用于检测网络节点上的持续恶意软件的方法

用于检测网络节点上的持续恶意软件的方法
【专利摘要】本发明涉及用于检测第一网络节点(12)的持续性的方法和设备。在本发明的第一方面，提供一种方法，包括以下步骤：在指定观测周期期间监视(S101)所述第一网络节点是否已建立到第二网络节点(13)的连接；以及确定(S102)在所述指定观测周期期间发生的所述第一网络节点连接到所述第二网络节点的连接会话的总数量；此外，所述方法包括以下步骤：根据会话的所述总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及根据会话的所述总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第一网络节点的会话间持续性。
【专利说明】用于检测网络节点上的持续恶意软件的方法
【技术领域】
[0001]本发明涉及用于检测第一网络节点的持续性的方法和设备。
【背景技术】
[0002]持续恶意软件是一种将自身安装在设备上且因此每当设备开启时能够执行动作的常见类型的恶意软件。所谓的僵尸(bot)(参与僵尸网络)可以被归为持续恶意软件，其利用网络且被广泛地视为当今互联网上最严重的威胁之一。一般用法是，术语“僵尸”是指计算机感染了恶意软件，这种恶意软件允许攻击者远程控制计算机以代表攻击者执行任务，诸如发送垃圾邮件、窃取信息或者启动对其它计算机的攻击。僵尸网络是在共同控制下的此种僵尸的集合。已经存在诸多用于检测计算机和具有类似功能的其它设备(例如电话、平板电脑等)上的恶意软件感染的技术。现有的基于主机的技术包括进行签名扫描以找到被感染和被操控的文件以及针对设备上的不寻常和/或可疑进程进行行为监视。同样地，常见的基于网络的技术依赖于检测可能与恶意软件感染有关的攻击或恶意软件通信的签名或者异常或可疑通信模式。大多数技术依靠对恶意软件样本的捕获和手动分析以创建针对特定恶意软件的检测规则。
[0003]发明人到现在为止所知道的现有恶意软件检测技术在检测性能方面有缺点且其能力取决于其所部署的位置，例如，主机上或者网络中。由于恶意软件编写者与试图保卫用户的安全行业之间存在不断的竞赛，因此不断地需要新技术来改善对诸如持续使用网络的恶意软件的威胁的检测。

【发明内容】

[0004]本发明的目的是解决或者至少减轻本领域中的这些问题并提供一种用于检测网络中的恶意设备的改善方法和设备。
[0005]在本发明的第一方面通过一种检测第一网络节点的持续性的方法来达到此目的。方法包括以下步骤:在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的连接；以及确定在所述指定观测周期期间发生的第一网络节点连接到第二网络节点的连接会话的总数量。此外，方法包括以下步骤:根据会话的总数量确定包括第一网络节点与第二网络节点之间的至少一个通信流的会话的数量；以及基于会话的总数量和包括至少一个通信流的会话的数量确定第一网络节点的会话间持续性。
[0006]在本发明的第二方面通过一种检测第一网络节点的持续性的方法来达到这个目的。方法包括以下步骤:在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的连接；以及确定在所述指定观测周期期间第一网络节点连接到第二网络节点的连接会话的总数量。此外，方法包括以下步骤:根据会话的总数量确定包括第一网络节点与第二网络节点之间的至少一个通信流的会话的数量；以及将至少一个会话划分成若干子会话。接着，针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个通信流的子会话的数量，且基于子会话的数量和包括至少一个通信流的子会话的数量来确定针对至少一个会话的第一网络节点的会话内持续性。
[0007]有利地，本发明以可以利用网络进行攻击、远程控制和/或恶意软件更新等的持续恶意软件为目标。为此，可以找到诸如发送垃圾邮件等恶意和/或可疑网络活动所涉及的设备之间的通信模式的普遍特征(或者至少一些用于检测恶意/可疑攻击行为的探索)，并加入到对恶意软件建立网络通信的特性持续性的此检测。例如，参与僵尸网络(垃圾邮件发送或者其它)的僵尸将重复尝试“往家里打电话”给一个或更多个命令与控制(C&C)服务器。这通常将在每当设备开启并连接到网络时重复发生，且在设备开启并连接时随着时间重复发生。
[0008]因此，网络中的信令信息被用来确定设备开启并连接到网络的周期，即持续恶意软件有机会使用网络的周期。促进对连接会话的确定的三个示范性实施例包括:
[0009]-监视网络附着/去附着或者分组数据协议(PDP)上下文设置/释放信令(针对3GPP移动网络)；以及
[0010]-针对设备已被分配IP地址时的周期监视动态主机配置协议(DHCP)信令(针对固定网络)。
[0011]当已检测到连接会话时，确定是否存在表现为在会话内和跨越会话的持续的可疑活动，例如到某些目的地的连接。跨越会话和在会话期间的此种持续性是网络设备的持续行为的指示，其可以是善意的或者恶意的。因此，在本发明的第一方面，确定第一网络节点的会话间持续性，而在本发明的第二方面，确定第一网络节点的会话内持续性。在本发明的其它实施例中，可以将第一和第二方面的标的物组合起来，从而产生使用会话间持续性和会话内持续性二者来进一步强化第一网络节点的持续性的检测的途径。可选地，这可以与关于第一网络节点所发起的可能恶意业务的其它信息组合起来以便提供持续恶意软件感染的证据。因此，本发明有利地以利用网络进行攻击、远程控制和/或恶意软件更新的持续恶意软件为目标。
[0012]在下文中，将论述本发明的第一和第二方面的实施例。
[0013]在本发明的实施例中，确定会话间持续性包括:通过将包括至少一个通信流的会话的数量除以会话的所述总数量来确定会话间持续性比率；以及将所确定的会话间持续性比率与阈值进行比较，其中，如果所述比超过阈值，则将第一网络节点视为持续的。有利地，通过选择借以确定会话间持续性比率的适当阈值，给出是否应将第一网络节点的行为视为恶意的指不。
[0014]在本发明的另一实施例中，会话内持续性的确定包括:将至少一个会话划分成若干子会话；以及针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个通信流的子会话的数量，其中，确定第一网络节点的会话内持续性。此外，在又一实施例中，针对至少一个会话，通过将包括至少一个通信流的子会话的数量除以至少一个会话的子会话的所述总数量且将所确定会话内持续性比率与阈值进行比较来确定针对该至少一个会话的会话内持续性比率，其中，如果所述比超过阈值，则将第一网络节点视为持续的。有利地，通过选择借以确定会话内持续性比率的适当阈值，提供是否应将第一网络节点的行为视为恶意的指不。
[0015]在本发明的再一实施例中，记录在指定观测周期期间第一网络节点与第二网络节点之间发生第一通信流时的时刻。如果第一网络节点在第一指定观测周期期间的某个时间变为被恶意软件感染，则直到下一观测周期其才能被检测。通过忽略在第一次接触之前的时间(即，当第一通信流发生时)，将更容易地管理第一网络节点在给定观测周期期间变为被感染且开始表现为持续的情形。
[0016]在本发明的又一实施例中，将在指定观测周期期间第一网络节点与第二网络节点之间的通信流聚合成通信流集合/流聚合。由于(例如)可以容易地过滤掉单个流，因此这将有利地促进对大的流集合的管理。
[0017]还通过与上文所论述的本发明的第一和第二方面的方法对应的用于检测第一网络节点的持续性的设备来达到本发明的目的。
[0018]本发明有利地利用网络信息并执行对网络信息的分析来检测恶意软件。持续恶意软件(诸如僵尸)往往尽可能地利用网络连接来提供恶意软件编写者的最大影响力，而有利地使用网络信令信息来确定当设备已建立到网络的连接时恶意软件是否在网络上活动。这转化成改善的检测性能和降低的假阳性率，此二者对于提供针对恶意软件的更好保护和降低与检测报警的人工分析相关联的成本很重要。
[0019]注意，本发明涉及权利要求书中所列特征的所有可能组合。通过研究所附权利要求书和以下描述，将易知本发明的其它特征和优点。本领域的技术人员应了解，可以对本发明的不同特征进行组合，以产生除了下文所述实施例以外的实施例。
【专利附图】

【附图说明】
[0020]现将参照附图以示例方式描述本发明，附图中:
[0021 ] 图1示出了实现本发明的移动网络；
[0022]图2示出了实现本发明的固定接入网络；
[0023]图3示出了阐述根据本发明实施例的检测第一网络节点的持续性的方法的流程图；
[0024]图4示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的方法的流程图；
[0025]图5示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的方法的流程图；以及
[0026]图6示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的更详细方法的方案。
【具体实施方式】
[0027]现将在下文参考其中示出本发明的特定实施例的附图来更全面地描述本发明。然而，本发明可以体现为诸多不同形式，且不应被理解为局限于本文所阐述的实施例；而是，以举例方式提供这些实施例使得本公开将全面且完整，且向本领域的技术人员全面传达本发明的范围。
[0028]可以在移动网络的上下文中实施本发明。为了不丧失一般性，在本发明的实施例中通过使用PDP上下文信令的方式来确定连接会话。PDP上下文是位于服务GPRS支持节点(SGSN)和网关GPRS支持节点(GGSN)处的数据结构，其包含当订户具有有效会话时该订户的会话信息。当移动模块想要使用GPRS时，其必须首先附着并然后激活PDP上下文。这在用户当前正在访问的SGSN和服务用户的接入点的GGSN中分配PDP上下文数据结构。因此，有利地使用PDP上下文来确定第一网络节点的连接会话；通过研究PDP上下文，可以确定潜在恶意第一网络节点是否连接到网络。如前文所述，在备选实施例中，使用国际移动订户标识(IMSI)网络附着/去附着过程或者控制面中的其它事件(又称为与“信令”有关)来确定会话。此外，虽然根据每个用户单个PDP上下文来描述过程，但将其扩展到多个同时的PDP上下文对本领域技术人员来说是显而易见的。
[0029]图1提供本发明实施于其中的移动网络的阐述。为了阐述的目的，根据本发明的实施例的方法由依赖于从移动网络11中的节点收集的信息的恶意软件检测功能(MDF) 15来执行。
[0030]根据本发明的实施例，当第一网络节点12建立或者尝试建立与第二网络节点13的通信时，对第一网络节点12的持续性的检测可以由实施MDF15的GGSN14来承担。应当注意的是，MDF15可以在除GGSN14以外的其它网络组件中实施，例如，在3G网络的情况下实施于无线网络控制器(RNC)中，或者在长期演进(LTE)网络的情况下实施于核心网络移动性管理实体(MME)中，实施于eNodeB/Node B、通用路由器、交换机或者安全装置如入侵检测/防御系统或者防火墙中。因此，本发明的不同实施例所定义的用于检测网络节点的持续性的功能不一定被包含在单个网络组件中，而是可以分布在多个网络组件中。将MDF15实施于诸如GGSN(或者SGSN)的节点中的优点在于其能够访问针对较大用户群体的信令(PDP上下文)和业务流。如果取而代之地利用IMSI网络附着/去附着信令来确定连接会话，则MME是一个有利的选项。如果将功能性进一步向外移动到无线电接入网络(RAN)中，移动到RNC或者甚至移动到NodeB/eNodeB，则仍能够获得会话信息，但是是针对较小用户集合。在固定网络中，路由器/交换机/节点可以监听认证、授权和记账(AAA)或者DHCP信令，或者可以由AAA或者DICP服务器自身来提供信令信息。此外，以上节点中的任意一个可以将信息转发到安全操作中心或者网络操作中心中的运行实施本发明的应用的服务器，等等。
[0031]实际上，MDF体现为一个或更多个微处理器的形式，该一个或更多个微处理器被布置为执行下载到与微处理器相关联的合适存储介质16 (诸如RAM、闪存或者硬盘)的计算机程序17。微处理器15被布置为:当包括计算机可执行组件的适当计算机程序17被下载到存储器16并由微处理器15执行时，至少部分实现根据本发明实施例的方法。存储介质16可以是包括计算机程序17的计算机程序产品。备选地，可以通过承载计算机程序17的合适计算机程序产品(诸如软盘、压缩盘或者记忆棒)的方式将计算机程序17转移到存储介质16。作为另一备选，可以通过网络将计算机程序17下载到存储介质16。微处理器15可以备选地体现为专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)等形式。
[0032]还参照图1，从能够接入控制面业务的控制面节点18 (或者多个节点)(诸如路由器或交换机)或者一些移动网络特定节点(诸如GGSN、分组数据网络网关(PDN-GW)、服务网关(SGW)、SGSN、MME、RNC、BSC、NodeB、eNodeB等)收集控制面信息。移动网络控制面信息可包括关于网络附着/去附着事件或者PDP上下文激活/去激活事件或者与设备(诸如第一网络节点12)的数据连接有关的其它事件的信息。另外，特定相关或类似信息可以从DHCP服务器或者AAA服务器获取。另一可能性是从用户设备收集补充控制面信息。除非另有所述，以下描述焦点集中在来自移动网络节点的控制面信息。MDF15中的信令分析功能接收控制面信息并提取与网络附着/去附着和/或PDP上下文事件有关的信息，以创建用于进行进一步分析的第一节点会话信息。其还提取持续订户标识符和其对“当前” IP地址的绑定(可能是时变的)以将业务归属于订户。(下文关于固定接入来描述来自DHCP或AAA的信息的使用，但其也可以是针对移动接入的选项)。
[0033]从能够接入用户面业务的节点(B卩，用户面节点19，诸如路由器或交换机)或者一些移动网络特有节点(诸如GGSN、PDN-GW、SGW、SGSN、RNC、BSC、NodeB, eNodeB等)收集流级别(诸如NetF low或类似流汇总记录)或分组级别(完全或部分分组捕获)的业务面信息。另外的可能性是从用户设备收集补充业务信息。MDF15中的业务分析功能接收用户面业务信息且在必要时将其聚合到流(如果其并非已经在流级别)。其还从信令分析功能接收控制面相关信息，并使用其向业务流指派订户标识符。
[0034]MDF15中的持续性分析功能可以从信令分析功能接收关于用户会话的信息，并从业务分析功能接收关于用户业务流的信息以便找到持续连接。
[0035]攻击/可疑分析功能可以从网络安全节点(诸如防火墙、入侵检测系统、垃圾邮件过滤装置、统一威胁管理装置、用户设备中的端点安全软件等)接收关于攻击和不必要业务的信息。其还可以从网络中的操作和管理节点接收指示一些业务导致网络问题或者在此方面可疑的信息。处理(例如进行相关)并传递此种传入报警用于进一步分析。
[0036]相关功能可以使用来自业务分析功能的业务信息、来自持续性分析功能的关于持续连接的信息以及来自攻击/可疑分析功能的传入报警来检查问题行为是否表现为与可能指示导致问题行为的远程控制的持续连接相关。如果其找到针对导致问题的持续恶意软件的支持证据，则其向可以警告网络运营商工作人员和/或受影响的用户的报警功能发送报警。
[0037]参照图2，本发明还可以实施于固定接入网络21中，其中，相同附图标记表示结合图1所论述的相同类型的网络组件。实施于固定网络中与实施于无线网络中的不同之处在于所使用的信令信息的类型，其中，在固定网络21中使用DHCP服务器和/或AAA服务器
28。有效用户认证周期(来自AAA服务器)或者有效IP租约(来自DHCP服务器)可以用作连接会话的指示且使永久性网络节点标识符与IP地址相关联。因此，MDF15的内部工作本质上相同，但是提供到信令分析功能的输入稍有不同。
[0038]图3示出了阐述根据本发明实施例的检测第一网络节点的持续性的方法的流程图。在步骤S101，MDF15(如前文所述，其可以实施于GGSN14中)在指定观测周期期间监视第一网络节点12是否已建立到第二网络节点13的连接。然后，MDF15在步骤S102中确定在指定观测周期期间发生于第一网络节点12与第二网络节点13之间的连接会话的总数量。这可以通过分析PDP上下文的方式来实施。然后，在步骤S103中，根据会话的总数量，确定包括第一网络节点12与第二网络节点13之间的至少一个通信流的会话的数量。最后，在步骤S104中，MDF15根据会话的所述总数量和包括至少一个通信流的会话的数量确定第一网络节点12的会话间持续性。虽然图3所示方法示出了第一网络节点12与单个第二网络节点13之间的网络节点持续性的检测，但实际上可以针对若干个不同目的地网络节点实施持续性检测。
[0039]图4展示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的方法的流程图。在步骤S201，在例如GGSN14中实施的MDF15在指定观测周期期间监视第一网络节点12是否已建立到第二网络节点13的连接。然后，MDF15在步骤S202中确定在所述指定观测周期期间在第一网络节点与第二网络节点之间发生的连接会话的总数量，且在步骤S203中根据会话的总数量确定包括第一网络节点12与第二网络节点13之间的至少一个通信流的会话的数量。因此，如可在图4的流程图中看到，本发明的这个特定实施例的方法的前三个步骤S201到S203与图3所示的方法的前三个步骤SlOl到S103相同。此外，在步骤S204中，将至少一个会话划分成若干个子会话，并在步骤S205中针对至少一个会话确定包括第一网络节点12与第二网络节点13之间的至少一个通信流的子会话的数量。最后，在步骤S206中，MDF15基于子会话的数量和包括至少一个通信流的子会话的所述数量，确定针对至少一个会话的第一网络节点12的会话内持续性。
[0040]如前文所述，图3和图4的对应实施例可以组合成确定会话间持续性和会话内持续性以识别恶意网络节点的方法。在图5中所示的流程图中阐述本发明的这个实施例。如结合图3和图4所描述，MDF15在步骤S301中，在指定观测周期期间监视第一网络节点12是否已建立到第二网络节点13的连接。接着，MDF15在步骤S302中确定在指定观测周期期间在第一网络节点12与第二网络节点13之间发生的连接会话的总数量。这可以通过分析PDP上下文来实施。接着，在步骤S303中，根据会话的总数量，确定包括第一网络节点12与第二网络节点13之间的至少一个通信流的会话的数量。在步骤S304中，MDF15根据会话的所述总数量和包括至少一个通信流的会话的数量确定第一网络节点12的会话间持续性。此外，在这个特定实施例中，在已执行步骤S303之后，在步骤S305中将至少一个会话划分成若干个子会话。此后，在步骤S306中，针对至少一个会话确定包括第一网络节点12与第二网络节点13之间的至少一个通信流的子会话的数量。此外，在步骤S307中，MDF15根据子会话的数量和包括至少一个通信流的子会话的所述数量，确定针对至少一个会话的第一网络节点12的会话内持续性。
[0041]参照图5，应当注意的是，步骤S304可以与步骤S305到S307同时执行。然而，步骤S304也可以在步骤S305到S307之前执行，或反之亦然。
[0042]参照图6，阐述了根据本发明实施例的检测第一网络节点的持续性的更详细方法。在业务面中，由五元组〈源标识符、源端口、传输协议、目的地标识符、目的地端口 >定义的双向(IP)流(即，分别定义关于第一和第二网络节点的信息)和可能协议定义的端事件或超时聚合如下:从特定源/第一节点标识符12去往特定目的地服务/第二网络节点13 (目的地标识符和端口)的流聚集成被称为流聚合(FA)的通信流集合。第一网络节点12定义为流的发起方。可以通过IP地址来识别订户侧的源标识符或目的地标识符(依据发起者流方向)，但是对于订户标识优选地使用更持续的标识符，例如MSI。在3GPP移动网络的上下文中，使用订户标识符(MSI)而不是使用源节点IP地址以避免由于使用动态分配的IP地址(例如使用DHCP)所导致的端点信息混合。在另一侧(通常在订户网络外部)，可以通过IP地址或者DNS名称来识别端点。
[0043]参照关于针对订户的会话的信令信息对每一个流聚合进行交叉检查。这可以是(例如)PDP上下文信息或者分组网络附着/去附着信令。根据所使用的信息的类型，将会话在时间上划定为从PDP上下文的开始到结束，或者从附着到去附着的时间。
[0044]被称为观测时期的指定观测周期构成收集流信息的时间周期。图6示出了针对用户的PDP上下文和业务流(针对不同远程端点用不同的线示出)。该图还示出了任意观测时期，其中，所观测PDP上下文和流至少部分地在该时期内。图4的最顶部行示出了与第二网络节点r有关的有效会话。随后的三行示出了从第一网络节点u到相应目的地网络节点的三个不同通信流，其中，中间行示出了第一网络节点u与第二网络节点r之间待监视的通
/[目流。
[0045].因此，指定观测周期或观测时期e在时间开始且在t2,e结束。
[0046].流聚合(FA)Fu, r被定义为包括在观测时期期间从第一节点u(例如，由IMSI识别)到远程端点/服务/第二节点r (其中，根据IP/DNS名称及可选的端口 /协议定义远程端点/服务)的通信流集合，即V/ e Kr: Kr ^ Ke八=S L，其中，f和t2, f是f的开始和结束时间。
[0047]被定义为超集(Ju;:1 )，其可包括在观测时期之前的流(即，可选地具有一些历史信息)。
[0048].在指定观测周期期间，第一网络节点与第二网络节点之间发生第一通信流的时刻表示为tf。, {u, r}(针对Fu, y )，即，从第一网络节点u与远程端点/服务r的第一次接触时间，可能采用历史信息。
[0049]?假设第一网络节点U具有在e中发生的会话集合Su。也就是说，Su包括针对u的会话su(具有在观测时期内的开始和/或结束时间)，即，当G Su时，t2,sui Vsu^ t2,e成立，其中，\311和t2,su分别是Su的开始和结束时间。
[0050].针对FUj的会话 集合S{u,ri (其中，^ S11 )是针对第一网络节点u的所有会话(其具有在去往/来自第二网络节点r的第一接触时间tf。, {u, r}之后的结束时间和在观测时期的结束t2,e之前的开始时间)的集合。也就是说，S{u,ri是相对于去往/来自特定远程端点/服务/第二节点r的业务定义的子集。
[0051]?针对第一节点u的去往/来自远程端点/服务的有效会话的集合是
^acim,u,r ~ ^ ^{u.r}
(Ξ/ei^Ab NuAL ￡^.)，其中，Fiw是从第一节点U到远程端
点/服务/第二节点r/从远程端点/服务/第二节点r到第一节点u的流的集合，tu和t2, f是f的开始时间和结束时间，且k s和t2, s是s的开始时间和结束时间。也就是说，具有去往/来自远程端点/服务r的至少一个流的所有会话。
[0052].相对于会话的开始(或者某个其它时间点)将会话划分成具有某一固定大小例如10分钟的会话周期Pi。
[0053].针对第一节点u的会话周期的集合(称为Pu)包含属于Su的所有周期(具有在观测时期内的开始时间和/或结束时间)，即，当?时，t2,pUji之tu V tljPUji ( t2,e成立，其中，tyu.1和t2,pu,i是口吣的开始和结束时间。
[0054].针对Fu, r的会话周期的集合P {u, r}(其中，pM ε Pa )是S {u, r}(针对Fu, r的会话集合)中的会话(具有在tf。, {u,rf (第一次接触时间)之后的结束时间和在te,2(观测时期的结束)之前的开始时间)内的所有周期的集合。即，P{u,ri是相对于去往/来自特定远程端点/服务/第二节点r的业务定义的子集。
[0055].针对第一节点u的去往/来自远程端点/服务r的有效会话周期集合Paetive, u, r是 P—'r = ^ Pa:(3/e( Λ/2/ MlpWv，其中，tl,p 和 t2,p 是 P 的开始和结束时间。即，具有去往/来自远程端点/服务/第二节点r的至少一个流(在Fu，r中)的所有会话周期。
[0056].针对第一节点u的与远程端点/服务r相关的会话的总数量是I s{u, r} I (针对第一节点u的与第二节点r相关的会话集合中的元素的数量)。
[0057].针对第一节点u的去往/来自远程端点/服务r的有效会话的数量是I Sartive, u,
r I 0
[0058].针对第一节点u的与远程端点/服务r相关的会话周期的总数量是|P{u,rf I (针对第一节点u的与第二节点r相关的会话周期集合中的元素的数量)。
[0059].针对第一节点u的去往/来自远程端点/服务/第二节点r的有效会话周期的
数量是 |partive,u,J。
[0060]?针对Fu,r的会话间持续性比率是|Sartive,u,rl + |S{u,r}| (即，有效会话的数量除以与远程端点/服务/第二节点r有关的会话的总数量)。
[0061].针对Fu, r的会话内持续性比率是|Pac;tive,u,rl +P{u,ril (即，有效会话周期的数量除以与远程端点/服务/第二节点r有关的会话周期的总数量)。
[0062]为了检测持续使用网络的恶意软件，可以将针对第一网络节点所建立的到共同远程端点/服务/第二网络节点r的持续控制连接的测试(涉及有效会话周期的数量IPartive,U,」、会话间持续 性比率|Sartive,u,rl + |S{u,ri|以及会话内持续性比率|Pa—l+P{u,rfl)与攻击或可疑行为(例如，发送垃圾邮件)类似的测试组合起来。也就是说，对于相同类型的可疑行为中所涉及的设备(每一个均绑定到订制)，审查去往/来自同一远程端点/服务的持续连接，其将指示集中式控制(且提供被远程控制的恶意软件或者(例如)恶意软件窃取信息的其他证据)。
[0063]如前文已讨论，在本发明的实施例中，可将会话间持续性比率和会话内持续性比率与选定阈值进行比较以确定是否存在持续性。实际上，通过执行现场测试来校准这些阈值以找到合适的值。此外，当已检测到持续恶意软件时，可以向安全操作中心发出报警以进行验证和/或向目的网络发出报警以便采取修复动作。
[0064]虽然已参照本发明的具体示例性实施例对本发明进行了描述，但诸多不同更改、修改等对本领域技术人员将变得明显。因此，所描述的实施例并不旨在限制如所附权利要求所限定的本发明的范围。
【权利要求】
1.一种检测第一网络节点(12)的持续性的方法，所述方法包括以下步骤: 在指定观测周期期间监视(SlOl)所述第一网络节点是否已建立到第二网络节点(13)的连接； 确定(S102)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量； 根据会话的总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及 基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定(S104)所述第一网络节点的会话间持续性。
2.根据权利要求1所述的方 法，其中，确定会话间持续性的步骤包括: 通过将包括至少一个通信流的会话的所述数量除以所述会话的总数量来确定会话间持续性比率，且所述方法还包括以下步骤: 将所确定的会话间持续性比率与阈值进行比较，其中，如果所述会话间持续性比率超过所述阈值，则将所述第一网络节点视为持续的。
3.根据前述权利要求中任一项所述的方法，还包括以下步骤: 将至少一个会话划分(S305)成若干子会话； 针对所述至少一个会话，确定(S306)包括所述第一网络节点(12)与所述第二网络节点(13)之间的至少一个通信流的子会话的数量； 基于所述子会话的数量和针对所述会话的包括至少一个通信流的子会话的所述数量，确定(S307)针对所述至少一个会话的所述第一网络节点的会话内持续性。
4.根据权利要求3所述的方法，其中，确定会话内持续性的步骤包括: 通过将包括至少一个通信流的子会话的所述数量除以所述会话的所述子会话的总数量来确定每一个会话的会话内持续性比率，且所述方法还包括以下步骤: 将所确定的会话内持续性比率与阈值进行比较，其中，如果所述会话内持续性比率超过所述阈值，则将所述第一网络节点(12)视为持续的。
5.根据前述权利要求中任一项所述的方法，其中，确定连接会话的总数量的步骤包括:监视所述第一网络节点(12)的网络附着和去附着信息。
6.根据权利要求1~4中任一项所述的方法，其中，确定连接会话的总数量的步骤包括:监视所述第一网络节点(12)的分组数据协议PDP上下文信息。
7.根据权利要求1~4中任一项所述的方法，其中，确定连接会话的步骤包括:监视所述第一网络节点(12)的动态主机配置协议DHCP请求和释放。
8.根据前述权利要求中任一项所述的方法，还包括以下步骤: 发送指示所述第一网络节点(12)持续地运行的报警。
9.根据前述权利要求中任一项所述的方法，还包括以下步骤: 记录在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间发生第一通信流时的时刻。
10.根据前述权利要求中任一项所述的方法，还包括以下步骤: 对所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间的通信流进行聚合。
11.一种检测第一网络节点(12)的持续性的方法，所述方法包括以下步骤: 在指定观测周期期间监视(S201)所述第一网络节点是否已建立到第二网络节点(13)的连接； 确定(S202)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量； 根据所述会话的总数量确定(S203)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量； 将至少一个会话划分(S204)成若干个子会话； 针对所述至少一个会话，确定(S205)包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的子会话的数量；以及 基于所述子会话的数量和包括至少一个通信流的子会话的所述数量来确定(S206)针对所述至少一个会话的所述第一网络节点的会话内持续性。
12.根据权利要求11所述的方法，其中，确定会话内持续性的步骤包括: 通过将包括至少一个通信流 的子会话的数量除以针对每个会话的所述子会话的总数量来确定针对所述每个会话的会话内持续性比率，其中，基于所述会话内持续性确定持续性的步骤还包括: 将所确定的会话内持续性比率与阈值进行比较，其中，如果所述会话内持续性比率超过所述阈值，则将所述第一网络节点(12)视为持续的。
13.根据权利要求11或12中任一项所述的方法，还包括以下步骤: 基于所述会话的总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第一网络节点的会话间持续性。
14.一种用于检测第一网络节点(12)的持续性的设备(14)，被布置为: 在指定观测周期期间监视所述第一网络节点是否已建立到第二网络节点(13)的连接; 确定在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量； 根据会话的总数量确定包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量；以及 基于所述会话的总数量和包括至少一个通信流的会话的所述数量确定所述第一网络节点的会话间持续性。
15.根据权利要求14所述的设备(14)，还被布置为: 通过将包括至少一个通信流的会话的所述数量除以所述会话的总数量来确定会话间持续性比率，以及 将所确定的会话间持续性比率与阈值进行比较，其中，如果所述比值超过所述阈值，则将所述第一网络节点(12)视为持续的。
16.根据权利要求14或15所述的设备(14)，还被布置为: 将至少一个会话划分成若干个子会话； 针对所述至少一个会话，确定包括所述第一网络节点(12)与所述第二网络节点(13)之间的至少一个通信流的子会话的数量；基于所述子会话的数量和针对所述至少一个会话的包括至少一个通信流的子会话的所述数量来确定针对所述至少一个会话的所述第一网络节点的会话内持续性。
17.根据权利要求14到16中任一项所述的设备(14)，还被布置为: 通过将包括至少一个通信流的子会话的数量除以针对所述至少一个会话的子会话的所述总数量，确定针对所述会话的会话内持续性比率；以及 将所确定的会话内持续性比率与阈值进行比较，其中，如果所述比例超过所述阈值，则将所述第一网络节点(12)视为持续的。
18.根据权利要求14到17中任一项所述的设备(14)，还被布置为:通过监视所述第一网络节点(13)的网络附着和去附着信息来确定连接会话的总数量。
19.根据权利要求14到17中任一项所述的设备(14)，还被布置为:通过监视所述第一网络节点(13)的分组数据协议PDP上下文信息来确定连接会话的总数量。
20.根据权利要求14到17中任一项所述的设备(14)，还被布置为:通过监视所述第一网络节点(13)的动态主机配置协议DHCP请求和释放来确定连接会话。
21.根据权利要求14到20中任一项所述的设备(14)，还被布置为: 发送指示所述第一网络节点(12)持续地运行的报警。
22.根据权利要求 14到21中任一项所述的设备(14)，还被布置为:记录在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间发生第一通信流时的时刻。
23.根据权利要求14到22中任一项所述的设备(14)，还被布置为: 对在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间的通信流进行聚合。
24.一种用于检测第一网络节点(12)的持续性的设备(14)，被布置为: 在指定观测周期期间监视所述第一网络节点是否已建立到第二网络节点(13)的连接; 确定在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的连接会话的总数量； 根据会话的总数量确定包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的会话的数量； 将至少一个会话划分成若干个子会话； 针对所述至少一个会话，确定包括所述第一网络节点与所述第二网络节点之间的至少一个通信流的子会话的数量；以及 基于所述子会话的数量和包括至少一个通信流的子会话的所述数量来确定针对所述至少一个会话的所述第一网络节点的会话内持续性。
25.根据权利要求24所述的设备(14)，还被布置为: 通过将包括至少一个通信流的子会话的所述数量除以针对每一个会话的子会话的所述总数量来确定针对所述每一个会话的会话内持续性比率；以及: 将所确定的会话内持续性比率与阈值进行比较，其中，如果所述会话内持续性比率超过所述阈值，则将所述第一网络节点(12)视为持续的。
26.根据权利要求24或25中任一项所述的设备(14)，还被布置为:基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定所述第一网络节点的会话间持续性。
27.根据权利要求14到26中任一项所述的设备(14)，所述设备是GGSN、PDN-GW、SGW、SGSN、MME、RNC、BSC、NodeB、eNodeB、服务器、用户设备、路由器、交换机或安全装置之一。
28.—种包括计算机可执行组件的计算机程序(17)，用于:当在设备(14)中包括的处理单元(15)上运行所述计算机可执行组件时，使所述设备执行根据权利要求1到13中任一项所述的步骤。
29.—种包括计算机可读介质的计算机程序产品，在所述计算机可读介质中体现根据权利要求28所述的计算机程序(17)。
【文档编号】H04W12/12GK103988534SQ201280061399
【公开日】2014年8月13日 申请日期:2012年4月2日 优先权日:2011年12月12日
【发明者】米凯尔·利延斯坦, 安德拉斯·梅赫斯, 帕特里克·萨尔梅拉 申请人:瑞典爱立信有限公司