 (ja) 2011-05-24 2016-03-09 マルウェア解析システム

Publications (1)

Publication Number Publication Date
JP2014519113A true JP2014519113A (ja) 2014-08-07

Family

ID=47217632

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014512893A Pending JP2014519113A (ja) 2011-05-24 2012-05-17 マルウェア解析システム
JP2016045104A Active JP6106780B2 (ja) 2011-05-24 2016-03-09 マルウェア解析システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2016045104A Active JP6106780B2 (ja) 2011-05-24 2016-03-09 マルウェア解析システム

Country Status (8)

Country Link
US (2) US9047441B2 (ja)
EP (1) EP2715540B1 (ja)
JP (2) JP2014519113A (ja)
CN (2) CN103842965B (ja)
AU (1) AU2012259113B2 (ja)
CA (1) CA2835954C (ja)
IL (2) IL229531A (ja)
WO (1) WO2012162102A1 (ja)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016220213A (ja) * 2015-05-22 2016-12-22 フィッシャー−ローズマウント システムズ,インコーポレイテッド プラントセキュリティシステムにおける構成可能なロバスト性エージェント
JP2016224506A (ja) * 2015-05-27 2016-12-28 西日本電信電話株式会社 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム
JP2017016631A (ja) * 2015-07-06 2017-01-19 エーオー カスペルスキー ラボAO Kaspersky Lab 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。
JP2017021773A (ja) * 2015-06-30 2017-01-26 エーオー カスペルスキー ラボAO Kaspersky Lab 望ましくないプログラムのインストール及び実行を予防するシステム及び方法
JP2017033531A (ja) * 2015-08-04 2017-02-09 エーオー カスペルスキー ラボAO Kaspersky Lab 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
WO2018079424A1 (ja) * 2016-10-24 2018-05-03 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
JP2018533793A (ja) * 2015-11-04 2018-11-15 ビットディフェンダー アイピーアール マネジメント リミテッド ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法
DE112017001052T5 (de) 2016-02-29 2018-11-29 Panasonic Intellectual Property Management Co., Ltd. Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung
US10482240B2 (en) 2015-01-29 2019-11-19 Nec Corporation Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
US10761840B2 (en) 2015-11-30 2020-09-01 Nec Corporation Software analysis device, software analysis method, and recording medium
US10891379B2 (en) 2016-04-26 2021-01-12 Nec Corporation Program analysis system, program analysis method and storage medium
WO2023112376A1 (ja) * 2021-12-17 2023-06-22 パナソニックIpマネジメント株式会社 セキュリティ対策方法、及び、セキュリティ対策システム

Families Citing this family (315)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515912B2 (en) 2010-07-15 2013-08-20 Palantir Technologies, Inc. Sharing and deconflicting data changes in a multimaster database system
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits
US9152789B2 (en) 2008-05-28 2015-10-06 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US9609015B2 (en) 2008-05-28 2017-03-28 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US9383911B2 (en) 2008-09-15 2016-07-05 Palantir Technologies, Inc. Modal-less interface enhancements
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8832835B1 (en) * 2010-10-28 2014-09-09 Symantec Corporation Detecting and remediating malware dropped by files
WO2011113386A2 (zh) * 2011-04-26 2011-09-22 华为技术有限公司 网络流量模拟方法及装置
US8997220B2 (en) * 2011-05-26 2015-03-31 Microsoft Technology Licensing, Llc Automatic detection of search results poisoning attacks
US9547693B1 (en) 2011-06-23 2017-01-17 Palantir Technologies Inc. Periodic database search manager for multiple data sources
US11201848B2 (en) 2011-07-06 2021-12-14 Akamai Technologies, Inc. DNS-based ranking of domain names
US9843601B2 (en) 2011-07-06 2017-12-12 Nominum, Inc. Analyzing DNS requests for anomaly detection
US10742591B2 (en) * 2011-07-06 2020-08-11 Akamai Technologies Inc. System for domain reputation scoring
US8843915B2 (en) * 2011-07-28 2014-09-23 Hewlett-Packard Development Company, L.P. Signature-based update management
US8887263B2 (en) * 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
US10025928B2 (en) * 2011-10-03 2018-07-17 Webroot Inc. Proactive browser content analysis
US9215245B1 (en) * 2011-11-10 2015-12-15 Google Inc. Exploration system and method for analyzing behavior of binary executable programs
WO2013082437A1 (en) 2011-12-02 2013-06-06 Invincia, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
WO2013085717A1 (en) * 2011-12-06 2013-06-13 Avocent Huntsville Corp. Data center infrastructure management system incorporating security for managed infrastructure devices
US9213837B2 (en) * 2011-12-06 2015-12-15 Raytheon Cyber Products, Llc System and method for detecting malware in documents
KR101296716B1 (ko) * 2011-12-14 2013-08-20 한국인터넷진흥원 피디에프 문서형 악성코드 탐지 시스템 및 방법
US9367687B1 (en) * 2011-12-22 2016-06-14 Emc Corporation Method for malware detection using deep inspection and data discovery agents
US8949982B2 (en) * 2011-12-30 2015-02-03 Verisign, Inc. Method for administering a top-level domain
US9053348B2 (en) * 2012-03-26 2015-06-09 Microsoft Technology Licensing, Llc Secure cloud computing platform
IL219499B (en) 2012-04-30 2019-02-28 Verint Systems Ltd A system and method for detecting malicious software
US9548962B2 (en) * 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
US8925074B1 (en) * 2012-05-22 2014-12-30 Trend Micro Incorporated Methods and apparatus for detecting abnormal computer files
CN102694820B (zh) * 2012-06-13 2015-01-21 华为技术有限公司 签名规则的处理方法、服务器及入侵防御系统
US9027138B2 (en) * 2012-06-29 2015-05-05 Centurylink Intellectual Property Llc Identification of infected devices in broadband environments
US10332005B1 (en) * 2012-09-25 2019-06-25 Narus, Inc. System and method for extracting signatures from controlled execution of applications and using them on traffic traces
US9081975B2 (en) 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
US9565213B2 (en) * 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9501761B2 (en) 2012-11-05 2016-11-22 Palantir Technologies, Inc. System and method for sharing investigation results
CN103810424B (zh) * 2012-11-05 2017-02-08 腾讯科技(深圳)有限公司 一种异常应用程序的识别方法及装置
IL224482B (en) 2013-01-29 2018-08-30 Verint Systems Ltd System and method for keyword spotting using representative dictionary
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US8935782B2 (en) * 2013-02-04 2015-01-13 International Business Machines Corporation Malware detection via network information flow theories
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US10152591B2 (en) 2013-02-10 2018-12-11 Paypal, Inc. Protecting against malware variants using reconstructed code of malware
WO2014122662A1 (en) 2013-02-10 2014-08-14 Cyber Active Security Ltd. Method and product for providing a predictive security product and evaluating existing security products
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
CN103150506B (zh) * 2013-02-17 2016-03-30 北京奇虎科技有限公司 一种恶意程序检测的方法和装置
US9239922B1 (en) * 2013-03-11 2016-01-19 Trend Micro Inc. Document exploit detection using baseline comparison
KR101400680B1 (ko) * 2013-03-12 2014-05-29 주식회사 윈스 악성코드 자동 수집 시스템
US9965937B2 (en) 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
US8788405B1 (en) 2013-03-15 2014-07-22 Palantir Technologies, Inc. Generating data clusters with customizable analysis strategies
CN104123494B (zh) * 2013-04-24 2017-12-29 贝壳网际(北京)安全技术有限公司 恶意软件动态行为分析系统的预警方法及装置
IL226747B (en) 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US10122722B2 (en) 2013-06-20 2018-11-06 Hewlett Packard Enterprise Development Lp Resource classification using resource requests
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9336025B2 (en) 2013-07-12 2016-05-10 The Boeing Company Systems and methods of analyzing a software component
US9852290B1 (en) 2013-07-12 2017-12-26 The Boeing Company Systems and methods of analyzing a software component
US9280369B1 (en) * 2013-07-12 2016-03-08 The Boeing Company Systems and methods of analyzing a software component
US9396082B2 (en) 2013-07-12 2016-07-19 The Boeing Company Systems and methods of analyzing a software component
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
CN103414758B (zh) * 2013-07-19 2017-04-05 北京奇虎科技有限公司 日志处理方法及装置
WO2015016901A1 (en) * 2013-07-31 2015-02-05 Hewlett-Packard Development Company, L.P. Signal tokens indicative of malware
US9565152B2 (en) 2013-08-08 2017-02-07 Palantir Technologies Inc. Cable reader labeling
US9335897B2 (en) 2013-08-08 2016-05-10 Palantir Technologies Inc. Long click display of a context menu
US8959643B1 (en) * 2013-08-09 2015-02-17 Narus, Inc. Detecting malware infestations in large-scale networks
US9058488B2 (en) 2013-08-14 2015-06-16 Bank Of America Corporation Malware detection and computer monitoring methods
US9185128B2 (en) * 2013-08-30 2015-11-10 Bank Of America Corporation Malware analysis methods and systems
US10084817B2 (en) * 2013-09-11 2018-09-25 NSS Labs, Inc. Malware and exploit campaign detection system and method
US20150089655A1 (en) * 2013-09-23 2015-03-26 Electronics And Telecommunications Research Institute System and method for detecting malware based on virtual host
US9479521B2 (en) 2013-09-30 2016-10-25 The Boeing Company Software network behavior analysis and identification system
US9563672B2 (en) 2013-09-30 2017-02-07 Verisign, Inc. NXD query monitor
US9690936B1 (en) * 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9460405B2 (en) * 2013-10-03 2016-10-04 Paypal, Inc. Systems and methods for cloud data loss prevention integration
US9386103B2 (en) 2013-10-04 2016-07-05 Breakingpoint Systems, Inc. Application identification and dynamic signature generation for managing network communications
US9116975B2 (en) 2013-10-18 2015-08-25 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores
CN103581185B (zh) * 2013-11-01 2016-12-07 北京奇虎科技有限公司 对抗免杀测试的云查杀方法、装置及系统
CN104380686B (zh) * 2013-11-07 2018-08-21 华为技术有限公司 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器
US9355246B1 (en) * 2013-12-05 2016-05-31 Trend Micro Inc. Tuning sandbox behavior based on static characteristics of malware
US10579647B1 (en) 2013-12-16 2020-03-03 Palantir Technologies Inc. Methods and systems for analyzing entity performance
CN105765901B (zh) 2013-12-20 2019-11-08 迈克菲有限责任公司 智能防火墙访问规则
US9756074B2 (en) * 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US20150188893A1 (en) * 2013-12-30 2015-07-02 Arun Sood Secure Gateway
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US9740759B1 (en) * 2014-01-24 2017-08-22 EMC IP Holding Company LLC Cloud migrator
US9363282B1 (en) * 2014-01-28 2016-06-07 Infoblox Inc. Platforms for implementing an analytics framework for DNS security
US10469510B2 (en) * 2014-01-31 2019-11-05 Juniper Networks, Inc. Intermediate responses for non-html downloads
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US11405410B2 (en) 2014-02-24 2022-08-02 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US10360271B2 (en) 2014-02-25 2019-07-23 Sap Se Mining security vulnerabilities available from social media
US9241010B1 (en) * 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
CN103942076B (zh) * 2014-04-11 2017-05-24 珠海市君天电子科技有限公司 积分墙信息的获取方法及装置
KR101535502B1 (ko) * 2014-04-22 2015-07-09 한국인터넷진흥원 보안 내재형 가상 네트워크 제어 시스템 및 방법
US10122753B2 (en) * 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
KR101534566B1 (ko) * 2014-05-09 2015-07-24 한국전자통신연구원 클라우드 가상 데스크탑 보안 통제 장치 및 방법
US10474820B2 (en) 2014-06-17 2019-11-12 Hewlett Packard Enterprise Development Lp DNS based infection scores
KR101624326B1 (ko) 2014-06-24 2016-05-26 주식회사 안랩 악성 파일 진단 시스템 및 악성 파일 진단 방법
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9489519B2 (en) * 2014-06-30 2016-11-08 Nicira, Inc. Method and apparatus for encrypting data messages after detecting infected VM
US9619557B2 (en) 2014-06-30 2017-04-11 Palantir Technologies, Inc. Systems and methods for key phrase characterization of documents
US9535974B1 (en) 2014-06-30 2017-01-03 Palantir Technologies Inc. Systems and methods for identifying key phrase clusters within documents
US9785773B2 (en) * 2014-07-03 2017-10-10 Palantir Technologies Inc. Malware data item analysis
US9021260B1 (en) * 2014-07-03 2015-04-28 Palantir Technologies Inc. Malware data item analysis
CN104091124A (zh) * 2014-07-03 2014-10-08 利诚服装集团股份有限公司 一种数据安全处理方法
US9202249B1 (en) 2014-07-03 2015-12-01 Palantir Technologies Inc. Data item clustering and analysis
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
WO2016007144A1 (en) * 2014-07-08 2016-01-14 Hewlett-Packard Development Company, L.P. Composite document access
US9659176B1 (en) * 2014-07-17 2017-05-23 Symantec Corporation Systems and methods for generating repair scripts that facilitate remediation of malware side-effects
US10652263B2 (en) * 2014-07-21 2020-05-12 David Paul Heilig Identifying malware-infected network devices through traffic monitoring
US9596266B1 (en) * 2014-07-23 2017-03-14 Lookingglass Cyber Solutions, Inc. Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism
IL233776B (en) 2014-07-24 2019-02-28 Verint Systems Ltd A system and method for adjusting domains
US9419992B2 (en) 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US9332023B1 (en) * 2014-08-25 2016-05-03 Symantec Corporation Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats
US9454281B2 (en) 2014-09-03 2016-09-27 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US9860208B1 (en) 2014-09-30 2018-01-02 Palo Alto Networks, Inc. Bridging a virtual clone of a target device in a honey network to a suspicious device in an enterprise network
US9495188B1 (en) * 2014-09-30 2016-11-15 Palo Alto Networks, Inc. Synchronizing a honey network configuration to reflect a target network environment
US10044675B1 (en) 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
US9882929B1 (en) 2014-09-30 2018-01-30 Palo Alto Networks, Inc. Dynamic selection and generation of a virtual clone for detonation of suspicious content within a honey network
US9716727B1 (en) 2014-09-30 2017-07-25 Palo Alto Networks, Inc. Generating a honey network configuration to emulate a target network environment
US9501851B2 (en) 2014-10-03 2016-11-22 Palantir Technologies Inc. Time-series analysis system
US9767172B2 (en) 2014-10-03 2017-09-19 Palantir Technologies Inc. Data aggregation and analysis system
US9984133B2 (en) 2014-10-16 2018-05-29 Palantir Technologies Inc. Schematic and database linking system
US20160164886A1 (en) * 2014-10-17 2016-06-09 Computer Sciences Corporation Systems and methods for threat analysis of computer data
US9413774B1 (en) * 2014-10-27 2016-08-09 Palo Alto Networks, Inc. Dynamic malware analysis of a URL using a browser executed in an instrumented virtual machine environment
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
WO2016097757A1 (en) 2014-12-18 2016-06-23 Sophos Limited A method and system for network access control based on traffic monitoring and vulnerability detection using process related information
US9348920B1 (en) 2014-12-22 2016-05-24 Palantir Technologies Inc. Concept indexing among database of documents using machine learning techniques
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10552994B2 (en) 2014-12-22 2020-02-04 Palantir Technologies Inc. Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US10075455B2 (en) * 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9648036B2 (en) 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9467455B2 (en) 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9817563B1 (en) 2014-12-29 2017-11-14 Palantir Technologies Inc. System and method of generating data points from one or more data stores of data items for chart creation and manipulation
US9335911B1 (en) 2014-12-29 2016-05-10 Palantir Technologies Inc. Interactive user interface for dynamic data analysis exploration and query processing
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US10560842B2 (en) 2015-01-28 2020-02-11 Verint Systems Ltd. System and method for combined network-side and off-air monitoring of wireless networks
CN107209833B (zh) * 2015-01-28 2020-12-04 日本电信电话株式会社 恶意软件分析系统、恶意软件分析方法及记录介质
US9560078B2 (en) * 2015-02-04 2017-01-31 Intel Corporation Technologies for scalable security architecture of virtualized networks
TWI553502B (zh) * 2015-03-05 2016-10-11 緯創資通股份有限公司 用於應用程式層之防火牆裝置的保護方法與其電腦系統
US10116688B1 (en) 2015-03-24 2018-10-30 Symantec Corporation Systems and methods for detecting potentially malicious files
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
IL238001B (en) 2015-03-29 2020-05-31 Verint Systems Ltd System and method for identifying communication conversation participants based on communication traffic patterns
US9798878B1 (en) 2015-03-31 2017-10-24 Symantec Corporation Systems and methods for detecting text display manipulation attacks
US9781131B2 (en) * 2015-04-22 2017-10-03 Aktiebolaget Skf Systems and methods for securing remote configuration
US20180115563A1 (en) * 2015-04-24 2018-04-26 Nokia Solutions And Networks Oy Mitigation of Malicious Software in a Mobile Communications Network
CN106295328B (zh) 2015-05-20 2019-06-18 阿里巴巴集团控股有限公司 文件检测方法、装置及系统
WO2016186902A1 (en) * 2015-05-20 2016-11-24 Alibaba Group Holding Limited Detecting malicious files
US10701037B2 (en) 2015-05-27 2020-06-30 Ping Identity Corporation Scalable proxy clusters
US9703956B1 (en) * 2015-06-08 2017-07-11 Symantec Corporation Systems and methods for categorizing virtual-machine-aware applications for further analysis
US10176438B2 (en) * 2015-06-19 2019-01-08 Arizona Board Of Regents On Behalf Of Arizona State University Systems and methods for data driven malware task identification
US9407652B1 (en) 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
CN106341377A (zh) * 2015-07-15 2017-01-18 威海捷讯通信技术有限公司 一种Web服务器免受攻击的方法及装置
US10607011B1 (en) * 2015-07-21 2020-03-31 Fatih Orhan Method to detect zero-day malware applications using dynamic behaviors
US9705909B2 (en) * 2015-07-29 2017-07-11 Verizon Digital Media Services Inc. Automatic detection and mitigation of security weaknesses with a self-configuring firewall
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US10489391B1 (en) 2015-08-17 2019-11-26 Palantir Technologies Inc. Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface
US10102369B2 (en) 2015-08-19 2018-10-16 Palantir Technologies Inc. Checkout system executable code monitoring, and user account compromise determination system
US9537880B1 (en) 2015-08-19 2017-01-03 Palantir Technologies Inc. Anomalous network monitoring, user behavior detection and database system
US10127385B2 (en) 2015-09-02 2018-11-13 Sap Se Automated security vulnerability exploit tracking on social media
US20170068712A1 (en) 2015-09-04 2017-03-09 Palantir Technologies Inc. Systems and methods for database investigation tool
US9749294B1 (en) 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US9742796B1 (en) 2015-09-18 2017-08-22 Palo Alto Networks, Inc. Automatic repair of corrupt files for a detonation engine
US9853940B2 (en) * 2015-09-24 2017-12-26 Microsoft Technology Licensing, Llc Passive web application firewall
US10277612B2 (en) * 2015-09-28 2019-04-30 International Business Machines Corporation Autonomic exclusion in a tiered delivery network
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) * 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US10044745B1 (en) 2015-10-12 2018-08-07 Palantir Technologies, Inc. Systems for computer network security risk assessment including user compromise analysis associated with a network of devices
IL242219B (en) 2015-10-22 2020-11-30 Verint Systems Ltd System and method for keyword searching using both static and dynamic dictionaries
IL242218B (en) 2015-10-22 2020-11-30 Verint Systems Ltd A system and method for maintaining a dynamic dictionary
US10963565B1 (en) * 2015-10-29 2021-03-30 Palo Alto Networks, Inc. Integrated application analysis and endpoint protection
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10015192B1 (en) * 2015-11-06 2018-07-03 Cisco Technology, Inc. Sample selection for data analysis for use in malware detection
EP3783857A1 (en) * 2015-11-09 2021-02-24 Cyphort Inc. System and method for detecting lateral movement and data exfiltration
US11159486B2 (en) 2015-11-17 2021-10-26 Zscaler, Inc. Stream scanner for identifying signature matches
US11277383B2 (en) 2015-11-17 2022-03-15 Zscaler, Inc. Cloud-based intrusion prevention system
US10594656B2 (en) * 2015-11-17 2020-03-17 Zscaler, Inc. Multi-tenant cloud-based firewall systems and methods
US9760556B1 (en) 2015-12-11 2017-09-12 Palantir Technologies Inc. Systems and methods for annotating and linking electronic documents
US10089289B2 (en) 2015-12-29 2018-10-02 Palantir Technologies Inc. Real-time document annotation
US9916465B1 (en) 2015-12-29 2018-03-13 Palantir Technologies Inc. Systems and methods for automatic and customizable data minimization of electronic data stores
US9996236B1 (en) 2015-12-29 2018-06-12 Palantir Technologies Inc. Simplified frontend processing and visualization of large datasets
US9992217B2 (en) * 2015-12-31 2018-06-05 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting malicious network traffic
CN105511944B (zh) * 2016-01-07 2018-09-28 上海海事大学 一种云系统内部虚拟机的异常检测方法
CN108886515B (zh) * 2016-01-08 2021-06-15 百通股份有限公司 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置
US10237286B2 (en) * 2016-01-29 2019-03-19 Zscaler, Inc. Content delivery network protection from malware and data leakage
US9928363B2 (en) * 2016-02-26 2018-03-27 Cylance Inc. Isolating data for analysis to avoid malicious attacks
US10200389B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Malware analysis platform for threat intelligence made actionable
US10230749B1 (en) * 2016-02-29 2019-03-12 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
US10200390B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
US10333948B2 (en) 2016-02-29 2019-06-25 Palo Alto Networks, Inc. Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US9984234B2 (en) * 2016-03-11 2018-05-29 Hrb Innovations, Inc. Secure document importation via portable media
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
CN107306255A (zh) * 2016-04-21 2017-10-31 阿里巴巴集团控股有限公司 防御流量攻击方法、预设列表生成方法、装置及清洗设备
IL245299B (en) 2016-04-25 2021-05-31 Verint Systems Ltd A system and method for decoding communication transmitted in a wireless local communication network
CN105791323B (zh) * 2016-05-09 2019-02-26 国家电网公司 未知恶意软件的防御方法和设备
CN106682507B (zh) * 2016-05-19 2019-05-14 腾讯科技(深圳)有限公司 病毒库的获取方法及装置、设备、服务器、系统
RU2628923C1 (ru) * 2016-05-20 2017-08-22 Акционерное общество "Лаборатория Касперского" Система и способ распределения файлов между виртуальными машинами, входящими в распределённую систему виртуальных машин, для выполнения антивирусной проверки
AU2017283818A1 (en) * 2016-06-16 2019-03-28 Beestripe Llc Method for identifying and removing malicious software
US10896254B2 (en) 2016-06-29 2021-01-19 Sophos Limited Sandbox environment for document preview and analysis
US10482239B1 (en) 2016-06-30 2019-11-19 Palo Alto Networks, Inc. Rendering an object using muliple versions of an application in a single process for dynamic malware analysis
US10187414B2 (en) * 2016-07-20 2019-01-22 Cisco Technology, Inc. Differential malware detection using network and endpoint sensors
US10719188B2 (en) 2016-07-21 2020-07-21 Palantir Technologies Inc. Cached database and synchronization system for providing dynamic linked panels in user interface
US10324609B2 (en) 2016-07-21 2019-06-18 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
WO2018039792A1 (en) * 2016-08-31 2018-03-08 Wedge Networks Inc. Apparatus and methods for network-based line-rate detection of unknown malware
CN106503552A (zh) * 2016-09-19 2017-03-15 南京邮电大学 基于签名与数据流模式挖掘的Android恶意软件检测系统及方法
US10313366B1 (en) * 2016-09-23 2019-06-04 EMC IP Holding Company LLC Retroactive identification of previously unknown malware based on network traffic analysis from a sandbox environment
US11522901B2 (en) * 2016-09-23 2022-12-06 OPSWAT, Inc. Computer security vulnerability assessment
US10379894B1 (en) * 2016-09-27 2019-08-13 Amazon Technologies, Inc. Lineage-based trust for virtual machine images
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
US10505970B2 (en) 2016-10-05 2019-12-10 Cisco Technology, Inc. Identifying and using DNS contextual flows
IL248306B (en) 2016-10-10 2019-12-31 Verint Systems Ltd System and method for creating data sets for learning to recognize user actions
US10133588B1 (en) 2016-10-20 2018-11-20 Palantir Technologies Inc. Transforming instructions for collaborative updates
US10728113B2 (en) 2016-10-26 2020-07-28 Zscaler, Inc. Systems and methods for troubleshooting and performance analysis of cloud based services
US11811623B2 (en) 2016-10-26 2023-11-07 Zscaler, Inc. Deep tracing of user experience
US10587580B2 (en) 2016-10-26 2020-03-10 Ping Identity Corporation Methods and systems for API deception environment and API traffic control and security
US10318630B1 (en) 2016-11-21 2019-06-11 Palantir Technologies Inc. Analysis of large bodies of textual data
US10268825B2 (en) * 2016-12-01 2019-04-23 International Business Machines Corporation Amalgamating code vulnerabilities across projects
US10484332B2 (en) * 2016-12-02 2019-11-19 Vmware, Inc. Application based network traffic management
US10044836B2 (en) 2016-12-19 2018-08-07 Palantir Technologies Inc. Conducting investigations under limited connectivity
US11611570B2 (en) * 2016-12-30 2023-03-21 British Telecommunications Public Limited Company Attack signature generation
US11658996B2 (en) * 2016-12-30 2023-05-23 British Telecommunications Public Limited Company Historic data breach detection
WO2018122049A1 (en) 2016-12-30 2018-07-05 British Telecommunications Public Limited Company Data breach detection
US10216811B1 (en) 2017-01-05 2019-02-26 Palantir Technologies Inc. Collaborating using different object models
US10623358B2 (en) * 2017-02-14 2020-04-14 International Business Machines Corporation Facilitating message processing at a target endpoint
IL252037B (en) 2017-04-30 2021-12-01 Verint Systems Ltd System and method for identifying relationships between computer application users
IL252041B (en) 2017-04-30 2020-09-30 Verint Systems Ltd System and method for tracking computer application users
US11074277B1 (en) 2017-05-01 2021-07-27 Palantir Technologies Inc. Secure resolution of canonical entities
US10855694B2 (en) * 2017-05-30 2020-12-01 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment
US10942947B2 (en) 2017-07-17 2021-03-09 Palantir Technologies Inc. Systems and methods for determining relationships between datasets
US10783239B2 (en) * 2017-08-01 2020-09-22 Pc Matic, Inc. System, method, and apparatus for computer security
US10992652B2 (en) 2017-08-25 2021-04-27 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring encrypted network traffic flows
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10903985B2 (en) 2017-08-25 2021-01-26 Keysight Technologies Singapore (Sales) Pte. Ltd. Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques
US10432648B1 (en) 2017-08-28 2019-10-01 Palo Alto Networks, Inc. Automated malware family signature generation
US10645099B1 (en) * 2017-09-01 2020-05-05 Ca, Inc. Malware detection facilitated by copying a memory range from an emulator for analysis and signature generation
EP3471007B1 (en) 2017-10-13 2022-02-23 Ping Identity Corporation Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions
US10530788B1 (en) * 2017-11-01 2020-01-07 Trend Micro Incorporated Detection and prevention of malicious remote file operations
US10956508B2 (en) 2017-11-10 2021-03-23 Palantir Technologies Inc. Systems and methods for creating and managing a data integration workspace containing automatically updated data models
US10965654B2 (en) * 2017-11-28 2021-03-30 Viavi Solutions Inc. Cross-interface correlation of traffic
US10693891B2 (en) 2017-12-06 2020-06-23 Chicago Mercantile Exchange Inc. Electronic mail security system
US11061874B1 (en) 2017-12-14 2021-07-13 Palantir Technologies Inc. Systems and methods for resolving entity data across various data structures
US10958668B1 (en) 2017-12-21 2021-03-23 Palo Alto Networks, Inc. Finding malicious domains with DNS query pattern analysis
US10853352B1 (en) 2017-12-21 2020-12-01 Palantir Technologies Inc. Structured data collection, presentation, validation and workflow management
IL256690B (en) 2018-01-01 2022-02-01 Cognyte Tech Israel Ltd System and method for identifying pairs of related application users
GB201800595D0 (en) 2018-01-15 2018-02-28 Palantir Technologies Inc Management of software bugs in a data processing system
JP7256196B2 (ja) * 2018-01-31 2023-04-11 パロ アルト ネットワークス,インコーポレイテッド マルウェア検出のためのコンテキストプロファイリング
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10965697B2 (en) * 2018-01-31 2021-03-30 Micro Focus Llc Indicating malware generated domain names using digits
US11190487B2 (en) 2018-02-28 2021-11-30 Palo Alto Networks, Inc. Identifying security risks and enforcing policies on encrypted/encoded network communications
US11599369B1 (en) 2018-03-08 2023-03-07 Palantir Technologies Inc. Graphical user interface configuration system
US11003773B1 (en) * 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US10771436B2 (en) 2018-04-06 2020-09-08 Cisco Technology, Inc. Dynamic whitelist management
US10885021B1 (en) 2018-05-02 2021-01-05 Palantir Technologies Inc. Interactive interpreter and graphical user interface
US10979326B2 (en) 2018-05-11 2021-04-13 Viavi Solutions Inc. Detecting interference of a beam
US11061542B1 (en) 2018-06-01 2021-07-13 Palantir Technologies Inc. Systems and methods for determining and displaying optimal associations of data items
US10445272B2 (en) * 2018-07-05 2019-10-15 Intel Corporation Network function virtualization architecture with device isolation
US11157571B2 (en) 2018-07-12 2021-10-26 Bank Of America Corporation External network system for extracting external website data using generated polymorphic data
JP7003864B2 (ja) * 2018-07-24 2022-02-10 日本電信電話株式会社 振分装置、通信システムおよび振分方法
IL260986B (en) 2018-08-05 2021-09-30 Verint Systems Ltd A system and method for using a user action log to study encrypted traffic classification
US10893030B2 (en) 2018-08-10 2021-01-12 Keysight Technologies, Inc. Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element
US10631263B2 (en) 2018-09-14 2020-04-21 Viavi Solutions Inc. Geolocating a user equipment
CN109218315B (zh) * 2018-09-20 2021-06-01 华为技术有限公司 一种安全管理方法和安全管理装置
US11188622B2 (en) * 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
CN110968862B (zh) * 2018-09-29 2022-03-29 福建省天奕网络科技有限公司 一种数据异常检测方法及终端
KR101990022B1 (ko) 2018-11-28 2019-06-17 한국인터넷진흥원 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
WO2020108760A1 (en) * 2018-11-29 2020-06-04 Huawei Technologies Co., Ltd. Apparatus and method for malware detection
US11070363B1 (en) * 2018-12-21 2021-07-20 Mcafee, Llc Sharing cryptographic session keys among a cluster of network security platforms monitoring network traffic flows
EP3678348A1 (en) * 2019-01-04 2020-07-08 Ping Identity Corporation Methods and systems for data traffic based adpative security
US12137023B2 (en) 2019-02-25 2024-11-05 Zscaler, Inc. Automatic analysis of user experience issues to reduce resolution time
WO2020188524A1 (en) 2019-03-20 2020-09-24 Verint Systems Ltd. System and method for de-anonymizing actions and messages on networks
US11720291B2 (en) * 2019-05-07 2023-08-08 Citrix Systems, Inc. Methods and systems for accessing remotely stored files using virtual applications
US11586728B2 (en) 2019-06-07 2023-02-21 Nxp B.V. Methods for detecting system-level trojans and an integrated circuit device with system-level trojan detection
KR102089417B1 (ko) * 2019-06-11 2020-03-17 한국인터넷진흥원 악성코드에 감염된 디바이스를 포함하는 단말그룹에 대한 가상의 악성 트래픽 템플릿 생성 방법 및 그 장치
TWI726449B (zh) * 2019-10-18 2021-05-01 臺灣銀行股份有限公司 網路攻擊分析方法
EP4046337A1 (en) 2019-11-03 2022-08-24 Cognyte Technologies Israel Ltd System and method for identifying exchanges of encrypted communication traffic
US20220391505A1 (en) * 2019-11-28 2022-12-08 Nippon Telegraph And Telephone Corporation Rule generating device and rule generating program
US11829467B2 (en) 2019-12-18 2023-11-28 Zscaler, Inc. Dynamic rules engine in a cloud-based sandbox
US11265346B2 (en) 2019-12-19 2022-03-01 Palo Alto Networks, Inc. Large scale high-interactive honeypot farm
US11271907B2 (en) 2019-12-19 2022-03-08 Palo Alto Networks, Inc. Smart proxy for a large scale high-interaction honeypot farm
US11190417B2 (en) 2020-02-04 2021-11-30 Keysight Technologies, Inc. Methods, systems, and computer readable media for processing network flow metadata at a network packet broker
US11698965B2 (en) 2020-04-09 2023-07-11 International Business Machines Corporation Detection of encrypting malware attacks
US11425123B2 (en) 2020-04-16 2022-08-23 Bank Of America Corporation System for network isolation of affected computing systems using environment hash outputs
US11423160B2 (en) 2020-04-16 2022-08-23 Bank Of America Corporation System for analysis and authorization for use of executable environment data in a computing system using hash outputs
US11528276B2 (en) 2020-04-16 2022-12-13 Bank Of America Corporation System for prevention of unauthorized access using authorized environment hash outputs
US11481484B2 (en) 2020-04-16 2022-10-25 Bank Of America Corporation Virtual environment system for secure execution of program code using cryptographic hashes
US11263109B2 (en) 2020-04-16 2022-03-01 Bank Of America Corporation Virtual environment system for validating executable data using accelerated time-based process execution
US11372982B2 (en) 2020-07-02 2022-06-28 Bank Of America Corporation Centralized network environment for processing validated executable data based on authorized hash outputs
CN112180746A (zh) * 2020-09-02 2021-01-05 珠海格力电器股份有限公司 基于网关的家居设备控制方法、装置、存储介质及网关
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip
EP3993331B1 (en) 2020-10-30 2023-05-03 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service
US11363055B2 (en) 2020-11-02 2022-06-14 Bank Of America Corporation System and methods for dynamic controlled evaluation of cloud service vulnerabilities
US20220191217A1 (en) * 2020-12-15 2022-06-16 Raytheon Company Systems and methods for evasive resiliency countermeasures
US11863415B2 (en) 2021-01-14 2024-01-02 Zscaler, Inc. Determining endpoint and application behavior for monitoring user experience
US11153190B1 (en) 2021-01-21 2021-10-19 Zscaler, Inc. Metric computation for traceroute probes using cached data to prevent a surge on destination servers
US11425015B2 (en) 2021-01-14 2022-08-23 Zscaler, Inc. Accurate differential traceroute latency calculation between hops
US11637766B2 (en) 2021-01-14 2023-04-25 Zscaler, Inc. Detection of network hops and latency through an opaque tunnel and detection misconfiguration of tunnels
US11671438B2 (en) 2021-01-14 2023-06-06 Zscaler, Inc. Detection of latency, packet drops, and network hops through a tunnel by tracing hops therein
US11949578B2 (en) 2021-01-14 2024-04-02 Zscaler, Inc. Adaptive probing to discover a protocol for network tracing
US11770319B2 (en) 2021-01-14 2023-09-26 Zscaler, Inc. TCP traceroute using RST and SYN-ACK to determine destination reachability
US11811633B2 (en) 2021-01-14 2023-11-07 Zscaler, Inc. Traceroutes through external proxies
US11784904B2 (en) 2021-01-14 2023-10-10 Zscaler, Inc. Adaptive tracing with a reduced number of probes to avoid firewall issues
US11758025B2 (en) 2021-01-14 2023-09-12 Zscaler, Inc. Adaptive tracing using one of a plurality of protocols
US11546240B2 (en) 2021-03-01 2023-01-03 Zscaler, Inc. Proactively detecting failure points in a network
US11647067B2 (en) 2021-03-05 2023-05-09 Zscaler, Inc. Cached web probes for monitoring user experience
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11895129B2 (en) * 2021-06-29 2024-02-06 Juniper Networks, Inc. Detecting and blocking a malicious file early in transit on a network
US20230079612A1 (en) * 2021-09-13 2023-03-16 Paul Maszy System and Method for Computer Security
US12028237B2 (en) 2022-06-28 2024-07-02 Zscaler, Inc. Egress handling for networks with public internet protocol (IP) address
CN115412472B (zh) * 2022-08-30 2024-04-30 中国联合网络通信集团有限公司 网络故障的排查方法、装置及设备
US20240070275A1 (en) * 2022-08-31 2024-02-29 Crowdstrike, Inc. Emulation-based malware detection
US20240195830A1 (en) * 2022-12-09 2024-06-13 Sophos Limited Malicious application detection

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002342106A (ja) * 2001-04-29 2002-11-29 Beijing Rising Technology Corp Ltd 既知や未知のコンピュータウィルスの検索・駆除方法
JP2003241989A (ja) * 2002-02-15 2003-08-29 Toshiba Corp コンピュータウイルス発生検出装置、方法、およびプログラム
JP2004531780A (ja) * 2000-06-22 2004-10-14 マイクロソフト コーポレーション 分散型コンピューティングサービスプラットフォーム
JP2004302538A (ja) * 2003-03-28 2004-10-28 Meiji Univ ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
US20080133540A1 (en) * 2006-12-01 2008-06-05 Websense, Inc. System and method of analyzing web addresses
US20090282483A1 (en) * 2008-05-12 2009-11-12 Bennett James D Server based malware screening
WO2009158239A1 (en) * 2008-06-23 2009-12-30 Symantec Corporation Methods and systems for determining file classifications
US20100077481A1 (en) * 2008-09-22 2010-03-25 Microsoft Corporation Collecting and analyzing malware data
JP2010198054A (ja) * 2009-02-23 2010-09-09 National Institute Of Information & Communication Technology コンピュータ検査システム、コンピュータ検査方法
JP2011013917A (ja) * 2009-07-01 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法、及び解析プログラム
US20110078794A1 (en) * 2009-09-30 2011-03-31 Jayaraman Manni Network-Based Binary File Extraction and Analysis for Malware Detection

Family Cites Families (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5440719A (en) 1992-10-27 1995-08-08 Cadence Design Systems, Inc. Method simulating data traffic on network in accordance with a client/sewer paradigm
US6147993A (en) 1997-10-14 2000-11-14 Cisco Technology, Inc. Method and apparatus for implementing forwarding decision shortcuts at a network switch
US6728885B1 (en) 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
US7107612B1 (en) 1999-04-01 2006-09-12 Juniper Networks, Inc. Method, apparatus and computer program product for a network firewall
US6701432B1 (en) 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US6553028B1 (en) 1999-04-30 2003-04-22 Cisco Technology, Inc. Method and apparatus for multicast switching using a centralized switching engine
US6944774B2 (en) 1999-06-18 2005-09-13 Zoom Telephonics, Inc. Data flow control unit
US7436830B2 (en) 2000-04-03 2008-10-14 P-Cube Ltd. Method and apparatus for wire-speed application layer classification of upstream and downstream data packets
US7716367B1 (en) * 2000-07-20 2010-05-11 Akamai Technologies, Inc. Network performance monitoring in a content delivery service
US7089294B1 (en) 2000-08-24 2006-08-08 International Business Machines Corporation Methods, systems and computer program products for server based type of service classification of a communication request
JP3739260B2 (ja) 2000-08-24 2006-01-25 株式会社日立製作所 情報配信システムおよびゲートウェイ装置
EP1386239A4 (en) * 2000-09-01 2005-11-02 Tut Systems Inc METHOD AND SYSTEM FOR PRELIMINARY COMPILATION OF CONFIGURATION DATA FOR A DATA COMMUNICATION DEVICE
US7277950B1 (en) * 2000-12-29 2007-10-02 Swarmcast, Inc. Packet transfer mechanism over a peer to peer network
US6912592B2 (en) 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7093280B2 (en) 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
US7657419B2 (en) * 2001-06-19 2010-02-02 International Business Machines Corporation Analytical virtual machine
US7747943B2 (en) 2001-09-07 2010-06-29 Microsoft Corporation Robust anchoring of annotations to content
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7123581B2 (en) 2001-10-09 2006-10-17 Tellabs Operations, Inc. Method and apparatus to switch data flows using parallel switch fabrics
DE60222581T2 (de) * 2001-11-30 2008-06-19 British Telecommunications Public Ltd. Co. Datenübertragung
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7177311B1 (en) 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7519990B1 (en) 2002-07-19 2009-04-14 Fortinet, Inc. Managing network traffic flow
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20060098649A1 (en) 2004-11-10 2006-05-11 Trusted Network Technologies, Inc. System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection
GB0227614D0 (en) 2002-11-27 2002-12-31 3Com Corp Packet-switched network and network switches having a network layer forwarding by data link switching
US20050216770A1 (en) 2003-01-24 2005-09-29 Mistletoe Technologies, Inc. Intrusion detection system
US7155572B2 (en) 2003-01-27 2006-12-26 Advanced Micro Devices, Inc. Method and apparatus for injecting write data into a cache
US7627817B2 (en) 2003-02-21 2009-12-01 Motionpoint Corporation Analyzing web site for translation
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7735144B2 (en) 2003-05-16 2010-06-08 Adobe Systems Incorporated Document modification detection and prevention
JP4020018B2 (ja) 2003-05-29 2007-12-12 Kddi株式会社 パケット情報識別方法及びシステム
US7272746B2 (en) 2003-08-29 2007-09-18 Audiocodes Texas, Inc. Redundancy scheme for network processing systems
US7415719B2 (en) * 2003-09-26 2008-08-19 Tizor Systems, Inc. Policy specification framework for insider intrusions
US8301702B2 (en) * 2004-01-20 2012-10-30 Cloudmark, Inc. Method and an apparatus to screen electronic communications
KR100609170B1 (ko) 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US20050203919A1 (en) 2004-03-09 2005-09-15 Deutsch L. P. Method and apparatus for reordering an arbitrary order signal sequence into a streamable signal sequence
FR2868230B1 (fr) 2004-03-25 2012-06-08 Netasq Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique
US8566946B1 (en) * 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8375444B2 (en) * 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US8171553B2 (en) * 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8549638B2 (en) * 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US9027135B1 (en) * 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US20050257263A1 (en) 2004-05-13 2005-11-17 International Business Machines Corporation Andromeda strain hacker analysis system and method
EP1630710B1 (en) * 2004-07-21 2019-11-06 Microsoft Technology Licensing, LLC Containment of worms
GB2418110B (en) 2004-09-14 2006-09-06 3Com Corp Method and apparatus for controlling traffic between different entities on a network
DE102004048167B4 (de) 2004-10-02 2007-01-04 Siemens Ag Verfahren zur inhaltsbezogenen Handhabung eines Datenstroms
EP1805961B1 (en) 2004-10-29 2012-12-05 Telefonaktiebolaget L M Ericsson (publ) Methods and nodes in a communication system for controlling the use of access resources
US7447796B2 (en) 2004-12-17 2008-11-04 International Business Machines Corporation System, method and program product to route message packets
US7894432B2 (en) 2005-04-09 2011-02-22 Audiocodes, Inc. Apparatus and method creating virtual routing domains in an internet protocol network
US7606147B2 (en) 2005-04-13 2009-10-20 Zeugma Systems Inc. Application aware traffic shaping service node positioned between the access and core networks
GB2427048A (en) 2005-06-09 2006-12-13 Avecho Group Ltd Detection of unwanted code or data in electronic mail
US7784094B2 (en) 2005-06-30 2010-08-24 Intel Corporation Stateful packet content matching mechanisms
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US7486673B2 (en) 2005-08-29 2009-02-03 Connect Technologies Corporation Method and system for reassembling packets prior to searching
US20070056038A1 (en) 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
US8270413B2 (en) 2005-11-28 2012-09-18 Cisco Technology, Inc. Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks
KR100791290B1 (ko) 2006-02-10 2008-01-04 삼성전자주식회사 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US7580974B2 (en) 2006-02-16 2009-08-25 Fortinet, Inc. Systems and methods for content type classification
WO2007100915A2 (en) * 2006-02-28 2007-09-07 The Trustees Of Columbia University In The City Of New York Systems, methods, and media for outputting data based on anomaly detection
US8763103B2 (en) * 2006-04-21 2014-06-24 The Trustees Of Columbia University In The City Of New York Systems and methods for inhibiting attacks on applications
US8488136B2 (en) 2006-05-12 2013-07-16 Kyocera Document Solutions Inc. Printing system and method, and recording medium
US20140373144A9 (en) * 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
JP4290179B2 (ja) 2006-06-15 2009-07-01 キヤノン株式会社 署名検証装置、及び、その制御方法、プログラム、記憶媒体
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8151352B1 (en) * 2006-07-14 2012-04-03 Bitdefender IPR Managament Ltd. Anti-malware emulation systems and methods
US20080025307A1 (en) 2006-07-27 2008-01-31 Research In Motion Limited System and method for pushing information from a source device to an available destination device
US20080183691A1 (en) 2007-01-30 2008-07-31 International Business Machines Corporation Method for a networked knowledge based document retrieval and ranking utilizing extracted document metadata and content
CA2714549A1 (en) 2007-02-09 2008-08-14 Smobile Systems, Inc. Off-line mms malware scanning system and method
US9021590B2 (en) 2007-02-28 2015-04-28 Microsoft Technology Licensing, Llc Spyware detection mechanism
US20080231885A1 (en) 2007-03-23 2008-09-25 Konica Minolta Systems Laboratory, Inc. Direct printing method using ram storage for spooled printer files
US20080222729A1 (en) * 2007-03-05 2008-09-11 Songqing Chen Containment of Unknown and Polymorphic Fast Spreading Worms
US8594085B2 (en) 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8875272B2 (en) 2007-05-15 2014-10-28 International Business Machines Corporation Firewall for controlling connections between a client machine and a network
US8321936B1 (en) * 2007-05-30 2012-11-27 M86 Security, Inc. System and method for malicious software detection in multiple protocols
US20090238071A1 (en) 2008-03-20 2009-09-24 Embarq Holdings Company, Llc System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller
US20090013405A1 (en) 2007-07-06 2009-01-08 Messagelabs Limited Heuristic detection of malicious code
US20090031135A1 (en) * 2007-07-27 2009-01-29 Raghunathan Kothandaraman Tamper Proof Seal For An Electronic Document
US7706291B2 (en) 2007-08-01 2010-04-27 Zeugma Systems Inc. Monitoring quality of experience on a per subscriber, per session basis
JP2011517859A (ja) * 2007-08-06 2011-06-16 モンセーヌ,ベルナール ドゥ 認証、データ転送およびフィッシング対策のためのシステムおよび方法
US20090064337A1 (en) 2007-09-05 2009-03-05 Shih-Wei Chien Method and apparatus for preventing web page attacks
US8176477B2 (en) * 2007-09-14 2012-05-08 International Business Machines Corporation Method, system and program product for optimizing emulation of a suspected malware
US7620992B2 (en) * 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US8019700B2 (en) * 2007-10-05 2011-09-13 Google Inc. Detecting an intrusive landing page
US9100268B2 (en) 2008-02-27 2015-08-04 Alcatel Lucent Application-aware MPLS tunnel selection
US8370932B2 (en) * 2008-09-23 2013-02-05 Webroot Inc. Method and apparatus for detecting malware in network traffic
US8176556B1 (en) 2008-10-31 2012-05-08 Symantec Corporation Methods and systems for tracing web-based attacks
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8413239B2 (en) 2009-02-22 2013-04-02 Zscaler, Inc. Web security via response injection
US8307351B2 (en) 2009-03-18 2012-11-06 Oracle International Corporation System and method for performing code provenance review in a software due diligence system
US20110035804A1 (en) * 2009-04-07 2011-02-10 Pratyush Moghe Appliance-based parallelized analytics of data auditing events
US8683584B1 (en) * 2009-04-25 2014-03-25 Dasient, Inc. Risk assessment
US20110041179A1 (en) 2009-08-11 2011-02-17 F-Secure Oyj Malware detection
US20110154493A1 (en) * 2009-12-18 2011-06-23 Assured Information Security, Inc. Methods for inspecting data and devices thereof
CN101841523B (zh) * 2010-02-05 2013-05-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
US8813232B2 (en) * 2010-03-04 2014-08-19 Mcafee Inc. Systems and methods for risk rating and pro-actively detecting malicious online ads
US8863279B2 (en) * 2010-03-08 2014-10-14 Raytheon Company System and method for malware detection
US9288137B2 (en) * 2010-05-09 2016-03-15 Citrix Systems, Inc. Systems and methods for allocation of classes of service to network connections corresponding to virtual channels
US8510829B2 (en) 2010-06-24 2013-08-13 Mcafee, Inc. Systems and methods to detect malicious media files
US8463797B2 (en) 2010-07-20 2013-06-11 Barracuda Networks Inc. Method for measuring similarity of diverse binary objects comprising bit patterns
US8621629B2 (en) * 2010-08-31 2013-12-31 General Electric Company System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004531780A (ja) * 2000-06-22 2004-10-14 マイクロソフト コーポレーション 分散型コンピューティングサービスプラットフォーム
JP2002342106A (ja) * 2001-04-29 2002-11-29 Beijing Rising Technology Corp Ltd 既知や未知のコンピュータウィルスの検索・駆除方法
JP2003241989A (ja) * 2002-02-15 2003-08-29 Toshiba Corp コンピュータウイルス発生検出装置、方法、およびプログラム
JP2004302538A (ja) * 2003-03-28 2004-10-28 Meiji Univ ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
US20080133540A1 (en) * 2006-12-01 2008-06-05 Websense, Inc. System and method of analyzing web addresses
US20090282483A1 (en) * 2008-05-12 2009-11-12 Bennett James D Server based malware screening
WO2009158239A1 (en) * 2008-06-23 2009-12-30 Symantec Corporation Methods and systems for determining file classifications
US20100077481A1 (en) * 2008-09-22 2010-03-25 Microsoft Corporation Collecting and analyzing malware data
JP2010198054A (ja) * 2009-02-23 2010-09-09 National Institute Of Information & Communication Technology コンピュータ検査システム、コンピュータ検査方法
JP2011013917A (ja) * 2009-07-01 2011-01-20 Nippon Telegr & Teleph Corp <Ntt> 解析システム、解析方法、及び解析プログラム
US20110078794A1 (en) * 2009-09-30 2011-03-31 Jayaraman Manni Network-Based Binary File Extraction and Analysis for Malware Detection

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CSNG200500084016; 神薗 雅紀: '仮想ネットワークを使った未知ウィルス検知システムの考察' コンピュータセキュリティシンポジウム2003 第2003巻, 20031029, 109〜114頁, 社団法人情報処理学会 *
JPN6015002693; 神薗 雅紀: '仮想ネットワークを使った未知ウィルス検知システムの考察' コンピュータセキュリティシンポジウム2003 第2003巻, 20031029, 109〜114頁, 社団法人情報処理学会 *
JPN6015019418; 宗像 誠之: '徹底取材 企業向けウイルス対策ソフト 仮想化環境での負荷7割減 クラウド連携で新種に強く' 日経コンピュータ no.776 NIKKEI COMPUTER , 20110217, pp.108-111, 日経BP社 Nikkei Business Publications,Inc. *
JPN6015019420; 小松 優介 Yusuke KOMATSU: 'マルウェアと戦う技術' 情報処理 第51巻 第3号 , 20100315, pp.261-269, 社団法人情報処理学会 Information Processing Socie *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10482240B2 (en) 2015-01-29 2019-11-19 Nec Corporation Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored
US11363035B2 (en) 2015-05-22 2022-06-14 Fisher-Rosemount Systems, Inc. Configurable robustness agent in a plant security system
JP2016220213A (ja) * 2015-05-22 2016-12-22 フィッシャー−ローズマウント システムズ,インコーポレイテッド プラントセキュリティシステムにおける構成可能なロバスト性エージェント
JP2016224506A (ja) * 2015-05-27 2016-12-28 西日本電信電話株式会社 情報流出検出装置、情報流出検出システム、及び情報流出検出プログラム
JP2017021773A (ja) * 2015-06-30 2017-01-26 エーオー カスペルスキー ラボAO Kaspersky Lab 望ましくないプログラムのインストール及び実行を予防するシステム及び方法
JP2017016631A (ja) * 2015-07-06 2017-01-19 エーオー カスペルスキー ラボAO Kaspersky Lab 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。
JP2017033531A (ja) * 2015-08-04 2017-02-09 エーオー カスペルスキー ラボAO Kaspersky Lab 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
JP2018533793A (ja) * 2015-11-04 2018-11-15 ビットディフェンダー アイピーアール マネジメント リミテッド ドメイン生成アルゴリズム(dga)のマルウェアを検出するためのシステムおよび方法
US10761840B2 (en) 2015-11-30 2020-09-01 Nec Corporation Software analysis device, software analysis method, and recording medium
DE112017001052T5 (de) 2016-02-29 2018-11-29 Panasonic Intellectual Property Management Co., Ltd. Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung
US11494492B2 (en) 2016-04-26 2022-11-08 Nec Corporation Program analysis system, program analysis method and storage medium
US10891379B2 (en) 2016-04-26 2021-01-12 Nec Corporation Program analysis system, program analysis method and storage medium
JPWO2018079424A1 (ja) * 2016-10-24 2019-09-19 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
JP7054824B2 (ja) 2016-10-24 2022-04-15 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
WO2018079424A1 (ja) * 2016-10-24 2018-05-03 パナソニックIpマネジメント株式会社 製品の製造システム、マルウェア検知システム、製品の製造方法及びマルウェア検知方法
WO2023112376A1 (ja) * 2021-12-17 2023-06-22 パナソニックIpマネジメント株式会社 セキュリティ対策方法、及び、セキュリティ対策システム

Also Published As

Publication number Publication date
US20120304244A1 (en) 2012-11-29
EP2715540B1 (en) 2019-01-02
US9047441B2 (en) 2015-06-02
CA2835954A1 (en) 2012-11-29
US20150319136A1 (en) 2015-11-05
IL229531A (en) 2017-11-30
CA2835954C (en) 2017-09-12
IL255724A (en) 2018-01-31
IL255724B (en) 2019-08-29
AU2012259113B2 (en) 2015-12-03
JP6106780B2 (ja) 2017-04-05
CN103842965B (zh) 2017-09-08
WO2012162102A1 (en) 2012-11-29
CN103842965A (zh) 2014-06-04
EP2715540A4 (en) 2014-10-01
IL229531A0 (en) 2014-01-30
US9491142B2 (en) 2016-11-08
EP2715540A1 (en) 2014-04-09
CN107526965A (zh) 2017-12-29
JP2016146192A (ja) 2016-08-12

Similar Documents

Publication Publication Date Title
JP6106780B2 (ja) マルウェア解析システム
US12003485B2 (en) Outbound/inbound lateral traffic punting based on process risk
US10305927B2 (en) Sinkholing bad network domains by registering the bad network domains on the internet
US11128656B2 (en) Selective sinkholing of malware domains by a security device via DNS poisoning
US11632396B2 (en) Policy enforcement using host information profile
US10855656B2 (en) Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation
AU2012259113A1 (en) Malware analysis system
CN111295640B (zh) 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施
US20240039893A1 (en) Beacon and threat intelligence based apt detection
JP7386909B2 (ja) マルウェア検出のためのコンテキストプロファイリング
US12107826B2 (en) Cobalt Strike Beacon HTTP C2 heuristic detection
US20240039952A1 (en) Cobalt strike beacon https c2 heuristic detection
US20240039951A1 (en) Probing for cobalt strike teamserver detection
WO2024025705A1 (en) Cobalt strike beacon http c2 heuristic detection

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150127

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20150324

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150420

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150811

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20151117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160309

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20160309

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160331

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20160422