[发明专利]恶意软件和恶意应用的检测方法和装置

权利要求书

1.一种通过发送数据报数据而不是分组数据来提高数据分类效率的方法，所述方法包括：

在网络基础设施设备处接收包括多个分组的流；

使用所述网络基础设施设备并且针对所述多个分组的第一子集来确定所述第一子集对应于第一数据报，并且确定所述第一数据报的第一长度；

使用所述网络基础设施设备并且针对所述多个分组的第二子集来确定所述第二子集对应于在所述第一数据报之后接收到的第二数据报，并且确定所述第二数据报的第二长度，所述第一数据报和所述第二数据报各自对应于由传输协议携带的单个消息；

使用所述网络基础设施设备来确定所述第一数据报的第一到达时间与所述第二数据报的第二到达时间之间的持续时间值；

向与所述网络基础设施设备分离的收集器设备发送所述第一长度、所述第二长度和所述持续时间值以供分析；

其中，所述方法是使用一个或多个计算设备来执行的。

2.根据权利要求1所述的方法，其中，确定所述持续时间值还包括确定所述第一数据报的第一传输控制协议(TCP)时间戳与所述第二数据报的第二TCP时间戳之间的差。

3.根据权利要求1所述的方法，其中，确定所述第一长度还包括：

标识所述第一数据报的传输层安全(TLS)保护记录长度；

使用所述TLS保护记录长度作为所述第一长度。

4.根据权利要求1所述的方法，其中，确定所述第一长度还包括：

确定所述第一数据报的报头的报头长度；

从所述第一长度中减去所述报头长度。

5.根据权利要求1所述的方法，其中，所述第一子集包括至少第一分组和第二分组，并且使用所述第一分组的第一分组长度和所述第二分组的第二分组长度之和作为所述第一数据报的第一长度。

6.根据权利要求1所述的方法，还包括仅选择在先前分组之后的阈值时间量内接收到的分组的集合，作为所述第一子集。

7.根据权利要求6所述的方法，其中，所述阈值时间量是五毫秒。

8.根据权利要求6所述的方法，还包括基于所述流的起始位置从多个不同的阈值中针对所述阈值时间量选择不同的值。

9.根据权利要求1所述的方法，其中，所述流被加密。

10.根据权利要求1所述的方法，还包括：

在所述收集器设备处接收所述第一长度、所述第二长度和所述持续时间值；

使用所述收集器设备、所述第一长度、所述第二长度和所述持续时间来确定与所述第一数据报和所述第二数据报相关联的应用的应用标识符；

确定所述应用是否在所存储的恶意应用的标识符的集合中被标识为恶意应用；

响应于确定所述应用是被标识在所述存储的恶意应用的标识符的集合中的恶意应用，发送警报信号。

11.根据权利要求10所述的方法，其中，确定所述应用还包括：

使用已经在训练数据上被训练的受训分类器，该训练数据已经从已提供与所述流相关联的软件应用的名称值和散列值的软件应用中获得。

12.根据权利要求10所述的方法，还包括：

访问文件信誉服务以获取表示所述应用的安全信誉的信誉值，并且当所述信誉值小于或大于指定的恶意信誉值时，确定所述应用是恶意应用。

13.根据权利要求10所述的方法，其中，所述应用是客户端应用。