A method includes: the network infrastructure equipment for receiving the packet flow; the use of network infrastructure and equipment for the first subset of packets to determine a first subset of data corresponding to the first report, and to determine the first length of the first data report; use of network infrastructure with second data reported in the second group to determine the second subset subset corresponding to the received after the first data report, and determine the second data of the second length; use of network infrastructure equipment to determine the duration between the first data of the first arrival time and second data of the second arrival time value; to the isolation and network infrastructure equipment to send the first collector device length, the length of second the duration and value for analysis.
【技术实现步骤摘要】
【国外来华专利技术】恶意软件和恶意应用的检测
本公开一般涉及计算机网络安全领域中的改进的方法、计算机软件和计算机硬件。本公开更具体地涉及可以执行跨网络数据流的分类的改进的基于计算机的网络基础设施设备和计算机实现的技术。
技术介绍
本节所描述的方法可以被采用,但不一定是先前设想或采用的方法。因此,除非本文另外指出,否则本节所描述的方法不是本申请中的权利要求的现有技术,并且不因被包括在本节中而被认为是现有技术。计算机网络的规模和复杂性不断增长。每天,在单独网络内以及在网络间,有难以估量的信息量被发送。从文本和图片到歌曲和电影,任何类型的信息都可以在计算机网络上被发送。在计算机网络上发送的信息可以采用许多不同的格式,既有加密的也有未加密的。在计算机网络上发送的一些信息可能从恶意程序和/或设备被发送、被发送到恶意程序和/或设备、或与恶意程序和/或设备相关联。如果开发出改进的检测跨计算机网络传播的潜在恶意信息的方法,则网络管理员和用户将受益匪浅。附图说明在附图中:图1示出了根据本专利技术实施例的系统的框图。图2示出了根据本专利技术实施例的方法的流程图。图3示出了根据本专利技术实施例的方法的流程图。图4示出了根据本专利技术实施例的示例。图5示出了可以在其上实现本专利技术的实施例的计算机系统的框图。具体实施方式在以下描述中,出于解释的目的,阐述了许多具体细节以便提供对本专利技术的透彻理解。然而,显而易见的是,可以在没有这些具体细节的情况下实施本专利技术。在其他情况下,以框图形式示出公知的结构和设备,以避免不必要地模糊本专利技术。
技术实现思路
提供了用于通过远程监控和分析数据报的长度和时间来进 ...
【技术保护点】
一种方法,包括:在网络基础设施设备处接收包括多个分组的流;使用所述网络基础设施设备并且针对所述多个分组的第一子集来确定所述第一子集对应于第一数据报,并且确定所述第一数据报的第一长度;使用所述网络基础设施设备并且针对所述多个分组的第二子集来确定所述第二子集对应于在所述第一数据报之后接收到的第二数据报,并且确定所述第二数据报的第二长度;使用所述网络基础设施设备来确定所述第一数据报的第一到达时间与所述第二数据报的第二到达时间之间的持续时间值;向与所述网络基础设施设备分离的收集器设备发送所述第一长度、所述第二长度和所述持续时间值以供分析;其中,所述方法是使用一个或多个计算设备来执行的。
【技术特征摘要】
【国外来华专利技术】2015.05.26 IN 2638/CHE/2015;2015.08.06 US 14/820,21.一种方法,包括:在网络基础设施设备处接收包括多个分组的流;使用所述网络基础设施设备并且针对所述多个分组的第一子集来确定所述第一子集对应于第一数据报,并且确定所述第一数据报的第一长度;使用所述网络基础设施设备并且针对所述多个分组的第二子集来确定所述第二子集对应于在所述第一数据报之后接收到的第二数据报,并且确定所述第二数据报的第二长度;使用所述网络基础设施设备来确定所述第一数据报的第一到达时间与所述第二数据报的第二到达时间之间的持续时间值;向与所述网络基础设施设备分离的收集器设备发送所述第一长度、所述第二长度和所述持续时间值以供分析;其中,所述方法是使用一个或多个计算设备来执行的。2.根据权利要求1所述的方法,其中,确定所述持续时间值还包括确定所述第一数据报的第一传输控制协议(TCP)时间戳与所述第二数据报的第二TCP时间戳之间的差。3.根据权利要求1所述的方法,其中,确定所述第一长度还包括:标识所述第一数据报的传输层安全(TLS)保护记录长度;使用所述TLS保护记录长度作为所述第一长度。4.根据权利要求1所述的方法,其中,确定所述第一长度还包括:确定所述第一数据报的报头的报头长度;从所述第一长度中减去所述报头长度。5.根据权利要求1所述的方法,其中,所述第一子集包括至少第一分组和第二分组,并且使用所述第一分组的第一分组长度和所述第二分组的第二分组长度之和作为所述第一数据报的第一长度。6.根据权利要求1所述的方法,还包括仅选择在先前分组之后的阈值时间量内接收到的分组的集合,作为所述第一子集。7.根据权利要求6所述的方法,其中,所述阈值时间量是五毫秒。8.根据权利要求6所述的方法,还包括基于所述流的起始位置从多个不同的阈值中针对所述阈值时间量选择不同的值。9.根据权利要求1所述的方法,其中,所述流被加密。10.根据权利要求1所述的方法,还包括:在所述收集器设备处接收所述第一长度、所述第二长度和所述持续时间值;使用所述收集器设备、所述第一长度、所述第二长度和所述持续时间来确定与所述第一数据报和所述第二数据报相关联的应用的应用标识符;确定所述应用是否在所存储的恶意应用的标识符的集合中被标识为恶意应用;响应于确定所述应用是被标识在所述存储的恶意应用的标识符的集合中的恶意应用,发送警报信号。11.根据权利要求10所述的方法,其中,确定所述应用还包括:使用已经在训练数据上被训练的受训分类器,该训练数据已经从已提供与所述流相关联的软件应用的名称值和散列值的软件应用中获得。12.根据权利要求10所述的方法,还包括:访问文件信誉服务以获取表示所述应用的安全信誉的信誉值,并且当所述信誉值小于或大于指定的恶意信...
【专利技术属性】
技术研发人员:大卫·麦西格鲁,安德鲁·扎瓦道斯基,唐纳文·欧哈拉,沙拉瓦南·拉达克里希南,托马斯·佩妮,丹尼尔·G·温,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。