在示例实施方式中,提供了一种由处理器执行的方法。通过使用SPDY协议的单传输控制协议(TCP)连接接收多路复用数据流。所述多路复用数据流包含与多个不同数据流相关联的数据包。生成多个子文本。该子文本中的每个子文本与所述多个不同数据流中的不同数据流相关联。来自所述多路复用数据流的数据包被解复用为多个子文本中的相应子文本。在所述多个子文本中的相应子文本中检查所述多个不同数据流,以检测恶意软件。
【技术实现步骤摘要】
【国外来华专利技术】在SPDY连接上检测恶意软件
技术介绍
互联网流量的增长导致了名为SPDY的修改的超文本传输协议(HTTP)的发展。SPDY协议提供对允许将多个并发数据流多路复用到端点和服务器之间的单传输控制协议(TCP)连接中的HTTP的改进。因此,SPDY协议允许多个数据流相互复用或交错并异步发送,而不是使用由先前的HTTP使用的顺序过程(其中,数据流依次发送)。附图说明图1是本公开的示例系统的框图;图2是本公开的装置的示例;图3是在SPDY连接上检测恶意软件的示例方法的流程图;图4是在SPDY连接上检测恶意软件的示例方法的另一个流程图;以及图5是本公开的装置的另一个示例。具体实施方式本公开的特定实施方式用于检测SPDY连接上的恶意软件的系统和方法。如上所述,SPDY协议是对允许多个并发数据流被多路复用到单TCP连接中的HTTP的改进。在传统的HTTP协议中,数据流以顺序方式发送。因此,统一威胁管理(UTM)设备可以一次分析一个数据包和整个文件。然而,对于SPDY协议,由于数据包被复用为单个数据流并且具有“优先级”支持,所以服务器可以交错与不同流相关联的数据包。因此,UTM设备可能无法通过按顺序处理数据包的方式来针对恶意软件分析它们。因此,通过按顺序处理数据包针对恶意软件的检查的传统方法可能无法检测到恶意软件,并且随后恶意软件内容可能被传递给客户端。本公开的特定示例提供了一种改进的UTM设备,其针对复用为使用SPDY协议的单个数据流的每个数据流生成子文本。因此,每个数据包可以被分析以检测恶意软件,并且在组合在相应的子文本中之后,整个文档可以被分析以检测恶意软件。图1示出了本公开的示例系统100。系统100可以包括UTM设备104、服务器106和客户端108。虽然图1中示出了单个UTM设备104、单个服务器106和单个客户端108,但是应该注意,可以部署任何数量的UTM设备104、服务器106和客户端108。在一个示例中,UTM设备104和服务器106可以位于互联网协议(IP)网络102内。IP网络102可以是任何类型的包网络(例如,互联网)。应当注意,为了便于说明,已经简化了IP网络102,并且IP网络102可以包括未示出的其他网络元件,例如网关、路由器、交换机、接入网络等。在一个示例中,客户端108可以是任何类型的端点设备(例如,智能电话、膝上型计算机、台式计算机、平板电脑等)。客户端108可以通过有线或无线连接与服务器106建立TCP连接以请求数据。TCP连接可以是使用有序的SYN-ACK-data-FIN顺序的状态性的IP连接。在一个示例中,服务器106可以是托管(host)通过与客户端108的有线或无线连接可访问的网站、数据库或任何其他数据源的服务器。例如,服务器106可托管网站,并且客户端108可以建立与服务器106通信会话或TCP连接,以从服务器106请求和接收数据。在一个示例中,客户端108可以使用连接110和112经由UTM设备104建立与服务器106的TCP连接。在一个示例中,连接110和112可以是使用SPDY协议的TCP连接。如上所述,SPDY协议是对允许将多个数据流多路复用为单个数据流并通过单TCP连接异步发送的现有HTTP协议的改进。例如,多个数据流请求可以被客户端108发送。使用传统的HTTP协议,每个数据流请求将使用分立的TCP连接。然而,使用SPDY协议,每个数据流可以通过单TCP连接在多路复用数据流中从服务器106发送到客户端108,导致数据更快地下载。但是,如上所述,SPDY协议可能会导致新的安全风险。如下所述,UTM设备104可以位于服务器106和客户端108之间,以检查多路复用数据流内的数据包以检测恶意软件。在一个实施方式中,UTM设备104、服务器106和客户端108可以被部署为使用处理器和非暂时性计算机可读存储介质的计算机。非暂时性计算机可读存储介质可以存储由处理器执行以执行本文所述功能的指令。图2示出了UTM设备104的示例的框图。在一个示例中,UTM设备104可以包括连接处理器202、子文本生成器204和恶意软件检测器206。在一个示例中,连接处理器202可以在客户端108和服务器106之间传递TCP消息,以建立使用SPDY协议的TCP连接。在一个示例中,连接处理器202还可以与子文本生成器204进行通信,以将通过TCP连接传输的数据包提供给子文本生成器204用于分析。在一个示例中,子文本生成器204可以包括存储器,其存储针对每个不同数据流生成的每个子文本。在一个示例中,每个数据流请求与流标识(ID)相关联。子文本可以被定义为用于将数据包重新组合成相应的数据流的子文本生成器204的存储器中的临时缓冲器。例如,可以生成第一子文本以使用与流ID1相关联的数据包来重组第一文件,可以生成第二子文本以使用与流ID2相关联的数据包来重组第二文件,等等。在针对恶意软件完全重新组合文件并分析之后,子文本可以被删除并且存储空间可以被释放,以针对不同数据流或流ID号码生成新的子文本。在一个实施方式中,子文本生成器204可以基于在从客户端108发送到服务器106的初始数据流请求消息中提供的文件的大小来知道文件何时完整。因此,当特定子文本内的文件的大小与初始数据流请求中指示的文件的大小相同时,子文本生成器204可以知道文件已完整。在一个示例中,子文本生成器204还可以对每个数据包和相应子文本内的完整数据包文件执行散列计算。在一个示例中,散列计算可以是对每个数据包的增量散列计算,直到对整个文件执行散列计算。可以将计算出的散列值提供给恶意软件检测器206,以确定数据包或完整的文件中是否存在恶意软件。在一个示例中,散列计算可以是消息摘要5(MD5)散列计算和值。在一个示例中,恶意软件检测器206可以包括高速缓存查找表和签名数据库。高速缓存查找表可以临时存储由子文本生成器204提供的散列值。高速缓存查找表可以向存储多个签名(例如,先前计算的与不同类型的恶意软件相关联的散列值)的签名数据库发送查询。签名数据库可以执行比较并提供对高速缓存查找的响应,指示是否找到匹配。在一个示例中,如果在数据包或者完整文件中发现匹配,则恶意软件检测器206可以向连接处理器202发送通知,并且连接处理器202可以丢弃TCP连接。因此,整个文件以及与其他数据流相关联的其他数据包不被发送到客户端108。图3示出了用于检测SPDY连接上的恶意软件的示例方法300的流程图。在一个示例中,方法300的框可以由UTM设备104或设备500执行。在框302处,方法300开始。在框304处,方法300通过单传输控制协议(TCP)连接从服务器接收复用数据流,其中该单传输控制协议连接使用SPDY协议,其中复用数据流包含与寻址到客户端的多个不同数据流相关联的数据包。例如,客户端可以尝试连接到由服务器托管的网站,并针对网页的不同部分请求多个不同数据流。每个数据流可以与网页的不同文件相关联。该请求可以包括特定文件、优先级和文件大小的流ID。在一个实施方式中,可以由服务器确认对多个不同数据流的请求,并且可以建立TCP连接。服务器可以使用SPDY协议将与每个流ID相关联的数据包多路复用为通过TCP连接传输的单个数据流。数据包可以以异步方式本文档来自技高网...
【技术保护点】
1.一种方法,包括:由处理器通过单传输控制协议(TCP)连接从服务器接收多路复用数据流,其中所述单传输控制协议连接使用SPDY协议,其中所述多路复用数据流包含与寻址到客户端的多个不同数据流相关联的数据包;由所述处理器生成多个子文本,其中,所述多个子文本中的每个子文本与所述多个不同数据流中的不同数据流相关联;由所述处理器将来自所述多路复用数据流的所述数据包解复用为所述多个子文本中的相应子文本;并且由所述处理器在所述多个子文本中的相应子文本中检查所述多个不同数据流,以检测恶意软件。
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:由处理器通过单传输控制协议(TCP)连接从服务器接收多路复用数据流,其中所述单传输控制协议连接使用SPDY协议,其中所述多路复用数据流包含与寻址到客户端的多个不同数据流相关联的数据包;由所述处理器生成多个子文本,其中,所述多个子文本中的每个子文本与所述多个不同数据流中的不同数据流相关联;由所述处理器将来自所述多路复用数据流的所述数据包解复用为所述多个子文本中的相应子文本;并且由所述处理器在所述多个子文本中的相应子文本中检查所述多个不同数据流,以检测恶意软件。2.根据权利要求1所述的方法,包括:当检测到所述恶意软件时,由所述处理器丢弃所述单TCP连接以停止所述多路复用数据流的传输。3.根据权利要求1所述的方法,其中,对所述多路复用数据流中的所述数据包中的每个数据包执行所述检查。4.根据权利要求1所述的方法,其中,对完整的子文本执行所述检查,所述完整的子文本包含所述多个不同数据流中的组合的数据流。5.根据权利要求1所述的方法,其中,所述检查包括:对所述数据包执行散列计算以生成散列值,并且将所述散列值和存储在数据库中的与恶意软件的签名相关联的散列值相比较。6.根据权利要求1所述的方法,包括:由所述处理器,接收对新数据流的新请求,所述新数据流具有高于所述多个不同数据流的优先级的优先级;由所述处理器确定存储所述多个子文本的存储器已满;并且由所述处理器将所述新数据流的优先级改变为等于所述多个不同流的优先级。7.一种装置,包括:连接处理器,用于传递传输控制协议(TCP)消息以建立使用SPDY协议的TCP连接;与所述连接处理器通信的子文本生成器,所述子文本生成器生成多个子文本,其中,所述多个子文本中的每个子文本与通过所述PCT连接经由多路复用数据流从服务器接收并寻址到客户端的多个不同数据流中的不同数据流相关联;以及恶意软件检测器,所述恶意软件检测器在所述多个子文本中的相应子文本中检查所述多个不同数据流,以检测恶意软件。8.根据权利要求7所...
【专利技术属性】
技术研发人员:拉梅什·阿德利,哈里·K·库尔马拉,
申请(专利权)人:安移通网络公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。