DETECTION AND PREVENTION OF MALICIOUS SHELL EXPLOITS

Methods, systems, and devices detect and block execution of malicious shell commands requested by a software application. Various embodiments may include receiving a request from a software application to execute a shell command and simulating execution of the shell command to produce execution beha...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: LI, Dong, GATHALA, Sudha Anil Kumar, KIM, Minjang
Format: Patent
Sprache:eng ; fre
Schlagworte:
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:Methods, systems, and devices detect and block execution of malicious shell commands requested by a software application. Various embodiments may include receiving a request from a software application to execute a shell command and simulating execution of the shell command to produce execution behavior information. The computing device may analyze system activities to produce execution context information and generate an execution behavior vector based, at least in part, on the execution behavior information and the execution context information. The computing device may use a behavior classifier model to determine whether the shell command is malicious. In response to determining that the shell command is malicious, the computing device may block execution of the shell command. La présente invention concerne des procédés, des systèmes et des dispositifs permettant de détecter et de bloquer l'exécution de commandes d'interprétation malveillantes demandées par une application logicielle. Divers modes de réalisation peuvent consister à recevoir une demande provenant d'une application logicielle en vue d'exécuter une commande d'interprétation et à simuler l'exécution de la commande d'interprétation pour produire des informations de comportement d'exécution. Le dispositif informatique peut analyser des activités de système pour produire des informations de contexte d'exécution et générer un vecteur de comportement d'exécution sur la base, au moins en partie, des informations de comportement d'exécution et des informations de contexte d'exécution. Le dispositif informatique peut utiliser un modèle de classificateur de comportement afin de déterminer si la commande d'interprétation est malveillante. En réponse à la détermination selon laquelle la commande d'interprétation est malveillante, le dispositif informatique peut bloquer l'exécution de la commande d'interprétation.