A method for identification and via the network between the first and second computer system of the computer system of malicious encryption of network traffic, the method comprises: a network traffic monitoring network to network connection detection for the new network connection; feature recognition network connection protocol to determine network connection; determine the protocol based on network retrieval traffic network connection part of the definition; based on the definition of the retrieved, evaluation of value each of the Fourier transform of multiple byte part of a new network traffic network connection in the dictionary; and the numerical evaluation system and one or more reference sets of coefficients were compared. To determine whether malicious network traffic encryption connection sent through the network, from one or more reference coefficient of each encryption and malicious network traffic network connection A part of it is associated.
【技术实现步骤摘要】
【国外来华专利技术】使用傅里叶变换的恶意加密网络流量识别
本专利技术涉及对恶意网络传送的检测。具体来说,本专利技术涉及改进的恶意网络流量检测。
技术介绍
恶意软件(也称为计算机恶意代码或恶意程序)是意图对一个或更多个计算机系统正常直接或非直接伤害的软件。这样的伤害可以表现为:对整个或部分计算机系统的操作的破坏或阻止;访问私有的、敏感的、安全的和/或机密的数据、软件和/或计算设施的资源;或者施行违法的、不合法的或欺骗行为。恶意程序特别包括:计算机病毒、蠕虫、僵尸网络、木马、间谍软件、广告软件、黑客程序、键盘记录器、拨号器、恶意浏览器扩展程序或插件以及流氓安全软件。恶意程序扩散可以通过很多方式发生。恶意程序可以作为电子邮件的一部分(诸如附件或嵌入)来传送。另选地,恶意程序可以伪装为真正的软件、或者与真正的软件一起或在真正的软件内嵌入、附加、或者另外地传送。一些恶意程序能够经由存储设备(诸如可移除的、移动式或便携式存储,包括存储卡、硬盘驱动器、记忆棒等)或者经由共享的或网络附加的存储来传播。恶意程序还可以通过计算机网络连接(诸如互联网)经由网站或者其他网络设施或资源来传送。恶意程序可以通过利用计算机系统中的漏洞(诸如软件或硬件组件中的漏洞,所述软件或硬件组件包括软件应用、浏览器、操作系统、设备驱动器、或者联网、接口或存储硬件)来传播。漏洞可以是计算机系统(诸如计算机、操作系统、已连接的计算机的网络、或者一个或多个软件组件(诸如应用))中的弱点。这样的弱点可以表现为软件代码中的缺陷、错误或故障,其呈现可利用的安全弱点。这样的弱点的示例是缓冲超限漏洞,其中,以一种形式,被设计为在存储器 ...
【技术保护点】
一种连接到计算机网络的恶意加密流量检测器,所述检测器包括:傅里叶变换系数评估器;系数比较器;存储部,其存储恶意加密网络连接的网络流量的一部分中的多个字节中的每一个字节的基准傅里叶变换系数集,其中,所述评估器适于对通过所述计算机网络传送的网络流量的对应部分中的字节集中的每一个字节的傅里叶变换系数进行评估,并且所述比较器适于将所评估的系数与所述基准系数进行比较以确定恶意加密网络流量是否通过所述网络连接传送。
【技术特征摘要】
【国外来华专利技术】2015.03.17 EP 15275067.51.一种连接到计算机网络的恶意加密流量检测器,所述检测器包括:傅里叶变换系数评估器;系数比较器;存储部,其存储恶意加密网络连接的网络流量的一部分中的多个字节中的每一个字节的基准傅里叶变换系数集,其中,所述评估器适于对通过所述计算机网络传送的网络流量的对应部分中的字节集中的每一个字节的傅里叶变换系数进行评估,并且所述比较器适于将所评估的系数与所述基准系数进行比较以确定恶意加密网络流量是否通过所述网络连接传送。2.根据权利要求1所述的恶意加密流量检测器,所述恶意加密流量检测器还包括:保护性组件,其适于进行以下中的一项或更多项:终止所述网络连接;发起针对安装在所述网络连接的端点计算机系统处的恶意程序的扫描;以及调整端点计算机系统或网络连接的安全级别,其中,所述保护性组件对所述评估器对恶意加密网络流量通过所述网络连接传送的确定做出反应。3.一种用于识别恶意加密网络流量的方法,所述恶意加密网络流量经由第一计算机系统与第二计算机系统之间的网络传送,所述方法包括:监控所述网络上的网络流量以将网络连接检测为新网络连接;识别所述网络连接的特征以确定所述网络连接的协议;基于所确定的协议,检索网络连接的网络流量的一部分的定义;基于所检索的定义,评估所述新网络连接的网络流量的一部分中的多个字节中的每一个字节的傅里叶变换系数值;以及将所评估的系数值与一个或更多个基准系数集的字典进行比较,以确定恶意加密网络流量是否通过所述网络连接传送,所述一个或多个基准系数集中的每一个与恶意加密网络连接的网络流量的一部分相关联。4.根据权利要求3所述的方法,其中,网络流量的所述部分是在传输协议握手之后并且直到预定端点的所述网络流量的连续子集。5.根据权利要求4所述的方法,其中,所述预定端点被选择为对应于网络流量的应用协议连接建立部分的结束。6.根据权利要求3到5中任一项所述的方法,所述方法还包括:响应于确定恶意加密网络流量通过受监控的网络连接传送,触发保护性组件以相对于所述恶意加密网络流量保护所述网络连接的端点。7.根据权利要求6所述的方法,其中,所述保护性组件能够工作为进行以下中的一项或更多项:终止所述网络连接;发起针对安装在端点计算机系统上的恶意程序的扫描;以及调整端点计算机系统或网络连...
【专利技术属性】
技术研发人员:B·阿兹维恩,F·艾尔莫萨,G·卡洛斯,
申请(专利权)人:英国电讯有限公司,
类型:发明
国别省市:英国,GB
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。