WIPO logo
Mobile | Deutsch | English | Español | 日本語 | 한국어 | Português | Русский | 中文 | العربية |
PATENTSCOPE

Recherche dans les collections de brevets nationales et internationales
World Intellectual Property Organization
Recherche
 
Options de navigation
 
Traduction
 
Options
 
Quoi de neuf
 
Connexion
 
Aide
 
Traduction automatique
1. (WO2015108679) SYSTÈME DE DÉTECTION D’EXPLOIT COMPORTANT UN MICROMODULE D'EXTENSION SENSIBLE AUX MENACES
Dernières données bibliographiques dont dispose le Bureau international   

N° de publication :    WO/2015/108679    N° de la demande internationale :    PCT/US2014/071923
Date de publication : 23.07.2015 Date de dépôt international : 22.12.2014
CIB :
G06F 21/10 (2013.01)
Déposants : FIREEYE, INC. [US/US]; 1440 McCarthy Blvd. Milpitas, California 95035 (US)
Inventeurs : ISMAEL, Osman Abdoul; (US).
AZIZ, Ashar; (US)
Mandataire : REINEMANN, Michael; (US)
Données relatives à la priorité :
61/928,323 16.01.2014 US
Titre (EN) EXPLOIT DETECTION SYSTEM WITH THREAT-AWARE MICROVISOR
(FR) SYSTÈME DE DÉTECTION D’EXPLOIT COMPORTANT UN MICROMODULE D'EXTENSION SENSIBLE AUX MENACES
Abrégé : front page image
(EN)An exploit detection system deploys a threat-aware microvisor to facilitate real-time security analysis, including exploit detection and threat intelligence, of an operating system process executing on a node of a network environment. The microvisor may be organized as a main protection domain representative of the operating system process. In response to the process attempting to access a kernel resource for which it does not have permission, a capability violation may be generated at the main protection domain of the microvisor and a micro-virtual machine (VM) may be spawned as a container configured to encapsulate the process. The main protection domain may then be cloned to create a cloned protection domain that is representative of the process and that is bound to the spawned micro-VM. Capabilities of the cloned protection domain may be configured to be more restricted than the capabilities of the main protection domain with respect to access to the kernel resource. The restricted capabilities may be configured to generate more capability violations than those generated by the capabilities of the main protection domain and, in turn, enable further monitoring of the process as it attempts to access the kernel resource.
(FR)La présente invention concerne un système de détection d'exploit déployant un micromodule d'extension sensible aux menaces afin de faciliter l'analyse de sécurité en temps réel, comprenant la détection d'exploit et le renseignement sur les menaces, d'un processus de système d'exploitation s'exécutant sur un nœud d'un environnement réseau. Le micromodule d'extension peut être organisé sous la forme d'un domaine de protection principal représentatif du processus de système d'exploitation. En réponse à une tentative du processus d'accéder à une ressource de noyau pour laquelle il n'a pas la permission, une violation de capacité peut être générée au niveau du domaine de protection principal du micromodule d'extension et une micro-machine virtuelle (VM) peut être engendrée comme un conteneur configuré pour encapsuler le processus. Le domaine de protection principal peut alors être cloné pour créer un domaine de protection cloné qui est représentatif du processus et lié à la micro-VM générée. Les capacités du domaine de protection cloné peuvent être configurées de manière à être plus restreintes que les capacités du domaine de protection principal par rapport à l'accès aux ressources de noyau. Les capacités restreintes peuvent être configurées de manière à générer plus de violations de capacité que celles générées par les capacités du domaine de protection principal et, à son tour, permettre la surveillance ultérieure du processus lorsqu'il tente d'accéder aux ressources de noyau.
États désignés : AE, AG, AL, AM, AO, AT, AU, AZ, BA, BB, BG, BH, BN, BR, BW, BY, BZ, CA, CH, CL, CN, CO, CR, CU, CZ, DE, DK, DM, DO, DZ, EC, EE, EG, ES, FI, GB, GD, GE, GH, GM, GT, HN, HR, HU, ID, IL, IN, IR, IS, JP, KE, KG, KN, KP, KR, KZ, LA, LC, LK, LR, LS, LU, LY, MA, MD, ME, MG, MK, MN, MW, MX, MY, MZ, NA, NG, NI, NO, NZ, OM, PA, PE, PG, PH, PL, PT, QA, RO, RS, RU, RW, SA, SC, SD, SE, SG, SK, SL, SM, ST, SV, SY, TH, TJ, TM, TN, TR, TT, TZ, UA, UG, US, UZ, VC, VN, ZA, ZM, ZW.
Organisation régionale africaine de la propriété intellectuelle (ARIPO) (BW, GH, GM, KE, LR, LS, MW, MZ, NA, RW, SD, SL, ST, SZ, TZ, UG, ZM, ZW)
Office eurasien des brevets (OEAB) (AM, AZ, BY, KG, KZ, RU, TJ, TM)
Office européen des brevets (OEB) (AL, AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, FI, FR, GB, GR, HR, HU, IE, IS, IT, LT, LU, LV, MC, MK, MT, NL, NO, PL, PT, RO, RS, SE, SI, SK, SM, TR)
Organisation africaine de la propriété intellectuelle (OAPI) (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, KM, ML, MR, NE, SN, TD, TG).
Langue de publication : anglais (EN)
Langue de dépôt : anglais (EN)