(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN104067280104067280A(43)申请公布日2014.09.24(21)申请号201280053582.9代理人张金金汤春龙(22)申请日2012.09.28(51)Int.Cl.(30)优先权数据G06F21/55(2013.01)13/2762442011.10.18US(85)PCT国际申请进入国家阶段日2014.04.30(86)PCT国际申请的申请数据PCT/US2012/0580452012.09.28(87)PCT国际申请的公布数据WO2013/058964EN2013.04.25(71)申请人迈可菲公司地址美国加利福尼亚州(72)发明人R.巴鲁帕里V.马哈迪克B.马德胡苏丹C.H.沙(74)专利代理机构中国专利代理(香港)有限公司72001权权利要求书2页利要求书2页说明书9页说明书9页附图5页附图5页(54)发明名称用于检测恶意命令和控制通道的系统和方法(57)摘要在一个示例实施例中提供方法，其包括检测从源节点到目的地节点的重复连接、基于这些连接对源节点计算分数以及如果分数超出阈值分数则采取策略动作。在更特定的实施例中，重复连接使用超文本传输协议并且可包括通向少量唯一域的连接、通向与目的地节点关联的少量唯一资源的连接和/或通向域中的资源的大量连接。此外，启发法可用于对源节点记分并且识别指示威胁的行为，例如爬虫软件（bot）或其他恶意软件（malware）。CN104067280ACN1046728ACN104067280A权利要求书1/2页1.一种方法，包括：检测从空闲源节点到目的地节点的重复连接；基于所述重复连接的行为对所述空闲源节点计算分数；如果所述分数超出阈值则采取策略动作。2.如权利要求1所述的方法，其中所述重复连接使用超文本传输协议。3.如权利要求1所述的方法，其中检测所述重复连接包括：检测通向超过X个地址的连接；在预定时间段内检测通向少于Y个唯一地址的连接；以及检测通向与所述唯一地址中的至少一个关联的少于Z个唯一资源标识符的连接；其中X、Y和Z是指示与不是由人员用户产生的重复连接一致的模式的参数。4.如权利要求1所述的方法，其中计算所述分数包括使用启发法来识别指示威胁的行为。5.如权利要求1所述的方法，其中计算所述分数包括使用启发法来识别指示bot命令和控制通道的行为。6.如权利要求1所述的方法，其中计算所述分数包括如果所述目的地节点与在一年内注册的域关联则使所述分数增加。7.如权利要求1所述的方法，其中计算所述分数包括如果所述重复连接中的至少一个不具有引用字段并且不具有根资源标识符则使所述分数增加。8.如权利要求1所述的方法，其中计算所述分数包括如果所述重复连接中的至少一个未识别已知用户代理则使所述分数增加。9.如权利要求1所述的方法，其中计算所述分数包括如果所述重复连接中的至少一个通过公共网络地址识别所述目的地节点则使所述分数增加。10.如权利要求1所述的方法，其中计算所述分数包括如果所述重复连接具有小于X个平均请求首标行则使所述分数增加，其中X是指示通向所述目的地节点的malware连接的参数。11.如权利要求1所述的方法，其中计算所述分数包括如果所述重复连接具有小于X的平均响应大小则使所述分数增加，其中X是指示来自命令和控制服务器的响应的参数。12.如权利要求1所述的方法，其中计算所述分数包括请求与所述目的地节点关联的信誉值并且如果所述信誉值指示所述目的地节点与威胁关联则使所述分数增加。13.如权利要求1所述的方法，其中计算所述分数包括如果所述目的地节点具有在与威胁关联的地带中的网络地址则使所述分数增加。14.一种方法，包括：检测由源节点发起的重复连接；如果所述重复连接包括在一段时间内通向至少X个资源、在所述时间段内通向小于Y个唯一地址以及在所述时间段内对于所述唯一地址中的至少一个通向小于Z个唯一资源的连接，则基于所述重复连接对所述源节点计算分数，其中X、Y和Z是指示与威胁一致的行为的参数；以及如果所述分数超出阈值分数则采取策略动作。15.如权利要求14所述的方法，其中计算所述分数包括使用启发法来识别指示所述威2CN104067280A权利要求书2/2页胁的行为。16.如权利要求14所述的方法，其中所述重复连接使用超文本传输协议。17.如权利要求14所述的方法，其中所述威胁是连接到命令和控制服务器的bot。18.如权利要求14所述的方法，其中X大于或等于10，Y小于或等于5并且Z小于或等于5。19.如权利要求14所述的方法，其中所述时间段是至少八个小时。20.如权利要求14所述的方法，其中：所述威胁是使用超文本传输协议连接到命令和控制服务器的bot；X大于或等于10，Y小于或等于