WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2013058964) SYSTEM AND METHOD FOR DETECTING A MALICIOUS COMMAND AND CONTROL CHANNEL
Latest bibliographic data on file with the International Bureau   

Pub. No.:    WO/2013/058964    International Application No.:    PCT/US2012/058045
Publication Date: 25.04.2013 International Filing Date: 28.09.2012
IPC:
G06F 21/00 (2013.01), G06F 11/30 (2006.01)
Applicants: MCAFEE, INC. [US/US]; 2821 Mission College Blvd. Santa Clara, California 95054 (US) (For All Designated States Except US).
BALUPARI, Ravindra [IN/IN]; (IN) (US only).
MAHADIK, Vinay [IN/US]; (US) (US only).
MADHUSUDAN, Bharath [IN/US]; (US) (US only).
SHAH, Chintan H. [IN/IN]; (IN) (US only)
Inventors: BALUPARI, Ravindra; (IN).
MAHADIK, Vinay; (US).
MADHUSUDAN, Bharath; (US).
SHAH, Chintan H.; (IN)
Agent: FRAME, Thomas J.; Patent Capital Group 2816 Lago Vista Lane Rockwall, TX 75032 (US)
Priority Data:
13/276,244 18.10.2011 US
Title (EN) SYSTEM AND METHOD FOR DETECTING A MALICIOUS COMMAND AND CONTROL CHANNEL
(FR) SYSTÈME ET PROCÉDÉ DE DÉTECTION D'UNE INSTRUCTION MALVEILLANTE ET D'UN CANAL DE COMMANDE
Abstract: front page image
(EN)A method is provided in one example embodiment that includes detecting repetitive connections from a source node to a destination node, calculating a score for the source node based on the connections, and taking a policy action if the score exceeds a threshold score. In more particular embodiments, the repetitive connections use a hypertext transfer protocol and may include connections to a small number of unique domains, connections to small number of unique resources associated with the destination node, and/or a large number of connections to a resource in a domain. Moreover, heuristics may be used to score the source node and identify behavior indicative of a threat, such as a bot or other malware.
(FR)Conformément à un mode de réalisation à titre d'exemple, l'invention concerne un procédé qui consiste à détecter des connexions répétitives d'un nœud source à un nœud de destination, à calculer un score pour le nœud source sur la base des connexions, et à prendre une mesure de politique si le score dépasse un score seuil. Dans des modes de réalisation plus particuliers, les connexions répétitives utilisent un protocole de transfert hypertexte et peuvent comprendre des connexions à un petit nombre de domaines uniques, des connexions à un petit nombre de ressources uniques associées au nœud de destination, et/ou un grand nombre de connexions à une ressource dans un domaine. En outre, des heuristiques peuvent être utilisées pour établir le score du nœud source et identifier un comportement indicatif d'une menace, telle qu'un zombie ou un autre logiciel malveillant.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IS, JP, KE, KG, KM, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LT, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)