本發(fā)明公開了檢測對計算設(shè)備的攻擊。一種示例系統(tǒng)可以包括包含指令的第一計算設(shè)備，指令由硬件處理器可執(zhí)行，以：響應(yīng)于檢測到第二計算設(shè)備最初嘗試連接到網(wǎng)絡(luò)，而創(chuàng)建第二計算設(shè)備的未填充的基線簡檔；在第二計算設(shè)備的初始操作時間段期間，利用在第二計算設(shè)備上運行的初始進程和由初始進程進行的初始系統(tǒng)調(diào)用來填充基線簡檔；在第二計算設(shè)備的后續(xù)操作時間段期間，監(jiān)視在第二計算設(shè)備上運行的后續(xù)進程以及由后續(xù)進程進行的后續(xù)系統(tǒng)調(diào)用；以及基于后續(xù)進程及后續(xù)系統(tǒng)調(diào)用與填充的基線簡檔的比較，來檢測對第二計算設(shè)備的攻擊。

背景技術(shù)

計算設(shè)備在家庭、商業(yè)和各種其他環(huán)境中越來越普及。計算設(shè)備可以連接到計算機網(wǎng)絡(luò)并通過計算機網(wǎng)絡(luò)進行通信。計算設(shè)備可以利用計算機網(wǎng)絡(luò)與其他計算設(shè)備交換數(shù)據(jù)。計算設(shè)備可以是網(wǎng)絡(luò)攻擊的目標(biāo)。例如，可利用計算設(shè)備的漏洞來接管或以其他方式改變計算設(shè)備的操作以實現(xiàn)惡意目的。在示例中，網(wǎng)絡(luò)攻擊可以用僵尸網(wǎng)絡(luò)感染計算設(shè)備，并利用受感染的計算設(shè)備對目標(biāo)機器或資源執(zhí)行分布式拒絕服務(wù)攻擊，以臨時或無限地破壞連接到互聯(lián)網(wǎng)的主機的服務(wù)。

發(fā)明內(nèi)容

一般而言，本公開的示例實施例提供了一種用于通信的解決方案。

在第一方面，提供了一種系統(tǒng)，包括：包括指令的第一計算設(shè)備，所述指令由硬件處理器可執(zhí)行，以：響應(yīng)于檢測到第二計算設(shè)備最初嘗試連接到網(wǎng)絡(luò)，而創(chuàng)建所述第二計算設(shè)備的未填充的基線簡檔；在所述第二計算設(shè)備的初始操作時間段期間，利用在所述第二計算設(shè)備上運行的初始進程以及由所述初始進程進行的初始系統(tǒng)調(diào)用，來填充所述基線簡檔；在所述第二計算設(shè)備的后續(xù)操作時間段期間，監(jiān)視在所述第二計算設(shè)備上運行的后續(xù)進程以及由所述后續(xù)進程進行的后續(xù)系統(tǒng)調(diào)用；以及基于所述后續(xù)進程及所述后續(xù)系統(tǒng)調(diào)用與被填充的基線簡檔之間的比較，來檢測對所述第二計算設(shè)備的攻擊。

在第二方面，提供了一種非暫時性機器可讀存儲介質(zhì)。該非暫時性機器可讀存儲介質(zhì)上存儲有機器可讀指令，所述機器可讀指令用于使處理器：在網(wǎng)絡(luò)上的第一計算設(shè)備處，在第二計算設(shè)備連接至所述網(wǎng)絡(luò)的初始化階段期間，生成所述第二計算設(shè)備的初始進程以及由所述第二計算設(shè)備的所述初始進程進行的初始系統(tǒng)調(diào)用的簡檔；將加密隨機數(shù)發(fā)送到所述第二計算設(shè)備；基于所發(fā)送的加密隨機數(shù)，對從所述第二計算設(shè)備接收的多個日志文件進行認證，其中，所述多個日志文件中的每一個包括所述第二計算設(shè)備的后續(xù)進程和由所述第二計算設(shè)備的所述后續(xù)進程進行的后續(xù)系統(tǒng)調(diào)用的對應(yīng)部分；以及基于所述簡檔與經(jīng)認證的多個日志文件之間的比較，來檢測是否已經(jīng)發(fā)生對所述第二計算設(shè)備的攻擊。

在第三方面，提供了一種方法，包括：由網(wǎng)絡(luò)設(shè)備檢測第一次連接至網(wǎng)絡(luò)的計算設(shè)備；在所述計算設(shè)備上加載代理，其中所述代理記錄所述計算設(shè)備的進程和由所述進程進行的系統(tǒng)調(diào)用；將加密隨機數(shù)發(fā)送給所述代理，其中所述代理利用所述加密隨機數(shù)生成多個文件的散列鏈，所述多個文件包括所述計算設(shè)備的進程和所述進程進行的系統(tǒng)調(diào)用的日志；認證從所述代理接收的包括所述計算設(shè)備的進程和由所述進程進行的系統(tǒng)調(diào)用的日志的所述多個文件；以及基于(1)包括從所述代理接收的所述進程和所述系統(tǒng)調(diào)用的日志的多個文件與(2)所述計算設(shè)備第一次連接到所述網(wǎng)絡(luò)時收集的所述計算設(shè)備的初始進程和由所述初始進程進行的初始系統(tǒng)調(diào)用的基線簡檔之間的比較，來檢測識別攻擊的異常。

應(yīng)當(dāng)理解，發(fā)明內(nèi)容部分不旨在識別本公開的實施例的關(guān)鍵或本質(zhì)特征，也不旨在用于限制本公開的范圍。通過以下描述，本公開的其他特征將變得容易理解。

附圖說明

圖1示出了與本公開一致的用于進程和系統(tǒng)調(diào)用攻擊檢測的系統(tǒng)的示例。

圖2示出了與本公開一致的用于進程和系統(tǒng)調(diào)用攻擊檢測的處理資源和非暫時性機器可讀介質(zhì)的示例的圖。

圖3示出了與本公開一致的用于進程和系統(tǒng)調(diào)用攻擊檢測的方法的示例的流程圖。

圖4示出了與本公開一致的用于進程和系統(tǒng)調(diào)用攻擊檢測的系統(tǒng)的示例的操作序列圖。

圖5示出了與本公開一致的用于進程和系統(tǒng)調(diào)用攻擊檢測的加密系統(tǒng)的示例的操作序列圖。