用于检测受损计算系统的系统与方法
【专利说明】用于检测受损计算系统的系统与方法
[0001]相关申请交叉引用
[0002]本申请要求于2013年1月28日的提交美国专利申请序列号13/752,268利益和优先权,其
【发明内容】
通过引用整体并入本文。
【背景技术】
[0003]1.
技术领域
[0004]本发明一般涉及数字安全领域,并且更具体地检测已经被数字安全威胁破坏的计算系统。
[0005]2.
【发明内容】
[0006]计算技术的扩散在数字安全领域继续存在挑战。众所周知,恶意实体可以使用一台网络计算机(即,网络节点)传播恶意计算机数据到其它网络节点,并由此造成系统中断和经济损失。受损的网络节点可能进一步传播恶意计算机数据到额外的网络节点并造成额外的伤害。
[0007]本领域的普通技术人员将理解网络计算机(或更一般地,计算系统)可能容易受至_击,例如那些基于计算机病毒、恶意软件、蠕虫、特洛伊木马、机器人、侵入(例如,未经授权的访问)、漏洞(例如,特权升级和违反保密)、基于时间的攻击(例如,拒绝服务)或类似物。术语“威胁”是用来描述一种或多种这些类型的攻击。
[0008]数字安全技术可以用于通过检测和/或从计算系统去除恶意计算机数据来应对这些类型的攻击。本领域的普通技术人员将理解数字安全技术可以驻留在不同的网络节点,可以以硬件和/或软件形式进行打包,并包括松散地被称为“反病毒软件”、“恶意软件检测”、“入侵预防”、“抗攻击”、防火墙或类似物等技术,虽然术语含义并不相同。更广泛的术语,“统一威胁管理”(“UTM”)也被用于描述一个或多个数字安全技术的这些实现。
[0009]传统的数字安全技术通常使用对应于特定威胁的签名检测威胁,这意味着威胁的检测依赖于特定威胁的先验知识以及该特定威胁签名的可用性。例如,传统的数字安全技术可以利用给定的计算机病毒的签名来扫描计算系统以检测给定的计算机病毒是否存在于计算系统中。这些类型技术的一个缺点是签名尚不可用的威胁不能被检测到。
[0010]发明概述
[0011]在一个示例性实施方案中,用于检测被未检测到的攻击破坏的计算设备的计算机实现方法包括从网络获取多个网络数据包。所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包。所获取的多个网络数据包包括含有基于已知威胁计算设备的攻击的网络数据包,其中已知威胁不同于未被检测到的威胁。所获取的多个网络数据包还包括来自被攻击前的计算设备的网络数据包和来自被攻击后的计算设备的网络数据包。多个组合数据包至少由多个TCP分组和IP分组的子集创建,其中多个组合数据包中的第一组合数据包包括至少一个TCP分组中的一部分和至少一个IP分组中的一部分,并且其中多个组合数据包中的第二组合数据包包括至少一个TCP分组中的一部分和至少一个IP分组中的一部分。第二组合数据包不同于第一组合数据包。第一序列是通过把第一组合数据包的至少一部分内容按位转换为第一组多个整数而创建的,其中第一序列包括第一组多个整数。第二序列是通过把第二组合数据包的至少一部分内容按位转换为第二组多个整数而创建的,其中第二序列包括第二组多个整数。相似性量度是根据第一序列和第二序列之间的距离函数来确定的。第三序列基于相似性量度被创建,其中第三序列是在第一顺序包括常见于第一序列和第二序列的第三组多个整数。第四序列被创建,其中第四序列是在第一顺序包括第三列表的第三组多个整数的子集的元表达式并代表该计算设备是被威胁破坏。元表达式被存储,并且所存储的元表达式被用来检测计算设备已经被未检测到的威胁破坏。
[0012]在一个示例性实施方案中,用于检测被未检测到的攻击破坏的网络计算装置的网络设备包括用于连接到网络基础设施的网络端口,其中网络端口适于获取多个网络数据包,并且其中所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包。所获取的多个网络数据包包括:包含计算设备上已知攻击的网络数据包,已知攻击不同于未知攻击,来自已知攻击之前的计算设备的网络数据包和来自已知攻击后的计算设备的网络数据包。网络设备还包括连接到网络端口的处理器,其中处理器适于产生多个组合数据包,来自至少多个TCP分组和IP分组的子集,其中多个组合数据包的第一组合数据包包含至少一个TCP分组的一部分和至少一个IP分组的一部分,并且多个组合数据包的第二组合数据包包括至少一个TCP分组的一部分和至少一个IP分组的一部分,其中第二组合数据包不同于第一组合数据包。第一序列是通过把第一组合数据包的至少一部分内容按位转换为第一组多个整数而创建的,其中第一序列包括第一组多个整数。第二序列是通过把第二组合数据包的至少一部分内容按位转换为第二组多个整数而创建的,其中第二序列包括第二组多个整数。相似性量度是根据第一序列和第二序列之间的距离函数来确定的。第三序列基于相似性量度被创建,其中第三序列是在第一顺序包括常见于第一序列和第二序列的第三组多个整数。第四序列被创建,其中第四序列是在第一顺序包括第三列表的第三组多个整数的子集的元表达式并代表该计算设备被攻击破坏。元表达式被存储,并且所存储的元表达式被用来检测计算设备已经被未检测到的攻击破坏。
[0013]在一个示例性实施方案中,具有计算机可执行指令的非临时性计算机可读存储介质用于检测被未检测到的攻击破坏的计算设备,该计算机可执行指令由一个或多个处理器执行使得一个或多个处理器执行从网络获取多个网络数据包的行为,其中所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包。所获取的多个网络数据包包括含有已知攻击的计算设备的网络数据包,已知攻击不同于从未被检测到的攻击,来自已知攻击之前的计算设备的网络数据包和来自已知攻击之后的计算设备的网络数据包。计算机可执行指令还包括用于从多个TCP分组和IP分组的子集创建多个组合数据包的指令,其中多个组合数据包的第一组合数据包包含至少一个TCP分组的一部分和至少一个IP分组的一部分,并且多个组合数据包的第二组合数据包包括至少一个TCP分组的一部分和至少一个IP分组的一部分,其中第二组合数据包不同于第一组合数据包。计算机可执行指令还包括用于通过一个或多个处理器把第一组合数据包的至少一部分内容按位转换为第一组多个整数来创建第一序列的指令,其中第一序列包括第一组多个整数。计算机可执行指令还包括用于通过一个或多个处理器把第二组合数据包的至少一部分内容按位转换为第二组多个整数来创建第二序列的指令,其中第二序列包括第二组多个整数。计算机可执行指令还包括用于确定基于距离函数的第一序列和第二序列之间的相似性量度的指令。计算机可执行指令还包括基于相似性量度用于创建第三序列的指令,其中第三序列是在第一顺序包括常见于第一序列和第二序列的第三组多个整数。计算机可执行指令还包括用于创建第四序列的指令,其中第四序列是在第一顺序包括第三列表的第三组多个整数的子集的元表达式并代表该计算设备被攻击破坏。计算机可执行指令还包括用于存储元表达式的指令,其中所存储的元表达式被用来检测该计算设备被未检测到的攻击破坏。
【附图说明】
[0014]图1描绘了用于检测受损计算系统的示例性过程。
[0015]图2描绘了采用统一威胁管理系统(UTMS)的示例性实施方案的网络框图。
[0016]图3描绘了用于修整UTMS的示例性过程。
[0017]图4描绘了网络节点之间的网络数据包的示例性传输。
[0018]图5描绘了 IP分组报头的布局。
[0019]图6描绘了 TCP分组报头的布局。
[0020]图7描绘了在IP网络数据包报头中的示例性值。
[0021]图8描绘了在实施方案中距离函数的示例性过程。
[0022]图9(A)_(F)描绘了示例性网络数据包。
[0023]图10 (A) - (C)描绘了示例性8位整数序列。
[0024]图11描绘了示例性8位整数序列。
[0025]图12描绘了示例性网络数据包的群组。
[0026]图13描绘了用于检测受损计算系统的示例性计算系统。
[0027]详细说明
[0028]下面提出的描述使本领域的普通技术人员能够制造和使用的各种实施方案。特定装置、技术和应用的描述仅作为示例被提供。对本文描述的实施方案的各种修改对于本领域中的普通技术人员将是显而易见的,并且本文定义的一般原理可以应用于其他示例和应用,而不脱离各种实施方案的精神和范围。因此,各种实施方案并不意在限于本文中所描述和展出的示例,但要与权利要求的范围一致。
[0029]在计算系统中使用针对特定威胁签名来检测数字安全威胁的数字安全技术很容易受到未知漏洞的威胁,因为针对特定威胁签名是困难的,如果可能创建针对未知漏洞的威胁(以下简称“未知威胁”)。示例性未知威胁是“零日”漏洞。“零日”漏洞被那些本领域的普通技术人员理解为存在于计算机应用程序的代码基础但还没有被公开利用的漏洞。另一个示例性未知威胁是不与任何现有的计算机病毒相关的新计算机病毒。由于显而易见的原因,这些可以通过的未知威胁不能被依赖从威胁的先验知识创造的针对特定威胁签名的数字安全技术检测到。
[0030]虽然计算系统可能会屈从于避免检测的未知威胁,申请人已发现当受到破坏时计算系统能够给出指示计算系统受损情况的特性散发物。这些特性散发物是不由自主的,这意味着它们不受影响也不被攻击威胁控制;相较而言,特性散发物是独立于攻击威胁的起因。因此,通过监控计算系统的这些特性散发物,特别是在网络通信中和来自网络计算系统,在网络中受损的计算系统的存在可以被识别并迅速解决。例如,受损计算系统可以在网络中被隐形以使它不再访问远程的恶意实体。
[0031]值得注意的是响应于计算系统受损情况而采取的迅速补救行动可以减轻或消除实际破坏,即使该受损本身不能避免。例如考虑恶意用户在数据服务器的安全壳的安全通信隧道(例如,SSH)中使用零日漏洞获取对数据服务器的非法访问的情况。虽然一旦受到破坏数据服务器的通信隧道提供给恶意用户升级的服务器访问,受损的数据服务器也传送特性散发物到网络,其可以由在网络上几分之一秒内操作的威胁管理系统进行检测(例如,防火墙)。紧随其后,威胁管理系统可以从网络隐藏受损数据服务器以防止包括来自恶意用户的任何额外的网络通信到达受损数据服务器。因此,即使恶意用户成功获取未经授权的访问,访问被迅速切断从而给恶意用户如果有的话只留下很少的时间去加以破坏。
[0032]本文所描述的实施方案包括用于从已经被数字安全威胁破坏的计算系统识别特性散发物和用于执行适当的响应动作的方法。
[0033]“网络通信”和“网络数据包”的概念在本领域是公知这里不再详述。作为示例,“网络通信”包含“网络数据包”如以太网分组,传输控制协议(TCP)分组、互联网协议(IP)分组或类似物。术语“特性散发物”在这里用来指包含在网络数据包中的计算机数据,即表示计算系统受损状况。例如,受损计算系统可传递非路由以及包含零位值字