CN110099038A - 检测对计算设备的攻击 - Google Patents

检测对计算设备的攻击 Download PDF

Info

Publication number
CN110099038A
CN110099038A CN201910098468.1A CN201910098468A CN110099038A CN 110099038 A CN110099038 A CN 110099038A CN 201910098468 A CN201910098468 A CN 201910098468A CN 110099038 A CN110099038 A CN 110099038A
Authority
CN
China
Prior art keywords
equipment
calculating equipment
calculating
initial
instruction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910098468.1A
Other languages
English (en)
Other versions
CN110099038B (zh
Inventor
普尼特·夏蒙
阿南德·穆德里卡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of CN110099038A publication Critical patent/CN110099038A/zh
Application granted granted Critical
Publication of CN110099038B publication Critical patent/CN110099038B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了检测对计算设备的攻击。一种示例系统可以包括包含指令的第一计算设备,指令由硬件处理器可执行,以:响应于检测到第二计算设备最初尝试连接到网络,而创建第二计算设备的未填充的基线简档;在第二计算设备的初始操作时间段期间,利用在第二计算设备上运行的初始进程和由初始进程进行的初始系统调用来填充基线简档;在第二计算设备的后续操作时间段期间,监视在第二计算设备上运行的后续进程以及由后续进程进行的后续系统调用;以及基于后续进程及后续系统调用与填充的基线简档的比较,来检测对第二计算设备的攻击。

Description

检测对计算设备的攻击
背景技术
计算设备在家庭、商业和各种其他环境中越来越普及。计算设备可以连接到计算机网络并通过计算机网络进行通信。计算设备可以利用计算机网络与其他计算设备交换数据。计算设备可以是网络攻击的目标。例如,可利用计算设备的漏洞来接管或以其他方式改变计算设备的操作以实现恶意目的。在示例中,网络攻击可以用僵尸网络感染计算设备,并利用受感染的计算设备对目标机器或资源执行分布式拒绝服务攻击,以临时或无限地破坏连接到互联网的主机的服务。
附图说明
图1示出了与本公开一致的用于进程和系统调用攻击检测的系统的示例。
图2示出了与本公开一致的用于进程和系统调用攻击检测的处理资源和非暂时性机器可读介质的示例的图。
图3示出了与本公开一致的用于进程和系统调用攻击检测的方法的示例的流程图。
图4示出了与本公开一致的用于进程和系统调用攻击检测的系统的示例的操作序列图。
图5示出了与本公开一致的用于进程和系统调用攻击检测的加密系统的示例的操作序列图。
具体实施方式
计算设备几乎融入到现代生活的每个方面。诸如台式计算机、笔记本计算机、平板计算机和智能电话的计算设备是普遍用于处理和传送数据的计算设备的一个示例。可以通过反病毒和/或反恶意软件应用程序来保护这些设备免受和/或监视这些设备的网络攻击。可以在计算设备上加载和/或由计算设备执行反病毒和/或反恶意软件应用程序。反病毒和/或反恶意软件应用程序可以利用计算设备的计算资源来进行操作。
另一种类型的计算设备可以是物联网(IoT)设备。IoT设备可以包括非通用计算设备。也就是说,IoT设备可以是专用计算设备。例如,IoT设备可以包括可以包含嵌入式电子设备、硬件处理器、可由硬件处理器执行的指令、传感器、致动器和/或显示器的设备、家用电器、车辆、可植入监视器、对象等。物联网设备的一些示例可包括智能扬声器、智能恒温器、智能灯泡、智能锁、智能墙壁插座、智能相机、智能玩具、智能遥控器、智能厨房电器、智能手表、铸造设备、智能灯开关、生物医学显示器等。IoT设备可以包括用于实现与计算网络的网络连接的部件。这样,IoT设备可以将IoT设备与彼此、其他计算设备、服务器、远程服务和/或其他网络设备连接并且允许数据交换。通过这种连接,物联网设备可能会暴露在网络攻击下。并且,虽然黑客可能对感染例如智能烤面包机来烧面包不感兴趣,但黑客可能有兴趣利用智能烤面包机作为平台来对网络中的其他资源发起进一步的网络攻击。
可以将IoT设备与相对少量的计算资源合并。由于IoT设备可能具有固定的功能,并且可能没有被设计有计算硬件来执行例如台式计算机、平板计算机和智能手机等计算设备能够执行的计算多样化和计算密集程度更高的过程。相反,可以设计IoT设备,使得其具有与完成其固定功能一致的计算资源,以便实现最低成本和/或最高可靠性。因此,可以与诸如台式计算机、笔记本计算机、平板计算机和智能电话之类的计算设备一起使用的反病毒和/或反恶意软件应用程序可能不会与IoT设备的有限资源一起使用和/或可能不会与IoT设备的操作系统兼容。IoT设备本身可能具有弱到无安全机制来检测或阻止网络攻击。
一些计算网络可以利用网络入侵防御系统(IPS)和/或网络入侵检测系统(IDS)来检测网络攻击。这样的系统可以采用基于网络流量的技术,该技术可以涉及监视遍历网络的所有流量并参考存储的已知攻击签名,以识别恶意或网络攻击指示性网络流量。这样的解决方案可能是计算上昂贵的并且涉及大量的网络流量访问和存储空间。进一步的,基于网络流量的技术可能无法检测到零日攻击或不符合任何存储的攻击签名的攻击。进一步的,基于网络流量的技术可能无法检测到源自主机设备的网络攻击和/或边带信道网络攻击。进一步的,基于网络流量的技术可以在检测到攻击时生成警报,但是它们可能不提供关于攻击是否成功或者计算设备上的哪些资源被泄露的信息。
相反,本公开的示例可以利用系统来创建在计算设备上运行的初始进程以及由初始进程进行的初始系统调用的基线简档,监视在计算设备上运行的后续进程以及由计算设备上的后续进程产生的系统调用,并基于后续进程及系统调用与基线简档的比较来检测对计算设备的攻击。本公开的示例可以检测针对诸如IoT设备的计算设备的入侵,并且防止这些IoT设备的危害。本公开的示例可以检测零日网络攻击和不符合已知的网络攻击签名的网络攻击。本公开的示例可以检测源自主机的网络攻击和/或边带信道攻击。本公开的示例还可以提供关于检测到的网络攻击的附加信息。
图1示出了与本公开一致的用于进程和系统调用攻击检测的系统100的示例。系统100不限于本文描述的特定示例,并且可以包括诸如图2中描述的非暂时性机器可读存储介质224中描述的和/或图3中描述的方法340中描述的那些特征的附加特征。
系统100可以包括第一计算设备102。计算设备102可以连接到计算网络,例如局域网或无线局域网络。计算设备102可以包括网络设备。例如,计算设备102可以包括位于诸如服务器的集中设备上的网络管理器。例如,计算设备102可以包括维护在计算网络的边缘系统或网关路由器上的服务器。
计算设备102可以包括非暂时性计算机可读介质。计算设备102可以包括存储在非暂时性计算机可读介质上的指令。计算设备102可以包括用于执行存储的指令以执行操作的硬件处理器。计算设备102可以与第二计算设备104通信,向第二计算设备104发送信号,从第二计算设备104接收信号和/或监视第二计算设备104的操作。
系统100可以包括第二计算设备104。第二计算设备104可以是IoT设备。第二计算设备104可以包括非暂时性计算机可读介质。第二计算设备104可以包括存储在非暂时性计算机可读介质上的指令。第二计算设备104可以包括用于执行存储的指令以执行操作的硬件处理器。与通用计算设备相反,作为IoT计算设备,第二计算设备104、第二计算设备104的功能可以不仅仅用于计算功能并运行包括计算机程序的独立指令。作为IoT设备,第二计算设备104可以包括非暂时性计算机可读介质、存储在非暂时性计算机可读介质上的指令和/或处理硬件,以分别支持独立于计算的IoT设备的功能或特定目的(例如,作为智能设备操作,在建筑物HVAC控制系统中操作,作为智能安全摄像机捕获图像等)。这样,非暂时性计算机可读介质、存储在非暂时性计算机可读介质上的指令和/或处理硬件可以被定制用于IoT第二计算设备104的特定目的。例如,第二计算设备104可以执行进程和系统调用106。系统调用可以包括来自在第二计算设备104上执行的操作系统的内核的服务的编程请求。系统调用可以由于进程的执行而产生。
第二计算设备104可以尝试连接到第一计算设备102所连接的计算网络。例如,第二计算设备104可以尝试与接入点(AP)相关联或以其他方式建立到计算网络的连接。
如本文所使用的,术语“接入点(AP)”可以例如指代允许客户端设备(例如第二计算设备104)连接到有线或无线网络的网络设备。AP可以包括处理器、存储器和输入/输出接口(其包括诸如IEEE 802.3以太网接口的有线网络接口,以及诸如IEEE 802.11WiFi接口的无线网络接口,但是本公开的示例不限于这样的接口)。AP可以包括存储器,包括读写存储器,以及诸如ROM、EPROM和闪存之类的层次结构的持久存储器。
如本文所使用的,AP通常是指用于任何已知或随后可知晓的便利无线接入技术的接收点。具体地,术语AP不旨在限于基于IEEE 802.11的AP。AP通常用作适于允许无线通信设备经由各种通信标准连接到有线网络的电子设备。
第一计算设备102可以监视计算网络,以识别连接到或尝试连接到网络的其他计算设备。第一计算设备102可以检测最初尝试连接到计算网络的第二计算设备104。连接到网络的初始尝试可以包括第二计算设备104在安装之后连接到计算网络的第一次尝试。以这种方式,第二计算设备104可以是尝试在网络上建立存在并被分配标识符的新设备。在其他示例中,连接到计算网络的初始尝试可以包括在对第二计算设备104进行固件更新之后连接到计算网络的第一次尝试。
响应于检测到第二计算设备104最初尝试连接到计算网络,第一计算设备102可以为第二计算设备104创建简档108。简档108最初可以是与第二计算设备104相关联的未填充的基线简档。即,简档108可以是分配给第二计算设备104的空简档。
进一步的,响应于检测到第二计算设备104最初尝试连接到计算网络,第一计算设备102可以创建公钥/私钥对。可以将公钥/私钥对分配给未填充的简档108。第一计算设备102可以将代理发送到第二计算设备104。代理可以包括存储在第二计算设备104上并且可以由第二计算设备104的硬件处理器执行的指令。
另外,第一计算设备102可以将加密随机数发送到第二计算设备104。例如,第一计算设备102可以将加密的加密随机数(cryptographic nonce)发送到第二计算设备104,以用于第一计算设备102与第二计算设备104之间的通信的认证协议。
在一些示例中,代理可以包括可由第二计算设备104的硬件处理器执行以在第二计算设备104处生成日志文件的指令。日志文件可以包括由第二计算设备104的操作进行的进程和系统调用106的日志。代理可以包括可由第二计算设备104的硬件处理器执行以利用所发送的加密随机数来生成日志的指令。在示例中,第二计算设备104可以使用加密随机数,以便加密或以其他方式加密保护日志文件中的进程和系统调用106的列表。加密随机数可以由第二计算设备104使用,以便向第一计算设备102发信号通知从第二计算设备104向第一计算设备102发送的任何数据(例如下面讨论的日志文件)是可靠的和/或未改变的。在一些示例中,加密随机数可以用在由第一计算设备102和第二计算设备104使用的散列函数中。
在示例中,在第二计算设备104的初始操作时间段期间,第二计算设备104可以记录在第二计算设备104上运行的初始进程以及由初始进程进行的初始系统调用。初始操作时间段可以包括:在计算网络上安装第二计算设备104时和/或紧接其后的时间段,和/或紧接在第二计算设备104上安装代理之后的时间段。在该初始操作时间段期间,第二计算设备104可以被指定为正常操作并且由于其与网络的初始连接而不被网络攻击感染。这样,在该初始操作时间段期间记录的进程和系统调用106可以被指定为指示第二计算设备104的正常基线操作的正常和/或未感染的基线进程和系统调用106。
第二计算设备104可以将在初始操作时间段期间在第二计算设备104上运行的初始进程和由初始进程进行的初始系统调用的日志文件,发送到第一计算设备102。第一计算设备102可以利用分配给第二计算设备104的简档108的公钥/私钥对来认证第二计算设备104和第一计算设备102之间的通信。
第一计算设备102可以利用在第二计算设备104的初始操作时间段期间在第二计算设备104上运行的初始进程和由初始进程进行的初始系统调用来填充简档108。第一计算设备102可以根据从第二计算设备104接收的日志填充简档108。第一计算设备102可以响应于对日志和/或其内容进行的认证来填充简档108。然后,可以将简档108用作在第二计算设备104的正常的、非网络攻击的、未被感染的操作期间在第二计算设备处发生的进程和系统调用106的基线参考。从简档108的建立起,进程和系统调用106可以用作第二计算设备104从进程和系统调用的角度来看正常的、非网络攻击的、未被感染的操作的基准。简档108可以以具有管理读/写访问限制的文件的形式保存在第一计算设备102处。
在简档108的填充之后,第一计算设备102和/或第二计算设备104可以在第二计算设备104的后续操作时间段期间监视在第二计算设备104上运行的后续进程以及由后续进程进行的后续系统调用。后续的操作时间段可以包括第一次将第二计算设备104安装到计算网络之后的时间段、在第二计算设备104上安装代理之后的时间段、在初始进程和系统调用的传输之后的时间段和/或在简档108填充之后的时间段。在后续的操作时间段期间监视第二计算设备104可以不包括改变发生在第二计算设备104处的进程和系统调用106的一组专门操作,而是可以包括监视和/或记录已经在第二计算设备104处发生的进程和系统调用106。
在示例中,监视后续进程和系统调用可以包括持续记录第二计算设备104处的后续进程和系统调用。第二计算设备104可以使用加密随机数和/或更新的加密随机数来记录后续进程和后续系统调用,其中加密随机数和/或更新的加密随机数是从第一计算设备102发送到第二计算设备104以加密内容和/或发信号通知内容是可信的。在第二计算设备104的后续操作时间段期间,第二计算设备104可以周期性地向第一计算设备102发送最近创建的日志文件,该日志文件包括在第二计算设备104上运行的后续进程以及由后续进程进行的后续系统调用。也就是说,第一计算设备102可以周期性地从第二计算设备104接收日志文件,该日志文件包含在自上一个日志文件被发送到第一计算设备102和/或被第一计算设备102接收之后的一段时间内,在第二计算设备104处发生的进程和系统调用106。以这种方式,第一计算设备102可以在第二计算设备104安装到计算网络之后的第二计算设备104的整个操作期间,周期性地持续接收来自第二计算设备104的日志文件。
第一计算设备102可以对从第二计算设备104接收的每个日志文件和/或其内容进行认证。第一计算设备102可以利用发送到简档108的加密随机数来认证日志文件和/或其内容。第一计算设备102可以利用在利用先前的加密随机数的第一次认证之后发送到简档108的更新的加密随机数,来认证日志文件和/或其内容。第一计算设备102可以基于接收的日志文件更新先前的加密随机数,并且可以将更新的加密随机数发送到第二计算设备104,以用于准备后续日志文件。
第一计算设备102可以将在日志文件中接收的经过认证的后续进程及后续系统调用与填充的简档108进行比较。将在日志文件中接收的后续进程及后续系统调用与填充的简档108进行比较可以包括:在日志文件中接收到的后续进程及后续系统调用与填充的简档108及存储在简档108中的初始进程和初始系统调用之间的匹配比较。与存储在简档108中的初始进程和/或初始系统调用不匹配、和/或低于与存储在简档108中的初始进程和/或初始系统调用的一部分的阈值匹配量的后续进程和/或后续系统调用可被标记为异常。
在一些示例中,将在日志文件中接收的后续进程及后续系统调用与填充的简档108进行比较可以包括识别在日志文件中接收的后续进程和/或后续系统调用的持续时间。如果在日志文件中接收的后续进程和/或后续系统调用的识别的持续时间与存储在简档108中的初始进程和/或初始系统调用的持续时间不匹配,和/或低于与存储在简档108中的初始进程和/或初始系统调用的一部分的持续时间的阈值匹配量,则它们可能被标记为异常。
进一步的,存储在简档108中的初始进程和/或初始系统调用或其特征与后续进程和/或后续系统调用或其特征之间的关系的统计分析可以被执行,来检测异常。另外,机器学习模型和/或技术可用于检测异常。例如,第一计算设备102可以利用计算学习和模式识别来学习和预测异常进程和由进程进行的系统调用。进一步的,当检测到异常时,可以与异常一起识别源进程,以便提供潜在的网络攻击的进一步识别细节。
第一计算设备102可以基于后续进程和/或后续系统调用或其特征与存储在简档108中的初始进程和/或初始系统调用或其特征之间的这种比较,来检测第二计算设备104上的网络攻击。例如,如果该比较产生后续进程和/或后续系统调用与初始进程和/或初始系统调用之间的不一致,则第一计算设备102可以确定第二计算设备104已成为网络攻击的受害者。
一旦检测到网络攻击,可以触发各种补救措施。例如,第二计算设备104可以关闭、重置和/或从网络断开。可以向系统管理员发出第二计算设备104被怀疑遭到网络攻击的报告。可以触发反病毒和/或固件修复。这些各种补救措施和其他可以由第一计算设备102执行,和/或可以由其他计算设备响应于来自第一计算设备102的怀疑第二计算设备104被网络攻击的指示而执行。
第一计算设备102也可以检测到对第二计算设备104的攻击已经发生,而不基于对后续进程及后续系统调用与存储在简档108中的初始进程及初始系统调用的比较的检测。例如,第一计算设备102可以检测到从第二计算设备104接收的日志文件未通过第一计算设备102的认证尝试。第一计算设备102可以检测到日志文件被篡改,于是日志文件认证失败。这种篡改可以指示黑客已经尝试改变日志文件的内容以便欺骗存储在简档108中的初始进程和初始系统调用,并且给系统100留下第二计算设备104正在正常操作并没有遭到网络攻击的印象。然而,黑客无法准确地重新创建第一计算设备102和第二计算设备104所使用的认证机制。因此,从第二计算设备104接收的日志文件的认证失败可能使第一计算设备102确定第二计算设备104已被网络攻击。
由第一计算设备102进行的攻击检测可以导致由第一计算设备102发出的警报和/或攻击的指示,以发起补救措施。该警报和/或指示可识别第二计算设备104,报告导致该检测结果的异常细节,报告攻击是否成功的确定结果,报告攻击的严重性,报告攻击的范围,报告第二计算设备104上在攻击中被泄露的可疑资源的列表,和/或报告可能被攻击危害的可疑其他网络资源的列表。
系统100可以在不访问计算网络上的计算网络流量引发开销的情况下完成上述示例。另外,系统100不利用快速过时的、涉及频繁更新、并且在计算网络上产生大量存储和/或计算开销的攻击签名。进一步的,基于攻击签名的规避技术可能对系统100没有用。进一步的,即使当第二计算设备104已受到网络攻击并且受到危害时,利用日志文件的认证来检测攻击的能力保持了系统100的完整性。
图2示出了与本公开一致的用于进程和系统调用攻击检测的处理资源222和非暂时性机器可读介质224的示例的图220。诸如非暂时性机器可读介质224之类的存储器资源可用于存储由处理资源222执行的指令(例如226、228、230、232)以执行如本文所述的操作。操作不限于本文描述的特定示例,并且可以包括诸如在图1中描述的系统100和图3中描述的方法340中描述的那些操作的附加操作。
处理资源222可以执行存储在非暂时性机器可读介质224上的指令。非暂时性机器可读介质224可以是任何类型的易失性或非易失性存储器或储存器,例如随机存取存储器(RAM)、闪存、只读存储器(ROM)、储存卷、硬盘或其组合。
机器可读介质224可以存储可由处理资源222执行的指令226,以在网络上的第一计算设备处创建简档。可以响应于检测到第二计算设备第一次或者在更新之后第一次尝试连接到网络而创建简档。尝试连接到网络之后的时间段可以是第二计算设备的初始化阶段。在初始化阶段期间,第二计算设备可以与网络建立连接并开始其操作。创建的简档最初可以是分配给第二计算设备的空简档。
响应于检测到第二计算设备尝试连接到网络,指令226可以由处理资源222执行以在第二计算设备上安装代理。代理可以包括可由第二计算设备的处理资源执行的指令,以在第二计算设备连接至网络的初始化阶段期间跟踪和记录第二计算设备的初始进程以及由第二计算设备的初始进程进行的初始系统调用。初始进程和初始系统调用可以保存为日志文件。
初始进程和初始系统调用的跟踪和/或记录可以发生在特定时间段内。例如,初始进程和初始系统调用的跟踪和/或记录可以发生在紧跟第二计算设备建立与计算网络的连接之后的时间段。该时间段可以是第二计算设备正在执行与其功能相关联的完整操作循环的时间段。例如,第二计算设备可以是利用传感器来感测刺激然后调整建筑物管理系统的特征的IoT设备。完整的操作循环可以包括传感器感测刺激以及第二计算设备发送信号以调整建筑物管理系统的特征。也就是说,该时间段可以与构建一定义的时间段相对应,该定义是关于未受网络攻击的第二计算设备从进程和系统调用的角度看如何操作。第二计算设备可以向第一计算设备发送包含第二计算设备的初始进程和由第二计算设备的初始进程进行的初始系统调用的日志的日志文件。
指令226可以由处理资源222执行,以在第一计算设备处根据接收的日志文件填充简档。填充简档可以包括:将日志文件中的第二计算设备的初始进程和由第二计算设备的初始进程进行的初始系统调用保存到简档中。该简档可以用作第二计算设备的初始进程和由第二计算设备的初始进程进行的初始系统调用的参考简档。该简档可以补充有来自第二计算设备的制造商的数据。例如,该简档可以补充有第二计算设备的制造商说明,包括由制造商定义的第二计算设备的预期和/或基线操作特性。在示例中,该简档可以补充有第二计算设备的预期和/或基线进程以及由进程进行的预期和/或基线系统调用的制造商说明。
机器可读介质224可以存储可由处理资源222执行以将加密随机数发送到第二计算设备的指令228。加密随机数本身可以被加密。加密随机数可以用作初始化向量,用于创建与多个日志文件中的第一日志文件一起存储的第一散列链。在第二计算设备处创建的多个日志文件中的每一个可以包括第二计算设备的后续进程以及由第二计算设备的后续进程进行的后续系统调用的对应部分。
第二计算设备可以利用加密随机数来生成第二计算设备的后续进程以及由第二计算设备的后续进程进行的后续系统调用的该部分的散列链。可以将计时器应用于第二计算设备的窗口以利用加密随机数来生成散列链。例如,在进程被第一计算设备标记为异常之前,第二计算设备可以被分配五分钟以利用加密随机数来生成日志文件的散列链。
可以以规则间隔添加新的散列链链接(hash chain link)(生成散列链值)。例如,可以在第二计算设备接收到加密随机数之后每十秒添加一个散列链链接。在第一散列链链接创建之后可以立即删除加密随机数。
黑客为了能够操纵日志文件以防止异常进程和服务调用出现在报告给第一计算设备的日志文件中,黑客将需要知道加密随机数。为了知晓加密随机数和逃避检测,黑客需要成功地进行网络攻击并危害第二计算设备,并在第一个间隔内修改所有日志。在上述示例中,黑客必须在第一个十秒间隔中成功地进行网络攻击并危害第二计算设备且操纵日志文件,以便能够访问加密随机数。在这个狭窄的时间范围内定时和执行这种攻击在统计上可能是不可能的。
在经过规则间隔的第一间隔并且删除加密随机数之后,可以由第二计算设备利用先前散列链值的散列和正在记录的当前文件的散列来生成散列链的第二链接。利用先前值和当前日志文件的散列连续构建新散列链链接的这个过程可以以规则的间隔重复,直到窗口关闭。可以将最终散列链与多个日志文件一起发送到第一计算设备。
在第二计算设备利用加密随机数生成日志文件的散列链的窗口是五分钟并且以十秒间隔添加散列链链接的示例中,生成的散列链可以具有三十个散列链链接。然而,窗口和间隔都是可以被修改以适应各种计算设备、部署和/或攻击风险的变量。
可以周期性地创建新的加密随机数并将其发送到第二计算设备。例如,一旦关闭第一窗口和/或将第一窗口的最终散列链连同多个日志文件一起发送到第一计算设备,第一计算设备就可以在下一个窗口的第一个间隔中创建新的加密随机数并将其发送到第二计算设备,其中在下一个窗口的第一个间隔中针对该下一个窗口重新启动进程和系统调用被记录的过程。
机器可读介质224可以存储可由处理资源222执行的指令230,以认证从第二计算设备接收的多个日志文件。可以利用从第一计算设备发送到第二计算设备的加密随机数来认证多个日志文件。为了被成功认证,多个日志文件中的每一个可以被分析,以确认它们包含对应于和/或包含在窗口的第一间隔期间发送到第二计算设备的加密随机数的散列链。
认证可以包括:基于多个日志文件的认证是否成功来检测是否已经发生对第二计算设备的攻击。如果认证成功,则可以确定第二计算设备未遭受网络攻击和/或可以确定日志文件是真实的和/或未被篡改的。尽管随后可能基于日志文件中包含的异常进程和/或系统调用来确定第二计算设备已经被网络攻击,但是成功的认证可以导致确定第二计算设备尚未被试图改变进程和/或系统调用的日志的网络攻击破坏。
机器可读介质224可以存储可由处理资源222执行的指令232,以基于简档与经认证的多个日志文件之间的比较来检测是否已经发生对第二计算设备的攻击。该比较可以包括:将经认证的日志文件中的进程和系统调用的序列、持续时间和/或身份与在第二计算设备连接至网络的初始化阶段期间第二计算设备的初始进程和由第二计算设备的初始进程进行的初始系统调用的序列、持续时间和/或身份进行比较。如果比较产生两者之间的不一致,则可以确定第二计算设备已经被网络攻击。另外,可以基于该比较来确定检测到的网络攻击的严重性。当检测到网络攻击时,可以报告异常进程和/或系统调用、第二计算设备的身份和/或攻击的严重性,以进行补救措施。
图3示出了与本公开一致的用于进程和系统调用攻击检测的方法340的示例的流程图。方法340不限于本文描述的特定示例,并且可以包括诸如图1中描述的系统100和图2中描述的非暂时性机器可读存储介质中描述的那些特征的附加特征。
在342处,方法340可以包括通过网络设备检测第一次连接到网络的计算设备。计算设备可以是IoT计算设备。
网络设备可以包括边缘设备。如本文所使用的,术语“边缘设备”可以例如指代提供到计算网络的入口点的设备。边缘设备的示例可以包括路由器、路由交换机、集成接入设备、多路复用器和各种接入设备。边缘设备还可以提供到运营商和/或服务提供商网络的连接。
在344处,方法340可以包括在计算设备上加载代理。代理可以存储在计算设备的存储器上,并且可以利用计算设备的处理资源。代理可以记录计算设备的进程和由进程进行的系统调用。记录计算设备的进程和由进程进行的系统调用可以包括将计算设备的进程和系统调用保存在日志文件中,以传输到网络设备。
在346处,方法340可以包括向代理发送加密随机数。代理可以利用加密随机数生成用于多个文件的散列链,该多个文件包括计算设备的进程和由进程进行的系统调用的日志。例如,可以利用散列函数来生成包括计算设备的进程和由进程进行的系统调用的日志的多个文件的散列链。
可以定义代理生成散列链的时间窗口。另外,可以定义时间窗口期间的一时间间隔,其中在该时间间隔内代理可以在散列链中生成新链。在时间窗口到期之后,可以将新的加密随机数发送给代理,以在新的加密随机数下重新启动另一个日志文件的散列链生成。
对于每个窗口,可以将最终散列链和日志文件的所有迭代发送到网络设备。例如,可以在网络设备和计算设备之间建立安全套接层(SSL)安全协议流。除了散列链之外,包括计算设备的进程和由进程进行的系统调用的日志的多个文件可以利用SSL从计算设备被传送到网络设备。
在348处,方法340可以包括认证从计算设备接收的多个文件。多个文件可以包括计算设备的进程和由进程进行的系统调用的日志。对多个文件进行认证可以包括:确定多个文件中的每个文件的散列链值是否对应于在它们被记录的窗口的第一间隔中发送到计算设备的对应随机数。如果多个文件中的每个文件被成功认证,则可以确定日志文件中的进程和系统调用是真实的和/或未被篡改的。但是,如果文件认证失败,则可以确定日志文件中的进程和系统调用被更改,并且可能不会用于与初始进程和系统调用的进一步比较。反而,可以确定计算设备已经受到网络攻击的危害。
在350处,方法340可以包括检测识别网络攻击的异常。异常可以是包括从代理接收的进程和系统调用的日志的多个文件与计算设备第一次连接到网络时收集的计算设备的初始进程和由初始进程进行的初始系统调用的基线简档之间的差异。例如,如果从代理接收的进程和系统调用的日志与初始进程和初始系统调用不同,则这可能表示计算设备已被网络攻击危害和/或从其正常操作转移。
一旦检测到网络攻击,就可以由网络设备生成攻击的指示。可以响应于攻击的指示而发起补救措施。例如,计算设备可以被关闭、从网络中移除和/或向管理员标记为被感染。
图4示出了与本公开一致的用于进程和系统调用攻击检测的系统456的示例的操作序列图。系统456可以包括计算设备458和IoT计算设备460。IoT计算设备460可以生成初始设备请求。初始设备请求可以包括连接到计算设备458所连接的网络的请求。初始设备请求可以被发送到计算设备458和/或由计算设备458接收。
响应于检测到初始设备请求,计算设备458可以创建分配给IoT计算设备460的未填充的IoT计算设备简档462。除了创建未填充的IoT计算设备简档462之外,计算设备458可以传送代理464以安装在IoT计算设备460上。IoT计算设备460可以安装代理464。
代理464可以使IoT计算设备460记录IoT计算设备460处的初始进程以及由那些初始进程进行的系统调用。代理464可以将记录的初始进程和系统调用传送到计算设备458,以填充未填充的IoT计算设备简档462。
计算设备458可以从IoT计算设备460接收初始进程和系统调用。计算设备458可以通过用接收到的初始进程和系统调用填充未填充的IoT计算设备简档462,来生成填充的IoT计算设备简档466。
计算设备458可以将加密随机数传送到IoT计算设备460。代理464可以使IoT计算设备460利用加密随机数作为初始化向量来为后续记录的进程和系统调用创建散列链。这样,代理464可以使IoT计算设备460持续记录后续进程和系统调用并创建日志文件的散列链。代理464可以使IoT计算设备460将散列链以及后续进程和系统调用日志文件传送到计算设备458。
计算设备458可以认证从IoT计算设备460接收的散列链以及后续进程和系统调用日志文件的列表。如果散列链以及后续进程和系统调用日志文件未通过认证,则计算设备458可以确定IoT计算设备460已经被网络攻击和/或以其他方式受到损害或故障,并且可以报告该情况以触发补救措施。
如果后续进程和系统调用日志文件被认证,则经认证的后续进程和系统调用468可用于异常检测470。异常检测470可包括将经认证的后续进程及系统调用468与存储在填充的IoT计算设备简档466中的初始进程及系统调用进行比较。异常检测470可以利用直接比较、统计分析、机器学习等来识别异常的后续进程和/或系统调用。如果检测到这样的异常,则计算设备458可以确定IoT计算设备460已经被网络攻击和/或以其他方式受到损害或故障,并且可以报告该情况以触发补救措施。
图5示出了与本公开一致的用于进程和系统调用攻击检测的加密系统580的示例的操作序列图。加密系统580可以包括计算设备582和IoT计算设备584。计算设备582可以将加密的随机数Enc(c1)发送到IoT计算设备584。IoT计算设备584可以将该加密的随机数存储在IoT计算设备584处的密钥储存器586中。
IoT计算设备584可以记录IoT计算设备584的进程和与那些进程相关联的系统调用。IoT计算设备584可以将记录的进程和系统调用保存为日志文件590-1、590-2和590-N。
IoT计算设备584可以利用加密的随机数Enc(c1)作为初始化向量,来创建包括用于每个日志文件590-1、590-2、......、590-N的链接散列的散列链592-1、592-2、......、592-N。可以为代理588分配窗口(例如,加密的随机数Enc(c1)的传送与加密的随机数Enc(c2)的传送之间的时间),以使IoT计算设备584生成进程和系统调用的散列链592-1、......、592-N。可以在窗口的持续时间内,在窗口内的形成散列链的间隔处添加新的散列链接。一旦创建了第一散列,就可以从密钥储存器586中删除加密的随机数Enc(c1)。散列值和文件可以存储在IoT计算设备584处。
一旦窗口关闭,IoT计算设备584就可以将最终散列链592-1、......、592-N连同文件的所有迭代一起发送到计算设备582以进行认证。计算设备582可以通过验证文件的每次迭代的散列值与期望值匹配来认证文件。
如果验证成功,则计算设备582可以假设文件未被篡改。在窗口关闭之后,计算设备582可以向IoT计算设备584发布更新的加密随机数Enc(c2)。更新的加密随机数Enc(c2)可以存储在密钥储存器586中并用作初始化向量,以创建新散列链,新散列链包括自上一个窗口关闭以来记录的一组新的日志文件中的每一个的链接散列。涉及加密的随机数Enc(c1)的操作序列可以用更新的加密随机数Enc(c2)和新的日志文件重复。
相反,如果认证失败,则计算设备582可以假设文件已经被篡改并且IoT计算设备584被危害。结果,计算设备582可以中断随机数到IoT计算设备584的通信。
在本发明的前述的详细描述中,参考了附图,其中附图形成本发明的一部分且通过说明示出了可如何实践本发明的实例。这些示例描述得足够详细以使得本领域普通技术人员能够实践本公开的示例,并且应当理解,在不脱离本公开的范围的情况下,可以利用其他示例并且可以进行过程、电气和/或结构变化。
本文中的附图遵循编号惯例,其中第一数字对应于附图编号,而其余数字标识附图中的元件或部件。可以添加、交换和/或消除本文各个图中所示的元件,以便提供本公开的多个附加示例。另外,图中提供的元件的比例和相对比例旨在说明本公开的示例,并且不应被视为具有限制意义。

Claims (20)

1.一种系统,包括:
包括指令的第一计算设备,所述指令由硬件处理器可执行,以:
响应于检测到第二计算设备最初尝试连接到网络,而创建所述第二计算设备的未填充的基线简档;
在所述第二计算设备的初始操作时间段期间,利用在所述第二计算设备上运行的初始进程以及由所述初始进程进行的初始系统调用,来填充所述基线简档;
在所述第二计算设备的后续操作时间段期间,监视在所述第二计算设备上运行的后续进程以及由所述后续进程进行的后续系统调用;以及
基于所述后续进程及所述后续系统调用与被填充的基线简档之间的比较,来检测对所述第二计算设备的攻击。
2.如权利要求1所述的系统,其中可执行以检测所述攻击的指令包括:可执行以通过识别所述后续进程及所述后续系统调用与所述初始进程及所述初始系统调用的一部分不匹配来检测所述攻击的指令。
3.如权利要求1所述的系统,其中可执行以检测所述攻击的指令包括:可执行以通过识别所述后续进程及所述后续系统调用的持续时间与所述初始进程及所述初始系统调用的一部分的持续时间不匹配来检测所述攻击的指令。
4.如权利要求1所述的系统,其中可执行以监视所述后续进程以及所述后续系统调用的指令包括:从周期性地接收自所述第二计算设备的日志文件中监视所述后续进程以及所述后续系统调用的指令。
5.如权利要求4所述的系统,包括可执行以将公钥-私钥对分配给所述未填充的基线简档的指令。
6.如权利要求5所述的系统,包括可执行以在所述日志文件未通过认证时检测到所述日志文件被篡改的指令。
7.如权利要求1所述的系统,包括可执行以在所述第二计算设备第一次连接到所述网络时检测到所述第二计算设备最初尝试连接到所述网络的指令。
8.如权利要求7所述的系统,包括可执行以响应于检测到所述第二计算设备最初尝试连接到所述网络而向所述第二计算设备发送代理,以生成所述初始进程、所述初始系统调用、所述后续进程以及所述后续系统调用的日志文件的指令。
9.一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质上存储有机器可读指令,所述机器可读指令用于使处理器:
在网络上的第一计算设备处,在第二计算设备连接至所述网络的初始化阶段期间,生成所述第二计算设备的初始进程以及由所述第二计算设备的所述初始进程进行的初始系统调用的简档;
将加密随机数发送到所述第二计算设备;
基于所发送的加密随机数,对从所述第二计算设备接收的多个日志文件进行认证,其中,所述多个日志文件中的每一个包括所述第二计算设备的后续进程和由所述第二计算设备的所述后续进程进行的后续系统调用的对应部分;以及
基于所述简档与经认证的多个日志文件之间的比较,来检测是否已经发生对所述第二计算设备的攻击。
10.如权利要求9所述的介质,包括基于所述比较来确定所述攻击的严重性的指令。
11.如权利要求9所述的介质,包括利用所述第二计算设备的制造商说明来补充所述简档的指令。
12.如权利要求9所述的介质,包括利用所述加密随机数作为初始化向量来创建与所述多个日志文件中的第一日志文件一起存储的第一散列链值的指令。
13.如权利要求12所述的介质,包括在创建所述第一散列链值之后立即删除所述加密随机数的指令。
14.如权利要求12所述的介质,包括基于所述第一散列链值和所述多个日志文件中的第二日志文件的散列来创建与所述第二日志文件一起存储的第二散列链值的指令。
15.如权利要求12所述的介质,包括周期性地创建新的加密随机数并将该加密随机数发送到所述第二计算设备的指令。
16.如权利要求9所述的介质,包括基于所述多个日志文件的认证是否成功来检测是否已经发生对所述第二计算设备的攻击的指令。
17.一种方法,包括:
由网络设备检测第一次连接至网络的计算设备;
在所述计算设备上加载代理,其中所述代理记录所述计算设备的进程和由所述进程进行的系统调用;
将加密随机数发送给所述代理,其中所述代理利用所述加密随机数生成多个文件的散列链,所述多个文件包括所述计算设备的进程和所述进程进行的系统调用的日志;
认证从所述代理接收的包括所述计算设备的进程和由所述进程进行的系统调用的日志的所述多个文件;以及
基于(1)包括从所述代理接收的所述进程和所述系统调用的日志的多个文件与(2)所述计算设备第一次连接到所述网络时收集的所述计算设备的初始进程和由所述初始进程进行的初始系统调用的基线简档之间的比较,来检测识别攻击的异常。
18.如权利要求17所述的方法,包括利用Merkle-散列函数来生成包括所述计算设备的进程和由所述进程进行的系统调用的日志的所述多个文件的散列链。
19.如权利要求17所述的方法,包括:
定义所述代理生成所述散列链的时间窗口;
定义所述时间窗口内所述代理在所述散列链中生成新链的间隔;以及
在所述时间窗口到期后向所述代理发送新的加密随机数。
20.如权利要求19所述的方法,包括:
打开所述计算设备与所述网络设备之间的安全套接层流;以及
利用所述安全套接层流,将包括所述计算设备的进程和由所述进程进行的系统调用的日志的所述多个文件以及所述散列链从所述计算设备发送到所述网络设备。
CN201910098468.1A 2018-01-31 2019-01-31 检测对计算设备的攻击 Active CN110099038B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/885,447 2018-01-31
US15/885,447 US10897470B2 (en) 2018-01-31 2018-01-31 Detecting attacks on computing devices

Publications (2)

Publication Number Publication Date
CN110099038A true CN110099038A (zh) 2019-08-06
CN110099038B CN110099038B (zh) 2021-11-02

Family

ID=65234411

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910098468.1A Active CN110099038B (zh) 2018-01-31 2019-01-31 检测对计算设备的攻击

Country Status (3)

Country Link
US (2) US10897470B2 (zh)
EP (1) EP3522445B1 (zh)
CN (1) CN110099038B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111083159A (zh) * 2019-12-27 2020-04-28 北京安天网络安全技术有限公司 一种入侵检测的方法、装置、电子设备及存储介质
CN116594965A (zh) * 2023-05-16 2023-08-15 矩阵时光数字科技有限公司 一种支持多线程的随机数检测系统及方法

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10567369B2 (en) * 2017-07-10 2020-02-18 Intuit Inc. Secure token passing via hash chains
US10637876B2 (en) 2018-04-27 2020-04-28 Dell Products L.P. Information handling system threat management
US11336658B2 (en) 2018-04-27 2022-05-17 Dell Products L.P. Information handling system threat management
US11595407B2 (en) * 2018-04-27 2023-02-28 Dell Products L.P. Information handling system threat management
US11303658B2 (en) * 2018-08-22 2022-04-12 Marlabs Incorporated System and method for data analysis and detection of threat
US11711378B1 (en) * 2019-05-14 2023-07-25 Crytica Security Inc. Cybersecurity infection detection system and method
US11218494B2 (en) * 2019-07-26 2022-01-04 Raise Marketplace, Llc Predictive fraud analysis system for data transactions

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106790149A (zh) * 2016-12-28 2017-05-31 北京安天网络安全技术有限公司 一种防御IoT设备遭受入侵的方法及系统
US20170264629A1 (en) * 2016-03-10 2017-09-14 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
US20170302663A1 (en) * 2016-04-14 2017-10-19 Cisco Technology, Inc. BLOCK CHAIN BASED IoT DEVICE IDENTITY VERIFICATION AND ANOMALY DETECTION
JP2018005818A (ja) * 2016-07-08 2018-01-11 日本電信電話株式会社 異常検知システム及び異常検知方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7263608B2 (en) * 2003-12-12 2007-08-28 Lenovo (Singapore) Pte. Ltd. System and method for providing endorsement certificate
US9374373B1 (en) * 2015-02-03 2016-06-21 Hong Kong Applied Science And Technology Research Institute Co., Ltd. Encryption techniques for improved sharing and distribution of encrypted content
US9979606B2 (en) 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
US10063585B2 (en) * 2015-03-18 2018-08-28 Qualcomm Incorporated Methods and systems for automated anonymous crowdsourcing of characterized device behaviors
US9654485B1 (en) * 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US10157276B2 (en) * 2015-11-23 2018-12-18 Armor Defense Inc. Extracting malicious instructions on a virtual machine in a network environment
US10805393B2 (en) 2015-12-02 2020-10-13 Olea Networks, Inc. System and method for data management structure using auditable delta records in a distributed environment
US10812497B2 (en) 2015-12-07 2020-10-20 Prismo Systems Inc. Systems and methods for detecting and responding to security threats using application execution and connection lineage tracing
US10148686B2 (en) 2016-02-10 2018-12-04 Accenture Global Solutions Limited Telemetry analysis system for physical process anomaly detection
EP3427175A4 (en) 2016-03-08 2019-10-30 B.G. Negev Technologies and Applications Ltd. at Ben-Gurion University SYSTEM AND METHOD FOR CARRYING OUT IN-CLOUD SECURITY OPERATIONS ON ASSOCIATED DEVICES
US10666763B2 (en) * 2016-09-07 2020-05-26 Adobe Inc. Automatic integrity checking of content delivery network files

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170264629A1 (en) * 2016-03-10 2017-09-14 Siemens Aktiengesellschaft Production process knowledge-based intrusion detection for industrial control systems
US20170302663A1 (en) * 2016-04-14 2017-10-19 Cisco Technology, Inc. BLOCK CHAIN BASED IoT DEVICE IDENTITY VERIFICATION AND ANOMALY DETECTION
JP2018005818A (ja) * 2016-07-08 2018-01-11 日本電信電話株式会社 異常検知システム及び異常検知方法
CN106790149A (zh) * 2016-12-28 2017-05-31 北京安天网络安全技术有限公司 一种防御IoT设备遭受入侵的方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111083159A (zh) * 2019-12-27 2020-04-28 北京安天网络安全技术有限公司 一种入侵检测的方法、装置、电子设备及存储介质
CN116594965A (zh) * 2023-05-16 2023-08-15 矩阵时光数字科技有限公司 一种支持多线程的随机数检测系统及方法
CN116594965B (zh) * 2023-05-16 2024-05-07 矩阵时光数字科技有限公司 一种支持多线程的随机数检测系统及方法

Also Published As

Publication number Publication date
US10897470B2 (en) 2021-01-19
EP3522445B1 (en) 2022-05-11
US20190238567A1 (en) 2019-08-01
CN110099038B (zh) 2021-11-02
US11658986B2 (en) 2023-05-23
EP3522445A1 (en) 2019-08-07
US20210136092A1 (en) 2021-05-06

Similar Documents

Publication Publication Date Title
CN110099038A (zh) 检测对计算设备的攻击
US10949534B2 (en) Method for predicting and characterizing cyber attacks
US11888888B2 (en) Systems and methods for passive key identification
Miloslavskaya et al. Internet of Things: information security challenges and solutions
Diaz Lopez et al. Shielding IoT against cyber‐attacks: an event‐based approach using SIEM
EP3258374B1 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
WO2018157247A1 (en) System and method for securing communications with remote security devices
CN114598540B (zh) 访问控制系统、方法、装置及存储介质
CN110770729B (zh) 用于证明虚拟机完整性的方法和设备
US20200226292A1 (en) Protecting integrity of log data
US11916953B2 (en) Method and mechanism for detection of pass-the-hash attacks
EP2710507B1 (en) Supervised data transfer
AU2012260619A1 (en) Supervised data transfer
CN110830465B (zh) 一种访问UKey的安全防护方法、服务器和客户端
CN113422776A (zh) 一种面向信息网络安全的主动防御方法及系统
KR20160137032A (ko) 네트워크 기기 간 원격 인증 장치 및 그 방법
US11457020B2 (en) Method for integrity protection in a computer network
Stutz et al. Cyber Threat Detection and Mitigation Using Artificial Intelligence–A Cyber‐physical Perspective
VellaiPandi et al. Significance of Secure Internet of Things Device Certification–An Authentication Perspective
Howlader User attribute aware multi-factor authentication framework for cloud based systems
CN117195235A (zh) 一种用户终端的接入可信计算认证系统及方法
CN117749476A (zh) 基于加密算法的可信安全连接方法及装置、电子设备
Liu Intrusion Resilient and Real-Time Forensics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant