[发明专利]用于检测网络节点上的持续恶意软件的方法

说明书

本发明涉及用于检测第一网络节点(12)的持续性的方法和设备。在本发明的第一方面，提供一种方法，包括以下步骤：在指定观测周期期间监视(S101)所述第一网络节点是否已建立到第二网络节点(13)的连接；以及确定(S102)在所述指定观测周期期间发生的所述第一网络节点连接到所述第二网络节点的连接会话的总数量；此外，所述方法包括以下步骤：根据会话的所述总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及根据会话的所述总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第一网络节点的会话间持续性。

技术领域

本发明涉及用于检测第一网络节点的持续性的方法和设备。

背景技术

持续恶意软件是一种将自身安装在设备上且因此每当设备开启时能够执行动作的常见类型的恶意软件。所谓的僵尸(bot)(参与僵尸网络)可以被归为持续恶意软件，其利用网络且被广泛地视为当今互联网上最严重的威胁之一。一般用法是，术语“僵尸”是指计算机感染了恶意软件，这种恶意软件允许攻击者远程控制计算机以代表攻击者执行任务，诸如发送垃圾邮件、窃取信息或者启动对其它计算机的攻击。僵尸网络是在共同控制下的此种僵尸的集合。已经存在诸多用于检测计算机和具有类似功能的其它设备(例如电话、平板电脑等)上的恶意软件感染的技术。现有的基于主机的技术包括进行签名扫描以找到被感染和被操控的文件以及针对设备上的不寻常和/或可疑进程进行行为监视。同样地，常见的基于网络的技术依赖于检测可能与恶意软件感染有关的攻击或恶意软件通信的签名或者异常或可疑通信模式。大多数技术依靠对恶意软件样本的捕获和手动分析以创建针对特定恶意软件的检测规则。

发明人到现在为止所知道的现有恶意软件检测技术在检测性能方面有缺点且其能力取决于其所部署的位置，例如，主机上或者网络中。由于恶意软件编写者与试图保卫用户的安全行业之间存在不断的竞赛，因此不断地需要新技术来改善对诸如持续使用网络的恶意软件的威胁的检测。

发明内容

本发明的目的是解决或者至少减轻本领域中的这些问题并提供一种用于检测网络中的恶意设备的改善方法和设备。

在本发明的第一方面通过一种检测第一网络节点的持续性的方法来达到此目的。方法包括以下步骤：在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的连接；以及确定在所述指定观测周期期间发生的第一网络节点连接到第二网络节点的连接会话的总数量。此外，方法包括以下步骤：根据会话的总数量确定包括第一网络节点与第二网络节点之间的至少一个通信流的会话的数量；以及基于会话的总数量和包括至少一个通信流的会话的数量确定第一网络节点的会话间持续性。

在本发明的第二方面通过一种检测第一网络节点的持续性的方法来达到这个目的。方法包括以下步骤：在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的连接；以及确定在所述指定观测周期期间第一网络节点连接到第二网络节点的连接会话的总数量。此外，方法包括以下步骤：根据会话的总数量确定包括第一网络节点与第二网络节点之间的至少一个通信流的会话的数量；以及将至少一个会话划分成若干子会话。接着，针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个通信流的子会话的数量，且基于子会话的数量和包括至少一个通信流的子会话的数量来确定针对至少一个会话的第一网络节点的会话内持续性。

有利地，本发明以可以利用网络进行攻击、远程控制和/或恶意软件更新等的持续恶意软件为目标。为此，可以找到诸如发送垃圾邮件等恶意和/或可疑网络活动所涉及的设备之间的通信模式的普遍特征(或者至少一些用于检测恶意/可疑攻击行为的探索)，并加入到对恶意软件建立网络通信的特性持续性的此检测。例如，参与僵尸网络(垃圾邮件发送或者其它)的僵尸将重复尝试“往家里打电话”给一个或更多个命令与控制(C&C)服务器。这通常将在每当设备开启并连接到网络时重复发生，且在设备开启并连接时随着时间重复发生。

因此，网络中的信令信息被用来确定设备开启并连接到网络的周期，即持续恶意软件有机会使用网络的周期。促进对连接会话的确定的三个示范性实施例包括：