聯邦政府的權利聲明

根據美國政府能源部門和洛斯阿拉莫斯國家安全有限公司之間的關于洛斯阿拉莫斯國家實驗室運營的編號為DE-AC52-06NA25396的合約，美國政府享有本發明的權利。

相關申請的交叉引用

本申請要求序列號為61/614,148申請日為2012年3月22日的美國臨時申請的權益。因此，這個較早提交的臨時專利的主題內容通過引用全部合并到本文中。

技術領域

本發明一般涉及網絡異常檢測，更具體地涉及對計算機網絡上指示協同組攻擊的異常進行檢測。

背景技術

檢測多個不管是人或者自動系統(例如僵尸網絡)的攻擊者所引發的攻擊，在計算機安全利益上越顯其重要性。例如，一些方式已試圖通過使用基于集群計算機的方法一段時間來檢測僵尸網絡，其中所述集群計算機在它們的通信和活動往來中共享相似的特性。這些方法用于監控網絡邊線上的網絡流量，尋找網絡中的共享類似連接到外部因特網協議(“IP”)地址的主機，而不是監控內部的網絡流量。對于這些方法所針對檢測的攻擊類型，中央實體不需要控制網絡中各種被感染的主機。

另一種常規的入侵檢測系統的目的在于，基于用戶指定的規則集通過構建隨時間推移的網絡活動圖形，以檢測計算機網絡上的大規模惡意攻擊。這些網絡事件圖形的呈現，據說能夠使分析人員直觀地判斷是否正在發生可疑的網絡活動。然而，留給用戶去考慮哪些活動是異常的，而且沒有提供建議來尋找網絡中的用作協同攻擊發生的估量的重疊活動。

在入侵檢測中顯著的研究領域為警報關聯性，其涉及到多個入侵檢測系統產生的集群警報。基于多個警報在時間上的相似性和接近性，利用統計測試來評估多個警報的相關性。其目的是為了減少誤報并且幫助分析者通過將多個警報歸因于單個威脅，使更清晰地觀察攻擊的不同階段并且降低分析者必須要從頭到尾要進行篩選的警報數量。然而，這種方法并沒有特別用于尋找連接中的重疊。

檢測網絡平臺上更大規模的協同攻擊，比如分布式的拒絕服務攻擊或者大規模的隱身掃描，是另一個主要的研究領域。協作式入侵檢測系統的目的在于，通過使用上述的警報相關性以檢測這些協同攻擊，該警報是由通過一系列網絡的入侵檢測系統來產生。然而，目前還沒有找到在內部網絡中找出協同攻擊的方法。因此，在內部網絡上識別協同攻擊的方法是非常有益的。

發明內容

本發明的某些實施例可以提供方案以解決當前的網絡異常檢測系統仍然沒有完全識別、理解或解決的問題和需求。例如，本發明的一些實施例在內部計算機網絡中檢測異常以識別協同群組攻擊。

在一個實施例中，一種計算機執行的方法包括，通過計算系統確定網絡的異常圖形，包括異常圖形中的節點、邊線和節點的入度。該計算機執行的方法還包括，通過計算系統將帶有至少兩個入度的節點指定為潛在的目標，通過計算系統將不帶有傳入連接的節點指定為潛在地受感染的節點。該計算機執行的方法還包括，當該潛在地受感染的節點連接到一個或多個相同的潛在的目標節點時，通過計算系統將指定的潛在地受感染的節點輸出為在網絡上潛在地與協同攻擊關聯。

在另一個實施例中，一種裝置包括至少一個處理器和含有指令的存儲器。當至少一個處理器執行該指令時，該指令被配置為在多個時間周期上監控網絡，從而在至少一個時間周期上確定出一組攻擊者中表示潛在活動的異常行為。該指令還被配置為，在至少一個時間周期上確定出異常行為的時候，提供在網絡中發生群組攻擊的標示。

又在另一個實施例中，一種系統，包括儲存計算機程序指令的存儲器，該計算機程序指令配置為檢測網絡中的異常并且配置為執行儲存的計算機程序指令的多個處理核心。該多個處理核心配置為在一時間周期內產生網絡的異常圖形。該處理核心還配置為，在該時間周期內確定是否存在不帶有入度的多個節點和普通的節點連接。該處理核心進一步配置為，當系統確定了在異常圖形的一個或多個子圖中存在不帶有入度的多個節點并且存在普通的節點連接的時候，產生網絡上的潛在攻擊的標示。

附圖說明

為了正確理解本發明，需要參考附圖。這些附圖僅描述了本發明的一些實施例而不作為對發明范圍的限制。關于附圖:

圖1A為根據本發明實施例顯示潛在異常行為的一組節點的子圖S_t；

圖1B為根據本發明實施例的異常子圖該子圖已縮小為顯示群組活動的節點；

圖2為根據本發明的實施例用于在網絡上檢測異常行為以識別協同的群組攻擊的方法流程圖；