的而总是处理整个组的网络数据包。这一结果是有利的,相比于为了确定该组的网络数据包是否是正常的而设计迭代处理一组网络数据包的每个网络数据包,因为它适合于UTMS高效操作。假的条件(ii ),用于确定一组网络数据包是否是正常或不正常尽管仍然有用但是效率较低,因为整数序列可以具有多个特定整数实例,并且所有实例必须满足假的条件(ii)为了作为整体假的条件(ii)。
[0074]当网络数据包的异常组被检测到时,UTMS跟随判定框130到方框140,其产生一个或多个适当的应答。当一组网络数据包被确定为正常时,UTMS返回到方框120并分析另外的网络通信。方框120-130将参考图12进行讨论。图12示出了网络数据包示例性组合1200-1209和示例性元表达式1210。元表达式1210可以是在训练期间(图1的方框110)创建的元表达式之一。为简单起见,元表达式1210的长度被缩短。如图所示,网络数据包1201、1202和1209的分组包含元表达式1210所有整数,整数以相同的顺序出现在元表达式1210中。因此,网络数据包1201、1202和1209的分组被视为异常在于其含有标识受损计算系统存在的特性散发物。网络数据包1200和1203-1208的分组不包含元表达式1210的所有有序整数。因此,网络数据包1200和1203-1208的分组被视为正常在于其缺乏标识受损计算系统存在的特性散发物。
[0075]如从前面的讨论中明显看出,在方框120中,UTMS执行许多整数比较。因此,整数比较的优化对于UTMS的效率是重要的。回想一下,第一个实例中元表达式的整数不存在于对应网络通信整数序列中时一组网络通信被认为是正常的。因此,如果早期的“正常”的确定可以给出就能够改进UTMS的性能。为此,结构化方框120的技术是有益的,使得一旦来自元表达式中的一个整数被标识为不存在整数序列中,整数序列和元表达式之间的整数比较终止。
[0076]在一个实施方案中,当任何一个返回嵌套级别中的“假”状态时,方框120采用返回整体值为“假”(例如,布尔值)的嵌套计算机编程语言表达式。因此,一旦UTMS标识没有一个整数时(在嵌套级别中的任何一个),其全部嵌套计算机编程语言表达式处理终止。因而网络通信的相应组被标识为正常(在这种情况下,不必要有额外的威胁检测)并且一组后续的网络通信将被分析。例如,如果表达式(A)、(B)、(C)和/或(D)中的任何一个为“假”,LISP计算机编程语言允许以((((A) (B)) (C)) (D))的嵌套表达式形式返回“假”的整体值。在本示例中,表达式(A)可以查询元表达式的第一个整数是否出现在整数序列中并且表达式(B)可以查询元表达式的第二整数是否出现整数序列中等等。
[0077]在方框140中,一个或多个适当的反应可能会生成。一个适当的反应可以是标识受损计算系统存在的用户或系统警报。受损计算系统的身份可以基于其中特性散发物被发现的该组网络数据包来确定。另一种适当的反应可能是从特性散发物的源头净化任何网络通信,即受损网络节点,以便攻击的网络节点不能继续接收来自受损网络节点的肯定响应。另一适当的反应可以是隐藏受损网络节点使得攻击的网络节点可以不再到达目标网络节点因而不能继续进行攻击。
[0078]过程100 (图1)的部分可在图13所示的示例性计算系统1300中实现。在一些实施方案中,计算系统1300是网络设备,诸如路由器、网关和防火墙或类似物。在一些实施方案中,计算系统1300是网关设备,例如调制解调器或类似物。在一些实施方案中,计算系统1300是移动设备,诸如台式计算机、膝上型计算机、移动电话,平板电脑或类似物。在一些实施方案中,计算系统1300是网络接口“卡”。值得注意的是,过程100的训练方面(S卩,方框110)和过程100的运行时间方面(也就是,方框120-140)可以被相同或到不同的计算系统实现。
[0079]如图13所示,计算系统1300包括计算机主板1302带有连接I/O部分1304的总线1310、一个或多个中央处理单元(CPU) 1306和存储部分1308。存储部分1308可以具有与它有关的存储器模块1320。例如存储器模块1320可以是闪速存储器和/或可移动存储装置。I/O部分1304被连接到网络接口 1312,其接收和/或传送网络数据包。I/O部分1304可以被连接到显示器1314、输入装置1316和/或存储单元1318。存储部分1308、存储模块1320和/或存储单元1318可存储(例如有形实体)计算机可读介质,其包含使用CPU1306用于执行上述处理中的任何一个的计算机可执行指令和/或数据。计算机可执行指令可以被改写,例如使用通用的编程语言(例如,LISP、C)或一些专门针对特定应用的语言。输入设备1316可以是支持从USB兼容设备输入的USB端口,如键盘、鼠标、记忆棒或类似物。至少根据上述处理结果的一些值可以保存到存储器,例如存储器1308、存储模块1320和/或磁盘存储单元1318以供后续使用。
[0080]过程100(图1)的部分也可以通过具体布置集成电路(例如,专用集成电路)的方式被实现成处理器。在一些实施方案中,集成电路可以是设备主处理器的一部分,例如移动电话的主处理器。在一些实施方案中,集成电路可以是设备辅助处理器的一部分,例如连接到笔记本电脑主板的处理器。该集成电路可以包含用于执行上述处理中的任一项的计算机可执行指令和/或数据。该计算机可执行指令可以被改写,例如使用专门的应用程序特定(例如,处理器特定的)的语言。
[0081]在一些实施方案中,基于总量小于1MB的C编程语言的计算机可执行指令足以执行过程100 (图1)。这些计算机可执行指令的执行需要不超过300KB (16位字节)运行时间存储器(例如,随机存取存储器)。现代计算系统和/或处理器都能够处理这种尺寸的计算机可执行指令。实际上,在这些实施方案中,网络接口带宽(即,输入带宽)而不是处理器速度,对于处理甚至更高容量的网络通信通常是限制因素。
[0082]在一些实施方案中,过程100 (图1)的一个或多个部分可以连同数字安全威胁检测器实现,诸如美国专利号8347391中描述的检测器所关注的网络活动,其也由申请人所拥有。美国专利号8347391的部分涉及创建和使用的元表达式用于检测所关注的网络活动,如计算机病毒,在此为了所有目的通过参考并入本文。带有数字安全威胁检测器的过程100的实现是有利的,因为由数字安全威胁检测器避免检测的威胁(并因此成功破坏计算系统)可在以后使用过程100的一个或多个部分来解决。
[0083]虽然只有某些示例性实施方案已在上面详细地描述,本领域的技术人员将容易理解在不脱离本发明的新颖性教导和优点的情况下对示例性实施方案的许多修改是可能的。上面公开的实施方案的方面可以被组合到其它组合中以形成另外的实施方案。所有这些修改旨在被包括在本技术的范围之内。
[0084]例如,在一些实施方案中,上述技术可以被修改以检测未联网的受损计算系统。更具体地,当其服务之一受损时非网络计算系统仍可能以存储器中的数据形式产生特性散发物。上述技术因此适合于使用存储器转储,而不是捕获网络数据包,进而确定元表达式并利用元表达式识别系统受损。元表达式的确定和/或使用元表达式存储器内容的监视可以通过本地、非联网计算系统上的软件和/或硬件来执行。
【主权项】
1.一种用于检测被未检测到的攻击破坏的计算设备的计算机实现方法,所述方法包括: 通过一个或多个处理器从网络获取多个网络数据包,其中所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包,其中所获取的多个网络数据包包括: 所述计算设备上包含已知攻击的网络数据包,所述已知攻击不同于所述未检测到的攻击, 来自所述计算设备的所述已知攻击之前的网络数据包,和 来自所述计算设备的所述已知攻击之后的网络数据包; 通过所述一个或多个处理器从所述多个TCP分组和IP分组的至少一个子集创建多个组合数据包的,其中: 所述多个组合数据包中的第一组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分,和 所述多个组合数据包中的第二组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分,其中所述第二组合数据包不同于所述第一组合数据包;通过所述一个或多个处理器将所述第一组合数据包的至少一部分内容按位转换为第一组多个整数来创建第一序列,其中所述第一序列包括所述第一组多个整数; 通过所述一个或多个处理器将所述第二组合数据包的至少一部分内容按位转换为第二组多个整数来创建第二序列,其中所述第二序列包括所述第二组多个整数; 通过所述一个或多个处理器基于距离函数确定所述第一序列和所述第二序列之间的相似性度量; 通过所述一个或多个处理器基于所述相似性度量创建第三序列,其中在第一顺序所述第三序列包括共有于所述第一序列和所述第二序列的第三组多个整数; 通过所述一个或多个处理器创建第四序列,其中所述第四序列是元表达式,其: 包括在第一顺序上所述第三列表的第三组多个整数的子集,和 代表被攻击破坏的所述计算设备;和 存储所述元表达式,其中所存储的元表达式被用来检测被所述未检测到的攻击破坏的所述计算设备。2.如权利要求1所述的计算机实现方法,其中: 在所述计算设备中未被检测到的攻击目标是漏洞,所述一个或多个处理器不知晓所述漏洞。3.如权利要求1所述的计算机实现方法,其中所述第一组合数据包的所述创建包括: 识别所述多个网络数据包的第一 TCP分组,表示请求; 识别所述多个网络数据包的第二 TCP分组,表示确认,其中所述第二 TCP分组: 出现在所述第一 TCP分组之后,和 对应于所述第一 TCP分组表示确认;和 识别所述多个网络数据包的第三TCP分组,其中所述第三TCP分组发生在所述第一 TCP分组和所述第二 TCP分组之间。4.如权利要求1所述的计算机实现方法,其中: 所述相似性量度表示在所述第一序列中整数的位置和所述第二序列中整数的位置之间的差,和 如果所述差是在第一预定距离之内所述整数被包括在所述第三序列中。5.如权利要求4所述的计算机实现方法,其中: 所述第一预定距离为4。6.如权利要求1所述的计算机实现方法,其中: 在所述第一顺序中所述第四序列的整数出现在至少多个组合数据包之间的预定频率中,其中所述频率为80-90 %百分比之间。7.如权利要求1所述的计算机实现方法,其中: 所述第一、第二和第三组多个整数是8位整数。8.如权利要求7所述的计算机实现方法,其中: 所述第一组合数据包的至少一部分内容按位转换为第一组多个整数包括分组所述第一组合数据包的至少一部分内容按位为8位整数。9.如权利要求1所述的计算机实现方法, 其中所述计算设备是第一计算设备, 其中所述一个或多个处理器是第二计算设备的处理器, 其中所述所存储的元表达式存储在所述第二计算设备上,并且所述方法还包括: 通过所述第二计算设备的所述一个或多个处理器检测所述第一计算设备的受损情况。10.如权利要求1所述的计算机实现方法, 其中所述计算设备是第一计算设备, 其中所述一个或多个处理器是第二计算设备的