[发明专利]用于检测受损计算系统的系统与方法

摘要

一种数字安全威胁管理系统被公开。该系统在网络上检测被未检测到的和/或未知的数字安全威胁所破坏的计算系统的存在。该数字安全威胁管理系统能识别来自已经被破坏的计算系统的特性散发物。因为已知威胁导致的特性散发物与未检测到的和/或未知威胁导致的特性散发物可以相同，如果该安全威胁管理系统能基于该计算系统的已知威胁从先前的攻击中识别特性散发物，数字安全威胁管理系统可以学习以检测已经被未知威胁破坏的计算系统。以这种方式，该系统可以检测被破坏的计算系统的存在，即使被破坏的原因仍然未被检测到和/或未知。适当的补救措施可以在检测中采取。

主权项

1.一种用于检测被未检测到的攻击破坏的计算设备的计算机实现方法，所述方法包括：通过一个或多个处理器从网络获取多个网络数据包，其中所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包，其中所获取的多个网络数据包包括：所述计算设备上包含已知攻击的网络数据包，所述已知攻击不同于所述未检测到的攻击，来自所述计算设备的所述已知攻击之前的网络数据包，和来自所述计算设备的所述已知攻击之后的网络数据包；通过所述一个或多个处理器从所述多个TCP分组和IP分组的至少一个子集创建多个组合数据包的，其中：所述多个组合数据包中的第一组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分，和所述多个组合数据包中的第二组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分，其中所述第二组合数据包不同于所述第一组合数据包；通过所述一个或多个处理器将所述第一组合数据包的至少一部分内容按位转换为第一组多个整数来创建第一序列，其中所述第一序列包括所述第一组多个整数；通过所述一个或多个处理器将所述第二组合数据包的至少一部分内容按位转换为第二组多个整数来创建第二序列，其中所述第二序列包括所述第二组多个整数；通过所述一个或多个处理器基于距离函数确定所述第一序列和所述第二序列之间的相似性度量；通过所述一个或多个处理器基于所述相似性度量创建第三序列，其中在第一顺序所述第三序列包括共有于所述第一序列和所述第二序列的第三组多个整数，通过所述一个或多个处理器创建第四序列，其中所述第四序列是元表达式，其：包括在第一顺序上所述第三序列的第三组多个整数的子集，和代表被攻击破坏的所述计算设备；和存储所述元表达式，其中所存储的元表达式被用来检测被所述未检测到的攻击破坏的所述计算设备。