[发明专利]用于通过使用行为分析检测恶意设备的系统和方法

说明书

可以检测本地网络上的设备的恶意行为。可以收集来自设备的数据流。可以使用已知类型的设备的行为数据来创建功能组。可以生成功能组的行为简档并将其存储在数据库中。将设备的数据流与功能组的行为简档进行比较。响应于确定设备的当前行为不在行为简档的预定或可配置阈值内，指示设备的恶意行为。

相关申请的交叉引用

本申请要求2016年12月29日提交的题为“通过监测行为检测恶意IoT设备”的美国临时申请No.62/440,361、2016年12月29日提交的题为“通过监测其行为检测未知IoT设备类型”的美国临时申请No.62/440,321、2017年10月27日提交的题为“通过监测其行为检测未知IoT设备类型”的美国临时申请No.62/578,290和2017年10月27日提交的题为“通过监测行为检测恶意IoT设备”的美国临时申请No.62/578,336的优先权。

技术领域

本发明一般涉及检测网络上的恶意设备，并且更具体地，涉及监测设备行为以确定该设备是否参与潜在的恶意行为。

背景技术

恶意软件(malware)是“malicious software(恶意软件)”的缩写，是可用于在用户不知情或未经用户同意的情况下破坏计算机操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。这种恶意软件的示例包括软件病毒、特洛伊木马、黑客程序(rootkit)、勒索软件(ransomware)等。恶意软件开发人员使用的常见机制是将恶意软件嵌入到被做成对用户而言看似合乎需要的文件中，或者在用户访问网站时下载并运行。例如，恶意软件可以嵌入到看似合法且有用的软件应用程序中。用户下载文件，当文件打开时，就运行文件中的恶意软件。包含恶意软件的文件可称为恶意文件。

物联网(“IoT”)是用于描述包括许多不同类型的设备、传统计算机和过去不能进行网络通信的设备两者的网络的术语。IoT中的“物”可以是任何类型的可以经由网络收集数据并传达数据的设备。随着高速互联网服务和网络基础设施的扩展，IoT设备的使用正在增加。这种设备的示例可包括智能家用电器、恒温器、传感器、生物芯片、可植入医疗设备、监测设备、车载设备，或通过互联网连接传达数据的任何设备。IoT设备可以为智能家居、智能电网、智能工厂、智能城市、智能交通系统和存在IoT设备的其他环境中的设备提供控制和自动化。在包括IoT设备的环境中，可以跨网络基础设施远程感测和控制对象。

主要关注为了保护计算设备的恶意软件检测。最近，已经有许多改进恶意软件检测的尝试。一种这样的尝试涉及确定一个文件是否与另一个文件相似或者一个数据对象是否与另一个数据对象相似。这种方法学方案的类别有签名分析、启发式分析、行为分析、哈希和分析以及基于云的分析。虽然签名和哈希和技术是众所周知的检测分析方法，但这些技术可能无法检测修改的恶意软件代码。启发式分析可以尝试通过静态分析文件来一般地检测新的恶意软件，但在检测混淆的恶意软件时可能无效。行为分析通常证明在检测修改的恶意软件方面是有效的，但是即便是该分析的已知方法也具有许多缺点。例如，已知的行为分析方法可能导致系统性能降低。由于这些原因，存在对用于检测恶意设备的改进方法的需求，特别是在不降低系统性能的情况下。

发明内容

本发明一般涉及用于使用行为分析来检测恶意设备的系统和方法。为了检测恶意设备，可以将设备的行为与预定功能组的行为简档进行比较。