[发明专利]用于通过使用行为分析检测恶意设备的系统和方法

权利要求书

1.一种用于检测恶意设备的计算机实现的方法，所述计算机实现的方法包括以下步骤：

从一个或多个本地网络收集一个或多个第一设备的至少一个数据流；

至少部分地基于第二设备的行为模式创建功能组；

使用与网络流量和连接统计的组合相关的统计边界来确定所述功能组中第二设备的行为简档，所述网络流量和连接统计是从所述第二设备的至少一个数据流中确定的；以及

将所述行为简档部署到所述一个或多个本地网络，其中所述一个或多个本地网络上的监测节点被配置为将第一设备的当前行为与所述行为简档中的行为简档进行比较，其中所述第一设备的当前行为包括从所述第一设备的至少一个数据流中确定的网络流量和连接统计的组合，并响应于确定所述当前行为不在所述行为简档的预定或可配置阈值内，指示所述第一设备的恶意行为。

2.如权利要求1所述的计算机实现的方法，其中所述一个或多个第一设备的至少一个数据流被用于确定以下中的一个或多个：入站或出站网络流量的统计量、网络流量的类型、分组的源和目的地端口、分组的目的地地址、分组到达和传输之间的时间、以及连接持续时间。

3.如权利要求1所述的计算机实现的方法，其中将所述一个或多个第一设备的至少一个数据流从一个或多个路由器或监测节点发送到行为分析器。

4.如权利要求3所述的计算机实现的方法，其中所述一个或多个路由器或监测节点耦合到互联网，并且其中所述互联网耦合到所述行为分析器。

5.如权利要求4所述的计算机实现的方法，其中所述行为分析器耦合到具有通过用户输入、检测或来自第三方的输入中的一个或多个获得的已知设备行为数据的行为数据库。

6.如权利要求1所述的计算机实现的方法，还包括步骤：

如果所述第一设备的当前行为不在所述行为简档的预定或可配置阈值内，则警告用户第一设备是恶意的。

7.如权利要求1所述的计算机实现的方法，还包括步骤：

如果所述第一设备的当前行为不在所述行为简档的预定或可配置阈值内，则关闭或隔离第一设备。

8.一种用于检测恶意设备的系统，所述系统包括：

一个或多个设备，与一个或多个监测节点相关联；

一个或多个路由器，在本地网络和互联网之间运行所述一个或多个设备的数据流的传输；以及

行为分析器，被配置为接收所述一个或多个设备的数据流，从所述一个或多个设备的数据流中确定网络流量和连接统计的组合，以及将所述一个或多个设备的数据流的行为数据与至少一个功能组的行为简档进行比较，其中所述一个或多个设备的数据流的行为数据包括所述网络流量和连接统计的组合，所述至少一个功能组的行为简档是使用统计边界而确定的，所述统计边界与从所述功能组内的设备的数据流中确定的网络流量和连接统计的组合相关，并且基于所述比较，确定所述一个或多个设备是否是恶意的；

其中响应于确定所述一个或多个设备的数据流不在所述行为简档的预定或可配置阈值内，将所述一个或多个设备指示为恶意的。

9.如权利要求8所述的系统，其中如果所述一个或多个设备的数据流不在所述行为简档的预定或可配置阈值内，则警告用户所述一个或多个设备是恶意的。

10.如权利要求8所述的系统，其中如果所述一个或多个设备的数据流不在所述行为简档的预定或可配置阈值内，则关闭或隔离所述一个或多个设备。

11.如权利要求8所述的系统，还包括计算设备，所述计算设备包括一个或多个处理器、网络接口模块和存储器，并且其中所述处理器耦合到所述网络接口模块，并且被配置为运行行为跟踪过程。

12.如权利要求8所述的系统，其中所述行为分析器耦合到具有所述行为简档和已知设备行为数据的行为数据库。