【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于检测第一网络节点的持续性的方法和设备。
技术介绍
持续恶意软件是一种将自身安装在设备上且因此每当设备开启时能够执行动作的常见类型的恶意软件。所谓的僵尸(bot)(参与僵尸网络)可以被归为持续恶意软件,其利用网络且被广泛地视为当今互联网上最严重的威胁之一。一般用法是,术语“僵尸”是指计算机感染了恶意软件,这种恶意软件允许攻击者远程控制计算机以代表攻击者执行任务,诸如发送垃圾邮件、窃取信息或者启动对其它计算机的攻击。僵尸网络是在共同控制下的此种僵尸的集合。已经存在诸多用于检测计算机和具有类似功能的其它设备(例如电话、平板电脑等)上的恶意软件感染的技术。现有的基于主机的技术包括进行签名扫描以找到被感染和被操控的文件以及针对设备上的不寻常和/或可疑进程进行行为监视。同样地,常见的基于网络的技术依赖于检测可能与恶意软件感染有关的攻击或恶意软件通信的签名或者异常或可疑通信模式。大多数技术依靠对恶意软件样本的捕获和手动分析以创建针对特定恶意软件的检测规则。专利技术人到现在为止所知道的现有恶意软件检测技术在检测性能方面有缺点且其能力取决于其所部署的位置,例如,主机上或者网络中。由于恶意软件编写者与试图保卫用户的安全行业之间存在不断的竞赛,因此不断地需要新技术来改善对诸如持续使用网络的恶意软件的威胁的检测。
技术实现思路
本专利技术的目的是解决或者至少减轻本领域中的这些问题并提供一种用于检测网络中的恶意设备的改善方法和设备。在本专利技术的第一方面通过一种检测第一网络节点的持续性的方法来达到此目的。方法包括以下步骤:在指定观测周期期间监视第一网络节 ...
【技术保护点】
一种检测第一网络节点(12)的持续性的方法,所述方法包括以下步骤:在指定观测周期期间监视(S101)所述第一网络节点是否已建立到第二网络节点(13)的连接;确定(S102)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量;根据会话的总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量;以及基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定(S104)所述第一网络节点的会话间持续性。
【技术特征摘要】
【国外来华专利技术】2011.12.12 US 61/569,3431.一种检测第一网络节点(12)的持续性的方法,所述方法包括以下步骤: 在指定观测周期期间监视(SlOl)所述第一网络节点是否已建立到第二网络节点(13)的连接; 确定(S102)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量; 根据会话的总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量;以及 基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定(S104)所述第一网络节点的会话间持续性。2.根据权利要求1所述的方 法,其中,确定会话间持续性的步骤包括: 通过将包括至少一个通信流的会话的所述数量除以所述会话的总数量来确定会话间持续性比率,且所述方法还包括以下步骤: 将所确定的会话间持续性比率与阈值进行比较,其中,如果所述会话间持续性比率超过所述阈值,则将所述第一网络节点视为持续的。3.根据前述权利要求中任一项所述的方法,还包括以下步骤: 将至少一个会话划分(S305)成若干子会话; 针对所述至少一个会话,确定(S306)包括所述第一网络节点(12)与所述第二网络节点(13)之间的至少一个通信流的子会话的数量; 基于所述子会话的数量和针对所述会话的包括至少一个通信流的子会话的所述数量,确定(S307)针对所述至少一个会话的所述第一网络节点的会话内持续性。4.根据权利要求3所述的方法,其中,确定会话内持续性的步骤包括: 通过将包括至少一个通信流的子会话的所述数量除以所述会话的所述子会话的总数量来确定每一个会话的会话内持续性比率,且所述方法还包括以下步骤: 将所确定的会话内持续性比率与阈值进行比较,其中,如果所述会话内持续性比率超过所述阈值,则将所述第一网络节点(12)视为持续的。5.根据前述权利要求中任一项所述的方法,其中,确定连接会话的总数量的步骤包括:监视所述第一网络节点(12)的网络附着和去附着信息。6.根据权利要求1~4中任一项所述的方法,其中,确定连接会话的总数量的步骤包括:监视所述第一网络节点(12)的分组数据协议PDP上下文信息。7.根据权利要求1~4中任一项所述的方法,其中,确定连接会话的步骤包括:监视所述第一网络节点(12)的动态主机配置协议DHCP请求和释放。8.根据前述权利要求中任一项所述的方法,还包括以下步骤: 发送指示所述第一网络节点(12)持续地运行的报警。9.根据前述权利要求中任一项所述的方法,还包括以下步骤: 记录在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间发生第一通信流时的时刻。10.根据前述权利要求中任一项所述的方法,还包括以下步骤: 对所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间的通信流进行聚合。11.一种检测第一网络节点(12)的持续性的方法,所述方法包括以下步骤: 在指定观测周期期间监视(S201)所述第一网络节点是否已建立到第二网络节点(13)的连接; 确定(S202)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量; 根据所述会话的总数量确定(S203)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量; 将至少一个会话划分(S204)成若干个子会话; 针对所述至少一个会话,确定(S205)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的子会话的数量;以及 基于所述子会话的数量和包括至少一个通信流的子会话的所述数量来确定(S206)针对所述至少一个会话的所述第一网络节点的会话内持续性。12.根据权利要求11所述的方法,其中,确定会话内持续性的步骤包括: 通过将包括至少一个通信流 的子会话的数量除以针对每个会话的所述子会话的总数量来确定针对所述每个会话的会话内持续性比率,其中,基于所述会话内持续性确定持续性的步骤还包括: 将所确定的会话内持续性比率与阈值进行比较,其中,如果所述会话内持续性比率超过所述阈值,则将所述第一网络节点(12)视为持续的。13.根据权利要求11或12中任一项所述的方法,还包括以下步骤: 基于所述会话的总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第一网络节点的会话间持续性。14.一种用于检测第一网络节点(12)的持续性的设备(14),被布置为: 在指定观测周期期间监视所述第一...
【专利技术属性】
技术研发人员:米凯尔·利延斯坦,安德拉斯·梅赫斯,帕特里克·萨尔梅拉,
申请(专利权)人:瑞典爱立信有限公司,
类型:发明
国别省市:瑞典;SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。