[发明专利]用于检测恶意命令和控制通道的系统和方法

说明书

技术领域

该说明书大体上涉及网络安全，并且更特定地，涉及用于检测恶意命令和控制通道的系统和方法。

背景技术

网络安全的领域在现今的社会中已变得越来越重要。因特网遍布全世界实现不同计算机网络的互连。然而，有效保护并且维持稳定的计算机和系统的能力对于部件制造商、系统设计师和网络运营商呈现出重大障碍。该障碍由于由恶意操作者实施的不断发展的一系列战术而变得甚至更复杂。如果某些类型的恶意软件可能感染主计算机，它还可能够进行许多有敌意、侵入或骚扰动作，例如从主计算机发出垃圾邮件或恶意email、从与主计算机关联的企业或个体窃取敏感信息、传播到其他主计算机和/或帮助分布式拒绝服务攻击。另外，恶意操作者可以向其他恶意操作者出售或用别的方式准许其他恶意操作者访问，由此扩大主计算机的利用。因此，对于开发创新工具来对抗允许恶意操作者利用计算机的战术仍然存在重大挑战。

附图说明

为了提供对本公开及其特征和优势的更完整理解，结合附图参考下面的描述，其中类似的标号代表类似的部件，其中：

图1是图示根据该说明书的网络环境（其中可检测恶意命令和控制通道）的示例实施例的简化框图；

图2是图示可与网络环境的关联的额外细节的简化框图；

图3是图示可与网络环境关联的潜在操作的简化流程图；

图4是图示可与网络环境关联的额外操作的简化流程图；

图5是图示可与网络环境关联的再其他操作的简化流程图。

具体实施方式

综览

在一个示例实施例中提供方法，其包括检测从源节点到目的地节点的重复连接、基于这些连接对源节点计算分数以及如果分数超出阈值分数则采取策略动作。

在更特定的实施例中，重复连接使用超文本传输协议并且可包括到少量唯一域的连接、到与目的地节点关联的少量唯一资源的连接和/或到域中的资源的大量连接。此外，启发法可用于对源节点记分并且识别指示威胁的行为，例如爬虫软件（bot）或其他恶意软件（malware）。

示例实施例

转向图1，图1是其中可检测恶意命令和控制通道的网络环境100的示例实施例的简化框图。网络环境100可包括具有例如主机110a-110d等节点的局域网105，这些节点可通过具有僵尸网络检测模块（botnet detection module）122的传感器120连接到因特网115。节点一般是任何系统、机器、装置、网络元件、客户端、服务器、对等装置、服务、应用或能够在网络上发送并且接收数据的其他对象。网络环境100中的节点之间的链路代表两个节点可以通过其而通信的任何介质。该介质可以是例如导线或光纤缆线等有形介质，或例如用于无线通信的无线电波等无形介质。

从而，主机110a-110d中的每个可彼此通信并且与连接到因特网115的远程节点（例如web服务器125或邮件服务器130）通信。主机110a-110d还可例如通过邮件服务器130与远程主机135交换email消息。一般，主机110a-110d可以是能够运行程序并且与操作者交互的任何类型的节点。在它最常见的意义上，主机大体上包括附连的输入装置和附连的输出装置，但额外或备选地可包括用于与操作者远程交互的接口。例如，主机可以是台式计算机、工作站计算机、服务器、便携式电脑、平板计算机（例如，iPad）或移动电话（例如，iPhone）。在该示例网络环境100中，例如主机110b等主机可被bot 140损害，bot 140大体上代表可在远程软件、装置、机器或系统（例如命令和控制（C&C）服务器145）的控制之下的任何恶意软件（“malware”）。

图1的元件中的每个可通过简单的网络接口或通过任何其他适合的连接（有线或无线）而耦合于彼此，这对网络通信提供可行路径。另外，这些元件中的任何一个或多个可基于特定配置需要而组合或从架构去除。网络环境100可包括能够进行传输控制协议/因特网协议（TCP/IP）通信以用于在网络中传送或接收包的配置。网络环境100还可连同用户数据报协议/IP（UDP/IP）或任何其他适合的协议（在适合的情况下）并且基于特定需要而操作。