Detecting exploit code in network flows

Details Detecting exploit code in network flows Detecting exploit code in network flows

G - Physics

06

F

G06F 9/45 (2006.01)

Patent

CA 2585145

Disclosed is a method and apparatus for detecting exploit code in network flows. Network data packets are intercepted by a flow monitor which generates data flows from the intercepted data packets. A content filter filters out legitimate programs from the data flows, and the unfiltered portions are provided to a code recognizer which detects executable code. Any embedded executable code in the unfiltered data flow portions is identified as a suspected exploit in the network flow. The executable code recognizer executable code by performing convergent binary disassembly on the unfiltered portions of the data flows. The executable code recognizer then constructs a control flow graph and performs control flow analysis, data flow analysis, and constraint enforcement in order to detect executable code. In addition to identifying detected executable code as a potential exploit, the detected executable code may then be used in order to generate a signature of the potential exploit, for use by other systems in detecting the exploit.

L'invention concerne un procédé et un dispositif de détection d'un code d'exploitation dans des flux de données réseaux. Les paquets de données réseaux sont interceptés par un système de surveillance de flux de données qui produit des flux de données à partir des paquets de données interceptés. Un filtre de contenu filtre les programmes légitimes dans les flux de données, les parties non filtrées étant communiquées à un identificateur de code qui détecte le code exécutable. Tout code exécutable intégré dans les parties de flux de données non filtrées est identifié comme exploitation suspecte du flux de données réseaux. L'identificateur de code exécutable identifie le code exécutable en appliquant un désassemblage binaire convergent aux parties non filtrées des flux de données. L'identificateur de code exécutable établit alors un diagramme de contrôle et réalise une analyse de flux de commande, une analyse de flux de données ainsi qu'une application de contraintes pour détecter le code exécutable. De plus, en vue d'identifier le code exécutable détecté comme exploitation potentielle, le code exécutable détecté peut être utilisé pour produire une signature de l'exploitation potentielle qui pourra servir à d'autres systèmes pour détecter l'exploitation.

Affiliated with

Also associated with

Rating

Detecting exploit code in network flows does not yet have a rating. At this time, there are no reviews or comments for this patent.

If you have personal experience with Detecting exploit code in network flows, we encourage you to share that experience with our LandOfFree.com community. Your opinion is very important and Detecting exploit code in network flows will most certainly appreciate the feedback.

Rate now

Comments { 0 }

Profile ID: LFCA-PAI-O-1925546