[发明专利]用于异常子图检测、异常/更改检测和网络态势感知的路径扫描

说明书

联邦权利声明

根据美国政府能源部门和用于运营洛斯阿拉莫斯国家实验室的洛斯阿拉莫斯国家安全有限公司之间的编号为DE-AC52-06NA25396的合约，美国政府享有本发明的权利。

相关申请的交叉引用

本申请要求序列号为61/614,148申请日为2012年3月22日的美国临时申请的权益。因此，这个较早提交的临时专利的主题通过引用全部合并到本文中。

技术领域

本发明一般涉及网络入侵、异常和策略违规的检测，尤其涉及通过用于检测嵌入在时间演变图中的异常子图的路径扫描来进行网络入侵、异常和策略违规的检测，此外还涉及用于计算机网络上的态势感知和异常/更改检测的域名服务(“DNS”)请求的运用。

背景技术

复杂的计算机黑客入侵严重威胁到企业、政府机构和其它实体的安全。通常，黑客通过自动化手段进入系统。例如，如果黑客发送钓鱼邮件到一机构，然后用户点击链接，恶意软件可能会感染机器。这样使得黑客控制感染的机器，由此将据点建立到感染的机器所属的网络。

黑客不能选择哪些机器进行感染，因此不能选择他或她在网络中登陆的地点。黑客通常遍历网络，从受到感染的网络处的起始点搜索另外的主机来利用。因为通常单个用户不具有整个网络的访问，黑客必须遍历多个机器以完全感染该网络。通常，黑客将会搜索多用户的机器，并且使用感染的账户来获取访问——促进他或她渗透到网络中。

在计算机网络中用于检测恶意的内部成员的方法通常不会很好地捕获“遍历”。黑客通过网络、渗透系统来进入的时候发生遍历，然后使用感染的系统来进一步感染其它主机。尽管监控特定机器的基于主机的检测系统较为成熟，且已充分研究通过防火墙来进行入侵检测，但通常还未充分地开发在安全边线内同时检查多个中继(hop)以搜索异常的方法。进一步，通常使用复杂的网络分流器系统、路由镜像端口和基于路由的流量监察以执行网络流量监控。这种方法是昂贵的，并且不能在网络内提供完整的流量覆盖。

发明内容

本发明的某些实施例可以提供方案以解决当前的入侵、异常和策略违规的检测技术仍然没有完全识别、理解或解决的问题和需求。例如，本发明的一些实施例采用检测局部异常子图的扫描统计，使用可用于推测网络传输形态的DNS请求。本发明的一些实施例可以应用于在每个边线上具有时间序列数据的任何类型的图形。动态社交网络分析(例如，电邮网络等)可以经得起这种类型的分析，并且可以存在其它图形结构，比如那些在生物学中发现的结构也是适用的。同样地，本发明的一些实施例可以有网络安全以外的应用。

在一个实施例中，计算机执行的方法包括，为网络上的每个“边线”(即是，一对通信机(communicating machines))确定基线统计模型的历史参数，以确定正常的活动级别。计算机执行的方法还包括，枚举网络中的多个路径作为反映网络的图形的一部分，其中在网络中的每个计算系统可为图形中的节点，并且两个计算系统之间的连接序列可为图形中的有向边。该方法进一步包括，基于滑动窗口，将这些基线模型，或者统计模型，应用到观测下的由图形的边线所形成的路径，并且基于应用的统计模型检测异常行为。

在另一个实施例中，一种装置包括至少一个处理器和含有指令的存储器。当至少一个处理器执行所述指令时，配置该指令触发至少一个处理器来确定网络的历史参数以确定正常的活动级别。该指令还被配置为触发至少一个处理器枚举网络中的多个路径作为反映网络的图形的一部分，其中在网络中的每个计算系统可以是图形中的节点，并且两个计算系统之间的连接序列可以是图形中的有向边。该指令被进一步配置为触发至少一个处理器，基于滑动窗口将统计模型应用到图形中的多个路径，以及基于应用的统计模型检测异常行为。

又在另一实施例中，一种系统，包括：储存计算机程序指令的存储器，该计算机程序指令配置为检测网络中的异常行为；以及配置为执行储存的计算机程序指令的多个处理核心。所述多个处理核心配置为确定网络的历史参数以确定正常的活动级别。所述多个处理核心还配置为，枚举网络中的多个路径作为反映网络的图形的一部分，其中在网络中的每个计算系统可以为图形中的节点，并且两个计算系统之间的连接序列可以为图形中的有向边。所述多个处理核心进一步配置为，基于滑动窗口将统计模型应用到图形中的多个路径，并且基于应用的统计模型检测异常行为。