技術(shù)領(lǐng)域

本發(fā)明屬于計算機軟件技術(shù)領(lǐng)域，具體涉及一種基于系統(tǒng)調(diào)用的軟件行為評估方 法。

背景技術(shù)

現(xiàn)有的軟件行為評估模型，依據(jù)其采集系統(tǒng)調(diào)用的方式的不同可以分為如下3類： 動態(tài)模型、靜態(tài)模型和混合模型，這三種模型對應(yīng)的收集系統(tǒng)調(diào)用的方式分別是動態(tài)，靜態(tài) 以及混合。

靜態(tài)建模的方法指不對程序進行執(zhí)行，但是直接分析程序的二進制代碼或者程序 的源代碼，從分析的結(jié)果里面搜集到所需要的系統(tǒng)調(diào)用等信息，進而建立模型。

動態(tài)建模的方法需要大量的數(shù)據(jù)來支撐，可以對程序進行大量的正常運行，在運 行過程中對程序的系統(tǒng)調(diào)用進行監(jiān)控和記錄，從而生成模型，該模型是依賴外部輸入的。

Dyck模型是第一個動態(tài)和靜態(tài)相結(jié)合的模型，即混合模型，該模型是被Giffin提 出的。該異常檢測系統(tǒng)會按照某種特定的規(guī)則對二進制代碼進行重新寫，這樣，重寫后的二 進制可以使生成的模型更加完備。然后運行重寫后的可執(zhí)行文件，對運行過程進行實時的 監(jiān)控，檢測該程序的行為，然后查看自己建立的模型，看檢測得到的結(jié)果是否與模型吻合。

其中現(xiàn)有的一種模型為隱馬爾科夫模型，通過建立隱馬爾科夫模型來對軟件行為 進行評估。

其中隱馬爾科夫模型由5部分組成，分別為：

隱含狀態(tài)S：無法直接觀察得到的狀態(tài)，但是這些狀態(tài)之間的關(guān)系是滿足馬爾科夫 的性質(zhì)的。

可觀測狀態(tài)O：可以直接觀測得到的狀態(tài)，這些狀態(tài)是與以上提到的隱含狀態(tài)相關(guān) 聯(lián)的，雖然關(guān)聯(lián)，但是O的個數(shù)不一定和S的個數(shù)相同。

初始矩陣π：表示在初始時刻，以上提到的隱含狀態(tài)S的概率矩陣，例如，在時刻t＝ 1時，P(s_i)＝p_i，則此時π＝[p₁,p₂…p_i]。

隱含狀態(tài)轉(zhuǎn)移矩陣A：是指從一個狀態(tài)轉(zhuǎn)移到另一個狀態(tài)的概率矩陣，例如，A_ij＝P (S_j|S_i)就表示狀態(tài)S_i轉(zhuǎn)移為S_j的概率。

觀測狀態(tài)轉(zhuǎn)移矩陣B：表示在隱含狀態(tài)是某條件下觀測狀態(tài)為某狀態(tài)的概率，例 如，B_ij＝P(O_i|S_j)，表示隱含狀態(tài)S_j條件下觀測狀態(tài)為O_i的概率。

評估問題解決的是如果給出了某個觀測序列和特定的模型參數(shù)，從而計算出該觀 測序列在給出的這個模型下出現(xiàn)的概率，該問題是異常檢測的關(guān)鍵問題，也就是說，異常檢 測就是檢測給定的觀測序列，在良性執(zhí)行軟件后形成的馬爾科夫模型中出現(xiàn)的概率，從而 評估這個概率的大小來確定被檢測的這個觀測序列是不是軟件正常執(zhí)行產(chǎn)生的。向前算法 (forward)是用來計算給定觀測序列在訓(xùn)練形成的馬爾科夫模型下出現(xiàn)的概率P{O|λ}的算 法。以下是P{O|λ}的算法：

定義向前變量α_t(i)為：

α_t(i)＝P{O₁O₂O₃…O_t,H(t)＝S_i|λ}

上式中，某個參數(shù)模型λ和部分觀測序列O₁O₂O₃…O_T，并且t時刻的時候，狀態(tài)為Si 的幾率。可用遞歸法解得α_t(i)，其步驟如下：

1)將α_t(i)初始化：α₁(i)＝ω_ib_i(O₁)

2)遞歸法計算：其中1≤t≤T，1≤j≤N；