[發明專利]惡意軟件和惡意應用的檢測方法和裝置有效
| 申請號: | 201680030266.8 | 申請日: | 2016-05-25 |
| 公開(公告)號: | CN107667510B | 公開(公告)日: | 2020-11-24 |
| 發明(設計)人: | 大衛·麥西格魯;安德魯·扎瓦道斯基;唐納文·歐哈拉;沙拉瓦南·拉達克里希南;托馬斯·佩妮;丹尼爾·G·溫 | 申請(專利權)人: | 思科技術公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京東方億思知識產權代理有限責任公司 11258 | 代理人: | 陳蒙 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 惡意 軟件 應用 檢測 方法 裝置 | ||
1.一種通過發送數據報數據而不是分組數據來提高數據分類效率的方法,所述方法包括:
在網絡基礎設施設備處接收包括多個分組的流;
使用所述網絡基礎設施設備并且針對所述多個分組的第一子集來確定所述第一子集對應于第一數據報,并且確定所述第一數據報的第一長度;
使用所述網絡基礎設施設備并且針對所述多個分組的第二子集來確定所述第二子集對應于在所述第一數據報之后接收到的第二數據報,并且確定所述第二數據報的第二長度,所述第一數據報和所述第二數據報各自對應于由傳輸協議攜帶的單個消息;
使用所述網絡基礎設施設備來確定所述第一數據報的第一到達時間與所述第二數據報的第二到達時間之間的持續時間值;
向與所述網絡基礎設施設備分離的收集器設備發送所述第一長度、所述第二長度和所述持續時間值以供分析;
其中,所述方法是使用一個或多個計算設備來執行的。
2.根據權利要求1所述的方法,其中,確定所述持續時間值還包括確定所述第一數據報的第一傳輸控制協議(TCP)時間戳與所述第二數據報的第二TCP時間戳之間的差。
3.根據權利要求1所述的方法,其中,確定所述第一長度還包括:
標識所述第一數據報的傳輸層安全(TLS)保護記錄長度;
使用所述TLS保護記錄長度作為所述第一長度。
4.根據權利要求1所述的方法,其中,確定所述第一長度還包括:
確定所述第一數據報的報頭的報頭長度;
從所述第一長度中減去所述報頭長度。
5.根據權利要求1所述的方法,其中,所述第一子集包括至少第一分組和第二分組,并且使用所述第一分組的第一分組長度和所述第二分組的第二分組長度之和作為所述第一數據報的第一長度。
6.根據權利要求1所述的方法,還包括僅選擇在先前分組之后的閾值時間量內接收到的分組的集合,作為所述第一子集。
7.根據權利要求6所述的方法,其中,所述閾值時間量是五毫秒。
8.根據權利要求6所述的方法,還包括基于所述流的起始位置從多個不同的閾值中針對所述閾值時間量選擇不同的值。
9.根據權利要求1所述的方法,其中,所述流被加密。
10.根據權利要求1所述的方法,還包括:
在所述收集器設備處接收所述第一長度、所述第二長度和所述持續時間值;
使用所述收集器設備、所述第一長度、所述第二長度和所述持續時間來確定與所述第一數據報和所述第二數據報相關聯的應用的應用標識符;
確定所述應用是否在所存儲的惡意應用的標識符的集合中被標識為惡意應用;
響應于確定所述應用是被標識在所述存儲的惡意應用的標識符的集合中的惡意應用,發送警報信號。
11.根據權利要求10所述的方法,其中,確定所述應用還包括:
使用已經在訓練數據上被訓練的受訓分類器,該訓練數據已經從已提供與所述流相關聯的軟件應用的名稱值和散列值的軟件應用中獲得。
12.根據權利要求10所述的方法,還包括:
訪問文件信譽服務以獲取表示所述應用的安全信譽的信譽值,并且當所述信譽值小于或大于指定的惡意信譽值時,確定所述應用是惡意應用。
13.根據權利要求10所述的方法,其中,所述應用是客戶端應用。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于思科技術公司,未經思科技術公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201680030266.8/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:多功能助行器
- 下一篇:一種多功能肢體助力裝置
