[发明专利]检测对计算设备的攻击

说明书

本发明公开了检测对计算设备的攻击。一种示例系统可以包括包含指令的第一计算设备，指令由硬件处理器可执行，以：响应于检测到第二计算设备最初尝试连接到网络，而创建第二计算设备的未填充的基线简档；在第二计算设备的初始操作时间段期间，利用在第二计算设备上运行的初始进程和由初始进程进行的初始系统调用来填充基线简档；在第二计算设备的后续操作时间段期间，监视在第二计算设备上运行的后续进程以及由后续进程进行的后续系统调用；以及基于后续进程及后续系统调用与填充的基线简档的比较，来检测对第二计算设备的攻击。

背景技术

计算设备在家庭、商业和各种其他环境中越来越普及。计算设备可以连接到计算机网络并通过计算机网络进行通信。计算设备可以利用计算机网络与其他计算设备交换数据。计算设备可以是网络攻击的目标。例如，可利用计算设备的漏洞来接管或以其他方式改变计算设备的操作以实现恶意目的。在示例中，网络攻击可以用僵尸网络感染计算设备，并利用受感染的计算设备对目标机器或资源执行分布式拒绝服务攻击，以临时或无限地破坏连接到互联网的主机的服务。

发明内容

一般而言，本公开的示例实施例提供了一种用于通信的解决方案。

在第一方面，提供了一种系统，包括：包括指令的第一计算设备，所述指令由硬件处理器可执行，以：响应于检测到第二计算设备最初尝试连接到网络，而创建所述第二计算设备的未填充的基线简档；在所述第二计算设备的初始操作时间段期间，利用在所述第二计算设备上运行的初始进程以及由所述初始进程进行的初始系统调用，来填充所述基线简档；在所述第二计算设备的后续操作时间段期间，监视在所述第二计算设备上运行的后续进程以及由所述后续进程进行的后续系统调用；以及基于所述后续进程及所述后续系统调用与被填充的基线简档之间的比较，来检测对所述第二计算设备的攻击。

在第二方面，提供了一种非暂时性机器可读存储介质。该非暂时性机器可读存储介质上存储有机器可读指令，所述机器可读指令用于使处理器：在网络上的第一计算设备处，在第二计算设备连接至所述网络的初始化阶段期间，生成所述第二计算设备的初始进程以及由所述第二计算设备的所述初始进程进行的初始系统调用的简档；将加密随机数发送到所述第二计算设备；基于所发送的加密随机数，对从所述第二计算设备接收的多个日志文件进行认证，其中，所述多个日志文件中的每一个包括所述第二计算设备的后续进程和由所述第二计算设备的所述后续进程进行的后续系统调用的对应部分；以及基于所述简档与经认证的多个日志文件之间的比较，来检测是否已经发生对所述第二计算设备的攻击。

在第三方面，提供了一种方法，包括：由网络设备检测第一次连接至网络的计算设备；在所述计算设备上加载代理，其中所述代理记录所述计算设备的进程和由所述进程进行的系统调用；将加密随机数发送给所述代理，其中所述代理利用所述加密随机数生成多个文件的散列链，所述多个文件包括所述计算设备的进程和所述进程进行的系统调用的日志；认证从所述代理接收的包括所述计算设备的进程和由所述进程进行的系统调用的日志的所述多个文件；以及基于(1)包括从所述代理接收的所述进程和所述系统调用的日志的多个文件与(2)所述计算设备第一次连接到所述网络时收集的所述计算设备的初始进程和由所述初始进程进行的初始系统调用的基线简档之间的比较，来检测识别攻击的异常。

应当理解，发明内容部分不旨在识别本公开的实施例的关键或本质特征，也不旨在用于限制本公开的范围。通过以下描述，本公开的其他特征将变得容易理解。

附图说明

图1示出了与本公开一致的用于进程和系统调用攻击检测的系统的示例。

图2示出了与本公开一致的用于进程和系统调用攻击检测的处理资源和非暂时性机器可读介质的示例的图。

图3示出了与本公开一致的用于进程和系统调用攻击检测的方法的示例的流程图。

图4示出了与本公开一致的用于进程和系统调用攻击检测的系统的示例的操作序列图。

图5示出了与本公开一致的用于进程和系统调用攻击检测的加密系统的示例的操作序列图。