一种检测零日威胁的方法、网络设备、非暂态机器可读介质与流程

技术特征：

1.一种非暂态机器可读介质，在其上存储指令，包括在被执行时使机器用于以下操作的指令：

由第一设备拦截应用对来自第二设备的数据的请求，其中所述请求标识用户代理；以及

响应于确定在来自所述应用的请求中已经标识预定阈值数量的不同用户代理，生成对可能的恶意软件的指示，

其中所述预定阈值数量是应用专用的。

2.如权利要求1所述的机器可读介质，其特征在于，用于拦截的所述指令包括在被执行时使所述第一设备用于以下操作的指令：

接收包括对来自所述第二设备的数据的所述请求的数据分组；以及

响应于安全策略将所述数据分组中继给所述第二设备。

3.如权利要求1所述的机器可读介质，其特征在于，所述第一设备提供代理服务。

4.如权利要求1所述的机器可读介质，其特征在于，在被执行时使所述机器用于生成指示的所述指令包括在被执行时使所述机器用于以下操作的指令：

标识请求所述数据的所述应用；

从标识所述用户代理的所述请求中提取用户代理数据；以及

在高速缓存中查找所述应用和用户代理数据。

5.如权利要求4所述的机器可读介质，其特征在于，在被执行时使所述机器用于生成指示的所述指令进一步包括在被执行时使所述机器用于以下操作的指令：

响应于确定在所述高速缓存中不存在此类条目，向所述高速缓存添加对应于所述应用和所述用户代理数据的条目；以及

确定在所述高速缓存中存在多少用于所述应用的条目。

6.如权利要求4所述的机器可读介质，其特征在于，在被执行时使所述机器用于生成指示的所述指令包括在被执行时使所述机器用于以下操作的指令：

响应于确定在所述高速缓存中不存在用于所述应用的条目，向所述高速缓存添加对应于所述应用和所述用户代理数据的条目。

7.如权利要求1所述的机器可读介质，其特征在于，所述指示指出所述应用潜在地是恶意软件。

8.如权利要求1所述的机器可读介质，其特征在于，所述指令进一步包括在被执行时使所述机器用于以下操作的指令：

更新标识所述用户代理的所述应用的请求的计数。

9.一种网络设备，包括：

代理组件，被配置成充当用于网络通信量的代理服务器、拦截来自在另一设备上执行的应用的数据请求；

协议解析引擎，被配置成解析被拦截的请求以及确定由所述请求标识的用户代理；

主机应用标识符组件，被配置成标识作出所述请求的所述应用；以及

用户代理分析器组件，被配置成：

确定多少不同用户代理已经与所述应用相关联；以及

响应于确定预定阈值数量的不同用户代理已经与所述应用相关联，指示所述应用为可能的恶意软件，

其中所述预定阈值数量是应用专用的。

10.如权利要求9所述的网络设备，其特征在于，进一步包括：

元数据服务器组件，被配置成：

获得来自对应于所述应用和所述请求的所述另一设备的元数据；以及

基于所述元数据标识作出所述请求的所述应用。

11.如权利要求9所述的网络设备，其特征在于，进一步包括：

应用-用户代理的映射的数据库。

12.如权利要求11所述的网络设备，其特征在于，进一步包括：

管理与配置组件，被配置成允许对所述数据库进行管理更新。

13.如权利要求9所述的网络设备，其特征在于，所述阈值数量取决于所述应用。

14.一种检测零日威胁的方法，包括：

由网络设备接收来自在第一设备上运行的应用的数据分组；

标识由包含在所述数据分组中的数据请求指定的用户代理；

确定有多少不同用户代理已经被检测到与所述应用相关联的计数；以及

响应于超出预定阈值的所述计数，由所述网络设备生成所述应用可能是恶意软件的指示，

其中所述预定阈值是应用专用的。

15.如权利要求14所述的方法，其特征在于，接收数据分组包括：

由所述网络设备的代理服务器拦截所述数据分组；以及响应于所述网络设备的安全策略，将所述数据分组中继给在所述数据分组中被指定的目的地。

16.如权利要求14所述的方法，其特征在于，由所述网络设备生成指示包括：

从接收自所述第一设备的元数据中标识所述应用；

解析所述数据分组以及提取标识所述用户代理的用户代理数据；以及

在应用和相关联的用户代理的高速缓存中查找所述应用和用户代理。

17.如权利要求16所述的方法，其特征在于，由所述网络设备生成指示进一步包括：

响应于在所述高速缓存中不存在此类条目的确定，向所述高速缓存添加与所述应用和所述用户代理相关联的条目。

18.如权利要求16所述的方法，其特征在于，由所述网络设备生成指示进一步包括：

增加指定所述用户代理的所述应用的数据请求的计数。

19.一种网络设备，包括：

一个或多个处理器；

数据库，所述数据库被耦合到所述一个或多个处理器，存储应用和用户代理之间的关联；以及

存储器，所述存储器被耦合到所述一个或多个处理器，指令存储在所述存储器上，包括被执行时使一个或多个所述处理器进行以下操作的指令：

由所述网络设备的代理服务拦截来自第一设备的数据请求；

标识在所述第一设备上的传输了所述数据请求的应用；

标识由所述请求指定的用户代理；

响应于确定在所述数据库中不存在此类关联，在所述应用和所述用户代理之间添加关联；

确定所述应用是否已经与预定阈值数量的不同用户代理相关联；以及

响应于所述确定，指示所述应用是可疑的，

其中所述预定阈值数量是应用专用的。

20.如权利要求19所述的网络设备，其特征在于，所述指令进一步包括被执行时使一个或多个所述处理器进行以下操作的指令：

将所述数据请求中继给由所述请求指出的目的地。

21.如权利要求19所述的网络设备，其特征在于，所述数据库包括高速缓存。

22.如权利要求19所述的网络设备，其特征在于，所述指令进一步包括被执行时使一个或多个处理器更新由指定所述用户代理的所述应用已经作出了多少请求的计数的指令。