(19)中华人民共和国国家知识产权局(12)发明专利(10)授权公告号CN105431828B(45)授权公告日2019.09.20(21)申请号201480006431.7(72)发明人J·S·弗劳尔斯R·C·埃弗斯(22)申请日2014.01.27(74)专利代理机构北京品源专利代理有限公司1(65)同一申请的已公布的文献号1332申请公布号CN105431828A代理人王小衡杨生平(43)申请公布日2016.03.23(51)Int.Cl.G06F11/00(2006.01)(30)优先权数据13/752,2682013.01.28US(56)对比文件CN101626322A,2010.01.13,(85)PCT国际申请进入国家阶段日CN101350745A,2009.01.21,2015.07.28US2007150954A1,2007.06.28,(86)PCT国际申请的申请数据US8347391B1,2013.01.01,PCT/US2014/0131362014.01.27US2008134329A1,2008.06.05,(87)PCT国际申请的公布数据US2012227108A1,2012.09.06,WO2014/117064EN2014.07.31US2008052774A1,2008.02.28,(73)专利权人伊万X有限责任公司审查员王倩地址美国旧金山权利要求书6页说明书12页附图10页(54)发明名称用于检测受损计算系统的系统与方法(57)摘要一种数字安全威胁管理系统被公开。该系统在网络上检测被未检测到的和/或未知的数字安全威胁所破坏的计算系统的存在。该数字安全威胁管理系统能识别来自已经被破坏的计算系统的特性散发物。因为已知威胁导致的特性散发物与未检测到的和/或未知威胁导致的特性散发物可以相同，如果该安全威胁管理系统能基于该计算系统的已知威胁从先前的攻击中识别特性散发物，数字安全威胁管理系统可以学习以检测已经被未知威胁破坏的计算系统。以这种方式，该系统可以检测被破坏的计算系统的存在，即使被破坏的原因仍然未被检测到和/或未知。适当的补救措施可以在检测中采取。CN105431828BCN105431828B权利要求书1/6页1.一种用于检测被未检测到的攻击破坏的计算设备的计算机实现方法，所述方法包括：通过一个或多个处理器从网络获取多个网络数据包，其中所获取的多个网络数据包包括分类为传输控制协议(TCP)分组和因特网协议(IP)分组的网络数据包，其中所获取的多个网络数据包包括：所述计算设备上包含已知攻击的网络数据包，所述已知攻击不同于所述未检测到的攻击，来自所述计算设备的所述已知攻击之前的网络数据包，和来自所述计算设备的所述已知攻击之后的网络数据包；通过所述一个或多个处理器从所述多个TCP分组和IP分组的至少一个子集创建多个组合数据包的，其中：所述多个组合数据包中的第一组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分，和所述多个组合数据包中的第二组合数据包包括至少一个所述TCP分组的一部分和至少一个所述IP分组的一部分，其中所述第二组合数据包不同于所述第一组合数据包；通过所述一个或多个处理器将所述第一组合数据包的至少一部分内容按位转换为第一组多个整数来创建第一序列，其中所述第一序列包括所述第一组多个整数；通过所述一个或多个处理器将所述第二组合数据包的至少一部分内容按位转换为第二组多个整数来创建第二序列，其中所述第二序列包括所述第二组多个整数；通过所述一个或多个处理器基于距离函数确定所述第一序列和所述第二序列之间的相似性度量；通过所述一个或多个处理器基于所述相似性度量创建第三序列，其中在第一顺序所述第三序列包括共有于所述第一序列和所述第二序列的第三组多个整数，通过所述一个或多个处理器创建第四序列，其中所述第四序列是元表达式，其：包括在第一顺序上所述第三序列的第三组多个整数的子集，和代表被攻击破坏的所述计算设备；和存储所述元表达式，其中所存储的元表达式被用来检测被所述未检测到的攻击破坏的所述计算设备。2.如权利要求1所述的计算机实现方法，其中：在所述计算设备中未检测到的攻击目标是漏洞，所述一个或多个处理器不知晓所述漏洞。3.如权利要求1所述的计算机实现方法，其中所述第一组合数据包的所述创建包括：识别所述多个网络数据包的第一TCP分组，表示请求；识别所述多个网络数据包的第二TCP分组，表示确认，其中所述第二TCP分组：出现在所述第一TCP分组之后，和对应于所述第一TCP分组表示确认；和识别所述多个网络数据包的第三TCP分组，其中所述第三TCP分组发生在所述第一TCP分组和所述第二TCP分组之间。4.如权利要求1所述的计算机实现方法，其中：2CN105431828B权利要求书2/6页所述