本發明涉及檢測異常事件的系統和方法，特別地提供了一種用于檢測在計算設備的操作系統中發生的異常事件的系統和方法。示例性的方法包括：在執行軟件進程期間，檢測在計算設備的操作系統中發生的事件。此外，該方法包括：確定檢測到的事件的上下文并基于所確定的檢測到的事件的上下文的選擇的特征形成檢測到的事件的卷積。另外，該方法包括：通過輪詢包含與在網絡中的客戶端設備中發生的檢測到的事件的頻率相關的數據的數據庫來確定所形成的卷積的普及度，其中，客戶端設備的檢測到的事件對應于計算設備中的檢測到的事件。如果所確定的普及度小于閾值，則該方法確定檢測到的事件是異常事件。

技術領域

本公開總體涉及計算機安全領域，更具體地，涉及一種用于保護計算機設備免受利用設備軟件中存在的漏洞的系統和方法。

背景技術

隨著軟件應用程序在當今技術領域的目前的廣泛使用和變化，使用惡意軟件滲透計算機設備的最廣泛的方法之一涉及利用安裝在特定設備上的軟件中存在的漏洞。

為了防止漏洞的利用，公司和/或個人會使用消除漏洞本身的形式的被動方法和檢測漏洞的實際利用的形式的主動方法兩者。被動方法用于已知的漏洞，而主動方法用于已知的漏洞和未知的漏洞兩者。

實際上，現有的檢測技術能夠檢測利用已知的技術和機制的漏洞的實際利用，但不幸的是，這些方法無法檢測和防止利用漏洞的新技術，這些新技術采用新的利用原理和利用機制。例如，為了不能執行溢出代碼(即，用作利用軟件漏洞的有效載荷的一小段代碼)，已經開發了防止在堆棧中執行的技術，但是在它們的角度出現了面向返回的編程技術。一般來說，面向返回的編程是計算機安全開發技術，其允許攻擊者在存在諸如不可執行內存和代碼簽名等安全防御的情況下執行代碼。

已經證明現有的防御性技術對于面向返回的編程是無能為力的。因此，例如如美國專利公開號2006/0196428所述，已經開發了新的解決方案以防止這些攻擊。鑒于這些新的解決方案，仍然需要檢測計算機系統的功能與正常操作的偏差，這可能表明系統已經被利用軟件中的漏洞的技術所攻擊。這個問題的解決將有可能擺脫那些利用正在發生變化和改進的漏洞本身的技術，以將重點放在攻擊的外部癥狀上，當技術變化時，這些外部癥狀保持不變。

發明內容

因此，如本文所公開的，提供示例性的系統和方法來檢測在計算設備的操作系統中發生的異常事件。特別地，所公開的系統和方法提供用于在執行設備的軟件進程期間檢測在客戶端設備的操作系統中發生的異常事件。

因此，根據示例性方面，提供了用于檢測在計算設備的操作系統中發生的異常事件的方法。在該方面中，該方法包括：在執行軟件進程期間，檢測在所述計算設備的所述操作系統中發生的至少一個事件；確定在執行所述軟件進程期間檢測到的在所述操作系統中發生的所述至少一個事件的上下文；基于所確定的檢測到的所述至少一個事件的所述上下文的選擇的特征，形成檢測到的所述至少一個事件的卷積；通過輪詢包含與在多個客戶端設備中發生的多個檢測到的事件的頻率相關的數據的數據庫，確定所形成的檢測到的所述至少一個事件的所述卷積的普及度，所述多個檢測到的事件與檢測到的所述至少一個事件相對應；以及如果所確定的所述普及度小于閾值，則確定檢測到的所述至少一個事件是異常事件。

在示例性方法的另一方面，確定檢測到的所述至少一個事件的上下文包括：確定在檢測到的所述至少一個事件發生時刻的調用堆棧，其中，所述調用堆棧提供以下至少一者：在所述時刻正在執行的程序和正在執行的函數的列表、包含所述程序和所述函數的模塊的列表、以及正在傳輸至所述模塊的所有參數的數據類型和所有參數的值。

在示例性方法的另一方面，確定檢測到的所述至少一個事件的上下文包括確定以下至少一者：包含在檢測到的所述至少一個事件發生的時刻正在執行的代碼的所述軟件進程的地址空間的轉儲、與從至少最后分支記錄和分支軌跡存儲的跳轉相關的數據、以及在檢測到的所述至少一個事件發生之前在所述軟件進程中加載的模塊的列表。