Processing

Please wait...

PATENTSCOPE will be unavailable a few hours for maintenance reason on Saturday 31.10.2020 at 7:00 AM CET
Settings

Settings

Goto Application

1. WO2016146609 - LEARNED PROFILES FOR MALICIOUS ENCRYPTED NETWORK TRAFFIC IDENTIFICATION

Publication Number WO/2016/146609
Publication Date 22.09.2016
International Application No. PCT/EP2016/055506
International Filing Date 15.03.2016
IPC
H04L 29/06 2006.01
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
29Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/-H04L27/136
02Communication control; Communication processing
06characterised by a protocol
CPC
G06F 17/141
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
FELECTRIC DIGITAL DATA PROCESSING
17Digital computing or data processing equipment or methods, specially adapted for specific functions
10Complex mathematical operations
14Fourier, Walsh or analogous domain transformations ; , e.g. Laplace, Hilbert, Karhunen-Loeve, transforms
141Discrete Fourier transforms
G06N 3/08
GPHYSICS
06COMPUTING; CALCULATING; COUNTING
NCOMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS
3Computer systems based on biological models
02using neural network models
08Learning methods
H04L 63/0428
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
04for providing a confidential data exchange among entities communicating through data packet networks
0428wherein the data content is protected, e.g. by encrypting or encapsulating the payload
H04L 63/1416
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1408by monitoring network traffic
1416Event detection, e.g. attack signature detection
H04L 63/1441
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1441Countermeasures against malicious traffic
Applicants
  • BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY [GB]/[GB]
Inventors
  • EL- MOUSSA, Fadi
  • AZVINE, Ben
  • KALLOS, George
Agents
  • ROBERTS, Scott
Priority Data
15275068.317.03.2015EP
Publication Language English (EN)
Filing Language English (EN)
Designated States
Title
(EN) LEARNED PROFILES FOR MALICIOUS ENCRYPTED NETWORK TRAFFIC IDENTIFICATION
(FR) PROFILS APPRIS POUR UNE IDENTIFICATION DE TRAFIC DE RÉSEAU CHIFFRÉ MALVEILLANT
Abstract
(EN)
A method for identifying malicious encrypted network traffic associated with a malware software component communicating via a network, the method comprising: defining, for the malware, a portion of network traffic including a plurality of contiguous bytes occurring at a predefined offset in a network communication of the malware; extracting the defined portion of network traffic for each of a plurality of disparate network connections for the malware; evaluating a metric for each byte in each extracted portion; representing each extracted portion in a matrix data structure as an image of pixels wherein each pixel corresponds to a byte of the extracted portion; training a neural network based on the images for the extracted portions such that subsequent network traffic can be classified by the neural network to identify malicious network traffic associated with the malware based on an image generated to represent the defined portion of the subsequent network traffic.
(FR)
L'invention concerne un procédé pour identifier un trafic de réseau chiffré malveillant associé à un élément de logiciel malveillant communiquant par l'intermédiaire d'un réseau, le procédé consistant à : définir, pour le logiciel malveillant, une partie de trafic de réseau comprenant une pluralité d'octets contigus apparaissant à un décalage prédéfini dans une communication de réseau du logiciel malveillant; extraire la partie définie de trafic de réseau pour chacune d'une pluralité de connexions de réseau disparates pour le logiciel malveillant; évaluer une métrique pour chaque octet dans chaque partie extraite; représenter chaque partie extraite dans une structure de données de matrice sous la forme d'une image de pixels, chaque pixel correspondant à un octet de la partie extraite; apprendre un réseau neuronal sur la base des images pour les parties extraites de telle sorte qu'un trafic de réseau ultérieur puisse être classifié par le réseau neuronal afin d'identifier un trafic de réseau malveillant associé au logiciel malveillant sur la base d'une image générée pour représenter la partie définie du trafic de réseau ultérieur.
Also published as
Latest bibliographic data on file with the International Bureau