CN104025103A - 用于在网络环境中恶意软件攻击期间转变到白列表模式的***和方法 - Google Patents
用于在网络环境中恶意软件攻击期间转变到白列表模式的***和方法 Download PDFInfo
- Publication number
- CN104025103A CN104025103A CN201280053540.5A CN201280053540A CN104025103A CN 104025103 A CN104025103 A CN 104025103A CN 201280053540 A CN201280053540 A CN 201280053540A CN 104025103 A CN104025103 A CN 104025103A
- Authority
- CN
- China
- Prior art keywords
- main frame
- white list
- list
- network
- software object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
在一个示例实施例中提供了一种方法,其包含:接收用于在网络中的主机上启用白列表模式的信号;如果在主机上执行的过程未被验证,则终止该过程;以及如果主机上的软件对象未在白列表上表示,则阻止所述软件对象的执行。在更具体实施例中,该方法还包含:在过程列表上识别该过程,过程列表枚举了在主机上执行的一个或多个过程。又一实施例包含:如果过程列表上的第二过程是关键过程并且如果第二过程未被验证,则隔离主机。更特定实施例包含:如果过程存储器被修改过,则识别并重新启动过程列表上的另一过程。
Description
技术领域
此说明书一般涉及网络安全性,并且更具体地说,涉及用于在网络环境中恶意软件攻击期间转变到白列表模式的***和方法。
背景技术
网络安全性领域在今天的社会中已经变得越来越重要了。因特网已经使得能够互连全世界的不同计算机网络。然而,有效地保护和维护稳定计算机和***的能力为组件制造商、***设计者和网络管理员提出了重大障碍。由于由恶意操作员采用的战略的不断演进的阵列而使这个障碍甚至更复杂。某些类型恶意软件可感染主机计算机,并执行任何数量的恶意动作,诸如例如从主机计算机发送出垃圾邮件或恶意电子邮件,从与主机计算机关联的商家或个人偷窃敏感信息,向其它主机计算机传播,和/或协助分布式拒绝服务攻击。此外,企业以及其它实体中的针对性的攻击正在变得越来越普遍。在针对性的攻击中,不是向许多其它主机计算机传播,而是仅攻击具体网络环境(例如公司、政府机关等)中的少数针对性的主机计算机。感染针对性的主机计算机的恶意软件然后可继续有可能在较长时段以小的不太明显的量泄露敏感数据或私密数据(例如在数周内每天泄露小量数据),以便阻碍检测工作。
当在网络环境(诸如企业或政府机关)中发现恶意软件攻击时,恢复和清除工作可能需要大量网络停工时间。此类停工时间可潜在地引起损失的收入、损失的工人生产率、损失的生产、损失的商业机会等。因此,对于开发创新工具以对抗允许恶意操作员采用网络环境中主机计算机的战略,留下了大量挑战。
附图说明
为了更全面理解本公开及其特征和优点,参考结合附图进行的如下描述,其中相似标号表示相似部分,附图中:
图1是根据此公开例证实现用于在恶意软件攻击期间转变到白列表模式的***的示例网络环境的简化框图;
图2是根据本公开例证可与***组件关联的附加细节的简化框图;
图3是根据此公开例证可与该***关联的示例操作的简化流程图;
图4是根据此公开例证可与该***关联的附加示例操作的简化流程图;以及
图5是根据本公开例证可与该***关联的进一步潜在操作的简化流程图。
具体实施方式
概述
在一个示例实施例中提供一种方法,包含:接收在网络中的主机上启用白列表模式的信号。该方法还包含:如果在主机上执行的过程未被验证,则终止该过程。该方法进一步包含:如果主机上的一个或多个软件对象未在白列表上表示,则阻止执行所述一个或多个软件对象。在更具体实施例中,该过程不是关键过程。在进一步实施例中,该方法还包含:在过程列表上识别该过程,该过程列表枚举了在主机上执行的一个或多个过程。在示例实施例中,如果与该过程关联的软件对象未在白列表上表示,则该过程未被验证。再一实施例包含:如果过程列表上的第二过程是关键过程并且如果第二过程未被验证则隔离主机。更特定实施例包含:如果过程存储器被修改过,则识别过程列表上的另一过程并重新启动该另一过程。
示例实施例
转到图1,图1是网络环境5的示例实施例的简化框图,在网络环境5中,根据此说明书实现用于在恶意软件攻击期间转变到白列表模式的***。在图1中例证的实施例中,网络环境5可包含因特网8、全局安全***器10、全局白列表14、全局黑列表12和网络20。在一个示例中,网络20可与具体实体(例如企业、学校、政府机关等)关联,并且可包含诸如防火墙30、具有管理控制台51的策略服务器50、端点装置40a和40b、电子邮件服务器46和万维网服务器48等节点。在此示例实施例中,端点装置40a和40b、电子邮件服务器46和万维网服务器48代表由策略服务器50管理的主机,策略服务器50可配置用于管理网络策略并向主机分布网络策略。此外,在网络20中还可提供数据储存库,其包含用于使安全组件能够针对恶意软件攻击保护网络20的白列表44和黑列表42。为了例证性目的,在端点装置40b和万维网服务器48中也示出了恶意软件程序18,以反映网络20是针对性恶意软件攻击的牺牲品的示例情形。
一般而言,端点装置40a和40b表示可操作以在网络环境中发送和/或接收信息的网络连接的任何终止点。端点装置40a-b可包含但不限于有线装置或无线装置,诸如台式机、工作站、膝上型计算机或电子笔记本、个人数字助理(PDA)或移动通信装置(iPhone、Android、iPad等)、嵌入式装置(例如打印机、ATM等)或能够发起语音、音频或数据交换并充当网络环境内终止点的任何其它装置、组件、单元或对象。端点装置40a-b还可包含与个人用户的适合接口。
策略服务器50、电子邮件服务器46、万维网服务器48、防火墙30和全局安全***器10是可在具有用于转变到白列表模式的***的网络环境中预配置的网络单元示例。网络单元打算涵盖网络设施、服务器、路由器、交换机、网关、桥、载荷均衡器、防火墙、处理器、模块或任何其它类似装置、组件、单元或可操作以在网络环境下交换信息的对象。网络单元和端点装置还可包含任何适合的硬件、软件、组件、模块、接口或便于其操作的对象。这可包含考虑到数据或信息有效交换的适当算法和通信协议。
图1的每一个单元可通过简单接口或通过任何其它适合的连接(有线或无线)彼此耦合,其为网络通信提供了可行途径。附加地,这些单元的任何一个或多个单元可基于具体配置需要组合或从架构中移除。网络环境5可包含能够在网络中进行传送控制协议/因特网协议(TCP/IP)通信的配置,以便进行分组传送或接收。网络环境5还可连同用户数据报协议/IP(UDP/IP)或任何其它适合协议(在适当时并基于具体需要)操作。
用于在网络环境中恶意软件攻击期间转变到白列表模式的***(诸如图1中概括的***)实际上可消除感染了确认的恶意软件或可疑恶意软件的网络的停工时间。该***的实施例可使网络(例如网络20)能够从正常模式转变到白列表模式,同时经历可忽略不计的停工时间。当网络干净(即没有恶意软件)时,它可在正常模式下操作。在示例实施例中,正常模式可相当于防病毒模式,其中网络与配置成防御恶意软件的防病毒引擎一起操作。防病毒引擎可配置在网络的每个主机计算机(或主机)中,并且可使用列入黑列表技术在主机上执行之前评估软件对象以确定该软件对象是否被“列入黑列表”(例如当软件对象通过与黑列表上的已知恶意软件的签名或校验和对应的其签名或校验和而表示在黑列表上时)。可阻止执行任何列入黑列表的软件对象,同时可允许其它软件对象执行。
如果网络受到攻击(例如感染了尚未阻止的恶意软件)或者如果怀疑网络受到攻击,则***实施例可将网络或其指定区段从正常模式(例如运行防病毒引擎)转变到白列表模式,白列表模式比防病毒模式更有约束性和保护性。在白列表模式的示例实施例中,白列表引擎可配置在网络的每个主机计算机中,并且能使用列入白列表技术在主机上执行之前评估软件对象以确定该软件对象是否被“列入白列表”(例如当软件对象通过与白列表上的已知可信对象的签名或校验和对应的其签名或校验和而在白列表上表示时)。可许可列入白列表的软件对象执行,同时可阻止其它软件对象。此外,在转变的时候,可评估每个主机的过程列表以确定是否任何过程损坏了。未被验证(例如通过参考白列表)的过程可终止。此外,可隔离运行已损坏关键过程的主机。而且,在启用白列表模式的情况下,可重新启动与过程存储器修改关联的过程。一旦所有过程都已经被评估并且终止、重新启动或者被允许继续执行(其中一个或多个主机有可能被隔离),网络(或者其指定区段)就可继续以在更有约束性的白列表模式下操作,实际上最终用户没有经历停工时间。
为了例证用于在网络环境中恶意软件攻击期间转变到白列表模式的***和方法的技术,理解在给定网络内发生的某些活动是重要的。可将如下基本信息看作是可恰当说明本公开的基础。此类信息仅为了说明目的而认真提供,并且因而不应该视为以任何方式限制本公开及其潜在应用的广泛范围。
在组织中使用的典型网络环境以及由个人使用的典型网络环境包含与其它网络以电子方式通信的能力。例如,因特网可用于访问在远程服务器上托管的网页,以发送或接收电子邮件(即email)消息,或交换文件。恶意操作员不断开发使用因特网在网络环境中扩散恶意软件的新战略。恶意软件例如可用于破坏正常网络以及个人计算机使用,并且赢得了对通过受感染的网络或主机计算机可得到的私密信息的访问权。
“恶意软件”通常用作任何敌意软件、侵入软件或烦人软件(诸如计算机病毒、间谍软件、广告软件等)的标签,但一般包含设计成通过未授权访问、损坏、泄露或修改数据和/或通过拒绝服务而干扰计算机或网络正常操作的任何软件。一些恶意软件可设计成给远程操作员对它的控制权,其中远程操作员可使用恶意软件控制主机计算机以便进行恶意活动,诸如执行拒绝服务攻击、群发垃圾邮件或偷窃私密信息。恶意软件还可包含一个或多个传播矢量,传播矢量使它能够在实体的网络内或在实体或个人的其它网络上扩散。常用的传播矢量包含:采用局部网络内主机上的已知漏洞,以及发送附有恶意软件程序的恶意电子邮件,或者在电子邮件内提供恶意链接。
近来,恶意操作员已经不断依赖于针对性的攻击来偷窃网络中的敏感或私密信息。通常在针对性的攻击中,恶意软件仅感染网络中与具体实体(例如公司、政府机关等)关联的少数针对性的主机。感染针对性主机的恶意软件可在长时段内小量泄漏敏感数据(例如在数周内每天泄漏小量数据),原因在于泄漏小量数据可比传送过量乃至正常量数据更加难以在网络中检测到。从而,网络管理员(即分配了网络安全性任务的授权用户)可能更难以检测到感染。因此,在恢复和校正工作开始之前,针对性的攻击可能持续延长的时段。
在某一点,大多数商家、金融机构以及其它实体有可能经历一般的恶意软件感染和/或针对性的攻击。具体地说,有可能针对众所周知的以及大型的商家、金融机构和政府机关。对大型组织的恶意软件攻击期间(即当恶意软件已经感染了该组织的网络中的一个或多个主机时),网络可潜在地使数百、数千乃至更多的计算机在某一时间停工,这些计算机例如包含生产***、服务器、端点装置、记账***、金融***、电子商务***、政府安全性***等。一般而言,当网络受到攻击时,可使整个网络或其区段停工并将整个网络或其区段从因特网断开,以便防止被恶意软件进一步损坏和传播,并且允许对受感染的主机杀毒(例如移除恶意软件、修复文件***等)。在许多情况下,受感染的网络在从攻击中恢复时可遭受相当长的停工时间,此类停工时间可潜在地在金融损失、工人生产率、消费者商誉、基本政府功能等方面引起毁灭性的结果。
针对大型实体的一个示例恶意软件攻击称为“极光行动”。极光行动具有如下首要目标:获得对在高科技、安全和国防承包公司的源节点储存库的访问权并潜在地修改在高科技、安全和国防承包公司的源节点储存库。其它攻击已经针对政府实体(例如国际货币基金(IMF)、美国参议院、五角大楼和中央情报局(CIA))。在外国政府、银行业和奥林匹克组织中已经发生了类似攻击。
由于使组织的网络停工的潜在结果,响应于恶意软件攻击(或可疑的恶意软件攻击)这么做的最终决定经常是人工决定(例如由网络管理员与组织领导者一起)。然而,通常,安全性解决方案在网络中实现,并给人工决策者提供与网络内的活动相关的详细信息。例如,由加利福尼亚州圣克拉拉的麦克菲公司制造的ePolicy Orchestrator可配置成管理网络内的数百或数千的主机,并且从主机接收各种事件通知(例如正在使用某些端口、在具体日子/时间期间传送数据、发送出网络的数据量等)。可对事件通知进行相关、聚集或者否则分析,以生成有关网络活动的各种信息数据,包含报告、图形、警告、电子邮件等。此信息数据可用于协助网络管理员发现网络中的问题或非典型活动。该发现可导致进一步调查研究,可能还有网络受到恶意软件攻击的确定。即便网络管理员不能确认恶意软件活动,但足够量的可疑网络活动可导致网络管理员确定网络多半可能受到恶意软件攻击(即可疑的恶意软件攻击)。
一旦确定网络受到攻击或者怀疑受到攻击,就可决定是否使整个网络或其所选部分停工。需要公司以及其它组织具有进入“贮仓模式(bunker mode)”的选项,在贮仓模式中网络的***(或至少基本***)坚持并运行,而没有从因特网断开,并且无需关闭网络内的关键***。
用于在网络环境中的恶意软件攻击期间转变到白列表模式的***可克服这些缺点(以及其它缺点)。在本文公开的实施例中,该***便于在网络或其规定部分中在预定干净(或未感染)状态从正常模式到更有约束性的白列表模式的基本上无缝转变。转变发生可无需关闭网络或影响至关重要的应用(例如关键商业应用)。控制可经由策略设置来提供,以决定是立即转变(按现状)还是在终止与最初未在白列表中表示的软件对象关联的过程之前给用户提供保存重要数据文件的机会(例如n分钟)。在示例实施例中,攻击信号可由网络管理员或其它授权用户传递(称为“大红按钮”)以发起转变。攻击信号可以是配置成在网络上的主机中发起从防病毒模式到白列表模式转变的任何电子通信。一旦网络干净(无恶意软件或者未受感染),就可重新开始正常操作模式(例如用不太有约束性的防病毒引擎保护网络上的主机)。
转到图1的基础设施,图1例证了在其中可实现用于在恶意软件攻击期间转变到白列表模式的***的网络环境5的一个可能实施例。网络环境5可配置为以任何适合形式的一个或多个网络,包含但不限于局域网(LAN)、无线局域网(WLAN)、虚拟局域网(VLAN)、城域网(MAN)、广域网(WAN)(诸如因特网)、虚拟私用网(VAP)、内联网、外联网、任何其它适当架构或***、或它们的便于在网络环境中通信的任何适合组合。网络环境5可使用各种适合的有线技术(例如以太网)和/或无线技术(例如IEEE 802.11x)配置。
在一个实施例中,网络环境5的网络20可由因特网服务提供商(ISP)或者通过具有专用带宽的因特网服务器在操作上耦合到因特网8。网络20还可连接到其它在逻辑上截然不同的网络(例如配置为LAN)或任何其它适合的网络配置。到因特网8以及其它在逻辑上截然不同的网络的连接可包含任何适当介质,诸如例如数字订户线(DSL)、电话线、T1线、T3线、无线、卫星、光纤、线缆、以太网等或它们的任何适合的组合。路由器、交换机、网关、防火墙(例如30)以及任何其它适合的网络单元也可预配置在包含网络20的网络环境5中以便于电子通信。
图1的网络环境5还包含连接到因特网8的全局安全***器10。虽然众多服务器可连接到因特网8,但全局安全***器10表示提供一个或多个数据存储库的服务, 其含有与对于风险评估的软件对象相关的信息。例如,评估和确定为不值得信任(例如含有诸如病毒、蠕虫等恶意程序代码)的软件对象可在所谓的“黑列表”中表示。评估和确定为值得信任(例如未被污染、没有恶意程序代码等)的软件对象可在所谓的“白列表”中表示。尽管白列表和黑列表可单独实现,但也有可能它们组合在单个存储库(诸如数据库)中,其中每个软件对象标识为白列表文件或黑列表文件。
在示例实施例中,可使用签名或校验和来实现白列表和黑列表。在此类实施例中,每个评估的软件对象的独特的校验和可适当地存储在白列表或黑列表中,并且可容易地与试图评估的软件对象的所计算校验和相比较。校验和可以是通过向软件对象或软件对象的一部分施加算法而导出的数学值或散列和(例如固定数位串)。如果向与第一软件对象一样的第二软件对象施加该算法,则校验和应该匹配。然而,如果第二软件对象不同(例如它已经以某种方式改变了,它是第一软件对象的不同版本,它是完全不同类型的软件等),则校验和不太可能匹配。
图1中的存储库(诸如全局白列表14)可由独立第三方提供,并且可定期更新以提供对消费者可用的值得信任软件对象的综合列表。类似地,存储库(诸如全局黑列表12)可由独立第三方提供,并且可定期更新以提供不可信的恶意软件对象的综合列表。全局白列表和黑列表可在网络20外部,并且通过其它网络(诸如因特网8)或通过许可与网络20的电子通信的任何其它适合的连接可得到。
图1的网络20还可包含本地白列表44和本地黑列表42。本地白列表44可含有与对于风险评估的软件对象相关的信息,并且可使用校验和来表示软件对象。在本地白列表44中表示的软件对象可包含来自一个或多个全局白列表的软件对象;然而,本地白列表44可以定制。具体地说,在组织内内部开发但不一定对一般大众而言可用的软件对象可在本地白列表44中表示。附加地,本地黑列表42也可在网络20中提供,以允许防病毒引擎在本地评估尝试在网络20中的主机上执行的软件对象。本地白列表44和黑列表42可 (例如动态、定期安排、根据要求) 更新,以分别反映新批准的软件对象和新发现的威胁。在示例实施例中,这些更新可利用访问一个或多个全局白列表或第三方白列表的策略服务器50来协调。
转到图2,图2是例证与用于在恶意软件攻击期间转变到白列表模式的***的一个潜在实施例关联的附加细节的简化框图。图2包含具有管理控制台51的策略服务器50、白列表44、黑列表42和主机60。主机60代表可由网络中的策略服务器管理的端点装置和网络单元。参考图1中的示例配置,主机60表示端点装置40a-b、电子邮件服务器46和万维网服务器48,它们可由网络20中的策略服务器50管理。可在其中实现该***的网络的基础设施可包含任何数量的主机60,并且因而,图1的网络20不打算暗示任何架构限制。
主机60和策略服务器50中的每个都可包含相应处理器62、52和相应存储单元63、53。更具体地说,策略服务器50可包含策略更新模块54、报告模块55和主机通信模块56。主机60可包含软件对象61和保护模块64。在一个示例实施例中,保护模块64可包含防病毒代理67、白列表代理68和转变控制代理65。此外,当一个或多个软件对象在主机60上执行时,例如可由白列表列表代理68生成过程列表69。为了便于说明,主机60中的保护模块64的组件例证为单独模块或代理。此类代理可以是所例证的截然不同的模块,可组合在单个模块中,或者可用任何其它适合的方式配置。在一些实施例中,转变控制代理65可配置成桥接防病毒代理与白列表代理,并且在某些实施例中,防病毒代理和/或白列表代理可在市场上买到。
关于与主机60和策略服务器50关联的内部结构,存储单元63和53可配置成存储在本文中概括的操作中要使用的信息。主机60和/或策略服务器50可将信息保存在任何适合的存储单元(例如随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM (EPROM)、电可擦除可编程ROM (EEPROM)、专用集成电路(ASIC)等)、软件、硬件中或任何其它适合的组件、装置、单元或对象中(在适当时并基于具体需要)。本文讨论的任何存储项目(例如存储单元53和63以及包含白列表14、44和黑列表12、42的数据储存库)应该视为包含在广义术语“存储单元”内。由主机60和/或策略服务器50使用、跟踪、发送或接收的信息可在任何数据库、寄存器、队列、表、高速缓存、列表、控制列表或其它存储结构中提供,所有这些都可在任何适合的时间帧来参考。任何此类存储选项都可包含在本文所使用的广义术语“存储单元”内。
在某些示例实现中,本文概括的功能可由在一个或多个有形非暂态介质中编码的逻辑(例如在ASIC中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器或其它类似机器执行的软件(潜在地包含目标代码和源代码)等)实现。在这些实例中的一些实例中,存储单元(如图2中所示)可存储用于本文所描述操作的数据。这包含能够存储运行以执行本文描述的活动的软件、逻辑、代码或处理器指令的存储单元。
在一个示例实现中,主机60和/或策略服务器50可包含软件模块(例如保护模块64、策略更新模块54、报告模块55、主机通信模块56)以实现或促进本文所概括的操作。在其它实施例中,此类操作可由硬件执行,在这些单元外部实现,或者包含在某一其它网络装置中以实现预计功能性。备选地,这些单元可包含可协调以便实现本文所概括的操作的软件(或往复式软件)。在又一些其它实施例中,这些装置中的一个装置或所有装置可包含任何适合的算法、硬件、软件、组件、模块、接口或便于其操作的对象。
附加地,主机60和/或策略服务器50中的每个都可包含处理器(例如处理器62和52),所述处理器可运行软件或算法以执行本文所讨论的活动。处理器可执行与数据关联的任何类型指令以实现本文详述的操作。在一个示例中,处理器(如图2所示)可将单元或制品(例如数据)从一种状态或事物变换到另一状态或事物。在另一示例中,本文概括的活动可用固定逻辑或可编程逻辑(例如由处理器执行的软件/计算机指令)实现,并且本文标识的单元可以是某一类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、EPROM、EEPROM)或包含数字逻辑的ASIC、软件、代码、电子指令、或它们的任何适合的组合。本文描述的任何潜在的处理单元、模块和机器应该视为包含在广义术语“处理器”中。
在示例实施例中,用于转变到白列表模式的活动可至少部分由网络中每个主机的保护模块(例如主机60的保护模块64)并由策略服务器50的主机通信模块56和策略更新模块54提供。与活动相关的信息可适合地呈递或发送到特定位置(例如主机60、策略服务器50等),或简单地存储或归档(例如过程列表69、白列表44、黑列表等),和/或以任何适当格式(例如通过管理控制台51等)恰当地显示。与用于转变到白列表模式的一个或多个此类活动相关的安全性技术可包含诸如ePolicy Orchestrator (ePO)软件、应用控制软件和/或病毒扫描软件(全都由CA圣克拉拉的麦克菲公司制造)或其它类似软件的单元。从而,任何此类组件或它们的适合部分可包含在本文在此说明书中所使用的术语“防病毒代理”、“白列表代理”、“转变控制代理”、“策略更新模块”、“报告模块”、“主机通信模块”、“白列表”和“黑列表”的广义范围内。白列表44和14、黑列表42和12以及过程列表69可包含与转变到白列表模式相关的信息,并且这些单元可容易地与主机60和策略服务器50的模块和组件协作、协调或者以其他方式交互作用。
如图2所示,主机60包含软件对象61,软件对象61可以是主机60中文件***的一部分,并且它们打算涵盖包括可在计算机(例如主机60)上理解和处理的指令的任何对象。软件对象61可包含但不限于应用、可执行文件、软件文件、程序文件、库模块(例如动态链路库(DLL)文件)、对象文件、二进制数、其它可执行模块、脚本文件、解释文件、操作***文件等。在某些恶意软件攻击情形中,恶意软件可作为单独软件对象存储在主机上,或者可修改主机上的现有软件对象以执行恶意的或未授权的功能。
主机60的保护模块64可配置在网络的每个主机(例如端点装置40a-b、电子邮件服务器46和万维网服务器48)中以向相应主机提供防病毒保护(“防病毒模式”)和白列表保护(“白列表模式”)。例如,保护模块64可部署在端点装置平台(例如Windows XP操作***(OS)、Windows Vista OS、Windows7 OS等)和服务器平台(例如Windows 2003服务器、Windows 2008服务器等)中。
主机60可最初设置为干净或无恶意软件节点以创建预定安全起始点。防病毒代理67可与白列表代理68一起安装。然而,白列表代理68最初可在观测模式下运行,实质上交出了对防病毒代理67的控制权,并且允许主机60在防病毒模式下操作(例如使用列入黑列表技术)。此外,可跟踪在主机60上执行的过程以创建和维护过程列表69。过程列表69可包含对应于例如包含加载的动态链接库(DLL)和加载的内核驱动器(例如用于木马保护)的软件对象的执行过程(其中一些可能是子过程)。
一般而言,防病毒代理67和白列表代理68可分别利用含有与对于风险评估的软件对象相关的信息的一个或多个数据库(诸如黑列表42和白列表44)。在正常操作模式(或防病毒模式)(即没有发生恶意软件攻击)期间,防病毒代理67可使用列入黑列表来针对恶意软件保护主机60。当保护模块64接收到适当攻击信号70(例如由网络管理员触发的)时,主机60可通过禁用防病毒模式(例如通过使防病毒代理67进入休眠模式)并且启用白列表模式而转变成在白列表模式下操作,在白列表模式中白列表代理68能许可地工作(即如果软件对象在白列表上表示则允许它执行),并且可启用存储器保护组件。
在示例实现中,保护模块64的组件可配置成遍历每个过程(根据过程列表69)并评估每个过程(例如使用本地白列表44和/或全局白列表14)以确定是允许该过程还是终止该过程。如果对应于过程的软件对象被列入白列表(即在白列表上表示),则可验证该过程。如果过程包含子过程,则对应于子过程的每一个软件对象也必须被列入白列表以验证该过程。相反,如果对应于过程的软件对象未列入白列表,则该过程可能未被验证。如果过程包含子过程,则如果对应于子过程的任何一个软件对象未列入白列表,则该过程可能未被验证。
当在主机上启用白列表模式(或贮仓模式)时,仅可许可列入白列表的软件对象在那个主机上执行。然而如果损坏了关键过程或服务(其在转变到白列表模式之前执行过)则白列表代理68可进入隔离模式并禁用网络接口连同外部存储端口。在此上下文中,“关键过程”或“关键服务”是(如果它被终止或者以其他方式禁用的话)可潜在地使主机和/或网络停工的过程或服务。例如,从起初列入白列表的操作***文件调用的过程可能是关键过程,原因在于如果该过程重新启动或终止的话则它可影响操作***。如果该过程损坏了,或者如果该过程的子过程损坏了,则该过程将未被验证(例如损坏的对应操作***文件将未在白列表中表示)。在此情形下,代替终止该过程,白列表代理68可进入隔离模式。
***实施例可配置成利用一个或多个本地白列表(诸如白列表44)、一个或多个全局白列表(诸如全局白列表14)或者它们的任何适合组合。在一个实施例中,白列表44可配置为定期更新或经由中央部署控制来管理的主白列表。在另一实施例中,白列表44可配置为动态更新的白列表。在示例实现中,对白列表44的更新可由访问一个或多个全局白列表(诸如白列表14)的策略服务器50来管理。
根据配置,保护模块64的组件可循环通过该过程列表,比较适当白列表与对应于存储器中当前过程的软件对象,并终止未在白列表中表示并且不是关键过程的所有过程(以及子过程)。从而,任何未损坏的重要过程(例如至关重要的商业应用、关键过程等)可在攻击信号被触发之后实际上无停工时间而继续运行。附加地,尚未损坏的任何其它过程也可无停工时间而继续运行。
在示例实施例中,策略服务器50可实现成管理网络20内的所有或基本上所有主机(例如端点装置40a-b、电子邮件服务器46、万维网服务器48),并经由事件流74从主机接收事件通知。事件通知可包含有关网络活动并且具体地说是非典型活动(例如某些端口正在用于网络通信,数据在具体日子/时间期间传送等)的信息。报告模块55可向网络管理员提供有关网络活动的信息数据,包含报告、图形、警告、电子邮件等。在一个示例实现中,相关的信息数据可经由管理控制台51提供给网络管理员。此信息数据可用作协助网络管理员发现网络中的问题或可疑活动的工具。
如果网络管理员确定网络20受到攻击,则可触发攻击信号70(例如,经由需要在显示在管理控制台51上的用户界面屏幕中认证网络管理员的选项)。此外,也可给予网络管理员向网络20的所选区段(例如端点装置40b和万维网服务器48)发送攻击信号70的选项。例如,如果网络管理员能够减少对网络20的具体主机或具体区段的攻击,则网络管理员可选择仅向所识别的具体主机或所识别的具体网络区段中的主机发送攻击信号。在示例实施例中,攻击信号70可采取白列表策略形式从正常模式(例如防病毒模式)转变到白列表模式。该策略可推送到主机60,如策略更新72所指示的。
主机通信模块56可配置成允许从策略服务器50向防病毒代理67和白列表代理68同步传递。从而,策略服务器50可监视主机60中从防病毒模式向白列表模式的转变,以及主机60上未被验证的当前执行过程的可能的终止和评估。
图3-5是可与用于在恶意软件攻击期间转变到白列表模式的***关联的示例操作的流程图。图3例证了当主机60在干净或无恶意软件的网络(例如在恶意软件18攻击端点装置40b和万维网服务器48之前的网络20)中引导时可执行的操作的流程300。
当主机60引导并且网络20处于干净或无恶意软件状态时,可启用正常模式,其可包含防病毒模式和白列表观测模式。在304,防病毒代理67等待执行新软件对象的请求。当进行执行软件对象的请求时,然后可在306评估软件对象以确定它是否含有恶意软件。在示例实施例中,防病毒代理67可在加载软件对象以便执行之前确定它是否表示在黑列表(诸如本地黑列表42)上。如果软件对象表示在黑列表42(例如以校验和形式)上,则防病毒代理67可在310阻止执行所述软件对象,并在312向策略服务器50发送事件通知。然而,如果软件对象未在黑列表42上表示,则可在308许可它执行,由此在主机60上创建新过程。此新过程对应于软件对象,并且被视为软件对象的引用。
虽然在主机60上启用防病毒模式以防止列入黑列表的软件对象执行,但白列表代理68可在观测模式下操作以创建并维护主机60的过程列表69。过程列表69可包含独特地标识当前在主机60上执行的过程的枚举标识。作为示例,某些实现可依赖于过程标识符(过程ID或PID)来独特地标识过程列表69中的每个过程。此外,在过程列表69中还可含有其它信息,诸如母过程信息、过程名称、启动该过程的用户细节等。此类过程可对应于应用(即是应用的引用)、动态链接库(DLL)文件、内核驱动器以及任何其它执行软件对象。如果在314白列表代理68在主机60上检测到新过程,则在316,对应的过程ID可添加到过程列表69。如果新过程通过加载其它软件对象(例如动态链接库(DLL)文件、内核驱动器等)来创建子过程,如在318所确定的,则在320,对应于这些子过程的过程ID可添加到过程列表69。附加地,在过程结束的任何时候,可更新过程列表69以移除对应于结束的过程以及任何相关联子过程的过程ID。
白列表代理68还可跟踪对其中加载过程的存储器(过程存储器)的修改。从而,在322确定过程存储器是否已经修改。如果过程存储器已经修改,则此类修改可指示执行的过程正由恶意软件操纵。因此,在324可记录这些修改。然而,如果尚未进行过程存储器修改,则在314白列表代理68可继续监视新过程。
图4描绘了在用于在恶意软件攻击期间转变到白列表模式的***的实施例中可由策略服务器50执行的操作的流程400。在402,恶意软件感染了主机的文件***(例如恶意软件18感染了网络20中的端点装置40b和万维网服务器48)。策略服务器50可在404开始从受感染的主机接收事件通知。这些事件通知可简单地是网络活动增加、某些端口正在使用、一天中对于具体主机网络活动增加的某些时间等的通知。此类通知可能未确凿地证实恶意软件攻击,但能与其它数据(例如来自相同主机或其它主机的其它事件通知)相关以将信息数据提供给可通知一些不寻常事物的网络管理员。
在406,可确定在网络中存在恶意软件攻击。此确定可由网络管理员鉴于由策略服务器50提供的报告以及可疑活动的可能的进一步调查研究来进行。在一些实施例中,策略服务器50可配置有使网络管理员能够选择某一标准的选项,该标准如果满足的话就证明了网络已经被恶意软件攻击的假设。
一旦已经进行了确定(或者预先选择的标准已经满足),在408,攻击信号(例如白列表模式策略)就可发送到所选的网络区段。所选的网络区段可以是整个网络或网络的所选一个或多个区段(例如公司网络的生产***中的所有主机)。攻击信号例如可由网络管理员经由管理控制台51人工触发。备选地,如果满足了由网络管理员在策略服务器50中选择的具体标准,则攻击信号可由策略服务器50自动生成。
在408,攻击信号70已经发送到所选网络区段并且所选网络区段中的主机从防病毒模式转变到白列表模式之后,在410,策略服务器50可从主机接收事件通知。这些通知可包含由于转变到白列表模式而引起的活动。例如,评估有关已终止过程(例如与未在白列表上表示的软件对象关联的过程)、修改的过程存储器(例如对在防病毒模式期间出现的过程存储器的修改)以及作为相应主机的过程列表识别的已损坏关键过程的通知。
在412,可在所选网络区段在白列表模式下操作的同时对网络杀毒。除了其它补救措施之外,还可以从网络中移除恶意软件。例如,本地黑列表和/或全局黑列表(例如分别是黑列表42和12)可更新成包含新病毒签名。此外,还可给有漏洞的软件对象打补丁。在已经采取补救措施之后,在414,策略服务器50可将完全清洁的信号发送回所选网络区段中的主机。在***的潜在实施例中,完全清洁的信号能以防病毒模式策略和/或白列表模式策略的形式,以从白列表模式转变回防病毒模式。从而,所选网络区段中的每个主机可重新开始防病毒操作模式(或正常操作模式),并且可禁用白列表模式。附加地,白列表代理68可重新开始观测模式。
转到图5,图5描绘了可由***实施例中主机60中的保护模块64执行的操作流程500。防病毒代理67可保护主机60,直到触发转变控制代理65为止。在恶意软件感染了主机60中的文件***之后,如果在主机60上发生任何值得通知的事件,则在504主机60可向策略服务器50发送事件通知。当攻击信号70从策略服务器50发送到主机60时,可在506触发转变控制代理65。在示例实施例中,攻击信号70可采用经由策略更新72从策略服务器50推送到主机60的白列表策略形式。转变控制代理65可将主机60从在防病毒模式下操作转变到在白列表模式下操作。此转变可通过在508启用白列表模式(例如通过将白列表代理68从观测模式切换到白列表模式)并且禁用防病毒模式(例如通过将防病毒代理67从防病毒模式切换到休眠模式)来完成。在一些实施例中,直到已经对于损坏过程评估了过程列表69和/或已经启用了白列表模式,才可禁用防病毒模式。
在510,转变控制代理65可评估在过程列表69中枚举的每个过程以确定是否任何过程与未列入白列表的软件对象关联。如果对应于过程列表69上过程的软件对象未在白列表44上表示,如在512所确定的,并且对应过程不是关键过程,如在514所确定的,则在520可向策略服务器50发送事件通知,并在522可终止对应过程。如果对应过程是加载它的关联过程的子过程,则该子过程、加载它的关联过程以及所有其它加载的子过程都可终止。然而,如果软件对象未在白列表44上表示,如在512所确定的,但对应过程是关键过程,如在514所确定的,则在516可向策略服务器50发送事件通知,并在518可隔离主机60。
当主机60曾在防病毒模式下操作时,如果软件对象在白列表44上表示了,如512所确定的,则可执行进一步评估以确定是否对过程存储器(即其中加载了该过程的存储器)进行过修改。如果对过程存储器进行过修改,则在526,可将事件通知发送到策略服务器526。然后在528可确定是否重新启动该过程。当主机60在白列表模式下时重新启动该过程可防止新过程招致过程存储器修改,原因在于白列表代理68可能已经启用了存储器保护,由此防止此类存储器修改。如果确定该过程应该重新启动,则在530可重新加载它。
在已经评估了来自过程列表69的过程并且已经采取了适当措施(例如允许过程继续,终止过程,重新加载过程或者隔离主机)之后,然后在532,可确定在过程列表69中是否枚举了更多过程。如果枚举了更多过程,则流程开始于510,在此参考白列表44评估另一过程。然而,如果在过程列表69中未枚举更多过程,则主机60可继续在白列表模式下操作,直到转变控制代理65接收到指示应该重新开始正常模式(或防病毒模式)的完全清洁信号(例如如果已经补救恶意软件攻击的话)。完全清洁信号可以采用来自策略服务器50的防病毒策略和/或白列表策略的形式。
在备选实施例中,如果提供控制机制以防止防病毒模式与白列表模式之间的冲突,则当主机在白列表模式操作时,防病毒模式可保持启用。例如,对执行新软件对象的请求可传到防病毒代理67。如果软件对象被列入黑列表,则可阻止执行。然而,如果软件对象未被列入黑列表,则控制可传到白列表代理68,以确定软件对象是否被列入白列表。如果软件对象被列入白列表,则可允许它执行。否则,可阻止执行。
用于在恶意软件攻击期间转变到白列表模式的***可为在其中实现它的网络提供显著优势。例如,网络可能在一般性或针对性恶意软件攻击期间实际上没有停工时间。因而,只要过程本身未被感染,在网络中运行的关键过程就可继续处理。因此,商家可保持他们的商业运作并执行合法的商业活动,同时恢复和清除工作进行中。
注意,用上面提供的示例,以及本文提供的众多其它示例,可在两个、三个或四个组件(例如网络单元、端点装置、数据库以及其它存储单元、主机)方面描述交互作用。然而,这已经仅为了清楚和示例目的进行了。在某些情况下,通过仅参考有限数量的此类组件可能更容易描述给定流程集合的一个或多个功能性。应该认识到,网络环境5的***(及其教导)容易缩放,并且可容纳大量组件,以及更复杂/精致的布置和配置。因而,所提供的示例不应该限制该范围,或者禁止潜在应用于无数其它架构的***的广泛教导。
还重要的是,注意,前面流程图中的步骤仅例证了可由网络环境5的***执行或在网络环境5的***内执行的可能情形中的一些情形。这些步骤中的一些步骤可在适当情况下删除或移除,或者这些步骤可在不脱离本公开的范围的情况下显著地修改或改变。此外,若干这些操作已经描述为与一个或多个附加操作同时或并行执行。然而,这些操作的定时可显著地改变。已经为了示例和讨论的目的提供了前述操作流程。***提供了基本灵活性,原因在于可在没有脱离本公开的教导的情况下提供任何适合的布置、时间表、配置和定时机制。
附加地,尽管已经参考便于通信过程的具体单元和操作例证了由图1所概括的用于在恶意软件攻击期间转变到白列表模式的***,但这些单元和操作可由实现***预计功能性的任何适合的架构或过程代替。本领域技术人员可弄清众多其它改变、替代、变型、更改和修改,并且打算本公开涵盖了落入所附权利要求书范围内的所有此类改变、替代、变型、更改和修改。
Claims (20)
1. 一种方法,包括:
接收用于在网络中的主机上启用白列表模式的信号;
如果在所述主机上执行的过程未被验证,则终止所述过程;以及
如果所述主机上的一个或多个软件对象未在白列表上表示,则阻止所述一个或多个软件对象的执行。
2. 如权利要求1所述的方法,其中所述过程不是关键过程。
3. 如权利要求1所述的方法,进一步包括:
在所述主机的过程列表上识别所述过程,其中所述过程列表枚举了在所述主机上执行的一个或多个过程。
4. 如权利要求3所述的方法,进一步包括:
在所述过程列表上识别第二过程;
如果第二过程是关键过程并且如果第二过程未被验证,则隔离所述主机。
5. 如权利要求3所述的方法,进一步包括:
在所述过程列表上识别第二过程;
如果过程存储器被修改过,则重新启动第二过程。
6. 如权利要求1所述的方法,进一步包括:
在接收到用于启用所述白列表模式的信号之后,在所述主机上禁用防病毒模式。
7. 如权利要求6所述的方法,进一步包括:
在启用所述白列表模式之后接收用于启用所述防病毒模式的第二信号;
禁用所述白列表模式;以及
如果一个或多个其它软件对象未在黑列表上表示,则允许所述一个或多个其它软件对象执行。
8. 如权利要求1所述的方法,其中动态更新所述白列表。
9. 如权利要求1所述的方法,如果与所述过程关联的软件对象未在所述白列表上表示,则所述过程未被验证。
10. 如权利要求9所述的方法,其中所述过程是所述软件对象的引用。
11. 如权利要求9所述的方法,其中所述过程是另一软件对象的引用,并且所述软件对象对应于所述过程的子过程。
12. 在非暂态介质中编码的逻辑,所述逻辑包含用于执行的代码,并且当由一个或多个处理器执行时可操作以执行包括如下步骤的操作:
接收用于在网络中的主机上启用白列表模式的信号;
如果在所述主机上执行的过程未被验证,则终止所述过程;以及
如果所述主机上的一个或多个软件对象未在所述白列表上表示,则阻止所述一个或多个软件对象的执行。
13. 如权利要求12所述的逻辑,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步操作:
在所述主机的过程列表上识别所述过程,其中所述过程列表枚举了在所述主机上执行的一个或多个过程。
14. 如权利要求12所述的逻辑,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步操作:
在所述过程列表上识别第二过程;
如果第二过程是关键过程并且如果第二过程未被验证,则隔离所述主机。
15. 如权利要求12所述的逻辑,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步操作:
在所述过程列表上识别第二过程;以及
如果过程存储器被修改过,则重新启动第二过程。
16. 一种设备,包括:
保护模块;
存储器单元,配置成存储软件对象;
一个或多个处理器,可操作以执行与所述软件对象和所述保护模块关联的指令,其包括:
接收用于在网络中的设备上启用白列表模式的信号;
如果在所述主机上执行的过程未被验证,则终止所述过程;以及
如果所述主机上的一个或多个软件对象未在所述白列表上表示,则阻止所述一个或多个软件对象的执行。
17. 如权利要求16所述的设备,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步指令:
在所述主机的过程列表上识别所述过程,其中所述过程列表枚举了在所述主机上执行的一个或多个过程。
18. 如权利要求17所述的设备,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步指令:
在所述过程列表上识别第二过程;
如果第二过程是关键过程并且如果第二过程未被验证,则隔离所述主机。
19. 如权利要求17所述的设备,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步指令:
在所述过程列表上识别第二过程;
如果过程存储器被修改过,则重新启动第二过程。
20. 如权利要求16所述的设备,其中所述一个或多个处理器可操作以执行包括如下步骤的进一步指令:
在接收到用于启用所述白列表模式的信号之后,在所述设备上禁用防病毒模式;
在启用所述白列表模式之后接收用于启用所述防病毒模式的第二信号;
禁用所述白列表模式;以及
如果一个或多个其它软件对象未在黑列表上表示,则允许所述一个或多个其它软件对象执行。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/276,086 US8646089B2 (en) | 2011-10-18 | 2011-10-18 | System and method for transitioning to a whitelist mode during a malware attack in a network environment |
| US13/276086 | 2011-10-18 | ||
| US13/276,086 | 2011-10-18 | ||
| PCT/US2012/058130 WO2013058965A1 (en) | 2011-10-18 | 2012-09-28 | System and method for transitioning to a whitelist mode during a malware attack in a network environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104025103A true CN104025103A (zh) | 2014-09-03 |
| CN104025103B CN104025103B (zh) | 2017-10-13 |
Family
ID=48086926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280053540.5A Active CN104025103B (zh) | 2011-10-18 | 2012-09-28 | 用于在网络环境中恶意软件攻击期间转变到白列表模式的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8646089B2 (zh) |
| EP (1) | EP2774072B1 (zh) |
| CN (1) | CN104025103B (zh) |
| WO (1) | WO2013058965A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156613A (zh) * | 2015-03-05 | 2016-11-23 | 纬创资通股份有限公司 | 用于应用程序层的防火墙装置的保护方法与其电脑*** |
| CN108604281A (zh) * | 2016-11-24 | 2018-09-28 | 华为技术有限公司 | 数据处理的方法及其终端 |
| CN109074453A (zh) * | 2016-04-26 | 2018-12-21 | 三菱电机株式会社 | 入侵检测装置、入侵检测方法以及入侵检测程序 |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9519520B2 (en) * | 2011-10-25 | 2016-12-13 | Viasat, Inc. | Federated, policy-driven service meshes for distributed software systems |
| US20130333027A1 (en) * | 2012-06-08 | 2013-12-12 | Forty1 Technologies Inc. | Dynamic rights assignment |
| US9767280B2 (en) * | 2012-10-09 | 2017-09-19 | Canon Denshi Kabushiki Kaisha | Information processing apparatus, method of controlling the same, information processing system, and information processing method |
| KR101401949B1 (ko) * | 2012-11-06 | 2014-05-30 | 한국인터넷진흥원 | 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법 |
| US9882919B2 (en) * | 2013-04-10 | 2018-01-30 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
| RU2571721C2 (ru) * | 2014-03-20 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения мошеннических онлайн-транзакций |
| US10542049B2 (en) | 2014-05-09 | 2020-01-21 | Nutanix, Inc. | Mechanism for providing external access to a secured networked virtualization environment |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
| US9965627B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
| CN106156604A (zh) * | 2015-03-26 | 2016-11-23 | 中兴通讯股份有限公司 | 网页更新方法、***及网页服务器 |
| EP3347850B1 (en) * | 2015-09-07 | 2020-04-01 | Karamba Security | Context-based secure controller operation and malware prevention |
| US11550557B2 (en) | 2016-02-12 | 2023-01-10 | Nutanix, Inc. | Virtualized file server |
| US10218656B2 (en) * | 2016-03-08 | 2019-02-26 | International Business Machines Corporation | Smart message delivery based on transaction processing status |
| WO2017175157A1 (en) * | 2016-04-06 | 2017-10-12 | Karamba Security | Secure controller operation and malware prevention |
| WO2017175158A1 (en) * | 2016-04-06 | 2017-10-12 | Karamba Security | Reporting and processing controller security information |
| EP3823242A1 (en) | 2016-04-06 | 2021-05-19 | Karamba Security | Centralized controller management and anomaly detection |
| US20170295188A1 (en) | 2016-04-06 | 2017-10-12 | Karamba Security | Automated security policy generation for controllers |
| US11218418B2 (en) | 2016-05-20 | 2022-01-04 | Nutanix, Inc. | Scalable leadership election in a multi-processing computing environment |
| WO2017218031A1 (en) * | 2016-06-16 | 2017-12-21 | Level 3 Communications, Llc | Systems and methods for preventing denial of service attacks utilizing a proxy server |
| US10356113B2 (en) * | 2016-07-11 | 2019-07-16 | Korea Electric Power Corporation | Apparatus and method for detecting abnormal behavior |
| US10728090B2 (en) | 2016-12-02 | 2020-07-28 | Nutanix, Inc. | Configuring network segmentation for a virtualization environment |
| US11294777B2 (en) | 2016-12-05 | 2022-04-05 | Nutanix, Inc. | Disaster recovery for distributed file servers, including metadata fixers |
| US11288239B2 (en) | 2016-12-06 | 2022-03-29 | Nutanix, Inc. | Cloning virtualized file servers |
| US11281484B2 (en) | 2016-12-06 | 2022-03-22 | Nutanix, Inc. | Virtualized server systems and methods including scaling of file system virtual machines |
| US10721212B2 (en) * | 2016-12-19 | 2020-07-21 | General Electric Company | Network policy update with operational technology |
| US10382478B2 (en) * | 2016-12-20 | 2019-08-13 | Cisco Technology, Inc. | Detecting malicious domains and client addresses in DNS traffic |
| US10623438B2 (en) * | 2016-12-28 | 2020-04-14 | Mcafee, Llc | Detecting execution of modified executable code |
| US20180324207A1 (en) * | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
| US10204219B2 (en) | 2017-06-05 | 2019-02-12 | Karamba Security | In-memory protection for controller security |
| US10878103B2 (en) | 2017-06-05 | 2020-12-29 | Karamba Security Ltd. | In-memory protection for controller security |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| EP3665601A4 (en) * | 2017-08-10 | 2021-04-21 | Argus Cyber Security Ltd | SYSTEM AND METHOD FOR DETECTING USING A COMPONENT CONNECTED TO AN IN-VEHICLE NETWORK |
| US11086826B2 (en) | 2018-04-30 | 2021-08-10 | Nutanix, Inc. | Virtualized server systems and methods including domain joining techniques |
| US10860714B2 (en) * | 2018-06-29 | 2020-12-08 | Intel Corporation | Technologies for cache side channel attack detection and mitigation |
| US11194680B2 (en) | 2018-07-20 | 2021-12-07 | Nutanix, Inc. | Two node clusters recovery on a failure |
| US11770447B2 (en) | 2018-10-31 | 2023-09-26 | Nutanix, Inc. | Managing high-availability file servers |
| US11861049B2 (en) * | 2019-01-30 | 2024-01-02 | The George Washington University | System and method for defense against cache timing channel attacks using cache management hardware |
| JP7321795B2 (ja) * | 2019-06-27 | 2023-08-07 | キヤノン株式会社 | 情報処理装置、情報処理方法およびプログラム |
| CN111125721B (zh) * | 2019-12-31 | 2023-05-26 | 奇安信科技集团股份有限公司 | 一种进程启动的控制方法、计算机设备和可读存储介质 |
| US11768809B2 (en) | 2020-05-08 | 2023-09-26 | Nutanix, Inc. | Managing incremental snapshots for fast leader node bring-up |
| CN115085973B (zh) * | 2022-05-17 | 2024-03-12 | 度小满科技(北京)有限公司 | 白名单处理方法、装置、存储介质、计算机终端 |
| CN115795482B (zh) * | 2023-01-06 | 2023-05-05 | 杭州中电安科现代科技有限公司 | 一种工控设备安全的管理方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030023866A1 (en) * | 2001-07-26 | 2003-01-30 | Hinchliffe Alex James | Centrally managed malware scanning |
| US20070028304A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Centralized timed analysis in a network security system |
| US20090165132A1 (en) * | 2007-12-21 | 2009-06-25 | Fiberlink Communications Corporation | System and method for security agent monitoring and protection |
| US20090228720A1 (en) * | 2002-10-17 | 2009-09-10 | Research In Motion Limited | System and method of security function activation for a mobile electronic device |
| US20110041179A1 (en) * | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
| CN102004881A (zh) * | 2010-11-24 | 2011-04-06 | 东莞宇龙通信科技有限公司 | 移动终端、移动终端工作模式的切换装置及方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US7617533B1 (en) * | 2005-01-31 | 2009-11-10 | Symantec Corporation | Self-quarantining network |
| US7797702B1 (en) * | 2005-02-22 | 2010-09-14 | Symantec Corporation | Preventing execution of remotely injected threads |
| US20060212940A1 (en) * | 2005-03-21 | 2006-09-21 | Wilson Michael C | System and method for removing multiple related running processes |
| US8201253B1 (en) * | 2005-07-15 | 2012-06-12 | Microsoft Corporation | Performing security functions when a process is created |
| US8881276B2 (en) * | 2007-01-09 | 2014-11-04 | Cisco Technology, Inc. | Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality |
| GB0822619D0 (en) | 2008-12-11 | 2009-01-21 | Scansafe Ltd | Malware detection |
| US7640589B1 (en) | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
| US7925874B1 (en) * | 2010-05-18 | 2011-04-12 | Kaspersky Lab Zao | Adaptive configuration of conflicting applications |
-
2011
- 2011-10-18 US US13/276,086 patent/US8646089B2/en active Active
-
2012
- 2012-09-28 CN CN201280053540.5A patent/CN104025103B/zh active Active
- 2012-09-28 EP EP12841233.5A patent/EP2774072B1/en active Active
- 2012-09-28 WO PCT/US2012/058130 patent/WO2013058965A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030023866A1 (en) * | 2001-07-26 | 2003-01-30 | Hinchliffe Alex James | Centrally managed malware scanning |
| US20090228720A1 (en) * | 2002-10-17 | 2009-09-10 | Research In Motion Limited | System and method of security function activation for a mobile electronic device |
| US20070028304A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Centralized timed analysis in a network security system |
| US20090165132A1 (en) * | 2007-12-21 | 2009-06-25 | Fiberlink Communications Corporation | System and method for security agent monitoring and protection |
| US20110041179A1 (en) * | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
| CN102004881A (zh) * | 2010-11-24 | 2011-04-06 | 东莞宇龙通信科技有限公司 | 移动终端、移动终端工作模式的切换装置及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106156613A (zh) * | 2015-03-05 | 2016-11-23 | 纬创资通股份有限公司 | 用于应用程序层的防火墙装置的保护方法与其电脑*** |
| CN106156613B (zh) * | 2015-03-05 | 2018-11-09 | 纬创资通股份有限公司 | 用于应用程序层的防火墙装置的保护方法与其电脑*** |
| CN109074453A (zh) * | 2016-04-26 | 2018-12-21 | 三菱电机株式会社 | 入侵检测装置、入侵检测方法以及入侵检测程序 |
| CN108604281A (zh) * | 2016-11-24 | 2018-09-28 | 华为技术有限公司 | 数据处理的方法及其终端 |
| CN108604281B (zh) * | 2016-11-24 | 2020-09-08 | 华为技术有限公司 | 数据处理的方法及其终端 |
| US11411956B2 (en) | 2016-11-24 | 2022-08-09 | Huawei Technologies Co., Ltd. | Data processing method and terminal |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2774072A4 (en) | 2015-04-01 |
| CN104025103B (zh) | 2017-10-13 |
| US20130097708A1 (en) | 2013-04-18 |
| WO2013058965A1 (en) | 2013-04-25 |
| US8646089B2 (en) | 2014-02-04 |
| EP2774072B1 (en) | 2018-07-18 |
| EP2774072A1 (en) | 2014-09-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104025103A (zh) | 用于在网络环境中恶意软件攻击期间转变到白列表模式的***和方法 | |
| US9210182B2 (en) | Behavioral-based host intrusion prevention system | |
| US9635033B2 (en) | Methods, systems and computer readable media for detecting command injection attacks | |
| Hypponen | Malware goes mobile | |
| EP2951955B1 (en) | Method and system for protecting web applications against web attacks | |
| CN109684832A (zh) | 检测恶意文件的***和方法 | |
| CN111324889A (zh) | 安全事件预测方法、装置、设备及计算机可读存储介质 | |
| CN107567616A (zh) | 操作***管理 | |
| CN111010384A (zh) | 一种物联网终端自我安全防御***及其安全防御方法 | |
| Huddleston et al. | How vmware exploits contributed to solarwinds supply-chain attack | |
| KR20090121466A (ko) | Pc 보안 점검 장치 및 방법 | |
| Pitney et al. | A systematic review of 2021 microsoft exchange data breach exploiting multiple vulnerabilities | |
| Pell et al. | Towards dynamic threat modelling in 5G core networks based on MITRE ATT&CK | |
| Vander–Pallen et al. | Survey on types of cyber attacks on operating system vulnerabilities since 2018 onwards | |
| CN117494144A (zh) | 基于云平台的安全环境防护方法 | |
| US20190114439A1 (en) | Method and system for protecting a computer file from a possible encryption performed by malicious code | |
| Roshandel et al. | LIDAR: a layered intrusion detection and remediationframework for smartphones | |
| US10848463B2 (en) | Listen mode for machine whitelisting mechanisms | |
| CN114448888B (zh) | 金融网络拟态路由方法及装置 | |
| CN104428786B (zh) | 防止对具有多个cpu的设备的攻击 | |
| CN108134792B (zh) | 基于虚拟化技术在计算机***中实现防御网络病毒攻击的方法 | |
| US11496508B2 (en) | Centralized security package and security threat management system | |
| CN106603493B (zh) | 一种内置于网络设备中的安全防护装置及防护方法 | |
| Lee et al. | Passivity framework for composition and mitigation of multi-virus propagation in networked systems | |
| Dalla Preda et al. | Hunting distributed malware with the κ-calculus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |
|
| CP01 | Change in the name or title of a patent holder |