用于识别自主的、自传播的软件的方法和设备技术

本发明专利技术涉及用于识别自主的、自传播的软件的方法和设备。本发明专利技术涉及用于识别第一网络中的至少一个第一计算单元中的自主的、自传播的恶意软件的方法和设备，其中所述第一网络经由第一连接与第二网络耦合，具有以下方法步骤：a）生成至少一个第一指示符，所述至少一个第一指示符指定所述至少一个第一计算单元的第一行为；b）生成至少一个第二指示符，所述至少一个第二指示符指定第二网络中的至少一个第二计算单元的第二行为；c）将所述至少一个第一指示符和所述至少一个第二指示符传送给相关组件；d）通过使所述至少一个第一指示符与所述至少一个第二指示符的相关来产生至少一个相关结果；e）如果在比较时能够规定的阈值被相关结果超出，则输出提示信号。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于识别自主的、自传播的软件的方法和设备。
技术介绍
利用恶意代码（英文：恶意软件程序）的攻击近年来已成为严重的威胁，所述恶意代码以未被授权的方式被传输到计算机系统上，意图损害该计算机系统上的数据、应用或操作系统的机密性，完整性或可用性。已知类型的恶意软件是病毒、蠕虫、特洛伊木马、隐匿技术（Rootkit）和间谍软件。利用恶意代码的散布或者感染可以经由电子邮件、网站、文件下载和文件共享以及对等软件、即时消息传送以及也通过计算机系统的直接的个人操纵来进行。为了解决这些攻击，已知实现方案。例如，具有标题“用于识别恶意软件的方法和系统（VerfahrenundSystemzumErkenneneinerSchadsoftware）”的德国技术DE102010008538A1描述一种用于识别计算机存储系统中的恶意软件的解决方案。另一个具有标题“用于探测由机器实施的恶意代码的系统（SystemzumDetektierenvondurcheineMaschineausgeführtemSchadcode）”的德国技术DE202013102179U1论述用于探测恶意软件的系统，所述恶意软件的代码由虚拟机实施。此外，在专用网络中运行的安全关键系统现在不直接与因特网连接，而是首先仅经由另一网络、例如办公网络或用于配置专用网络的网络才可达。在此，受保护的专用网络是如下计算机网络，所述计算机网络通过合适的技术措施、诸如Firewall（防火墙）或者air-gap（空气间隙）来与其它网络、如办公网络以及因特网分离。所考虑的系统的示例是例如用于处理敏感数据的关键基础结构或系统中的工业控制设施。专用网络的示例是作业线的自动化网络，在所述作业线中作业机器人是安全关键系统。因此，通过与公共网络“解耦”实现保护专用网络免受从公共网络开始的恶意软件攻击。此外，在专用网络中的安全关键系统上也采用传统的识别机制、如反病毒。然而表明，专用网络的解耦以及在专用网络的持续运行中恶意软件攻击的监视不提供绝对可靠的免受有针对性的攻击的保护，因为例如可能由用户将来自另外的网络的受感染的数据传输到专用网络中。即使在另外的网络和专用网络物理分离的情况下，受感染的数据也可能经由移动数据载体、诸如USB棒（USB-UniversalSerialBus（通用串行总线））到达专用网络中并且因此到达安全关键系统上。这尤其在自主的、自传播的恶意软件的情况下出现。
技术实现思路
因此，本专利技术的任务是改进尤其通过自传播的恶意软件对专用网络中的安全关键系统的攻击的识别。所述任务通过独立权利要求的特征来解决。本专利技术的改进方案可以从从属权利要求中得知。本专利技术涉及用于识别第一网络中的至少一个第一计算单元中的自主的、自传播的恶意软件的方法，其中所述第一网络经由第一连接与第二网络耦合，所述方法具有以下方法步骤：a）生成至少一个第一指示符，所述至少一个第一指示符指定至少一个第一计算单元的第一行为；b）生成至少一个第二指示符，所述至少一个第二指示符指定第二网络中的至少一个第二计算单元的第二行为；c）将所述至少一个第一指示符和所述至少一个第二指示符传送给相关组件；d）通过使所述至少一个第一指示符与所述至少一个第二指示符相关来产生至少一个相关结果；e）如果在比较时能够规定的阈值被所述相关结果超出，则输出提示信号。所述方法示出如下优点：特定的恶意软件类型“自主的、自传播的恶意软件”可以通过如下方式被识别，即所述恶意软件类型出现在分别属于不同的网络的两个独立的计算单元上。该情况尤其在工业环境中有最高意义，因为在所谓的专用网络中对于恶意软件侵袭关键的系统、诸如作业线、机器人系统、印钞机在那里。这些专用网络可以与其它网络、如具有用于数据处理的计算机的办公网络在物理上分离或至少通过电子访问控制来去耦，使得数据交换只能在特殊情况下进行。所述方法能够广泛地被用于任何类型的自主的、自传播的恶意软件，使得即使对于所提到的类型的未知的恶意软件来说也可以实现高的识别率。术语“行为”在该说明书的范围中被理解为相应的第一或者第二计算单元执行的一个或多个活动、诸如数据或确定的文件名称到被分配给相应的计算单元的存储单元上的写入或者从被分配给相应的计算单元的存储单元的读取、例如分别具有确定的过程名称和/或过程标识符的过程的开始、暂停、停止或终止。所述行为可以描述在确定的时间点相应的计算单元或者所分配的活动的状态和/或在一个时间段期间相应的活动的改变。有利地，通过第一网络构成用于监视和/或控制工业设施的技术过程的系统并且通过第二网络构成办公通信网络。恰好在这种情况下所述方法的采用是特别高效的，因为办公网络由于其到用于与外部交换信息的其它网络、如因特网的连接特别易受自主的、自传播的恶意软件影响。此外，相同的人员利用第一和第二网络中的相应的计算单元，使得由于数据交换而在第一网络中、即在专用网络中存在由自主的、自传播的恶意软件引起的高的危害潜力。在本专利技术的一种可选的改进方案中，通过至少一个第一指示符和至少一个第二指示符来确定关于至少一个第一计算单元和至少一个第二计算单元的以下信息中的至少一种的相应的行为：-存储介质上的至少一个文件名称;-持续的或被停止的过程的至少一个名称；-入侵探测系统的至少一个结果;-在第一和第二网络之内的网络通信数据的特性。这些信息中的至少一种的使用是有利的，因为相应的信息可以在没有大的技术耗费的情况下被确定并且此外以简单的方式实现自主的、自传播的恶意软件的存在的证明。在一种改进方案中，根据相应的信息的变化、尤其根据相应的信息的出现频率来确定至少一个第一指示符和至少一个第二指示符。由此能够有利地以可靠以及简单的方式探究时间上的大量的异常、如相应的计算单元的确定的行为的大量出现、或者确定的信息的时间流程。在本专利技术的一个变型方案中，至少一个第一指示符和所述至少一个第二指示符以有规律的间距被生成。由此保证：执行鉴于自主的、自传播的恶意软件对第一和第二计算单元的连续监视并且因此实现在识别该恶意软件类型时的高可靠性。尤其由此保证自主的、自传播的恶意软件的更早的识别，由此由恶意软件所造成的损害可以被保持为小的。此外，也可以避免“传染”另外的计算单元或至少阻挡恶意软件的散布。在本专利技术的另一种变型方案中，通过至少一个第一指示符以第一时间间隔指明第一类型的行为并且通过至少一个第二指示符以第二时间间隔指明第一类型或另外的类型的行为，其中第二时间间隔在时间上被布置在第一时间间隔之前。由此能够有利地识别自主的、自传播的恶意软件的行为模式，以此改进恶意软件的探测。例如，恶意软件的活动性在侵袭相应的计算单元之后是特别高的并且然后指数地降低。因此，可以不在相同的时间点但是在两个不同的时间点非常良好地证实所述恶意软件在第一和第二计算单元上的存在。在本专利技术的一种可选的改进方案中，在至少一个第二计算单元的至少一个数据字被传输给了至少一个第一计算单元之后才执行所述方法的步骤a）、c）、d）、e）中的至少一个。由此有利地实现：只有当例如借助于USB棒进行了数据通信、即从第二计算单元到第一计算单元的数据供应时才必须执行除了方法步骤b）之外的另外的方法步骤。数据通信通过至少一个数据字的传输来构成，其中所述数据字可以包本文档来自技高网...

【技术保护点】
用于识别第一网络（NET1）中的至少一个第一计算单元（RE1）中的自主的、自传播的恶意软件的方法，其中所述第一网络（NET1）经由第一连接（V1）与第二网络（NET2）耦合，所述方法具有以下方法步骤：a）生成至少一个第一指示符（I1），所述至少一个第一指示符指定所述至少一个第一计算单元（RE1）的第一行为；b）生成至少一个第二指示符（I2），所述至少一个第二指示符指定所述第二网络（NET2）中的至少一个第二计算单元（RE2）的第二行为；c）将所述至少一个第一指示符（I1）和所述至少一个第二指示符（I2）传送给相关组件（KK）；d）通过使所述至少一个第一指示符（I1）与所述至少一个第二指示符（I2）相关来产生至少一个相关结果（KE），e）如果在比较时能够规定的阈值（SW）被所述相关结果（KE）超出，则输出提示信号（HS）。

【技术特征摘要】
【国外来华专利技术】2014.01.29 DE 102014201592.81.用于识别第一网络（NET1）中的至少一个第一计算单元（RE1）中的自主的、自传播的恶意软件的方法，其中所述第一网络（NET1）经由第一连接（V1）与第二网络（NET2）耦合，所述方法具有以下方法步骤：a）生成至少一个第一指示符（I1），所述至少一个第一指示符指定所述至少一个第一计算单元（RE1）的第一行为；b）生成至少一个第二指示符（I2），所述至少一个第二指示符指定所述第二网络（NET2）中的至少一个第二计算单元（RE2）的第二行为；c）将所述至少一个第一指示符（I1）和所述至少一个第二指示符（I2）传送给相关组件（KK）；d）通过使所述至少一个第一指示符（I1）与所述至少一个第二指示符（I2）相关来产生至少一个相关结果（KE），e）如果在比较时能够规定的阈值（SW）被所述相关结果（KE）超出，则输出提示信号（HS）。2.根据权利要求1所述的方法，其特征在于，通过所述第一网络（NET1）构成用于监视和/或控制工业设施的技术过程的系统，并且通过所述第二网络（NET2）构成办公通信网络。3.根据权利要求1或2所述的方法，其特征在于，通过所述至少一个第一指示符（I1）和所述至少一个第二指示符（I2）来确定关于所述至少一个第一计算单元（RE1）和所述至少一个第二计算单元（RE2）的以下信息中的至少一种的相应的行为：-存储介质上的至少一个文件名称；-持续的或被停止的过程的至少一个名称；-入侵探测系统的至少一个结果；-在所述第一和第二网络（NET1、NET2）之内的网络通信数据的特性。4.根据权利要求3所述的方法，其特征在于，根据相应的信息的变化、尤其根据相应的信息的出现频率来确定所述至少一个第一指示符（I1）和所述至少一个第二指示符（I2）。5.根据权利要求1至3之一所述的方法，其特征在于，以有规律的间距生成所述至少一个第一指示符（I1）和所述至少一个第二指示符（I2）。6.根据前述权利要求之一所述的方法，其特征在于，通过所述至少一个第一标识符（I1）以第一时间间隔（T1）指明所述至少一个第一计算单元（RE1）的第一类型的行为并且通过所述至少一个第二指示符以第二时间间隔（T2）指明所述至少一个第二计算单元（RE2）的第一类型的行为，所述第二时间间隔（T2）在时间上被布置在所述第一时间间隔（T1）之前。7.根据前述权利要求之一所述的方法，其特征在于，在所述至少一个第二计算单元（RE2）的至少一个数...

【专利技术属性】
技术研发人员：JG格贝，H帕特兹拉夫，G罗斯迈尔，
申请(专利权)人：西门子公司，
类型：发明
国别省市：德国;DE