Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2019025384) MALICIOUS HOST DETECTION
Latest bibliographic data on file with the International Bureau    Submit observation

Pub. No.: WO/2019/025384 International Application No.: PCT/EP2018/070630
Publication Date: 07.02.2019 International Filing Date: 30.07.2018
IPC:
H04L 29/06 (2006.01) ,G06F 21/56 (2013.01) ,G06N 99/00 (2010.01)
H ELECTRICITY
04
ELECTRIC COMMUNICATION TECHNIQUE
L
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
29
Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/-H04L27/136
02
Communication control; Communication processing
06
characterised by a protocol
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
F
ELECTRIC DIGITAL DATA PROCESSING
21
Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
50
Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
55
Detecting local intrusion or implementing counter-measures
56
Computer malware detection or handling, e.g. anti-virus arrangements
G PHYSICS
06
COMPUTING; CALCULATING; COUNTING
N
COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS
99
Subject matter not provided for in other groups of this subclass
Applicants:
BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY [GB/GB]; 81 Newgate Street London EC1A 7AJ, GB
Inventors:
EL-MOUSSA, Fadi; GB
KALLOS, George; GB
Agent:
BRITISH TELECOMMUNICATIONS PUBLIC LIMITED COMPANY, INTELLECTUAL PROPERTY DEPARTMENT; Ground Floor, Faraday Building 1 Knightrider Street London EC4V 5BT, GB
Priority Data:
17184579.502.08.2017EP
Title (EN) MALICIOUS HOST DETECTION
(FR) DÉTECTION D'HÔTE MALVEILLANT
Abstract:
(EN) A method for detecting malware software in a computer system comprising: accessing a plurality of hostnames for a malware server from a computer system infected with malware and attempting to communicate with the malware server, each hostname including a plurality of symbols in each of a plurality of symbol positions; training an autoencoder based on each of the plurality of hostnames, wherein the autoencoder includes: a set of input units for each possible symbol and symbol position in a hostname; output units each for storing an output of the autoencoder; and a set of hidden units smaller in number than the set of input units and each interconnecting all input and all output units with weighted interconnections, such that the autoencoder is trainable to provide an approximated reconstruction of values of the input units at the output units; selecting a set of one or more symbol and symbol position tuples based on weights of interconnections in the trained autoencoder; and identifying infected computer systems based on their attempted communication to hostnames having symbols in symbol positions consistent with the tuples in the set.
(FR) La présente invention concerne un procédé de détection de logiciel malveillant dans un système informatique qui consiste : à accéder à une pluralité de noms d'hôte pour un serveur de logiciel malveillant à partir d'un système informatique infecté par un logiciel malveillant et à tenter de communiquer avec le serveur de logiciel malveillant, chaque nom d'hôte comprenant une pluralité de symboles dans chacune d'une pluralité de positions de symbole ; à entraîner un codeur automatique sur la base de chaque nom de la pluralité de noms d'hôte, le codeur automatique comprenant : un ensemble d'unités d'entrée pour chaque symbole possible et la position de symbole dans un nom d'hôte ; des unités de sortie pour stocker chacune une sortie du codeur automatique ; et un ensemble d'unités cachées plus petites en nombre que l'ensemble d'unités d'entrée et chacune interconnectant toutes les unités d'entrée et toutes les unités de sortie avec des interconnexions pondérées, de telle sorte que le codeur automatique peut être entraîné afin de fournir une reconstruction approximative de valeurs des unités d'entrée au niveau des unités de sortie ; à sélectionner un ensemble d'au moins un symbole et des tuples de position de symbole basés sur des poids d'interconnexions dans le codeur automatique entraîné ; et à identifier des systèmes informatiques infectés basés sur leur communication tentée vers des noms d'hôtes ayant des symboles dans des positions de symbole cohérentes avec les tuples dans l'ensemble.
front page image
Designated States: AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DJ, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JO, JP, KE, KG, KH, KN, KP, KR, KW, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW
African Regional Intellectual Property Organization (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Eurasian Patent Office (AM, AZ, BY, KG, KZ, RU, TJ, TM)
European Patent Office (EPO) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
African Intellectual Property Organization (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG)
Publication Language: English (EN)
Filing Language: English (EN)