使用傅里叶变换的恶意加密网络流量识别制造技术

用于识别与经由第一计算机系统与第二计算机系统之间的网络传送的恶意加密网络流量的方法，该方法包括：监控网络上的网络流量以将网络连接检测为新的网络连接；识别网络连接的特征来确定网络连接的协议；基于确定的协议，检索网络连接的网络流量的一部分的定义；基于检索到的定义，评估新的网络连接的网络流量的一部分中的多个字节中的每一个的傅里叶变换系数值；以及将所评估的系数值与一个或多个基准系数集的字典进行比较，以确定恶意加密网络流量是否通过网络连接传送，一个或更多个基准系数集中的每一个与恶意加密网络连接的网络流量的一部分相关联。

Traffic recognition of malicious encrypted network using Fourier transform

A method for identification and via the network between the first and second computer system of the computer system of malicious encryption of network traffic, the method comprises: a network traffic monitoring network to network connection detection for the new network connection; feature recognition network connection protocol to determine network connection; determine the protocol based on network retrieval traffic network connection part of the definition; based on the definition of the retrieved, evaluation of value each of the Fourier transform of multiple byte part of a new network traffic network connection in the dictionary; and the numerical evaluation system and one or more reference sets of coefficients were compared. To determine whether malicious network traffic encryption connection sent through the network, from one or more reference coefficient of each encryption and malicious network traffic network connection A part of it is associated.

【技术实现步骤摘要】
【国外来华专利技术】使用傅里叶变换的恶意加密网络流量识别
本专利技术涉及对恶意网络传送的检测。具体来说，本专利技术涉及改进的恶意网络流量检测。
技术介绍
恶意软件(也称为计算机恶意代码或恶意程序)是意图对一个或更多个计算机系统正常直接或非直接伤害的软件。这样的伤害可以表现为：对整个或部分计算机系统的操作的破坏或阻止；访问私有的、敏感的、安全的和/或机密的数据、软件和/或计算设施的资源；或者施行违法的、不合法的或欺骗行为。恶意程序特别包括：计算机病毒、蠕虫、僵尸网络、木马、间谍软件、广告软件、黑客程序、键盘记录器、拨号器、恶意浏览器扩展程序或插件以及流氓安全软件。恶意程序扩散可以通过很多方式发生。恶意程序可以作为电子邮件的一部分(诸如附件或嵌入)来传送。另选地，恶意程序可以伪装为真正的软件、或者与真正的软件一起或在真正的软件内嵌入、附加、或者另外地传送。一些恶意程序能够经由存储设备(诸如可移除的、移动式或便携式存储，包括存储卡、硬盘驱动器、记忆棒等)或者经由共享的或网络附加的存储来传播。恶意程序还可以通过计算机网络连接(诸如互联网)经由网站或者其他网络设施或资源来传送。恶意程序可以通过利用计算机系统中的漏洞(诸如软件或硬件组件中的漏洞，所述软件或硬件组件包括软件应用、浏览器、操作系统、设备驱动器、或者联网、接口或存储硬件)来传播。漏洞可以是计算机系统(诸如计算机、操作系统、已连接的计算机的网络、或者一个或多个软件组件(诸如应用))中的弱点。这样的弱点可以表现为软件代码中的缺陷、错误或故障，其呈现可利用的安全弱点。这样的弱点的示例是缓冲超限漏洞，其中，以一种形式，被设计为在存储器的区域中存储数据的接口允许调用程序提供比能容纳在存储器的可执行区域中的数据多的数据。额外的数据可以覆写存储在存储器中的可执行代码，并且因此这样的弱点可以允许恶意可执行代码存储在存储器的可执行区域内。这样的恶意可执行代码的示例称为“溢出代码(shellcode)”，其可以用来通过例如计算机系统中的执行、安装和/或资源重配置来利用漏洞。这样的弱点一旦被利用就可以引导更大程度利用目标系统的过程。恶意程序对计算机系统的操作和/或安全的影响导致需要识别计算机系统中的恶意程序，以便实施保护性和/或补救性措施。通过对目标系统中的漏洞的利用，通过网络连接(诸如互联网)传播或传送的恶意程序可以特别难以检测。很多系统参照恶意程序“特征码(signature)”的字典来监控在文件系统中存储或接收的文件。特征码可以是与已知恶意程序相关联的数据的模式(pattern)。这样的方法需要接收已知恶意程序，并且易受恶意程序中细微变化的影响，所述细微变化可以致使恶意程序鉴于已存储的特征码不可检测。其它系统监控软件的行为来识别可疑行为以便检测潜在的恶意程序。因此，这样的系统在事后检测恶意程序感染，并且易受恶意程序中的变化及被专门设计为最小化可疑行为的恶意程序(诸如设计为举止像真正的软件一样的恶意程序)的影响。恶意程序检测的另选方法是检测与通过网络连接传播或传染的恶意程序相关联的网络流量。这样的网络流量可以认为是作为由计算机系统接收到的或发生在计算机系统之间的网络传送的一部分存在的恶意网络流量，诸如由在计算机系统上已安装的、正在安装的、或正在为安装而传送的恶意程序软件引起的流量。传统的恶意流量检测机制依赖于包括网路流量拦截和分析、或网络连接摘要在内的技术，所述网络连接摘要技术可以确定网络连接的关键特征(诸如源地址和目的地地址、源端口和目的地端口以及协议(称为流量表征5元组))。这样的设施由诸如NetFlow(思科)或YetAnotherFlowmeter(YAF)技术来提供。利用这些方法，恶意程序传送的检测依赖于网络流量的分析(或流量的摘要)以识别恶意流量的已知特征，诸如已知的服务器地址、协议和/或端口组合。这样的方法效用有限，因为并不能够在不还使用工具(诸如BotHunter)通过深度分组检测(DPI)来参照网络流量的分组的内容的情况下总是从非恶意流量中区分恶意流量。BotHunter使用DPI来搜索网络流量中的特定模式以检测与已知恶意程序相关联的可执行的下载或特征码串。然而，在恶意网络流量加密的情况下，DPI是无效的。论文“DetectingEncryptedBotnetTraffic”(Zhang等人，ComputerComunicationsWorkshops(INFOCOMWKSHPS)，2013)确认了在存在加密流量时诸如BotHunter的检测系统如何显著遭受降低达几乎50％的检测速率。Zhang等人描述了使用BotHunter来检测加密恶意流量的方法。Zhang等人的方法在以下前提下工作，即，至少一个高熵流连同BotHunter检测的其它特征的存在是加密恶意流量的可靠检测器。在信息理论中，熵是随机变量的不确定性程度的量度(“Entropy”，R.L.DobrushinV.V.Prelov,EncyclopediaofMathematics,Springer,2002,ISBN1402006098)。在“AMathematicalTheoryofCommunication”(C.E.Shannon,TheBellSystemTechnicalJournal,Vol.27,pp.379–423,623–656,July,October,1948)中详细定义了并且从如统计力学中定义的熵量度中推导了熵计算和信息源的熵的理论基础。Zhang描述了网络传送中的分组的熵的估计量度。超过阈值的传送的熵的估计被定义为“高熵”，并且对高熵流的识别有助于加密恶意流量的检测。Zhang以高熵流的检测作为恶意网络流量的指示器为前提。加密的网络流量还作为非恶意应用的一部分出现(诸如来自真正的和/或授权的软件应用的为了安全目的而加密的流量)。因此，检测和响应高熵流是有问题的，其中非恶意流量可被错误地识别为潜在恶意流量。论文“DetectingSubvertedCryptographicProtocolsbyEntropyChecking”(J.Olivain和J.Goubault-Larrecq,2006)描述了基于计算流的熵来检测攻击的方法。Olivain等人的方法针对加密协议上未加扰的流量的检测作为检测潜在恶意流量的方式。具体来说，Olivain等人观察加密的网络流量的熵的量度将如何趋向于随机源的熵，使得在网络流量由字符(如来自256字节的字母的字节)构成的情况下，加密的网络流量的熵趋向于每字节8比特。在此基础上，Olivain等人提出了恶意流量检测的方法，所述方法基于趋向于随机源的熵的可接受的熵的量度的范围，使得将不始终以这种方式趋向的流量识别为未加扰的和恶意的。Olivain等人确认了他们的技术的相当多的缺点，其可以被自身加密的恶意流量反抗。这是因为加密的恶意流量也将呈现出趋向于随机源的熵的熵，并且因此变得不可与非恶意加密流量区分。Bestuzhev强调了恶意程序能够以加密形式发送，导致现有的自动恶意程序检测系统不正确地工作((Bestuzhev,2010,www.securelist.com/en/blog/208193235/Steganography_or_encryption本文档来自技高网...

【技术保护点】
一种连接到计算机网络的恶意加密流量检测器，所述检测器包括：傅里叶变换系数评估器；系数比较器；存储部，其存储恶意加密网络连接的网络流量的一部分中的多个字节中的每一个字节的基准傅里叶变换系数集，其中，所述评估器适于对通过所述计算机网络传送的网络流量的对应部分中的字节集中的每一个字节的傅里叶变换系数进行评估，并且所述比较器适于将所评估的系数与所述基准系数进行比较以确定恶意加密网络流量是否通过所述网络连接传送。

【技术特征摘要】
【国外来华专利技术】2015.03.17 EP 15275067.51.一种连接到计算机网络的恶意加密流量检测器，所述检测器包括：傅里叶变换系数评估器；系数比较器；存储部，其存储恶意加密网络连接的网络流量的一部分中的多个字节中的每一个字节的基准傅里叶变换系数集，其中，所述评估器适于对通过所述计算机网络传送的网络流量的对应部分中的字节集中的每一个字节的傅里叶变换系数进行评估，并且所述比较器适于将所评估的系数与所述基准系数进行比较以确定恶意加密网络流量是否通过所述网络连接传送。2.根据权利要求1所述的恶意加密流量检测器，所述恶意加密流量检测器还包括：保护性组件，其适于进行以下中的一项或更多项：终止所述网络连接；发起针对安装在所述网络连接的端点计算机系统处的恶意程序的扫描；以及调整端点计算机系统或网络连接的安全级别，其中，所述保护性组件对所述评估器对恶意加密网络流量通过所述网络连接传送的确定做出反应。3.一种用于识别恶意加密网络流量的方法，所述恶意加密网络流量经由第一计算机系统与第二计算机系统之间的网络传送，所述方法包括：监控所述网络上的网络流量以将网络连接检测为新网络连接；识别所述网络连接的特征以确定所述网络连接的协议；基于所确定的协议，检索网络连接的网络流量的一部分的定义；基于所检索的定义，评估所述新网络连接的网络流量的一部分中的多个字节中的每一个字节的傅里叶变换系数值；以及将所评估的系数值与一个或更多个基准系数集的字典进行比较，以确定恶意加密网络流量是否通过所述网络连接传送，所述一个或多个基准系数集中的每一个与恶意加密网络连接的网络流量的一部分相关联。4.根据权利要求3所述的方法，其中，网络流量的所述部分是在传输协议握手之后并且直到预定端点的所述网络流量的连续子集。5.根据权利要求4所述的方法，其中，所述预定端点被选择为对应于网络流量的应用协议连接建立部分的结束。6.根据权利要求3到5中任一项所述的方法，所述方法还包括：响应于确定恶意加密网络流量通过受监控的网络连接传送，触发保护性组件以相对于所述恶意加密网络流量保护所述网络连接的端点。7.根据权利要求6所述的方法，其中，所述保护性组件能够工作为进行以下中的一项或更多项：终止所述网络连接；发起针对安装在端点计算机系统上的恶意程序的扫描；以及调整端点计算机系统或网络连...

【专利技术属性】
技术研发人员：B·阿兹维恩，F·艾尔莫萨，G·卡洛斯，
申请(专利权)人：英国电讯有限公司，
类型：发明
国别省市：英国,GB