发明名称 |
用于检测关注的网络活动的系统和方法 |
摘要 |
网络活动检测系统被训练来检测关注的网络活动,例如恶意的计算机数据造成的威胁。训练包括将已知关注的网络活动的信息(例如,计算机病毒入侵、开发、蠕虫等)提取成元表达式的最小子集。在运行时间,网络活动检测系统将元表达式的最小子集与有效的计算机算法进行组合以进化元表达式来检测未知的一组网络活动中的已知关注的网络活动以及它们的未知变体。网络活动检测系统可产生对关注的网络活动的检测的适当响应。 |
申请公布号 |
CN104520826A |
申请公布日期 |
2015.04.15 |
申请号 |
CN201280073333.6 |
申请日期 |
2012.12.28 |
申请人 |
趣斯特派普有限公司 |
发明人 |
J·S·弗劳尔斯 |
分类号 |
G06F12/14(2006.01)I;H04L29/06(2006.01)I |
主分类号 |
G06F12/14(2006.01)I |
代理机构 |
余姚德盛专利代理事务所(普通合伙) 33239 |
代理人 |
郑洪成 |
主权项 |
一种计算机实施的方法,用于检测关注的网络活动,所述方法包括:通过一个或多个处理器从网络获取多个网络包,其中组合的多个网络包包括被分类成传输控制协议(TCP)包和互联网协议(IP)包的网络包,其中组合的多个网络包包括关注的网络活动;通过一个或多个处理器从多个TCP包和IP包的至少一个子集创建多个组合包,其中:多个组合包的第一组合包包括至少一个TCP包的一部分以及至少一个IP包的一部分,以及多个组合包的第二组合包包括至少一个TCP包的一部分以及至少一个IP包的一部分,其中第二组合包不同于第一组合包;借助于一个或多个处理器,通过将第一组合包的至少一部分的内容按位转换成第一多个整数,创建第一序列,其中第一序列包括第一多个整数;借助于一个或多个处理器,通过将第二组合包的至少一部分的内容按位转换成第二多个整数,创建第二序列,其中第二序列包括第二多个整数;借助于一个或多个处理器,基于距离函数来确定第一序列和第二序列之间的相似性度量;借助于一个或多个处理器,根据相似性度量来创建第三序列,其中第三序列包括依照第一顺序的对第一序列和第二序列公共的第三多个整数;借助于一个或多个处理器,创建第四序列,其中第四序列是元表达式,所述元表达式:包括依照第一顺序第三列表的第三多个整数的子集,以及对应于网络传输中关注的网络活动的存在;以及存储元表达式,其中存储的元表达式被用于检测关注的网络活动的存在。 |
地址 |
美国加利福尼亚州 |