处理器, 其中所述所存储的元表达式存储在所述第二计算设备上,并且所述方法还包括: 从所述第二计算设备传送所述所存储的元表达式到第三计算设备,其中所述第二计算设备不同于所述第三计算设备; 通过所述第三计算设备存储所传送的元表达式;和 通过所述第三计算设备检测所述第一计算设备的受损情况。11.一种用于检测被未检测到的攻击破坏计算设备的计算机实现方法,所述方法包括: a)通过一个或多个处理器从网络获取多个网络数据包,其中所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包,其中所获取的多个网络数据包包括来自受损计算设备的传送; b)通过所述一个或多个处理器创建获取自a)的所述多个TCP分组和IP分组的至少一个子集的组合数据包,其中所述组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分; c)获取元表达式,其: 包括顺序的多个整数,和 所述计算设备被攻击破坏; d)确定获取自c)中的元表达式是否出现在创建于b)中的组合数据包中; e)如果获取自c)中的元表达式出现在创建于b)中的组合数据包中,然后开始操作。12.如权利要求11所述的计算机实现方法,其中所述确定包括: 确定所述多个整数,其获取自c)中的元表达式的顺序是否与出现在创建于b)中的组合数据包的顺序相同。13.如权利要求11所述的计算机实现方法,其中所述操作包括过滤TCP分组或IP分组。14.如权利要求11所述的计算机实现方法,其中所述操作包括隐藏所述受损计算设备。15.根据权利要求11所述的计算机实现方法,其中所述创建组合数据包包括: 标识表示请求的第一 TCP分组; 标识表示确认的第二 TCP分组,其中所述第二 TCP分组: 出现在所述第一 TCP分组之后,和 对应于所述第一 TCP分组表示确认;和 标识第三TCP分组,其中所述第三TCP分组发生在所述第一 TCP分组和所述第二 TCP分组之间。16.一种用于检测被未检测到的攻击破坏网络计算设备的网络设备,包括: 用于连接到网络基础设施的网络端口,其中所述网络端口适于获取多个网络数据包,其中所获取得的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包,其中所述所获取的多个网络数据包包括: 在所述计算设备上包含已知攻击的网络数据包,所述已知攻击不同于所述未被检测到的攻击, 来自所述计算设备的所述已知攻击之前的网络数据包,和 来自所述计算设备的所述已知攻击之后的网络数据包; 连接到网络端口的处理器,其中所述处理器适于: 从所述多个TCP分组和IP分组的至少一个子集创建多个组合数据包,其中: 所述多个组合数据包中的第一组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分,和 所述多个组合数据包中的第二组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分,其中所述第二组合数据包不同于所述第一组合数据包;通过将所述第一组合数据包的至少一部分内容按位转换为第一组多个整数来创建第一序列,其中所述第一序列包括所述第一组多个整数; 通过将所述第二组合数据包的至少一部分内容按位转换为第二组多个整数来创建第二序列,其中所述第二序列包括所述第二组多个整数; 基于距离函数确定所述第一序列和所述第二序列之间的相似性度量; 基于所述相似性度量创建第三序列,其中在第一顺序所述第三序列包括共有于所述第一序列和所述第二序列的第三组多个整数;和 创建第四序列,其中所述第四序列是元表达式,其: 包括在第一顺序上所述第三列表的第三组多个整数的子集,和 代表被攻击破坏的所述计算设备;和 连接到所述处理器的存储器,其中所述存储器适于存储所述元表达式,其中所存储的元表达式被用来检测被所述未检测到的攻击破坏的所述计算设备。17.如权利要求16所述的网络设备,其中: 在所述计算设备中未被检测到的攻击目标是漏洞,所述网络设备不知晓所述漏洞。18.如权利要求16所述的网络设备,其中所述第一组合数据包的创建包括: 识别所述多个网络数据包的第一 TCP分组,表示请求; 识别所述多个网络数据包的第二 TCP分组,表示确认,其中所述第二 TCP分组: 出现在所述第一 TCP分组之后,和 对应于所述第一 TCP分组表示确认;和 识别所述多个网络数据包的第三TCP分组,其中所述第三TCP分组发生在所述第一 TCP分组和所述第二 TCP分组之间。19.如权利要求16所述的网络设备,其中: 所述相似性量度表示在所述第一序列中整数的位置和所述第二序列中整数的位置之间的差,和 如果所述差是在第一预定距离之内所述整数被包括在所述第三序列中。20.如权利要求19所述的网络设备: 所述第一预定距离为4。21.如权利要求16所述的网络设备,其中: 在所述第一顺序中所述第四序列的整数出现在至少多个组合数据包之间的预定频率中,并且其中所述频率为80-90 %百分比之间。22.如权利要求16所述的网络设备,其中: 所述第一、第二和第三组多个整数是8位整数。23.如权利要求16所述的网络设备,其中: 所述第一组合数据包的至少一部分内容按位转换为第一组多个整数包括分组所述第一组合数据包的至少一部分内容按位为8位整数。24.如权利要求16所述的网络设备,其中所述处理器还适于: 检测所述计算设备的受损情况。25.如权利要求16所述的网络设备, 其中所述计算设备是第一计算设备, 其中所述处理器还适于: 传送所述所存储的元表达式到第二计算设备, 其中所述所传送的元表达式由所述第二计算设备存储,和 其中所述所传送的元表达式被所述第二联网计算设备所使用以检测所述第一计算设备的受损情况。26.—种具有计算机可执行指令的非临时性计算机可读存储介质,用于检测被未检测到攻击破坏的计算设备,当被一个或多个处理器执行的所述计算机可执行指令使所述一个或多个处理器来执行的行为: 从网络获取多个网络数据包,其中所述所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包,其中所获取的多个网络数据包包括: 在所述计算设备上包含已知攻击的网络数据包,所述已知攻击不同于所述未被检测到的攻击, 来自所述计算设备的所述已知攻击之前的网络数据包,和 来自所述计算设备的所述已知攻击之后的网络数据包; 从所述多个TCP分组和IP分组的一个子集创建多个组合数据包,其中所述多个组合数据包中的第一组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分,和 所述多个组合数据包中的第二组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分,其中所述第二组合数据包不同于所述第一组合数据包;通过所述一个或多个处理器将所述第一组合数据包的至少一部分内容按位转换为第一组多个整数来创建第一序列,其中所述第一序列包括所述第一组多个整数; 通过所述一个或多个处理器将所述第二组合数据包的至少一部分内容按位转换为第二组多个整数来创建第二序列,其中所述第二序列包括所述第二组多个整数; 基于距离函数确定所述第一序列和所述第二序列之间的相似性度量; 基于所述相似性度量创建第三序列,其中在第一顺序所述第三序列包括共有于所述第一序列和所述第二序列的第三组多个整数; 创建第四序列,其中所述第四序列是元表达式,其: 包括在第一顺序上所述第三列表的第三组多个整数的子集,和 代表被攻击破坏的所述计算设备;和 存储所述元表达式,其中所存储的元表达式被用来检测被所述未检测到的攻击破坏的所述计算设备。27.如权利要求26所述的非临时性计算机可读介质, 其中未被检测到的攻击目标是在所述计算设备中的漏洞,和 其中所述一个或多个处理器不知晓所述漏洞。28.如权利要求26所述的非临时性计算机可读介质,其中所述第一组合数据包的创建包括: 识别所述多个网络数据包的第一 TCP分组,表示请求; 识别所述多个网络数据包的第二 TCP分组,表示确认,其中所述第二 TCP分组: 出现在所述第一 TCP分组之后,和 对应于所述第一 TCP分组表示确认;和 识别所述多个网络数据包的第三TCP分组,其中所述第三TCP分组发生在所述第一 TCP分组和所述第二 TCP分组之间。29.如权利要求26所述的非临时性计算机可读介质,其中: 所述相似性量度表示在所述第一序列中整数的位置和所述第二序列中整数的位置之间的差,和 如果所述差是在第一预定距离之内所述整数被包括在所述第三序列中。30.如权利要求29所述的非临时性计算机可读介质,其中: 所述第一预定距离为4。31.如权利要求26所述的非临时性计算机可读介质,其中: 在所述第一顺序中所述第四序列的整数出现在至少多个组合数据包之间的预定频率中,并且其中所述频率为80-90 %百分比之间。32.如权利要求26所述的非临时性计算机可读介质,其中: 所述第一、第二和第三组多个整数是8位整数。33.如权利要求32所述的非临时性计算机可读介质,其中 所述第一组合数据包的至少一部分内容按位转换为第一组多个整数包括分组所述第一组合数据包的至少一部分内容按位为8位整数。34.如权利要求26所述的非临时性计算机可读介质, 其中所述计算设备是第一计算设备, 其中所述所存储的元表达式存储在第二计算设备上,和 其中所述计算机可执行指令包括指令用于: 通过所述第二计算设备检测所述第一计算设备的受损情况。35.如权利要求26所述的非临时性计算机可读介质, 其中所述计算设备是第一计算设备, 其中所述所存储的元表达式存储在第二计算设备上,和 其中所述计算机可执行指令包括指令用于: 从所述第二计算设备传送所述所存储的元表达式到第三计算设备, 其中所述第二计算设备不同于所述第三计算设备, 其中所传送的元表达式由所述第三计算设备存储,和 其中所述所传送的元表达式被所述第三计算设备使用以检测所述第一计算设备的受损情况。
【专利摘要】一种数字安全威胁管理系统被公开。该系统在网络上检测被未检测到的和/或未知的数字安全威胁所破坏的计算系统的存在。该数字安全威胁管理系统能识别来自已经被破坏的计算系统的特性散发物。因为已知威胁导致的特性散发物与未检测到的和/或未知威胁导致的特性散发物可以相同,如果该安全威胁管理系统能基于该计算系统的已知威胁从先前的攻击中识别特性散发物,数字安全威胁管理系统可以学习以检测已经被未知威胁破坏的计算系统。以这种方式,该系统可以检测被破坏的计算系统的存在,即使被破坏的原因仍然未被检测到和/或未知。适当的补救措施可以在检测中采取。
【IPC分类】G06F11/00
【公开号】CN105431828
【申请号】CN201480006431
【发明人】J·S·弗劳尔斯, R·C·埃弗斯
【申请人】趣斯特派普有限公司
【公开日】2016年3月23日
【申请日】2014年1月27日
【公告号】DE112014000578T5, US8856324, US9350707, US20140215606, US20150020187, WO2014117064A2, WO2014117064A3