WIPO logo
Mobile | Deutsch | Español | Français | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Search International and National Patent Collections
World Intellectual Property Organization
Search
 
Browse
 
Translate
 
Options
 
News
 
Login
 
Help
 
Machine translation
1. (WO2017180666) FORENSIC ANALYSIS OF COMPUTING ACTIVITY AND MALWARE DETECTION USING AN EVENT GRAPH
Latest bibliographic data on file with the International Bureau    Submit observation

Pub. No.:    WO/2017/180666    International Application No.:    PCT/US2017/027070
Publication Date: 19.10.2017 International Filing Date: 11.04.2017
IPC:
H04L 29/06 (2006.01), G06F 21/56 (2013.01), G06F 11/30 (2006.01), G06F 9/44 (2006.01)
Applicants: SOPHOS LIMITED [GB/GB]; The Pentagon, Abingdon Science Park Abingdon OX14 3YP (GB).
LADNAI, Beata [GB/GB]; (GB) (US only).
HARRIS, Mark, David [GB/GB]; (GB) (US only).
THOMAS, Andrew, J. [GB/GB]; (GB) (US only).
SMITH, Andrew, G.p. [GB/GB]; (GB) (US only).
HUMPHRIES, Russell [GB/GB]; (GB) (US only).
RAY, Kenneth, D. [US/US]; (US) (US only)
Inventors: LADNAI, Beata; (GB).
HARRIS, Mark, David; (GB).
THOMAS, Andrew, J.; (GB).
SMITH, Andrew, G.p.; (GB).
HUMPHRIES, Russell; (GB).
RAY, Kenneth, D.; (US)
Agent: MAZZARESE, Robert, A.; (US).
BASSOLINO, Thomas, J.; (US).
MELLO, John, Paul; (US).
HEFFAN, lRA; (US)
Priority Data:
1610609.8 17.06.2016 GB
15/130,244 15.04.2016 US
1611301.1 29.06.2016 GB
Title (EN) FORENSIC ANALYSIS OF COMPUTING ACTIVITY AND MALWARE DETECTION USING AN EVENT GRAPH
(FR) ANALYSE MÉDICO-LÉGALE D'UNE ACTIVITÉ INFORMATIQUE, ET DÉTECTION DE LOGICIEL MALVEILLANT À L'AIDE D'UN GRAPHE D'ÉVÉNEMENTS
Abstract: front page image
(EN)A data recorder stores endpoint activity on an ongoing basis as sequences of events that causally relate computer objects such as processes and files. When a security event is detected, an event graph may be generated based on these causal relationships among the computing objects. For a root cause analysis, the event graph may be traversed in a reverse order from the point of an identified security event (e.g., a malware detection event) to preceding computing objects, while applying one or more cause identification rules to identify a root cause of the security event. Once a root cause is identified, the event graph may be traversed forward from the root cause to identify other computing objects that are potentially compromised by the root cause. Further, patterns within the event graph can be used to detect the presence of malware on the endpoint.
(FR)Selon l'invention, un enregistreur de données enregistre une activité de point d'extrémité sur une base continue sous forme de séquences d'événements ayant une relation causale avec des objets informatiques tels que des processus et des fichiers. Lorsqu'un événement de sécurité est détecté, un graphe d'événements peut être généré sur la base de ces relations causales entre les objets informatiques. Pour une analyse des causes profondes, le graphe d'événements peut être parcouru dans l'ordre inverse, du point d'un événement de sécurité identifié (par exemple, un événement de détection de logiciel malveillant) à des objets informatiques précédents, tout en appliquant une ou plusieurs règles d'identification de cause afin d'identifier une cause profonde de l'événement de sécurité. Une fois qu'une cause profonde est identifiée, le graphe d'événements peut être parcouru vers l'avant, à partir de la cause profonde, afin d'identifier d'autres objets informatiques potentiellement compromis par la cause profonde. En outre, des motifs peuvent être utilisés dans le graphe d'événements pour détecter la présence d'un logiciel malveillant au point d'extrémité.
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KH, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
African Regional Intellectual Property Organization (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Organization (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Publication Language: English (EN)
Filing Language: English (EN)