CN103283202A - 用于针对恶意软件的网络级保护的***和方法 - Google Patents
用于针对恶意软件的网络级保护的***和方法 Download PDFInfo
- Publication number
- CN103283202A CN103283202A CN2011800469004A CN201180046900A CN103283202A CN 103283202 A CN103283202 A CN 103283202A CN 2011800469004 A CN2011800469004 A CN 2011800469004A CN 201180046900 A CN201180046900 A CN 201180046900A CN 103283202 A CN103283202 A CN 103283202A
- Authority
- CN
- China
- Prior art keywords
- program file
- software program
- network
- network traffics
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
在一种范例实施方式中,一种方法包括接收第一计算装置上与网络访问企图相关的信息,其中所述信息识别与所述网络访问企图相关联的软件程序文件。该方法还包括评估第一标准以确定是否许可与软件程序文件相关联的网络流量,并且然后创建约束规则,以便如果不许可网络流量则阻止网络流量。第一标准包括软件程序文件的信任状态。在具体实施例中,该方法包括向网络保护装置推送所述约束规则,所述网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。在更具体的实施例中,该方法包括搜索识别值得信任的软件程序文件的白名单以确定所述软件程序文件的信任状态。
Description
相关申请的交叉引用
本申请涉及发明人为:Rishi Bhargava等人,2010年7月28日提交,题为“SYSTEM AND
METHOD FOR LOCAL PROTECTION AGAINST MALICIOUS SOFTWARE”的序号为12/844892的共同未决的美国专利申请(代理档案号No.
04796.1052)。该申请的公开被认为是一部分并在此通过引用将其全文并入。
技术领域
本公开一般涉及网络安全领域,并且更具体而言,涉及针对恶意软件的网络级保护。
背景技术
在当今社会中,网络安全领域变得越来越重要。因特网使得全世界的不同计算机网络能够互联。不过,有效保护和维护稳定计算机和***的能力给部件制造商、***设计者和网络运营商呈现了显著的障碍。由于恶意操作员所利用的不断演进的策略系列,使得这种障碍甚至更加复杂。最近尤其让人关注的是僵尸网络(botnet),僵尸网络可用于多种多样的恶意目的。一旦恶意软件程序文件(例如僵尸程序(bot))已经感染了主计算机,恶意操作员可以从“命令和控制服务器”发出命令以控制僵尸程序。可以指示僵尸程序以执行任意数量的恶意动作,例如从主计算机发出垃圾邮件或恶意邮件,从与主计算机关联的企业或个人窃取敏感信息,向其他主计算机传播僵尸网络,和/或辅助分布式拒绝服务攻击。此外,恶意操作员能够通过命令和控制服务器向其他恶意操作员销售僵尸网络或以其他方式赋予对僵尸网络的访问,由此逐步扩大主计算机的利用。因此,为了任意数量的恶意目的,僵尸网络为恶意操作员提供了强大方式以访问其他计算机并操控那些计算机。安全专业人员需要开发新型工具以应对允许恶意操作员利用计算机的这种手段。
附图说明
为了提供对本公开及其特征和优点的更完整理解,对结合附图进行的以下描述做出参考,在附图中同样的附图标记代表同样的部分,其中:
图1是示范性网络环境的图示表示,其中可以根据本公开来实施用于针对恶意软件的网络级保护的***的实施例;
图2是范例服务器的方框图,其中可以根据本公开的实施例来实施***的部件;
图3是范例计算装置的示意图,其中可以根据本公开的实施例来实施***的部件;
图4是网络环境中范例网络保护装置的方框图,其中可以根据本公开的实施例来实施该***;
图5是简化流程图,示出了与根据本公开的***的实施例相关联的一系列范例步骤;
图6是简化流程图,示出了与根据本公开的实施例的图5相关联的信任确定流程的一系列范例步骤;
图7是简化流程图,示出了与根据本公开的实施例的图5相关联的信任确定流程的另一实施例的一系列范例步骤;
图8是简化流程图,示出了与根据本公开的***其他实施例相关联的一系列范例步骤;
图9是简化流程图,示出了与根据本公开的实施例的图8相关联的信任确定流程的范例步骤;
图10是简化流程图,示出了与根据本公开的实施例的图8相关联的另一信任确定流程的一系列范例步骤;
图11是简化流程图,示出了与根据本公开的实施例的***相关联的另一系列范例步骤;以及
图12是简化流程图,示出了与根据本公开的实施例的***相关联的又一系列范例步骤。
具体实施方式
概述
一种范例实施方式中的方法包括接收与第一计算装置上的网络访问企图相关的信息,其中该信息识别与网络访问企图相关联的软件程序文件。该方法还包括评估第一标准以确定是否许可与软件程序文件相关联的网络流量,以及创建约束规则以便如果不许可网络流量则阻止网络流量。第一标准包括软件程序文件的信任状态。在具体实施例中,该方法包括向网络保护装置推送约束规则,该网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。在更多具体实施例中,该方法包括:搜索识别值得信任的软件程序文件的白名单以确定软件程序文件的信任状态,其中如果软件程序文件未包括在白名单中,则将软件程序文件的信任状态定义为不信任,并且如果软件程序文件的信任状态被定义为不信任,则不许可网络流量。在又一具体实施例中,如果将与网络流量相关联的软件程序文件的信任状态定义为不信任,则可以记录与网络流量相关的事件数据,并且可以发生这样的记录而取代阻止网络流量,或者可以除阻止网络流量之外发生记录。
范例实施例
图1是示范性网络环境100的图示表示,其中可以实施用于针对恶意软件的网络级保护的***的实施例。网络环境100可以包括本地网络110,具有通往广域网(WAN)(例如因特网150)的电子连接。因特网150提供了对很多其他网络、计算装置和网络服务的访问。例如,全局服务器160可以提供数据库165,其包含全局白名单,指出已经被评估并确定为没有恶意代码的软件程序文件。此外,恶意用户,例如僵尸网络操作员175,也可以访问因特网150,连带访问命令和控制服务器170,命令和控制服务器170可以由僵尸网络操作员175操控以发出并接下来控制恶意软件(例如僵尸程序),其试图感染网络,例如本地网络110。本地网络110可以包括可操作地连接到中央服务器130的主机120a,120b和120c、副服务器180和网络保护装置140。主机120a可以包括可执行软件122和本地保护部件124。为了容易参考,仅示出了主机120a具有这样的部件,不过,将显然的是,也可以为本地网络110之内的任何其他主机配置与图1的主机120a中所示的类似的部件。可以在中央服务器130中提供中央保护部件135,并且可以在网络保护装置140中提供网络级强制部件145。中央服务器130也可以访问记录事件数据库131、中央不信任软件清单132、内部白名单133和进程流量映射数据库134。
在范例实施例中,主机120a上的本地保护部件124、中央服务器130上的中央保护部件135和网络保护装置140上的网络级强制部件145可以合作以提供一种用于针对与恶意软件相关联的网络流量的网络级保护的***。如在本说明书中在此使用的那样,网络流量意在表示网络中的数据的意思,例如,从主机向任何网络或其他计算机发送的电子分组(即外出网络流量),以及从任何网络或其他计算机向主机发送的电子分组(即进入网络流量)。如果网络保护装置140包括与不信任程序文件相关联的可适用约束规则,则可以由网络保护装置140阻止或以其他方式约束网络流量。
根据本公开的实施例,网络保护装置140可以在发现不信任程序文件时接收为网络流量而创建的约束规则。可以按批量模式确定或可以在网络访问企图期间实时确定程序文件的信任状态(即信任或不信任)。如本说明书中在这里使用的网络访问企图意在包括主机上的任何进入或外出网络访问企图(例如接受连接请求,做出连接请求,从网络接收电子数据,向网络发送电子数据)。在批量模式和实时模式两者中,使用一种或多种信任评估技术(例如白名单比较、程序文件改变比较、黑名单比较等)来评估程序文件以确定每个程序文件的信任状态被定义为信任还是不信任。在创建约束规则时也可以使用策略。这样的策略可以包括,例如,仅允许访问网络地址的指定子网,阻止所有进入和外出网络流量,仅阻止进入或外出网络流量,阻止所有本地网络流量并允许因特网流量,等等。也可以记录并汇总与不信任程序文件相关联的任何网络流量以用于报告。
为了例示用于针对恶意软件的网络级保护的***的技术的目的,重要的是理解给定网络之内发生的活动。可以将以下基础信息视为依据,可以从其适当解释本公开。认真提供这样的信息仅为了解释的目的,并且因此,不应以任何方式解释为限制本公开及其潜在应用的宽广范围。此外,要认识到,本公开的宽广范围意在引用“程序文件”、“软件程序文件”和“可执行软件”以涵盖包括可以在计算机上理解并处理的指令的任何软件文件,例如可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等。
组织中使用以及由个人使用的典型网络环境包括使用例如因特网与其他网络进行电子通信的能力,以访问连接到因特网的服务器上托管的网页,发送或接收电子邮件(即email)消息,或与连接到因特网的终端用户或服务器交换文件。恶意用户一直在使用因特网开发新的手段以散布恶意软件并获得对机密信息的访问。
代表对计算机安全性越来越大威胁的手段常常包括僵尸网络。僵尸网络使用了客户端-服务器架构,其中一种类型的恶意软件(即僵尸程序)被置于主计算机上并与命令和控制服务器通信,命令和控制服务器可以由恶意用户(例如僵尸网络操作员)控制。僵尸程序可以从命令和控制服务器接收命令以执行特定的恶意活动,并且因此,可以执行这样的命令。僵尸程序也可以向命令和控制服务器发回任何结果或窃取的信息。除了接收命令以执行恶意活动之外,僵尸程序典型地还包括一个或多个传播矢量,其使僵尸程序能够在组织网络之内扩散或跨过其他网络向其他组织或个人扩散。常见的传播矢量包括利用本地网络之内主机上的已知弱点并发送附带恶意程序的恶意电子邮件或在电子邮件之内提供恶意链接。僵尸程序也可以通过例如下载式驱动、病毒、蠕虫病毒、特洛伊木马等感染主计算机。
僵尸网络为僵尸网络操作员提供了强大方式以通过采用各种攻击来危害计算机***。一旦僵尸程序已经感染了主计算机,命令和控制服务器就能够向僵尸程序发出命令以执行各种类型的攻击。通常,僵尸网络已经被用来发送大容量电子邮件并执行分布式拒绝服务攻击。不过,新近以来,僵尸网络已经被用来针对企业和个人执行目标性更强的攻击,以获得机密数据或其他敏感信息,例如知识产权和财务数据。
现有的防火墙和网络入侵预防技术一般在识别和容忍僵尸网络方面有所欠缺。僵尸程序常常被设计成发起与命令和控制服务器的通信并伪装为正常的浏览器流量。可以利用命令和控制协议编制僵尸程序,这使得僵尸程序似乎是向网络服务器做出正常的网络连接。例如,僵尸程序可以使用通常被用于与网络服务器通信的端口。因此,在不执行对网络流量更详细的分组检查的情况下,现有技术可能无法检测到这样的僵尸程序。此外,一旦发现了僵尸程序,僵尸网络操作员就可以简单地找到由僵尸程序伪装网络流量的另一种方式,以继续像正常网络流量那样存在。新近以来,僵尸网络操作员已经编制僵尸程序以使用加密协议,例如安全套接字层(SSL),由此对恶意网络流量加密。这样加密的流量可以使用超文本传输协议安全(HTTPS)端口,使得仅有加密会话中涉及的终点能够对数据解密。于是,现有的防火墙和其他网络入侵预防技术不能对网络流量进行任何有意义的检查。因此,僵尸程序继续感染网络之内的主计算机。
关注于防止未被授权的程序文件在主计算机上执行的其他软件安全技术可能对于企业或其他组织实体的最终用户或雇员具有不期望的副作用。网络或信息技术(IT)管理员可以负责编制与企业实体的所有方面相关的广泛策略,以使得雇员能够从期望且信任的网络资源获得软件和其他电子数据。在没有适当的广泛的策略的情况下,可能防止雇员从未特定授权的网络资源下载软件和其他电子数据,即使这样的软件和其他数据是合理的且为商务活动所必需的。此外,这样的***可能非常有限制性,因为如果在主计算机上发现未被授权的软件,就可能在网络管理员介入之前中止任何主计算机活动。对于商务而言,这种类型的***可能会干扰合理且必要的商务活动,导致工人停工、失去收入、显著的信息技术(IT)开销等。
如图1中勾勒的那样,一种用于针对恶意软件的网络级保护的***和方法能够从被感染的网络减少僵尸网络的传播和恶意活动,同时允许被感染网络之内继续进行合理的活动,而需要的较少的IT开销。根据一种范例实施例,提供了一种***以确定与主机(例如主机120a)上的网络访问企图相关联的哪些软件程序文件有风险(即,不信任)。如果每个关联的程序文件都没有风险(即信任),那么可以允许与映射到那些程序文件的软件进程相关联的网络流量。不过,如果一个或多个程序文件是不信任的,那么,可以创建约束规则,以使得网络保护装置140能够阻止或以其他方式约束与映射到不信任程序文件的软件进程相关联的网络流量,和/或根据任何适当策略阻止或以其他方式约束其他网络流量。这样的阻止或其他约束可以防止可能的僵尸程序的传播和恶意活动。在一个范例实施例中,在发现不信任程序文件时,可以基于策略考虑选择性地许可主机120a的进入和外出网络流量仅访问指定的网络子网(例如,已知安全且是必要商务活动所需的子网等)。于是,僵尸程序对来自命令和控制服务器的命令做出响应并传播的能力可能被显著削弱,而不中断或妨碍必要的商务活动。结果,如图1中实现的***为具有被感染主机的网络和被感染主机试图访问的其他网络提供了更好的保护。
转到图1的基础设施,本地网络110代表范例架构,其中可以实施用于网络级保护的***。可以通过多种形式配置本地网络110,包括,但不限于一个或多个局域网(LAN)、任何其他适当网络或其任意组合。因特网150代表本地网络110可以适当连接到的广域网(WAN)。可以通过网络保护装置140提供本地网络110和因特网150之间的连接,网络保护装置140可以是常见网络安全装置(例如防火墙、路由器、网关、被管理的交换机等)。在范例实施例中,通过网络保护装置140路由去往或来自主机120的所有网络流量。具有专用带宽的因特网服务提供商(ISP)或因特网服务器可以使用任何适当媒介,例如数字订户线路(DSL)、电话线路、T1线路、T3线路、无线、卫星、光纤、电缆、以太网等或其任何组合,提供通往因特网150的连接。可以使用额外的网关、交换机、路由器等促进主机120、中央服务器130、网络保护装置140和因特网150之间的电子通信。可以将ISP或因特网服务器配置成允许主机120使用传输控制协议/互联网协议(TCP/IP)与因特网上的其他节点通信,并且邮件服务器(未示出)可以允许主机120使用简单邮件传输协议(SMTP)发送和接收电子邮件消息。
在范例实施例中,本地网络110代表组织(例如,企业、学校、政府实体、家庭等)的网络环境,其中主机120a、120b和120c代表由与该组织相关联的雇员或其他个人操作的最终用户计算机。最终用户计算机可以包括计算装置,例如桌面计算机、膝上计算机、移动或手持计算装置(例如个人数字助理(PDA)或移动电话),或能够执行与对本地网络110的网络访问相关联的软件进程的任何其他计算装置。主机120a、120b和120c、中央服务器130、副服务器180、网络保护装置145和本地网络110中任何额外部件之间的连接可以包括任何适当的介质,例如电缆、以太网、无线(例如WiFi、3G、4G等)、ATM、光纤等。应当指出,这里示出和描述的网络配置和互连仅出于例示目的。图1意在作为范例,并且不应被解释为暗示本公开中的架构性限制。
在图1中所示的范例实施例中,命令和控制服务器170和僵尸网络操作员175可操作地耦合到因特网150。在一个范例中,命令和控制服务器170可以是受僵尸网络操作员175控制或使用的网络服务器,以向分布的僵尸程序发出命令。在另一个范例中,可以将命令和控制服务器170恶意安装并隐藏在大型社团、教育或政府站点上。僵尸网络操作员175可以通过例如因特网150远程访问命令和控制服务器170,以发出指令,用于控制被感染主机计算机,例如主机120a、120b或120c上的分布的僵尸程序。众多僵尸网络操作员和控制数百万僵尸程序的命令和控制服务器可以可操作地连接到因特网150。在一个范例中,一旦僵尸程序已经感染主机120a、120b或120c之一,僵尸网络操作员175就可以开始通过命令和控制服务器170发出命令以在整个本地网络110和/或其他网络中传播僵尸程序。此外,僵尸网络操作员175也可以发出指令,让僵尸程序从被感染主机120a、120b或120c采取恶意活动,例如垃圾邮件、窃取机密信息、分布式拒绝服务攻击等。
图1还示出了连接到因特网150的全局服务器160。尽管有众多服务器可以连接到因特网150,但全局服务器160代表提供一个或多个数据库的服务,一个或多个数据库包含与被评估风险的软件程序文件相关的信息。例如,被评估和确定为不值得信任的软件程序文件(例如包含恶意代码,例如病毒、蠕虫等)可以包括在所谓的“黑名单”中。被评估和确定为值得信任的软件程序文件(例如,未被污染,无恶意代码等)可以包括在所谓的“白名单”中。尽管可以单独实施白名单和黑名单,但也可能在数据库中将它们组合,其中每个软件程序文件被识别为白名单或黑名单文件。
可以使用校验和来实施白名单和黑名单,其中存储针对每个程序文件的唯一校验和,可以将其容易地与要寻求评估的程序文件的计算的校验和进行比较。校验和可以是通过向软件程序文件应用算法而导出的数学值或散列和(例如,固定的数位串)。如果向与第一软件程序文件相同的第二软件程序文件应用算法,那么校验和应该匹配。不过,如果第二软件程序文件不同(例如,其已经通过某种方式而改变,其是第一软件程序文件的不同版本,其是完全不同类型的软件等),那么校验和非常不可能匹配。
可以由独立的第三方提供图1中的数据库,例如全局白名单165,并可以对其定期更新,以提供对于消费者可用的值得信任软件程序文件的全面列表。类似地,可以由独立第三方提供黑名单(未示出),并可以定期更新,以提供不信任恶意软件程序文件的全面列表。全局白名单和黑名单可以在本地网络110外部,并且可以通过诸如因特网150的其他网络或通过许可本地网络110和全局白名单165之间的电子通信的任何其他适当连接而是可访问的。这种全局白名单和黑名单的范例包括由加利福尼亚Santa
Clara的McAfee有限公司提供的Artemis数据库和由俄勒冈Portland的SignaCert有限公司提供的SignaCert®数据库。
图1还包括本地网络110中所示的内部白名单133。内部白名单133还可以包含与被评估风险的软件程序文件相关的信息,并且可以使用校验和来识别这样的软件程序文件。内部白名单133中识别的软件程序文件可以包括来自一个或多个全局白名单的软件程序文件和/或可以被定制以提供选择的软件程序文件。具体而言,可以在内部白名单133中识别在组织内部开发但对公众未必可用的软件程序文件。此外,也可以提供内部黑名单以识别被评估并确定为不值得信任的特定软件程序文件。
在图1中所示的本地网络110中,可以为主机120a配置可执行软件122和本地保护部件124。可执行软件122可以包括主机120a上的所有软件程序文件(例如可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等)。如果主机120a已经被僵尸程序感染,那么僵尸程序可以在被感染主机120a的可执行软件122中作为程序文件被存储。主机120a的本地保护部件124可以根据实施例提供不同的功能。在***的一些实施例中,本地保护部件124可以定期提供可执行软件122的清单或主机120a上对可执行软件122的改变和增加的清单。在***的实时实施例中,本地保护部件124可以截获网络访问企图并向中央服务器130提供与网络访问企图相关的信息。本地保护部件124还可以将网络访问企图保持预定量的时间或直到从中央服务器130接收到允许释放网络访问企图的信号为止。
本地网络110中的中央服务器130可以包括中央保护部件135,用于确定主机120a上的软件程序文件的信任状态,用于创建针对与不信任软件程序文件相关联的网络流量的约束和记录规则,用于向网络保护装置140推送约束和记录规则,以及用于利用与不信任程序文件相关联的网络流量相关的条目更新记录事件数据库131。在一些实施例中,中央保护部件也可以利用识别不信任软件程序文件的条目更新中央不信任软件清单132。中央服务器130还可以包括或可以访问进程流量映射数据库134,其可以将软件进程映射到软件程序文件,包括诸如程序文件路径、地址(例如因特网协议(IP)地址)和/或端口号的信息。可以在中央服务器130能够访问的任何网络和装置中提供记录事件数据库131、中央不信任软件清单132、内部白名单133和进程流量映射数据库134。如将在这里进一步所述,在***的一些实施例中可以省略中央不信任软件清单132。网络保护装置140可以包括网络级强制部件145,用于截获网络流量(例如进入到主机120a的电子分组或从主机120a外出的电子分组等),并对截获的分组强制执行任何可适用的约束和记录规则。
转到图2,图2示出了中央服务器200和关联存储器部件231,232、233和234的示意图,其是图1中所示中央服务器130和关联存储器部件131,132、133和134的更详细范例。在图2中所示的范例实施例中,中央服务器200的中央保护部件可以包括行政保护模块220、策略模块230、策略数据库235、软件信任确定模块240和规则制定模块250。在一些实施例中,中央保护部件还可以包括中央信任高速缓存245,用于存储来自软件信任确定模块240的信任程序文件高速缓存条目。可以在批处理模式实施例中或在实时(或基本实时)处理实施例中配置规则制定模块250。在规则制定模块250的批处理和实时处理实施例两者中,都可以在发现不信任程序文件时创建网络约束规则和/或记录规则。中央保护部件还可以包括进程流量映射模块260,用于利用与软件进程相关的信息,例如程序文件信息、源地址和端口号、目的地址和端口号等,更新进程流量映射数据库234。
中央服务器200还可以包括或可以访问适当硬件和存储器元件,例如记录事件数据库231和内部白名单233。在一些实施例中,中央服务器200还可以包括或可以访问中央不信任软件清单232,并且在其他实施例中,中央不信任软件清单232可能不是***的必需部件。包括处理器280和存储起元件290的其他硬件元件也可以包括在中央服务器200中。最后,可以将管理控制台210适当连接到中央服务器200,让被授权人员通过例如行政保护模块220的行政部件,来部署、配置和维护***。
在使用中央信任高速缓存245的实施例中,可以将高速缓存作为存储器块而以硬件实现,用于暂时存储识别已经先前确定为具有信任状态的程序文件的条目(例如,校验和),例如在搜索全局和/或内部白名单期间发现的那些程序文件。中央信任高速缓存245能够提供对指示先前评估了信任状态的程序文件的数据的快速且透明的访问。于是,如果在中央信任高速缓存245中发现了所请求的程序文件,那么可能不需要执行全局和/或内部白名单或任何其他信任评估的搜索。此外,使用中央信任高速缓存245的实施例可能不需要维护中央不信任软件清单232。
参考图3,图3示出了计算装置或主机300的一个实施例的示意图,以及中央服务器200的方框图,其中可以实施用于针对恶意软件的网络级保护的***。主机300是图1的主机120a的更详细范例。主机300包括一组可执行软件340,包括,例如程序文件1到n。在一些实施例中,例如在实时处理实施例中,主机300中的本地保护部件可以包括具有通往中央服务器200的双向流的事件馈送330,用于截获主机300上的网络访问企图并向中央服务器200发送主机事件信息(即,与网络访问企图及其关联程序文件相关的信息)。也可以将事件馈送330配置成将网络访问企图保持预定时间或直到从中央服务器200接收到信号为止,以便允许在释放网络访问企图之前向网络保护装置400推送任何所得到的网络约束和/或记录规则。
在***的各种实施例中,例如批处理实施例或某些实时处理实施例中,本地保护部件可以包括具有通往中央服务器200的数据流的软件程序清单馈送335,用于向中央服务器200推送可执行软件340的清单或可执行软件340中新和/或改变的程序文件的清单。事件馈送330和软件程序清单馈送335可以驻留于主机300的用户空间中。主机300的用户空间中还示出了范例执行软件进程345,其对应于可执行软件340的一个或多个程序文件。为了容易参考,在主机300上的用户空间中示出了可执行软件340。不过,可执行软件340可以存储于诸如主机300的磁盘空间的存储器元件中。
主机300还可以包括硬件部件,例如网络接口卡(NIC)装置370、处理器380和存储器元件390。诸如传输控制协议/互联网协议(TCP/IP)350及其他协议360的传输协议可以驻留于主机300的核心空间中。
图2和3中未示出的是可以适当耦合到处理器280和380的额外硬件,其形式为存储器管理单元(MMU)、额外的对称多处理(SMP)元件、物理存储器、以太网、***部件互连(PCI)总线和对应网桥、小型计算机***接口(SCSI)/集成驱动器电子电路(IDE)元件等。此外,也可以包括适当的调制调解器和/或额外网络适配器以便允许进行网络访问。中央服务器200和主机300可以包括适当执行其预期功能所必要的任何额外硬件和软件。此外,也将在中央服务器200和主机300中配置任何适当的操作***以适当管理其中硬件部件的操作。将认识到,硬件配置可以变化,并且所描绘的范例并非意图暗示架构限制。
转到图4,图4示出了网络保护装置400的示意图,其可以用于针对恶意软件的网络级保护的***中。网络保护装置400是图1的网络保护装置140的范例。网络保护装置400的网络级强制部件可以包括过滤器/防火墙410、网络规则元件420和事件日志430。网络保护装置400还可以包括诸如处理器480和存储器元件490的硬件部件。在范例实施例中,网络保护装置140可以是常见的网络安全装置(例如防火墙、路由器、网络网关、邮件网关、被管理的交换机等),并且可以根据需要包括其他适当的硬件和软件部件以执行其预期功能。
在网络保护装置400中,过滤器/防火墙410可以截获网络流量(例如,从本地网络110外出的、进入到本地网络110的或本地网络110之内的电子分组),并可以查询网络规则元件420以确定是否有任何约束和/或记录规则适用于网络流量的特定的截获分组。如果发现了可适用的约束规则,那么将其应用于分组,可以将分组阻止、重新路由、选择性地允许等。可以在网络保护装置400中提供事件日志430以用于记录网络流量事件数据。网络流量事件数据可以包括与由网络保护装置400接收的特定分组相关的信息,例如,源地址和端口号、目的地址和端口号、日期与时间戳和/或规则ID(即指示应用于所截获分组的约束或记录规则的标识符)。如果网络规则元件420具有与由网络保护装置400接收的特定分组相对应的记录规则或如果默认执行记录,例如,在向对应于网络流量事件的分组应用约束规则时记录网络流量事件,那么可以发生这样的记录。
在各种范例实施例中,可以由中央服务器200的行政保护模块220、策略模块230、软件信任确定模块240、规则制定模块250和进程流量映射模块260并且由主机120a的软件程序清单馈送335和/或事件馈送330提供信任确定、记录和规则制定活动。与信任确定、记录和规则制定活动相关的信息可以被适当呈递或发送给特定位置(例如中央服务器200、网络规则元件420等)或仅被存储或归档(例如记录事件数据库231、中央不信任软件清单232、策略数据库235、进程流量映射数据库234、中央信任高速缓存245等),和/或以任何适当格式被适当显示(例如通过管理控制台210等)。涉及这种信任确定、记录和规则制定活动的安全技术可以包括McAfee®软件的元件(例如ePolicy Orchestrator,Application
Control和/或Change
Control)或任何其他类似软件。于是,可以在如本说明书中在此使用的术语“行政保护模块”、“策略模块”、“软件信任确定模块”、“规则制定模块”、“进程流量映射模块”、“软件程序清单馈送”和“事件馈送”的宽广范围内包括任何这样的部件。记录事件数据库231、中央不信任软件清单232、内部白名单233、进程流量映射数据库234、策略数据库235、中央信任高速缓存245、网络规则元件420和事件日志430可以包括与对电子数据的信任确定、记录和规则制定相关的信息(例如,对程序文件的信任确定,网络访问企图,软件进程的目的地址和端口号、软件进程的源地址和端口号、网络约束规则、记录规则等),并且这些元件能够容易地与主机300、中央服务器200和网络保护装置400的模块和部件合作、协调或以其他方式交互。
图5-12包括与用于针对恶意软件的网络级保护的***和方法的各种实施例相关联的流程的范例实施例的流程图。为了容易参考,在这里将参考图1的网络环境100中的某些部件并参考服务器200、主机300、网络保护装置400及其关联部件、元件和模块来描述图5-12,尽管可以使用各种其他装置、部件、元件、模块等实施在这里所示和所述的***和方法的网络级实施例。
转到图5,批处理流程500示出了用于网络级保护的***的批处理实施例的流程,可以至少部分地将其实现为中央服务器200的规则制定模块250。在实施批处理流程500的***的实施例中,中央服务器200的中央信任高速缓存245和中央不信任软件清单232都不是必要的。批处理流程500可以以任何适当的预定义时间间隔运行(例如,每小时、每半小时等)。流程可以开始于步骤520,其中从主机,例如主机300接收可执行软件的清单。中央服务器200可以向主机300轮询(poll)清单,可以由软件程序清单馈送335提供该清单。软件程序清单馈送335可以被配置成为中央服务器200提供主机300上完整的更新软件清单或主机300上软件程序文件增加和/或改变的清单。可以利用现有的安全软件,例如,Policy Auditor软件或Application Control软件实现软件程序清单馈送335,两种软件都是由加利福尼亚Santa Clara的McAfee
有限公司制造的。
在接收软件清单之后,流程转到步骤525,其中从软件清单检索第一程序文件。流程然后转到步骤530,以确定程序文件的信任状态(即信任或不信任)。可以由中央服务器200的软件信任确定模块240使用一种或多种软件信任确定技术(例如评估内部白名单、评估外部白名单、评估程序文件的状态改变、评估黑名单等)来确定信任状态,在这里将参考图6和7对其进一步示出和描述。
在步骤530中确定程序文件信任状态之后,流程转到步骤535,其中做出关于以下的查询:程序文件是否是信任的。如果程序文件是信任的,则流程转到步骤580以绕过创建网络约束或记录规则并继续循环通过软件清单以评估每个程序文件。不过,如果在步骤535中程序文件信任状态是不信任,则流程转到步骤540,其中从进程流量映射数据库234针对不信任程序文件获得进程流量映射信息。进程流量映射信息可以包括,例如,映射到程序文件的源地址和目的端口号,可以使用其来创建记录和/或约束网络流量的规则。
在针对程序文件检索进程流量映射信息之后,在步骤545中做出关于是否启用记录的查询。如果步骤545中的查询指出启用记录,那么流程转到步骤550,其中可以创建记录规则,并且然后推送到网络保护装置400以在网络规则元件420中存储。在一个范例中,可以使用来自在步骤540中检索的进程流量映射信息的源地址和目的端口号来创建用于记录特定的网络事件数据的规则。在本范例中,记录规则可能要求在截获的分组具有匹配进程流量映射信息的源地址和目的端口时,在事件日志430中存储与由网络保护装置400截获的电子分组相关的网络流量事件数据。在一些实施例中,可以在进程映射数据库234中存储识别记录规则的规则ID并映射到不信任程序文件。
在步骤550中已经创建记录规则并将其向网络保护装置400推送之后,或者如果在步骤545中不启用记录,那么流程转到步骤555,其中做出关于是否启用强制的查询。如果不启用强制,那么该流程转到步骤580,以绕过针对不信任程序文件创建网络约束规则,并继续循环通过软件清单以评估软件清单中剩余的程序文件。不过,如果在步骤555中启用了强制,则可以在步骤560中查询策略数据库235以确定是否有任何配置的策略超越(override)程序文件的不信任状态,以允许与程序文件相关联的网络流量。在范例实施例中,中央服务器200的策略模块230可以允许网络管理员或其他授权用户通过管理控制台210编制策略配置,并在策略数据库235中存储这样的策略。然后可以在步骤560中向策略数据库235查询与不信任程序文件相关的任何策略。
如果在策略数据库235中未找到超越程序文件的不信任状态的策略,则流程转到步骤580,以绕过针对不信任程序文件创建网络约束规则,并继续循环通过软件清单以评估软件清单中剩余的程序文件。不过,如果策略没有超越程序文件的不信任状态(即策略需要某种类型的约束规则或没有策略可适用),那么流程转到步骤570,其中可以适用进程流量映射信息和/或任何可适用的策略来创建一个或多个网络约束规则。
可以使用策略来创建各种类型的约束规则,并且可以由特定的网络拥有者按期望实施这些策略配置。在一些范例实施例中,策略配置可以包括一个或多个基于宽度的约束,例如阻止所有进入和外出网络流量,阻止所有进入网络流量并允许外出网络流量,或允许进入网络流量并阻止外出网络流量。也可以采用更具体的策略,例如阻止对本地网络的外出网络流量但允许对因特网的外出网络流量,或允许来自源地址的指定子网的进入网络流量和/或允许对目的地址的指定子网的外出网络流量。最后,可以使用更加颗粒化的策略,例如阻止端口上特定的进入服务和/或特定的外出服务(例如,域名服务(DNS)、简单邮件传输协议(SMTP)、因特网中继聊天(IRC)等)。这些范例策略配置用于例示的目的,并意在包括任何其他策略配置,以约束进入、外出和/或本地网络流量或其任意组合。可以在用于网络级保护的***中通过经由网络保护装置400对网络流量进行路由来实施这样的策略,网络保护装置400应用使用配置的策略所创建的网络约束规则。
可以在竞争利益之间平衡特定的策略配置,例如在防止不信任软件的传播和潜在恶意活动的需求与进行必要商务活动的需求之间。例如,在具有主机子网和服务器子网的网络中,策略可以被配置成允许与不信任程序文件相关联的网络流量仅访问服务器子网而不访问主机子网。这可能是合乎需要的,因为它可以防止恶意软件传播到网络之内的其他主机,同时允许每个主机不中断地访问安全的服务器子网。另一种策略可以阻止与不信任程序文件相关联的网络流量访问除托管工作关键***的已知子网之外的因特网。于是,通过编制允许选择性网络访问的策略可以采用很多不同的阻止选项。
在用于网络级保护的***和方法的实施例中,也可以为不信任程序文件编制网络级特定策略。例如,可以编制策略以将与不信任程序文件相关联的网络流量重定向到另一服务器,例如副服务器180。在一个范例中,可以迫使与不信任程序文件相关联的潜在恶意网络流量通过副服务器180上的额外防火墙、过滤器、抗垃圾邮件/抗病毒网关、代理等。在另一个范例中,副服务器180可以被配置成在接收到网络连接时利用一个或多个预定义的命令做出响应。一些僵尸程序被设计成在接收到特定命令时自毁,以及副服务器180可以被配置成利用这样的命令对网络连接做出响应,由此使已经被重定向到副服务器180的僵尸程序被破坏。
另一个网络级特定策略包括将虚拟局域网(VLAN)成员切换到另一个VLAN端口。在本范例中,可以针对与不信任程序文件相关联的端口切换VLAN成员。尽管将VLAN成员切换到另一个端口有效地移动了该端口上所有的网络流量而非个别流,可以将替代VLAN配置成迫使网络流量通过额外的防火墙、过滤器、抗垃圾邮件和抗病毒网关、代理等。如果将网络保护装置400配置为第2层管理交换机,则这种类型的约束可能特别有用的。
在另一个范例实施例中,网络保护装置400可以适于进行更深的分组检查以确定是否正在单个端口上传输多个会话流,并识别与应用可适用的网络约束和记录规则的不信任程序文件相关联的流。于是,在这一实施例中,可以配置策略,以便编制网络约束或记录规则,以选择性阻止和/或记录与不信任程序文件相关联的特定流,同时允许其他流继续在同一端口上连接。
转回到图5的步骤570,使用进程流量映射信息和/或任何可适用的策略来编制网络约束规则,并然后将该网络约束规则向网络保护装置400推送。例如,如果将策略配置成要求阻止与不信任程序文件相关联的所有进入和外出网络流量,那么可以使用来自在步骤540中所检索的进程流量映射信息的源地址和目的端口来创建一个或多个约束规则,以阻止具有匹配源地址和目的端口的任何进入或外出分组。在步骤570中已经创建网络约束规则之后,将其推送到网络保护装置400并存储于网络规则元件420中。流程然后转到步骤580,其中做出关于以下的确定:被评估的程序文件是否是软件清单中最后的程序文件。如果它是最后的程序文件,那么流程500结束。不过,如果它不是最后的程序文件,那么在步骤590中检索软件清单中的下一个程序文件,并且流程环回到步骤530,以确定新检索的程序文件的信任状态并创建用于程序文件的任何适当网络约束或记录规则。
转到图6-7,范例流程示出了替代实施例,用于在用于网络级保护的批处理实施例中确定程序文件的信任状态。图6或7的范例步骤可以至少部分实现为中央服务器200的软件信任确定模块240,并可以对应于图5的批处理实施例的步骤530。图6示出了使用白名单评估的信任确定流程600,该流程600是针对从主机300推送到中央服务器200的软件清单中的每个程序文件而执行的。流程可以开始于步骤610,其中评估当前程序文件以确定其是否在至少一个全局白名单上,例如图1中所示的全局白名单165和/或本地网络110外部的任何其他白名单上被识别。如本文前面所述,可以在白名单中使用校验和来识别程序文件。如果在步骤610中在任何全局或其他外部白名单中发现了程序文件,那么将该程序文件的信任状态定义为信任,该流程结束,并且将信任状态返回到图5的步骤530。不过,如果在步骤610中未在全局或其他外部白名单上发现程序文件,那么流程前进到步骤620,其中可以搜索一个或多个内部白名单,例如内部白名单133。组织可以采用多个白名单(例如,组织范围的白名单、企业级的白名单等)。如果在任何内部白名单上发现了程序文件,那么将该程序文件的信任状态定义为信任,该流程结束,并且将信任状态返回到图5的步骤530。
不过,如果在步骤610或620中未在任何内部或外部白名单上发现程序文件,那么程序文件具有不信任状态。流程然后可以前进到步骤630,其中可以评估程序文件以确定是否存在任何预定义条件,该条件允许将程序文件从不信任状态提升到信任状态。这样的预定义条件可以包括启发式考虑,例如管理员所拥有的软件、文件访问控制、文件属性(例如,创建时间、修改时间等)等。在一个范例中,可以将管理员所拥有的不信任程序文件提升到信任状态,并且因此,该流程可以结束,并且可以将信任状态返回到图5的步骤530。不过,如果在步骤630中程序文件不满足任何预定义条件,那么不信任状态持续,以便将程序文件定义为不信任,该流程结束,并且将信任状态返回到图5的步骤530。
信任确定流程600也可以包括额外的逻辑(未示出)以评估除白名单之外的黑名单。黑名单识别已知是恶意的软件程序文件。可以由众多来源提供黑名单,包括由McAfee有限公司提供的Artemis和Anti-Virus数据库,以及可以由本地网络之内本地维护的黑名单来提供黑名单。在这一实施例中,如果在任何内部或外部黑名单上发现了程序文件,那么将该程序文件定义为不信任。
转到图7,图7示出了与图5的步骤530对应的信任确定流程700的替代实施例,其可以针对软件清单中的每个程序文件而被执行。流程可以开始于步骤720,其中评估当前程序文件以确定其是否已经改变。如果程序文件的当前状态尚未从先前状态改变,那么将程序文件的信任状态定义为信任,该流程结束,并且将信任状态返回到图5的步骤530。不过,如果程序文件的当前状态已经从先前状态改变,那么程序文件具有不信任状态。可以使用现有的改变跟踪产品(例如McAfee®Change
Control软件、McAfee®Application Control软件、McAfee®ePolicy Orchestrator软件、McAfee®Policy
Auditor软件、由俄勒冈Portland的Tripwire有限公司制造的Tripwire®软件等)以检查程序文件的改变数据,以确定是否发生改变。在一个范例中,可以在中央服务器200处集中汇集改变记录,并且McAfee® ePO软件可以做出程序文件是否已经改变的确定。
再次参考图7的步骤720,如果确定程序文件已经改变且因此具有不信任状态,那么流程可以前进到步骤730,其中评估程序文件以确定是否存在任何预定义条件,以允许将程序文件从不信任状态提升到信任状态,如本文前面参考图6所述。如果存在一个或多个预定义条件,那么可以将程序文件提升到信任状态。不过,如果没有预定义条件适用于程序文件,那么不信任状态持续,并且可以将程序文件定义为不信任。在步骤730中做出信任状态确定之后,然后流程结束,并且将程序文件的信任状态返回图5的步骤530。
枚举程序文件并确定信任状态的替代实施方式将是容易显而易见的。在这里前面所示和所述的实施例是指枚举网络中每个主机(例如主机300)上的可执行软件的清单,向中央服务器200推送软件清单以及确定与清单中每个程序文件相关联的信任状态。不过,在替代实施例中,可以由每个主机在本地执行软件程序文件的信任确定,并且可以将所得信息推送到另一个位置(例如中央服务器200)和/或将其在本地不信任软件清单上在本地维护。
可以由白名单评估、黑名单评估、状态改变评估或任何其他适当的信任评估技术在本地确定软件程序文件的信任状态。在这样的实施例中,例如,可以通过McAfee®软件(例如Policy Auditor,Application
Control或Change Control)枚举可执行软件的清单。在如图6中所示而执行白名单评估时,主机可以访问本地网络上的内部白名单和/或通过另一网络(例如因特网)能够访问的外部白名单。如图7中所示,也可以针对改变通过评估程序文件的当前和先前状态来在本地进行程序文件状态改变评估。例如,McAfee®
Change Control软件允许在主机上本地维护改变记录的序列,可以对其评估以确定特定主机上是否有任何程序文件已经改变。此外,本公开的宽广范围允许使用任意数量的其他技术来确定软件程序文件的信任状态,例如包括:对软件程序文件既执行白名单评估又执行状态改变评估和/或对软件程序文件执行黑名单评估。
可以实施参考图5-7所示和所述的批处理实施例,以便可以以预定义时间间隔(例如每小时、每半小时等)评估软件清单,并可以创建约束规则以阻止与不信任程序文件相关联的网络流量。于是,默认打开网络保护装置400的配置(即,除非规则对其禁止,否则允许网络流量)。不过,这种默认打开的方式可能创建时间窗口,在该时间窗口中,已经最近感染了主机的僵尸程序尚未被定义为不信任,并且因此可能通过访问本地或远程网络而传播或执行恶意活动,因为尚未创建约束规则来阻止与该僵尸程序相关联的网络流量。不过,对于一些企业而言,这种方式可能是合乎需要的,因为预定义的时间间隔可能是无关紧要的,或因为替代方式可能妨碍合理和必要的商务活动。
其他企业可以优选更紧密的控制,并且可以在替代实施例中实施默认关闭的方式。在默认关闭的方式中,可以配置网络保护装置400以阻止所有网络流量,除非由规则特别许可。可以评估由网络保护装置400所截获的所有电子分组以确定网络规则元件420是否包含特别许可发送所截获的分组(例如,具有允许的源地址和端口号的分组,具有允许的目的地址和端口号的分组等)的规则。在这样的实施例中,可以在确定新程序文件具有信任状态的任何时候,创建许可规则而非约束规则并将其向网络保护装置400推送。
转到图8,实时处理流程800示出了针对用于网络级保护的***的实时实施例的流程,可以将其至少部分实现为图2的规则制定模块250。流程可以开始于步骤810,其中中央服务器200接收主机事件信息(例如,与主机300上的软件进程345相关联的网络访问企图相关的信息)。在范例实施例中,在软件进程,例如主机300上的软件进程345企图进行网络访问的任何时候,事件馈送330产生主机事件信息并将其推送到中央服务器200。可以使用任何适当的技术截获网络访问企图,包括参考在2010年7月28日提交的,题为“System and Method for Local Protection Against Malicious
Software”,且前面通过引用并入本文的序号为12/844892的共同未决的美国专利申请中的各实施例所描述的那些技术。
一旦已经截获了网络访问企图,就可以查询例如在主机300的操作***核心中提供的进程流量映射元件以确定哪些程序文件(例如,可执行文件、库模块、目标文件、其他可执行模块、脚本文件、解释器文件等)对应于与软件进程345相关联的网络访问企图。在本范例中,将网络访问企图映射到执行软件进程345,可以将其映射到加载到执行软件进程345中的可执行文件和一个或多个库模块。于是,被推送到中央服务器200的主机事件信息可以包括用于一个或多个识别的程序文件的程序文件路径、关联程序文件散列、网络访问企图的源地址和端口和/或目的地址和端口。
在步骤810中由中央服务器200接收到主机事件信息之后,流程转到步骤820以得到与网络访问企图相关联的程序文件的信任状态。可以使用各种技术来完成确定程序文件的信任状态,这将在图9中的第一实施例(即使用中央不信任软件清单232来确定信任状态)中和图10中的另一实施例(即使用中央信任高速缓存245实时确定信任状态)中被更详细地示出和描述。
在步骤820中获得针对与网络访问企图相关联的每个程序文件的信任状态之后,流程转到步骤830,可以将其至少部分实现为中央服务器200的进程流量映射模块260。在步骤830中,如果任何程序文件具有不信任状态,那么可以使用主机事件信息填充进程流量映射数据库234。例如,可以向进程流量映射数据库234添加与程序文件相关联的详细端口和地址信息以及程序文件路径信息。流程然后转到步骤835,并且做出关于以下的查询:与网络访问企图相关联的所有程序文件是否具有信任状态,如果是这样的话,流程结束,而不创建针对与程序文件相关联的网络流量的记录或约束规则。不过,如果任何程序文件具有不信任状态,那么流程转到步骤845以确定是否启用记录。
如果启用记录,那么流程转到步骤850,其中可以创建记录规则并将其推送到网络保护装置400以存储于网络规则元件420中。在一个范例中,可以使用来自主机事件信息的源地址和端口号以及目的地址和端口号来创建用于记录特定的网络事件数据的规则。在本范例中,记录规则可能要求在截获的分组具有匹配主机事件信息的源地址、源端口、目的地址、和目的端口时在事件日志430中存储与由网络保护装置400所截获的电子分组相关的网络流量事件数据。在一些实施例中,可以在进程流量映射数据库234中存储识别记录规则的规则ID并将其映射到与网络访问企图相关联的程序文件。
在步骤850中已经创建记录规则并将其向网络保护装置400推送之后,或者如果在步骤845中不启用记录,那么流程转到步骤855,以确定是否启用强制。如果启用强制,那么该流程结束,而不创建针对与一个或多个不信任程序文件相关联的网络流量的约束规则。不过,如果在步骤855中启用了强制,那么可以在步骤860中查询策略数据库235以确定是否有任何配置的策略超越程序文件的不信任状态,以允许与程序文件相关联的网络流量。如果找到了这样的策略,那么流程结束,而不创建约束规则。不过,如果策略没有超越程序文件的不信任状态(即策略需要某种类型的约束规则或没有策略可适用),然后流程转到步骤870,其中可以使用主机事件信息和/或任何可适用策略来创建一个或多个网络约束规则并随后将其推送到网络保护装置400。在一个范例中,可以使用主机事件信息来创建约束规则,以阻止具有的源地址和端口以及目的地址和端口与来自主机事件信息的源地址和端口以及目的地址和端口匹配的任何进入、外出和/或本地分组。在这里前面已经参考图5的批处理流程描述了使用策略创建约束规则以及这种策略的范例,包括网络级特定策略。
在已经使用主机事件信息和/或任何可适用策略创建约束规则之后,将约束规则推送到网络保护装置400并存储在网络规则元件420中,并且然后该流程结束。在这个实时实施例中,可以在已经截获网络访问企图之后在主机300中配置时间延迟,以便允许实时处理流程800有足够时间来创建任何必要的规则并将这样的规则推送到网络保护装置400。在另一实施例中,可以在主机300上保持网络访问企图,直到中央服务器200向主机300证实其已经利用针对网络访问企图的映射信息更新了进程流量映射数据库234和/或其已经向网络保护装置400推送了任何所得的记录或约束规则。例如,可以经由通往主机300上的事件馈送330的双向数据流上的信号来完成这种证实。
转到图9-10,范例流程示出了替代实施例,用于在用于网络级保护的***的实时处理实施例中确定程序文件的信任状态。图9或10的范例步骤可以至少部分实现为中央服务器200的软件信任确定模块240,并可以对应于图8的实时处理实施例的步骤820。
图9例示了利用中央不信任软件清单232的信任确定流程900。在这一实施例中,可以创建和维护中央不信任软件清单232,例如,如参考先前通过引用并入本文中的序号为12/844892的共同未决的美国专利申请的图4-6所述。在步骤930中,向中央不信任软件清单232搜索与网络访问企图相关联的每个程序文件。如果在中央不信任软件清单232上识别了程序文件,那么所识别的程序文件的信任状态为不信任。不过,如果在中央不信任软件清单232上未识别程序文件,那么该程序文件的信任状态为信任。在已经评估了程序文件之后,将程序文件的信任状态返回到图8的步骤820,其中可以如本文前面所述创建记录和约束规则。
转到图10,图10示出了与图8的步骤820对应的替代信任确定流程1000,用于在用于网络级保护的***的实时实施例中进行实时信任确定。可以从这个实施例省***不信任软件清单232,并且替代地,可以使用中央信任高速缓存245来存储信任程序文件的标识(例如校验和),用于在信任状态确定期间更快地检索和总体处理。
在步骤1010中开始,做出关于以下的查询:在中央信任高速缓存245中是否找到了与网络访问企图相关联的所有程序文件。如果在中央信任高速缓存245中找到了所有程序文件,那么所有程序文件都具有信任状态。因此,流程结束,并且将信任状态返回到图8的步骤820。不过,如果在中央信任高速缓存245未找到任何程序文件,那么流程转到步骤1020,其中向一个或多个全局或其他外部白名单,例如图1中所示的全局白名单165,和/或一个或多个内部白名单,例如图1中所示的内部白名单133,搜索中央信任高速缓存245中未找到的每个程序文件。如果在至少一个白名单上识别出程序文件,那么将所识别的程序文件的信任状态定义为信任,但如果在任何白名单上都未识别程序文件,那么将程序文件的信任状态定义为不信任。在已经搜索白名单之后,流程转到步骤1030,其中利用具有信任状态的程序文件(即在白名单之一上识别的)的校验和来更新中央信任高速缓存245。然后可以将程序文件的信任状态返回到图8的步骤820。
实时信任确定流程1000还可以包括额外的逻辑,以评估任何白名单中都未找到并因此具有不信任状态的程序文件,以确定是否存在允许将不信任程序文件提升到信任状态的预定义条件。这样的预定义条件可以包括本文前面已经参考图6所示和所述的启发式考虑。如果存在一个或多个预定义条件,那么可以将程序文件提升到信任状态。不过,如果没有预定义条件适用于程序文件,那么不信任状态持续,并且可以将程序文件定义为不信任。实时信任确定流程1000还可以包括额外的逻辑(未示出),以评估除白名单之外的黑名单,其也在本文前面所述。
转到图11,图11示出了网络保护装置400的网络强制流程1100,可以将其与用于网络级保护的***的批处理实施例(图5-7)和实时实施例(图8-10)两者一起使用。流程可以开始于步骤1110,其中网络保护装置400的过滤器/防火墙410截获与软件进程(例如主机300上的执行软件进程345)相关联的网络流量。在范例实施例中,TCP/IP网络流量可以是以多个电子分组的形式。流程然后转到步骤1120,其中做出关于以下的查询:记录规则是否适用于截获的分组,这可以通过搜索网络规则元件420而确定。如果记录规则适用,在步骤1130中利用与网络流量相关的事件数据来更新事件日志430。一旦更新了事件日志430,或者如果在步骤1120中确定没有记录规则适用,那么流程转到步骤1140,其中做出关于以下的查询:网络约束规则是否适用于截获的分组。这个查询可以通过搜索网络规则元件420而做出。如果不存在针对所截获分组的网络约束规则,那么流程转到步骤1190,并允许分组穿过过滤器/防火墙410通往其目的地址。不过,如果网络约束规则适用于截获的分组,那么流程转到步骤1180。在步骤1180中,将网络约束规则应用于分组,并且相应地约束分组(例如,阻止分组,将分组重定向到另一服务器,切换VLAN成员等)。
图12示出了用于记录网络访问企图的流程1200,可以在用于网络级保护的***的批处理实施例(图5-7)和实时实施例(图8-10)中实施该流程。流程可以开始于步骤1210,其中检索来自网络保护装置400的事件日志430的日志记录。在范例实施例中,仅检索新的日志记录(例如从上次预定日期和时间起增加到事件日志430的日志记录、从上次对记录事件数据库231更新起增加到事件日志430的日志记录等)。替代地,可以检索并处理所有日志记录或可以检索所有日志记录,并且流程1200可以包括额外处理以确定哪些日志记录是新的。
在从网络保护装置400检索日志记录之后,流程转到步骤1220,其中可以从进程流量映射数据库234检索信息。进程流量映射数据库234可以提供用户可理解的信息,例如程序文件路径和主机标识,其与日志记录中的网络流量事件数据对应。例如,可以将来自日志记录的目的地址和端口以及源地址和端口映射到进程流量映射数据库234中的不信任程序文件路径。在另一个范例中,可以使用来自日志记录的规则ID来找到向进程流量映射数据库234中的或替代地一些其他单独数据库或记录中的不信任程序文件路径的映射。
在从进程流量映射数据库234检索用户可理解信息之后,流程转到步骤1230,其中可以利用来自日志记录的网络流量事件数据和任何对应的进程流量映射信息来更新记录事件数据库231。记录事件数据库231中存储的可能网络流量事件数据和对应进程流量映射信息的范例包括与所截获分组相关联的数据,例如程序文件路径、主机的标识、日期与时间戳、源地址和端口号、目的地址和端口号等等。
对于批处理实施例和实时实施例两者,流程1200可以被配置成以任何预定时间间隔(例如每星期、每天、每小时等)运行。在一些实施例中,可以将流程1200实现为行政保护模块220的一部分。替代地,在批处理实施例中,可以将流程1200实现为图5中所示流程500的一部分。行政保护模块220可以通过例如管理控制台210或任何其他报告机制来提供对记录事件数据库231中数据的访问。记录事件数据库231中的数据能够为用户提供关于由网络保护装置400所截获并与网络之内主机上的不信任程序文件相关联的的网络流量的信息。如本文前面所述,根据是否启用了强制以及是否已经创建并向网络保护装置400推送了对应的约束规则,可以阻止或不阻止或以其他方式约束这样的网络流量。于是,不论是否阻止或以其他方式约束网络流量,都可以发生在流程1200中记录与这样的网络流量相关的事件数据以及接下来处理该事件数据。
可以在不同位置处(例如企业IT总部、最终用户计算机、云中的分布式服务器等)提供用于实现在这里简述的操作的软件。在其他实施例中,可以从网络服务器接收或下载这种软件(例如,在购买针对单独网络、装置、服务器等的个体最终用户许可的情境中),以便提供用于针对恶意软件的网络级保护的这种***。在一种范例实施方式中,这种软件驻留于寻求保护以免受安全攻击的(或寻求保护以免受对数据的不希望或非授权操控的)一个或多个计算机中。
在其他范例中,用于针对恶意软件的网络级保护的***的软件可能涉及专有元件(例如,作为网络安全解决方案的一部分,该解决方案具有McAfee®
Application Control软件、McAfee® Change
Control软件、McAfee® ePolicy Orchestrator软件、McAfee® Policy Auditor软件、McAfee®
Artemis Technology软件、McAfee® Host
Intrusion Prevention软件、McAfee®
VirusScan软件等),其可以被提供于(或临近)这些指出的元件中,或者被提供于任何其他装置、服务器、网络设备、控制台、防火墙、交换机、路由器、信息技术(IT)装置、分布式服务器等中,或者被提供为补充解决方案(例如,结合防火墙),或者在网络中某处提供。
在如图1中所示的范例本地网络110中,主机120、中央服务器130、网络保护装置140和副服务器180是便于针对恶意软件保护计算机网络的计算机。如在本说明书中在此使用的那样,术语“计算机”和“计算装置”意在涵盖任何个人计算机、网络设备、路由器、交换机、网关、处理器、服务器、负载均衡器、防火墙或任何其他适当的装置、部件、元件或可操作成影响或处理网络环境中的电子信息的物体。此外,这种计算机和计算装置可以包括任何适当的硬件、软件、部件、模块、接口或便于其操作的物体。这可以包括允许有效保护和数据通信的适当算法和通信协议。
在某些范例实施方式中,可以在软件中实现在这里勾勒的针对恶意软件的网络级保护方面所涉及的活动。这可以包括中央服务器130(例如中央保护部件135)、主机120(例如本地保护部件124)、网络保护装置(例如,网络级强制部件145)、和/或副服务器180中提供的软件。如本文所述,这些部件、元件和/或模块能够彼此合作,以便进行活动,以提供针对诸如僵尸网络的恶意软件的网络级保护。在其他实施例中,可以在这些元件外部提供这些特征,在其他装置中包括这些特征,以实现这些预期的功能,或者通过任何适当方式合并。例如,可以将保护活动进一步在主机120中定位,或者进一步集中于中央服务器130中,并且可以移除图示的处理器中的一些,或以其他方式进行合并,以适应特定的***配置。在一般意义上,图1中所描绘的布置在其表现上可以更有逻辑性,而物理架构可以包括这些部件、元件和模块的各种排列/组合/混合。
所有这些元件(主机120、中央服务器130、网络保护装置140、和/或副服务器180)包括软件(或往复式软件),其能够协调、管理或以其他方式合作,以便实现保护活动,包括信任确定、记录、强制和截获,如这里所简述的那样。另外,一个或所有这些元件可以包括任何适当的算法、硬件、软件、部件、模块、接口或便于其操作的物体。在涉及软件的实施方式中,这样的配置可以包括在一种或多种有形介质中编码的逻辑(例如,专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器或其他类似机器执行的软件(可能包括目标代码和源代码)等),其中有形介质包括非暂态介质。在这些情形中的一些中,一个或多个存储器元件(如包括图1、2、3、4的各附图中所示)能够存储用于在这里所述的操作的数据。这包括能够存储为执行本说明书中所描述的活动而执行的软件、逻辑、代码或处理器指令的存储器元件。处理器能够执行与数据相关联的任何类型的指令以实现本说明书中在这里详述的操作。在一个范例中,处理器(如图2、3和4所示)可以将元件或物品(例如数据)从一种状态或事物转换成另一种状态或事物。在另一个范例中,可以利用固定逻辑或可编程序逻辑(例如由处理器执行的软件/计算机指令)来实现在这里简述的活动,并且这里指出的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦写可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM))或ASIC,其包括数字逻辑、软件、代码、电子指令或其任意适当组合。
这些元件(例如计算机、服务器、网络保护装置、防火墙、分布式服务器等)的任一个都能够包括存储器元件,以用于存储实现如在这里所简述的保护活动方面所使用的信息。在适当的情况下且基于特定的需求,这些装置还可以在任何适当的存储器元件(例如随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等)、软件、硬件或任何其他适当部件、装置、元件或物体中保持信息。这里所讨论的存储项的任一种(例如记录事件数据库、中央不信任软件清单、本地不信任软件清单、内部白名单、策略数据库、进程流量映射数据库、中央信任高速缓存、网络规则元件、时间日志等)应当被解释为被包括在广义术语“存储器元件”之内。类似地,本说明书中描述的潜在处理元件、模块和机器的任一种都应该被解释为被包括在广义术语“处理器”之内。计算机、主机、网络保护装置、服务器、分布式服务器等的每种还可以包括适当的接口,以用于在网络环境中接收、发送和/或以其他方式传送数据或信息。
注意,对于在这里提供的范例,可以按照两个、三个、四个或更多网络部件来描述交互。不过,这样做仅仅是为了清晰和举例的目的。应当认识到,可以通过任何适当方式加强针对恶意软件的网络级保护的***。与类似的设计替代方式一起,可以在各种可能配置中组合图中任何例示的计算机、模块、部件和元件,所有配置显然都在本说明书的宽广范围之内。在某些情况下,可能更容易通过仅参考有限数量的部件或网络元件描述给定流程组的一个或多个功能。因此,还应当认识到,图1的***(及其教导)是容易可缩放的。该***能够容纳大量的部件,以及更复杂或精密的布置和配置。因此,提供的范例不应限制用于网络级保护的***的范围或约束其宽泛教导,因为其潜在地适用于各种其他架构。
重要的是还要指出,参考前面附图描述的操作仅例示了可以由用于针对恶意软件的网络级保护的***所执行或可以在其内执行的可能情形中的一些。在适当的情况下可以删除或移除这些操作中的一些,或者可以相当大程度地修改或改变这些操作,而不脱离所论述概念的范围。此外,可以相当大程度地改变这些操作的时机且仍然实现本公开中教导的结果。例如,通过搜索白名单进行的信任确定可以在搜索外部或全局白名单之前通过搜索内部白名单而执行。已经提供前面的操作流程是为了举例和论述的目的。该***提供了显著的灵活性,因为可以提供任何适当的布置、时序、配置和时机机制而不脱离所论述概念的教导。
Claims (33)
1. 一种方法,包括:
接收第一计算装置上与网络访问企图相关的信息,所述信息识别与所述网络访问企图相关联的软件程序文件;
评估第一标准以确定是否许可与所述软件程序文件相关联的网络流量;以及
创建约束规则,以便如果不许可网络流量,则阻止所述网络流量,其中所述第一标准包括所述软件程序文件的信任状态。
2. 根据权利要求1所述的方法,还包括向网络保护装置推送所述约束规则,其中所述网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。
3. 根据权利要求2所述的方法,其中由所述网络保护装置截获的网络流量包括来自所述第一计算装置的外出电子分组,所述电子分组具有与第二计算装置对应的目的地址。
4. 根据权利要求2所述的方法,其中由所述网络保护装置截获的网络流量包括从第二计算装置接收的并具有与所述第一计算装置对应的目的地址的进入电子分组。
5. 根据权利要求1所述的方法,还包括:
搜索指明值得信任的软件程序文件的白名单以确定所述软件程序文件的信任状态,其中如果所述白名单中不包括所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
6. 根据权利要求5所述的方法,其中如果所述软件程序文件的信任状态被定义为不信任,则不许可所述网络流量。
7. 根据权利要求1所述的方法,其中所述软件程序文件是可执行文件,并且所述网络访问企图与由所述第一计算装置上的可执行文件发起的执行软件进程相关联。
8. 根据权利要求1所述的方法,其中所述软件程序文件是加载到所述第一计算装置上的执行软件进程中的库模块,并且所述网络访问企图与所述执行软件进程相关联。
9. 根据权利要求1所述的方法,还包括:
评估第二标准以确定所述第二标准是否超越所述第一标准,所述第二标准包括针对具有定义为不信任的信任状态的一个或多个软件程序文件的网络访问策略。
10. 根据权利要求9所述的方法,其中网络保护装置截获与所述软件程序文件相关联的网络流量的电子分组并向所述电子分组应用约束规则,其中使用从网络访问策略组选择的网络访问策略来创建所述约束规则,所述组由如下策略构成:
阻止向所述第一计算装置的所有进入电子分组以及来自所述第一计算装置的所有外出电子分组;
阻止向所述第一计算装置的所有进入电子分组;
阻止来自所述第一计算装置的所有外出电子分组;
阻止从所述第一计算装置到指定网络子网的所有外出电子分组;
阻止从所述第一计算装置到因特网的所有外出电子分组并允许从所述第一计算装置到指定子网的所有外出电子分组;
阻止从所述第一计算装置到域名***(NDS)服务器的所有外出电子分组;
阻止使用简单邮件传输协议(SMTP)的来自所述第一计算装置的所有外出电子分组;
阻止从所述第一计算装置到因特网中继聊天(IRC)服务器的所有外出电子分组;
阻止具有与所述网络访问企图的源地址、源端口、目的地址和目的端口匹配的源地址、源端口、目的地址和目的端口的所有外出电子分组;以及
阻止具有与所述网络访问企图的源地址、源端口、目的地址和目的端口匹配的源地址、源端口、目的地址和目的端口的所有进入电子分组。
11. 在一个或多个有形介质中编码的逻辑,包括用于执行的代码,并且在由一个或多个处理器执行时,所述逻辑可操作成执行包括以下内容的操作:
接收第一计算装置上与网络访问企图相关的信息,所述信息识别与所述网络访问企图相关联的软件程序文件;
评估第一标准以确定是否许可与所述软件程序文件相关联的网络流量;以及
创建约束规则,以便如果不许可网络流量,则阻止所述网络流量,其中所述第一标准包括所述软件程序文件的信任状态。
12. 根据权利要求11所述的逻辑,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
向网络保护装置推送所述约束规则,其中所述网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。
13. 根据权利要求11所述的逻辑,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
搜索识别值得信任的软件程序文件的白名单以确定所述软件程序文件的信任状态,其中如果所述白名单中不包括所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
14. 根据权利要求11所述的逻辑,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
评估第二标准以确定所述第二标准是否超越所述第一标准,其中所述第二标准包括针对具有定义为不信任的信任状态的一个或多个软件程序文件的网络访问策略。
15. 一种设备,包括:
保护模块;
一个或多个处理器,可操作成执行与所述保护模块相关联的指令,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
接收第一计算装置上与网络访问企图相关的信息,所述信息识别与所述网络访问企图相关联的软件程序文件;
评估第一标准以确定是否许可与所述软件程序文件相关联的网络流量;以及
创建约束规则,以便如果不许可网络流量,则阻止所述网络流量,其中所述第一标准包括所述软件程序文件的信任状态。
16. 根据权利要求15所述的设备,其中所述一个或多个处理器可操作成执行包括以下内容的进一步指令:
向网络保护装置推送所述约束规则,其中所述网络保护装置截获与软件程序文件相关联的网络流量并向网络流量应用约束规则。
17. 根据权利要求15所述的设备,其中所述一个或多个处理器可操作成执行包括以下内容的进一步指令:
搜索识别值得信任的软件程序文件的白名单以确定所述软件程序文件的信任状态,其中如果所述白名单中不包括所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
18. 一种方法,包括:
接收第一计算装置上与网络访问企图相关的信息,所述信息识别与所述网络访问企图相关联的软件程序文件;
评估第一标准以确定是否许可与所述软件程序文件相关联的网络流量;以及
创建记录规则,以便如果不许可网络流量,则记录与所述网络流量相关的事件数据,其中所述第一标准包括所述软件程序文件的信任状态。
19. 根据权利要求18所述的方法,还包括向网络保护装置推送所述记录规则,其中所述网络保护装置截获与软件程序文件相关联的网络流量并记录与所述网络流量相关的事件数据。
20. 根据权利要求19所述的方法,还包括:
接收由所述网络保护装置记录的事件数据;
使用从所述事件数据选择的数据以向进程流量映射元件搜索与所述网络流量相关联的软件程序文件;以及
更新记录事件存储器元件以包括识别所述软件程序文件的条目。
21. 根据权利要求20所述的方法,其中用于搜索进程流量映射元件的所选择的数据包括源地址和端口号以及目的地址和端口号。
22. 根据权利要求20所述的方法,其中用于搜索进程流量映射元件的所选择的数据包括与所述记录规则对应的规则标识符。
23. 根据权利要求18所述的方法,还包括:
搜索识别值得信任的软件程序文件的白名单以确定所述白名单中是否识别了所述软件程序文件,其中如果所述白名单中未识别所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
24. 根据权利要求18所述的方法,其中所述软件程序文件是可执行文件,并且所述网络访问企图与由所述计算装置上的可执行文件发起的执行软件进程相关联。
25. 根据权利要求18所述的方法,其中所述软件程序文件是加载到执行软件进程中的库模块,并且所述网络访问企图与所述执行软件进程相关联。
26. 在一个或多个有形介质中编码的逻辑,包括用于执行的代码,并且在由一个或多个处理器执行时,所述逻辑可操作成执行包括以下内容的操作:
接收第一计算装置上与网络访问企图相关的信息,所述信息识别与所述网络访问企图相关联的软件程序文件;
评估第一标准以确定是否许可与所述软件程序文件相关联的网络流量;以及
创建记录规则,以便如果不许可网络流量,则记录与所述网络流量相关的事件数据,其中所述第一标准包括所述软件程序文件的信任状态。
27. 根据权利要求26所述的逻辑,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
向网络保护装置推送所述记录规则,其中所述网络保护装置截获与软件程序文件相关联的网络流量并记录与所述网络流量相关的事件数据。
28. 根据权利要求27所述的逻辑,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
接收由所述网络保护装置记录的事件数据;
使用从所述事件数据选择的数据以向进程流量映射元件搜索与所述网络流量相关联的软件程序文件;以及
更新记录事件存储器元件以包括识别所述软件程序文件的条目。
29. 根据权利要求26所述的逻辑,所述一个或多个处理器可操作成执行包括以下内容的进一步操作:
搜索识别值得信任的软件程序文件的白名单以确定所述白名单中是否识别了所述软件程序文件,其中如果所述白名单中未识别所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
30. 一种设备,包括:
保护模块;以及
一个或多个处理器,可操作成执行与所述保护模块相关联的指令,包括:
接收第一计算装置上与网络访问企图相关的信息,所述信息识别与所述网络访问企图相关联的软件程序文件;
评估第一标准以确定是否许可与所述软件程序文件相关联的网络流量;以及
创建记录规则,以便如果不许可网络流量,则记录与所述网络流量相关的事件数据,其中所述第一标准包括所述软件程序文件的信任状态。
31. 根据权利要求30所述的设备,所述一个或多个处理器可操作成执行包括以下内容的进一步指令:
向网络保护装置推送所述记录规则,其中所述网络保护装置截获与软件程序文件相关联的网络流量并记录与所述网络流量相关的事件数据。
32. 根据权利要求31所述的设备,所述一个或多个处理器可操作成执行包括以下内容的进一步指令:
接收由所述网络保护装置记录的事件数据;
使用从所述事件数据选择的数据来向进程流量映射元件搜索与所述网络流量相关联的软件程序文件;以及
更新记录事件存储器元件以包括识别所述软件程序文件的条目。
33. 根据权利要求30所述的设备,所述一个或多个处理器可操作成执行包括以下内容的进一步指令:
搜索识别值得信任的软件程序文件的白名单以确定所述白名单中是否识别了所述软件程序文件,其中如果所述白名单中未识别所述软件程序文件,则将所述软件程序文件的信任状态定义为不信任。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/844,964 US8938800B2 (en) | 2010-07-28 | 2010-07-28 | System and method for network level protection against malicious software |
US12/844964 | 2010-07-28 | ||
PCT/US2011/024869 WO2012015489A1 (en) | 2010-07-28 | 2011-02-15 | System and method for network level protection against malicious software |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103283202A true CN103283202A (zh) | 2013-09-04 |
CN103283202B CN103283202B (zh) | 2017-04-12 |
Family
ID=44168104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180046900.4A Active CN103283202B (zh) | 2010-07-28 | 2011-02-15 | 用于针对恶意软件的网络级保护的***和方法 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8938800B2 (zh) |
EP (1) | EP2599276B1 (zh) |
JP (2) | JP5774103B2 (zh) |
CN (1) | CN103283202B (zh) |
AU (1) | AU2011283164B2 (zh) |
WO (1) | WO2012015489A1 (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8701182B2 (en) | 2007-01-10 | 2014-04-15 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US8707446B2 (en) | 2006-02-02 | 2014-04-22 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8763118B2 (en) | 2005-07-14 | 2014-06-24 | Mcafee, Inc. | Classification of software on networked systems |
US8762928B2 (en) | 2003-12-17 | 2014-06-24 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
CN104955123A (zh) * | 2015-05-25 | 2015-09-30 | 广东欧珀移动通信有限公司 | 一种移动终端应用的联网限制方法及装置 |
CN105550580A (zh) * | 2015-12-09 | 2016-05-04 | 珠海市君天电子科技有限公司 | 一种窗口搜索方法和装置 |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US9576142B2 (en) | 2006-03-27 | 2017-02-21 | Mcafee, Inc. | Execution environment file inventory |
US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
CN108141408A (zh) * | 2015-10-06 | 2018-06-08 | 日本电信电话株式会社 | 确定***、确定装置及确定方法 |
CN109309690A (zh) * | 2018-12-28 | 2019-02-05 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
CN114039787A (zh) * | 2021-11-15 | 2022-02-11 | 厦门服云信息科技有限公司 | 一种linux***中反弹shell检测方法、终端设备及存储介质 |
Families Citing this family (145)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2003058483A1 (en) | 2002-01-08 | 2003-07-17 | Seven Networks, Inc. | Connection architecture for a mobile network |
US7853563B2 (en) | 2005-08-01 | 2010-12-14 | Seven Networks, Inc. | Universal data aggregation |
US8468126B2 (en) * | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
US7917468B2 (en) | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
US7698744B2 (en) | 2004-12-03 | 2010-04-13 | Whitecell Software Inc. | Secure system for allowing the execution of authorized computer program code |
US7752633B1 (en) | 2005-03-14 | 2010-07-06 | Seven Networks, Inc. | Cross-platform event engine |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
US20080276302A1 (en) | 2005-12-13 | 2008-11-06 | Yoggie Security Systems Ltd. | System and Method for Providing Data and Device Security Between External and Host Devices |
US8381297B2 (en) | 2005-12-13 | 2013-02-19 | Yoggie Security Systems Ltd. | System and method for providing network security to mobile devices |
US8869270B2 (en) | 2008-03-26 | 2014-10-21 | Cupp Computing As | System and method for implementing content and network security inside a chip |
US7769395B2 (en) * | 2006-06-20 | 2010-08-03 | Seven Networks, Inc. | Location-based operations and messaging |
US8555404B1 (en) | 2006-05-18 | 2013-10-08 | Mcafee, Inc. | Connectivity-based authorization |
US8365272B2 (en) | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US8693494B2 (en) | 2007-06-01 | 2014-04-08 | Seven Networks, Inc. | Polling |
US8364181B2 (en) | 2007-12-10 | 2013-01-29 | Seven Networks, Inc. | Electronic-mail filtering for mobile devices |
US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US8701189B2 (en) | 2008-01-31 | 2014-04-15 | Mcafee, Inc. | Method of and system for computer system denial-of-service protection |
US8615502B2 (en) | 2008-04-18 | 2013-12-24 | Mcafee, Inc. | Method of and system for reverse mapping vnode pointers |
US8787947B2 (en) | 2008-06-18 | 2014-07-22 | Seven Networks, Inc. | Application discovery on mobile devices |
US8078158B2 (en) | 2008-06-26 | 2011-12-13 | Seven Networks, Inc. | Provisioning applications for a mobile device |
US8631488B2 (en) | 2008-08-04 | 2014-01-14 | Cupp Computing As | Systems and methods for providing security services during power management mode |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
WO2010059864A1 (en) | 2008-11-19 | 2010-05-27 | Yoggie Security Systems Ltd. | Systems and methods for providing real time access monitoring of a removable media device |
US8544003B1 (en) | 2008-12-11 | 2013-09-24 | Mcafee, Inc. | System and method for managing virtual machine configurations |
US8341627B2 (en) * | 2009-08-21 | 2012-12-25 | Mcafee, Inc. | Method and system for providing user space address protection from writable memory area in a virtual environment |
US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
US9552497B2 (en) * | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US10095530B1 (en) * | 2010-05-28 | 2018-10-09 | Bromium, Inc. | Transferring control of potentially malicious bit sets to secure micro-virtual machine |
CA2806527A1 (en) | 2010-07-26 | 2012-02-09 | Seven Networks, Inc. | Mobile network traffic coordination across multiple applications |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
GB2495066B (en) | 2010-07-26 | 2013-12-18 | Seven Networks Inc | Mobile application traffic optimization |
CA2806548C (en) | 2010-07-26 | 2015-03-31 | Seven Networks, Inc. | Distributed implementation of dynamic wireless traffic policy |
US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
WO2012060997A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Application and network-based long poll request detection and cacheability assessment therefor |
EP2635973A4 (en) | 2010-11-01 | 2014-01-15 | Seven Networks Inc | TO THE BEHAVIOR OF A MOBILE APPLICATION AND INTERMEDIATE STORAGE TAILORED TO NETWORK CONDITIONS |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
CA2798523C (en) | 2010-11-22 | 2015-02-24 | Seven Networks, Inc. | Aligning data transfer to optimize connections established for transmission over a wireless network |
WO2012071384A2 (en) | 2010-11-22 | 2012-05-31 | Michael Luna | Optimization of resource polling intervals to satisfy mobile device requests |
KR101206095B1 (ko) * | 2010-11-30 | 2012-11-28 | 엘에스산전 주식회사 | 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법 |
WO2012094675A2 (en) | 2011-01-07 | 2012-07-12 | Seven Networks, Inc. | System and method for reduction of mobile network traffic used for domain name system (dns) queries |
US9075993B2 (en) | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
GB2517815A (en) | 2011-04-19 | 2015-03-04 | Seven Networks Inc | Shared resource and virtual resource management in a networked environment |
WO2012149221A2 (en) | 2011-04-27 | 2012-11-01 | Seven Networks, Inc. | System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief |
WO2012149434A2 (en) | 2011-04-27 | 2012-11-01 | Seven Networks, Inc. | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
WO2013022999A1 (en) * | 2011-08-08 | 2013-02-14 | Bloomberg Finance Lp | System and method for electronic distribution of software and data |
KR101326896B1 (ko) * | 2011-08-24 | 2013-11-11 | 주식회사 팬택 | 단말기 및 이를 이용하는 어플리케이션의 위험도 제공 방법 |
US9407663B1 (en) * | 2011-09-28 | 2016-08-02 | Emc Corporation | Method and apparatus for man-in-the-middle agent-assisted client filtering |
US8694738B2 (en) | 2011-10-11 | 2014-04-08 | Mcafee, Inc. | System and method for critical address space protection in a hypervisor environment |
US9069586B2 (en) | 2011-10-13 | 2015-06-30 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US9503460B2 (en) * | 2011-10-13 | 2016-11-22 | Cisco Technology, Inc. | System and method for managing access for trusted and untrusted applications |
US8973144B2 (en) | 2011-10-13 | 2015-03-03 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
EP2789137A4 (en) | 2011-12-06 | 2015-12-02 | Seven Networks Inc | SYSTEM OF REDUNDANTLY CLUSTERED MACHINES FOR PROVIDING TILTING MECHANISMS IN MOBILE TRAFFIC MANAGEMENT AND NETWORK RESOURCE PRESERVATION |
US8934414B2 (en) | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
WO2013086455A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
US8861354B2 (en) | 2011-12-14 | 2014-10-14 | Seven Networks, Inc. | Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization |
WO2013090834A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Operation modes for mobile traffic optimization and concurrent management of optimized and non-optimized traffic |
EP2792188B1 (en) | 2011-12-14 | 2019-03-20 | Seven Networks, LLC | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
WO2013103988A1 (en) | 2012-01-05 | 2013-07-11 | Seven Networks, Inc. | Detection and management of user interactions with foreground applications on a mobile device in distributed caching |
WO2013116856A1 (en) | 2012-02-02 | 2013-08-08 | Seven Networks, Inc. | Dynamic categorization of applications for network access in a mobile network |
WO2013116852A1 (en) | 2012-02-03 | 2013-08-08 | Seven Networks, Inc. | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
US8291500B1 (en) * | 2012-03-29 | 2012-10-16 | Cyber Engineering Services, Inc. | Systems and methods for automated malware artifact retrieval and analysis |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
US10263899B2 (en) | 2012-04-10 | 2019-04-16 | Seven Networks, Llc | Enhanced customer service for mobile carriers using real-time and historical mobile application and traffic or optimization data associated with mobile devices in a mobile network |
US9152784B2 (en) | 2012-04-18 | 2015-10-06 | Mcafee, Inc. | Detection and prevention of installation of malicious mobile applications |
US9276819B2 (en) * | 2012-05-29 | 2016-03-01 | Hewlett Packard Enterprise Development Lp | Network traffic monitoring |
WO2014011216A1 (en) | 2012-07-13 | 2014-01-16 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
US9160749B2 (en) * | 2012-09-07 | 2015-10-13 | Oracle International Corporation | System and method for providing whitelist functionality for use with a cloud computing environment |
WO2014059037A2 (en) | 2012-10-09 | 2014-04-17 | Cupp Computing As | Transaction security systems and methods |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
US9171151B2 (en) * | 2012-11-16 | 2015-10-27 | Microsoft Technology Licensing, Llc | Reputation-based in-network filtering of client event information |
US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
US9271238B2 (en) | 2013-01-23 | 2016-02-23 | Seven Networks, Llc | Application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US8966637B2 (en) | 2013-02-08 | 2015-02-24 | PhishMe, Inc. | Performance benchmarking for simulated phishing attacks |
US9356948B2 (en) | 2013-02-08 | 2016-05-31 | PhishMe, Inc. | Collaborative phishing attack detection |
US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
US9323936B2 (en) * | 2013-03-15 | 2016-04-26 | Google Inc. | Using a file whitelist |
US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
US9130826B2 (en) * | 2013-03-15 | 2015-09-08 | Enterasys Networks, Inc. | System and related method for network monitoring and control based on applications |
US9225736B1 (en) * | 2013-06-27 | 2015-12-29 | Symantec Corporation | Techniques for detecting anomalous network traffic |
WO2015006375A1 (en) | 2013-07-08 | 2015-01-15 | Cupp Computing As | Systems and methods for providing digital content marketplace security |
CN103414758B (zh) * | 2013-07-19 | 2017-04-05 | 北京奇虎科技有限公司 | 日志处理方法及装置 |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
MY181777A (en) * | 2013-11-11 | 2021-01-06 | Adallom Inc | Cloud service security broker and proxy |
US9363282B1 (en) * | 2014-01-28 | 2016-06-07 | Infoblox Inc. | Platforms for implementing an analytics framework for DNS security |
US10430614B2 (en) * | 2014-01-31 | 2019-10-01 | Bromium, Inc. | Automatic initiation of execution analysis |
US9871800B2 (en) | 2014-01-31 | 2018-01-16 | Oracle International Corporation | System and method for providing application security in a cloud computing environment |
US9762614B2 (en) * | 2014-02-13 | 2017-09-12 | Cupp Computing As | Systems and methods for providing network security using a secure digital device |
US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
US10474820B2 (en) | 2014-06-17 | 2019-11-12 | Hewlett Packard Enterprise Development Lp | DNS based infection scores |
US20170201456A1 (en) * | 2014-08-07 | 2017-07-13 | Intel IP Corporation | Control of traffic from applications when third party servers encounter problems |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
US10324702B2 (en) | 2014-09-12 | 2019-06-18 | Microsoft Israel Research And Development (2002) Ltd. | Cloud suffix proxy and a method thereof |
EP3210364B8 (en) * | 2014-10-21 | 2021-03-10 | Proofpoint, Inc. | Systems and methods for application security analysis |
EP3761194B1 (en) | 2014-10-31 | 2023-05-10 | Proofpoint, Inc. | Systems and methods for privately performing application security analysis |
GB201915196D0 (en) | 2014-12-18 | 2019-12-04 | Sophos Ltd | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
WO2016113911A1 (ja) | 2015-01-16 | 2016-07-21 | 三菱電機株式会社 | データ判定装置、データ判定方法及びプログラム |
US10007515B2 (en) | 2015-01-30 | 2018-06-26 | Oracle International Corporation | System and method for automatic porting of software applications into a cloud computing environment |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US10298602B2 (en) | 2015-04-10 | 2019-05-21 | Cofense Inc. | Suspicious message processing and incident response |
WO2016164844A1 (en) * | 2015-04-10 | 2016-10-13 | PhishMe, Inc. | Message report processing and threat prioritization |
US9906539B2 (en) | 2015-04-10 | 2018-02-27 | PhishMe, Inc. | Suspicious message processing and incident response |
JP6524789B2 (ja) * | 2015-05-13 | 2019-06-05 | 富士通株式会社 | ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置 |
US10127211B2 (en) * | 2015-05-20 | 2018-11-13 | International Business Machines Corporation | Overlay of input control to identify and restrain draft content from streaming |
US9967176B2 (en) * | 2015-06-17 | 2018-05-08 | International Business Machines Corporation | Determining shortcut rules for bypassing waypoint network device(s) |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
CN105262722B (zh) * | 2015-09-07 | 2018-09-21 | 深信服网络科技(深圳)有限公司 | 终端恶意流量规则更新方法、云端服务器和安全网关 |
US10020941B2 (en) * | 2015-09-30 | 2018-07-10 | Imperva, Inc. | Virtual encryption patching using multiple transport layer security implementations |
US9800606B1 (en) * | 2015-11-25 | 2017-10-24 | Symantec Corporation | Systems and methods for evaluating network security |
CN106921608B (zh) * | 2015-12-24 | 2019-11-22 | 华为技术有限公司 | 一种检测终端安全状况方法、装置及*** |
US10594731B2 (en) * | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) * | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US9825982B1 (en) | 2016-04-29 | 2017-11-21 | Ciena Corporation | System and method for monitoring network vulnerabilities |
US10523635B2 (en) * | 2016-06-17 | 2019-12-31 | Assured Information Security, Inc. | Filtering outbound network traffic |
US10356113B2 (en) * | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
US11146578B2 (en) | 2016-12-16 | 2021-10-12 | Patternex, Inc. | Method and system for employing graph analysis for detecting malicious activity in time evolving networks |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
US10778645B2 (en) | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
US10462171B2 (en) | 2017-08-08 | 2019-10-29 | Sentinel Labs Israel Ltd. | Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking |
CN109845227B (zh) * | 2017-08-24 | 2020-05-08 | 思想***公司 | 用于网络安全的方法和*** |
US10855705B2 (en) * | 2017-09-29 | 2020-12-01 | Cisco Technology, Inc. | Enhanced flow-based computer network threat detection |
US10567156B2 (en) | 2017-11-30 | 2020-02-18 | Bank Of America Corporation | Blockchain-based unexpected data detection |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
JP2020088716A (ja) * | 2018-11-29 | 2020-06-04 | 株式会社デンソー | 中継装置 |
EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
US11165804B2 (en) * | 2019-05-30 | 2021-11-02 | Microsoft Technology Licensing, Llc | Distinguishing bot traffic from human traffic |
US11184384B2 (en) * | 2019-06-13 | 2021-11-23 | Bank Of America Corporation | Information technology security assessment model for process flows and associated automated remediation |
CN110620773B (zh) * | 2019-09-20 | 2023-02-10 | 深圳市信锐网科技术有限公司 | 一种tcp流量隔离方法、装置及相关组件 |
US20220086078A1 (en) * | 2020-09-11 | 2022-03-17 | Ciena Corporation | Segment Routing Traffic Engineering (SR-TE) with awareness of local protection |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
US20220210127A1 (en) * | 2020-12-29 | 2022-06-30 | Vmware, Inc. | Attribute-based firewall rule enforcement |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006124832A1 (en) * | 2005-05-19 | 2006-11-23 | Websense, Inc. | System and method of monitoring and controlling application files |
US20080022384A1 (en) * | 2006-06-06 | 2008-01-24 | Microsoft Corporation | Reputation Driven Firewall |
US7360097B2 (en) * | 2003-09-30 | 2008-04-15 | Check Point Software Technologies, Inc. | System providing methodology for securing interfaces of executable files |
CN101218568A (zh) * | 2005-07-11 | 2008-07-09 | 微软公司 | 每-用户和***粒度的审计策略实现 |
CN101636998A (zh) * | 2006-08-03 | 2010-01-27 | 思杰***有限公司 | 用于ssl/vpn业务的基于应用的拦截和授权的***和方法 |
US7849507B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
Family Cites Families (362)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4982430A (en) | 1985-04-24 | 1991-01-01 | General Instrument Corporation | Bootstrap channel security arrangement for communication network |
US4688169A (en) | 1985-05-30 | 1987-08-18 | Joshi Bhagirath S | Computer software security system |
US5155847A (en) | 1988-08-03 | 1992-10-13 | Minicom Data Corporation | Method and apparatus for updating software at remote locations |
US5560008A (en) | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
CA2010591C (en) | 1989-10-20 | 1999-01-26 | Phillip M. Adams | Kernels, description tables and device drivers |
US5222134A (en) | 1990-11-07 | 1993-06-22 | Tau Systems Corporation | Secure system for activating personal computer software at remote locations |
US5390314A (en) | 1992-10-09 | 1995-02-14 | American Airlines, Inc. | Method and apparatus for developing scripts that access mainframe resources that can be executed on various computer systems having different interface languages without modification |
US5339261A (en) | 1992-10-22 | 1994-08-16 | Base 10 Systems, Inc. | System for operating application software in a safety critical environment |
US5584009A (en) | 1993-10-18 | 1996-12-10 | Cyrix Corporation | System and method of retiring store data from a write buffer |
JP3777196B2 (ja) | 1994-05-10 | 2006-05-24 | 富士通株式会社 | クライアント/サーバシステム用の通信制御装置 |
JP3042341B2 (ja) | 1994-11-30 | 2000-05-15 | 日本電気株式会社 | クラスタ結合型マルチプロセッサシステムにおけるローカル入出力制御方法 |
US6282712B1 (en) | 1995-03-10 | 2001-08-28 | Microsoft Corporation | Automatic software installation on heterogeneous networked computer systems |
US5699513A (en) | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
US5787427A (en) | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
US5842017A (en) | 1996-01-29 | 1998-11-24 | Digital Equipment Corporation | Method and apparatus for forming a translation unit |
US5907709A (en) | 1996-02-08 | 1999-05-25 | Inprise Corporation | Development system with methods for detecting invalid use and management of resources and memory at runtime |
US5884298A (en) | 1996-03-29 | 1999-03-16 | Cygnet Storage Solutions, Inc. | Method for accessing and updating a library of optical discs |
US5907708A (en) | 1996-06-03 | 1999-05-25 | Sun Microsystems, Inc. | System and method for facilitating avoidance of an exception of a predetermined type in a digital computer system by providing fix-up code for an instruction in response to detection of an exception condition resulting from execution thereof |
US5787177A (en) | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
US5926832A (en) | 1996-09-26 | 1999-07-20 | Transmeta Corporation | Method and apparatus for aliasing memory data in an advanced microprocessor |
US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US6141698A (en) | 1997-01-29 | 2000-10-31 | Network Commerce Inc. | Method and system for injecting new code into existing application code |
US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US5944839A (en) | 1997-03-19 | 1999-08-31 | Symantec Corporation | System and method for automatically maintaining a computer system |
US6587877B1 (en) | 1997-03-25 | 2003-07-01 | Lucent Technologies Inc. | Management of time and expense when communicating between a host and a communication network |
US6192475B1 (en) | 1997-03-31 | 2001-02-20 | David R. Wallace | System and method for cloaking software |
US6167522A (en) | 1997-04-01 | 2000-12-26 | Sun Microsystems, Inc. | Method and apparatus for providing security for servers executing application programs received via a network |
US6356957B2 (en) | 1997-04-03 | 2002-03-12 | Hewlett-Packard Company | Method for emulating native object oriented foundation classes on a target object oriented programming system using a template library |
US5987557A (en) | 1997-06-19 | 1999-11-16 | Sun Microsystems, Inc. | Method and apparatus for implementing hardware protection domains in a system with no memory management unit (MMU) |
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US6275938B1 (en) | 1997-08-28 | 2001-08-14 | Microsoft Corporation | Security enhancement for untrusted executable code |
US6192401B1 (en) | 1997-10-21 | 2001-02-20 | Sun Microsystems, Inc. | System and method for determining cluster membership in a heterogeneous distributed system |
US6393465B2 (en) | 1997-11-25 | 2002-05-21 | Nixmail Corporation | Junk electronic mail detector and eliminator |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
WO1999057654A1 (fr) | 1998-05-06 | 1999-11-11 | Matsushita Electric Industrial Co., Ltd. | Procede et systeme d'emission/reception de donnees numeriques |
US6795966B1 (en) | 1998-05-15 | 2004-09-21 | Vmware, Inc. | Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction |
US6442686B1 (en) | 1998-07-02 | 2002-08-27 | Networks Associates Technology, Inc. | System and methodology for messaging server-based management and enforcement of crypto policies |
US6182142B1 (en) | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
US6338149B1 (en) | 1998-07-31 | 2002-01-08 | Westinghouse Electric Company Llc | Change monitoring system for a computer system |
US6546425B1 (en) | 1998-10-09 | 2003-04-08 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
JP3753873B2 (ja) | 1998-11-11 | 2006-03-08 | 株式会社島津製作所 | 分光光度計 |
JP3522141B2 (ja) | 1999-01-28 | 2004-04-26 | 富士通株式会社 | 修正プログラムを継承したプログラムの自動生成方法、プログラム自動生成装置及び修正プログラムを継承したプログラムを自動生成するプログラムを記録した記録媒体 |
US6969352B2 (en) | 1999-06-22 | 2005-11-29 | Teratech Corporation | Ultrasound probe with integrated electronics |
US6453468B1 (en) | 1999-06-30 | 2002-09-17 | B-Hub, Inc. | Methods for improving reliability while upgrading software programs in a clustered computer system |
US6496477B1 (en) | 1999-07-09 | 2002-12-17 | Texas Instruments Incorporated | Processes, articles, and packets for network path diversity in media over packet applications |
US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
US7340684B2 (en) | 1999-08-19 | 2008-03-04 | National Instruments Corporation | System and method for programmatically generating a second graphical program based on a first graphical program |
US6256773B1 (en) | 1999-08-31 | 2001-07-03 | Accenture Llp | System, method and article of manufacture for configuration management in a development architecture framework |
US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
US6321267B1 (en) | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
US6662219B1 (en) | 1999-12-15 | 2003-12-09 | Microsoft Corporation | System for determining at subgroup of nodes relative weight to represent cluster by obtaining exclusive possession of quorum resource |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
US7836494B2 (en) | 1999-12-29 | 2010-11-16 | Intel Corporation | System and method for regulating the flow of information to or from an application |
US6769008B1 (en) | 2000-01-10 | 2004-07-27 | Sun Microsystems, Inc. | Method and apparatus for dynamically altering configurations of clustered computer systems |
WO2001069439A1 (en) | 2000-03-17 | 2001-09-20 | Filesx Ltd. | Accelerating responses to requests made by users to an internet |
US6748534B1 (en) | 2000-03-31 | 2004-06-08 | Networks Associates, Inc. | System and method for partitioned distributed scanning of a large dataset for viruses and other malware |
US6941470B1 (en) | 2000-04-07 | 2005-09-06 | Everdream Corporation | Protected execution environments within a computer system |
CA2305078A1 (en) | 2000-04-12 | 2001-10-12 | Cloakware Corporation | Tamper resistant software - mass data encoding |
US7325127B2 (en) | 2000-04-25 | 2008-01-29 | Secure Data In Motion, Inc. | Security server system |
US6377808B1 (en) * | 2000-04-27 | 2002-04-23 | Motorola, Inc. | Method and apparatus for routing data in a communication system |
WO2001084285A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US6769115B1 (en) | 2000-05-01 | 2004-07-27 | Emc Corporation | Adaptive interface for a software development environment |
US6847993B1 (en) | 2000-05-31 | 2005-01-25 | International Business Machines Corporation | Method, system and program products for managing cluster configurations |
US6934755B1 (en) | 2000-06-02 | 2005-08-23 | Sun Microsystems, Inc. | System and method for migrating processes on a network |
US6611925B1 (en) | 2000-06-13 | 2003-08-26 | Networks Associates Technology, Inc. | Single point of entry/origination item scanning within an enterprise or workgroup |
US20030061506A1 (en) | 2001-04-05 | 2003-03-27 | Geoffrey Cooper | System and method for security policy |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US8204999B2 (en) | 2000-07-10 | 2012-06-19 | Oracle International Corporation | Query string processing |
US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
US7350204B2 (en) | 2000-07-24 | 2008-03-25 | Microsoft Corporation | Policies for secure software execution |
ATE265112T1 (de) | 2000-08-04 | 2004-05-15 | Xtradyne Technologies Ag | Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte |
AUPQ968100A0 (en) | 2000-08-25 | 2000-09-21 | Telstra Corporation Limited | A management system |
WO2002019062A2 (en) | 2000-09-01 | 2002-03-07 | Tut Systems, Inc. | A method and system to implement policy-based network traffic management |
US20020165947A1 (en) | 2000-09-25 | 2002-11-07 | Crossbeam Systems, Inc. | Network application apparatus |
US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US7146305B2 (en) | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
US7606898B1 (en) | 2000-10-24 | 2009-10-20 | Microsoft Corporation | System and method for distributed management of shared computers |
US7054930B1 (en) | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6930985B1 (en) | 2000-10-26 | 2005-08-16 | Extreme Networks, Inc. | Method and apparatus for management of configuration in a network |
US6834301B1 (en) | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
US6766334B1 (en) | 2000-11-21 | 2004-07-20 | Microsoft Corporation | Project-based configuration management method and apparatus |
US20020069367A1 (en) | 2000-12-06 | 2002-06-06 | Glen Tindal | Network operating system data directory |
US6907600B2 (en) | 2000-12-27 | 2005-06-14 | Intel Corporation | Virtual translation lookaside buffer |
JP2002244898A (ja) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | データベース管理プログラム及びデータベースシステム |
US6993012B2 (en) | 2001-02-20 | 2006-01-31 | Innomedia Pte, Ltd | Method for communicating audio data in a packet switched network |
US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
WO2002093334A2 (en) | 2001-04-06 | 2002-11-21 | Symantec Corporation | Temporal access control for computer virus outbreaks |
US6918110B2 (en) | 2001-04-11 | 2005-07-12 | Hewlett-Packard Development Company, L.P. | Dynamic instrumentation of an executable program by means of causing a breakpoint at the entry point of a function and providing instrumentation code |
CN1141821C (zh) | 2001-04-25 | 2004-03-10 | 数位联合电信股份有限公司 | 可重定向的连接上网*** |
US6988101B2 (en) | 2001-05-31 | 2006-01-17 | International Business Machines Corporation | Method, system, and computer program product for providing an extensible file system for accessing a foreign file system from a local data processing system |
US6715050B2 (en) | 2001-05-31 | 2004-03-30 | Oracle International Corporation | Storage access keys |
US6988124B2 (en) | 2001-06-06 | 2006-01-17 | Microsoft Corporation | Locating potentially identical objects across multiple computers based on stochastic partitioning of workload |
US7290266B2 (en) | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
US7065767B2 (en) | 2001-06-29 | 2006-06-20 | Intel Corporation | Managed hosting server auditing and change tracking |
US7069330B1 (en) * | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
US20030023736A1 (en) | 2001-07-12 | 2003-01-30 | Kurt Abkemeier | Method and system for filtering messages |
US20030014667A1 (en) | 2001-07-16 | 2003-01-16 | Andrei Kolichtchak | Buffer overflow attack detection and suppression |
US6877088B2 (en) | 2001-08-08 | 2005-04-05 | Sun Microsystems, Inc. | Methods and apparatus for controlling speculative execution of instructions based on a multiaccess memory condition |
US7007302B1 (en) | 2001-08-31 | 2006-02-28 | Mcafee, Inc. | Efficient management and blocking of malicious code and hacking attempts in a network environment |
US7010796B1 (en) | 2001-09-28 | 2006-03-07 | Emc Corporation | Methods and apparatus providing remote operation of an application programming interface |
US7278161B2 (en) | 2001-10-01 | 2007-10-02 | International Business Machines Corporation | Protecting a data processing system from attack by a vandal who uses a vulnerability scanner |
US7177267B2 (en) | 2001-11-09 | 2007-02-13 | Adc Dsl Systems, Inc. | Hardware monitoring and configuration management |
US7853643B1 (en) | 2001-11-21 | 2010-12-14 | Blue Titan Software, Inc. | Web services-based computing resource lifecycle management |
EP1315066A1 (en) | 2001-11-21 | 2003-05-28 | BRITISH TELECOMMUNICATIONS public limited company | Computer security system |
US7346781B2 (en) | 2001-12-06 | 2008-03-18 | Mcafee, Inc. | Initiating execution of a computer program from an encrypted version of a computer program |
US7039949B2 (en) | 2001-12-10 | 2006-05-02 | Brian Ross Cartmell | Method and system for blocking unwanted communications |
US7159036B2 (en) | 2001-12-10 | 2007-01-02 | Mcafee, Inc. | Updating data from a source computer to groups of destination computers |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
CA2469633C (en) | 2001-12-13 | 2011-06-14 | Japan Science And Technology Agency | Software safety execution system |
US7398389B2 (en) | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
US7096500B2 (en) | 2001-12-21 | 2006-08-22 | Mcafee, Inc. | Predictive malware scanning of internet data |
JP3906356B2 (ja) | 2001-12-27 | 2007-04-18 | 独立行政法人情報通信研究機構 | 構文解析方法及び装置 |
US7743415B2 (en) | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
US20030167399A1 (en) | 2002-03-01 | 2003-09-04 | Yves Audebert | Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe |
US6941449B2 (en) | 2002-03-04 | 2005-09-06 | Hewlett-Packard Development Company, L.P. | Method and apparatus for performing critical tasks using speculative operations |
US7600021B2 (en) | 2002-04-03 | 2009-10-06 | Microsoft Corporation | Delta replication of source files and packages across networked resources |
US20070253430A1 (en) | 2002-04-23 | 2007-11-01 | Minami John S | Gigabit Ethernet Adapter |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US7823148B2 (en) | 2002-05-22 | 2010-10-26 | Oracle America, Inc. | System and method for performing patch installation via a graphical user interface |
US20030221190A1 (en) | 2002-05-22 | 2003-11-27 | Sun Microsystems, Inc. | System and method for performing patch installation on multiple devices |
US7024404B1 (en) | 2002-05-28 | 2006-04-04 | The State University Rutgers | Retrieval and display of data objects using a cross-group ranking metric |
US7512977B2 (en) | 2003-06-11 | 2009-03-31 | Symantec Corporation | Intrustion protection system utilizing layers |
US8843903B1 (en) | 2003-06-11 | 2014-09-23 | Symantec Corporation | Process tracking application layered system |
US7823203B2 (en) | 2002-06-17 | 2010-10-26 | At&T Intellectual Property Ii, L.P. | Method and device for detecting computer network intrusions |
US7139916B2 (en) | 2002-06-28 | 2006-11-21 | Ebay, Inc. | Method and system for monitoring user interaction with a computer |
US8924484B2 (en) | 2002-07-16 | 2014-12-30 | Sonicwall, Inc. | Active e-mail filter with challenge-response |
US7522906B2 (en) | 2002-08-09 | 2009-04-21 | Wavelink Corporation | Mobile unit configuration management for WLANs |
JP2004078507A (ja) | 2002-08-16 | 2004-03-11 | Sony Corp | アクセス制御装置及びアクセス制御方法、並びにコンピュータ・プログラム |
US7647410B2 (en) | 2002-08-28 | 2010-01-12 | Procera Networks, Inc. | Network rights management |
US7624347B2 (en) | 2002-09-17 | 2009-11-24 | At&T Intellectual Property I, L.P. | System and method for forwarding full header information in email messages |
US7546333B2 (en) | 2002-10-23 | 2009-06-09 | Netapp, Inc. | Methods and systems for predictive change management for access paths in networks |
US20040088398A1 (en) | 2002-11-06 | 2004-05-06 | Barlow Douglas B. | Systems and methods for providing autoconfiguration and management of nodes |
US7353501B2 (en) | 2002-11-18 | 2008-04-01 | Microsoft Corporation | Generic wrapper scheme |
US7865931B1 (en) | 2002-11-25 | 2011-01-04 | Accenture Global Services Limited | Universal authorization and access control security measure for applications |
US7346927B2 (en) | 2002-12-12 | 2008-03-18 | Access Business Group International Llc | System and method for storing and accessing secure data |
US20040143749A1 (en) | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
US7793346B1 (en) * | 2003-01-17 | 2010-09-07 | Mcafee, Inc. | System, method, and computer program product for preventing trojan communication |
US20040167906A1 (en) | 2003-02-25 | 2004-08-26 | Smith Randolph C. | System consolidation tool and method for patching multiple servers |
US7024548B1 (en) | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
JPWO2004095285A1 (ja) | 2003-03-28 | 2006-07-13 | 松下電器産業株式会社 | 記録媒体およびこれを用いる記録装置並びに再生装置 |
US8209680B1 (en) | 2003-04-11 | 2012-06-26 | Vmware, Inc. | System and method for disk imaging on diverse computers |
US7607010B2 (en) | 2003-04-12 | 2009-10-20 | Deep Nines, Inc. | System and method for network edge data protection |
US20050108516A1 (en) | 2003-04-17 | 2005-05-19 | Robert Balzer | By-pass and tampering protection for application wrappers |
US20040230963A1 (en) | 2003-05-12 | 2004-11-18 | Rothman Michael A. | Method for updating firmware in an operating system agnostic manner |
DE10324189A1 (de) | 2003-05-28 | 2004-12-16 | Robert Bosch Gmbh | Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung |
US7657599B2 (en) | 2003-05-29 | 2010-02-02 | Mindshare Design, Inc. | Systems and methods for automatically updating electronic mail access lists |
US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
US7827602B2 (en) | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
US7454489B2 (en) | 2003-07-01 | 2008-11-18 | International Business Machines Corporation | System and method for accessing clusters of servers from the internet network |
US7283517B2 (en) | 2003-07-22 | 2007-10-16 | Innomedia Pte | Stand alone multi-media terminal adapter with network address translation and port partitioning |
US7463590B2 (en) | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7526541B2 (en) | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
US7886093B1 (en) | 2003-07-31 | 2011-02-08 | Hewlett-Packard Development Company, L.P. | Electronic device network supporting compression and decompression in electronic devices |
US7925722B1 (en) | 2003-08-01 | 2011-04-12 | Avocent Corporation | Method and apparatus for discovery and installation of network devices through a network |
US7401104B2 (en) | 2003-08-21 | 2008-07-15 | Microsoft Corporation | Systems and methods for synchronizing computer systems through an intermediary file system share or device |
US7512808B2 (en) | 2003-08-29 | 2009-03-31 | Trend Micro, Inc. | Anti-computer viral agent suitable for innoculation of computing devices |
US8539063B1 (en) | 2003-08-29 | 2013-09-17 | Mcafee, Inc. | Method and system for containment of networked application client software by explicit human input |
US7464408B1 (en) | 2003-08-29 | 2008-12-09 | Solidcore Systems, Inc. | Damage containment by translation |
US7356703B2 (en) | 2003-09-16 | 2008-04-08 | At&T Delaware Intellectual Property, Inc. | Time-based computer access controls |
US20050081053A1 (en) | 2003-10-10 | 2005-04-14 | International Business Machines Corlporation | Systems and methods for efficient computer virus detection |
US7930351B2 (en) | 2003-10-14 | 2011-04-19 | At&T Intellectual Property I, L.P. | Identifying undesired email messages having attachments |
US7280956B2 (en) | 2003-10-24 | 2007-10-09 | Microsoft Corporation | System, method, and computer program product for file encryption, decryption and transfer |
US7814554B1 (en) | 2003-11-06 | 2010-10-12 | Gary Dean Ragner | Dynamic associative storage security for long-term memory storage devices |
US20050114672A1 (en) | 2003-11-20 | 2005-05-26 | Encryptx Corporation | Data rights management of digital information in a portable software permission wrapper |
US20040172551A1 (en) | 2003-12-09 | 2004-09-02 | Michael Connor | First response computer virus blocking. |
US7600219B2 (en) | 2003-12-10 | 2009-10-06 | Sap Ag | Method and system to monitor software interface updates and assess backward compatibility |
US7546594B2 (en) | 2003-12-15 | 2009-06-09 | Microsoft Corporation | System and method for updating installation components using an installation component delta patch in a networked environment |
US7840968B1 (en) | 2003-12-17 | 2010-11-23 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
JP2005202523A (ja) | 2004-01-13 | 2005-07-28 | Sony Corp | コンピュータ装置及びプロセス制御方法 |
US7272654B1 (en) | 2004-03-04 | 2007-09-18 | Sandbox Networks, Inc. | Virtualizing network-attached-storage (NAS) with a compact table that stores lossy hashes of file names and parent handles rather than full names |
JP4480422B2 (ja) | 2004-03-05 | 2010-06-16 | 富士通株式会社 | 不正アクセス阻止方法、装置及びシステム並びにプログラム |
US7783735B1 (en) | 2004-03-22 | 2010-08-24 | Mcafee, Inc. | Containment of network communication |
JP2005275839A (ja) | 2004-03-25 | 2005-10-06 | Nec Corp | ソフトウェア利用許可方法及びシステム |
US7966658B2 (en) | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
US8060924B2 (en) | 2004-04-19 | 2011-11-15 | Lumension Security, Inc. | On-line centralized and local authorization of executable files |
US20060004875A1 (en) | 2004-05-11 | 2006-01-05 | Microsoft Corporation | CMDB schema |
US7890946B2 (en) | 2004-05-11 | 2011-02-15 | Microsoft Corporation | Efficient patching |
EP1767031B1 (en) | 2004-05-24 | 2009-12-09 | Computer Associates Think, Inc. | System and method for automatically configuring a mobile device |
US7818377B2 (en) | 2004-05-24 | 2010-10-19 | Microsoft Corporation | Extended message rule architecture |
US7506170B2 (en) | 2004-05-28 | 2009-03-17 | Microsoft Corporation | Method for secure access to multiple secure networks |
US20050273858A1 (en) | 2004-06-07 | 2005-12-08 | Erez Zadok | Stackable file systems and methods thereof |
US7624445B2 (en) | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
US7694150B1 (en) | 2004-06-22 | 2010-04-06 | Cisco Technology, Inc | System and methods for integration of behavioral and signature based security |
US20050289538A1 (en) | 2004-06-23 | 2005-12-29 | International Business Machines Corporation | Deploying an application software on a virtual deployment target |
US7203864B2 (en) | 2004-06-25 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | Method and system for clustering computers into peer groups and comparing individual computers to their peers |
US7908653B2 (en) | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
CN1985489B (zh) | 2004-07-09 | 2012-05-09 | 艾利森电话股份有限公司 | 在多媒体通信***中提供不同服务的方法和装置 |
US20060015501A1 (en) | 2004-07-19 | 2006-01-19 | International Business Machines Corporation | System, method and program product to determine a time interval at which to check conditions to permit access to a file |
US7937455B2 (en) | 2004-07-28 | 2011-05-03 | Oracle International Corporation | Methods and systems for modifying nodes in a cluster environment |
JP2006059217A (ja) | 2004-08-23 | 2006-03-02 | Mitsubishi Electric Corp | ソフトウェアメモリイメージ生成装置及び組み込み機器ソフトウェア更新システム及びプログラム |
US7703090B2 (en) | 2004-08-31 | 2010-04-20 | Microsoft Corporation | Patch un-installation |
US7873955B1 (en) | 2004-09-07 | 2011-01-18 | Mcafee, Inc. | Solidifying the executable software set of a computer |
US7392374B2 (en) | 2004-09-21 | 2008-06-24 | Hewlett-Packard Development Company, L.P. | Moving kernel configurations |
US7561515B2 (en) | 2004-09-27 | 2009-07-14 | Intel Corporation | Role-based network traffic-flow rate control |
US8146145B2 (en) | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
US7685632B2 (en) | 2004-10-01 | 2010-03-23 | Microsoft Corporation | Access authorization having a centralized policy |
US7506364B2 (en) | 2004-10-01 | 2009-03-17 | Microsoft Corporation | Integrated access authorization |
US20060080656A1 (en) | 2004-10-12 | 2006-04-13 | Microsoft Corporation | Methods and instructions for patch management |
US9329905B2 (en) | 2004-10-15 | 2016-05-03 | Emc Corporation | Method and apparatus for configuring, monitoring and/or managing resource groups including a virtual machine |
US7765538B2 (en) | 2004-10-29 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for determining which program patches to recommend for installation |
US8099060B2 (en) | 2004-10-29 | 2012-01-17 | Research In Motion Limited | Wireless/wired mobile communication device with option to automatically block wireless communication when connected for wired communication |
WO2007001439A2 (en) | 2004-11-04 | 2007-01-04 | Telcordia Technologies, Inc. | Detecting exploit code in network flows |
US20060101277A1 (en) | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
US7698744B2 (en) | 2004-12-03 | 2010-04-13 | Whitecell Software Inc. | Secure system for allowing the execution of authorized computer program code |
US8479193B2 (en) | 2004-12-17 | 2013-07-02 | Intel Corporation | Method, apparatus and system for enhancing the usability of virtual machines |
US7765544B2 (en) | 2004-12-17 | 2010-07-27 | Intel Corporation | Method, apparatus and system for improving security in a virtual machine host |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7752667B2 (en) | 2004-12-28 | 2010-07-06 | Lenovo (Singapore) Pte Ltd. | Rapid virus scan using file signature created during file write |
KR20070104566A (ko) | 2005-01-24 | 2007-10-26 | 사이트릭스 시스템스, 인크. | 네트워크에서 동적으로 발생된 객체들의 캐싱을 수행하는시스템 및 방법 |
US7302558B2 (en) | 2005-01-25 | 2007-11-27 | Goldman Sachs & Co. | Systems and methods to facilitate the creation and configuration management of computing systems |
US7385938B1 (en) | 2005-02-02 | 2008-06-10 | At&T Corp. | Method and apparatus for adjusting a network device configuration change distribution schedule |
US20130247027A1 (en) | 2005-02-16 | 2013-09-19 | Solidcore Systems, Inc. | Distribution and installation of solidified software on a computer |
US8056138B2 (en) | 2005-02-26 | 2011-11-08 | International Business Machines Corporation | System, method, and service for detecting improper manipulation of an application |
US7836504B2 (en) | 2005-03-01 | 2010-11-16 | Microsoft Corporation | On-access scan of memory for malware |
US7685635B2 (en) | 2005-03-11 | 2010-03-23 | Microsoft Corporation | Systems and methods for multi-level intercept processing in a virtual machine environment |
TW200707417A (en) | 2005-03-18 | 2007-02-16 | Sony Corp | Reproducing apparatus, reproducing method, program, program storage medium, data delivery system, data structure, and manufacturing method of recording medium |
US7552479B1 (en) | 2005-03-22 | 2009-06-23 | Symantec Corporation | Detecting shellcode that modifies IAT entries |
JP2006270894A (ja) | 2005-03-25 | 2006-10-05 | Fuji Xerox Co Ltd | ゲートウェイ装置、端末装置、通信システムおよびプログラム |
US7770151B2 (en) | 2005-04-07 | 2010-08-03 | International Business Machines Corporation | Automatic generation of solution deployment descriptors |
US8590044B2 (en) | 2005-04-14 | 2013-11-19 | International Business Machines Corporation | Selective virus scanning system and method |
US7349931B2 (en) | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
US7562385B2 (en) | 2005-04-20 | 2009-07-14 | Fuji Xerox Co., Ltd. | Systems and methods for dynamic authentication using physical keys |
US7603552B1 (en) | 2005-05-04 | 2009-10-13 | Mcafee, Inc. | Piracy prevention using unique module translation |
US7363463B2 (en) | 2005-05-13 | 2008-04-22 | Microsoft Corporation | Method and system for caching address translations from multiple address spaces in virtual machines |
US8001245B2 (en) | 2005-06-01 | 2011-08-16 | International Business Machines Corporation | System and method for autonomically configurable router |
WO2006137057A2 (en) | 2005-06-21 | 2006-12-28 | Onigma Ltd. | A method and a system for providing comprehensive protection against leakage of sensitive information assets using host based agents, content- meta-data and rules-based policies |
US8839450B2 (en) | 2007-08-02 | 2014-09-16 | Intel Corporation | Secure vault service for software components within an execution environment |
US7739721B2 (en) | 2005-07-11 | 2010-06-15 | Microsoft Corporation | Per-user and system granular audit policy implementation |
US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
US7984493B2 (en) | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
WO2007016478A2 (en) | 2005-07-29 | 2007-02-08 | Bit9, Inc. | Network security systems and methods |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US7962616B2 (en) | 2005-08-11 | 2011-06-14 | Micro Focus (Us), Inc. | Real-time activity monitoring and reporting |
US8327353B2 (en) | 2005-08-30 | 2012-12-04 | Microsoft Corporation | Hierarchical virtualization with a multi-level virtualization mechanism |
US7340574B2 (en) | 2005-08-30 | 2008-03-04 | Rockwell Automation Technologies, Inc. | Method and apparatus for synchronizing an industrial controller with a redundant controller |
US8166474B1 (en) | 2005-09-19 | 2012-04-24 | Vmware, Inc. | System and methods for implementing network traffic management for virtual and physical machines |
US20070074199A1 (en) | 2005-09-27 | 2007-03-29 | Sebastian Schoenberg | Method and apparatus for delivering microcode updates through virtual machine operations |
EP1770915A1 (en) | 2005-09-29 | 2007-04-04 | Matsushita Electric Industrial Co., Ltd. | Policy control in the evolved system architecture |
US7712132B1 (en) | 2005-10-06 | 2010-05-04 | Ogilvie John W | Detecting surreptitious spyware |
US8131825B2 (en) | 2005-10-07 | 2012-03-06 | Citrix Systems, Inc. | Method and a system for responding locally to requests for file metadata associated with files stored remotely |
US7725737B2 (en) | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
US20070169079A1 (en) | 2005-11-08 | 2007-07-19 | Microsoft Corporation | Software update management |
US7836303B2 (en) | 2005-12-09 | 2010-11-16 | University Of Washington | Web browser operating system |
US7856538B2 (en) | 2005-12-12 | 2010-12-21 | Systex, Inc. | Methods, systems and computer readable medium for detecting memory overflow conditions |
US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
US8296437B2 (en) | 2005-12-29 | 2012-10-23 | Logmein, Inc. | Server-mediated setup and maintenance of peer-to-peer client computer communications |
US20070168861A1 (en) | 2006-01-17 | 2007-07-19 | Bell Denise A | Method for indicating completion status of user initiated and system created tasks |
US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US8185724B2 (en) | 2006-03-03 | 2012-05-22 | Arm Limited | Monitoring values of signals within an integrated circuit |
US20090178110A1 (en) | 2006-03-03 | 2009-07-09 | Nec Corporation | Communication Control Device, Communication Control System, Communication Control Method, and Communication Control Program |
US8621433B2 (en) | 2006-03-20 | 2013-12-31 | Microsoft Corporation | Managing version information for software components |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US7752233B2 (en) | 2006-03-29 | 2010-07-06 | Massachusetts Institute Of Technology | Techniques for clustering a set of objects |
KR20070099201A (ko) | 2006-04-03 | 2007-10-09 | 삼성전자주식회사 | 휴대형 무선 기기의 보안 관리 방법 및 이를 이용한 보안관리 장치 |
US7870387B1 (en) | 2006-04-07 | 2011-01-11 | Mcafee, Inc. | Program-based authorization |
US8015563B2 (en) | 2006-04-14 | 2011-09-06 | Microsoft Corporation | Managing virtual machines with system-wide policies |
US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
US8352930B1 (en) | 2006-04-24 | 2013-01-08 | Mcafee, Inc. | Software modification by group to minimize breakage |
US8458673B2 (en) | 2006-04-26 | 2013-06-04 | Flexera Software Llc | Computer-implemented method and system for binding digital rights management executable code to a software application |
US8555404B1 (en) | 2006-05-18 | 2013-10-08 | Mcafee, Inc. | Connectivity-based authorization |
US20080082662A1 (en) | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
US8291409B2 (en) | 2006-05-22 | 2012-10-16 | Microsoft Corporation | Updating virtual machine with patch on host that does not have network access |
US20070276950A1 (en) | 2006-05-26 | 2007-11-29 | Rajesh Dadhia | Firewall For Dynamically Activated Resources |
US7809704B2 (en) | 2006-06-15 | 2010-10-05 | Microsoft Corporation | Combining spectral and probabilistic clustering |
US7831997B2 (en) | 2006-06-22 | 2010-11-09 | Intel Corporation | Secure and automatic provisioning of computer systems having embedded network devices |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US20070300215A1 (en) | 2006-06-26 | 2007-12-27 | Bardsley Jeffrey S | Methods, systems, and computer program products for obtaining and utilizing a score indicative of an overall performance effect of a software update on a software host |
US7950056B1 (en) | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
US8468526B2 (en) | 2006-06-30 | 2013-06-18 | Intel Corporation | Concurrent thread execution using user-level asynchronous signaling |
US8572721B2 (en) | 2006-08-03 | 2013-10-29 | Citrix Systems, Inc. | Methods and systems for routing packets in a VPN-client-to-VPN-client connection via an SSL/VPN network appliance |
US8015388B1 (en) | 2006-08-04 | 2011-09-06 | Vmware, Inc. | Bypassing guest page table walk for shadow page table entries not present in guest page table |
US20080059123A1 (en) | 2006-08-29 | 2008-03-06 | Microsoft Corporation | Management of host compliance evaluation |
EP1901192A1 (en) | 2006-09-14 | 2008-03-19 | British Telecommunications Public Limited Company | Mobile application registration |
US8161475B2 (en) | 2006-09-29 | 2012-04-17 | Microsoft Corporation | Automatic load and balancing for virtual machines to meet resource requirements |
US7769731B2 (en) | 2006-10-04 | 2010-08-03 | International Business Machines Corporation | Using file backup software to generate an alert when a file modification policy is violated |
US9697019B1 (en) | 2006-10-17 | 2017-07-04 | Manageiq, Inc. | Adapt a virtual machine to comply with system enforced policies and derive an optimized variant of the adapted virtual machine |
US8584199B1 (en) | 2006-10-17 | 2013-11-12 | A10 Networks, Inc. | System and method to apply a packet routing policy to an application session |
US8055904B1 (en) | 2006-10-19 | 2011-11-08 | United Services Automobile Assocation (USAA) | Systems and methods for software application security management |
US7979749B2 (en) | 2006-11-15 | 2011-07-12 | International Business Machines Corporation | Method and infrastructure for detecting and/or servicing a failing/failed operating system instance |
US7689817B2 (en) | 2006-11-16 | 2010-03-30 | Intel Corporation | Methods and apparatus for defeating malware |
US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
US20080155336A1 (en) | 2006-12-20 | 2008-06-26 | International Business Machines Corporation | Method, system and program product for dynamically identifying components contributing to service degradation |
US7996836B1 (en) | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
US8336046B2 (en) | 2006-12-29 | 2012-12-18 | Intel Corporation | Dynamic VM cloning on request from application based on mapping of virtual hardware configuration to the identified physical hardware resources |
US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
US8254568B2 (en) | 2007-01-07 | 2012-08-28 | Apple Inc. | Secure booting a computing device |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US8380987B2 (en) | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
JP4715774B2 (ja) | 2007-03-02 | 2011-07-06 | 日本電気株式会社 | レプリケーション方法、レプリケーションシステム、ストレージ装置、プログラム |
US8276201B2 (en) | 2007-03-22 | 2012-09-25 | International Business Machines Corporation | Integrity protection in data processing systems |
US20080282080A1 (en) | 2007-05-11 | 2008-11-13 | Nortel Networks Limited | Method and apparatus for adapting a communication network according to information provided by a trusted client |
US7930327B2 (en) | 2007-05-21 | 2011-04-19 | International Business Machines Corporation | Method and apparatus for obtaining the absolute path name of an open file system object from its file descriptor |
US20080295173A1 (en) | 2007-05-21 | 2008-11-27 | Tsvetomir Iliev Tsvetanov | Pattern-based network defense mechanism |
US20080301770A1 (en) | 2007-05-31 | 2008-12-04 | Kinder Nathan G | Identity based virtual machine selector |
US20090007100A1 (en) | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
US8763115B2 (en) | 2007-08-08 | 2014-06-24 | Vmware, Inc. | Impeding progress of malicious guest software |
CN101370004A (zh) | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
US8295306B2 (en) | 2007-08-28 | 2012-10-23 | Cisco Technologies, Inc. | Layer-4 transparent secure transport protocol for end-to-end application protection |
US8332375B2 (en) | 2007-08-29 | 2012-12-11 | Nirvanix, Inc. | Method and system for moving requested files from one storage location to another |
US8250641B2 (en) | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
US8819676B2 (en) | 2007-10-30 | 2014-08-26 | Vmware, Inc. | Transparent memory-mapped emulation of I/O calls |
US8195931B1 (en) | 2007-10-31 | 2012-06-05 | Mcafee, Inc. | Application change control |
JP5238235B2 (ja) | 2007-12-07 | 2013-07-17 | 株式会社日立製作所 | 管理装置及び管理方法 |
US8701189B2 (en) | 2008-01-31 | 2014-04-15 | Mcafee, Inc. | Method of and system for computer system denial-of-service protection |
US8788805B2 (en) | 2008-02-29 | 2014-07-22 | Cisco Technology, Inc. | Application-level service access to encrypted data streams |
US8261317B2 (en) | 2008-03-27 | 2012-09-04 | Juniper Networks, Inc. | Moving security for virtual machines |
US8321931B2 (en) | 2008-03-31 | 2012-11-27 | Intel Corporation | Method and apparatus for sequential hypervisor invocation |
US8615502B2 (en) | 2008-04-18 | 2013-12-24 | Mcafee, Inc. | Method of and system for reverse mapping vnode pointers |
US8352240B2 (en) | 2008-06-20 | 2013-01-08 | Vmware, Inc. | Decoupling dynamic program analysis from execution across heterogeneous systems |
US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
US8132091B2 (en) | 2008-08-07 | 2012-03-06 | Serge Nabutovsky | Link exchange system and method |
US8065714B2 (en) | 2008-09-12 | 2011-11-22 | Hytrust, Inc. | Methods and systems for securely managing virtualization platform |
US8726391B1 (en) | 2008-10-10 | 2014-05-13 | Symantec Corporation | Scheduling malware signature updates in relation to threat awareness and environmental safety |
US9141381B2 (en) | 2008-10-27 | 2015-09-22 | Vmware, Inc. | Version control environment for virtual machines |
JP4770921B2 (ja) | 2008-12-01 | 2011-09-14 | 日本電気株式会社 | ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム |
US8544003B1 (en) | 2008-12-11 | 2013-09-24 | Mcafee, Inc. | System and method for managing virtual machine configurations |
US8274895B2 (en) | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
US8904520B1 (en) | 2009-03-19 | 2014-12-02 | Symantec Corporation | Communication-based reputation system |
US8387046B1 (en) | 2009-03-26 | 2013-02-26 | Symantec Corporation | Security driver for hypervisors and operating systems of virtualized datacenters |
US8060722B2 (en) | 2009-03-27 | 2011-11-15 | Vmware, Inc. | Hardware assistance for shadow page table coherence with guest page mappings |
US20100299277A1 (en) | 2009-05-19 | 2010-11-25 | Randy Emelo | System and method for creating and enhancing mentoring relationships |
US8359422B2 (en) | 2009-06-26 | 2013-01-22 | Vmware, Inc. | System and method to reduce trace faults in software MMU virtualization |
GB2471716A (en) | 2009-07-10 | 2011-01-12 | F Secure Oyj | Anti-virus scan management using intermediate results |
JP2010016834A (ja) | 2009-07-16 | 2010-01-21 | Nippon Telegr & Teleph Corp <Ntt> | フィルタリング方法 |
US8341627B2 (en) | 2009-08-21 | 2012-12-25 | Mcafee, Inc. | Method and system for providing user space address protection from writable memory area in a virtual environment |
US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
US8572695B2 (en) | 2009-09-08 | 2013-10-29 | Ricoh Co., Ltd | Method for applying a physical seal authorization to documents in electronic workflows |
US8234408B2 (en) | 2009-09-10 | 2012-07-31 | Cloudshield Technologies, Inc. | Differentiating unique systems sharing a common address |
US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
US9390263B2 (en) | 2010-03-31 | 2016-07-12 | Sophos Limited | Use of an application controller to monitor and control software file and application environments |
US8875292B1 (en) | 2010-04-05 | 2014-10-28 | Symantec Corporation | Systems and methods for managing malware signatures |
US8813209B2 (en) | 2010-06-03 | 2014-08-19 | International Business Machines Corporation | Automating network reconfiguration during migrations |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
CN103154961A (zh) | 2010-09-30 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 用于病毒扫描的虚拟机 |
US9075993B2 (en) | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US20130247192A1 (en) | 2011-03-01 | 2013-09-19 | Sven Krasser | System and method for botnet detection by comprehensive email behavioral analysis |
US9552215B2 (en) | 2011-03-08 | 2017-01-24 | Rackspace Us, Inc. | Method and system for transferring a virtual machine |
US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
US8776234B2 (en) | 2011-04-20 | 2014-07-08 | Kaspersky Lab, Zao | System and method for dynamic generation of anti-virus databases |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8694738B2 (en) | 2011-10-11 | 2014-04-08 | Mcafee, Inc. | System and method for critical address space protection in a hypervisor environment |
US8973144B2 (en) | 2011-10-13 | 2015-03-03 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US9069586B2 (en) | 2011-10-13 | 2015-06-30 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US8713684B2 (en) | 2012-02-24 | 2014-04-29 | Appthority, Inc. | Quantifying the risks of applications for mobile devices |
US8793489B2 (en) | 2012-03-01 | 2014-07-29 | Humanconcepts, Llc | Method and system for controlling data access to organizational data maintained in hierarchical |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
US9292688B2 (en) | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
WO2014142986A1 (en) | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware client |
WO2014143000A1 (en) | 2013-03-15 | 2014-09-18 | Mcafee, Inc. | Server-assisted anti-malware |
CN105580023B (zh) | 2013-10-24 | 2019-08-16 | 迈克菲股份有限公司 | 网络环境中的代理辅助的恶意应用阻止 |
-
2010
- 2010-07-28 US US12/844,964 patent/US8938800B2/en active Active
-
2011
- 2011-02-15 CN CN201180046900.4A patent/CN103283202B/zh active Active
- 2011-02-15 AU AU2011283164A patent/AU2011283164B2/en active Active
- 2011-02-15 JP JP2013521770A patent/JP5774103B2/ja active Active
- 2011-02-15 EP EP11710915.7A patent/EP2599276B1/en active Active
- 2011-02-15 WO PCT/US2011/024869 patent/WO2012015489A1/en active Application Filing
-
2015
- 2015-01-19 US US14/599,811 patent/US9832227B2/en active Active
- 2015-07-02 JP JP2015133517A patent/JP6080910B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7360097B2 (en) * | 2003-09-30 | 2008-04-15 | Check Point Software Technologies, Inc. | System providing methodology for securing interfaces of executable files |
WO2006124832A1 (en) * | 2005-05-19 | 2006-11-23 | Websense, Inc. | System and method of monitoring and controlling application files |
CN101218568A (zh) * | 2005-07-11 | 2008-07-09 | 微软公司 | 每-用户和***粒度的审计策略实现 |
US7849507B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
US20080022384A1 (en) * | 2006-06-06 | 2008-01-24 | Microsoft Corporation | Reputation Driven Firewall |
CN101636998A (zh) * | 2006-08-03 | 2010-01-27 | 思杰***有限公司 | 用于ssl/vpn业务的基于应用的拦截和授权的***和方法 |
Cited By (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8762928B2 (en) | 2003-12-17 | 2014-06-24 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
US8763118B2 (en) | 2005-07-14 | 2014-06-24 | Mcafee, Inc. | Classification of software on networked systems |
US9134998B2 (en) | 2006-02-02 | 2015-09-15 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US8707446B2 (en) | 2006-02-02 | 2014-04-22 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US9602515B2 (en) | 2006-02-02 | 2017-03-21 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US10360382B2 (en) | 2006-03-27 | 2019-07-23 | Mcafee, Llc | Execution environment file inventory |
US9576142B2 (en) | 2006-03-27 | 2017-02-21 | Mcafee, Inc. | Execution environment file inventory |
US8701182B2 (en) | 2007-01-10 | 2014-04-15 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US8707422B2 (en) | 2007-01-10 | 2014-04-22 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
US9864868B2 (en) | 2007-01-10 | 2018-01-09 | Mcafee, Llc | Method and apparatus for process enforced configuration management |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US9832227B2 (en) | 2010-07-28 | 2017-11-28 | Mcafee, Llc | System and method for network level protection against malicious software |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
US9467470B2 (en) | 2010-07-28 | 2016-10-11 | Mcafee, Inc. | System and method for local protection against malicious software |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9866528B2 (en) | 2011-02-23 | 2018-01-09 | Mcafee, Llc | System and method for interlocking a host and a gateway |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US10652210B2 (en) | 2011-10-17 | 2020-05-12 | Mcafee, Llc | System and method for redirected firewall discovery in a network environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US9356909B2 (en) | 2011-10-17 | 2016-05-31 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
US9882876B2 (en) | 2011-10-17 | 2018-01-30 | Mcafee, Llc | System and method for redirected firewall discovery in a network environment |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9413785B2 (en) | 2012-04-02 | 2016-08-09 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US10171611B2 (en) | 2012-12-27 | 2019-01-01 | Mcafee, Llc | Herd based scan avoidance system in a network environment |
US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
US10205743B2 (en) | 2013-10-24 | 2019-02-12 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
US10645115B2 (en) | 2013-10-24 | 2020-05-05 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
US11171984B2 (en) | 2013-10-24 | 2021-11-09 | Mcafee, Llc | Agent assisted malicious application blocking in a network environment |
CN104955123B (zh) * | 2015-05-25 | 2018-09-14 | 广东欧珀移动通信有限公司 | 一种移动终端应用的联网限制方法及装置 |
CN104955123A (zh) * | 2015-05-25 | 2015-09-30 | 广东欧珀移动通信有限公司 | 一种移动终端应用的联网限制方法及装置 |
CN108141408A (zh) * | 2015-10-06 | 2018-06-08 | 日本电信电话株式会社 | 确定***、确定装置及确定方法 |
CN105550580B (zh) * | 2015-12-09 | 2019-04-26 | 珠海豹趣科技有限公司 | 一种窗口搜索方法和装置 |
CN105550580A (zh) * | 2015-12-09 | 2016-05-04 | 珠海市君天电子科技有限公司 | 一种窗口搜索方法和装置 |
CN109309690A (zh) * | 2018-12-28 | 2019-02-05 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
CN109309690B (zh) * | 2018-12-28 | 2019-04-02 | 中国人民解放军国防科技大学 | 一种基于报文认证码的软件白名单控制方法 |
CN114039787A (zh) * | 2021-11-15 | 2022-02-11 | 厦门服云信息科技有限公司 | 一种linux***中反弹shell检测方法、终端设备及存储介质 |
CN114039787B (zh) * | 2021-11-15 | 2023-12-22 | 厦门服云信息科技有限公司 | 一种linux***中反弹shell检测方法、终端设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN103283202B (zh) | 2017-04-12 |
US9832227B2 (en) | 2017-11-28 |
JP2015222961A (ja) | 2015-12-10 |
AU2011283164A1 (en) | 2013-02-07 |
US20120030750A1 (en) | 2012-02-02 |
JP2013539573A (ja) | 2013-10-24 |
US8938800B2 (en) | 2015-01-20 |
EP2599276B1 (en) | 2018-12-12 |
AU2011283164B2 (en) | 2014-10-09 |
EP2599276A1 (en) | 2013-06-05 |
WO2012015489A1 (en) | 2012-02-02 |
JP5774103B2 (ja) | 2015-09-02 |
US20150200968A1 (en) | 2015-07-16 |
JP6080910B2 (ja) | 2017-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103283202A (zh) | 用于针对恶意软件的网络级保护的***和方法 | |
CN103229185B (zh) | 用于针对恶意软件的本地保护的***和方法 | |
US9516062B2 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
CN101496025B (zh) | 用于向移动设备提供网络安全的***和方法 | |
CN110521179A (zh) | 用于强制执行动态网络安全策略的***和方法 | |
CN101675423B (zh) | 在外部设备与主机设备间提供数据和设备安全的***和方法 | |
US11206280B2 (en) | Cyber security threat management | |
US20160205132A1 (en) | Methods and systems for providing comprehensive cybersecurity protection using an open application programming interface based platform solution | |
US11206279B2 (en) | Systems and methods for detecting and validating cyber threats | |
Patel et al. | The impact of forensic computing on telecommunications | |
Choudhary et al. | Cyber Security With Emerging Technologies & Challenges | |
Zeybek et al. | A study on security awareness in mobile devices | |
Gattoju et al. | Design of ChaApache framework for securing Hadoop application in big data | |
US20220385677A1 (en) | Cloud-based security for identity imposter | |
Dimitriadis | Six steps to dealing with a ransomware attack | |
Olzak | Just enough security | |
Hubbard | Data Security and Privacy Concerns with the New Internet | |
Zhangissina et al. | Data protection from network attacks | |
Rajapaksha | Bring Your Own Device (BYOD): Existent State, Issues, and solutions | |
Zhangisina et al. | Data protection from network attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: American California Patentee after: McAfee limited liability company Address before: American Texas Patentee before: Mcafee, Inc. |