A SYSTEM TO IDENTIFY MACHINES INFECTED BY MALWARE APPLYING LINGUISTIC ANALYSIS TO NETWORK REQUESTS FROM ENDPOINTS

A method to identify machines infected by malware is provided. The method includes determining whether a universal resource locator in a network request is present in a first cache and determining whether a fully qualified domain name from the uniform resource locator is present in a second cache. T...

Full description

Saved in:
Bibliographic Details
Main Authors ASHLEY, PETER, HART, MICHAEL, KIENZLE, DARRELL
Format Patent
LanguageEnglish
French
Published 01.10.2015
Subjects
ELECTRIC COMMUNICATION TECHNIQUE
ELECTRICITY
TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION
Online AccessGet full text

Cover

More Information
Summary:A method to identify machines infected by malware is provided. The method includes determining whether a universal resource locator in a network request is present in a first cache and determining whether a fully qualified domain name from the uniform resource locator is present in a second cache. The method includes evaluating a parent hostname as to suspiciousness. The method includes indicating the computing device has a likelihood of infection, responsive to one of: the universal resource locator being present in the first cache with a first indication of suspiciousness, the fully qualified domain name being present in the second cache with a second indication of suspiciousness, or the evaluating the parent hostname having a third indication of suspiciousness, wherein at least one method operation is performed by the processor. A system and computer readable media are provided. L'invention concerne un procédé d'identification de machines infectées par un logiciel malveillant. Le procédé comprend la détermination de si un localisateur de ressources universel dans une demande de réseau est présent dans une première mémoire cache et la détermination de si un nom de domaine entièrement qualifié issu du localisateur de ressources uniforme est présent dans une deuxième mémoire cache. Le procédé comprend l'évaluation du caractère suspect d'un nom d'hôte parent. Le procédé comprend l'indication du fait qu'il existe une probabilité d'infection du dispositif informatique, en réponse à l'une des situations suivantes : le localisateur de ressources universel est présent dans la première mémoire cache avec une première indication de caractère suspect, le nom de domaine entièrement qualifié est présent dans la deuxième mémoire cache avec une deuxième indication de caractère suspect, ou l'évaluation du nom d'hôte parent possède une troisième indication de caractère suspect. Au moins une opération du procédé est exécutée par le processeur. L'invention concerne un système et un support lisible par ordinateur.
Bibliography:Application Number: WO2015US20763