[发明专利]用于检测恶意命令和控制通道的系统和方法有效
| 申请号: | 201280053582.9 | 申请日: | 2012-09-28 |
| 公开(公告)号: | CN104067280B | 公开(公告)日: | 2017-06-20 |
| 发明(设计)人: | R.巴鲁帕里;V.马哈迪克;B.马德胡苏丹;C.H.沙 | 申请(专利权)人: | 迈可菲公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55 |
| 代理公司: | 中国专利代理(香港)有限公司72001 | 代理人: | 张金金,汤春龙 |
| 地址: | 美国加利*** | 国省代码: | 暂无信息 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 在一个示例实施例中提供方法,其包括检测从源节点到目的地节点的重复连接、基于这些连接对源节点计算分数以及如果分数超出阈值分数则采取策略动作。在更特定的实施例中,重复连接使用超文本传输协议并且可包括通向少量唯一域的连接、通向与目的地节点关联的少量唯一资源的连接和/或通向域中的资源的大量连接。此外,启发法可用于对源节点记分并且识别指示威胁的行为,例如爬虫软件(bot)或其他恶意软件(malware)。 | ||
| 搜索关键词: | 用于 检测 恶意 命令 控制 通道 系统 方法 | ||
【主权项】:
一种用于网络安全的方法,包括:检测从空闲源节点到目的地节点的重复连接;基于所述重复连接的行为对所述空闲源节点计算分数;如果所述分数超出阈值则采取策略动作,其中检测所述重复连接包括:检测通向超过X个地址的连接;在预定时间段内检测通向少于Y个唯一地址的连接;以及检测通向与所述唯一地址中的至少一个关联的少于Z个唯一资源标识符的连接;其中X、Y和Z是指示与不是由人员用户产生的重复连接一致的模式的参数。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于迈可菲公司,未经迈可菲公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201280053582.9/,转载请声明来源钻瓜专利网。
- 上一篇:字符读取装置和字符读取方法
- 下一篇:序列化电子文件
