WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2005062707) UNIVERSAL WORM CATCHER
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2005/062707    International Application No.:    PCT/IL2004/001066
Publication Date: 14.07.2005 International Filing Date: 18.11.2004
IPC:
G06F 11/30 (2006.01), G06F 15/16 (2006.01)
Applicants: CHECKPOINT SOFTWARE TECHNOLOGIES LTD. [IL/IL]; Diamond Tower, 3a Jabotinsky St., 52520 Ramat Gan (IL) (For All Designated States Except US).
AHARON, Leeor [IL/IL]; (IL) (For US Only).
COHEN, Cfir [IL/IL]; (IL) (For US Only)
Inventors: AHARON, Leeor; (IL).
COHEN, Cfir; (IL)
Agent: FRIEDMAN, Mark; 7 Jabotinsky St., 52520 Ramat Gan (IL)
Priority Data:
60/532,947 30.12.2003 US
Title (EN) UNIVERSAL WORM CATCHER
(FR) CHASSEUR DE VERS UNIVERSEL
Abstract: front page image
(EN)A method for detecting malicious code in a stream of data traffic input (400) to a gateway in a data network by monitoring for suspicious data in the stream of data traffic (407). Upon detecting the suspicious data, an attempt is made to disassemble the suspicious data (403) and a threat weight is assigned for each instruction. The attempt to disassemble is initiated at initial instructions each with a different offset within the suspicious portion of data. The threat weights are accumulated respectively for each branch option in the disassembled code (403), producing respectively an accumulated threat weight for each branch option. When the accumulated threat weight exceeds a previously defined threshold level, an alert is generated and/or traffic is blocked from the source of the malicious code.
(FR)L'invention concerne un procédé permettant de détecter un code malveillant dans un train de trafic de données entré dans une passerelle d'un réseau de données, qui consiste à surveiller les données suspectes dans ledit train de trafic de données. Une fois les données suspectes détectées, on tente de les désassembler et d'affecter un poids de menace à chaque instruction. La tentative de désassemblage est amorcée aux premières instructions, chacune avec un décalage différent dans la partie suspecte des données. Les poids de menaces sont cumulés respectivement pour chaque option sectorielle du code désassemblé, ce qui produit respectivement un poids de menace cumulé pour chaque option sectorielle. Si le poids de menace cumulé dépasse un seuil déjà défini, une alerte se produit et/ou le trafic est bloqué à partir de la source du code suspect.
Designated States: AE, AG, AL, AM, AT, AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, CN, CO, CR, CU, CZ, DE, DK, DM, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, MA, MD, MG, MK, MN, MW, MX, MZ, NA, NI, NO, NZ, OM, PG, PH, PL, PT, RO, RU, SC, SD, SE, SG, SK, SL, SY, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, YU, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM)
European Patent Office (AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HU, IE, IS, IT, LU, MC, NL, PL, PT, RO, SE, SI, SK, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)