[发明专利]在内网检测异常以识别协同群组攻击的方法、装置和系统

说明书

联邦政府的权利声明

根据美国政府能源部门和洛斯阿拉莫斯国家安全有限公司之间的关于洛斯阿拉莫斯国家实验室运营的编号为DE-AC52-06NA25396的合约，美国政府享有本发明的权利。

相关申请的交叉引用

本申请要求序列号为61/614,148申请日为2012年3月22日的美国临时申请的权益。因此，这个较早提交的临时专利的主题内容通过引用全部合并到本文中。

技术领域

本发明一般涉及网络异常检测，更具体地涉及对计算机网络上指示协同组攻击的异常进行检测。

背景技术

检测多个不管是人或者自动系统(例如僵尸网络)的攻击者所引发的攻击，在计算机安全利益上越显其重要性。例如，一些方式已试图通过使用基于集群计算机的方法一段时间来检测僵尸网络，其中所述集群计算机在它们的通信和活动往来中共享相似的特性。这些方法用于监控网络边线上的网络流量，寻找网络中的共享类似连接到外部因特网协议(“IP”)地址的主机，而不是监控内部的网络流量。对于这些方法所针对检测的攻击类型，中央实体不需要控制网络中各种被感染的主机。

另一种常规的入侵检测系统的目的在于，基于用户指定的规则集通过构建随时间推移的网络活动图形，以检测计算机网络上的大规模恶意攻击。这些网络事件图形的呈现，据说能够使分析人员直观地判断是否正在发生可疑的网络活动。然而，留给用户去考虑哪些活动是异常的，而且没有提供建议来寻找网络中的用作协同攻击发生的估量的重叠活动。

在入侵检测中显著的研究领域为警报关联性，其涉及到多个入侵检测系统产生的集群警报。基于多个警报在时间上的相似性和接近性，利用统计测试来评估多个警报的相关性。其目的是为了减少误报并且帮助分析者通过将多个警报归因于单个威胁，使更清晰地观察攻击的不同阶段并且降低分析者必须要从头到尾要进行筛选的警报数量。然而，这种方法并没有特别用于寻找连接中的重叠。

检测网络平台上更大规模的协同攻击，比如分布式的拒绝服务攻击或者大规模的隐身扫描，是另一个主要的研究领域。协作式入侵检测系统的目的在于，通过使用上述的警报相关性以检测这些协同攻击，该警报是由通过一系列网络的入侵检测系统来产生。然而，目前还没有找到在内部网络中找出协同攻击的方法。因此，在内部网络上识别协同攻击的方法是非常有益的。

发明内容

本发明的某些实施例可以提供方案以解决当前的网络异常检测系统仍然没有完全识别、理解或解决的问题和需求。例如，本发明的一些实施例在内部计算机网络中检测异常以识别协同群组攻击。

在一个实施例中，一种计算机执行的方法包括，通过计算系统确定网络的异常图形，包括异常图形中的节点、边线和节点的入度。该计算机执行的方法还包括，通过计算系统将带有至少两个入度的节点指定为潜在的目标，通过计算系统将不带有传入连接的节点指定为潜在地受感染的节点。该计算机执行的方法还包括，当该潜在地受感染的节点连接到一个或多个相同的潜在的目标节点时，通过计算系统将指定的潜在地受感染的节点输出为在网络上潜在地与协同攻击关联。

在另一个实施例中，一种装置包括至少一个处理器和含有指令的存储器。当至少一个处理器执行该指令时，该指令被配置为在多个时间周期上监控网络，从而在至少一个时间周期上确定出一组攻击者中表示潜在活动的异常行为。该指令还被配置为，在至少一个时间周期上确定出异常行为的时候，提供在网络中发生群组攻击的标示。

又在另一个实施例中，一种系统，包括储存计算机程序指令的存储器，该计算机程序指令配置为检测网络中的异常并且配置为执行储存的计算机程序指令的多个处理核心。该多个处理核心配置为在一时间周期内产生网络的异常图形。该处理核心还配置为，在该时间周期内确定是否存在不带有入度的多个节点和普通的节点连接。该处理核心进一步配置为，当系统确定了在异常图形的一个或多个子图中存在不带有入度的多个节点并且存在普通的节点连接的时候，产生网络上的潜在攻击的标示。

附图说明

为了正确理解本发明，需要参考附图。这些附图仅描述了本发明的一些实施例而不作为对发明范围的限制。关于附图:

图1A为根据本发明实施例显示潜在异常行为的一组节点的子图S_t；

图1B为根据本发明实施例的异常子图该子图已缩小为显示群组活动的节点；

图2为根据本发明的实施例用于在网络上检测异常行为以识别协同的群组攻击的方法流程图；