本發明涉及惡意加密流量檢測器、識別方法以及計算機程序元件。用于識別與經由第一計算機系統與第二計算機系統之間的網絡傳送的惡意加密網絡流量的方法，該方法包括：監控網絡上的網絡流量以將網絡連接檢測為新的網絡連接；識別網絡連接的特征來確定網絡連接的協議；基于確定的協議，檢索網絡連接的網絡流量的一部分的定義；基于檢索到的定義，評估新的網絡連接的網絡流量的一部分中的多個字節中的每一個的傅里葉變換系數值；以及將所評估的系數值與一個或多個基準系數集的字典進行比較，以確定惡意加密網絡流量是否通過網絡連接傳送，一個或更多個基準系數集中的每一個與惡意加密網絡連接的網絡流量的一部分相關聯。

技術領域

本發明涉及對惡意網絡傳送的檢測。具體來說，本發明涉及改進的惡意網絡流量檢測。

背景技術

惡意軟件(也稱為計算機惡意代碼或惡意程序)是意圖對一個或更多個計算機系統正常直接或非直接傷害的軟件。這樣的傷害可以表現為：對整個或部分計算機系統的操作的破壞或阻止；訪問私有的、敏感的、安全的和/或機密的數據、軟件和/或計算設施的資源；或者施行違法的、不合法的或欺騙行為。惡意程序特別包括：計算機病毒、蠕蟲、僵尸網絡、木馬、間諜軟件、廣告軟件、黑客程序、鍵盤記錄器、撥號器、惡意瀏覽器擴展程序或插件以及流氓安全軟件。

惡意程序擴散可以通過很多方式發生。惡意程序可以作為電子郵件的一部分(諸如附件或嵌入)來傳送。另選地，惡意程序可以偽裝為真正的軟件、或者與真正的軟件一起或在真正的軟件內嵌入、附加、或者另外地傳送。一些惡意程序能夠經由存儲設備(諸如可移除的、移動式或便攜式存儲，包括存儲卡、硬盤驅動器、記憶棒等)或者經由共享的或網絡附加的存儲來傳播。惡意程序還可以通過計算機網絡連接(諸如互聯網)經由網站或者其他網絡設施或資源來傳送。惡意程序可以通過利用計算機系統中的漏洞(諸如軟件或硬件組件中的漏洞，所述軟件或硬件組件包括軟件應用、瀏覽器、操作系統、設備驅動器、或者聯網、接口或存儲硬件)來傳播。

漏洞可以是計算機系統(諸如計算機、操作系統、已連接的計算機的網絡、或者一個或多個軟件組件(諸如應用))中的弱點。這樣的弱點可以表現為軟件代碼中的缺陷、錯誤或故障，其呈現可利用的安全弱點。這樣的弱點的示例是緩沖超限漏洞，其中，以一種形式，被設計為在存儲器的區域中存儲數據的接口允許調用程序提供比能容納在存儲器的可執行區域中的數據多的數據。額外的數據可以覆寫存儲在存儲器中的可執行代碼，并且因此這樣的弱點可以允許惡意可執行代碼存儲在存儲器的可執行區域內。這樣的惡意可執行代碼的示例稱為“溢出代碼(shellcode)”，其可以用來通過例如計算機系統中的執行、安裝和/或資源重配置來利用漏洞。這樣的弱點一旦被利用就可以引導更大程度利用目標系統的過程。

惡意程序對計算機系統的操作和/或安全的影響導致需要識別計算機系統中的惡意程序，以便實施保護性和/或補救性措施。通過對目標系統中的漏洞的利用，通過網絡連接(諸如互聯網)傳播或傳送的惡意程序可以特別難以檢測。很多系統參照惡意程序“特征碼(signature)”的字典來監控在文件系統中存儲或接收的文件。特征碼可以是與已知惡意程序相關聯的數據的模式(pattern)。這樣的方法需要接收已知惡意程序，并且易受惡意程序中細微變化的影響，所述細微變化可以致使惡意程序鑒于已存儲的特征碼不可檢測。其它系統監控軟件的行為來識別可疑行為以便檢測潛在的惡意程序。因此，這樣的系統在事后檢測惡意程序感染，并且易受惡意程序中的變化及被專門設計為最小化可疑行為的惡意程序(諸如設計為舉止像真正的軟件一樣的惡意程序)的影響。