《用于检测网络节点上的持续恶意软件的方法.pdf》由会员分享,可在线阅读,更多相关《用于检测网络节点上的持续恶意软件的方法.pdf(19页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103988534 A (43)申请公布日 2014.08.13 C N 1 0 3 9 8 8 5 3 4 A (21)申请号 201280061399.3 (22)申请日 2012.04.02 61/569,343 2011.12.12 US H04W 12/12(2006.01) G06F 21/56(2006.01) (71)申请人瑞典爱立信有限公司 地址瑞典斯德哥尔摩 (72)发明人米凯尔利延斯坦 安德拉斯梅赫斯 帕特里克萨尔梅拉 (74)专利代理机构中科专利商标代理有限责任 公司 11021 代理人闫晔 (54) 发明名称 用于检测网络节点上的持续恶意软件。
2、的方法 (57) 摘要 本发明涉及用于检测第一网络节点(12)的 持续性的方法和设备。在本发明的第一方面,提供 一种方法,包括以下步骤:在指定观测周期期间 监视(S101)所述第一网络节点是否已建立到第 二网络节点(13)的连接;以及确定(S102)在所 述指定观测周期期间发生的所述第一网络节点连 接到所述第二网络节点的连接会话的总数量;此 外,所述方法包括以下步骤:根据会话的所述总 数量确定(S103)包括所述第一网络节点与所述 第二网络节点之间的至少一个通信流的会话的数 量;以及根据会话的所述总数量和包括至少一个 通信流的会话的所述数量确定(S104)所述第一 网络节点的会话间持续性。 (。
3、30)优先权数据 (85)PCT国际申请进入国家阶段日 2014.06.12 (86)PCT国际申请的申请数据 PCT/SE2012/000048 2012.04.02 (87)PCT国际申请的公布数据 WO2013/089607 EN 2013.06.20 (51)Int.Cl. 权利要求书4页 说明书8页 附图6页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书4页 说明书8页 附图6页 (10)申请公布号 CN 103988534 A CN 103988534 A 1/4页 2 1.一种检测第一网络节点(12)的持续性的方法,所述方法包括以下步骤: 在指定观测周期。
4、期间监视(S101)所述第一网络节点是否已建立到第二网络节点(13) 的连接; 确定(S102)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点 之间的连接会话的总数量; 根据会话的总数量确定(S103)包括所述第一网络节点与所述第二网络节点之间的至 少一个通信流的会话的数量;以及 基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定(S104)所述 第一网络节点的会话间持续性。 2.根据权利要求1所述的方法,其中,确定会话间持续性的步骤包括: 通过将包括至少一个通信流的会话的所述数量除以所述会话的总数量来确定会话间 持续性比率,且所述方法还包括以下步骤: 将所确定的会。
5、话间持续性比率与阈值进行比较,其中,如果所述会话间持续性比率超 过所述阈值,则将所述第一网络节点视为持续的。 3.根据前述权利要求中任一项所述的方法,还包括以下步骤: 将至少一个会话划分(S305)成若干子会话; 针对所述至少一个会话,确定(S306)包括所述第一网络节点(12)与所述第二网络节 点(13)之间的至少一个通信流的子会话的数量; 基于所述子会话的数量和针对所述会话的包括至少一个通信流的子会话的所述数量, 确定(S307)针对所述至少一个会话的所述第一网络节点的会话内持续性。 4.根据权利要求3所述的方法,其中,确定会话内持续性的步骤包括: 通过将包括至少一个通信流的子会话的所述数。
6、量除以所述会话的所述子会话的总数 量来确定每一个会话的会话内持续性比率,且所述方法还包括以下步骤: 将所确定的会话内持续性比率与阈值进行比较,其中,如果所述会话内持续性比率超 过所述阈值,则将所述第一网络节点(12)视为持续的。 5.根据前述权利要求中任一项所述的方法,其中,确定连接会话的总数量的步骤包括: 监视所述第一网络节点(12)的网络附着和去附着信息。 6.根据权利要求14中任一项所述的方法,其中,确定连接会话的总数量的步骤包 括:监视所述第一网络节点(12)的分组数据协议PDP上下文信息。 7.根据权利要求14中任一项所述的方法,其中,确定连接会话的步骤包括:监视所 述第一网络节点(。
7、12)的动态主机配置协议DHCP请求和释放。 8.根据前述权利要求中任一项所述的方法,还包括以下步骤: 发送指示所述第一网络节点(12)持续地运行的报警。 9.根据前述权利要求中任一项所述的方法,还包括以下步骤: 记录在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间 发生第一通信流时的时刻。 10.根据前述权利要求中任一项所述的方法,还包括以下步骤: 对所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间的通 信流进行聚合。 权 利 要 求 书CN 103988534 A 2/4页 3 11.一种检测第一网络节点(12)的持续性的方法,所述方法。
8、包括以下步骤: 在指定观测周期期间监视(S201)所述第一网络节点是否已建立到第二网络节点(13) 的连接; 确定(S202)在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点 之间的连接会话的总数量; 根据所述会话的总数量确定(S203)包括所述第一网络节点与所述第二网络节点之间 的至少一个通信流的会话的数量; 将至少一个会话划分(S204)成若干个子会话; 针对所述至少一个会话,确定(S205)包括所述第一网络节点与所述第二网络节点之 间的至少一个通信流的子会话的数量;以及 基于所述子会话的数量和包括至少一个通信流的子会话的所述数量来确定(S206)针 对所述至少一个会话的所述。
9、第一网络节点的会话内持续性。 12.根据权利要求11所述的方法,其中,确定会话内持续性的步骤包括: 通过将包括至少一个通信流的子会话的数量除以针对每个会话的所述子会话的总数 量来确定针对所述每个会话的会话内持续性比率,其中,基于所述会话内持续性确定持续 性的步骤还包括: 将所确定的会话内持续性比率与阈值进行比较,其中,如果所述会话内持续性比率超 过所述阈值,则将所述第一网络节点(12)视为持续的。 13.根据权利要求11或12中任一项所述的方法,还包括以下步骤: 基于所述会话的总数量和包括至少一个通信流的会话的所述数量确定(S104)所述第 一网络节点的会话间持续性。 14.一种用于检测第一网。
10、络节点(12)的持续性的设备(14),被布置为: 在指定观测周期期间监视所述第一网络节点是否已建立到第二网络节点(13)的连 接; 确定在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的 连接会话的总数量; 根据会话的总数量确定包括所述第一网络节点与所述第二网络节点之间的至少一个 通信流的会话的数量;以及 基于所述会话的总数量和包括至少一个通信流的会话的所述数量确定所述第一网络 节点的会话间持续性。 15.根据权利要求14所述的设备(14),还被布置为: 通过将包括至少一个通信流的会话的所述数量除以所述会话的总数量来确定会话间 持续性比率,以及 将所确定的会话间持续性比率与阈。
11、值进行比较,其中,如果所述比值超过所述阈值,则 将所述第一网络节点(12)视为持续的。 16.根据权利要求14或15所述的设备(14),还被布置为: 将至少一个会话划分成若干个子会话; 针对所述至少一个会话,确定包括所述第一网络节点(12)与所述第二网络节点(13) 之间的至少一个通信流的子会话的数量; 权 利 要 求 书CN 103988534 A 3/4页 4 基于所述子会话的数量和针对所述至少一个会话的包括至少一个通信流的子会话的 所述数量来确定针对所述至少一个会话的所述第一网络节点的会话内持续性。 17.根据权利要求14到16中任一项所述的设备(14),还被布置为: 通过将包括至少一个。
12、通信流的子会话的数量除以针对所述至少一个会话的子会话的 所述总数量,确定针对所述会话的会话内持续性比率;以及 将所确定的会话内持续性比率与阈值进行比较,其中,如果所述比例超过所述阈值,则 将所述第一网络节点(12)视为持续的。 18.根据权利要求14到17中任一项所述的设备(14),还被布置为:通过监视所述第一 网络节点(13)的网络附着和去附着信息来确定连接会话的总数量。 19.根据权利要求14到17中任一项所述的设备(14),还被布置为:通过监视所述第一 网络节点(13)的分组数据协议PDP上下文信息来确定连接会话的总数量。 20.根据权利要求14到17中任一项所述的设备(14),还被布置。
13、为:通过监视所述第一 网络节点(13)的动态主机配置协议DHCP请求和释放来确定连接会话。 21.根据权利要求14到20中任一项所述的设备(14),还被布置为: 发送指示所述第一网络节点(12)持续地运行的报警。 22.根据权利要求14到21中任一项所述的设备(14),还被布置为:记录在所述指定观 测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间发生第一通信流时的时 刻。 23.根据权利要求14到22中任一项所述的设备(14),还被布置为: 对在所述指定观测周期期间所述第一网络节点(12)与所述第二网络节点(13)之间的 通信流进行聚合。 24.一种用于检测第一网络节点(12)。
14、的持续性的设备(14),被布置为: 在指定观测周期期间监视所述第一网络节点是否已建立到第二网络节点(13)的连 接; 确定在所述指定观测周期期间发生于所述第一网络节点与所述第二网络节点之间的 连接会话的总数量; 根据会话的总数量确定包括所述第一网络节点与所述第二网络节点之间的至少一个 通信流的会话的数量; 将至少一个会话划分成若干个子会话; 针对所述至少一个会话,确定包括所述第一网络节点与所述第二网络节点之间的至少 一个通信流的子会话的数量;以及 基于所述子会话的数量和包括至少一个通信流的子会话的所述数量来确定针对所述 至少一个会话的所述第一网络节点的会话内持续性。 25.根据权利要求24所述。
15、的设备(14),还被布置为: 通过将包括至少一个通信流的子会话的所述数量除以针对每一个会话的子会话的所 述总数量来确定针对所述每一个会话的会话内持续性比率;以及: 将所确定的会话内持续性比率与阈值进行比较,其中,如果所述会话内持续性比率超 过所述阈值,则将所述第一网络节点(12)视为持续的。 26.根据权利要求24或25中任一项所述的设备(14),还被布置为: 权 利 要 求 书CN 103988534 A 4/4页 5 基于所述会话的总数量和包括至少一个通信流的会话的所述数量来确定所述第一网 络节点的会话间持续性。 27.根据权利要求14到26中任一项所述的设备(14),所述设备是GGSN、。
16、PDN-GW、SGW、 SGSN、MME、RNC、BSC、NodeB、eNodeB、服务器、用户设备、路由器、交换机或安全装置之一。 28.一种包括计算机可执行组件的计算机程序(17),用于:当在设备(14)中包括的处 理单元(15)上运行所述计算机可执行组件时,使所述设备执行根据权利要求1到13中任 一项所述的步骤。 29.一种包括计算机可读介质的计算机程序产品,在所述计算机可读介质中体现根据 权利要求28所述的计算机程序(17)。 权 利 要 求 书CN 103988534 A 1/8页 6 用于检测网络节点上的持续恶意软件的方法 技术领域 0001 本发明涉及用于检测第一网络节点的持续性。
17、的方法和设备。 背景技术 0002 持续恶意软件是一种将自身安装在设备上且因此每当设备开启时能够执行动作 的常见类型的恶意软件。所谓的僵尸(bot)(参与僵尸网络)可以被归为持续恶意软件, 其利用网络且被广泛地视为当今互联网上最严重的威胁之一。一般用法是,术语“僵尸”是 指计算机感染了恶意软件,这种恶意软件允许攻击者远程控制计算机以代表攻击者执行任 务,诸如发送垃圾邮件、窃取信息或者启动对其它计算机的攻击。僵尸网络是在共同控制下 的此种僵尸的集合。已经存在诸多用于检测计算机和具有类似功能的其它设备(例如电 话、平板电脑等)上的恶意软件感染的技术。现有的基于主机的技术包括进行签名扫描以 找到被感。
18、染和被操控的文件以及针对设备上的不寻常和/或可疑进程进行行为监视。同样 地,常见的基于网络的技术依赖于检测可能与恶意软件感染有关的攻击或恶意软件通信的 签名或者异常或可疑通信模式。大多数技术依靠对恶意软件样本的捕获和手动分析以创建 针对特定恶意软件的检测规则。 0003 发明人到现在为止所知道的现有恶意软件检测技术在检测性能方面有缺点且其 能力取决于其所部署的位置,例如,主机上或者网络中。由于恶意软件编写者与试图保卫用 户的安全行业之间存在不断的竞赛,因此不断地需要新技术来改善对诸如持续使用网络的 恶意软件的威胁的检测。 发明内容 0004 本发明的目的是解决或者至少减轻本领域中的这些问题并提。
19、供一种用于检测网 络中的恶意设备的改善方法和设备。 0005 在本发明的第一方面通过一种检测第一网络节点的持续性的方法来达到此目的。 方法包括以下步骤:在指定观测周期期间监视第一网络节点是否已建立到第二网络节点的 连接;以及确定在所述指定观测周期期间发生的第一网络节点连接到第二网络节点的连接 会话的总数量。此外,方法包括以下步骤:根据会话的总数量确定包括第一网络节点与第二 网络节点之间的至少一个通信流的会话的数量;以及基于会话的总数量和包括至少一个通 信流的会话的数量确定第一网络节点的会话间持续性。 0006 在本发明的第二方面通过一种检测第一网络节点的持续性的方法来达到这个目 的。方法包括以。
20、下步骤:在指定观测周期期间监视第一网络节点是否已建立到第二网络节 点的连接;以及确定在所述指定观测周期期间第一网络节点连接到第二网络节点的连接会 话的总数量。此外,方法包括以下步骤:根据会话的总数量确定包括第一网络节点与第二网 络节点之间的至少一个通信流的会话的数量;以及将至少一个会话划分成若干子会话。接 着,针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个通信流的子 会话的数量,且基于子会话的数量和包括至少一个通信流的子会话的数量来确定针对至少 说 明 书CN 103988534 A 2/8页 7 一个会话的第一网络节点的会话内持续性。 0007 有利地,本发明以可以利用网络。
21、进行攻击、远程控制和/或恶意软件更新等的持 续恶意软件为目标。为此,可以找到诸如发送垃圾邮件等恶意和/或可疑网络活动所涉及 的设备之间的通信模式的普遍特征(或者至少一些用于检测恶意/可疑攻击行为的探索), 并加入到对恶意软件建立网络通信的特性持续性的此检测。例如,参与僵尸网络(垃圾邮 件发送或者其它)的僵尸将重复尝试“往家里打电话”给一个或更多个命令与控制(C&C)服 务器。这通常将在每当设备开启并连接到网络时重复发生,且在设备开启并连接时随着时 间重复发生。 0008 因此,网络中的信令信息被用来确定设备开启并连接到网络的周期,即持续恶意 软件有机会使用网络的周期。促进对连接会话的确定的三个。
22、示范性实施例包括: 0009 -监视网络附着/去附着或者分组数据协议(PDP)上下文设置/释放信令(针对 3GPP移动网络);以及 0010 -针对设备已被分配IP地址时的周期监视动态主机配置协议(DHCP)信令(针对 固定网络)。 0011 当已检测到连接会话时,确定是否存在表现为在会话内和跨越会话的持续的可疑 活动,例如到某些目的地的连接。跨越会话和在会话期间的此种持续性是网络设备的持续 行为的指示,其可以是善意的或者恶意的。因此,在本发明的第一方面,确定第一网络节点 的会话间持续性,而在本发明的第二方面,确定第一网络节点的会话内持续性。在本发明的 其它实施例中,可以将第一和第二方面的标的。
23、物组合起来,从而产生使用会话间持续性和 会话内持续性二者来进一步强化第一网络节点的持续性的检测的途径。可选地,这可以与 关于第一网络节点所发起的可能恶意业务的其它信息组合起来以便提供持续恶意软件感 染的证据。因此,本发明有利地以利用网络进行攻击、远程控制和/或恶意软件更新的持续 恶意软件为目标。 0012 在下文中,将论述本发明的第一和第二方面的实施例。 0013 在本发明的实施例中,确定会话间持续性包括:通过将包括至少一个通信流的会 话的数量除以会话的所述总数量来确定会话间持续性比率;以及将所确定的会话间持续性 比率与阈值进行比较,其中,如果所述比超过阈值,则将第一网络节点视为持续的。有利地。
24、, 通过选择借以确定会话间持续性比率的适当阈值,给出是否应将第一网络节点的行为视为 恶意的指示。 0014 在本发明的另一实施例中,会话内持续性的确定包括:将至少一个会话划分成若 干子会话;以及针对至少一个会话确定包括第一网络节点与第二网络节点之间的至少一个 通信流的子会话的数量,其中,确定第一网络节点的会话内持续性。此外,在又一实施例中, 针对至少一个会话,通过将包括至少一个通信流的子会话的数量除以至少一个会话的子会 话的所述总数量且将所确定会话内持续性比率与阈值进行比较来确定针对该至少一个会 话的会话内持续性比率,其中,如果所述比超过阈值,则将第一网络节点视为持续的。有利 地,通过选择借以。
25、确定会话内持续性比率的适当阈值,提供是否应将第一网络节点的行为 视为恶意的指示。 0015 在本发明的再一实施例中,记录在指定观测周期期间第一网络节点与第二网络节 点之间发生第一通信流时的时刻。如果第一网络节点在第一指定观测周期期间的某个时间 说 明 书CN 103988534 A 3/8页 8 变为被恶意软件感染,则直到下一观测周期其才能被检测。通过忽略在第一次接触之前的 时间(即,当第一通信流发生时),将更容易地管理第一网络节点在给定观测周期期间变为 被感染且开始表现为持续的情形。 0016 在本发明的又一实施例中,将在指定观测周期期间第一网络节点与第二网络节点 之间的通信流聚合成通信流集。
26、合/流聚合。由于(例如)可以容易地过滤掉单个流,因此 这将有利地促进对大的流集合的管理。 0017 还通过与上文所论述的本发明的第一和第二方面的方法对应的用于检测第一网 络节点的持续性的设备来达到本发明的目的。 0018 本发明有利地利用网络信息并执行对网络信息的分析来检测恶意软件。持续恶意 软件(诸如僵尸)往往尽可能地利用网络连接来提供恶意软件编写者的最大影响力,而有 利地使用网络信令信息来确定当设备已建立到网络的连接时恶意软件是否在网络上活动。 这转化成改善的检测性能和降低的假阳性率,此二者对于提供针对恶意软件的更好保护和 降低与检测报警的人工分析相关联的成本很重要。 0019 注意,本发。
27、明涉及权利要求书中所列特征的所有可能组合。通过研究所附权利要 求书和以下描述,将易知本发明的其它特征和优点。本领域的技术人员应了解,可以对本发 明的不同特征进行组合,以产生除了下文所述实施例以外的实施例。 附图说明 0020 现将参照附图以示例方式描述本发明,附图中: 0021 图1示出了实现本发明的移动网络; 0022 图2示出了实现本发明的固定接入网络; 0023 图3示出了阐述根据本发明实施例的检测第一网络节点的持续性的方法的流程 图; 0024 图4示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的方法的 流程图; 0025 图5示出了阐述根据本发明另一实施例的检测第一网络节点。
28、的持续性的方法的 流程图;以及 0026 图6示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的更详细 方法的方案。 具体实施方式 0027 现将在下文参考其中示出本发明的特定实施例的附图来更全面地描述本发明。然 而,本发明可以体现为诸多不同形式,且不应被理解为局限于本文所阐述的实施例;而是, 以举例方式提供这些实施例使得本公开将全面且完整,且向本领域的技术人员全面传达本 发明的范围。 0028 可以在移动网络的上下文中实施本发明。为了不丧失一般性,在本发明的实施例 中通过使用PDP上下文信令的方式来确定连接会话。PDP上下文是位于服务GPRS支持节 点(SGSN)和网关GPRS支持节。
29、点(GGSN)处的数据结构,其包含当订户具有有效会话时该订 户的会话信息。当移动模块想要使用GPRS时,其必须首先附着并然后激活PDP上下文。这 说 明 书CN 103988534 A 4/8页 9 在用户当前正在访问的SGSN和服务用户的接入点的GGSN中分配PDP上下文数据结构。因 此,有利地使用PDP上下文来确定第一网络节点的连接会话;通过研究PDP上下文,可以确 定潜在恶意第一网络节点是否连接到网络。如前文所述,在备选实施例中,使用国际移动订 户标识(IMSI)网络附着/去附着过程或者控制面中的其它事件(又称为与“信令”有关) 来确定会话。此外,虽然根据每个用户单个PDP上下文来描述过。
30、程,但将其扩展到多个同时 的PDP上下文对本领域技术人员来说是显而易见的。 0029 图1提供本发明实施于其中的移动网络的阐述。为了阐述的目的,根据本发明的 实施例的方法由依赖于从移动网络11中的节点收集的信息的恶意软件检测功能(MDF)15 来执行。 0030 根据本发明的实施例,当第一网络节点12建立或者尝试建立与第二网络节点13 的通信时,对第一网络节点12的持续性的检测可以由实施MDF15的GGSN14来承担。应当注 意的是,MDF15可以在除GGSN14以外的其它网络组件中实施,例如,在3G网络的情况下实施 于无线网络控制器(RNC)中,或者在长期演进(LTE)网络的情况下实施于核心。
31、网络移动性 管理实体(MME)中,实施于eNodeB/Node B、通用路由器、交换机或者安全装置如入侵检测/ 防御系统或者防火墙中。因此,本发明的不同实施例所定义的用于检测网络节点的持续性 的功能不一定被包含在单个网络组件中,而是可以分布在多个网络组件中。将MDF15实施 于诸如GGSN(或者SGSN)的节点中的优点在于其能够访问针对较大用户群体的信令(PDP 上下文)和业务流。如果取而代之地利用IMSI网络附着/去附着信令来确定连接会话,则 MME是一个有利的选项。如果将功能性进一步向外移动到无线电接入网络(RAN)中,移动到 RNC或者甚至移动到NodeB/eNodeB,则仍能够获得会话。
32、信息,但是是针对较小用户集合。在 固定网络中,路由器/交换机/节点可以监听认证、授权和记账(AAA)或者DHCP信令,或者 可以由AAA或者DICP服务器自身来提供信令信息。此外,以上节点中的任意一个可以将信 息转发到安全操作中心或者网络操作中心中的运行实施本发明的应用的服务器,等等。 0031 实际上,MDF体现为一个或更多个微处理器的形式,该一个或更多个微处理器被布 置为执行下载到与微处理器相关联的合适存储介质16(诸如RAM、闪存或者硬盘)的计算 机程序17。微处理器15被布置为:当包括计算机可执行组件的适当计算机程序17被下载 到存储器16并由微处理器15执行时,至少部分实现根据本发明。
33、实施例的方法。存储介质 16可以是包括计算机程序17的计算机程序产品。备选地,可以通过承载计算机程序17的 合适计算机程序产品(诸如软盘、压缩盘或者记忆棒)的方式将计算机程序17转移到存储 介质16。作为另一备选,可以通过网络将计算机程序17下载到存储介质16。微处理器15 可以备选地体现为专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件 (CPLD)等形式。 0032 还参照图1,从能够接入控制面业务的控制面节点18(或者多个节点)(诸如路由 器或交换机)或者一些移动网络特定节点(诸如GGSN、分组数据网络网关(PDN-GW)、服务 网关(SGW)、SGSN、MME。
34、、RNC、BSC、NodeB、eNodeB等)收集控制面信息。移动网络控制面信 息可包括关于网络附着/去附着事件或者PDP上下文激活/去激活事件或者与设备(诸如 第一网络节点12)的数据连接有关的其它事件的信息。另外,特定相关或类似信息可以从 DHCP服务器或者AAA服务器获取。另一可能性是从用户设备收集补充控制面信息。除非另 有所述,以下描述焦点集中在来自移动网络节点的控制面信息。MDF15中的信令分析功能接 说 明 书CN 103988534 A 5/8页 10 收控制面信息并提取与网络附着/去附着和/或PDP上下文事件有关的信息,以创建用于 进行进一步分析的第一节点会话信息。其还提取持续。
35、订户标识符和其对“当前”IP地址的 绑定(可能是时变的)以将业务归属于订户。(下文关于固定接入来描述来自DHCP或AAA 的信息的使用,但其也可以是针对移动接入的选项)。 0033 从能够接入用户面业务的节点(即,用户面节点19,诸如路由器或交换机)或者一 些移动网络特有节点(诸如GGSN、PDN-GW、SGW、SGSN、RNC、BSC、NodeB、eNodeB等)收集流 级别(诸如NetF low或类似流汇总记录)或分组级别(完全或部分分组捕获)的业务面 信息。另外的可能性是从用户设备收集补充业务信息。MDF15中的业务分析功能接收用户 面业务信息且在必要时将其聚合到流(如果其并非已经在流级。
36、别)。其还从信令分析功能 接收控制面相关信息,并使用其向业务流指派订户标识符。 0034 MDF15中的持续性分析功能可以从信令分析功能接收关于用户会话的信息,并从 业务分析功能接收关于用户业务流的信息以便找到持续连接。 0035 攻击/可疑分析功能可以从网络安全节点(诸如防火墙、入侵检测系统、垃圾邮件 过滤装置、统一威胁管理装置、用户设备中的端点安全软件等)接收关于攻击和不必要业 务的信息。其还可以从网络中的操作和管理节点接收指示一些业务导致网络问题或者在此 方面可疑的信息。处理(例如进行相关)并传递此种传入报警用于进一步分析。 0036 相关功能可以使用来自业务分析功能的业务信息、来自持续。
37、性分析功能的关于持 续连接的信息以及来自攻击/可疑分析功能的传入报警来检查问题行为是否表现为与可 能指示导致问题行为的远程控制的持续连接相关。如果其找到针对导致问题的持续恶意软 件的支持证据,则其向可以警告网络运营商工作人员和/或受影响的用户的报警功能发送 报警。 0037 参照图2,本发明还可以实施于固定接入网络21中,其中,相同附图标记表示结合 图1所论述的相同类型的网络组件。实施于固定网络中与实施于无线网络中的不同之处在 于所使用的信令信息的类型,其中,在固定网络21中使用DHCP服务器和/或AAA服务器 28。有效用户认证周期(来自AAA服务器)或者有效IP租约(来自DHCP服务器)可。
38、以用 作连接会话的指示且使永久性网络节点标识符与IP地址相关联。因此,MDF15的内部工作 本质上相同,但是提供到信令分析功能的输入稍有不同。 0038 图3示出了阐述根据本发明实施例的检测第一网络节点的持续性的方法的流程 图。在步骤S101,MDF15(如前文所述,其可以实施于GGSN14中)在指定观测周期期间监 视第一网络节点12是否已建立到第二网络节点13的连接。然后,MDF15在步骤S102中确 定在指定观测周期期间发生于第一网络节点12与第二网络节点13之间的连接会话的总数 量。这可以通过分析PDP上下文的方式来实施。然后,在步骤S103中,根据会话的总数量, 确定包括第一网络节点1。
39、2与第二网络节点13之间的至少一个通信流的会话的数量。最后, 在步骤S104中,MDF15根据会话的所述总数量和包括至少一个通信流的会话的数量确定第 一网络节点12的会话间持续性。虽然图3所示方法示出了第一网络节点12与单个第二网 络节点13之间的网络节点持续性的检测,但实际上可以针对若干个不同目的地网络节点 实施持续性检测。 0039 图4展示出了阐述根据本发明另一实施例的检测第一网络节点的持续性的方法 的流程图。在步骤S201,在例如GGSN14中实施的MDF15在指定观测周期期间监视第一网 说 明 书CN 103988534 A 10 6/8页 11 络节点12是否已建立到第二网络节点1。
40、3的连接。然后,MDF15在步骤S202中确定在所述 指定观测周期期间在第一网络节点与第二网络节点之间发生的连接会话的总数量,且在步 骤S203中根据会话的总数量确定包括第一网络节点12与第二网络节点13之间的至少一 个通信流的会话的数量。因此,如可在图4的流程图中看到,本发明的这个特定实施例的方 法的前三个步骤S201到S203与图3所示的方法的前三个步骤S101到S103相同。此外, 在步骤S204中,将至少一个会话划分成若干个子会话,并在步骤S205中针对至少一个会话 确定包括第一网络节点12与第二网络节点13之间的至少一个通信流的子会话的数量。最 后,在步骤S206中,MDF15基于子。
41、会话的数量和包括至少一个通信流的子会话的所述数量, 确定针对至少一个会话的第一网络节点12的会话内持续性。 0040 如前文所述,图3和图4的对应实施例可以组合成确定会话间持续性和会话内持 续性以识别恶意网络节点的方法。在图5中所示的流程图中阐述本发明的这个实施例。如 结合图3和图4所描述,MDF15在步骤S301中,在指定观测周期期间监视第一网络节点12 是否已建立到第二网络节点13的连接。接着,MDF15在步骤S302中确定在指定观测周期 期间在第一网络节点12与第二网络节点13之间发生的连接会话的总数量。这可以通过分 析PDP上下文来实施。接着,在步骤S303中,根据会话的总数量,确定包。
42、括第一网络节点12 与第二网络节点13之间的至少一个通信流的会话的数量。在步骤S304中,MDF15根据会 话的所述总数量和包括至少一个通信流的会话的数量确定第一网络节点12的会话间持续 性。此外,在这个特定实施例中,在已执行步骤S303之后,在步骤S305中将至少一个会话 划分成若干个子会话。此后,在步骤S306中,针对至少一个会话确定包括第一网络节点12 与第二网络节点13之间的至少一个通信流的子会话的数量。此外,在步骤S307中,MDF15 根据子会话的数量和包括至少一个通信流的子会话的所述数量,确定针对至少一个会话的 第一网络节点12的会话内持续性。 0041 参照图5,应当注意的是,。
43、步骤S304可以与步骤S305到S307同时执行。然而,步 骤S304也可以在步骤S305到S307之前执行,或反之亦然。 0042 参照图6,阐述了根据本发明实施例的检测第一网络节点的持续性的更详细方法。 在业务面中,由五元组定义的 双向(IP)流(即,分别定义关于第一和第二网络节点的信息)和可能协议定义的端事件或 超时聚合如下:从特定源/第一节点标识符12去往特定目的地服务/第二网络节点13(目 的地标识符和端口)的流聚集成被称为流聚合(FA)的通信流集合。第一网络节点12定义 为流的发起方。可以通过IP地址来识别订户侧的源标识符或目的地标识符(依据发起者 流方向),但是对于订户标识优选地。
44、使用更持续的标识符,例如IMSI。在3GPP移动网络的 上下文中,使用订户标识符(IMSI)而不是使用源节点IP地址以避免由于使用动态分配的 IP地址(例如使用DHCP)所导致的端点信息混合。在另一侧(通常在订户网络外部),可 以通过IP地址或者DNS名称来识别端点。 0043 参照关于针对订户的会话的信令信息对每一个流聚合进行交叉检查。这可以是 (例如)PDP上下文信息或者分组网络附着/去附着信令。根据所使用的信息的类型,将会 话在时间上划定为从PDP上下文的开始到结束,或者从附着到去附着的时间。 0044 被称为观测时期的指定观测周期构成收集流信息的时间周期。图6示出了针对用 户的PDP上。
45、下文和业务流(针对不同远程端点用不同的线示出)。该图还示出了任意观测 说 明 书CN 103988534 A 11 7/8页 12 时期,其中,所观测PDP上下文和流至少部分地在该时期内。图4的最顶部行示出了与第二 网络节点r有关的有效会话。随后的三行示出了从第一网络节点u到相应目的地网络节点 的三个不同通信流,其中,中间行示出了第一网络节点u与第二网络节点r之间待监视的通 信流。 0045 因此,指定观测周期或观测时期e在时间t 1,e 开始且在t 2,e 结束。 0046 流聚合(FA)F u,r 被定义为包括在观测时期期间从第一节点u(例如,由IMSI识 别)到远程端点/服务/第二节点r。
46、(其中,根据IP/DNS名称及可选的端口/协议定义远 程端点/服务)的通信流集合,即其中,t 1,f 和t 2,f 是f的开 始和结束时间。 0047 F u,r 被定义为超集( ),其可包括在观测时期之前的流(即,可选地具 有一些历史信息)。 0048 在指定观测周期期间,第一网络节点与第二网络节点之间发生第一通信流的时 刻表示为t fc,u,r (针对F u,r ),即,从第一网络节点u与远程端点/服务r的第一次接触时 间,可能采用历史信息。 0049 假设第一网络节点u具有在e中发生的会话集合S u 。也就是说,S u 包括针对u 的会话s u (具有在观测时期内的开始和/或结束时间),。
47、即,当时,t 2,su 之t 1,e t 1, su t 2,e 成立,其中,t 1,su 和t 2,su 分别是s u 的开始和结束时间。 0050 针对F u,r 的会话集合S u,r (其中,)是针对第一网络节点u的所有会 话(其具有在去往/来自第二网络节点r的第一接触时间t fc,u,r 之后的结束时间和在观 测时期的结束t 2,e 之前的开始时间)的集合。也就是说,S u,r 是相对于去往/来自特定远 程端点/服务/第二节点r的业务定义的子集。 0051 针对第一节点u的去往/来自远程端点/服务的有效会话的集合是 其中,F u,r 是从第一节点u到远程端 点/服务/第二节点r/从远程。
48、端点/服务/第二节点r到第一节点u的流的集合,t 1,f 和 t 2,f 是f的开始时间和结束时间,且t 1,s 和t 2,s 是s的开始时间和结束时间。也就是说,具 有去往/来自远程端点/服务r的至少一个流的所有会话。 0052 相对于会话的开始(或者某个其它时间点)将会话划分成具有某一固定大小例 如10分钟的会话周期p i 。 0053 针对第一节点u的会话周期的集合(称为P u )包含属于S u 的所有周期(具有在 观测时期内的开始时间和/或结束时间),即,当时,t 2,pu,i 之t 1,e t 1,pu,i t 2,e 成立,其中,t 1,pu,i 和t 2,pu,i 是p u,i 。
49、的开始和结束时间。 0054 针对F u,r 的会话周期的集合P u,r (其中,)是S u,r (针对F u,r 的会话 集合)中的会话(具有在t fc,u,r (第一次接触时间)之后的结束时间和在t e,2 (观测时期 的结束)之前的开始时间)内的所有周期的集合。即,P u,r 是相对于去往/来自特定远程 端点/服务/第二节点r的业务定义的子集。 0055 针对第一节点u的去往/来自远程端点/服务r的有效会话周期集合P active,u,r 是其中,t 1,p 和t 2,p 是p的开始和结束 说 明 书CN 103988534 A 12 8/8页 13 时间。即,具有去往/来自远程端点/服务/第二节点r的至少一个流(在Fu,r中)的所 有会话周期。 0056 针对第一节点u的与远程端点/服务r相关的会话的总数量是| Su,r |(针对第 一节点u的与第二节点r相关的会话集合中的元素的数量)。 0057 针对第一节点u的去往/来自远程端点/服务r的有效会话的数量是|S ac。