WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2017174418) SYSTEM AND METHODS FOR DECRYPTING NETWORK TRAFFIC IN A VIRTUALIZED ENVIRONMENT
Latest bibliographic data on file with the International Bureau    Submit observation

Pub. No.:    WO/2017/174418    International Application No.:    PCT/EP2017/057422
Publication Date: 12.10.2017 International Filing Date: 29.03.2017
IPC:
G06F 21/56 (2013.01)
Applicants: BITDEFENDER IPR MANAGEMENT LTD [CY/CY]; Kreontos 12 1076 Nicosia (CY)
Inventors: CARAGEA, Radu; (RO)
Agent: TULUCA, Doina; (RO)
Priority Data:
62/317,804 04.04.2016 US
15/471,981 28.03.2017 US
Title (EN) SYSTEM AND METHODS FOR DECRYPTING NETWORK TRAFFIC IN A VIRTUALIZED ENVIRONMENT
(FR) SYSTÈME ET PROCÉDÉS DE DÉCRYPTAGE DE TRAFIC DE RÉSEAU DANS UN ENVIRONNEMENT VIRTUALISÉ
Abstract: front page image
(EN)Described systems and methods enable a decryption of encrypted communication between a client system and a remote party, for applications such as detection and analysis of malicious software, intrusion detection, and surveillance, among others. The client system executes a virtual machine and an introspection engine outside the virtual machine. The introspection engine is configured to identify memory pages whose contents have changed between a first session event (e.g., a ServerHello message) and a second session event (e.g., a ClientFinished message). The respective memory pages are likely to contain encryption key material for the respective communication session. A decryption engine may then attempt to decrypt an encrypted payload of the respective communication session using information derived from the content of the identified memory pages.
(FR)L'invention concerne des systèmes et des procédés permettant de décrypter une communication cryptée entre un système client et une partie distante, pour des applications telles que la détection et l'analyse de logiciels malveillants, la détection d'intrusions et la surveillance, entre autres. Le système client exécute une machine virtuelle et un moteur d'introspection à l'extérieur de la machine virtuelle. Le moteur d'introspection est configuré pour identifier des pages de mémoire dont le contenu a changé entre un premier événement de session (p. ex. un message ServerHello) et un deuxième événement de session (p. ex. un message ClientFinished). Il est probable que les pages de mémoire respectives contiennent de la matière pour clé de cryptage destinée à la session de communication considérée. Un moteur de décryptage peut alors tenter de décrypter une charge utile cryptée de la session de communication considérée en utilisant des informations tirées du contenu des pages de mémoire identifiées.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KH, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)