技術領域

本發明涉及程序運行時的惡意行為監控，計算機安全技術領域，特別涉及一種基于深度學習的程序執行路徑的監控方法及系統。

背景技術

近年來，云計算因為其清晰的商業模式，從而受到了業界和學術界的廣泛關注和普遍認可，成為了最受關注的IT技術之一。隨著云計算高速發展，需求的飛速增長和需求的多樣化成為了必然的趨勢，而這也使得數據中心的規模越來越大，基礎架構也日趨復雜多樣。當前底層平臺的復雜性激增，在帶來便利和高效的同時，也對包括系統軟件在內的云平臺基礎設施的安全造成了極大的挑戰。

雖然網絡安全并不是全新的研究領域，但由于網絡技術在當今云平臺中的基礎性地位，使得很多傳統的網絡安全問題以新的形式呈現在我們面前，而這些成為保障云平臺本身安全的一個部分。眾所周知，網絡中包含了各種各樣的惡意代碼(病毒、蠕蟲等等)，用以非法訪問、篡改各種未經授權的信息，或隱藏其本身的蹤跡，潛伏在客戶系統中記錄、監控客戶的各種操作行為。針對此類安全問題的研究主要分為惡意行為分析和惡意行為檢測兩方面。惡意行為分析技術包括靜態和動態兩方面，靜態分析是指在不執行二進制程序的條件下進行分析，屬于逆向工程分析方法，主要手段有反匯編分析、源代碼分析、二進制統計分析及反編譯等；動態分析方法是指在惡意代碼執行的情況下，利用程序調試工具對其進行跟蹤和觀察，確定其執行過程，對靜態分析結果進行驗證。靜態和動態分析技術相互補充，用于對已知的惡意行為進行分析，提取其特征，作為檢測該類惡意行為的依據，協助惡意行為檢測技術共同保障系統的安全。

雖然上述問題在傳統的安全領域都有所涉及，但在海量數據的背景之下，對于網絡安全的攻防呈現出很多新的特點，傳統的檢測方法漸漸體現出其局限性，例如，動態污點跟蹤技術是一種常用的惡意行為分析手段，該技術跟蹤惡 意代碼的執行過程，分析并提取其行為特征。主要原理是：將來源于網絡等不信任渠道的數據標記為“污染”的，對該類數據進行一系列算術和邏輯操作而新生成的數據也會繼承源數據的“污染”屬性，此繼承行為稱為污點數據的傳播。系統運行過程中，一旦檢測到對“污染”數據的非法操作，系統會發出報警，生成當前的相關內存、寄存器和一段時間內的網絡數據流的快照，并將其傳遞給特征碼生成服務器，作為特征碼的原始資料。動態污點跟蹤技術的優點在于能夠準確對惡意代碼行為進行分析且識別未知病毒，但目前部署于QEMU模擬器中，性能開銷大，不能作為一種在線的檢測手段，只能作為線下惡意代碼分析方法。該技術主要針對的攻擊方式為緩沖區、棧溢出攻擊及格式字符串攻擊等。

在當今底層系統復雜度日益上升的背景之下，各種平臺間及平臺本身的調用關系錯綜復雜，而在模塊化編程思想的指導下，各個功能模塊間高內聚、低耦合，這使得模塊間的組合方式呈組合爆炸使得增長，人工分析需要耗費大量的時間和精力，對大型系統的全面分析幾乎是不可能完成的任務。

發明專利“動態探測程序執行路徑的方法、裝置和計算機系統”，該發明實施例提供了一種動態探測程序執行路徑的方法、裝置和計算機系統，能夠實現程序執行路徑的動態實時探測，對于應用程序和內核態程序具有通用性。該方法包括：根據被探測程序的進程特征碼從所述處理器記錄的指令轉移信息集合中獲取所述被探測程序的指令轉移信息集合，所述指令轉移信息集合包括至少一個指令轉移信息，所述每一指令轉移信息包括指令轉移前后運行的指令所屬的函數的符號表；根據所述每一指令轉移信息包括的所述每一指令轉移前后運行的指令所屬的函數的符號表，生成所述被探測程序的程序執行路徑，所述被探測程序的程序執行路徑包括所述被探測程序運行過程中的函數調用關系。該發明實施例適用于信息技術領域。但是該發明需要從所述處理器記錄的指令轉移信息集合中獲取所述被探測程序的指令轉移信息集合，其中包括指令轉移前后運行的指令所屬的函數的符號表，以此推測出被探測程序前后運行的函數，并生成被探測程序運行過程中的函數調用關系，而本專利則是通過特定的探測工具，得到函數運行時特定的執行信息(函數返回地址)，并根據此地址返回信息查找到其調用函數，并通過上述信息建立函數調用路徑，分析后得到整個函數調用執行路徑，另外，本發明并不人工分析函數調用關系流，而是通 過深度學習的方式自動形成。

發明內容