【技术实现步骤摘要】
本专利技术总体上涉及计算机网络安全,并且更具体地涉及基于网络服务器的可见性和网络服务器的网络流量重定向链的拓扑识别恶意网络基础设施中的恶意服务器。
技术介绍
恶意网络活动是在线网络用户和他们的计算机的安全的主要威胁。这些恶意网络活动通过恶意网络基础设施安排,其使网络罪犯能够在网络上进行他们的犯罪活动并且利用恶意网络基础设施中的其他网络罪犯的资源。这样的恶意网络基础设施是如今的网络空间中的这些犯罪活动的支柱,在全球传递恶意内容(如恶意软件)并且每年导致数亿美元的损失。恶意软件,或简称有害软件,是用于例如破坏计算机操作、收集存储在计算机上的敏感信息或获得私人计算机系统和网络的访问权限的任何软件。恶意软件是表示各种恶意或侵扰软件的涵盖性术语,如计算机病毒、蠕虫病毒、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓软件和其他恶意程序。
技术实现思路
根据一个示例性实施例,提供一种用于识别恶意服务器的计算机实现方法。计算机基于与网络流量重定向链中所包括的不可见服务器顶点对应的二分图中的确定的基于图的特征、和与网络流量重定向链中所包括的不可见服务器顶点对应的确定的基于距离的特征,...
【技术保护点】
一种用于识别恶意服务器的计算机实现方法,所述计算机实现方法包括:由计算机基于与网络流量重定向链中所包括的可见和不可见服务器顶点对应的二分图中的确定的基于图的特征、和与网络流量重定向链中所包括的不可见服务器顶点对应的确定的基于距离的特征,确定与网络流量重定向链中所包括的可见服务器和不可见服务器对应的服务器顶点之间的恶意边缘;由所述计算机基于与网络流量重定向链中所包括的可见服务器和不可见服务器对应的服务器顶点之间的确定的恶意边缘,识别所述二分图中的恶意服务器顶点;以及由所述计算机阻止客户端设备访问与所述二分图中的识别的恶意服务器顶点对应的恶意服务器。
【技术特征摘要】
2015.03.06 US 14/640,6581.一种用于识别恶意服务器的计算机实现方法,所述计算机实现方法包括:由计算机基于与网络流量重定向链中所包括的可见和不可见服务器顶点对应的二分图中的确定的基于图的特征、和与网络流量重定向链中所包括的不可见服务器顶点对应的确定的基于距离的特征,确定与网络流量重定向链中所包括的可见服务器和不可见服务器对应的服务器顶点之间的恶意边缘;由所述计算机基于与网络流量重定向链中所包括的可见服务器和不可见服务器对应的服务器顶点之间的确定的恶意边缘,识别所述二分图中的恶意服务器顶点;以及由所述计算机阻止客户端设备访问与所述二分图中的识别的恶意服务器顶点对应的恶意服务器。2.根据权利要求1所述的计算机实现方法,其还包括:由所述计算机基于在可见服务器列表或不可见服务器列表中的一个中定位每个服务器,将网络中的多个识别的服务器中的每个服务器放置在所述二分图中。3.根据权利要求2所述的计算机实现方法,其中由所述计算机将网络中的多个识别的服务器中的每个服务器放置在所述二分图中还包括:由所述计算机搜索服务器域名白名单的集合以确定网络中的多个识别的服务器中的服务器是否在服务器域名白名单的集合中列出;由所述计算机查询搜索引擎的集合以确定网络中的多个识别的服务器中的服务器是否在服务器域名搜索结果中列出;响应所述计算机确定网络中的多个识别的服务器中的服务器未在服务器域名白名单的集合中列出并且未在服务器域名搜索结果中列出,由所述计算机将所述服务器识别为不可见服务器,并且由所述计算机将所述服务器增加到不可见服务器列表;以及响应所述计算机确定网络中的多个识别的服务器中的服务器在服务器域名白名单的集合和服务器域名搜索结果中的至少一个中列出,由所述计算机将多个识别的服务器中的服务器识别为可见服务器,并且由所述计算机将所述服务器增加到可见服务器列表。4.根据权利要求1所述的计算机实现方法,其还包括:由所述计算机将与网络流量重定向链中所包括的不可见服务器顶点对应的二分图中的确定的基于图的特征、和与网络流量重定向链中所包括的不可见服务器顶点对应的确定的基于距离的特征输入到机器学习分类器中。5.根据权利要求4所述的计算机实现方法,其中所述确定的基于图的特征是网络流量重定向链中所包括的每个不可见服务器的出度、入度和出度和入度之间的比率。6.根据权利要求4所述的计算机实现方法,其中所述确定的基于距离的特征是不可见服务器的每一个的IP地址号码之间的距离,不可见服务器的每一个之间的域名注册信息的差异,和不可见服务器的每一个之间的物理位置的距离。7.根据权利要求1所述的计算机实现方法,其还包括:由所述计算机将恶意评分分配给识别为恶意的那些不可见服务器。8.根据权利要求7所述的计算机实现方法,其还包括:由所述计算机为识别为恶意的那些不可见服务器生成可见性评分。9.根据权利要求8所述的计算机实现方法,其还包括:由所述计算机将分配的恶意评分和生成的可见性评分增加到服务器网络流量传播链图中的相应的服务器顶点;以及由所述计算机将相应的服务器顶点的分配的恶意评分和生成的可见性评分传播到服务器网络流量传播链图中的相邻的不可见服务器顶点。10.根据权利要求9所述的计算机实现方法,其还包括:由所述计算机基于恶意和可见性评分的传播,为服务器网络流量传播链图中的相邻的服务器顶点的每一个生成新恶意评分和新可见性评分;以及由所述计算机将与具有大于预定恶意评分阈值的生成的新恶意评分、并且具有小于预定可见性评分阈值的生成的新可见性评分的传播图中的服务器顶点对应的每个服务器识别为恶意服务器。11.一种用于识别恶意服务器的计算机系统,所述计算机系统包括:总线系统;连接到所述总线系统的存储设备,其中所述存储设备存储程序指令;以及连接到所述总线系统的处理器,其...
【专利技术属性】
技术研发人员:胡欣,张智勇,王挺,张佳龙,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。