[发明专利]用于检测受损计算系统的系统与方法

说明书

一种数字安全威胁管理系统被公开。该系统在网络上检测被未检测到的和/或未知的数字安全威胁所破坏的计算系统的存在。该数字安全威胁管理系统能识别来自已经被破坏的计算系统的特性散发物。因为已知威胁导致的特性散发物与未检测到的和/或未知威胁导致的特性散发物可以相同，如果该安全威胁管理系统能基于该计算系统的已知威胁从先前的攻击中识别特性散发物，数字安全威胁管理系统可以学习以检测已经被未知威胁破坏的计算系统。以这种方式，该系统可以检测被破坏的计算系统的存在，即使被破坏的原因仍然未被检测到和/或未知。适当的补救措施可以在检测中采取。

相关申请交叉引用

本申请要求于2013年1月28日的提交美国专利申请序列号13/752,268利益和优先权，其发明内容通过引用整体并入本文。

背景技术

1.技术领域

本发明一般涉及数字安全领域，并且更具体地检测已经被数字安全威胁破坏的计算系统。

2.发明内容

计算技术的扩散在数字安全领域继续存在挑战。众所周知，恶意实体可以使用一台网络计算机(即，网络节点)传播恶意计算机数据到其它网络节点，并由此造成系统中断和经济损失。受损的网络节点可能进一步传播恶意计算机数据到额外的网络节点并造成额外的伤害。

本领域的普通技术人员将理解网络计算机(或更一般地，计算系统)可能容易受到攻击，例如那些基于计算机病毒、恶意软件、蠕虫、特洛伊木马、机器人、侵入(例如，未经授权的访问)、漏洞(例如，特权升级和违反保密)、基于时间的攻击(例如，拒绝服务)或类似物。术语“威胁”是用来描述一种或多种这些类型的攻击。

数字安全技术可以用于通过检测和/或从计算系统去除恶意计算机数据来应对这些类型的攻击。本领域的普通技术人员将理解数字安全技术可以驻留在不同的网络节点，可以以硬件和/或软件形式进行打包，并包括松散地被称为“反病毒软件”、“恶意软件检测”、“入侵预防”、“抗攻击”、防火墙或类似物等技术，虽然术语含义并不相同。更广泛的术语，“统一威胁管理”(“UTM”)也被用于描述一个或多个数字安全技术的这些实现。

传统的数字安全技术通常使用对应于特定威胁的签名检测威胁，这意味着威胁的检测依赖于特定威胁的先验知识以及该特定威胁签名的可用性。例如，传统的数字安全技术可以利用给定的计算机病毒的签名来扫描计算系统以检测给定的计算机病毒是否存在于计算系统中。这些类型技术的一个缺点是签名尚不可用的威胁不能被检测到。

发明概述

在一个示例性实施方案中，用于检测被未检测到的攻击破坏的计算设备的计算机实现方法包括从网络获取多个网络数据包。所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包。所获取的多个网络数据包包括含有基于已知威胁计算设备的攻击的网络数据包，其中已知威胁不同于未被检测到的威胁。所获取的多个网络数据包还包括来自被攻击前的计算设备的网络数据包和来自被攻击后的计算设备的网络数据包。多个组合数据包至少由多个TCP分组和IP 分组的子集创建，其中多个组合数据包中的第一组合数据包包括至少一个TCP分组中的一部分和至少一个IP分组中的一部分，并且其中多个组合数据包中的第二组合数据包包括至少一个TCP分组中的一部分和至少一个IP分组中的一部分。第二组合数据包不同于第一组合数据包。第一序列是通过把第一组合数据包的至少一部分内容按位转换为第一组多个整数而创建的，其中第一序列包括第一组多个整数。第二序列是通过把第二组合数据包的至少一部分内容按位转换为第二组多个整数而创建的，其中第二序列包括第二组多个整数。相似性量度是根据第一序列和第二序列之间的距离函数来确定的。第三序列基于相似性量度被创建，其中第三序列是在第一顺序包括常见于第一序列和第二序列的第三组多个整数。第四序列被创建，其中第四序列是在第一顺序包括第三列表的第三组多个整数的子集的元表达式并代表该计算设备是被威胁破坏。元表达式被存储，并且所存储的元表达式被用来检测计算设备已经被未检测到的威胁破坏。