用于檢測受損計算系統的系統與方法

用于檢測受損計算系統的系統與方法
【專利說明】用于檢測受損計算系統的系統與方法
[0001]相關申請交叉引用
[0002]本申請要求于2013年1月28日的提交美國專利申請序列號13/752，268利益和優先權，其
【發明內容】
通過引用整體并入本文。
【背景技術】
[0003]1.
技術領域
[0004]本發明一般涉及數字安全領域，并且更具體地檢測已經被數字安全威脅破壞的計算系統。
[0005]2.

【發明內容】

[0006]計算技術的擴散在數字安全領域繼續存在挑戰。眾所周知，惡意實體可以使用一臺網絡計算機(即，網絡節點)傳播惡意計算機數據到其它網絡節點，并由此造成系統中斷和經濟損失。受損的網絡節點可能進一步傳播惡意計算機數據到額外的網絡節點并造成額外的傷害。
[0007]本領域的普通技術人員將理解網絡計算機(或更一般地，計算系統)可能容易受至_擊，例如那些基于計算機病毒、惡意軟件、蠕蟲、特洛伊木馬、機器人、侵入(例如，未經授權的訪問)、漏洞(例如，特權升級和違反保密)、基于時間的攻擊(例如，拒絕服務)或類似物。術語“威脅”是用來描述一種或多種這些類型的攻擊。
[0008]數字安全技術可以用于通過檢測和/或從計算系統去除惡意計算機數據來應對這些類型的攻擊。本領域的普通技術人員將理解數字安全技術可以駐留在不同的網絡節點，可以以硬件和/或軟件形式進行打包，并包括松散地被稱為“反病毒軟件”、“惡意軟件檢測”、“入侵預防”、“抗攻擊”、防火墻或類似物等技術，雖然術語含義并不相同。更廣泛的術語，“統一威脅管理”(“UTM”)也被用于描述一個或多個數字安全技術的這些實現。
[0009]傳統的數字安全技術通常使用對應于特定威脅的簽名檢測威脅，這意味著威脅的檢測依賴于特定威脅的先驗知識以及該特定威脅簽名的可用性。例如，傳統的數字安全技術可以利用給定的計算機病毒的簽名來掃描計算系統以檢測給定的計算機病毒是否存在于計算系統中。這些類型技術的一個缺點是簽名尚不可用的威脅不能被檢測到。
[0010]發明概述
[0011]在一個示例性實施方案中，用于檢測被未檢測到的攻擊破壞的計算設備的計算機實現方法包括從網絡獲取多個網絡數據包。所獲取的多個網絡數據包包括分類為傳輸控制協議(TCP)分組和因特網協議(IP)分組的網絡數據包。所獲取的多個網絡數據包包括含有基于已知威脅計算設備的攻擊的網絡數據包，其中已知威脅不同于未被檢測到的威脅。所獲取的多個網絡數據包還包括來自被攻擊前的計算設備的網絡數據包和來自被攻擊后的計算設備的網絡數據包。多個組合數據包至少由多個TCP分組和IP分組的子集創建，其中多個組合數據包中的第一組合數據包包括至少一個TCP分組中的一部分和至少一個IP分組中的一部分，并且其中多個組合數據包中的第二組合數據包包括至少一個TCP分組中的一部分和至少一個IP分組中的一部分。第二組合數據包不同于第一組合數據包。第一序列是通過把第一組合數據包的至少一部分內容按位轉換為第一組多個整數而創建的，其中第一序列包括第一組多個整數。第二序列是通過把第二組合數據包的至少一部分內容按位轉換為第二組多個整數而創建的，其中第二序列包括第二組多個整數。相似性量度是根據第一序列和第二序列之間的距離函數來確定的。第三序列基于相似性量度被創建，其中第三序列是在第一順序包括常見于第一序列和第二序列的第三組多個整數。第四序列被創建，其中第四序列是在第一順序包括第三列表的第三組多個整數的子集的元表達式并代表該計算設備是被威脅破壞。元表達式被存儲，并且所存儲的元表達式被用來檢測計算設備已經被未檢測到的威脅破壞。
[0012]在一個示例性實施方案中，用于檢測被未檢測到的攻擊破壞的網絡計算裝置的網絡設備包括用于連接到網絡基礎設施的網絡端口，其中網絡端口適于獲取多個網絡數據包，并且其中所獲取的多個網絡數據包包括分類為傳輸控制協議(TCP)分組和因特網協議(IP)分組的網絡數據包。所獲取的多個網絡數據包包括:包含計算設備上已知攻擊的網絡數據包，已知攻擊不同于未知攻擊，來自已知攻擊之前的計算設備的網絡數據包和來自已知攻擊后的計算設備的網絡數據包。網絡設備還包括連接到網絡端口的處理器，其中處理器適于產生多個組合數據包，來自至少多個TCP分組和IP分組的子集，其中多個組合數據包的第一組合數據包包含至少一個TCP分組的一部分和至少一個IP分組的一部分，并且多個組合數據包的第二組合數據包包括至少一個TCP分組的一部分和至少一個IP分組的一部分，其中第二組合數據包不同于第一組合數據包。第一序列是通過把第一組合數據包的至少一部分內容按位轉換為第一組多個整數而創建的，其中第一序列包括第一組多個整數。第二序列是通過把第二組合數據包的至少一部分內容按位轉換為第二組多個整數而創建的，其中第二序列包括第二組多個整數。相似性量度是根據第一序列和第二序列之間的距離函數來確定的。第三序列基于相似性量度被創建，其中第三序列是在第一順序包括常見于第一序列和第二序列的第三組多個整數。第四序列被創建，其中第四序列是在第一順序包括第三列表的第三組多個整數的子集的元表達式并代表該計算設備被攻擊破壞。元表達式被存儲，并且所存儲的元表達式被用來檢測計算設備已經被未檢測到的攻擊破壞。
[0013]在一個示例性實施方案中，具有計算機可執行指令的非臨時性計算機可讀存儲介質用于檢測被未檢測到的攻擊破壞的計算設備，該計算機可執行指令由一個或多個處理器執行使得一個或多個處理器執行從網絡獲取多個網絡數據包的行為，其中所獲取的多個網絡數據包包括分類為傳輸控制協議(TCP)分組和因特網協議(IP)分組的網絡數據包。所獲取的多個網絡數據包包括含有已知攻擊的計算設備的網絡數據包，已知攻擊不同于從未被檢測到的攻擊，來自已知攻擊之前的計算設備的網絡數據包和來自已知攻擊之后的計算設備的網絡數據包。計算機可執行指令還包括用于從多個TCP分組和IP分組的子集創建多個組合數據包的指令，其中多個組合數據包的第一組合數據包包含至少一個TCP分組的一部分和至少一個IP分組的一部分，并且多個組合數據包的第二組合數據包包括至少一個TCP分組的一部分和至少一個IP分組的一部分，其中第二組合數據包不同于第一組合數據包。計算機可執行指令還包括用于通過一個或多個處理器把第一組合數據包的至少一部分內容按位轉換為第一組多個整數來創建第一序列的指令，其中第一序列包括第一組多個整數。計算機可執行指令還包括用于通過一個或多個處理器把第二組合數據包的至少一部分內容按位轉換為第二組多個整數來創建第二序列的指令，其中第二序列包括第二組多個整數。計算機可執行指令還包括用于確定基于距離函數的第一序列和第二序列之間的相似性量度的指令。計算機可執行指令還包括基于相似性量度用于創建第三序列的指令，其中第三序列是在第一順序包括常見于第一序列和第二序列的第三組多個整數。計算機可執行指令還包括用于創建第四序列的指令，其中第四序列是在第一順序包括第三列表的第三組多個整數的子集的元表達式并代表該計算設備被攻擊破壞。計算機可執行指令還包括用于存儲元表達式的指令，其中所存儲的元表達式被用來檢測該計算設備被未檢測到的攻擊破壞。
【附圖說明】
[0014]圖1描繪了用于檢測受損計算系統的示例性過程。
[0015]圖2描繪了采用統一威脅管理系統(UTMS)的示例性實施方案的網絡框圖。
[0016]圖3描繪了用于修整UTMS的示例性過程。
[0017]圖4描繪了網絡節點之間的網絡數據包的示例性傳輸。
[0018]圖5描繪了 IP分組報頭的布局。
[0019]圖6描繪了 TCP分組報頭的布局。
[0020]圖7描繪了在IP網絡數據包報頭中的示例性值。
[0021]圖8描繪了在實施方案中距離函數的示例性過程。
[0022]圖9(A)_(F)描繪了示例性網絡數據包。
[0023]圖10 (A) - (C)描繪了示例性8位整數序列。
[0024]圖11描繪了示例性8位整數序列。
[0025]圖12描繪了示例性網絡數據包的群組。
[0026]圖13描繪了用于檢測受損計算系統的示例性計算系統。
[0027]詳細說明
[0028]下面提出的描述使本領域的普通技術人員能夠制造和使用的各種實施方案。特定裝置、技術和應用的描述僅作為示例被提供。對本文描述的實施方案的各種修改對于本領域中的普通技術人員將是顯而易見的，并且本文定義的一般原理可以應用于其他示例和應用，而不脫離各種實施方案的精神和范圍。因此，各種實施方案并不意在限于本文中所描述和展出的示例，但要與權利要求的范圍一致。
[0029]在計算系統中使用針對特定威脅簽名來檢測數字安全威脅的數字安全技術很容易受到未知漏洞的威脅，因為針對特定威脅簽名是困難的，如果可能創建針對未知漏洞的威脅(以下簡稱“未知威脅”)。示例性未知威脅是“零日”漏洞。“零日”漏洞被那些本領域的普通技術人員理解為存在于計算機應用程序的代碼基礎但還沒有被公開利用的漏洞。另一個示例性未知威脅是不與任何現有的計算機病毒相關的新計算機病毒。由于顯而易見的原因，這些可以通過的未知威脅不能被依賴從威脅的先驗知識創造的針對特定威脅簽名的數字安全技術檢測到。
[0030]雖然計算系統可能會屈從于避免檢測的未知威脅，申請人已發現當受到破壞時計算系統能夠給出指示計算系統受損情況的特性散發物。這些特性散發物是不由自主的，這意味著它們不受影響也不被攻擊威脅控制；相較而言，特性散發物是獨立于攻擊威脅的起因。因此，通過監控計算系統的這些特性散發物，特別是在網絡通信中和來自網絡計算系統，在網絡中受損的計算系統的存在可以被識別并迅速解決。例如，受損計算系統可以在網絡中被隱形以使它不再訪問遠程的惡意實體。
[0031]值得注意的是響應于計算系統受損情況而采取的迅速補救行動可以減輕或消除實際破壞，即使該受損本身不能避免。例如考慮惡意用戶在數據服務器的安全殼的安全通信隧道(例如，SSH)中使用零日漏洞獲取對數據服務器的非法訪問的情況。雖然一旦受到破壞數據服務器的通信隧道提供給惡意用戶升級的服務器訪問，受損的數據服務器也傳送特性散發物到網絡，其可以由在網絡上幾分之一秒內操作的威脅管理系統進行檢測(例如，防火墻)。緊隨其后，威脅管理系統可以從網絡隱藏受損數據服務器以防止包括來自惡意用戶的任何額外的網絡通信到達受損數據服務器。因此，即使惡意用戶成功獲取未經授權的訪問，訪問被迅速切斷從而給惡意用戶如果有的話只留下很少的時間去加以破壞。
[0032]本文所描述的實施方案包括用于從已經被數字安全威脅破壞的計算系統識別特性散發物和用于執行適當的響應動作的方法。
[0033]“網絡通信”和“網絡數據包”的概念在本領域是公知這里不再詳述。作為示例，“網絡通信”包含“網絡數據包”如以太網分組，傳輸控制協議(TCP)分組、互聯網協議(IP)分組或類似物。術語“特性散發物”在這里用來指包含在網絡數據包中的計算機數據，即表示計算系統受損狀況。例如，受損計算系統可傳遞非路由以及包含零位值字