經由分析無響應出站網絡流量來檢測感染的網絡設備的制作方法
【專利摘要】本發(fā)明涉及經由分析無響應出站的網絡流量來檢測感染的網絡設備��。本公開描述了用于經由分析無響應出站網絡流量來檢測感染的網絡設備的一種或更多系統(tǒng)�、方法���、例程和/或技術�����。計算機實施的方法可以包含接收第一數(shù)據包信息作為輸入的例程����。方法可以包含執(zhí)行如下例程���,該例程分析第一數(shù)據包信息���,以確定第一數(shù)據包信息是否識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包。方法可以包含執(zhí)行如下例程,如果第一數(shù)據包信息被確定為潛在的無響應數(shù)據包��,則該例程在一個或更多數(shù)據存儲件中存儲和/或追蹤第一數(shù)據包信息����。方法可以包含執(zhí)行如下例程,如果基于分析第二數(shù)據包信息確定第一數(shù)據包信息不是無響應數(shù)據包����,則該例程移除和/或終止對第一數(shù)據包信息的追蹤。
【專利說明】經由分析無響應出站網絡流量來檢測感染的網絡設備
【技術領域】
[0001]本公開涉及網絡安全���,尤其涉及經由分析無響應出站的網絡流量來檢測感染的網絡設備的一種或更多系統(tǒng)����、方法���、例程和/或技術�����。
【背景技術】
[0002]隨著計算機的廣泛使用����,一些受到誤導的個人和/或實體采用多種技術向毫無戒備的用戶或實體的計算機傳播惡意軟件。惡意軟件一般是指懷惡意的���、有害的和/或不希望的可執(zhí)行程序和/或數(shù)據�,包含計算機病毒�����、間諜程序�、未經請求的廣告、廣告可執(zhí)行程序��、不希望的內容等���。反惡意軟件程序被設計為檢測和/或消除惡意軟件。檢測典型地通過使用周期性地更新的惡意軟件定義文件���,比如病毒定義文件���,對用戶計算機上的文件和文件夾進行掃描來實現(xiàn)。惡意軟件定義文件可以指示建議惡意軟件的模式��。通過將用戶計算機上的文件與惡意軟件定義文件相比較��,可以檢測出一些惡意軟件。如果惡意軟件被檢測到在給定的文件中���,則該文件可以被標記以便注意和/或可以修復或刪除���。
[0003]通過將這類系統(tǒng)與在本申請的其余部分中并參考附圖所述的本發(fā)明的一些方面相比較,傳統(tǒng)和常規(guī)方法的其他限制和缺點對于本領域技術人員來說將會是顯而易見的�����。
【發(fā)明內容】
[0004]本公開描述了用于經由分析無響應出站網絡流量來檢測感染的網絡設備的一種或更多系統(tǒng)��、方法��、例程和/或技術���。本公開的系統(tǒng)�、方法����、例程和/或技術可以被設計和/或修改以檢測由攻擊者所使用的不同技術。本公開的一個或更多實施例可以描述了分析沒有接收到響應數(shù)據包或沒有接收到帶有實質性響應的數(shù)據包(即無響應數(shù)據包)的出站網絡數(shù)據包�����,以檢測設備和/或網絡上的惡意軟件。
[0005]本公開的一個或更多實施例描述了用于網絡和/或設備安全的計算機實施的方法��。方法可以在一個或更多計算機(例如一個或更多防火墻)上執(zhí)行��,并且可以包含在一個或更多計算機上執(zhí)行的數(shù)個例程���。方法可以包含接收第一數(shù)據包信息作為輸入的例程��。方法可以包含如下例程���,其分析第一數(shù)據包信息,以確定第一數(shù)據包信息是否識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包����。方法可以包含如下例程���,如果第一數(shù)據包信息識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包���,并且如果第一數(shù)據包信息被確定為潛在的無響應數(shù)據包,則該例程在一個或更多數(shù)據存儲件中存儲和/或追蹤第一數(shù)據包信息����。方法可以包含接收第二數(shù)據包信息作為輸入的例程��。方法可以包含如下例程����,其分析第二數(shù)據包信息��,以確定第二數(shù)據包信息是否識別響應于出站網絡數(shù)據包的入站網絡數(shù)據包���。方法可以包含如下例程��,如果第二數(shù)據包信息識別響應于出站網絡數(shù)據包的入站網絡數(shù)據包���,并且如果基于第二數(shù)據包信息確定第一數(shù)據包信息不是無響應數(shù)據包,則該例程在一個或更多數(shù)據存儲件中移除和/或終止對第一數(shù)據包信息的追蹤����。
[0006]在一些實施例中,第一數(shù)據包信息和第二數(shù)據包信息可以各自是數(shù)據包報頭信息��。在一些實施例中,第一數(shù)據包信息和第二數(shù)據包信息可以各自是歸一化的數(shù)據包報頭信息,其包含在一段時間內對于一個或更多數(shù)據包是共同的數(shù)據包報頭信息�。在一些實施例中��,分析第一數(shù)據包信息以確定第一數(shù)據包信息是否識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包的步驟可以包含分析第一數(shù)據包信息以確定第一數(shù)據包信息是否識別是SYN數(shù)據包的出站TCP網絡數(shù)據包���。
[0007]在一些實施例中��,方法可以包含如下例程�,其通過將第一數(shù)據包信息與過濾器配置數(shù)據比較來分析第一數(shù)據包信息�,以確定是否應當過濾掉第一數(shù)據包信息。在一些實施例中�����,方法可以包含如下例程�����,其分析第一數(shù)據包信息����,以確定第一數(shù)據包信息是否識別是在一個或更多數(shù)據存儲件中存儲和/或追蹤的先前出站網絡數(shù)據包的重傳的網絡數(shù)據包。在一些實施例中�,方法可以包含如下例程,其分析第二數(shù)據包信息���,以確定第二數(shù)據包信息是否識別是指示錯誤的數(shù)據包的網絡數(shù)據包。在一些實施例中�����,方法可以包含如下例程,其在一個或更多數(shù)據存儲件中引起移除和/或終止對已經在一個或更多數(shù)據存儲件中存在了特定的時間段的數(shù)據包信息的追蹤���。在一些實施例中���,方法可以包含如下例程,其從一個或更多數(shù)據存儲件接收數(shù)據包信息作為輸入����,所述數(shù)據包信息與在一段時間內沒有接收到有效的響應數(shù)據包的出站網絡數(shù)據包相關。方法也可以包含如下例程�����,其分析數(shù)據包信息并且生成一個或更多事件����,該事件指示惡意軟件可能存在于網絡或設備中。
[0008]本公開的一個或更多實施例描述了用于網絡和/或設備安全的計算機實施的方法�。方法可以在一個或更多計算機(例如一個或更多防火墻)上執(zhí)行,并且可以包含在一個或更多計算機上執(zhí)行的數(shù)個例程�。方法可以包含從網絡流量接收多條數(shù)據包信息作為輸入的例程。方法可以包含如下例程��,其分析多條數(shù)據包信息,以識別在一段時間期間沒有接收到響應數(shù)據包的出站網絡數(shù)據包���。方法可以包含如下例程�����,其在一個或更多數(shù)據存儲件中存儲和/或追蹤數(shù)據包信息�����,該數(shù)據包信息與沒有接收到響應數(shù)據包的出站網絡數(shù)據包相關���。在一些實施例中,分析多條數(shù)據包信息以識別在一段時間期間沒有接收到響應數(shù)據包的出站網絡數(shù)據包的步驟可以包含分析多條數(shù)據包信息以識別是死SYN數(shù)據包的出站網絡數(shù)據包�����。
[0009]在一些實施例中���,方法可以包含如下例程���,其分析來自一個或更多數(shù)據存儲件的數(shù)據包信息,以確定在網絡流量中是否存在異常�。方法也可以基于確定網絡流量中是否存在異常而生成一個或更多事件,一個或更多事件指示惡意軟件可能存在于網絡中或在設備上�����。在一些實施例中�,確定在網絡流量中是否存在異常的步驟可以包含檢測指示先進持續(xù)性威脅(APT)的異常。
[0010]在一些實施例中����,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定特定的源設備是否生成沒有接收到響應數(shù)據包的多個出站網絡數(shù)據包。在一些實施例中��,方法可以包含如下例程���,其從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入�。多條數(shù)據包信息的每一條可以與網絡數(shù)據包關聯(lián)����,并且可以包含關聯(lián)的數(shù)據包的源和目的地以及時間指示。在一些實施例中�����,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常可以包含分析該組數(shù)據包信息以確定在該組中帶有相同源和目的地的多條數(shù)據包信息的數(shù)目��,并且確定帶有相同的源和目的地的多條數(shù)據包信息的數(shù)目是否超過閾值����。在一些實施例中,可以通過將時間段配置與每條數(shù)據包信息的時間指示相比較����,使得在確定的一段時間內接收多條數(shù)據包信息,以此確定包含在該組中的多條數(shù)據包信息的數(shù)目�����。
[0011 ] 在一些實施例中���,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定多個源設備是否已經感染了相同的惡意軟件��。在一些實施例中�����,方法可以包含如下例程����,其從一個或更多數(shù)據存儲件中接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入。多條數(shù)據包信息中的每一條可以與網絡數(shù)據包關聯(lián)���,并且可以包含關聯(lián)的數(shù)據包的源和目的地以及時間指示��。在一些實施例中,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析該組數(shù)據包信息以針對每個目的地確定在該組中用于每個唯一的源的多條數(shù)據包信息的數(shù)目���,并且確定對于單個目的地���,具有每個唯一的源的多條數(shù)據包信息的數(shù)目是否超過閾值。
[0012]在一些實施例中����,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定源設備是否嘗試與多個目的地通信。在一些實施例中��,方法可以包含如下例程�����,其從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入�。多條數(shù)據包信息中的每一條可以與網絡數(shù)據包關聯(lián),并且可以包含關聯(lián)的數(shù)據包的源和目的地以及時間指示����。在一些實施例中�,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含:分析該組數(shù)據包信息�����,以針對每個源確定在該組中用于每個唯一的目的地的多條數(shù)據包信息的數(shù)目�����,并且對于單個源���,確定具有每個唯一的目的地的多條數(shù)據包信息的數(shù)目是否超過閾值����。
[0013]在一些實施例中�,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定特定的源設備是否以再發(fā)生的方式嘗試與特定的目的地通信。在一些實施例中���,方法可以包含如下例程���,其從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入。多條數(shù)據包信息中的每一條可以與網絡數(shù)據包關聯(lián)����,并且可以包含關聯(lián)的數(shù)據包的源和目的地以及時間指示����。在該組中的多條數(shù)據包信息中的每一條可以具有相同的源和目的地���。在一些實施例中���,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含:分析該組數(shù)據包信息���,以針對每個目的地確定在該組中的多條數(shù)據包信息的數(shù)目��,并且對于單個目的地����,確定多條數(shù)據包信息是否超過閾值���。
[0014]在一些實施例中�,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定特定的源設備是否在一時間段內以先前的時間段內的平均次數(shù)大約相同的平均次數(shù)嘗試與特定的目的地通信���。在一些實施例中���,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以進一步包含:對于單個目的地�����,確定該組中每個源帶有單個目的地的多條數(shù)據包信息的平均數(shù)目��;將平均數(shù)目與先前一組數(shù)據包信息的先前的平均數(shù)目相比較���;以及確定平均數(shù)目和先前的平均數(shù)目是否大致相同?�?梢酝ㄟ^將時間段配置與每條數(shù)據包信息的時間指示相比較����,使得在確定的一段時間內接收多條數(shù)據包信息,以此確定包含在該組中的多條數(shù)據包信息的數(shù)目��。
[0015]在一些實施例中�����,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定特定的源設備是否生成接收到無響應數(shù)據包的重復集群的出站網絡數(shù)據包���。在一些實施例中�����,方法可以包含如下例程����,其從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入。多條數(shù)據包信息中的每一條可以與網絡數(shù)據包關聯(lián)�����,并且可以包含關聯(lián)的數(shù)據包的源和目的地以及時間指示�����。分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析該組數(shù)據包信息����,且對于每個源�,形成具有彼此相對接近的時間指示的多條數(shù)據包信息的數(shù)據包集群,以及確定在數(shù)據包集群之間的時間是否重復�。
[0016]在一些實施例中,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含分析數(shù)據包信息以確定特定的源設備是否以重復的集群的方式嘗試與特定的目的地通信�����。在一些實施例中,方法可以包含如下例程��,其從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入�。多條數(shù)據包信息中的每一條可以與網絡數(shù)據包關聯(lián),并且可以包含關聯(lián)的數(shù)據包的源和目的地以及時間指示�。在一些實施例中,分析來自一個或更多數(shù)據存儲件的數(shù)據包信息以確定在網絡流量中是否存在異常的步驟可以包含:分析該組數(shù)據包信息����,且對于每個源/目的地對,形成具有彼此相對接近的時間指示的多條數(shù)據包信息的數(shù)據包集群�,以及確定在數(shù)據包集群之間的時間是否重復。
[0017]本公開的一個或更多實施例描述了用于網絡和/或設備安全的數(shù)據處理系統(tǒng)����。系統(tǒng)可以包含:與一個或更多網絡相通信的一個或更多通信單元;存儲計算機代碼的一個或更多存儲器單元��;以及耦合至一個或更多通信單元和一個或更多存儲器單元的一個或更多處理器單元�����。一個或更多處理器單元可以執(zhí)行存儲在一個或更多存儲器單元中的計算機代碼���,以使數(shù)據處理系統(tǒng)適于:從網絡流量接收多條數(shù)據包信息作為輸入�;分析多條數(shù)據包信息,以識別在一段時間期間接收無響應數(shù)據包的出站網絡數(shù)據包�;以及在一個或更多數(shù)據存儲件中存儲和/或追蹤數(shù)據包信息,該數(shù)據包信息與已經接收到無響應數(shù)據包的出站網絡數(shù)據包相關�。一個或更多處理器單元可以執(zhí)行存儲在一個或更多存儲器單元中的計算機代碼,以使數(shù)據處理系統(tǒng)適于:分析來自一個或更多數(shù)據存儲件的數(shù)據包信息�,以確定在網絡流量中是否存在異常;以及基于確定網絡流量中是否存在異常而生成一個或更多事件�����,一個或更多事件指示惡意軟件可能存在于網絡中或在設備上���。在一些實施例中��,數(shù)據處理系統(tǒng)可以是防火墻�。
[0018]從以下描述和附圖中將更全面的理解本公開的這些優(yōu)勢�、方面和新穎特點以及其他優(yōu)勢��、方面和新穎特點��,以及其示出實施例的細節(jié)���。應當明白的是�,上述一般性描述僅是示例性的和說明性的,不限制所要求的本公開����。
【專利附圖】
【附圖說明】
[0019]在以下公開中描述了若干特征和優(yōu)勢,其中使用以下附圖作為示例解釋了若干實施例���。
[0020]圖1示出網絡設置的示例性組件����、連接和交互的方框圖��,其中本公開的一個或更多實施例在這種網絡設置中可能是有用的��。
[0021]圖2示出根據本公開的一個或更多實施例的網絡設置的示例性組件����、連接件和交互的方框圖以及無響應數(shù)據包警報模塊的方框圖。
[0022]圖3示出根據本公開的一個或更多實施例的可能會在無響應數(shù)據包提取器中發(fā)現(xiàn)的示例性組件�、例程、算法�、配置數(shù)據等的方框圖。
[0023]圖4示出根據本公開的一個或更多實施例的可能會在列表清理模塊中發(fā)現(xiàn)的示例性組件���、例程��、算法����、配置數(shù)據等的方框圖。
[0024]圖5示出根據本公開的一個或更多實施例的可能會在數(shù)量檢測器模塊中發(fā)現(xiàn)的示例性組件����、例程、算法���、配置數(shù)據等的方框圖�。
[0025]圖6示出根據本公開的一個或更多實施例的可能會在目的地檢測器模塊中發(fā)現(xiàn)的示例性組件�、例程、算法�����、配置數(shù)據等的方框圖�。
[0026]圖7A示出根據本公開的一個或更多實施例的可能會在集群檢測器模塊中發(fā)現(xiàn)的示例性組件、例程���、算法、配置數(shù)據等的方框圖。
[0027]圖7B示出隨著時間由源代碼嘗試的示例性連接的曲線圖��,如根據本公開的一個或更多實施例所描述的����。
[0028]圖8示出根據本公開的一個或更多實施例的可以部分地或全面地執(zhí)行本公開的一個或更多方法、例程和解決方案的示例性數(shù)據處理系統(tǒng)的示意圖����。
【具體實施方式】
[0029]各種技術的目標在于,檢測和/或防止惡意軟件的攻擊�����,但這些解決方案已經證明�����,對于處理由攻擊者或黑客所使用的各種技術是無效的�。根據由攻擊者所使用的一種示例性技術,惡意軟件���,有時稱為先進持續(xù)性威脅(以下簡稱“APT”)���,通過一些進入機制感染目標機器并安裝能夠為攻擊者執(zhí)行動作的軟件程序�����。在安裝以后����,APT可以經由計算機網絡通常以定期和反復的方式開始“調用”主機或主機列表或者為其“設信標”����。這些調用或信標的目的可能是要繞過公司或個人的防火墻,這些防火墻傾向于阻止大多數(shù)入站流量�,但允許大多數(shù)出站流量。軟件程序可以允許攻擊者指示或控制受害設備����,以便為攻擊者執(zhí)行動作,比如調查其他計算系統(tǒng)�、從受感染的設備收集數(shù)據和/或將信息泄露給攻擊者。為了使這種信標技術有效��,例如由攻擊者控制的服務器或IP地址可能在感染之前由惡意軟件程序指定并保存�,使得惡意軟件程序能夠通過發(fā)送出站數(shù)據與攻擊者通信。這種服務器或IP地址或者服務器或IP地址的列表可以由攻擊者在將來進行更新���。為了使惡意軟件按預期的運行�����,一般需要在規(guī)定的時間間隔聯(lián)系至攻擊者控制的服務器或服務器組(通常被認為是命令&控制服務器或C&C服務器)���,使得能夠建立控制和/或能夠獲取對惡意軟件的更新。攻擊者可能使C&C服務器離線很長時間����,以防止服務器被安全公司折中或關閉。因此����,大多數(shù)信標嘗試可能是不成功的,因為C&C服務器將不會在線�����,并且這些請求將會以錯誤返回或將永遠也不會返回��。這種信標嘗試一般可以被認為是無響應的(例如無響應出站數(shù)據包和/或網絡流量)�����。
[0030]本公開描述了用于經由分析無響應出站網絡流量來檢測感染的網絡設備的一種或更多系統(tǒng)��、方法、例程和/或技術�����。本公開的系統(tǒng)�����、方法�、例程和/或技術可以被設計和/或修改以檢測由攻擊者所使用的各種技術,其中檢測的執(zhí)行可以不需要已識別的威脅的簽名和/或指紋����,或不需要關于眾所周知的惡意IP地址的知識。本公開的系統(tǒng)��、方法�����、例程和/或技術可以被設計和/或修改以檢測由攻擊者所使用的各種技術�,其中檢測的執(zhí)行可以不需要顯著數(shù)量的人機交互或手動檢查來確定是否存在惡意軟件感染。本公開的系統(tǒng)�����、方法、例程和/或技術可以被設計和/或修改以檢測由攻擊者所使用的各種技術�����,其中可以通過分析對于特定類別的感染是共同的行為模式來執(zhí)行檢測��。本公開的系統(tǒng)��、方法���、例程和/或技術可以被設計和/或修改以檢測由攻擊者所使用的各種技術,其中檢測可以在惡意軟件的“信標”階段期間(即在惡意軟件的感染和激活之間的時間)執(zhí)行�����。
[0031]本公開的一個或更多實施例可以描述對出站網絡數(shù)據包的分析�����,該出站網絡數(shù)據包沒有接收到響應數(shù)據包或帶有實質性響應的數(shù)據包(即無響應數(shù)據包)����,以檢測設備和/或網絡上的惡意軟件。術語無響應數(shù)據包可以指如下出站網絡數(shù)據包��,其沒有接收到響應數(shù)據包或接收到沒有實質性響應的數(shù)據包,例如僅指示連接錯誤的數(shù)據包����。作為一個示例,術語“死SYN”可以指沒有接收到對應的響應數(shù)據包(例如SYN-ACK數(shù)據包)的TCP同步(SYN)數(shù)據包����。作為另一示例,復位或RST數(shù)據包可以指指示連接錯誤且可能并不指示有效響應數(shù)據包的TCP數(shù)據包�。本公開的一個或更多實施例可以描述了使用無響應數(shù)據包追蹤(例如死SYN追蹤)來檢測設備和/或網絡上的惡意軟件,例如先進持續(xù)性威脅(APT)�。本公開的一個或更多實施例可以描述了對無響應數(shù)據包(例如死SYN數(shù)據包)的數(shù)量、周期性����、集群和/或目標目的地的分析。本公開的一個或更多實施例可以描述了向操作員�、程序、服務或其它實體警報可能指示惡意軟件存在的一個或更多條件����。本公開的一個或更多實施例可以描述了使用過濾器和/或控制參數(shù)來限制假陽性警報的數(shù)量。
[0032]應當明白的是����,本公開中的描述可以應用于不同通信協(xié)議��,例如發(fā)送初始出站數(shù)據包或初始出站流量并期望一些實質性響應返回的任一通信協(xié)議����。示例性通信協(xié)議可以是TCP����、UDP、其它路由協(xié)議或任一其他通信協(xié)議�。應當明白的是�,雖然本公開中的不同描述可以解釋特定協(xié)議的示例,例如TCP協(xié)議(以及死SYN追蹤)示例���,以便清楚地解釋本公開�����,但是本發(fā)明所提供的描述可以應用于不同的其他通信協(xié)議和無響應數(shù)據包��。
[0033]圖1示出網絡設置100的示例性組件��、連接和交互的方框圖的圖示��,其中本公開的一個或更多實施例在這種網絡設置中可能是有用的���。應當明白的是����,網絡設置100可以包含比圖1所示的額外或更少的組件���、連接和交互�。圖1關注可能是組件�����、連接和交互的大得多的網絡的一部分���。網絡設置100可以包含網絡102��、防火墻104���、數(shù)個內部設備(例如內部設備106、108����、110、111)以及數(shù)個外部設備(例如外部設備112、114��、116)�。網絡102可以是用來在不同設備之間,比如數(shù)據處理系統(tǒng)之間��,以及可能的其他設備之間���,提供通信鏈路的媒介�。網絡102可以包含連接���,比如無線或有線通信鏈路��。在一些示例中,網絡102代表世界范圍的一組網絡和網關�,其使用傳輸控制協(xié)議互聯(lián)網協(xié)議(TCP/IP)套件協(xié)議來彼此通信。在一些示例中�,網絡102可以包含內聯(lián)網、局域網(LAN)或廣域網(WAN)���。
[0034]在圖1所示的示例中����,數(shù)字120代表網絡設置100的一部分,其為“內部的”����,這意味著它在防火墻或一些其它設備或程序的后面,這些其他設備或程序試圖檢測出網絡102上的惡意活動并試圖保持內部設備106���、108�����、110����、111免于惡意軟件���、病毒等����。作為一個示例�����,防火墻104可以是公司防火墻���,且內部部分120可以是處于公司內部網絡內的全部或部分設備�����。內部設備106���、108���、110、111可以是數(shù)據處理系統(tǒng)��、服務器���、打印機����、電腦�、膝上型計算機�����、智能手機�、PDA或可以與網絡通信的任一其他類似種類的設備�����。外部設備112�、114�、116可以是數(shù)據處理系統(tǒng)、服務器��、計算機等��,它們被設計和/或編程以攻擊內部設備���,比如內部設備 106��、108��、110�����、111��。
[0035]本公開的一個或更多實施例可以在位于內部設備106�、108���、110��、111和網絡102之間的設備上運行����。例如本公開的一個或更多實施例可以在防火墻104上運行。防火墻104可以是能夠被編程以執(zhí)行計算機代碼的一個或更多數(shù)據處理系統(tǒng)�,該計算機代碼可以執(zhí)行經由對無響應出站網絡流量的分析來檢測已感染的網絡設備的一種或更多系統(tǒng)、方法�����、例程和/或技術��。在一些實施例中����,本公開的一種或更多系統(tǒng)、方法�、例程和/或技術可以被計為例如布置在一個或更多設備(比如防火墻104)內的硬件。在一些實施例中�����,本公開的一種或更多系統(tǒng)�����、方法�����、例程和/或技術可以被設計為硬件和軟件的結合�。在一些實施例中,本公開的系統(tǒng)�、方法、例程和/或技術可以使用多于一個防火墻設備來實施�����。例如�,一個或更多防火墻設備可以作為較大的單元一起工作。
[0036]圖2示出網絡設置200的示例性組件�����、連接和交互的方框圖的圖示��,其中本公開的一個或更多實施例在這種網絡設置中可能是有用的�。圖2示出了網絡流量202、數(shù)據包報頭捕獲引擎204����、數(shù)據包報頭列表206��、無響應數(shù)據包警報模塊208以及事件列表210的圖示��。網絡流量202可以包含原始數(shù)據包流�,例如流過網絡(比如圖1的網絡102)的原始數(shù)據包流�����。數(shù)據包報頭捕獲引擎204可以監(jiān)視和/或分析來自網絡流量202的原始數(shù)據包���,且可以提取和/或捕獲數(shù)據包的報頭����。數(shù)據包的報頭可以包含關于數(shù)據包的信息��,包括路由信息�����,比如源信息(例如源IP地址(Src)�,源端口號(SrcPort))和目的地信息(例如目的地IP地址(Dst)、目的地端口號(DstPort))。應當明白的是�����,在本公開的一些實施例中�����,“目的地”可以指不僅僅是單個目的地(例如單個計算機�、IP地址等)����。例如,目的地可以一般地指一個或更多組特定的目的地��,例如網絡或IP地址等的范圍���。因此�,即使在此描述的不同實施例可能討論一個目的地�,但應該理解,可以將在此描述的技術應用到一個或更多組目的地的不同實施例或替換實施例被預期�����。
[0037]在一些實施例中,數(shù)據包捕獲弓丨擎204可以將報頭“歸一化(normalize)”�,這意味著它可以將一段時間內(例如在一分鐘內)在網絡流量202中看到的全部相同的報頭成組(group)。數(shù)據包報頭捕獲引擎204可以存儲在該時間段內的第一個數(shù)據包的時間(開始時間)和在該時間段內的最后一個數(shù)據包的時間(結束時間)���。數(shù)據包報頭捕獲引擎204可以例如在數(shù)據包報頭列表206中存儲數(shù)據包報頭�����。數(shù)據包報頭列表可以是數(shù)據庫或可以包含信息行的一些其他數(shù)據存儲件���。如果報頭捕獲引擎204將報頭歸一化,則它可以將一段時間內每組相同的報頭存儲在報頭列表206的單個行中����,包括在該段時間內所看到的相同報頭的次數(shù)的計數(shù)。報頭捕獲引擎204也可以存儲每組報頭的開始時間和結束時間�。在這方面,數(shù)據包報頭信息可以被壓縮到報頭列表的較少行中同時仍然保存著信息��。
[0038]數(shù)據包報頭列表206可以作為輸入提供給無響應數(shù)據包警報模塊208�����。應當明白的是�,圖2中示出的示例僅是網絡流量可能會怎樣被捕獲���、積累和/或存儲以供分析的一個示例。在本公開的其他實施例中�����,無響應數(shù)據包警報模塊208可以接受其他形式的數(shù)據包信息作為輸入����。例如���,無響應數(shù)據包警報模塊208可以適于分析全部原始數(shù)據包捕獲����、流量和/或數(shù)據包流信息和/或其他格式的數(shù)據包信息�。作為另一示例,無響應數(shù)據包警報模塊208可以分析每個數(shù)據包報頭而不是分析歸一化的報頭��。在這些示例中���,報頭列表206可以為每個報頭存儲準確的或近似的到達時間而不是開始和結束時間�。為了清楚地描述在此描述的系統(tǒng)���、方法����、例程和/或技術,本公開將關注例如來自報頭列表206的歸一化報頭����,作為用于無響應數(shù)據包警報模塊208的數(shù)據包信息的源。然而�����,應當明白的是�����,對在此描述的不同系統(tǒng)�、方法、例程和/或技術的描述也可以應用于其他的數(shù)據包信息源�。
[0039]無響應數(shù)據包警報模塊208可以包含數(shù)個組件、例程�、算法、代碼����、配置數(shù)據等��。無響應數(shù)據包警報模塊208可以包含無響應數(shù)據包提取器212�����、過濾器配置(config)文件214����、追蹤的連接列表216����、列表清理模塊218�����、數(shù)量檢測器模塊220����、目的地檢測器模塊222和集群檢測器模塊224。無響應數(shù)據包提取器212可以被編程和/或修改以讀取和分析來自報頭列表206的報頭條目����。網絡流量可以利用多種通信協(xié)議中的一個或更多,且無響應數(shù)據包提取器212可以讀取和分析與正在使用的協(xié)議關聯(lián)的數(shù)據包報頭條目����。在一些實施例中���,網絡流量可以利用TCP協(xié)議,在這種情況下����,無響應數(shù)據包提取器212可以讀取和分析TCP數(shù)據包報頭條目。無響應數(shù)據包提取器212可以檢測���、提取和/或啟動或引起無響應數(shù)據包(例如死-SYN數(shù)據包)的存儲��。無響應數(shù)據包警報模塊208可以使用或接受過濾器配置數(shù)據214 (例如一個或更多過濾器配置(config)文件)作為輸入��。無響應數(shù)據包警報模塊208可以將數(shù)據和/或命令傳遞給追蹤的連接列表216�����,且作為從無響應數(shù)據包提取器212通信的結果�����,追蹤的通信列表可以將數(shù)據添加至它的數(shù)據存儲件和/或從其移除數(shù)據����。
[0040]追蹤的連接列表216可以是數(shù)據庫或其他數(shù)據存儲件,例如易于搜索的數(shù)據存儲件�����。追蹤的連接列表中的每個條目或行都可以包含唯一的“元組(tuple)”��。元組可以指關于包含多條數(shù)據的數(shù)據包的信息����。作為一個示例,元組可以包含開始時間和結束時間(如報頭捕獲引擎204所確定的)和來自數(shù)據包報頭的信息�,比如源信息(例如源IP地址(Src)、源端口(SrcPort))���、目的地信息(例如目的地IP地址(Dst)�、目的地端口(DstPort))���、一個或更多標志(如果該協(xié)議使用標志的話,例如TCP標志)以及從開始時間開始到結束時間結束的時間段內報頭捕獲引擎204所看到的相同報頭的數(shù)量�����。應當明白的是���,在本公開的一些實施例中�,“目的地”可以指不僅僅是單個目的地(例如單個計算機、IP地址等)��。例如����,目的地一般地可以指一個或更多組特定的目的地,例如網絡或IP地址等的范圍�����。因此�����,盡管在此描述的不同實施例可能討論一個目的地�,但應該理解,可以將在此描述的技術應用于一個或更多組目的地的不同實施例或替換實施例被預期���。追蹤的連接列表可以與列表清理模塊218通信�。列表清理模塊可以與追蹤的連接列表通信�����,以維護追蹤的連接列表中的條目,例如移除已經在列表中存在了一段時間的條目���。
[0041]數(shù)個獨立的檢測器進程可以與追蹤的連接列表216通信�,并且可以利用存儲在追蹤的連接列表216中的信息��。檢測器進程的示例是數(shù)量檢測器220��、目的地檢測器222以及集群檢測器224����。雖然在此詳細描述了這三個示例進程,但本公開也考慮了以類似方式工作的其他檢測器進程�。每個檢測器進程都從追蹤的通信列表216接受條目作為輸入。每個條目可以是如上面所解釋的元組�。每個檢測器進程可以輸出一個或更多的事件,例如可以傳遞給另一實體以便分析的事件��。這些事件可以指示在可能感興趣的網絡流量中已檢測到異常��。例如���,操作員可以手工地檢驗事件日志并可以采取行動,例如���,移除損壞了的軟件或阻止設備執(zhí)行惡意操作�。作為另一示例,事件可以由軟件包��、事件相關工具����、事件日志記錄機制或其他外部實體來分析,且這些實體可以檢測感興趣的情景和/或將威脅級別分配到事件�����。
[0042]圖3示出根據本公開的一個或更多實施例的可以在無響應數(shù)據包提取器300中發(fā)現(xiàn)的示例性組件���、例程����、算法�、配置數(shù)據等的方框圖的圖示。無響應數(shù)據包提取器300可以類似于圖2的無響應數(shù)據包提取器212����。無響應數(shù)據包提取器300可以與數(shù)據包報頭列表302和追蹤的連接列表304通信,它們可以分別類似于圖2所示的數(shù)據包報頭列表206和追蹤的連接列表216。
[0043]無響應數(shù)據包提取器300可以被編程和/或修改以讀取和分析來自報頭列表302的歸一化的報頭條目�。在一些實施例中,無響應數(shù)據包提取器300可以讀取和分析歸一化的數(shù)據包報頭條目(例如TCP數(shù)據包報頭條目)����。無響應數(shù)據包提取器300可以利用數(shù)個組件、例程�����、算法�、配置數(shù)據等來檢測、提取和/或啟動或引起無響應數(shù)據包(例如死SYN數(shù)據包)的存儲��。在步驟306����,歸一化的報頭或記錄可以從報頭列表302中當前條目或行中讀
取或獲取(retrieve)。記錄可以包含識別數(shù)據包的唯--組信息�����。在一些示例中�����,信息包
含以下內容:源信息(例如Src���、SrcPort)>目的地信息(例如Dst�、DstPort)��、一個或更多標志(如果協(xié)議具有標志的話�����,例如TCP標志)����、開始時間、結束時間以及在該時間段內(即在開始時間和結束時間之間)表示的這種相同數(shù)據包報頭的數(shù)量�。在其他示例中,例如在單獨地捕獲報頭而不是在一時間段內使其聚集的示例中���,歸一化的報頭信息可以包含單個的時間���,而不是開始時間和結束時間。這些唯一地識別數(shù)據包的信息可以被稱為“歸一化”的字段��。對于每個數(shù)據包��,歸一化的字段可以保存在報頭列表302中,且對于每個連接都保存在追蹤的連接列表304中�����。例如在追蹤的連接列表中所使用的術語連接可以指類似于歸一化的數(shù)據包的信息�����。然而�����,術語連接表明歸一化的數(shù)據包是一次完整的網絡事務或握手����,例如TCP握手。
[0044] 作為網絡事務或握手的一個示例�����,討論了 TCP握手����,它是旨在幫助完全描述此處的技術而決無意限制本公開所考慮的通信協(xié)議的類型。一般來說�,TCP協(xié)議需要3次握手���,以經過網絡(例如互聯(lián)網)建立連接。TCP的三次握手技術可以被稱為SYN�����、SYN-ACK, ACK,因為存在三個消息�,它們通過TCP發(fā)送以在兩臺計算機之間協(xié)商和開始TCP會話����。TCP握手機制被設計為使得嘗試通信的兩臺計算機能夠在傳輸數(shù)據之前協(xié)商網絡TCP套接字連接的參數(shù),例如SSH和HTTP網頁瀏覽器請求���。根據TCP協(xié)議傳輸?shù)牡谝粭l消息是SYN消息或數(shù)據包�,其從源(src)傳輸?shù)侥康牡?dst)�。根據TCP協(xié)議傳輸?shù)牡诙l消息是SYN-ACK消息或數(shù)據包,其從目的地(dst)傳輸?shù)皆?src)���。根據TCP協(xié)議傳輸?shù)牡谌龡l消息是ACK消息或數(shù)據包�����,其從源(src )傳輸?shù)侥康牡?dst)�。無響應數(shù)據包提取器300可以被編程和/或修改以認識到幾乎每種TCP事務都以SYN消息或數(shù)據包開始,并且為了形成正確的連接����,src必須從dst接收一些響應。根據TCP協(xié)議�����,響應數(shù)據包可以是一些不同于SYN-ACK的消息類型�����。因此��,無響應數(shù)據包提取器300可以被編程和/或修改以針對響應數(shù)據的類型是靈活的�。
[0045]在步驟308,無響應數(shù)據包提取器300可以例如通過分析報頭的標志或標志字段(例如TCP標志)來分析在步驟306讀取的歸一化的報頭����,從而確定數(shù)據包(例如TCP數(shù)據包)是否是初始通信(例如SYN消息或數(shù)據包)。如果數(shù)據包是初始通信(例如SYN消息)�,則無響應數(shù)據包提取器300可以將該數(shù)據包解釋為事務或通信的開始或初始。如果該數(shù)據包關聯(lián)于事務或網絡通信的開始且如果該數(shù)據包信息如進一步描述地被確定為潛在的無響應數(shù)據包�,則數(shù)據包提取器300可以引起對該數(shù)據包的數(shù)據包信息的存儲和/或追蹤。如果數(shù)據包是初始通信(例如SYN消息)���,則在步驟310�,無響應數(shù)據包提取器300可以確定是否應當將數(shù)據包過濾掉,這意味著將不會追蹤數(shù)據包�����。數(shù)據包可以因為多種原因和通過多種方式過濾掉��。例如��,可以過濾掉正嘗試啟動與可信目的地連接的數(shù)據包���。在步驟310,無響應數(shù)據包提取器300可以使用例如來自配置文件或配置數(shù)據庫的過濾器配置數(shù)據312����。過濾器配置數(shù)據可以是用戶創(chuàng)建的和/或用戶提供的,并且它可以包含指示應當過濾掉特定的數(shù)據包的字段列表等�����。例如�����,過濾器配置數(shù)據可以含有應當過濾掉的源列表、目的地列表和/或源/目的地的結合列表�。作為另一示例,過濾器配置數(shù)據可以含有指示應當過濾掉的數(shù)據包的時間��、時間段或其他基于時間的度量��。例如��,如果用戶或管理員知道網絡或機器將會例如為了維修或計劃內的斷電而停機一段時間���,則這種基于時間的過濾可能是有用的��。在步驟310����,無響應數(shù)據包提取器300可以將在步驟306讀取的歸一化報頭與過濾器配置數(shù)據312比較����,并且如果文件指示應當過濾掉數(shù)據包,則無響應數(shù)據包提取器300不追蹤連接并移動至報頭列表302中的下一行或下一歸一化報頭(步驟314)�。
[0046]如果報頭/數(shù)據包(例如TCP SYN報頭/數(shù)據包)在步驟310沒有被過濾掉,則在步驟316��,如果無響應數(shù)據包提取器300確定初始通信數(shù)據包是由重傳協(xié)議(例如TCP重傳協(xié)議)引起的,則移除初始通信數(shù)據包(例如TCP SYN消息)(即不追蹤)����。作為一個示例,根據TCP協(xié)議�����,在數(shù)據包被確定為無響應的或死的之前�����,TCP SYN消息可以被嘗試四次��。在初始SYN消息以后的隨后的SYN消息嘗試被稱為重傳�。因此�����,在步驟316�,如果初始通信數(shù)據包(例如SYN消息)是例如在一段時間內的帶有相同的報頭信息(例如src、dst���、src-port����、dst-port等)的隨后的初始通信數(shù)據包,則它可以被確定為重傳�����。在一些實施例中�����,無響應數(shù)據包提取器300可以與追蹤的連接列表304通信����,以確定最近是否檢測到類似的初始通信數(shù)據包。在一些實施例中���,無響應數(shù)據包提取器300可以確定數(shù)據包是來自數(shù)據包本身的信息(例如數(shù)據包的報頭)的重傳�����。移除(即不追蹤)重傳消息可以防止重復追蹤相同的TCP連接��。
[0047]在步驟318����,如果初始通信數(shù)據包或消息(例如TCP SYN數(shù)據包或消息)沒有被過濾掉或移除,則歸一化報頭可以被傳遞給追蹤的連接列表304����,使得追蹤的連接列表304可以例如針對每個歸一化報頭利用一個條目或一行來將歸一化報頭信息作為潛在的無響應數(shù)據包保存、存儲和/或追蹤�。例如,如果歸一化報頭含有指示在開始時間和結束時間之間看到的類似報頭的數(shù)量(即計數(shù))的字段���,如果計數(shù)為I或更多�,則無響應數(shù)據包提取器300可以保存或存儲歸一化報頭信息����。在這方面,潛在的無響應數(shù)據包例如死SYN數(shù)據包可以被添加到追蹤的連接列表���。如果添加到追蹤的連接列表的連接后來沒有被例如確定看到了針對此連接的響應或答復的一些其他例程����、步驟等移除��,則連接可以被標志為可以指示惡意軟件的無響應數(shù)據包��。將在下面描述可以從追蹤的連接列表移除連接的例程����、步驟、組件���、規(guī)則等�。在步驟318以后,無響應數(shù)據包提取器300移動至報頭列表302中的下一行或下一歸一化報頭(步驟314)��。
[0048]在步驟308�����,無響應數(shù)據包提取器300可以例如通過分析報頭的標志或標志字段(例如TCP標志字段)來分析在步驟306讀取的歸一化的報頭����,從而確定數(shù)據包(例如TCP數(shù)據包)是否是初始通信數(shù)據包(例如SYN消息或數(shù)據包)��。如果數(shù)據包不是初始通信數(shù)據包(例如SYN消息)�,則無響應數(shù)據包提取器300可以進一步分析數(shù)據包。在步驟320和步驟322��,無響應數(shù)據包提取器300可以確定在步驟306讀取的數(shù)據包報頭是否是對在追蹤的連接列表304中追蹤的通信的響應或答復數(shù)據包�。如果數(shù)據包是響應或答復,則先前分析的初始通信數(shù)據包(例如TCP SYN數(shù)據包)不是無響應數(shù)據包��,并且可以不標志為惡意軟件。在步驟320��,無響應數(shù)據包提取器300可以與追蹤的連接列表304通信���,以確定條目或連接是否已經存在于數(shù)據庫中����,該數(shù)據庫包含與即時報頭(Src-to-Dst)相比實際上是顛倒的報頭信息����。如果帶有特定的Src和Dst的TCP SYN數(shù)據包根據通信協(xié)議(例如TCP協(xié)議)傳輸,則可以預期的是����,對初始通信數(shù)據包(例如SYN數(shù)據包)的響應數(shù)據包具有與初始通信數(shù)據包的Dst相同的Src并且具有與初始通信數(shù)據包的Src相同的Dst。如果即時數(shù)據包和存儲的數(shù)據包的報頭信息以這種顛倒的方式匹配�,則即時數(shù)據包可以是對先前存儲在追蹤的連接列表304中的連接的響應數(shù)據包。如果即時數(shù)據包和存儲的數(shù)據包的報頭信息不匹配����,則數(shù)據包將被忽略(即不追蹤),且無響應數(shù)據包提取器300移動至報頭列表302中的下一行或下一歸一化報頭(步驟314)����。
[0049]在步驟322,無響應數(shù)據包提取器300可以確定響應數(shù)據包是否含有標志(例如TCP標志)或指示響應數(shù)據包不含有實質性響應的其它數(shù)據����。作為一個示例,標志可以指示連接錯誤(例如TCP協(xié)議中的RST(復位)標志)。根據TCP協(xié)議�,復位數(shù)據包被用來指示連接被拒絕。如果數(shù)據包含有實質性的響應(例如不是連接錯誤)�,則無響應數(shù)據包提取器300可以通過例如與追蹤的連接列表304通信來移除數(shù)據包或報頭(Src-to-Dst)以免被追蹤(步驟324)。無響應數(shù)據包提取器300可以移除數(shù)據包以免被追蹤��,因為響應數(shù)據包是從目的地接收的���,并且響應數(shù)據包是實質性的(即不是復位數(shù)據包或指示拒絕連接的數(shù)據包)�����。無響應數(shù)據包提取器300可以移除數(shù)據包以免被追蹤���,因為已經確定數(shù)據包不是無響應數(shù)據包(例如死SYN)。因此�,數(shù)據包將不會被標記為潛在的惡意軟件。在從追蹤的連接列表304中移除數(shù)據包以后�����,無響應數(shù)據包提取器300可以移動至報頭列表302中的下一行或下一歸一化報頭(步驟314)。在步驟322�,如果無響應數(shù)據包提取器300確定數(shù)據包不是實質性數(shù)據包,例如復位數(shù)據包或指示連接錯誤的數(shù)據包�����,則忽略數(shù)據包(即對應的數(shù)據包沒有從追蹤的連接列表中移除)�,并且無響應數(shù)據包提取器300可以移動至報頭列表302中的下一行或下一歸一化報頭(步驟314)。在這方面�,無響應數(shù)據包提取器300可以處理連接錯誤或復位數(shù)據包,就像根本沒有響應返回一樣�。
[0050]圖4示出根據本公開的一個或更多實施例的可以在列表清理模塊400中發(fā)現(xiàn)的示例性組件、例程����、算法、配置數(shù)據等的方框圖的圖示�����。列表清理模塊400可以類似于圖2的列表清理模塊218���。列表清理模塊400可以與追蹤的連接列表404通信����,追蹤的連接列表404可以類似于圖2的追蹤的連接列表216。
[0051]列表清理模塊400可以與追蹤的連接列表404通信�����,以維護追蹤的連接列表404中的條目�,例如與追蹤的連接列表404通信��,使得追蹤的通信列表404移除已經在列表中存在了一段時間且不再需要追蹤的條目��。列表清理模塊400可以利用數(shù)個組件�、例程、算法��、配置數(shù)據等來維護追蹤的連接列表404中的條目���。在步驟406��,列表清理模塊400可以選擇和讀取追蹤的通信列表404中的一個條目或一行(例如當前條目或行)���。在步驟408,列表清理模塊400可以確定連接是否已經在列表中存在了足夠長的時間使得其應當不再被追蹤���。列表清理模塊400可以將在數(shù)據包報頭中的時間字段(例如結束時間)與一個或更多時間限制(例如最大存儲時間限制)相比較��。例如�����,如果歸一化報頭含有開始時間和結束時間��,則列表清理模塊400可以將時間限制與結束時間相比較�,因為結束時間可能代表了追蹤的連接被看到的最近的時間。時間限制可以是用戶提供的和/或用戶指定的���,例如在時間限制配置數(shù)據410中��,時間限制配置數(shù)據410是例如來自配置文件或配置數(shù)據庫���。時間限制可以設置為多個值,例如日����、周、月等����。參考步驟408,如果追蹤的連接沒有超過時間限制,則列表清理模塊400針對追蹤的連接列表404可以沒有啟動動作�����,并可以返回到步驟406�,從而選擇和/或讀取在追蹤的連接列表404中的下一條目或行。
[0052]列表清理模塊400可以出于多種原因而從追蹤的連接列表中移除條目�。例如���,時間限制可以代表確定在一段時間以后���,如果已標志的連接在根本上是要處理的話,則在該時間將會應對或處理已標志的連接���。作為另一示例�����,用來實施本公開的一個或更多實施例的系統(tǒng)可能具有有限的資源�,例如數(shù)據存儲���。用于移除連接的時間限制可以是防止追蹤的連接列表消耗太多資源和/或過多存儲空間的明智的方式���。
[0053]在步驟412��,如果追蹤的連接比時間限制更久���,則列表清理模塊400可以與追蹤的連接列表404通信,使得追蹤的連接列表400可以移除連接�����。然后�����,列表清理模塊400可以指示可以返回到步驟406�,從而選擇和/或讀取追蹤的連接列表404中的下一條目或行。
[0054]圖5示出根據本公開的一個或更多實施例的可以在數(shù)量檢測器500中發(fā)現(xiàn)的示例性組件��、例程��、算法�����、配置數(shù)據等的方框圖的圖示����。數(shù)量檢測器500可以類似于圖2的數(shù)量檢測器220����。數(shù)量檢測器500可以與追蹤的連接列表504通信����,追蹤的連接列表504可以類似于圖2的追蹤的連接列表216。數(shù)量檢測器500可以利用存儲在追蹤的連接列表504中的信息��。
[0055]數(shù)量檢測器500可以從追蹤的通信列表504接受條目作為輸入��。每個條目可以包含元組���。作為一個示例,元組可以包含開始時間和結束時間以及唯一的數(shù)據包報頭信息����,比如源信息(例如源IP地址(Src)、源端口(SrcPort))和目的地信息(例如目的地IP地址(Dst)�、目的地端口(DstPort)),如報頭捕獲引擎在開始時間開始到結束時間結束的時間段內所看到的����。應當明白的是,在本公開的一些實施例中,“目的地”可以指不僅僅是單個目的地(例如單個計算機���、IP地址等)�����。例如����,目的地可以一般地指一個或更多組特定的目的地�,例如網絡或IP地址等的范圍。因此���,盡管在此描述的不同實施例可以討論一個目的地����,但應該理解��,可以將在此描述的技術應用于一個或更多組的目的地的不同實施例或替換實施例被預期���。數(shù)量檢測器500可以輸出一個或更多事件(參見步驟530和事件列表502)���,例如可以傳遞給另一實體以便分析和/或動作的事件���。這些事件可以指示在可能感興趣的網絡流量中已檢測到異常。惡意軟件黑客可以不斷地改變他們的目的地服務器以避免檢測��;因此�,針對追蹤的連接列表中的數(shù)據,數(shù)量檢測器500可以利用數(shù)個不同檢查和/或比較�,例如從而檢測可能指示惡意軟件的不同類型的行為。
[0056]數(shù)量檢測器500可以利用數(shù)個組件�����、例程�、算法、配置數(shù)據等來分析各種無響應追蹤的連接�����,以確定連接是否潛在地指示惡意軟件和/或受感染的設備���。在步驟506,數(shù)量檢測器500可以從追蹤的連接列表504中選擇和/或讀取數(shù)個條目或行����。例如����,數(shù)量檢測器500可以讀取在一段時間內的帶有唯一源和目的地(例如唯一 Src�、Dst、SrcPort和DstPort)的全部條目�����。該時間段可以是與圖2的報頭捕獲引擎204所使用的時間段不同的時間段����。由數(shù)量檢測器500所使用的時間段可以跨越追蹤的連接列表504中的若干條目或行。
[0057]由數(shù)量檢測器500所使用的時間段可以是例如通過時間段配置數(shù)據508由用戶定義和/或用戶提供的���,時間周期配置數(shù)據508是例如來自配置文件或配置數(shù)據庫����。由數(shù)量檢測器500所使用的時間段可以被調整以提供最少的假陽性事件產生�����?��?梢允褂糜蓴?shù)量檢測器500所使用的時間段�,因為用于追蹤的連接的答復或響應數(shù)據包將需要一段時間才被接收?�?梢允褂糜蓴?shù)量檢測器500所使用的時間段�����,使得允許無響應數(shù)據包提取器300有時間從追蹤的連接列表中移除任一“未死的”數(shù)據包(接收實質性響應的數(shù)據包)����。由數(shù)量檢測器500所使用的時間段可以用來處理如上所述的重傳協(xié)議,這會花若干分鐘時間(例如對于TCP協(xié)議是3分鐘)�。數(shù)量檢測器500可以利用允許完成重傳協(xié)議的緩沖區(qū)的時間段,例如對于TCP協(xié)議是5分鐘���。數(shù)量檢測器500可以利用如下時間段��,其足夠長以允許合理數(shù)量的無響應數(shù)據包建立在追蹤的連接列表504中,例如使得能夠檢測到趨勢和/或復發(fā)��。太短的時間段可能導致不均勻地或間歇性地檢測異常。
[0058]在本公開的一些實施例中���,數(shù)量檢測器500可以利用兩個或更多時間段���。一個時間段可以相對較短��,例如以快速地檢測問題��,而另一時間段可以較長�,例如以更準確地檢測異常和/或潛在地受感染的設備(即具有較高的置信度和/或準確度)����。作為一個示例,較短的時間段可以是60分鐘����,而較長的時間段可以是兩天。各種其他時間段可以用來優(yōu)化結果和/或用來瞄準(target)用戶和/或管理員感興趣的情形��。出于多種原因���,兩個或更多時間段可能是有用的����。例如����,不同類型的惡意軟件可能會表現(xiàn)出不同的信標行為(例如較短或較長的信標循環(huán))。數(shù)量檢測器500可以使用不同的時間段來試圖捕獲根據不同信標行為發(fā)送的數(shù)據包����。
[0059]在步驟510���,一旦在時幀(或多個時幀)內選擇了帶有唯一源和目的地(例如唯一的Src、Dst����、SrcPort> DstPort字段)的一組數(shù)據包或報頭,數(shù)量檢測器500就可以計數(shù)出唯一的源/目的地元組(例如Src��、Dst�����、DstPort元組)的數(shù)量��。這個計數(shù)可以用來檢測單個給定的源設備對于同一目的地設備和/或服務生成了多個無響應數(shù)據包(即未答復SYN嘗試)的情況��。在步驟516�����,將計數(shù)與閾值比較�����,以確定計數(shù)是否超過閾值����。閾值可以是例如通過閾值配置數(shù)據522由用戶配置和/或用戶提供的,閾值配置數(shù)據522是例如來自配置文件或配置數(shù)據庫��。在步驟516�����,如果計數(shù)小于閾值�,則將不采取操作(步驟528),并且數(shù)量檢測器500返回到步驟506���,以選擇下一組唯一的元組��。如果計數(shù)大于閾值�,則數(shù)量檢測器500可以生成事件(步驟530)并可以將事件傳遞給事件列表502���。然后�,數(shù)量檢測器500可以返回到步驟506���,以選擇下一組唯一的元組�����。
[0060]對于數(shù)量檢測器500和不同閾值配置數(shù)據(例如配置數(shù)據522�����、524����、526)以及不同的閾值比較(例如步驟516、518�����、520)����,應當明白的是,在使用多個時間段的情況下����,如上文所解釋的,可以使用額外的閾值和/或可以增加額外的閾值比較步驟�����。例如,在不同的閾值比較步驟(例如步驟516�����、518����、520)����,閾值比較步驟對于每個時間段可以執(zhí)行不同的比較,并且對于每個時間段可以參考不同的閾值�����。在這方面���,數(shù)量檢測器500可以生成與這些不同閾值���、閾值比較和時間段對應的一個或更多事件。
[0061]在步驟512�����,一旦在時幀(或多個時幀)內選擇了帶有唯一源/目的地(例如唯一的Src、Dst����、SrcPort, DstPort字段)的一組數(shù)據包或報頭,數(shù)量檢測器500就可以為每個唯一的目的地設備或服務(例如唯一的Dst/DstPort元組)計數(shù)出不同源設備的數(shù)量���。這個計數(shù)可以用來檢測多個源設備已感染有同一惡意軟件且全部嘗試與同一 C&C服務器通信的情況�����。在步驟518����,將計數(shù)與閾值比較�,以確定計數(shù)是否超過閾值。閾值可以是例如通過閾值配置數(shù)據524由用戶配置和/或用戶提供的�����,閾值配置數(shù)據524是例如來自配置文件或配置數(shù)據庫��。在步驟518��,如果計數(shù)小于閾值,則將不采取動作(步驟528)���,并且數(shù)量檢測器500返回到步驟506�����,以選擇下一組唯一的元組。如果計數(shù)大于閾值����,則數(shù)量檢測器500可以生成事件(步驟530)并可以將事件傳遞給事件列表502。然后��,數(shù)量檢測器500可以返回到步驟506�,以選擇下一組唯一的元組。
[0062]在步驟514�,一旦在時幀(或多個時幀)內選擇了帶有唯一源/目的地(例如唯一的Src、Dst���、SrcPort> DstPort字段)的一組數(shù)據包或報頭�����,數(shù)量檢測器500就可以計數(shù)每個源設備已嘗試通信且失敗了的不同目的地設備或服務(例如唯一的Dst/DstPort元組)的數(shù)量�����。這個計數(shù)可以用來檢測單個源設備正在嘗試與多個目的地設備通信但是不斷失敗的情況����。這種情況可以指示APT惡意軟件的常見行為。在步驟520���,將計數(shù)與閾值比較���,以確定計數(shù)是否超過閾值。閾值可以是例如通過閾值配置數(shù)據526由用戶配置和/或用戶提供的����,閾值配置數(shù)據526是例如來自配置文件或配置數(shù)據庫。在步驟520�����,如果計數(shù)小于閾值���,則將不采取動作(步驟528)����,并且數(shù)量檢測器500返回到步驟506,以選擇下一組唯一的元組���。如果計數(shù)大于閾值�����,則數(shù)量檢測器500可以生成事件(步驟530)并可以將事件傳遞給事件列表502��。然后���,數(shù)量檢測器500可以返回到步驟506����,以選擇下一組唯一的元組。
[0063]圖6示出根據本公開的一個或更多實施例的可以在目的地檢測器模塊600中發(fā)現(xiàn)的示例性組件��、例程�、算法、配置數(shù)據等的方框圖的圖示��。目的地檢測器600可以類似于圖2的目的地檢測器222���。目的地檢測器600可以與追蹤的連接列表604通信��,追蹤的連接列表604可以類似于圖2的追蹤的連接列表216�����。目的地檢測器600可以利用存儲在追蹤的連接列表604中的信息��。
[0064]目的地檢測器600可以從追蹤的通信列表604接受條目作為輸入�。每個條目可以包含元組。作為一個示例����,元組可以包含開始時間和結束時間以及唯一的數(shù)據包報頭信息,比如源信息(例如源IP地址(Src)�、源端口(SrcPort))和目的地信息(例如目的地IP地址(Dst)、目的地端口(DstPort))���,如報頭捕獲引擎在開始時間開始到結束時間結束的時間段內所看到的�����。應當明白的是����,在本公開的一些實施例中,“目的地”可以指不僅僅是單個目的地(例如單個計算機���、IP地址等)���。例如,目的地可以一般地指一個或更多組特定的目的地��,例如網絡或IP地址等的范圍���。因此����,盡管在此描述的不同實施例可以討論一個目的地�,但應該理解,可以將在此描述的技術應用于一個或更多組的目的地的不同實施例或替換實施例被預期���。目的地檢測器600可以輸出一個或更多事件(參見步驟620、632和事件列表602)���,例如可以傳遞給另一實體以便分析和/或動作的事件��。這些事件可以指示在可能感興趣的網絡流量中已檢測到異常��。
[0065]目的地檢測器600可以利用數(shù)個組件���、例程����、算法��、配置數(shù)據等來分析不同無響應追蹤的連接�����,以確定連接是否潛在地指示惡意軟件和/或受感染的設備����。在步驟606,目的地檢測器600可以從追蹤的連接列表604中選擇和/或讀取數(shù)個條目或行�����。例如�����,目的地檢測器600可以讀取在一段時間內的帶有唯一源/目的地的全部條目(例如Src��、Dst、SrcPort和DstPort)����。該時間段可以是與圖2的報頭捕獲引擎204所使用的時間段不同的時間段。由目的地檢測器600所使用的時間段可以跨越追蹤的連接列表604中的若干條目或行��。
[0066]由目的地檢測器600所使用的時間段可以是例如通過時間周期配置數(shù)據608由用戶定義和/或用戶提供的��,時間周期配置數(shù)據608是例如來自配置文件或配置數(shù)據庫�����。由目的地檢測器600所使用的時間段可以被調整��,使得目的地檢測器600可以檢測在比例如圖5的數(shù)量檢測器500所使用的時間段長的時間段內的數(shù)據包中的異常�。由目的地檢測器600所使用的時間段可以被調整,以提供最少的假陽性事件生成�,例如足夠長以允許更明確地看出通信趨勢的時間段。作為一個示例��,惡意軟件程序例如APT程序可能會嘗試與同一目的地服務器通信����,有時以一定間隔做出同一數(shù)量的嘗試���。另外�,一些黑客可能會維護多個目的地服務器,并且一些惡意軟件程序可能會在對特定服務器的連接嘗試之間等待較長的時間段����。由目的地檢測器600所使用的時間段可以被調整,使得時間段足夠長以注意到在較長的時間段內的到特定目的地的趨勢�����,例如源嘗試聯(lián)系特定目的地的平均次數(shù)(例如在兩周內嘗試15次)����。
[0067]在本公開的一些實施例中,目的地檢測器600可以利用兩個或更多時間段�����。多個時間段可以是重疊的���,例如一周的時間段��、四周的時間段以及八周的時間段��。目的地檢測器600可以利用多個時間段來嘗試檢測不同類型的惡意軟件和/或不同類型的信標行為�。在利用多個時間段的實施例中,閾值配置數(shù)據616針對每個時間段可以包含不同組的配置數(shù)據���,例如在配置數(shù)據庫中的不同配置文件或不同數(shù)據�。
[0068]在步驟610��,一旦在時幀(或多個時幀)內選擇了帶有唯一源/目的地(例如唯一的Src����、Dst、SrcPort> DstPort字段)的一組數(shù)據包或報頭�����,目的地檢測器600就可以計數(shù)每個目的地(例如Dst�����、DstPort元組)在該組中發(fā)生的次數(shù)�。這個計數(shù)可以用來檢測多個源嘗試與共同的目的地(例如潛在的APTC&C服務器)建立連接的情形。在步驟612�����,分析了來自該組的每個唯一的目的地(例如Dst/DstPort元組)��。作為步驟612的子步驟�,在步驟614,針對來自該組的每個唯一的目的地(例如Dst/DstPort元組)�,將該目的地發(fā)生的次數(shù)的計數(shù)與閾值比較,以確定計數(shù)是否超過閾值�。閾值可以是例如通過閾值配置數(shù)據616由用戶配置和/或用戶提供的,閾值配置數(shù)據616是例如來自配置文件或配置數(shù)據庫��。在步驟614���,如果計數(shù)小于閾值���,則將不采取動作(步驟618),并且目的地檢測器600可以返回到步驟606�,以選擇下一組唯一的元組。如果計數(shù)大于閾值�����,則目的地檢測器600可以生成事件(步驟620)并可以將事件傳遞給事件列表602����。事件可以指示特定的目的地(例如Dst/DstPort的結合)與潛在的惡意軟件(例如APT) C&C服務器或設備相關。然后����,目的地檢測器600可以返回到步驟606����,以選擇下一組唯一的元組��。
[0069]在步驟622����,一個或更多例程可以開始確定在步驟614識別的特定目的地(例如Dst/DstPort元組)是否是反復的惡意軟件(例如APT) C&C服務器或設備。在步驟622����,目的地檢測器600可以計算特定目的地(例如Dst/DstPort元組)已經是每個源設備的無響應數(shù)據包(例如死SYN數(shù)據包)目標的平均次數(shù)。這個計算可以提供在時間段內發(fā)生的源嘗試與目的地連接的頻率的估計值���。在步驟624���,步驟622的計算結果可以與針對一個或更多先前的時間段執(zhí)行的相同計算的結果(即每個源的平均目的地)比較。在步驟626���,如果來自當前時間段和過去時間段的平均值接近�����,例如彼此在I標準方差內�����,這可以指示源以定期和反復的方式嘗試連接至同一目的地���,例如潛在的C&C服務器(例如在目前的兩周、先前的兩周等內有15次嘗試)�����,這可以指示在惡意軟件中以定期間隔嘗試建立信標的再發(fā)生代碼���。在步驟630�����,目的地檢測器600可以與追蹤的連接列表604通信���,以獲取和/或生成具有帶當前目的地(例如Dst/DstPort元組)的無響應數(shù)據包(例如死SYN數(shù)據包)的全部源設備的列表。然后��,目的地檢測器600可以針對每個源生成事件�,并且可以將這些事件傳遞至事件列表602��。每個源的事件可以例如以高概率指示源有可能感染了嘗試與關聯(lián)目的地的C&C服務器通信的惡意軟件�����,例如APT惡意軟件����。
[0070]在步驟626���,如果來自當前時間段和過去時間段的平均值不接近����,例如彼此不在I標準方差內��,則目的地檢測器600可以不生成任一事件����,并且可以返回到步驟606,以選擇下一組唯一的元組���。
[0071]圖7A示出根據本公開的一個或更多實施例的可以在集群檢測器模塊700中發(fā)現(xiàn)的示例性組件����、例程、算法����、配置數(shù)據等的方框圖的圖示。集群檢測器700可以類似于圖2的集群檢測器224��。集群檢測器700可以與追蹤的連接列表704通信�,追蹤的連接列表704可以類似于圖2的追蹤的連接列表216�����。集群檢測器700可以利用存儲在追蹤的連接列表704中的信息�。
[0072]集群檢測器700可以從追蹤的通信列表704接受條目作為輸入。每個條目可以包含元組�。作為一個示例,元組可以包含開始時間和結束時間以及唯一的數(shù)據包報頭信息���,比如源信息(例如源IP地址(Src)��、源端口(SrcPort))和目的地信息(例如目的地IP地址(Dst)�、目的地端口(DstPort))�����,如報頭捕獲引擎在開始時間開始到結束時間結束的時間段內所看到的。應當明白的是���,在本公開的一些實施例中�����,“目的地”可以指不僅僅是單個目的地(例如單個計算機�、IP地址等)�。例如,目的地可以一般地指一個或更多組特定的目的地��,例如網絡或IP地址等的范圍�。因此,盡管在此描述的不同實施例可以討論一個目的地���,但應該理解�,可以將在此描述的技術應用于一個或更多組的目的地的不同實施例或替換實施例被預期�。集群檢測器700可以輸出一個或更多事件(參見步驟720、736和事件列表702)�,例如可以傳遞給另一實體以便分析和/或動作的事件。這些事件可以指示在可能感興趣的網絡流量中已檢測到異常�����。
[0073]集群檢測器700可以利用數(shù)個組件、例程�����、算法���、配置數(shù)據等來分析不同無響應追蹤的連接�����,以確定連接是否潛在地指示惡意軟件和/或受感染的設備�。例如����,集群檢測器700可以檢測由源做出的無響應連接嘗試的集群之間的周期性�。在步驟706,集群檢測器700可以從追蹤的連接列表704中選擇和/或讀取數(shù)個條目或行��。例如����,集群檢測器700可以讀取一時間段內的全部條目,并可以按源將條目成組。該時間段可以是與圖2的報頭捕獲引擎204所使用的時間段不同的時間段�����。由集群檢測器700 (在步驟706)所使用的時間段可以跨越追蹤的連接列表704中的若干條目或行�。
[0074]由集群檢測器700所使用的時間段(在步驟706)可以是例如通過時間周期配置數(shù)據708由用戶定義和/或用戶提供的,時間周期配置數(shù)據708是例如來自配置文件或配置數(shù)據庫��。由集群檢測器700所使用的時間段(在步驟706)可以被調整��,使得集群檢測器700可以檢測在比例如由圖5的數(shù)量檢測器500所使用的時間段長的時間段內的數(shù)據包中的異常�。由集群檢測器700使用的時間段(在步驟706)可以比例如由圖6的目的地檢測器600使用的時間段短。由集群檢測器700所使用的時間段可以被調整����,使得可以檢測到針對特定源的再發(fā)生行為。例如����,運行在受感染設備上的惡意軟件可以在短時間段內嘗試做出若干連接(例如與若干不同的目的地服務器連接)(即連接可以在時間上聚集在一起),然后���,惡意軟件可以在嘗試另一集群連接之前等待相對較長的時間段����。換句話說,惡意軟件(例如APT惡意軟件)可以以定期和反復的間隔將信標(或信標集群)發(fā)送至C&C服務器�。
[0075]在本公開的一些實施例中,集群檢測器700可以利用兩個或更多時間段�,例如以最小化假陽性事件生成。多個時間段可以是重疊的��,例如兩周的時間段���、四周的時間段以及六周的時間段�����。集群檢測器700可以利用多個時間段來嘗試檢測不同類型的惡意軟件和/或不同類型的信標行為�。在利用多個時間段的實施例中�����,閾值配置數(shù)據708和/或724對于每個時間段可以包含不同組的配置數(shù)據��,例如在配置數(shù)據庫中的不同配置文件或不同數(shù)據���。
[0076]在步驟710,對于每個唯一的源�,分析來自該組的帶有共同源的全部條目或數(shù)據包(步驟706)����。作為步驟710的子步驟��,在步驟712�,對于每個源,全部數(shù)據包可以成組到時間集群中��。圖7B示出了曲線圖750��,其示出了源隨時間嘗試示例性連接��。如在圖7B中能夠看出的�����,在10:00:00標記之后不久發(fā)生了第一集群752�����,且在10:57:36標記附近發(fā)生了第二集群754��。再次參考圖7A���,集群檢測器700可以被編程和/或設計為識別相對接近在一起的不同連接嘗試作為單個集群而不是若干離散的數(shù)據點���。集群檢測器700可以被編程和/或設計為將相對接近在一起的不同連接嘗試組合成單個數(shù)據點(例如圖7B中的兩個數(shù)據點752���、754)。然后��,集群檢測器700可以例如使用集群數(shù)據點執(zhí)行操作�����、例程等���,因為當比較連接嘗試的集群而不是精確的連接時間時�,模式可以是更明顯的���。
[0077]在步驟714����,集群檢測器700可以測量連接嘗試的集群之間的時間��。在步驟716����,集群檢測器700可以確定集群之間的時間表現(xiàn)為以重復模式還是定期間隔形成。例如�����,在步驟716���,集群檢測器700可以檢測連接嘗試集群之間的時間是否接近����,例如彼此在I標準方差內���。在步驟716�����,如果集群之間的時間沒有表現(xiàn)為形成模式�,則集群檢測器700針對事件生成(步驟718)不采取動作����,并返回到步驟710,以為每個源重復迭代���。如果集群之間的時間表現(xiàn)為形成模式�����,則集群檢測器700可以生成適當?shù)氖录?步驟720)�,并可以將事件傳遞給事件列表702。事件可以指示特定的源可能感染了惡意軟件�����,例如可以以循環(huán)的方式正在向C&C服務器建立信標的APT惡意軟件�。然后,集群檢測器700可以返回到步驟710�����,以針對每個源重復迭代����。
[0078]在步驟722,集群檢測器700可以開始一個或更多例程��,它們類似于在步驟706開始的例程�����。例如,在步驟722開始的例程可以使用類似的集群和檢測步驟�。在步驟722開始的例程可以使用與在步驟706開始的例程不同的輸入數(shù)據組�,因此,(在步驟736)生成的事件可以是不同的���。在步驟722�,集群檢測器700可以從追蹤的連接列表704中選擇和/或讀取數(shù)個條目或行���。例如��,集群檢測器700可以讀取一時間段內的全部條目����,并可以按源/目的地元組(例如Src/Dst/DstPort元組)將條目成組�����。由集群檢測器700 (在步驟722)所使用的時間段可以跨越追蹤的連接列表704中的若干條目或行�。由集群檢測器700 (在步驟722)使用的這個時間段可以是例如通過時間周期配置數(shù)據724由用戶定義和/或用戶提供的,時間周期配置數(shù)據724是例如來自配置文件或配置數(shù)據庫����。該時間段可以類似于與時間段配置數(shù)據708相關聯(lián)的時間段;然而,它可以是不同的和/或是獨立配置的���。在步驟726,對于每個唯一的源/目的地(例如Src/Dst/DstPort元組),分析了來自該組的帶有共同源/目的地的全部條目或數(shù)據包(步驟722)���。然后,以類似于步驟712����、714、716�、718、720的方式執(zhí)行步驟728���、730���、732、734�����、736����。在步驟736生成的事件可以指示特定的源極可能感染了惡意軟件(例如APT惡意軟件)�,并且還可以精確地指示源正在向哪一個C&C服務器或設備建立信標�����。知道C&C服務器可以幫助精確地確定哪一個惡意軟件程序或APT惡意軟件程序存在于Src設備上��。
[0079]關于經由分析無響應出站網絡流量來檢測已感染的網絡設備的益處���,以下描述了本公開的一個或更多實施例的進一步的益處。應當明白的是��,所描述的益處并不是限制或要求���,并且一些實施例可以省略一個或更多已描述的益處���。
[0080]本公開的一個或更多實施例可以適合在網絡安全工具的較大套件或程序包內操作。本公開中描述的系統(tǒng)����、方法、例程和/或技術可以在網絡安全程序包內形成一個或更多工具���,例如作為生成警報事件等的一個源�。網絡安全程序包還可以包含可以分析警報事件的一個或更多事件相關器等。
[0081]本公開中描述的系統(tǒng)��、方法��、例程和/或技術可以允許檢測惡意軟件而不需要針對識別威脅的簽名和/或指紋����,或者不需要知道關于眾所周知的惡意IP地址。因為所描述的系統(tǒng)��、方法���、例程和/或技術可以通過分析數(shù)據包行為檢測惡意軟件而不分析惡意軟件程序的代碼�,所以它能夠檢測范圍廣泛的惡意代碼�,例如簽名和/或指紋文件還未知的新惡意軟件程序。因此�,本公開中所描述的系統(tǒng)、方法��、例程和/或技術可以提供依賴基于大規(guī)則或簽名的比較方法的各種技術的益處���。
[0082]本公開中所描述的系統(tǒng)��、方法�����、例程和/或技術可以使如下分析自動化��,如果安全專業(yè)人員能夠分析整個數(shù)據包流并識別出壓倒性數(shù)量的數(shù)據(例如在一些樣本實施方式中每天超過160億數(shù)據包)中的模式���,則安全專業(yè)人員將可能執(zhí)行這些分析��。在此所描述的系統(tǒng)����、方法�、例程和/或技術可以有助于安全專業(yè)人員迅速地識別出潛在受感染的設備��,從而優(yōu)化了時間���。另外�,因為不需要關于威脅(即簽名等)的以前的知識�,安全專業(yè)人員可能不需要以特定類型的知識來“裝填”系統(tǒng),因此系統(tǒng)可以花費更少的精力和時間來設置���。另外�,安全專業(yè)人員能夠檢測他們以前可能沒有時間或信息來檢測的威脅。
[0083]本公開中所描述的系統(tǒng)�����、方法��、例程和/或技術可以允許顯著的成本節(jié)約����,例如因為可能需要更少的人力來檢測威脅。本公開中所描述的系統(tǒng)����、方法、例程和/或技術可以幫助個人和實體防止敏感信息的丟失��,例如知識產權和機密信息����。有害惡意軟件的早期檢測可以允許個人或實體及早采取補救措施,在大型實體的情況下����,這可以節(jié)省數(shù)以百萬計美
J Li ο
[0084]本公開中所描述的系統(tǒng)、方法����、例程和/或技術�,包括在不同描述的實施例的流程圖和/或方框圖中示出的示例性方法和例程�����,可以實施為由數(shù)據處理系統(tǒng)執(zhí)行的軟件�����,其中該數(shù)據處理系統(tǒng)被編程�,使得數(shù)據處理系統(tǒng)適合執(zhí)行和/或實行在此所描述的方法、例程��、技術和解決方案�����。在此涉及的方框圖或流程圖中的每個方框或符號可以代表計算機可使用的或可讀的程序代碼的模塊�����、節(jié)段或部分�,這些程序代碼包括用于由一個或更多數(shù)據處理系統(tǒng)實施特定的功能或多種功能的一個或更多可執(zhí)行指令��。在本公開的一些替換實施方式中,在方框圖或流程圖的方框或符號中示出的功能或多種功能可以以在附圖中標注的順序以外的順序發(fā)生��。例如����,在一些情況下,連續(xù)顯示的兩個方框或符號可以基本上同時執(zhí)行�����,或多個方框有時可以以相反的順序執(zhí)行�,這取決于所涉及的功能性。本公開的不同實施例能夠采取存儲在永久儲存體和/或計算機可使用或計算機可讀的介質上的計算機代碼的形式�����,其可從計算機程序產品訪問�,從而提供由計算機或執(zhí)行指令的任一設備或系統(tǒng)使用的程序代碼,或者與它們有關的程序代碼����。部分或全部計算機代碼可以在數(shù)據處理系統(tǒng)執(zhí)行代碼之前被加載進數(shù)據處理系統(tǒng)的存儲器中。
[0085]現(xiàn)在轉到圖8��,描述了示例性數(shù)據處理系統(tǒng)800的圖示�����,數(shù)據處理系統(tǒng)800可以部分或整體地執(zhí)行本公開的一種或更多方法、例程和/或技術����。在本公開的一些實施例中,多于一個數(shù)據處理系統(tǒng)例如數(shù)據處理系統(tǒng)800可以用來實施在此所描述的方法���、例程�、技術和解決方案��。在圖8的示例中�����,數(shù)據處理系統(tǒng)800可以包含通信構造802�����,其在組件之間提供了通信�,這些組件是例如處理器單元804�����、存儲器806、永久存儲體808����、通信單元810、輸入/輸出(I/o)單元812以及顯示器814��。在一個特定的實施例中�����,數(shù)據處理系統(tǒng)800可以是個人計算機(PC)或與顯示器����、鍵盤、鼠標及其他可能的外圍設備關聯(lián)的其他計算機架構��。在另一特定的實施例中����,數(shù)據處理系統(tǒng)可以是例如圖1所示的防火墻104。
[0086]處理器單元804可以用來執(zhí)行可以被加載進存儲器806的指令(例如軟件程序)�����。依據特定的實施方式,處理器單元804可以是一組一個或更多處理器或者可以是多處理器內核�����。進一步�����,處理器單元804可以使用一個或更多異質處理器系統(tǒng)實施�����,在該異質處理器系統(tǒng)中���,主處理器與二級處理器存在于單個芯片上�。作為另一示范性的示例���,處理器單元804可以是對稱的多處理器系統(tǒng)���,其包含多個同一類型的處理器。
[0087]在這些示例中����,存儲器806可以是例如隨機存取存儲器或任一其他合適的易失或非易失性存儲設備。
[0088]永久存儲體808可以依據特定的實施方式而采取不同的形式��。例如�,永久存儲體808可以含有一個或更多組件或設備。例如���,永久存儲體808可以是硬盤驅動器�����、閃存����、可重寫光盤�、可重寫磁帶或上述的某些結合。由永久存儲體808所使用的介質也可以是可移除的����。例如可以使用可移除硬盤驅動器。
[0089]用于操作系統(tǒng)的指令可以位于永久存儲體808上���。在一個特定的實施例中���,操作系統(tǒng)可以是數(shù)個已知的操作系統(tǒng)的一些版本�。用于應用程序和/或程序的指令也可以位于永久存儲體808上�。這些指令可以被加載進存儲器806,以便由處理器單元804執(zhí)行����。例如,在本公開中描述的不同實施例的過程可以由處理器單元804使用計算機實施的指令來執(zhí)行��,計算機實施的指令可以被加載進存儲器�����,比如存儲器806�。這些指令被稱為程序代碼,計算機可使用的程序代碼或計算機可讀的程序代碼���,其可以由處理器單元804中的處理器讀取和執(zhí)行�。不同實施例中的程序代碼可以體現(xiàn)在不同物理或有形的計算機可讀介質上��,比如存儲器806���、永久存儲體808和/或其他計算機可讀介質�����,例如作為CD或DVD的一部分�。
[0090]用于應用程序和/或程序的指令可以位于不是永久性地包含在數(shù)據處理系統(tǒng)800中的計算機可讀介質818上。例如����,程序代碼816可以以功能形式位于計算機可讀介質818上���,并且可以被加載進或轉移到數(shù)據處理系統(tǒng)800��,以便由處理器單元804執(zhí)行��。程序代碼816和計算機可讀介質818可以形成計算機程序產品820�。在一個示例中���,計算機可讀介質818可以是有形形式�����,比如插入或置入驅動器或其他設備的光盤或磁盤中�,以便傳輸?shù)酱鎯υO備�,比如作為永久存儲體808的一部分的硬盤驅動器上。驅動器或其他設備可以例如經由通信構造802或經由輸入/輸出單元812連接至數(shù)據處理系統(tǒng)800的其它組件并與其通信����。在另一有形形式中��,計算機可讀介質818可以是永久存儲體���,比如連接至數(shù)據處理系統(tǒng)800的硬盤驅動器或閃存。
[0091]為了本公開的目的�,計算機可使用或計算機可讀介質一般可以是任何有形的裝置,其能夠含有���、存儲���、傳遞、傳播或傳輸由系統(tǒng)(例如執(zhí)行指令的系統(tǒng))所使用的或與其相關的數(shù)據(比如軟件程序)�。計算機可使用的或計算機可讀介質可以是例如但不限于電磁光盤、電磁紅外線或半導體系統(tǒng)或傳播介質�����。計算機可讀介質的非限制性示例包含半導體或固態(tài)存儲器磁帶���、可移除計算機軟盤�、隨機存取存儲器(RAM)�、只讀存儲器(ROM)����、剛性磁盤和光盤��。光盤可以包含光盤只讀存儲器(⑶-ROM)���、光盤讀寫(⑶R/W)和DVD。進一步���,計算機可使用或計算機可讀介質可以含有或存儲計算機可讀或可使用的程序代碼���,使得當計算機可讀或可使用程序代碼在計算機上執(zhí)行時,該計算機可讀或可使用的程序代碼的執(zhí)行使計算機執(zhí)行特定的例程����、程序、步驟等�。計算機可讀介質的有形形式也稱為計算機可記錄存儲介質。
[0092]顯示器814可以提供用來向用戶顯示信息的機構����,例如經由CRT、IXD或LED監(jiān)視器���、LED燈或其他類型的顯示器�。
[0093]輸入/輸出(I/O)單元812允許與可以連接至數(shù)據處理系統(tǒng)800的其他設備輸入和輸出數(shù)據。例如�,輸入/輸出單元812可以提供用戶通過鍵盤、觸摸屏��、鼠標和/或其它指針設備進行輸入的連接����。進一步,輸入/輸出單元812可以發(fā)送輸出至打印機����。輸入/輸出設備能夠直接地或者通過介入的I/O控制器耦合至系統(tǒng)。不同的通信適配器也可以耦合至系統(tǒng)�����,以使數(shù)據處理系統(tǒng)能夠通過介入的專用或公用網絡耦合至其他數(shù)據處理系統(tǒng)或遠程打印機或存儲設備����。非限制性示例,比如調制解調器和網絡適配器�����,僅是幾個當前可用類型的通信適配器。程序代碼816可以通過至輸入/輸出單元812的連接從計算機可讀介質818轉移至數(shù)據處理系統(tǒng)800�����。在示范性的示例中���,連接可以是物理的或無線的�����。計算機可讀介質也可以采取非有形介質的形式,比如含有程序代碼的通信鏈接或無線傳輸�。
[0094]為數(shù)據處理系統(tǒng)800示出的不同組件并不意味著對可以實施不同實施例的方式提供了架構限制。不同示范性的實施例可以實施在如下數(shù)據處理系統(tǒng)中����,該數(shù)據處理系統(tǒng)包含除了為數(shù)據處理系統(tǒng)800示出的那些組件以外的組件,或者包含取代它們的組件���。圖8中示出的其他組件能夠根據所示的示范性示例而變化���。例如,總線系統(tǒng)可以用來實施通信構造802�,并且可以由一個或更多總線比如系統(tǒng)總線或輸入/輸出總線組成�??偩€系統(tǒng)可以使用任一合適類型的架構來實施,該架構提供了在附連至總線系統(tǒng)的不同組件或設備之間的數(shù)據傳輸�。另外,通信單元可以包含用來發(fā)送和接收數(shù)據的一個或更多設備�����,比如調制解調器或網絡適配器��。進一步的存儲器可以是例如����,存儲器806和/或高速緩存,比如可能存在于通信構造802中的接口和存儲器控制器集線器中發(fā)現(xiàn)的那些�����。
[0095]通信單元810可以提供與其他數(shù)據處理系統(tǒng)或設備的通信�����。在這些示例中����,通信單元810可以是網絡接口卡(NIC)�。通信單元810可以通過使用物理和/或無線通信鏈接兩者中的任一個或這兩者來提供通信�����。通信單元810可以允許數(shù)據的輸入和輸出�����。通信單元810可以有助于數(shù)據(例如數(shù)據包�����、報頭等)的捕獲或來自另一設備的數(shù)據的傳輸�。
[0096]計算機可讀介質也可以采取非有形介質的形式,比如含有程序代碼的通信鏈接或無線傳輸�。
[0097]為了示出和描述的目的已呈現(xiàn)不同的有利實施例的描述��,其并非意在窮舉或限制于公開形式的實施例�。對于本領域技術人員來說,許多修改和變化將會是明顯的��。不同實施例可以包含:
[0098]Al.一種用于網絡和/或設備安全的計算機實施的方法��,其包括:在一個或更多計算機上執(zhí)行如下例程,該例程從網絡流量接收多條數(shù)據包信息作為輸入�����;在所述一個或更多計算機上執(zhí)行如下例程��,該例程分析所述多條數(shù)據包信息����,以識別在一段時間期間沒有接收到響應數(shù)據包的出站網絡數(shù)據包���;以及在所述一個或更多計算機上執(zhí)行例程,該例程在一個或更多數(shù)據存儲件中存儲和/或追蹤數(shù)據包信息���,該數(shù)據包信息與沒有接收到響應數(shù)據包的出站網絡數(shù)據包相關�。
[0099]A2.根據Al所述的計算機實施的方法���,其中分析所述多條數(shù)據包信息以識別在一段時間期間沒有接收到響應數(shù)據包的出站網絡數(shù)據包的步驟包含分析所述多條數(shù)據包信息以識別是死SYN數(shù)據包的出站網絡數(shù)據包��。
[0100]A3.根據Al所述的計算機實施的方法�����,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息��,以確定在所述網絡流量中是否存在異常����;以及基于確定在所述網絡流量中是否存在異常而生成一個或更多事件����,所述一個或更多事件指示惡意軟件可能存在于網絡中或在設備上���。
[0101]A4.根據A3所述的計算機實施的方法,其中確定在所述網絡流量中是否存在異常的步驟包含檢測指示先進持續(xù)性威脅(APT)的異常�����。
[0102]A5.根據A3所述的計算機實施的方法,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否已經生成沒有接收到響應數(shù)據包的多個出站網絡數(shù)據包��。
[0103]A6.根據A3所述的計算機實施的方法��,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入���,其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)�,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示�,并且其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含:分析該組數(shù)據包信息以確定在該組中帶有相同源和目的地的多條數(shù)據包信息的數(shù)量���;以及確定帶有相同源和目的地的多條數(shù)據包信息的數(shù)量是否超過閾值�。
[0104]A7.根據A6所述的計算機實施的方法,其中通過將時間段配置與每件數(shù)據包信息的時間指示相比較�,使得在確定的一段時間內接收多條數(shù)據包信息,以此確定包含在該組中的多條數(shù)據包信息的數(shù)量�。
[0105]AS.根據A3所述的計算機實施的方法��,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定多個源設備是否已經感染了相同的惡意軟件���。
[0106]A9.根據A3所述的計算機實施的方法�����,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程�,該例程從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入���,其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)���,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示,并且其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以便確定在所述網絡流量中是否存在異常的步驟包含:分析該組數(shù)據包信息�,以對于每個目的地,確定在該組中針對每個唯一源的多條數(shù)據包信息���;以及對于單個目的地��,確定具有每個唯一源的多條數(shù)據包信息的數(shù)量是否超過閾值��。
[0107]A10.根據A3所述的計算機實施的方法���,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定源設備是否嘗試與多個目的地通信。
[0108]All.根據A3所述的計算機實施的方法�,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入�����,其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)����,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示,并且其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含:分析該組數(shù)據包信息���,以對于每個源����,確定在該組中針對每個唯一目的地的多條數(shù)據包信息的數(shù)量;以及對于單個源�,確定具有每個唯一目的地的多條數(shù)據包信息的數(shù)量是否超過閾值。
[0109]A12.根據A3所述的計算機實施的方法�����,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否以再發(fā)生的方式嘗試與特定的目的地通信�。
[0110]A13.根據A3所述的計算機實施的方法,進一步包括:在所述一個或更多計算機上執(zhí)行例程���,該例程從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入��,其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)���,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示,其中在該組中的多條數(shù)據包信息中的每一條具有相同的源和目的地����,并且其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含:分析該組數(shù)據包信息,以對于每個目的地�����,確定在該組中的多條數(shù)據包信息的數(shù)量;以及對于單個目的地�,確定多條數(shù)據包信息的數(shù)量是否超過閾值。
[0111]A14.根據A3所述的計算機實施的方法�,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否在一時間段內以與在先前的時間段內的平均次數(shù)大約相同的平均次數(shù)嘗試與特定的目的地通信。
[0112]A15.根據A13所述的計算機實施的方法�,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟進一步包含:對于單個目的地��,確定在該組中每個源帶有單個目的地的多條數(shù)據包信息的平均數(shù)量���;將所述平均數(shù)量與先前一組數(shù)據包信息的先前的平均數(shù)量相比較�;以及確定所述平均數(shù)量和所述先前的平均數(shù)量是否大致相同�����。
[0113]A16.根據A13所述的計算機實施的方法����,其中通過將時間周期配置與每條數(shù)據包信息的時間指示相比較,使得在確定的一段時間內接收多條數(shù)據包信息����,以此確定包含在該組中的多條數(shù)據包信息的數(shù)量。
[0114]A17.根據A3所述的計算機實施的方法���,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否生成沒有接收到響應數(shù)據包的重復集群的出站網絡數(shù)據包��。
[0115]A18.根據A3所述的計算機實施的方法���,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程��,該例程從一個或更多數(shù)據存儲件接收包含多條數(shù)據包信息的一組數(shù)據包信息作為輸入��,其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)�����,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示�����,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含:分析該組數(shù)據包信息�,且對于每個源���,形成具有彼此相對接近的時間指示的多條數(shù)據包信息的數(shù)據包集群�����;以及確定在所述數(shù)據包集群之間的時間是否重復�。
[0116]A19.根據A3所述的計算機實施的方法,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否在重復的集群中嘗試與特定的目的地通信���。
[0117]A20.根據A3所述的計算機實施的方法���,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程從一個或更多數(shù)據存儲件接收包含多件數(shù)據包信息的一組數(shù)據包信息作為輸入�����,其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)����,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示����,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含:分析該組數(shù)據包信息,且對于每個源/目的地對��,形成具有彼此相對接近的時間指示的多條數(shù)據包信息的數(shù)據包集群�;以及確定在所述數(shù)據包集群之間的時間是否重復。
[0118]B1.一種用于網絡和/或設備安全的計算機實施的方法���,其包括:在一個或更多計算機上執(zhí)行如下例程�,該例程接收第一數(shù)據包信息作為輸入;在所述一個或更多計算機上執(zhí)行如下例程����,該例程分析所述第一數(shù)據包信息,以確定所述第一數(shù)據包信息是否識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包���;以及在所述一個或更多計算機上執(zhí)行如下例程����,如果所述第一數(shù)據包信息識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包����,并且所述第一數(shù)據包信息被確定為潛在的無響應數(shù)據包,則該例程在一個或更多數(shù)據存儲件中存儲和/或追蹤所述第一數(shù)據包信息��。
[0119]B2.根據BI所述的計算機實施的方法���,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程��,該例程接收第二數(shù)據包信息作為輸入���;在所述一個或更多計算機上執(zhí)行如下例程,該例程分析所述第二數(shù)據包信息���,以確定所述第二數(shù)據包信息是否識別響應于所述出站網絡數(shù)據包的入站網絡數(shù)據包����;以及在所述一個或更多計算機上執(zhí)行如下例程,如果所述第二數(shù)據包信息識別響應于所述出站網絡數(shù)據包的入站網絡數(shù)據包����,并且基于所述第二數(shù)據包信息確定所述第一數(shù)據包信息不是無響應數(shù)據包,則該例程在所述一個或更多數(shù)據存儲件中移除和/或終止對所述第一數(shù)據包信息的追蹤���。
[0120]B3.根據B2所述的計算機實施的方法�,其中所述第一數(shù)據包信息和所述第二數(shù)據包信息都是數(shù)據包報頭信息�����。
[0121]B4.根據B2所述的計算機實施的方法��,其中所述第一數(shù)據包信息和所述第二數(shù)據包信息都是歸一化的數(shù)據包報頭信息����,其包含在一段時間內對于一個或更多數(shù)據包是共同的數(shù)據包報頭信息���。
[0122]B5.根據B2所述的計算機實施的方法����,其中分析所述第一數(shù)據包信息以確定所述第一數(shù)據包信息是否識別與網絡通信的開始關聯(lián)的出站網絡數(shù)據包的步驟包含分析所述第一數(shù)據包信息以確定所述第一數(shù)據包信息是否識別是SYN數(shù)據包的出站TCP網絡數(shù)據包。
[0123]B6.根據B3所述的計算機實施的方法�,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程通過將所述第一數(shù)據包信息與過濾器配置數(shù)據比較來分析所述第一數(shù)據包信息��,以確定是否應當過濾掉所述第一數(shù)據包信息��。
[0124]B7.根據B3所述的計算機實施的方法�,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程分析所述第一數(shù)據包信息��,以確定所述第一數(shù)據包信息是否識別是在所述一個或更多數(shù)據存儲件中存儲和/或追蹤的先前的出站網絡數(shù)據包的重傳的網絡數(shù)據包���。
[0125]B8.根據B3所述的計算機實施的方法���,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程分析所述第二數(shù)據包信息��,以確定所述第二數(shù)據包信息是否識別是指示錯誤的數(shù)據包的網絡數(shù)據包��。
[0126]B9.根據B3所述的計算機實施的方法�,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程,該例程在所述一個或更多數(shù)據存儲件中移除和/或終止對已經在所述一個或更多數(shù)據存儲件中存在了特定的時間段的數(shù)據包信息的追蹤�����。
[0127]B10.根據B3所述的計算機實施的方法,進一步包括:在所述一個或更多計算機上執(zhí)行如下例程�,該例程從所述一個或更多數(shù)據存儲件接收數(shù)據包信息作為輸入,所述數(shù)據包信息與在一段時間內沒有接收到有效響應數(shù)據包的出站網絡數(shù)據包相關�;以及在所述一個或更多計算機上執(zhí)行如下例程,該例程分析所述數(shù)據包信息并且生成一個或更多事件����,這些事件指示惡意軟件可能存在于網絡中或設備上。
[0128]與其他有利實施例相比��,進一步不同的有利實施例可以提供不同的優(yōu)點���。選擇和描述選定的實施例或多個實施例是為了最好地解釋實際應用的實施例的原理���,并且使其他本領域技術人員能夠明白帶有適合于預期的特定用途的各種修改的各種實施例的公開���。
【權利要求】
1.一種用于網絡和/或設備安全的計算機實施的方法����,其包括: 在一個或更多計算機上執(zhí)行如下例程�,該例程從網絡流量接收多條數(shù)據包信息作為輸A ��; 在所述一個或更多計算機上執(zhí)行如下例程��,該例程分析所述多條數(shù)據包信息�����,以識別在一時間段期間接收無響應數(shù)據包的出站網絡數(shù)據包��;以及 在所述一個或更多計算機上執(zhí)行如下例程���,該例程引起在一個或更多數(shù)據存儲件中存儲和/或追蹤與已經接收到無響應數(shù)據包的出站網絡數(shù)據包相關的數(shù)據包信息。
2.根據權利要求1所述的計算機實施的方法���,其中分析所述多條數(shù)據包信息以識別在一時間段期間接收無響應數(shù)據包的出站網絡數(shù)據包的步驟包含分析所述多條數(shù)據包信息以識別是死SYN數(shù)據包的出站網絡數(shù)據包����。
3.根據權利要求1所述的計算機實施的方法���,進一步包括: 在所述一個或更多計算機上執(zhí)行如下例程�,該例程分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息�����,以確定在所述網絡流量中是否存在異常;以及 基于確定所述網絡流量中是否存在異常�,生成一個或更多事件,所述一個或更多事件指示惡意軟件可能存在于網絡中或設備上���。
4.根據權利要求3所述的計算機實施的方法����,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否已經生成接收無響應數(shù)據包的多個出站網絡數(shù)據包���。
5.根據權利要求3所述的計算機實施的方法����,進一步包括: 在所述一個或更多計算機上執(zhí)行如下例程�,該例程從一個或更多數(shù)據存儲件接收一組數(shù)據包信息作為輸入,該組數(shù)據包信息包括多條數(shù)據包信息���, 其中所述多條數(shù)據包信息中的每一條與網絡數(shù)據包關聯(lián)���,并包含關聯(lián)的數(shù)據包的源和目的地以及時間指示,以及 其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含: 分析該組數(shù)據包信息��,以對于每個目的地�����,確定在該組中針對每個唯一的源的多條數(shù)據包信息的數(shù)目�����;以及 對于單個目的地��,確定具有每個唯一的源的多條數(shù)據包信息的數(shù)目是否超過閾值����。
6.根據權利要求3所述的計算機實施的方法,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據報信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否以再發(fā)生的方式嘗試與特定的目的地通信��。
7.根據權利要求3所述的計算機實施的方法����,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否生成接收無響應數(shù)據包的重復集群的出站網絡數(shù)據包。
8.根據權利要求3所述的計算機實施的方法���,其中分析來自所述一個或更多數(shù)據存儲件的數(shù)據包信息以確定在所述網絡流量中是否存在異常的步驟包含分析數(shù)據包信息以確定特定的源設備是否在重復集群中嘗試與特定的目的地通信����。
9.一種用于網絡和/或設備安全的數(shù)據處理系統(tǒng),其包括: 與一個或更多網絡通信的一個或更多通信單元��;存儲計算機代碼的一個或更多存儲器單元���;以及 耦合至所述一個或更多通信單元和所述一個或更多存儲器單元的一個或更多處理器單元�����,其中所述一個或更多處理器單元執(zhí)行存儲在所述一個或更多存儲器單元中的計算機代碼�����,以使所述數(shù)據處理系統(tǒng)適于執(zhí)行權利要求1至8中任一項所述的方法��。
10.一種包括計算機可讀指令的計算機可讀介質����,該計算機可讀指令當由數(shù)據處理系統(tǒng)中的一個或更多處理器單元執(zhí)行時�����,使所述數(shù)據處理系統(tǒng)執(zhí)行權利要求1至8中任一項所述的方法��。`
【文檔編號】H04L29/06GK103685223SQ201310400109
【公開日】2014年3月26日 申請日期:2013年9月5日 優(yōu)先權日:2012年9月11日
【發(fā)明者】A·R·戴維斯, T·M·奧爾德里奇 申請人:波音公司