用于检测网络节点上的持续恶意软件的方法技术

本发明专利技术涉及用于检测第一网络节点(12)的持续性的方法和设备。在本发明专利技术的第一方面，提供一种方法，包括以下步骤：在指定观测周期期间监视(S101)所述第一网络节点是否已建立到第二网络节点(13)的连接；以及确定(S102)在所述指定观测周期期间发生的所述第一网络节点连接到所述第二网络节点的连接会话的总数量；此外，所述方法包括以下步骤：根据会话的所述总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及根据会话的所述总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第一网络节点的会话间持续性。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于检测第一网络节点的持续性的方法和设备。
技术介绍
持续恶意软件是一种将自身安装在设备上且因此每当设备开启时能够执行动作的常见类型的恶意软件。所谓的僵尸(bot)(参与僵尸网络)可以被归为持续恶意软件，其利用网络且被广泛地视为当今互联网上最严重的威胁之一。一般用法是，术语“僵尸”是指计算机感染了恶意软件，这种恶意软件允许攻击者远程控制计算机以代表攻击者执行任务，诸如发送垃圾邮件、窃取信息或者启动对其它计算机的攻击。僵尸网络是在共同控制下的此种僵尸的集合。已经存在诸多用于检测计算机和具有类似功能的其它设备(例如电话、平板电脑等)上的恶意软件感染的技术。现有的基于主机的技术包括进行签名扫描以找到被感染和被操控的文件以及针对设备上的不寻常和/或可疑进程进行行为监视。同样地，常见的基于网络的技术依赖于检测可能与恶意软件感染有关的攻击或恶意软件通信的签名或者异常或可疑通信模式。大多数技术依靠对恶意软件样本的捕获和手动分析以创建针对特定恶意软件的检测规则。专利技术人到现在为止所知道的现有恶意软件检测技术在检测性能方面有缺点且其能力取决于其所部署的位置，例如，主机上或者网络中。由于恶意软件编写者与试图保卫用户的安全行业之间存在不断的竞赛，因此不断地需要新技术来改善对诸如持续使用网络的恶意软件的威胁的检测。
技术实现思路
本专利技术的目的是解决或者至少减轻本领域中的这些问题并提供一种用于检测网络中的恶意设备的改善方法和设备。在本专利技术的第一方面通过一种检测第一网络节点的持续性的方法来达到此目的。方法包括以下步骤:在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的连接；以及确定在所述指定观测周期期间发生的第一网络节点连接到第二网络节点的连接会话的总数量。此外，方法包括以下步骤:根据会话的总数量确定包括第一网络节点与第二网络节点之间的至少一个通信流的会话的数量；以及基于会话的总数量和包括至少一个通信流的会话的数量确定第一网络节点的会话间持续性。在本专利技术的第二方面通过一种检测第一网络节点的持续性的方法来达到这个目的。方法包括以下步骤:在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的连接；以及确定在所述指定观测周期期间第一网络节点连接到第二网络节点的连接会话的总数量。此外，方法包括以下步骤:根据会话的总数量确定包括第一网络节点与第二网络节点之间的至少一个通信流的会话的数量；以及将至少一个会话划分成若干子会话。接着，针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个通信流的子会话的数量，且基于子会话的数量和包括至少一个通信流的子会话的数量来确定针对至少一个会话的第一网络节点的会话内持续性。有利地，本专利技术以可以利用网络进行攻击、远程控制和/或恶意软件更新等的持续恶意软件为目标。为此，可以找到诸如发送垃圾邮件等恶意和/或可疑网络活动所涉及的设备之间的通信模式的普遍特征(或者至少一些用于检测恶意/可疑攻击行为的探索)，并加入到对恶意软件建立网络通信的特性持续性的此检测。例如，参与僵尸网络(垃圾邮件发送或者其它)的僵尸将重复尝试“往家里打电话”给一个或更多个命令与控制(C&C)服务器。这通常将在每当设备开启并连接到网络时重复发生，且在设备开启并连接时随着时间重复发生。因此，网络中的信令信息被用来确定设备开启并连接到网络的周期，即持续恶意软件有机会使用网络的周期。促进对连接会话的确定的三个示范性实施例包括:-监视网络附着/去附着或者分组数据协议(PDP)上下文设置/释放信令(针对3GPP移动网络)；以及-针对设备已被分配IP地址时的周期监视动态主机配置协议(DHCP)信令(针对固定网络)。当已检测到连接会话时，确定是否存在表现为在会话内和跨越会话的持续的可疑活动，例如到某些目的地的连接。跨越会话和在会话期间的此种持续性是网络设备的持续行为的指示，其可以是善意的或者恶意的。因此，在本专利技术的第一方面，确定第一网络节点的会话间持续性，而在本专利技术的第二方面，确定第一网络节点的会话内持续性。在本专利技术的其它实施例中，可以将第一和第二方面的标的物组合起来，从而产生使用会话间持续性和会话内持续性二者来进一步强化第一网络节点的持续性的检测的途径。可选地，这可以与关于第一网络节点所发起的可能恶意业务的其它信息组合起来以便提供持续恶意软件感染的证据。因此，本专利技术有利地以利用网络进行攻击、远程控制和/或恶意软件更新的持续恶意软件为目标。在下文中，将论述本专利技术的第一和第二方面的实施例。在本专利技术的实施例中，确定会话间持续性包括:通过将包括至少一个通信流的会话的数量除以会话的所述总数量来确定会话间持续性比率；以及将所确定的会话间持续性比率与阈值进行比较，其中，如果所述比超过阈值，则将第一网络节点视为持续的。有利地，通过选择借以确定会话间持续性比率的适当阈值，给出是否应将第一网络节点的行为视为恶意的指不。在本专利技术的另一实施例中，会话内持续性的确定包括:将至少一个会话划分成若干子会话；以及针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个通信流的子会话的数量，其中，确定第一网络节点的会话内持续性。此外，在又一实施例中，针对至少一个会话，通过将包括至少一个通信流的子会话的数量除以至少一个会话的子会话的所述总数量且将所确定会话内持续性比率与阈值进行比较来确定针对该至少一个会话的会话内持续性比率，其中，如果所述比超过阈值，则将第一网络节点视为持续的。有利地，通过选择借以确定会话内持续性比率的适当阈值，提供是否应将第一网络节点的行为视为恶意的指不。在本专利技术的再一实施例中，记录在指定观测周期期间第一网络节点与第二网络节点之间发生第一通信流时的时刻。如果第一网络节点在第一指定观测周期期间的某个时间变为被恶意软件感染，则直到下一观测周期其才能被检测。通过忽略在第一次接触之前的时间(即，当第一通信流发生时)，将更容易地管理第一网络节点在给定观测周期期间变为被感染且开始表现为持续的情形。在本专利技术的又一实施例中，将在指定观测周期期间第一网络节点与第二网络节点之间的通信流聚合成通信流集合/流聚合。由于(例如)可以容易地过滤掉单个流，因此这将有利地促进对大的流集合的管理。还通过与上文所论述的本专利技术的第一和第二方面的方法对应的用于检测第一网络节点的持续性的设备来达到本专利技术的目的。本专利技术有利地利用网络信息并执行对网络信息的分析来检测恶意软件。持续恶意软件(诸如僵尸)往往尽可能地利用网络连接来提供恶意软件编写者的最大影响力，而有利地使用网络信令信息来确定当设备已建立到网络的连接时恶意软件是否在网络上活动。这转化成改善的检测性能和降低的假阳性率，此二者对于提供针对恶意软件的更好保护和降低与检测报警的人工分析相关联的成本很重要。注意，本专利技术涉及权利要求书中所列特征的所有可能组合。通过研究所附权利要求书和以下描述，将易知本专利技术的其它特征和优点。本领域的技术人员应了解，可以对本专利技术的不同特征进行组合，以产生除了下文所述实施例以外的实施例。【附图说明】现将参照附图以示例方式描述本专利技术，附图中:[0021 ] 图1示出了实现本专利技术的移动网络；图2示出了实现本专利技术的固定接入网络；图3示出了阐述根据本专利技术实施例的检测第一网络节点的持本文档来自技高网...

【技术保护点】
一种检测第一网络节点(12)的持续性的方法，所述方法包括以下步骤：在指定观测周期期间监视(S101)所述第一网络节点是否已建立到第二网络节点(13)的连接；确定(S102)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量；根据会话的总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定(S104)所述第一网络节点的会话间持续性。

【技术特征摘要】
【国外来华专利技术】2011.12.12 US 61/569,3431.一种检测第一网络节点(12)的持续性的方法，所述方法包括以下步骤: 在指定观测周期期间监视(SlOl)所述第一网络节点是否已建立到第二网络节点(13)的连接； 确定(S102)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量； 根据会话的总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及 基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定(S104)所述第一网络节点的会话间持续性。2.根据权利要求1所述的方 法，其中，确定会话间持续性的步骤包括: 通过将包括至少一个通信流的会话的所述数量除以所述会话的总数量来确定会话间持续性比率，且所述方法还包括以下步骤: 将所确定的会话间持续性比率与阈值进行比较，其中，如果所述会话间持续性比率超过所述阈值，则将所述第一网络节点视为持续的。3.根据前述权利要求中任一项所述的方法，还包括以下步骤: 将至少一个会话划分(S305)成若干子会话； 针对所述至少一个会话，确定(S306)包括所述第一网络节点(12)与所述第二网络节点(13)之间的至少一个通信流的子会话的数量； 基于所述子会话的数量和针对所述会话的包括至少一个通信流的子会话的所述数量，确定(S307)针对所述至少一个会话的所述第一网络节点的会话内持续性。4.根据权利要求3所述的方法，其中，确定会话内持续性的步骤包括: 通过将包括至少一个通信流的子会话的所述数量除以所述会话的所述子会话的总数量来确定每一个会话的会话内持续性比率，且所述方法还包括以下步骤: 将所确定的会话内持续性比率与阈值进行比较，其中，如果所述会话内持续性比率超过所述阈值，则将所述第一网络节点(12)视为持续的。5.根据前述权利要求中任一项所述的方法，其中，确定连接会话的总数量的步骤包括:监视所述第一网络节点(12)的网络附着和去附着信息。6.根据权利要求1~4中任一项所述的方法，其中，确定连接会话的总数量的步骤包括:监视所述第一网络节点(12)的分组数据协议PDP上下文信息。7.根据权利要求1~4中任一项所述的方法，其中，确定连接会话的步骤包括:监视所述第一网络节点(12)的动态主机配置协议DHCP请求和释放。8.根据前述权利要求中任一项所述的方法，还包括以下步骤: 发送指示所述第一网络节点(12)持续地运行的报警。9.根据前述权利要求中任一项所述的方法，还包括以下步骤: 记录在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间发生第一通信流时的时刻。10.根据前述权利要求中任一项所述的方法，还包括以下步骤: 对所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间的通信流进行聚合。11.一种检测第一网络节点(12)的持续性的方法，所述方法包括以下步骤: 在指定观测周期期间监视(S201)所述第一网络节点是否已建立到第二网络节点(13)的连接； 确定(S202)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量； 根据所述会话的总数量确定(S203)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量； 将至少一个会话划分(S204)成若干个子会话； 针对所述至少一个会话，确定(S205)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的子会话的数量；以及 基于所述子会话的数量和包括至少一个通信流的子会话的所述数量来确定(S206)针对所述至少一个会话的所述第一网络节点的会话内持续性。12.根据权利要求11所述的方法，其中，确定会话内持续性的步骤包括: 通过将包括至少一个通信流 的子会话的数量除以针对每个会话的所述子会话的总数量来确定针对所述每个会话的会话内持续性比率，其中，基于所述会话内持续性确定持续性的步骤还包括: 将所确定的会话内持续性比率与阈值进行比较，其中，如果所述会话内持续性比率超过所述阈值，则将所述第一网络节点(12)视为持续的。13.根据权利要求11或12中任一项所述的方法，还包括以下步骤: 基于所述会话的总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第一网络节点的会话间持续性。14.一种用于检测第一网络节点(12)的持续性的设备(14)，被布置为: 在指定观测周期期间监视所述第一...

【专利技术属性】
技术研发人员：米凯尔·利延斯坦，安德拉斯·梅赫斯，帕特里克·萨尔梅拉，
申请(专利权)人：瑞典爱立信有限公司，
类型：发明
国别省市：瑞典;SE