CN106416178A - 用于识别自主的、自传播的软件的方法和设备 - Google Patents
用于识别自主的、自传播的软件的方法和设备 Download PDFInfo
- Publication number
- CN106416178A CN106416178A CN201580006491.3A CN201580006491A CN106416178A CN 106416178 A CN106416178 A CN 106416178A CN 201580006491 A CN201580006491 A CN 201580006491A CN 106416178 A CN106416178 A CN 106416178A
- Authority
- CN
- China
- Prior art keywords
- designator
- network
- unit
- computing unit
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及用于识别自主的、自传播的软件的方法和设备。本发明涉及用于识别第一网络中的至少一个第一计算单元中的自主的、自传播的恶意软件的方法和设备,其中所述第一网络经由第一连接与第二网络耦合,具有以下方法步骤:a)生成至少一个第一指示符,所述至少一个第一指示符指定所述至少一个第一计算单元的第一行为;b)生成至少一个第二指示符,所述至少一个第二指示符指定第二网络中的至少一个第二计算单元的第二行为;c)将所述至少一个第一指示符和所述至少一个第二指示符传送给相关组件;d)通过使所述至少一个第一指示符与所述至少一个第二指示符的相关来产生至少一个相关结果;e)如果在比较时能够规定的阈值被相关结果超出,则输出提示信号。
Description
技术领域
本发明涉及用于识别自主的、自传播的软件的方法和设备。
背景技术
利用恶意代码(英文:恶意软件程序)的攻击近年来已成为严重的威胁,所述恶意代码以未被授权的方式被传输到计算机系统上,意图损害该计算机系统上的数据、应用或操作系统的机密性,完整性或可用性。已知类型的恶意软件是病毒、蠕虫、特洛伊木马、隐匿技术(Rootkit)和间谍软件。利用恶意代码的散布或者感染可以经由电子邮件、网站、文件下载和文件共享以及对等软件、即时消息传送以及也通过计算机系统的直接的个人操纵来进行。
为了解决这些攻击,已知实现方案。例如,具有标题“用于识别恶意软件的方法和系统(Verfahren und System zum Erkennen einer Schadsoftware)”的德国实用新型DE10 2010 008 538 A1描述一种用于识别计算机存储系统中的恶意软件的解决方案。另一个具有标题“用于探测由机器实施的恶意代码的系统(System zum Detektieren von durcheine Maschine ausgeführtem Schadcode)”的德国实用新型DE 20 2013 102 179 U1论述用于探测恶意软件的系统,所述恶意软件的代码由虚拟机实施。
此外,在专用网络中运行的安全关键系统现在不直接与因特网连接,而是首先仅经由另一网络、例如办公网络或用于配置专用网络的网络才可达。
在此,受保护的专用网络是如下计算机网络,所述计算机网络通过合适的技术措施、诸如Firewall(防火墙)或者air-gap(空气间隙)来与其它网络、如办公网络以及因特网分离。所考虑的系统的示例是例如用于处理敏感数据的关键基础结构或系统中的工业控制设施。
专用网络的示例是作业线的自动化网络,在所述作业线中作业机器人是安全关键系统。因此,通过与公共网络“解耦”实现保护专用网络免受从公共网络开始的恶意软件攻击。此外,在专用网络中的安全关键系统上也采用传统的识别机制、如反病毒。
然而表明,专用网络的解耦以及在专用网络的持续运行中恶意软件攻击的监视不提供绝对可靠的免受有针对性的攻击的保护,因为例如可能由用户将来自另外的网络的受感染的数据传输到专用网络中。即使在另外的网络和专用网络物理分离的情况下,受感染的数据也可能经由移动数据载体、诸如USB棒(USB-Universal Serial Bus(通用串行总线))到达专用网络中并且因此到达安全关键系统上。这尤其在自主的、自传播的恶意软件的情况下出现。
发明内容
因此,本发明的任务是改进尤其通过自传播的恶意软件对专用网络中的安全关键系统的攻击的识别。
所述任务通过独立权利要求的特征来解决。本发明的改进方案可以从从属权利要求中得知。
本发明涉及用于识别第一网络中的至少一个第一计算单元中的自主的、自传播的恶意软件的方法,其中所述第一网络经由第一连接与第二网络耦合,所述方法具有以下方法步骤:
a)生成至少一个第一指示符,所述至少一个第一指示符指定至少一个第一计算单元的第一行为;
b)生成至少一个第二指示符,所述至少一个第二指示符指定第二网络中的至少一个第二计算单元的第二行为;
c)将所述至少一个第一指示符和所述至少一个第二指示符传送给相关组件;
d)通过使所述至少一个第一指示符与所述至少一个第二指示符相关来产生至少一个相关结果;
e)如果在比较时能够规定的阈值被所述相关结果超出,则输出提示信号。
所述方法示出如下优点:特定的恶意软件类型“自主的、自传播的恶意软件”可以通过如下方式被识别,即所述恶意软件类型出现在分别属于不同的网络的两个独立的计算单元上。该情况尤其在工业环境中有最高意义,因为在所谓的专用网络中对于恶意软件侵袭关键的系统、诸如作业线、机器人系统、印钞机在那里。这些专用网络可以与其它网络、如具有用于数据处理的计算机的办公网络在物理上分离或至少通过电子访问控制来去耦,使得数据交换只能在特殊情况下进行。
所述方法能够广泛地被用于任何类型的自主的、自传播的恶意软件,使得即使对于所提到的类型的未知的恶意软件来说也可以实现高的识别率。术语“行为”在该说明书的范围中被理解为相应的第一或者第二计算单元执行的一个或多个活动、诸如数据或确定的文件名称到被分配给相应的计算单元的存储单元上的写入或者从被分配给相应的计算单元的存储单元的读取、例如分别具有确定的过程名称和/或过程标识符的过程的开始、暂停、停止或终止。所述行为可以描述在确定的时间点相应的计算单元或者所分配的活动的状态和/或在一个时间段期间相应的活动的改变。
有利地,通过第一网络构成用于监视和/或控制工业设施的技术过程的系统并且通过第二网络构成办公通信网络。恰好在这种情况下所述方法的采用是特别高效的,因为办公网络由于其到用于与外部交换信息的其它网络、如因特网的连接特别易受自主的、自传播的恶意软件影响。此外,相同的人员利用第一和第二网络中的相应的计算单元,使得由于数据交换而在第一网络中、即在专用网络中存在由自主的、自传播的恶意软件引起的高的危害潜力。
在本发明的一种可选的改进方案中,通过至少一个第一指示符和至少一个第二指示符来确定关于至少一个第一计算单元和至少一个第二计算单元的以下信息中的至少一种的相应的行为:
- 存储介质上的至少一个文件名称;
- 持续的或被停止的过程的至少一个名称;
- 入侵探测系统的至少一个结果;
- 在第一和第二网络之内的网络通信数据的特性。
这些信息中的至少一种的使用是有利的,因为相应的信息可以在没有大的技术耗费的情况下被确定并且此外以简单的方式实现自主的、自传播的恶意软件的存在的证明。
在一种改进方案中,根据相应的信息的变化、尤其根据相应的信息的出现频率来确定至少一个第一指示符和至少一个第二指示符。由此能够有利地以可靠以及简单的方式探究时间上的大量的异常、如相应的计算单元的确定的行为的大量出现、或者确定的信息的时间流程。
在本发明的一个变型方案中,至少一个第一指示符和所述至少一个第二指示符以有规律的间距被生成。由此保证:执行鉴于自主的、自传播的恶意软件对第一和第二计算单元的连续监视并且因此实现在识别该恶意软件类型时的高可靠性。尤其由此保证自主的、自传播的恶意软件的更早的识别,由此由恶意软件所造成的损害可以被保持为小的。此外,也可以避免“传染”另外的计算单元或至少阻挡恶意软件的散布。
在本发明的另一种变型方案中,通过至少一个第一指示符以第一时间间隔指明第一类型的行为并且通过至少一个第二指示符以第二时间间隔指明第一类型或另外的类型的行为,其中第二时间间隔在时间上被布置在第一时间间隔之前。由此能够有利地识别自主的、自传播的恶意软件的行为模式,以此改进恶意软件的探测。例如,恶意软件的活动性在侵袭相应的计算单元之后是特别高的并且然后指数地降低。因此,可以不在相同的时间点但是在两个不同的时间点非常良好地证实所述恶意软件在第一和第二计算单元上的存在。
在本发明的一种可选的改进方案中,在至少一个第二计算单元的至少一个数据字被传输给了至少一个第一计算单元之后才执行所述方法的步骤a)、c)、d)、e)中的至少一个。由此有利地实现:只有当例如借助于USB棒进行了数据通信、即从第二计算单元到第一计算单元的数据供应时才必须执行除了方法步骤b)之外的另外的方法步骤。数据通信通过至少一个数据字的传输来构成,其中所述数据字可以包括一个或多个字节、诸如被输送到第一计算单元中的文件的所有字节。
本发明还涉及用于识别第一网络中的至少一个第一计算单元中的自主的、自传播的恶意软件的设备,其中所述第一网络能够经由第一连接与第二网络耦合,所述设备具有以下单元:
a)第一单元,所述第一单元用于生成至少一个第一指示符,所述至少一个第一指示符指定至少一个第一计算单元的第一行为;
b)第二单元,所述第二单元用于生成至少一个第二指示符,所述至少一个第二指示符指定第二网络的至少一个第二计算单元的第二行为;
c)第三单元,所述第三单元用于将所述至少一个第一指示符和至少一个第二指示符传送给相关组件;
d)第四单元,所述第四单元用于通过使至少一个第一指示符与至少一个第二指示符相关来产生至少一个相关结果,
e)第五单元,所述第五单元用于如果在比较时能够规定的阈值被所述相关结果超出,则输出提示信号。
有利地,第一单元和第二单元被构造用于生成关于以下信息中的至少一种的相应的行为的至少一个第一指示符和至少一个第二指示符:
- 存储介质上的至少一个文件名称,
- 持续的或被停止的过程的至少一个名称,
- 入侵探测系统的至少一个结果,
- 在第一和第二网络之内的网络通信数据的特性。
此外,第一单元和第二单元可以根据相应的信息的变化、尤其根据相应的信息的出现频率来执行至少一个第一指示符和至少一个第二指示符的生成。
在所述设备的一种可选的改进方案中,第一单元和第二单元以有规律的时间间距执行至少一个第一指示符和至少一个第二指示符的生成。
在本发明的一种有利的改进方案中,通过至少一个第一指示符能够以第一时间间隔指明第一类型的行为并且通过至少一个第二指示符能够以第二时间间隔指明第一类型或另一类型的行为,其中第二时间间隔在时间上被布置在第一时间间隔之前。
关于本发明的设备的相应构造方案的优点和解释与相对应的方法步骤类似。此外,另外的所介绍的方法步骤可以通过所述设备借助于第六单元来实现以及实施。
附图说明
借助附图来进一步解释本发明及其改进方案。详细地:
图1示出本发明的一种示例性的实施方式的示例性图示,
图2示出用于执行本发明的示意性流程图,
图3示出如下设备,所述设备借助于多个单元来实现本发明。
具有相同的功能以及作用方式的元件在图中配备有相同的附图标记。
具体实施方式
随后借助根据图1的用于汽车制造商的作业机器人的工业设施来描述本发明的一个示例。在汽车制造商的情况下运行如下作业线,所述作业线由多个焊接机器人以及分别所属的也被称为第一计算单元RE1、RE11、RE12、RE13的控制单元构成。第一计算单元经由第一网络NET1相互连接。第一网络借助于LAN(LAN - Local Area Network - 局域网)来实现。第一网络在这种情况下是专用网络。
汽车制造商此外拥有办公网络NET2,在所述办公网络中由研究、销售、服务和市场运行第二计算单元RE2、RE21、RE22。这些第二计算单元可以以工作PC和/或移动终端设备的形式被构造。办公网络NET2也被称为第二网络NET2。第二网络经由第二连接V2借助于DSL调制解调器(DSL- Digital Subscriber Line(数字用户线路))与因特网INT连接。在第二网络NET2之内,相应的第二计算单元在该示例中借助于LAN相互联网。
服务工作人员经由其工作PC在因特网INT中从网络服务器WS为焊接机器人的控制单元之一下载服务更新SU。在此,具有名称“XXXX.exe”的恶意软件BD以未被工作人员察觉的方式从网络服务器WS侵入到工作PC RE2中。
随后,服务工作人员想要将新的焊接软件引入控制单元RE1中。为此,服务工作人员将新的焊接软件与服务更新SU一起从其工作PC RE2加载到移动存储介质V1、例如USB棒上。USB棒用于从第二网络的第二计算单元到第一网络中的第一计算单元的数据传输。因此,移动存储介质V1是第一网络和第二网络之间的第一连接V1。在一个替代方案中,可以通过有线介质、例如LAN连接来进行第一连接。
存在于服务PC上的恶意软件BD以未被服务工作人员察觉的方式例如作为服务更新SU的一部分也加载到USB棒上。随后,服务工作人员将USB棒从工作PC移除并且将该USB棒插入到控制单元的USB端口中。在将新的焊接软件传输到控制单元中时,恶意软件BD也将自己复制到焊接机器人RE1的控制单元中。
为了识别自主的、自传播的恶意软件,工作PC RE2和焊接机器人RE1被监视。为此,焊接机器人RE1的控制单元例如每一秒确定在其计算单元上在上一秒期间开始的程序、例如所有的具有文件名称结尾“.exe”的所开始的程序,所述控制单元以列表的形式作为第一指示符I1来存放所述程序。与此类似地,工作PC每一秒确定在其计算单元上在上一秒中开始的程序、例如所有的具有文件名称结尾“.exe”的所开始的程序,所述工作PC以列表的形式作为第二指示符I2存放所述程序。第一指示符I1和第二指示符I2被传送给相关组件KK。相关组件是例如处于第一和第二网络之外的计算机。第一和第二指示符的传输经由WLAN(WLAN - Wireless LAN,无线局域网)来进行。
第一指示符I1例如包括以下文件名称:
- D1519.exe
- G011A.exe
- XXXX.exe
第二指示符I2例如包括以下文件名称:
- NN4711.exe
- MCHP.exe
- DD22DD0a.exe
- XXXX.exe
- D55.exe
相关组件将第一和第二指示符的相应的列表进行比较并且确认在文件名称XXXX.exe方面的一致性。因此,通过列表的比较产生相关结果,所述相关结果指明文件XXXX.exe。
指明自主的、自传播的恶意软件的识别的能够规定的阈值SW在该示例中被定义,使得如果相关结果指明至少一个文件名称,则所述阈值被超出。
因为相关结果指明文件名称XXXX.exe,所以能够规定的阈值SW被超出,使得提示信号HS被输出。由此向安全专员指明第一和第二网络中的恶意软件的识别。指明借助于由第五单元E5控制的提示灯HS来进行。
为了减少错误警报,在所述实施例的一种改进方案中通过第一或者第二计算单元或者通过相关组件将如下那些文件名称或者信息从第一和/或第二指示符I1、I2中去除,所述文件名称或者信息根据关于在相应的计算单元上所采用的操作系统和/或在没有恶意软件的情况下所安装的程序的先验知识在相应的计算单元上被预料到。例如假定:第一和第二计算单元在首次安装之后在没有自主的、自传播的恶意软件的情况下被安装。紧接着,例如在两天内产生针对第一和第二指示符的列表。接着,在相应的计算单元和/或相关组件中产生具有被包含在相应的指示符中的信息的至少一部分的基本列表。相关结果的创建以及与阈值的比较不在该初始化阶段中进行。在初始化阶段结束之后,具有信息的排除列表可用于相应的指示符,其中这些信息在相关结果的创建中被排除。
在上述示例中,针对第一指示符的第一排除列表包括文件名称“D1519.exe”和“G011A.exe”,以及针对第二指示符的第二排除列表包括文件名称“N4711.exe”。由此针对第一指示符I1得出“XXXX.exe”并且针对第二指示符I2得出“MCHP.exe”、“DD22DD0a.exe”、“XXXX.exe”和“D55.exe”。该指示符的信息的检查与上述实施例类似地进行。
在另一实施例中,相应的指示符指明:哪些文件名称在所考虑的时间段、例如一分钟内已被重新写到被分配给相应的计算单元的存储介质上和/或已被改变。
与上述示例类似地,如果相同的文件名称通过指示符被指明,则恶意软件被识别。
确定的文件名称的排除可以如上面所示出的那样进行。
在本发明的另一示例性变型方案中,可以在相应的计算单元RE1和RE2中监视确定的过程出现的频率并且作为第一和第二指示符I1、I2形式的信息传送给相关组件KK。
第一指示符I1例如包括以下过程名称及其频率:
- P1212,125次
- P7781N,1次
- Pbad12X,999次
第二指示符I2例如包括以下过程名称及其频率:
- NN4711p,12次
- MC1212,22次
- DD22DD0a,100次
- Pbad12X,1210次
- D55,55次
相关组件识别:过程“Pbad12X”不仅在工作PC中而且在焊接机器人的控制单元中出现。此外,提到过的过程非常大量地出现。相关组件从中可以推断出:相同的过程“Pbad12X”在两个不同地被设计的计算单元、即工作PC和焊接机器人中在相应的过程流程中分别担任非常主要的角色。由此作为相关结果得出:工作PC和控制单元中的相同的过程指明非常相似以及显眼的行为。因此,过程“Pbad12X”在第一指示符中以频率999 / ( 999+1+125) = 88,8%并且在第二指示符中以频率1210 / (12+22+100+1210+55) = 86.5%出现。能够规定的阈值指明:提到过的过程在两个计算单元中以大于85%的出现频率出现。由此,指明确定的过程与其它过程相比的频率的能够规定的阈值SW被第一和第二指示符超出。在此情况下,恶意软件在过程“Pbad12X”中被识别并且提示信号被输出。
本发明的另一示例性实施方式可以经由所观察的网络通信数据的特性来进行并且涉及进程或过程的所有类型的直接的系统的数据检测、记录和监视。相应的第一和第二网络的从相应的第二计算单元出发朝着第一计算单元的方向的网络通信监视为此定期地被执行,以便能够借助结果的校正来识别确定的阈值是未被超出还是被超出。
在另一示例性实施方案中,可以执行多个指示符的观察。例如在所述实施例中所考虑的“XXXX.exe”的出现可以与相应的计算单元上的存储行为相组合地被视为指示符。
在另一示例中,在网络NET1中以及在办公网络NET2中分别安装了入侵探测系统(网络侵入检测系统)。入侵探测系统从第一和第二计算单元的日志文件、内核数据以及其它系统数据获得其信息并且一旦入侵探测系统识别出可能的攻击,就发警报。网络NET1和NET2的入侵探测系统将所检测的事件借助于相应的指示符发送给相关组件KK,所述相关组件检查是否在网络NET1中攻击预先发生以及是否在时间上相同的或相似的攻击在办公网络NET2中预先发生。如果情况如此,则经由提示信号发生器E5输出提示信号HS。
在以前的示例中分别解释了仅仅一个第一以及一个第二计算单元。因此,所述示例可以如下被扩展:存在分别将第一或者第二指示符发送给相关组件的多个第一以及多个第二计算单元。在此,文件和/或过程出现的频率也可以如下被分析:相应的频率经由所有第一指示符或者所有第二指示符被确定。在这种情况下,除了利用恶意软件侵袭相应的第一或者第二计算单元之外还检测多个第一或者第二计算单元的侵袭。
在图2中示出了用于识别恶意代码的方法的一个实施例的流程图。
所述方法以步骤S0开始。
在步骤S1中,检测第一指示符中的至少一个第一指示符,所述至少一个第一指示符指定第一计算单元的第一行为。
在步骤S2中,检测第二指示符中的至少一个第二指示符,所述至少一个第二指示符指定第二网络的第二计算单元的第二行为。
在步骤S3中,将第一指示符和第二指示符传送给相关组件。
在步骤S4中,通过使第一指示符与第二指示符相关来产生相关结果。
在步骤S5中,将相关结果与能够规定的阈值进行比较。如果阈值未被超出,则所述方法以步骤S7继续。如果阈值被超出,则接着进行步骤S6。
在步骤S6中,输出指示信号并且因此识别恶意软件的存在。
在步骤S7中,检验所预给定的时间间隔是否期满了。如果情况如此,进行步骤S8。如果情况不是如此,进行步骤S2。一直经历该循环x,直至所预给定的时间间隔、例如1分钟期满了。
所述方法在步骤S8中结束。
本发明还涉及用于识别第一网络中的至少一个第一计算单元中的自主的、自传播的恶意软件的设备,其中所述第一网络能够经由第一连接与第二网络耦合,所述设备具有以下单元,见图3:
a)第一单元E1,所述第一单元用于生成至少一个第一指示符,所述至少一个第一指示符指定至少一个第一计算单元的第一行为;
b)第二单元E2,所述第二单元用于生成至少一个第二指示符,所述至少一个第二指示符指定第二网络的至少一个第二计算单元的第二行为;
c)第三单元E3,所述第三单元用于将所述至少一个第一指示符和至少一个第二指示符传送给相关组件;
d)第四单元E4,所述第四单元用于通过使至少一个第一指示符与至少一个第二指示符相关来产生至少一个相关结果,
e)第五单元E5,所述第五单元用于如果在比较时所述相关结果超出能够规定的阈值,则输出提示信号。
相应的单元以及相关组件可以以软件、硬件来实现或者以软件和硬件的组合来实现。因此,相应的单元可以被设计用于经由输入和输出接口相互之间通信。这些接口直接或间接与处理器单元耦合,所述处理器单元针对相应的要实施的步骤从被连接到处理器单元上的存储单元读出以及处理编码指令。
尽管通过优选的实施例详细地进一步图解以及描述了本发明,但是本发明不因此受所公开的示例限制并且其它的变型方案可以由本领域技术人员在不离开本发明的保护范围的情况下从中导出。尤其可以任意地组合各个示例。
Claims (12)
1.用于识别第一网络(NET1)中的至少一个第一计算单元(RE1)中的自主的、自传播的恶意软件的方法,其中所述第一网络(NET1)经由第一连接(V1)与第二网络(NET2)耦合,所述方法具有以下方法步骤:
a)生成至少一个第一指示符(I1),所述至少一个第一指示符指定所述至少一个第一计算单元(RE1)的第一行为;
b)生成至少一个第二指示符(I2),所述至少一个第二指示符指定所述第二网络(NET2)中的至少一个第二计算单元(RE2)的第二行为;
c)将所述至少一个第一指示符(I1)和所述至少一个第二指示符(I2)传送给相关组件(KK);
d)通过使所述至少一个第一指示符(I1)与所述至少一个第二指示符(I2)相关来产生至少一个相关结果(KE),
e)如果在比较时能够规定的阈值(SW)被所述相关结果(KE)超出,则输出提示信号(HS)。
2.根据权利要求1所述的方法,
其特征在于,
通过所述第一网络(NET1)构成用于监视和/或控制工业设施的技术过程的系统,并且通过所述第二网络(NET2)构成办公通信网络。
3.根据权利要求1或2所述的方法,
其特征在于,
通过所述至少一个第一指示符(I1)和所述至少一个第二指示符(I2)来确定关于所述至少一个第一计算单元(RE1)和所述至少一个第二计算单元(RE2)的以下信息中的至少一种的相应的行为:
- 存储介质上的至少一个文件名称;
- 持续的或被停止的过程的至少一个名称;
- 入侵探测系统的至少一个结果;
- 在所述第一和第二网络(NET1、NET2)之内的网络通信数据的特性。
4.根据权利要求3所述的方法,
其特征在于,
根据相应的信息的变化、尤其根据相应的信息的出现频率来确定所述至少一个第一指示符(I1)和所述至少一个第二指示符(I2)。
5.根据权利要求1至3之一所述的方法,
其特征在于,
以有规律的间距生成所述至少一个第一指示符(I1)和所述至少一个第二指示符(I2)。
6.根据前述权利要求之一所述的方法,
其特征在于,
通过所述至少一个第一标识符(I1)以第一时间间隔(T1)指明所述至少一个第一计算单元(RE1)的第一类型的行为并且通过所述至少一个第二指示符以第二时间间隔(T2)指明所述至少一个第二计算单元(RE2)的第一类型的行为,所述第二时间间隔(T2)在时间上被布置在所述第一时间间隔(T1)之前。
7.根据前述权利要求之一所述的方法,
其特征在于,
在所述至少一个第二计算单元(RE2)的至少一个数据字被传输给了所述至少一个第一计算单元(RE1)之后才执行步骤a)、c)、d)、e)中的至少一个。
8.用于识别第一网络(NET1)中的至少一个第一计算单元(RE1)中的自主的、自传播的恶意软件的设备(VOR),其中所述第一网络(NET1)经由第一连接(V1)与第二网络(NET2)耦合并且所述第二网络(NET2)经由第二连接(V2)与公共网络(INT)耦合,所述设备具有以下单元:
a)第一单元(E1),所述第一单元用于生成至少一个第一指示符(I1),所述至少一个第一指示符指定所述至少一个第一计算单元(RE1)的第一行为;
b)第二单元(E2),所述第二单元用于生成至少一个第二指示符(I2),所述至少一个第二指示符指定所述第二网络(NET2)的至少一个第二计算单元(RE2)的第二行为;
c)第三单元(E3),所述第三单元用于将所述至少一个第一指示符(I1)和所述至少一个第二指示符(I2)传送给相关组件(KK);
d)第四单元(E4),所述第四单元用于通过使所述至少一个第一指示符(I1)与所述至少一个第二指示符(I2)相关来产生至少一个相关结果(KE);
e)第五单元(E5),所述第五单元用于如果在比较时所述相关结果(KE)超出能够规定的阈值(SW),则输出提示信号(HS)。
9.根据权利要求8所述的设备,
其特征在于,
所述第一单元(E1)和所述第二单元(E2)为了生成所述至少一个第一指示符(I2)和所述至少一个第二指示符(I2)而确定关于以下信息中的至少一种的相应的行为:
- 存储介质上的至少一个文件名称;
- 持续的或被停止的过程的至少一个名称;
- 入侵探测系统的至少一个结果;
- 在第一和第二网络(NET1、NET2)之内的网络通信数据的特性。
10.根据权利要求9所述的设备(VOR),
其特征在于,
所述第一单元(E1)和所述第二单元(E2)根据相应的信息的变化、尤其根据相应的信息的出现频率来执行所述至少一个第一指示符(I1)和至少一个第二指示符(I2)的生成。
11.根据权利要求8至9之一所述的设备(VOR),
其特征在于,
所述第一单元(E1)和所述第二单元(E2)以有规律的间距生成所述至少一个第一指示符(I2)和所述至少一个第二指示符(I2)的生成。
12.根据权利要求8至11之一所述的设备(VOR),
其特征在于,
通过所述至少一个第一标识符(I1)能够以第一时间间隔(T1)指明第一类型的行为并且通过所述至少一个第二指示符能够以第二时间间隔(T2)指明所述第一类型的行为,所述第二时间间隔(T2)在时间上被布置在所述第一时间间隔(T1)之前。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102014201592.8A DE102014201592A1 (de) | 2014-01-29 | 2014-01-29 | Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software |
| DE102014201592.8 | 2014-01-29 | ||
| PCT/EP2015/050743 WO2015113836A1 (de) | 2014-01-29 | 2015-01-16 | Verfahren und vorrichtungen zum erkennen von autonomer, selbstpropagierender software |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106416178A true CN106416178A (zh) | 2017-02-15 |
Family
ID=52354984
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580006491.3A Pending CN106416178A (zh) | 2014-01-29 | 2015-01-16 | 用于识别自主的、自传播的软件的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20170041329A1 (zh) |
| EP (1) | EP3055975A1 (zh) |
| CN (1) | CN106416178A (zh) |
| DE (1) | DE102014201592A1 (zh) |
| WO (1) | WO2015113836A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10491467B2 (en) * | 2014-05-23 | 2019-11-26 | Nant Holdings Ip, Llc | Fabric-based virtual air gap provisioning, systems and methods |
| US10454950B1 (en) * | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US11182476B2 (en) * | 2016-09-07 | 2021-11-23 | Micro Focus Llc | Enhanced intelligence for a security information sharing platform |
| WO2021038527A1 (en) * | 2019-08-30 | 2021-03-04 | Waikatolink Limited | Systems and methods for enhancing data provenance by logging kernel-level events |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050015624A1 (en) * | 2003-06-09 | 2005-01-20 | Andrew Ginter | Event monitoring and management |
| US20110179487A1 (en) * | 2010-01-20 | 2011-07-21 | Martin Lee | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
| WO2012166873A2 (en) * | 2011-06-03 | 2012-12-06 | Voodoosoft Holdings, Llc | Computer program, method, and system for preventing execution of viruses and malware |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| DE102010008538A1 (de) | 2010-02-18 | 2011-08-18 | zynamics GmbH, 44787 | Verfahren und System zum Erkennen einer Schadsoftware |
| US8839435B1 (en) * | 2011-11-04 | 2014-09-16 | Cisco Technology, Inc. | Event-based attack detection |
| US9088606B2 (en) * | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| US20140173577A1 (en) * | 2012-12-19 | 2014-06-19 | Asurion, Llc | Patchless update management on mobile devices |
| RU2522019C1 (ru) | 2012-12-25 | 2014-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной |
| US20160127417A1 (en) * | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
| JP2018081514A (ja) * | 2016-11-17 | 2018-05-24 | 株式会社日立ソリューションズ | マルウェアの解析方法及び記憶媒体 |
-
2014
- 2014-01-29 DE DE102014201592.8A patent/DE102014201592A1/de not_active Withdrawn
-
2015
- 2015-01-16 EP EP15700477.1A patent/EP3055975A1/de not_active Withdrawn
- 2015-01-16 WO PCT/EP2015/050743 patent/WO2015113836A1/de active Application Filing
- 2015-01-16 US US15/107,112 patent/US20170041329A1/en not_active Abandoned
- 2015-01-16 CN CN201580006491.3A patent/CN106416178A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050015624A1 (en) * | 2003-06-09 | 2005-01-20 | Andrew Ginter | Event monitoring and management |
| US20110179487A1 (en) * | 2010-01-20 | 2011-07-21 | Martin Lee | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails |
| WO2012166873A2 (en) * | 2011-06-03 | 2012-12-06 | Voodoosoft Holdings, Llc | Computer program, method, and system for preventing execution of viruses and malware |
Non-Patent Citations (2)
| Title |
|---|
| AHMED F. SHOSHA等: ""Detecting cyber intrusions in SCADA networks using multi-agent collaboration"", 《2011 16TH INTERNATIONAL CONFERENCE ON INTELLIGENT SYSTEM APPLICATIONS TO POWER SYSTEMS》 * |
| LINDA BRIESEMEISTER等: ""Detection, correlation, and visualization of attacks against critical infrastructure systems"", 《2010 EIGHTH INTERNATIONAL CONFERENCE ON PRIVACY, SECURITY AND TRUST》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102014201592A1 (de) | 2015-07-30 |
| EP3055975A1 (de) | 2016-08-17 |
| WO2015113836A1 (de) | 2015-08-06 |
| US20170041329A1 (en) | 2017-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10728263B1 (en) | Analytic-based security monitoring system and method | |
| CN106790186B (zh) | 基于多源异常事件关联分析的多步攻击检测方法 | |
| US20200366694A1 (en) | Methods and systems for malware host correlation | |
| US10609079B2 (en) | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management | |
| CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
| JP5972401B2 (ja) | 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム | |
| US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
| CN106796639B (zh) | 用于可信执行环境的数据挖掘算法 | |
| JP4755658B2 (ja) | 解析システム、解析方法および解析プログラム | |
| JP4938576B2 (ja) | 情報収集システムおよび情報収集方法 | |
| US10356119B1 (en) | Detection of computer security threats by machine learning | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| JP2016152594A (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
| CN109155774A (zh) | 用于检测安全威胁的系统和方法 | |
| JP5389855B2 (ja) | 解析システム、解析方法および解析プログラム | |
| JP6096389B2 (ja) | 検知装置、検知方法及び検知プログラム | |
| CN106416178A (zh) | 用于识别自主的、自传播的软件的方法和设备 | |
| WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
| US20190116103A1 (en) | System and method for botnet identification | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| JP2010250607A (ja) | 不正アクセス解析システム、不正アクセス解析方法、および不正アクセス解析プログラム | |
| JP6067195B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
| CN114466074B (zh) | 一种基于wmi的攻击行为检测方法及装置 | |
| JP2018156561A (ja) | ソフトウェア評価プログラム、ソフトウェア評価方法、及び情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170215 |