[发明专利]用于检测多阶段事件的方法和设备

说明书

一种用于监控系统的多阶段事件检测器，该多阶段事件检测器包括过程产生器，所述过程产生器能够操作以产生主过程和子过程，每个主过程和子过程能够操作以产生并且启动检测代理，每个所述检测代理都能够操作以通过检测到触发事件的发生而被触发并且在被如此触发时报告回其产生过程或子过程。每个过程或子过程都能够操作以通过将多阶段事件的检测报告给总控制器，对从被触发的检测代理接收到报告进行响应。

技术领域

本发明涉及用于从观察到的数据来确定系统行为(特别是用于检测多阶段事件)的方法和设备。最具体地，本发明涉及基于对网络或子网络的装置的行为或流过网络或子网络的业务的观察、或者对第三方装置(诸如，第三方社交媒体网站等)的行为的观察来检测行为(诸如，对连接到互联网的计算机装置的计算机网络或子网络的恶意网络攻击)的方法和设备。

背景技术

随着所谓的“网络攻击”(在这里用作覆盖诸如包括分布式拒绝服务(DDOS)的拒绝服务(DOS)、用恶意软件感染目标计算机装置的攻击和尝试—例如，作为DOS攻击的一部分或仅为了窃取信息(例如，顾客的信用卡详细资料)等的活动)日益复杂，它们正变得更难以使用单个检测器进行检测，并且同时它们趋向于越来越像多阶段攻击，其中，多阶段攻击经过能够由熟练的人类安全专家识别(识别为不同阶段)的数个不同阶段。

因此，尽管已知用于在与多阶段网络攻击的各种不同典型阶段相关的各种不同检测器处检测恶意业务和/或活动的已知签名的监控器，但是通常很难单独使用单个监控器(或者甚至独立动作的多个不同监控器)检测复杂的多阶段攻击。作为代替，仅通过将各种不同活动(通常由不同检测器检测到)联系在一起并且将它们作为单个多阶段攻击的多个方面一起进行检验，才能够成功地检测这样的复杂多阶段攻击。

例如，DDOS攻击通常开始于在新闻或社交媒体网站上观察到的特定目标组织的一些坏公共关系(PR)，或者开始于目标组织的一些新弱点被公开。然后，潜在攻击者可以开始谈论该目标，并且与其他攻击者交换攻击的想法并且吸收或者组合力量。在此后的一些时间，可以观察到携带特定DOS载荷的蠕虫的检测。然后，在与目标组织相关的目标网络上可以观察到扫描活动，和/或特定HTTP请求量可能增加，并且可以检测到装载有DOS恶意软件的目标/被感染机器。最后，在特定协调时间从在目标组织网络内和外的多个机器发起攻击，以击败与目标组织相关的关键业务。

如所述，这样的多阶段攻击可能通常使单独点检查失败，并且可能仅通过将攻击的各种不同阶段联系在一起并且一起检验才被检测。例如，登录失败是十分常见的，并且不太可能导致主要安全事故。然而，登录失败，之后成功登录，并且(由恶意的未授权用户)获得管理员权限，然后安装(恶意)软件并且然后观察流过网络的异常业务很可能一般指示成功攻击。

已经提出了用于通过查找攻击的这些不同多个阶段自动地或半自动地识别攻击的各种方法，并且以下阐述对这样的建议的选择。