[發明專利]檢測異常事件的系統和方法有效

申請號：	201710979748.4	申請日：	2017-10-19
公開（公告）號：	CN109145592B	公開（公告）日：	2022-09-13
發明（設計）人：	阿列克謝·V·莫納斯蒂爾斯基;米哈伊爾·A·帕夫尤什切克;阿列克謝·M·羅曼恩科;馬克西姆·Y·戈洛夫金	申請（專利權）人：	卡巴斯基實驗室股份制公司
主分類號：	G06F21/55	分類號：	G06F21/55
代理公司：	北京同達信恒知識產權代理有限公司 11291	代理人：	黃志華;何月華
地址：	俄羅斯***	國省代碼：	暫無信息
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	檢測異常事件系統方法
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種用于檢測在計算設備的操作系統中發生的異常事件的方法，所述方法包括：

在執行軟件進程期間，檢測在所述計算設備的所述操作系統中發生的至少一個事件；

確定在執行所述軟件進程期間檢測到的在所述操作系統中發生的所述至少一個事件的上下文，其中，確定所述上下文包括確定以下至少一者：

包含在檢測到的所述至少一個事件發生的時刻正在執行的代碼的所述軟件進程的地址空間的轉儲；

與從至少最后分支記錄和分支軌跡存儲的跳轉相關的數據；以及

在檢測到的所述至少一個事件發生之前在所述軟件進程中加載的可執行的軟件程序代碼的列表；

基于所確定的檢測到的所述至少一個事件的所述上下文的選擇的特征，形成檢測到的所述至少一個事件的卷積；

通過輪詢包含與在多個客戶端設備中發生的多個檢測到的事件的頻率相關的數據的數據庫，確定所形成的檢測到的所述至少一個事件的所述卷積的普及度，所述多個檢測到的事件與檢測到的所述至少一個事件相對應；以及

如果所確定的所述普及度小于閾值，則確定檢測到的所述至少一個事件是異常事件。

2.根據權利要求1所述的方法，其中，確定檢測到的所述至少一個事件的上下文包括：確定在檢測到的所述至少一個事件發生時刻的調用堆棧，其中，所述調用堆棧提供以下至少一者：在所述時刻正在執行的程序和正在執行的函數的列表、包含所述程序和所述函數的模塊的列表、以及正在傳輸至所述模塊的所有參數的數據類型和所有參數的值。

3.根據權利要求1所述的方法，其中，形成檢測到的所述至少一個事件的所述卷積包括以下至少一者：量化所確定的所述上下文的選擇的所述特征、對所確定的所述上下文的選擇的所述特征進行排序、合并所確定的所述上下文的選擇的所述特征、對所確定的所述上下文的選擇的所述特征進行分組、配置所確定的所述上下文的選擇的所述特征的數據集、對所確定的所述上下文的選擇的所述特征的值進行表格化、計算所確定的所述上下文的選擇的所述特征的值、對所確定的所述上下文的選擇的所述特征進行數據編碼、以及歸一化所確定的所述上下文的選擇的所述特征。

4.根據權利要求1所述的方法，還包括：

通過將所確定的所述上下文的選擇的所述特征卷積成字符串來生成散列值，以形成檢測到的所述至少一個事件的所述卷積；以及

通過將生成的所述散列值與所述數據庫中的散列值列表進行比較以確定在所述多個客戶端設備中發生的所述多個檢測到的事件的所述頻率，來確定所形成的所述卷積的所述普及度。

5.根據權利要求1所述的方法，還包括：

通過將所確定的所述上下文的選擇的所述特征卷積成坐標值來生成向量，以形成檢測到的所述至少一個事件的所述卷積；以及

通過將生成的向量值與所述數據庫中的向量列表進行比較以確定在所述多個客戶端設備中發生的所述多個檢測到的事件的所述頻率，來確定所形成的所述卷積的所述普及度。

6.根據權利要求1所述的方法，還包括：

將所形成的檢測到的所述至少一個事件的所述卷積與先前形成的安全事件的卷積的列表進行比較；以及

如果所形成的檢測到的所述至少一個事件的所述卷積不在所述先前形成的安全事件的卷積的列表上，則確定檢測到的所述至少一個事件為異常事件。

7.根據權利要求1所述的方法，其中，所述多個檢測到的事件的所述頻率包括以下至少一者：在檢測到所述至少一個事件的當前時刻的所述多個檢測到的事件的總數、以及在所述當前時刻各自經歷檢測到的所述至少一個事件的客戶端設備的總數。

8.根據權利要求1所述的方法，其中，輪詢所述數據庫包括以下至少一者：輪詢與在所有可訪問的子網內的第一多個客戶端設備相關聯的全局數據庫，以及輪詢與在設備的單個子網內的第二多個客戶端設備相關聯的局部數據。

9.根據權利要求1所述的方法，還包括：當檢測到的所述至少一個事件被確定為是異常事件時，刪除和/或隔離所述軟件進程。