專利名稱::用于識(shí)別和防止惡意入侵的系統(tǒng)和方法
技術(shù)領(lǐng)域:
:本發(fā)明一般地涉及計(jì)算機(jī)系統(tǒng)�,并且更特別地涉及識(shí)別和防止惡意入侵。
背景技術(shù):
:計(jì)算機(jī)攻擊或者入侵在當(dāng)今是普遍的����。一些示例如病毒���、蠕蟲、緩沖區(qū)溢出攻擊����、畸形的URL攻擊、以及蠻力/拒絕服務(wù)攻擊��。計(jì)算機(jī)入侵通常經(jīng)由網(wǎng)絡(luò)內(nèi)部網(wǎng)或者因特網(wǎng)接口被接收�����,并且以操作系統(tǒng)或者已安裝的服務(wù)為目標(biāo)����。計(jì)算機(jī)防火墻可以防止一些類型的惡意入侵�����,盡管它們通常需要病毒或者蠕蟲的簽名或者黑客的源IP地址以阻止入侵���。在識(shí)別出病毒或者蠕蟲以及其簽名之前�,不能配置防火墻來阻擋它。計(jì)算機(jī)病毒是本質(zhì)上通常對(duì)計(jì)算機(jī)用戶有害的計(jì)算機(jī)程序���。計(jì)算機(jī)病毒經(jīng)由多種媒體被接收����,例如計(jì)算機(jī)磁盤��、電子郵件或者有漏洞的程序���。一旦用戶接收到病毒�,該病毒保持“潛伏”直到用戶(或者其它程序)執(zhí)行它��。病毒通常要求用戶或者程序執(zhí)行該病毒以擴(kuò)散該病毒并且感染其它的用戶�����。當(dāng)計(jì)算機(jī)病毒作為附件包含在電子郵件中時(shí)��,電子郵件和附件被發(fā)送到指定的目的地(或目標(biāo))IP地址��,以及目的地地址處的所指定目的地(或目標(biāo)端口)�����。目的地端口通常與通信協(xié)議和應(yīng)用相關(guān)聯(lián),以處理消息�����。計(jì)算機(jī)蠕蟲是類似于計(jì)算機(jī)病毒的計(jì)算機(jī)程序�����,只是計(jì)算機(jī)蠕蟲不要求人為動(dòng)作以變?yōu)榧せ?����。?jì)算機(jī)蠕蟲利用系統(tǒng)中的一些漏洞來獲得對(duì)該系統(tǒng)的訪問��。一旦蠕蟲感染了特定的系統(tǒng)���,它通過執(zhí)行自身來進(jìn)行復(fù)制。通常�,蠕蟲執(zhí)行它們自身并且產(chǎn)生搜尋附近網(wǎng)絡(luò)中的其它計(jì)算機(jī)的進(jìn)程。如果發(fā)現(xiàn)了具有漏洞的計(jì)算機(jī)�,蠕蟲感染該計(jì)算機(jī)并且繼續(xù)這個(gè)循環(huán)。當(dāng)計(jì)算機(jī)蠕蟲作為附件包含在電子郵件中時(shí)����,電子郵件和附件被發(fā)送到指定的目的地(或目標(biāo))IP地址�,以及目的地IP地址處的所指定目的地(或目標(biāo))端口�。如上所述,目的地端口通常與通信協(xié)議和應(yīng)用相關(guān)聯(lián)���,以處理消息��。如上所述���,一些類型的計(jì)算機(jī)入侵(包括病毒和蠕蟲)具有特有的簽名,通過它們可以識(shí)別入侵�。取決于病毒或者蠕蟲的本質(zhì),簽名可以采用各種形式���,但是通常包括特殊的并且出現(xiàn)在病毒或蠕蟲程序中的�、純文本的或者可執(zhí)行代碼的幾個(gè)連續(xù)行���。一旦為新的計(jì)算機(jī)病毒或者蠕蟲的簽名被確定���,則可以創(chuàng)建入侵檢測(cè)或者入侵防止軟件并且將其分發(fā)給用戶,以將其包括在它們的防火墻中��。入侵檢測(cè)或者入侵防止軟件從網(wǎng)絡(luò)接口卡(NIC)或者當(dāng)病毒或者蠕蟲試圖穿過防火墻時(shí),檢測(cè)病毒或者蠕蟲����。檢測(cè)是通過對(duì)于病毒或者蠕蟲的簽名的“關(guān)鍵字”搜索來完成的。入侵防止或者入侵檢測(cè)軟件然后將通過對(duì)操作系統(tǒng)發(fā)送合適的命令�����,來將其刪除或者防止其執(zhí)行��,從而阻止病毒或者蠕蟲����。在新入侵被釋放后,盡可能快地識(shí)別新計(jì)算機(jī)入侵(以及它們的簽名)是重要的�。然后,可以識(shí)別其簽名并且可以創(chuàng)建入侵防止或入侵檢測(cè)軟件并且將它們分發(fā)給用戶��。黑客也可以發(fā)送“利用(exploitation)”代碼給受害者的服務(wù)器或者工作站���,這些代碼����,如同黑客手動(dòng)操作一樣����,自動(dòng)地利用受害者服務(wù)器中的漏洞。例如�,緩沖區(qū)溢出攻擊利用程序,利用一個(gè)允許任意代碼在目標(biāo)系統(tǒng)上執(zhí)行的漏洞�����,這通常由程序員的錯(cuò)誤引起����。如另一個(gè)示例,黑客可以將特殊的機(jī)器代碼注入到程序變量中(通常由用戶輸入)以引起任意代碼在程序中執(zhí)行�����。這個(gè)特殊的代碼�,一旦讓程序執(zhí)行,就被置于計(jì)算機(jī)存儲(chǔ)器的正確區(qū)域中�����,使得正在執(zhí)行的程序不知道所注入代碼的惡意��。有幾種類別的緩沖區(qū)溢出�,包括格式串����,遠(yuǎn)程的和本地的��。阻止利用代碼與病毒和蠕蟲一樣是重要的�。入侵檢測(cè)系統(tǒng)(IDS)目前已廣為人知并且具有已知或者懷疑的病毒、蠕蟲和其它普通入侵的簽名列表���。IDS可以邏輯地位于防火墻之后����。IDS對(duì)其收到的每一個(gè)包查找其列表中的簽名�,并且從而檢測(cè)病毒、蠕蟲或者其它入侵��。當(dāng)這個(gè)出現(xiàn)的時(shí)候�,IDS通知安全操作中心(“SOC”),并且SOC將檢查企業(yè)或者用戶網(wǎng)絡(luò)中當(dāng)前是否安裝了合適的反病毒����、反蠕蟲或者其它入侵保護(hù)軟件。盡管IDS能夠有效地保護(hù)企業(yè)防止已經(jīng)確認(rèn)的某些病毒���、蠕蟲和已知或懷疑的其它入侵���,還是需要進(jìn)行改進(jìn)以識(shí)別尚未被識(shí)別的以及其簽名還尚未被識(shí)別的惡意入侵。還已知一些類型的源配置文件(profiling)用以識(shí)別新的計(jì)算機(jī)入侵�。例如,美國(guó)公布的專利申請(qǐng)US2002/0035698A1公開了接收和分析發(fā)給服務(wù)的網(wǎng)絡(luò)業(yè)務(wù)量以識(shí)別對(duì)服務(wù)的不期望的使用�。該公布的專利申請(qǐng)還公開了對(duì)業(yè)務(wù)量的拓?fù)渖袭惓5膽?yīng)用層模式的識(shí)別以及從網(wǎng)絡(luò)中實(shí)時(shí)地刪除這些數(shù)據(jù)流。當(dāng)出現(xiàn)業(yè)務(wù)量時(shí)�,該公布的專利申請(qǐng)考慮時(shí)間參數(shù),例如一天中的時(shí)間����、一周中的一天、一月中的一天以及假期�。美國(guó)公布的專利申請(qǐng)US2004/0117478A1公開了用于分析網(wǎng)絡(luò)業(yè)務(wù)量以檢測(cè)可疑的包并且識(shí)別入侵或者潛在威脅的系統(tǒng)。檢測(cè)出符合所定義的標(biāo)準(zhǔn)的數(shù)據(jù)包并且將它們的細(xì)節(jié)轉(zhuǎn)發(fā)到數(shù)據(jù)庫(kù)服務(wù)器����,在那里將存儲(chǔ)這些細(xì)節(jié),以便可以用于結(jié)合其它被檢測(cè)的包的細(xì)節(jié)進(jìn)行分析���。公布的專利申請(qǐng)的目的是允許用戶檢測(cè)敵意的網(wǎng)絡(luò)行為�,并且根據(jù)實(shí)時(shí)的信息以及與歷史數(shù)據(jù)的相關(guān)兩者來采取行動(dòng)��。該公布的專利申請(qǐng)執(zhí)行歷史分析和業(yè)務(wù)量關(guān)聯(lián)�,以建立兩種攻擊者的配置文件����。公布的專利申請(qǐng)還公開了為了檢測(cè)一些類型的入侵����,在嗅探器中帶有一些狀態(tài)是有用的。狀態(tài)性在針對(duì)具體機(jī)器的拒絕服務(wù)攻擊中檢測(cè)大量的懸掛連接是重要的�����。另一個(gè)狀態(tài)性有用的區(qū)域是檢測(cè)指向具體主機(jī)或者具體端口的包數(shù)量的突然高峰���。當(dāng)檢測(cè)到業(yè)務(wù)量模式的變化�,即使單個(gè)包似乎是無害的�����,并且該變化未被記錄到數(shù)據(jù)庫(kù)中時(shí)���,將發(fā)起告警�����。
發(fā)明內(nèi)容本發(fā)明的目的是識(shí)別新的計(jì)算機(jī)病毒����、蠕蟲和其它不希望的入侵。本發(fā)明旨在用于識(shí)別惡意入侵的計(jì)算機(jī)系統(tǒng)�、方法和程序產(chǎn)品。在預(yù)定的時(shí)段中��,從源IP地址識(shí)別出第一數(shù)量的不同目的地IP地址��、第二數(shù)量的不同目的地端口以及第三數(shù)量的不同消息的簽名�。確定在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段中����,源IP地址是否發(fā)送了具有該第一數(shù)量的不同目的地IP地址、該第二數(shù)量的不同目的地端口以及該第三數(shù)量的不同簽名的消息�。根據(jù)本發(fā)明的特征,基于在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段中�,源IP地址發(fā)送了具有該第一數(shù)量的不同目的地IP地址、該第二數(shù)量的不同目的地端口以及該第三數(shù)量的不同簽名的消息的確定��,做出這些消息具有惡意入侵的特性的確定����。圖1是包括了本發(fā)明的計(jì)算機(jī)系統(tǒng)的框圖。圖2A和2B形成了說明在圖1的計(jì)算機(jī)系統(tǒng)中的入侵識(shí)別程序的流程圖��。圖3是圖2的入侵識(shí)別程序中的統(tǒng)計(jì)分析功能的流程圖。具體實(shí)施例方式參考附圖將對(duì)本發(fā)明進(jìn)行詳細(xì)描述��,其中貫穿全文相同的參考標(biāo)號(hào)指示相同的元件��。圖1說明包括了本發(fā)明的計(jì)算機(jī)系統(tǒng)10���。系統(tǒng)10包括已知防火墻19���、20和21,它們根據(jù)現(xiàn)有技術(shù)基于病毒�����、蠕蟲和其它入侵的已知簽名�、源IP地址、源端口或者目的地端口來阻擋上述已知病毒�、蠕蟲和其它入侵,以防止它們穿過防火墻到達(dá)要發(fā)至的目的地IP地址���。但是�,有一些其它的入侵沒有防火墻19�、20和21已知為惡意的源IP地址、簽名、源端口或者目的地端口�。這樣,不可以對(duì)防火墻19���、20和21進(jìn)行配置以阻擋它們(直到被確認(rèn)為惡意)����。然而��,對(duì)于這些消息中的一些�����,有標(biāo)記來懷疑它們是惡意的����,例如下列標(biāo)記由消息所生成的數(shù)據(jù)的本質(zhì)����。已知存在的惡意軟件的目的地TCP端口。為試圖驗(yàn)證用戶的多個(gè)失敗的到主機(jī)的登錄嘗試����。試圖執(zhí)行代碼的TCP/IP包內(nèi)容數(shù)據(jù)。多個(gè)不完整的TCP/IP“三方握手”。來自已知“記入黑名單的”(壞IP地址列表)IP地址的連接嘗試����。系統(tǒng)10包括邏輯上位于各個(gè)防火墻19、20和21之后的入侵檢測(cè)傳感器16�����、17和18���。作為示例����,傳感器16����、17和18包括通過將單個(gè)TCP/IP包匹配到位于硬件設(shè)備中的簽名來檢測(cè)惡意行為的網(wǎng)絡(luò)硬件設(shè)備。傳感器16�����、17和18檢測(cè)穿過各個(gè)防火墻19�、20和21的被懷疑的入侵(基于上述的因素)。響應(yīng)于這種被懷疑的入侵����,傳感器16�、17和18經(jīng)由因特網(wǎng)14通知安全事件數(shù)據(jù)庫(kù)服務(wù)器12����。在通知中,傳感器16���、17或18就每個(gè)被懷疑為入侵的消息識(shí)別入侵的簽名(如果其匹配傳感器內(nèi)的列表中的一個(gè))�;入侵的一天中的時(shí)間���、一周中的一天��、以及一月中的一天;源IP地址����、目的地IP地址、目的地端口以及包的內(nèi)容��。服務(wù)器12在數(shù)據(jù)庫(kù)20中存儲(chǔ)描述每個(gè)消息的數(shù)據(jù)�。服務(wù)器12也在控制臺(tái)13上顯示關(guān)于消息的“原始”數(shù)據(jù)以用于人類分析師的(無輔助)分析。系統(tǒng)10還包括入侵分析服務(wù)器30��,分析服務(wù)器30包括常規(guī)的CPU50、RAM52�、ROM54、存儲(chǔ)器56����、操作系統(tǒng)58和TCP/IP適配器卡59。服務(wù)器30還包括根據(jù)本發(fā)明的入侵識(shí)別程序32�����。程序32負(fù)責(zé)為與被懷疑為入侵的消息有關(guān)的數(shù)據(jù)(歷史的和當(dāng)前的兩者)建立配置文件以檢測(cè)指示惡意入侵的模式�。服務(wù)器30還在控制臺(tái)35上向人類分析師顯示由程序32生成的配置文件和其它分析,以允許分析師最終確定檢測(cè)到的消息是否是惡意的����。如果是,分析師可以通知防火墻19�����、20和21的管理員以阻擋來自這些消息的源IP地址的后續(xù)消息以及所有具有該簽名的消息�����?��?蛇x地����,分析師可以相應(yīng)地直接更新防火墻16、17和18中的配置文件以阻擋來自該源IP地址的后續(xù)消息或所有具有該簽名的消息����。圖2更詳細(xì)地說明了入侵識(shí)別程序32以及相關(guān)的手動(dòng)和自動(dòng)處理。在步驟100中�,入侵檢測(cè)傳感器16、17和18檢測(cè)已經(jīng)穿過各個(gè)防火墻19����、20和21的消息并且基于上述標(biāo)記中的一個(gè)或者多個(gè)懷疑該消息為入侵。在響應(yīng)中�,傳感器16、17和18通知數(shù)據(jù)庫(kù)服務(wù)器12并且識(shí)別被懷疑為入侵的消息(如上所述)��。在響應(yīng)中��,服務(wù)器12在數(shù)據(jù)庫(kù)20中記錄與所懷疑入侵有關(guān)的信息���,包括其源IP地址、目的地IP地址���、目的地端口�����、簽名(如果為傳感器16����、17和18已知)、一天中的時(shí)間�����、一周的一天����、一月中的一天、一年中的一周(步驟102)��。周期性地��,例如每天�,人類分析師在控制臺(tái)13對(duì)數(shù)據(jù)庫(kù)20中的記錄進(jìn)行概括分析(步驟104)。該概括分析包括檢查在控制臺(tái)13上滾動(dòng)過的數(shù)據(jù)�����,以及盡人類分析師所知地確定該數(shù)據(jù)已知為惡意的或者為善意的?�?蛇x地��,程序32可以通過將數(shù)據(jù)與已知為惡意的源IP地址����、源端口等的列表進(jìn)行比較來概括地分析該數(shù)據(jù)。在步驟104之后�����,并行地執(zhí)行兩個(gè)系列的步驟���。在一個(gè)系列中�,程序32為每一個(gè)源IP地址分類和記錄���,在例如每一天的預(yù)定的時(shí)段中不同目的地IP地址的數(shù)量�、不同目的地端口的數(shù)量以及匹配的不同簽名的數(shù)量�����。該分類和記錄按如下執(zhí)行�。在步驟108中,程序32在數(shù)據(jù)庫(kù)20中查詢每個(gè)源IP地址的不同的目標(biāo)IP地址�、不同的目標(biāo)端口和不同的被懷疑的入侵簽名的記錄。在步驟109中����,程序32每天分類或者聚集在步驟300中獲得的每個(gè)源IP地址的記錄,并且將它們記錄在HTML表40中�。接著,分析師對(duì)消息內(nèi)的單個(gè)包進(jìn)行深入分析(步驟110)���。該深入分析包括使用已知的專門的數(shù)據(jù)分析工具來比概括分析更詳細(xì)地查看數(shù)據(jù)����。即���,如果人類分析師識(shí)別出惡意業(yè)務(wù)量���,或者識(shí)別出他或她認(rèn)為是惡意業(yè)務(wù)量的內(nèi)容,則人類分析師可以使用常規(guī)數(shù)據(jù)分析工具來證明或者推翻他們的假設(shè)�����。常規(guī)數(shù)據(jù)分析工具執(zhí)行例如下列功能的功能將原始數(shù)據(jù)繪制成圖以用于視覺表達(dá),其中x軸可以是時(shí)間��,y軸可以是源IP地址����、目的地IP地址、目的地端口�、消息簽名等等,不同的源IP地址���、目的地IP地址�����、目的地端口����、消息簽名等等具有不同的顏色���,以及記錄分析師給客戶的人類分析結(jié)果的報(bào)告���,以及IDS檢測(cè)為可疑的不同類型的簽名。接下來�,程序32顯示HTML表40并且程序32和分析師檢查由程序32制作的匯編,該匯編指示在每天中每個(gè)源IP地址的不同目標(biāo)IP地址的數(shù)量、不同目標(biāo)端口的數(shù)量以及匹配的不同入侵簽名的數(shù)量(步驟112)����。每個(gè)HTML表包括在幾天或者很多天(例如30天)中該所懷疑入侵的日常數(shù)據(jù)��。接下來����,基于表40中的數(shù)據(jù)和統(tǒng)計(jì),入侵分析程序32確定是否存在已知入侵的消息特性的模式�����,其中入侵不管是無害的還是有害的(判斷114)�����。作為示例�,這種對(duì)于每個(gè)源IP地址的模式可以是下列的組合(a)在預(yù)定(例如,每天)的時(shí)段中����,來自同樣的源IP地址的所有消息中的不同目標(biāo)IP地址的數(shù)量;(b)在同樣的預(yù)定(例如�,每天)的時(shí)段中,來自同樣的源IP地址的所有消息中的不同目標(biāo)端口的數(shù)量;以及(c)在同樣的預(yù)定(例如�,每天)的時(shí)段中,來自同樣的源IP地址的所有消息中的匹配的(針對(duì)傳感器中的列表)不同的所懷疑入侵簽名(不包括病毒����,蠕蟲等)的數(shù)量;其中(d)在一個(gè)較長(zhǎng)的預(yù)定的時(shí)段內(nèi)��,例如每月����,至少有兩個(gè)(并且通常幾個(gè))每天的時(shí)段,在這些時(shí)段中同樣的源IP地址的不同目標(biāo)IP地址的數(shù)量���、不同目標(biāo)端口的數(shù)量和不同入侵簽名的數(shù)量是相同的�。例如���,在一個(gè)月的時(shí)段中可能有不同的11天��,在這些天中�,源于同樣的源IP地址的消息�����,總共有五個(gè)不同的目標(biāo)IP地址,四個(gè)不同的目標(biāo)端口以及三個(gè)不同的匹配入侵簽名����。如下面更詳細(xì)的解釋,這些數(shù)目的重復(fù)通常代表指示消息本質(zhì)的模式���,不管是友好的或者是惡意的。(通常�����,在一個(gè)月的時(shí)段中這些數(shù)目的頻繁重復(fù)傾向于指示惡意的入侵�����,假設(shè)不知道源IP地址是友好的)����。在一些情況下,在一天中具體源IP地址的具體數(shù)量的不同目標(biāo)IP地址���、具體數(shù)量的不同目標(biāo)端口以及具體數(shù)量的不同入侵簽名(匹配于在傳感器16�����、17和19中的所懷疑的入侵的列表)的組合在一個(gè)月中的重復(fù)指示惡意入侵(判斷114�,“是”分支)。這是基于服務(wù)器32所存儲(chǔ)的記錄���,基于在先前分析(例如�����,每月)時(shí)段中程序32的過去迭代以及在這樣的時(shí)段中檢測(cè)到的模式���。在這種已知了組合以指示入侵的情況下,程序32向分析師顯示�����,或者向防火墻19����、20和21的管理員發(fā)送通知,說明確定為惡意的消息類型或者消息業(yè)務(wù)量模式(步驟125)�。然后,管理員可以采取步驟來改正狀況(步驟126)�����。這樣的步驟可以更新防火墻19、20和21的配置以阻擋檢測(cè)到的消息類型�。例如,管理員可以更新防火墻以阻擋惡意軟件的源IP地址或者惡意軟件的簽名���。作為另外的示例�����,管理員可以更新防火墻19�����、20和21以阻擋去往已知隱藏了惡意程序的特定TCP端口的業(yè)務(wù)量。再次參考判斷114����,“否”分支,其中具體源IP地址的具體數(shù)量的不同目標(biāo)IP地址���、具體數(shù)量的不同目標(biāo)端口以及具體數(shù)量的匹配的不同入侵簽名的組合��,在該月的某個(gè)數(shù)量的天中不等于先前確定為惡意入侵指示的組合�����。在這種情況下�����,程序32或者分析師確定是否存在另一個(gè)原因可以斷定來自源IP地址的消息可能是惡意的或者是“惡意軟件”(判斷118)���。程序32(或者人類分析師)通過查找事先確定的或者較高數(shù)量的天數(shù)(至少兩天并且通常幾天)來作出確定�����,在該天數(shù)期間具有相同數(shù)量的不同目標(biāo)IP地址��、相同數(shù)量的不同目標(biāo)端口和相同數(shù)量的不同入侵簽名(由傳感器匹配的)����,其中不知道源IP地址是友好的����。(程序32或者人類分析師可以通過聯(lián)系客戶并且詢問客戶是否知道源IP地址為友好的,來了解IP地址是否為友好的)��??傊哂邢嗤瑪?shù)量的不同目標(biāo)IP地址��、相同數(shù)量的不同目標(biāo)端口和相同數(shù)量的匹配的不同入侵簽名的天數(shù)越多,這些消息越有可能是入侵�,假設(shè)分析師或者客戶不知道源IP地址是友好的。如果這樣的天的數(shù)量超過了預(yù)定的數(shù)量(并且分析師或者客戶不知道源IP地址是友好的)���,那么程序32或者分析師警告防火墻管理員該源IP地址和簽名可能是惡意的(步驟119)�。再次參考判斷118�����,“否”分支����,其中不同目標(biāo)IP地址的數(shù)量、不同目標(biāo)端口的數(shù)量和匹配的不同入侵簽名的數(shù)量的組合����,基于程序32的先前迭代或者其它已知模式�,不指示該消息是惡意的。在這種情況下���,原因可能是有一天或者兩天的數(shù)據(jù)不具有消息的特性�����。因此���,分析師將檢查每個(gè)源IP地址每天的數(shù)目��,以確定具體源IP地址的具體數(shù)量的不同目標(biāo)IP地址�、具體數(shù)量的不同目標(biāo)端口以及具體數(shù)量的匹配的不同入侵簽名的哪個(gè)組合��,最能代表來自源IP地址的消息的模式(步驟120)�����。例如����,如果有八天具有相同數(shù)量的源IP地址、相同數(shù)量的目標(biāo)端口以及相同數(shù)量的不同的匹配簽名����,并且有一天具有不同數(shù)量的目標(biāo)IP地址、不同數(shù)量的目標(biāo)端口或不同數(shù)量的匹配的簽名���,則分析師將忽略這一天���。在步驟120后����,分析師在數(shù)據(jù)庫(kù)(數(shù)據(jù)倉(cāng)庫(kù))表40中為該源IP地址建立一個(gè)條目以反映不同目標(biāo)IP地址�、不同目標(biāo)端口和不同匹配的簽名的代表性數(shù)目(步驟122)。然后�����,程序32或者分析師使用代表性的數(shù)目重復(fù)判斷118的分析�。如果代表性的數(shù)目指示惡意的入侵(步驟118,“是”分支)�����,則程序32執(zhí)行步驟119的處理�。如果代表性數(shù)目沒有指示惡意的入侵,則程序32認(rèn)為消息不是惡意的并且忽略它們(步驟124)�����。再次參考步驟104和其它與步驟108-124并行執(zhí)行的系列步驟��。在步驟130中�����,入侵分析程序32創(chuàng)建目的地端口“數(shù)據(jù)透視”表(pivottable)42以代表在一個(gè)月中每個(gè)源IP地址的目的地端口的數(shù)量分布���。端口數(shù)據(jù)透視表是基于在預(yù)定的天數(shù)�,例如30天中���,所計(jì)算的平均值的標(biāo)準(zhǔn)偏差��。圖3更詳細(xì)地說明了步驟130��。在步驟300中����,程序32從HTML表40中識(shí)別出預(yù)定數(shù)量(例如20)的具有最大量的輸入消息業(yè)務(wù)量的目的地端口���。然后���,對(duì)于每個(gè)這樣的目的地端口,程序32為最后的預(yù)定的時(shí)段(例如30天)計(jì)算輸入消息數(shù)量的標(biāo)準(zhǔn)偏差和平均數(shù)量(步驟302)����。然后��,程序32從最后的預(yù)定的時(shí)段(例如30天)的平均值中減去每天的輸入消息的總數(shù)(步驟304)�。然后����,程序32將步驟304中計(jì)算的每天的差除以步驟302中計(jì)算的標(biāo)準(zhǔn)偏差從而得到標(biāo)準(zhǔn)偏差(“X”)高于或者低于當(dāng)天的平均值的數(shù)量(步驟306)。標(biāo)準(zhǔn)偏差的數(shù)量高于平均值越多�,端口正遭受攻擊的風(fēng)險(xiǎn)就越大。因此�����,程序32確定“X”是否小于2但是不等于0(判斷310)���。如果是�����,則程序32將該端口分類或者劃分為“低關(guān)注”��,即不太可能成為惡意軟件的目標(biāo)(步驟312)����。接下來�����,程序32確定“X”是否大于1而小于4(判斷314)��。如果是�,則程序32將該端口分類或者劃分為“中等關(guān)注”,即中度可能地成為惡意軟件的目標(biāo)(步驟316)����。接下來,程序32確定“X”是否大于或者等于4(判斷318)���。如果是�����,則程序32將該端口分類或者劃分為“高度關(guān)注”�����,即可能成為惡意軟件的目標(biāo)(步驟320)���。如果“X”小于或者等于0,則程序32將該端口分類或者劃分為不重要���,并且將其從列表中丟棄(步驟322)�。然后,程序32為列表中的端口在HTML表40中建立記錄(步驟324)�。該記錄指示端口數(shù)量、一天中輸入消息的數(shù)量�、來自平均值的標(biāo)準(zhǔn)偏差、10天中輸入消息的總數(shù)以及關(guān)注的級(jí)別���。人類分析師周期性地檢查步驟324中建立的記錄����,以確定是否需要進(jìn)一步的調(diào)查(步驟326)�。該確定基于特定端口從平均值偏離了多少個(gè)標(biāo)準(zhǔn)偏差。再次參考圖2�,在程序32在步驟130中創(chuàng)建目的地端口數(shù)據(jù)透視表之后,程序32確定是否有任何目的地端口具有很異常的數(shù)據(jù)����,即落在該端口正常行為范圍之外的數(shù)據(jù)量(判斷132)。如果沒有具有很異常的數(shù)據(jù)的目的地端口(判斷132�,“否”分支),則程序32結(jié)束其對(duì)端口的分析����;不懷疑入侵(步驟134)�。但是�����,如果有具有很異常的數(shù)據(jù)的任何目的地端口(判斷132�����,“是”分支)���,則程序33或者人類分析師對(duì)這樣的目的地端口進(jìn)行深入分析(步驟136)。該深入分析包括顯示與該端口有關(guān)的信息�,例如運(yùn)行在該給定端口上的公用程序以及一段選定的時(shí)間(例如,30天�����,60天或90天)內(nèi)端口的量的數(shù)據(jù)��。程序32可以從計(jì)算機(jī)存儲(chǔ)介質(zhì)中�,例如磁帶或者磁盤、光CDROM����、DVD等中載入服務(wù)器12�,或者經(jīng)由TCP/IP適配器卡從因特網(wǎng)的網(wǎng)絡(luò)介質(zhì)中下載���,并且存儲(chǔ)在服務(wù)器12的RAM中�。存儲(chǔ)介質(zhì)��、網(wǎng)絡(luò)介質(zhì)以及RAM合稱為“計(jì)算機(jī)可讀介質(zhì)”��?�;谇笆?����,已經(jīng)公開了用于識(shí)別惡意入侵的系統(tǒng)�、方法和程序。但是可以做出多種修改和替換而不背離本發(fā)明的范圍���。因此��,本發(fā)明通過非限制性的說明的方式進(jìn)行了公開���,并且應(yīng)該參考下面的權(quán)利要求書來確定本發(fā)明的范圍。權(quán)利要求1.一種用于識(shí)別惡意入侵的方法,所述方法包括步驟在預(yù)定的時(shí)段內(nèi)����,從源IP地址確定第一數(shù)量的不同目的地IP地址、第二數(shù)量的不同目的地端口以及第三數(shù)量的不同消息的簽名���;以及確定在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段內(nèi)�,所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址��、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息����。2.根據(jù)權(quán)利要求1所述的方法�,進(jìn)一步包括步驟基于確定在一個(gè)或者更多其它這樣預(yù)定的時(shí)段內(nèi),所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址�、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息的步驟,確定所述消息具有惡意入侵的特性��。3.根據(jù)權(quán)利要求2所述的方法����,進(jìn)一步包括步驟確定在另一個(gè)這樣預(yù)定的時(shí)段內(nèi),所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址�、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息;以及基于確定在所述一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段內(nèi)以及所述另一個(gè)這樣預(yù)定的時(shí)段內(nèi)��,所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息的步驟�����,確定所述消息具有惡意入侵的特性����。4.一種用于識(shí)別惡意入侵的系統(tǒng),所述系統(tǒng)包括用于在預(yù)定的時(shí)段內(nèi)��,從源IP地址確定第一數(shù)量的不同目的地IP地址�、第二數(shù)量的不同目的地端口以及第三數(shù)量的不同消息的簽名的裝置;以及用于確定在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段內(nèi)�����,所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址����、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息的裝置。5.根據(jù)權(quán)利要求4所述的系統(tǒng)���,進(jìn)一步包括響應(yīng)于所述用于確定在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段內(nèi)���,所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址����、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息的裝置�����,用于確定所述消息具有惡意入侵的特性的裝置����。6.根據(jù)權(quán)利要求5所述的系統(tǒng),進(jìn)一步包括用于確定在另一個(gè)這樣預(yù)定的時(shí)段內(nèi)����,所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址��、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息的裝置����;以及響應(yīng)于所述用于確定在所述一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段內(nèi)以及所述另一個(gè)這樣預(yù)定的時(shí)段內(nèi),所述源IP地址發(fā)送了具有所述第一數(shù)量的不同目的地IP地址��、所述第二數(shù)量的不同目的地端口以及所述第三數(shù)量的不同簽名的消息的裝置��,用于確定所述消息具有惡意入侵的特性的裝置。7.一種用于識(shí)別惡意入侵的計(jì)算機(jī)程序產(chǎn)品��,所述計(jì)算機(jī)程序產(chǎn)品包括存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中用于執(zhí)行權(quán)利要求1-3中任何一個(gè)權(quán)利要求的方法步驟的計(jì)算機(jī)程序指令���。全文摘要用于識(shí)別惡意入侵的計(jì)算機(jī)系統(tǒng)�����、方法和程序產(chǎn)品���。在預(yù)定的時(shí)段中,從源IP地址識(shí)別出第一數(shù)量的不同目的地IP地址��、第二數(shù)量的不同目的地端口以及第三數(shù)量的不同消息的簽名�����。確定在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段中���,源IP地址發(fā)送了具有該第一數(shù)量的不同目的地IP地址�����、該第二數(shù)量的不同目的地端口以及該第三數(shù)量的不同簽名的消息�。基于在一個(gè)或者多個(gè)其它這樣預(yù)定的時(shí)段中�,源IP地址發(fā)送了具有該第一數(shù)量的不同目的地IP地址、該第二數(shù)量的不同目的地端口以及該第三數(shù)量的不同簽名的消息的確定�,做出這些消息具有惡意入侵的特性的確定。文檔編號(hào)H04L12/24GK1885794SQ20061008265公開日2006年12月27日申請(qǐng)日期2006年5月24日優(yōu)先權(quán)日2005年6月24日發(fā)明者杰弗里·S·拉漢恩,弗雷德里克·G·蒂勒,邁克爾·A·沃爾特申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司