恶意软件和恶意应用的检测制造技术

一种方法，包括：在网络基础设施设备处接收分组流；使用网络基础设施设备并且针对分组的第一子集来确定第一子集对应于第一数据报，并且确定第一数据报的第一长度；使用网络基础设施设备并且针对分组的第二子集确定第二子集对应于在第一数据报之后接收到的第二数据报，并且确定第二数据报的第二长度；使用网络基础设施设备来确定第一数据报的第一到达时间与第二数据报的第二到达时间之间的持续时间值；向与网络基础设施设备分离的收集器设备发送第一长度、第二长度和持续时间值以供分析。

Detection of malware and malicious applications

A method includes: the network infrastructure equipment for receiving the packet flow; the use of network infrastructure and equipment for the first subset of packets to determine a first subset of data corresponding to the first report, and to determine the first length of the first data report; use of network infrastructure with second data reported in the second group to determine the second subset subset corresponding to the received after the first data report, and determine the second data of the second length; use of network infrastructure equipment to determine the duration between the first data of the first arrival time and second data of the second arrival time value; to the isolation and network infrastructure equipment to send the first collector device length, the length of second the duration and value for analysis.

【技术实现步骤摘要】
【国外来华专利技术】恶意软件和恶意应用的检测
本公开一般涉及计算机网络安全领域中的改进的方法、计算机软件和计算机硬件。本公开更具体地涉及可以执行跨网络数据流的分类的改进的基于计算机的网络基础设施设备和计算机实现的技术。
技术介绍
本节所描述的方法可以被采用，但不一定是先前设想或采用的方法。因此，除非本文另外指出，否则本节所描述的方法不是本申请中的权利要求的现有技术，并且不因被包括在本节中而被认为是现有技术。计算机网络的规模和复杂性不断增长。每天，在单独网络内以及在网络间，有难以估量的信息量被发送。从文本和图片到歌曲和电影，任何类型的信息都可以在计算机网络上被发送。在计算机网络上发送的信息可以采用许多不同的格式，既有加密的也有未加密的。在计算机网络上发送的一些信息可能从恶意程序和/或设备被发送、被发送到恶意程序和/或设备、或与恶意程序和/或设备相关联。如果开发出改进的检测跨计算机网络传播的潜在恶意信息的方法，则网络管理员和用户将受益匪浅。附图说明在附图中：图1示出了根据本专利技术实施例的系统的框图。图2示出了根据本专利技术实施例的方法的流程图。图3示出了根据本专利技术实施例的方法的流程图。图4示出了根据本专利技术实施例的示例。图5示出了可以在其上实现本专利技术的实施例的计算机系统的框图。具体实施方式在以下描述中，出于解释的目的，阐述了许多具体细节以便提供对本专利技术的透彻理解。然而，显而易见的是，可以在没有这些具体细节的情况下实施本专利技术。在其他情况下，以框图形式示出公知的结构和设备，以避免不必要地模糊本专利技术。
技术实现思路
提供了用于通过远程监控和分析数据报的长度和时间来进行应用分类和恶意软件检测的技术。具体地，数据报的长度和时间可以被报告，并且稍后被分析。在一个实施例中，网络基础设施设备接收包括多个分组的流。网络基础设施设备确定多个分组的第一子集对应于第一数据报，并且多个分组的第二子集对应于第二数据报。网络基础设施设备确定第一数据报和第二数据报的长度以及第一数据报的到达时间与第二数据报的到达时间之间的持续时间值。随后，长度和持续时间值被发送到单独的收集器设备。收集器设备接收长度和持续时间值。可以确定与长度和持续时间值相关联的应用的应用标识符，并且可以做出关于应用是否是恶意应用的确定。示例系统实现方式图1图示了根据一些实施例的其中可以实施所描述的技术的示例计算机系统100。系统100是基于计算机的系统。系统100的各种组件至少部分由一个或多个计算设备(例如，执行存储在一个或多个存储器中的存储的程序指令以执行本文描述的功能的一个或多个硬件处理器)处的硬件实现。换言之，在各种实施例中，本文描述的所有功能旨在表示在专用计算机或通用计算机中使用程序执行的操作。系统100仅示出被配置为执行本文描述的程序的组件的许多可能布置中的一种。其他布置可以包括更少或不同的组件，并且组件之间的工作分配可以根据布置而变化。系统100包括网络105、计算设备110、应用115、网络基础设施设备120、观察模块125、收集器设备130、分析模块135和数据储存库140。网络105可以是使用有线和/或无线通信的任意组合的任意种类的计算机网络，包括但不限于：局域网(LAN)、广域网(WAN)、互联网、公司网络等等。虽然图1中描绘了单个网络105，但是可以存在任意数量的网络105。通常，网络105允许计算设备110与连接到网络的其他计算设备进行通信。通信可以包括任意类型和/或数量的数据，并且可以使用任意格式或标准进行通信。在一个实施例中，通过网络105发送的信息被加密。或者，通过网络105发送的信息可以不被加密，或者可以是加密的和未加密的某些组合。在一个实施例中，通过网络105发送的信息采取流的形式。流是从源发送到一个或多个目的地的一系列分组。流可以包括任意数量的分组，并且可以使用任意格式或标准，包括加密的和/或未加密的。流可以来源于例如应用。考虑web浏览器访问web页面。在这个示例中，web浏览器向网站发送第一流，以请求关于用户想查看的web页面的信息。作为响应，从网站向web浏览器发送包括所请求的信息的第二流。在流内，分组形成可识别的组，称为数据报。具体地，数据报是传输协议携带的单个消息。传输协议的示例包括但不限于：传输控制协议(TCP)和用户数据报协议(UDP)。数据报可以跨越任何数量的分组，这取决于正在传送的消息的大小。如下所讨论的，跟踪数据报的长度和时间使得能够得出关于与流相关联的应用或设备的结论。在一个实施例中，计算设备110是任意计算设备，包括但不限于：工作站、个人计算机、通用计算机、膝上型计算机、互联网应用、手持设备、无线设备、有线设备、便携或移动设备、可穿戴计算机、蜂窝电话或移动电话、便携式数字助理(PDA)、智能电话、平板电脑、多处理器系统、基于微处理器的或可编程的消费者电子产品、游戏控制台、机顶盒、网络PC、微型计算机、服务器、机架等等。计算设备110通信地连接到网络105，并且使用网络105以流的形式向接收者发送信息。虽然图1示出了单个计算设备110，但是可以将任何数量的计算设备连接到网络105。计算设备110可以包括应用、软件和/或其他可执行指令以辅助本文描述的实施例的各个方面。具体地，计算设备130包括应用115。在一个实施例中，应用115是任何应用、软件或表示存储的程序的其他可执行指令。作为示例，应用115可以是web浏览器、视频游戏、生产力软件等。应用115可以使得流被发送到目的地。应用115发送的流内的数据报的细节可以是可识别的，使得给定流的一部分数据报的长度和时间，应用115可以被识别为流的源。应用115可以是恶意程序，例如，恶意软件、病毒等。或者，应用115可以是没有恶意特征的程序。在一个实施例中，网络基础设施设备120是任意联网组件和/或计算设备，例如，分组数据路由器或分组交换机。其他实施例可以使用终端计算设备(例如，服务器计算机、个人计算机、工作站或其它计算设备)而不是基础设施设备，其在逻辑上代替图1中的网络基础设施设备120。网络基础设施设备120可以包括任何适当的硬件组件，例如，存储器、处理器等。在一个实施例中，网络基础设施设备120可通信地连接到网络105。可选地，网络基础设施设备120可以是网络105内的组件。网络基础设施设备120可以负责流的路由和/或转发。替代地，网络基础设施设备120可以是观察者，并且不负责流的任何路由和/或转发。在一个实施例中，网络基础设施设备120包括用于执行软件应用和/或模块的程序。具体地，网络基础设施设备120执行观察模块125，其包括以下程序，用于确定流内的数据报、确定数据报的长度、确定数据报之间的持续时间、并且向收集器设备130发送数据报长度和时间数据。在一个实施例中，网络基础设施设备120临时地存储所收集的关于数据报的数据。在一个实施例中，观察模块125包括用于确定和跟踪关于流中的数据报的数据的程序。流可以具有任意数量的数据报。观察模块125可以跟踪给定流的第一若干个数据报，例如，前5个数据报、前10个数据报或任意其它数量的数据报。或者，可以跟踪流内的所有数据报等。由观察模块125跟踪的数据至少是数据报的长度和数据报的到达之间的持续时间。然而，可以跟踪和/或确定关于数据报的附加数据。即本文档来自技高网...

【技术保护点】
一种方法，包括：在网络基础设施设备处接收包括多个分组的流；使用所述网络基础设施设备并且针对所述多个分组的第一子集来确定所述第一子集对应于第一数据报，并且确定所述第一数据报的第一长度；使用所述网络基础设施设备并且针对所述多个分组的第二子集来确定所述第二子集对应于在所述第一数据报之后接收到的第二数据报，并且确定所述第二数据报的第二长度；使用所述网络基础设施设备来确定所述第一数据报的第一到达时间与所述第二数据报的第二到达时间之间的持续时间值；向与所述网络基础设施设备分离的收集器设备发送所述第一长度、所述第二长度和所述持续时间值以供分析；其中，所述方法是使用一个或多个计算设备来执行的。

【技术特征摘要】
【国外来华专利技术】2015.05.26 IN 2638/CHE/2015;2015.08.06 US 14/820,21.一种方法，包括：在网络基础设施设备处接收包括多个分组的流；使用所述网络基础设施设备并且针对所述多个分组的第一子集来确定所述第一子集对应于第一数据报，并且确定所述第一数据报的第一长度；使用所述网络基础设施设备并且针对所述多个分组的第二子集来确定所述第二子集对应于在所述第一数据报之后接收到的第二数据报，并且确定所述第二数据报的第二长度；使用所述网络基础设施设备来确定所述第一数据报的第一到达时间与所述第二数据报的第二到达时间之间的持续时间值；向与所述网络基础设施设备分离的收集器设备发送所述第一长度、所述第二长度和所述持续时间值以供分析；其中，所述方法是使用一个或多个计算设备来执行的。2.根据权利要求1所述的方法，其中，确定所述持续时间值还包括确定所述第一数据报的第一传输控制协议(TCP)时间戳与所述第二数据报的第二TCP时间戳之间的差。3.根据权利要求1所述的方法，其中，确定所述第一长度还包括：标识所述第一数据报的传输层安全(TLS)保护记录长度；使用所述TLS保护记录长度作为所述第一长度。4.根据权利要求1所述的方法，其中，确定所述第一长度还包括：确定所述第一数据报的报头的报头长度；从所述第一长度中减去所述报头长度。5.根据权利要求1所述的方法，其中，所述第一子集包括至少第一分组和第二分组，并且使用所述第一分组的第一分组长度和所述第二分组的第二分组长度之和作为所述第一数据报的第一长度。6.根据权利要求1所述的方法，还包括仅选择在先前分组之后的阈值时间量内接收到的分组的集合，作为所述第一子集。7.根据权利要求6所述的方法，其中，所述阈值时间量是五毫秒。8.根据权利要求6所述的方法，还包括基于所述流的起始位置从多个不同的阈值中针对所述阈值时间量选择不同的值。9.根据权利要求1所述的方法，其中，所述流被加密。10.根据权利要求1所述的方法，还包括：在所述收集器设备处接收所述第一长度、所述第二长度和所述持续时间值；使用所述收集器设备、所述第一长度、所述第二长度和所述持续时间来确定与所述第一数据报和所述第二数据报相关联的应用的应用标识符；确定所述应用是否在所存储的恶意应用的标识符的集合中被标识为恶意应用；响应于确定所述应用是被标识在所述存储的恶意应用的标识符的集合中的恶意应用，发送警报信号。11.根据权利要求10所述的方法，其中，确定所述应用还包括：使用已经在训练数据上被训练的受训分类器，该训练数据已经从已提供与所述流相关联的软件应用的名称值和散列值的软件应用中获得。12.根据权利要求10所述的方法，还包括：访问文件信誉服务以获取表示所述应用的安全信誉的信誉值，并且当所述信誉值小于或大于指定的恶意信...

【专利技术属性】
技术研发人员：大卫·麦西格鲁，安德鲁·扎瓦道斯基，唐纳文·欧哈拉，沙拉瓦南·拉达克里希南，托马斯·佩妮，丹尼尔·G·温，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国,US