BEHAVIORAL ANALYTICS DRIVEN HOST-BASED MALICIOUS BEHAVIOR AND DATA EXFILTRATION DISRUPTION

BEHAVIORAL ANALYTICS DRIVEN HOST-BASED MALICIOUS BEHAVIOR AND DATA EXFILTRATION DISRUPTION

A system and method detects the existence of malicious software on a local host by analysis of software process behavior including user input events and system events. A user validation engine provides user notification. In-VM operating system monitors capture events handled by the OS, capture user...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: DANAHY, JOHN, J, SYVERSEN, JASON, M, SHARKEY, JOSEPH, J, BERG, RYAN, J, ZAFFARANO, KARA, A, SWIDOWSKI, KIRK, R
Format: Patent
Sprache:eng ; fre
Schlagworte:
CALCULATING
COMPUTING
COUNTING
ELECTRIC DIGITAL DATA PROCESSING
PHYSICS
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:A system and method detects the existence of malicious software on a local host by analysis of software process behavior including user input events and system events. A user validation engine provides user notification. In-VM operating system monitors capture events handled by the OS, capture user input from the HMI devices, and capture system events from applications executed by the processor at hardware, kernel and/or API levels. The In-VM operating system monitors also pass captured user input and system events to the user validation engine for analysis. The user validation engine identifies legitimate user events as those that move from the hardware level upward to pre-selected applications, identifies illegitimate user events as those that start at the kernel and/or API levels, and approves communication for legitimate events while denying communication for illegitimate events. L'invention concerne un système et un procédé permettant de détecter l'existence de logiciels malveillants sur un hôte local par analyse du comportement de processus logiciel comprenant des événements d'entrée utilisateur et des événements de système. Un moteur de validation utilisateur fournit une notification utilisateur. Des moniteurs de système d'exploitation interne à la MV capturent des événements pris en charge par le système d'exploitation (OS), capturent une entrée utilisateur en provenance des dispositifs IHM et capturent des événements de système à partir d'applications exécutées par le processeur au niveau matériel, du noyau, et/ou de l'API. Les moniteurs de système d'exploitation interne à la MV font également passer une entrée utilisateur capturée et des événements de système au moteur de validation utilisateur pour analyse. Le moteur de validation utilisateur identifie des événements utilisateur légitimes comme ceux qui se déplacent à partir du niveau matériel vers le haut vers des applications pré-sélectionnées, identifie des événements utilisateur illégitimes comme ceux qui commencent au niveau du noyau et/ou au niveau de l'API, et approuve la communication pour les événements légitimes tout en refusant la communication pour les événements illégitimes.