專利名稱:一種異常檢測方法、裝置及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信技術領域,特別涉及一種異常檢測方法、裝置及系統(tǒng)。
背景技術:
視窗(Windows)操作系統(tǒng)是最常用的操作系統(tǒng),同時也是最容易受惡 意程序攻擊的操作系統(tǒng)。惡意軟件在主機上運行時會利用操作系統(tǒng)的某些特 性和安全漏洞對操作系統(tǒng)做出攻擊行為。 一般有兩類普遍使用的方法來防御 惡意軟件的攻擊第一類防御惡意軟件的方法中有兩種方式病毒掃描器和 安全補丁,第二類是入侵檢測系統(tǒng)(IntrusionDetection Systems, IDS )。
病毒掃描器可以檢測主機上的惡意軟件;安全補丁則更新操作系統(tǒng)來堵 上惡意軟件使用的安全漏洞。兩種方式都能在一定程度上防范惡意程序的攻 擊,但都存在同樣的缺陷,即能夠檢測到己知的攻擊,但不能檢測到未知類 型的攻擊,原因是病毒掃描方法都是基于簽名的方法,用軟件中的字節(jié)序 列或嵌入的字符串來辨別某一程序是否是惡意的。如果病毒掃描器的簽名數(shù) 據(jù)庫中沒有包含某一個特定病毒的相關特征,那么,病毒掃描器就不能檢測 出這種病毒。 一般來說,病毒掃描器需要頻繁更新簽名庫,否則掃描器將是 無用的。類似地,安全補丁也只能在補丁被寫入、分配、應用到主一幾系統(tǒng)之 后才能起到保護作用,否則系統(tǒng)會一直處于易受攻擊狀態(tài)。
入侵4企測系統(tǒng)是基于主機的入侵檢測系統(tǒng)來監(jiān)控主機系統(tǒng)并檢測入侵行 為?,F(xiàn)有的IDS是基于簽名算法的,這些算法把主機活動和相應的已知攻擊 的簽名數(shù)據(jù)庫相匹配,這個方法和使用殺毒軟件類似,需要軟件廠商提前提 供給用戶一個關于已知攻擊的簽名庫,在掃描過程中,系統(tǒng)引擎會根據(jù)所提 供的攻擊簽名庫的內容進行相關的攻擊檢測。
術防御惡意軟件攻擊的方法都是基于簽名的方法,基于簽名的方法需要頻繁 地更新病毒簽名庫來檢測軟件是否為惡意軟件,而在很多時候更新病毒簽名 庫很困難;即使實時地更新了病毒簽名庫,使用病毒簽名庫與被檢測軟件匹 配的方式也只能^r測到已知攻擊,對未知攻擊仍然沒有解決辦法;另外,澤企
測《1擎根據(jù)簽名庫中已有的內容對于系統(tǒng)行為進行逐一的匹配掃描需要消耗 點大量的系統(tǒng)資源,大大降低了系統(tǒng)的效率。綜上所述,使用現(xiàn)有技術防御 惡意攻擊會大大地降低系統(tǒng)效率,并且只能檢測已知攻擊,不能未知攻擊, 不能有效地防御惡意攻擊。
發(fā)明內容
本發(fā)明實施例要解決的技術問題是提供一種異常檢測方法、裝置及系統(tǒng), 能有效防御惡意攻擊。
為解決上述技術問題,本發(fā)明所提供的異常檢測方法實施例可以通過以
下技術方案實現(xiàn)
監(jiān)控軟件訪問注冊表的行為;
當所述軟件訪問所述注冊表的行為屬于異常行為特征模型和/或不屬于正 常行為特征^t型時,確定所述軟件為惡意軟件;
所述正常行為特征模型是通對所述注冊表正常訪問建模得到的,所述異 常行為特征模型是通過對所述注冊表異常訪問建模得到的。
上述技術方案具有如下有益效果通過建立對注冊表的正常和/或異常訪 問模型,然后通過監(jiān)控軟件對注冊表的訪問行為與正常和/或異常訪問模型比 對,檢測出惡意攻擊,由于對注冊表的監(jiān)控占用資源比較小,由于惡意軟件 具有的異常訪問行為具有異常訪問模型中的通性,可以判斷新產生的惡意程 序,而不需要更新簽名庫;綜上所述,上述實施例可以在占用系統(tǒng)資源較小 的條件實現(xiàn);險測到未知攻擊,實現(xiàn)有效地防-卸惡意攻擊的目的。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實 施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面 描述中的附圖僅僅是本發(fā)明的 一些實施例,對于本領域普通技術人員來講, 在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。 圖]為本發(fā)明方法實施例 一異常檢測流程示意圖; 圖2為本發(fā)明方法實施例二建立異常行為特征模型流程示意圖; 圖3為本發(fā)明方法實施例三擴充異常行為特征模型流程示意圖; 圖4為本發(fā)明方法實施例四貝葉斯分類操作流程示意圖5為本發(fā)明方法實施例五貝葉斯異常檢測方法流程示意圖; 圖6為本發(fā)明實施例六異常檢測裝置結構示意圖; 圖7為本發(fā)明實施例七異常檢測裝置結構示意圖; 圖8為本發(fā)明實施例八異常檢測裝置結構示意圖; 圖9為本發(fā)明實施例九異常檢測裝置結構示意圖; 圖IO為本發(fā)明實施例十異常檢測系統(tǒng)結構示意圖。
具體實施例方式
下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行 清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而 不是全部的實施例。基于本發(fā)明中的實施例,本領域普通技術人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明實施例要解決的技術問題是提供一種異常檢測方法、裝置及系統(tǒng), 能有效防御惡意攻擊。
實施例一,本發(fā)明實施例提供的一種異常檢測方法可以通過如下步驟實
現(xiàn)
步驟101:對注冊表異常訪問和/或正常訪問操作建模,得到正常行為特征 模型和/或異常行為特征模型;在后續(xù)實施例中將對建模的方法作更詳細的說 明;
步驟102:對軟件訪問注冊表的行為進行監(jiān)控;
步驟103:當所述軟件訪問注冊表的行為屬于異常行為特征模型和/或不屬 于正常行為特征模型時,確定所述軟件為惡意軟件;或者,當所述軟件訪問 注冊表的行為不屬于異常行為特征模型和/或屬于正常行為特征模型時,確定 所述軟件為正常軟件。
所述正常行為特征模型為對注冊表正常訪問建;f莫得到,異常行為特征 模型為對注冊表異常訪問建模得到。具體的建模方式本發(fā)明實施例不作限 定,只需要滿足正常行為特征模型包含正常訪問特征,異常行為特征模型包 含異常訪問特征,至于模型的規(guī)??梢愿鶕?jù)系統(tǒng)安全要求的級別需要來建立。
上述實施例通過建立對注冊表的正常和/或異常訪問行為特征模型,然后 通過監(jiān)控軟件對注冊表的訪問行為與正常和/或異常訪問特征模型比對,檢測
出惡意攻擊,由于對注冊表的監(jiān)控占用資源比較小,由于惡意軟件具有的異 常訪問行為具有異常訪問模型中的通性,可以判斷新產生的惡意程序,而不 需要更新簽名庫;綜上所述,上述實施例可以在占用系統(tǒng)資源較小的條件實 現(xiàn)檢測到未知攻擊,實現(xiàn)有效地防御惡意攻擊的目的。
實施例二,對注冊表異常訪問和/或正常訪問操作建模,本發(fā)明實施例提 供了對注冊表訪問行為的分析方法。
如圖2所述,建立模型異常行為特征模型的方法可以為 步驟201:對異常訪問注冊表的行為進行特征提取得到異常特征; 步驟202:將所述提取到的異常特征保存在異常行為特征模型中,得到異 常行為特4正纟莫型。
正常行為特征模型的建立方法與異常行為特征模型的建立方法類似不再 贅述。
在正常執(zhí)行的情況下,注冊表訪問活動具有一些特性比如大多數(shù) Windows程序都將會訪問某一組注冊表鍵,而且,多數(shù)用戶運行機器時常規(guī)地 使用某一些程序, 一般為一組安裝在機器上的程序或是這些程序的一部分; 并且這些活動會逐漸變得有規(guī)律。而且大多數(shù)程序僅僅在開、關機時訪問注 冊表,或者以一定的時間間隔訪問注冊表,上述對注冊表的訪問應該被認為 是正常訪問。這種規(guī)律性使注冊表成為一個極其優(yōu)異的尋找不規(guī)律或異?;?動的地方,惡意程序偏離了正常活動特征而在很大程度上會被檢索到。
操作系統(tǒng)安裝在終端上之后,許多攻擊可能涉及到幾方面 一、啟動以 前未啟動過的程序;二、改變以前沒改變過的鍵值;三、修改操作系統(tǒng)相對 應的鍵值;四、對其他程序的鍵值進行操作等。上述注冊表操作為異常訪問。 另外,惡意程序還可能需要查詢部分注冊表以獲取關于漏洞的信息;還可能 引入新鍵在終端中創(chuàng)建一個可攻擊的"后門",這些操作都應當劃分為異常訪 問。可以理解的是上述舉例并不是異常訪問類型的窮舉,不對本發(fā)明實施例 構成限定。下面就異常訪問的幾種情況舉例說明
安裝木馬這種程序啟動時,可能會在主機文件系統(tǒng)中增添文件讀寫的 共享功能。它可以通過在Windows注冊表鍵的通信區(qū)域中建立注冊表結構來使 用注冊表。這個結構可以從
HKLM\Software\Microsoft\Windows\CurrentVersionWetworkAIanMan生成。然后 創(chuàng)建幾個典型的新鍵供自身使用。它也可能訪問HKLMXSecuritVovider來找機 器的安全信息幫助檢測漏洞。而這些鍵不會被正常程序訪問,這種使用自然 是可疑的。
后門2000: —個被植入"后門"客戶程序的主機上這種程序會開放這個 漏洞來完成對計算機的控制。這種程序大量使用在注冊表中,它使用了一個 Windows系統(tǒng)4艮少4吏用的4走HKLM\software\Microsoft\VBA\Monitersa這個鍵 在訓練和測試中不會被正常程序訪問。這樣,我們可以把訓練和測試中的訪 問認作異常訪問。這種程序也可能啟動許多其它程序,如IoadWC.exe; Patch.exe; runonce.exe (常用的用來進行攻擊的軟件)等作為攻擊的 一部分, 這些都應該被認為是對注冊表的異常訪問。
使諾頓Norton失效 一個使諾頓殺毒軟件Norton Antivirus失效的注冊表的 訪問。這種攻擊可以套牢一個注冊表的記錄鍵
HKLM\SOFTWARE\INTEL\LANDesk\VirusProtectG\CurrentVersion\Stomges\Fi les\System\RealTimeScan\OnOff。如果這個鍵值被設為0那么Norton Antivirus 實時監(jiān)控系統(tǒng)被關閉。這種情況下,異常的原因是鍵值被不同的程序重寫, 這類訪問也應被認為是異常訪問。
以上對注冊表的正常和異常訪問作了舉例說明,可以理解的是本實施例 不是對所有正常和異常訪問行為的窮舉,因而上述舉例不應理解為對本發(fā)明 實施例的限定。
可以對上述相關的惡意軟件及惡意代碼對注冊表操作的一些提取,通過 對這些已知的并且進行過分析的針對注冊表的惡意行為的處理,我們將這些 惡意行為進行特征的提取,并將它們保存在異常行為特征模型中,可以作為 異常行為特征模型中的原始數(shù)據(jù)。使用正常行為特征模型和異常的行為特征 模型,通過注冊表訪問行為與特征模型的比對得到所述注冊表訪問行為是否 為安全的訪問,由于監(jiān)控訪問控制列表具有占用系統(tǒng)資源小的特點,實施例 可以在占用系統(tǒng)資源較小的條件實現(xiàn)檢測到未知攻擊,實現(xiàn)有效地防御惡意 攻擊的目的。
經(jīng)過對注冊表正常和異常訪問的分析,得到哪些訪問是正常的,哪些訪 問是異常的,用對注冊表正常訪問的行為建立正常行為特征模型,用對注冊 表異常訪問的行為建立異常行為特征模型;還可以使用異常分析算法對正常 行為特征模型和異常的行為特征模型進行擴充。
實施例三,本發(fā)明實施例還提供了使用異常分析算法對正常行為特征模 型和異常的行為特征模型進行擴充的方法。
在現(xiàn)有技術中有很多異常分析算法可以實現(xiàn)對正常行為特征模型和異常
的行為特征模型進行擴充;本實施例將提供使用一種啟發(fā)式概率異常檢測算
法(Probability Abnormity Detection, PAD)來進行擴充,該算法與其它算法
相比更為魯棒。
如圖3所示,擴充異常行為特征模型的步驟可以為 步驟301:使用異常檢測算法對所述異常特征進行擴充, 步驟302:將擴充得到的異常特征保存在異常特征;漠型中。 正常行為特征模型的擴充方法與異常行為特征模型的擴充方法類似不再贅述。
一般說來, 一個原則性強的異常檢測概率方法可以簡化密度估計。如果 算法能在正常數(shù)據(jù)上估計一個密度函數(shù)p(x),那么就能夠定義低概率發(fā)生的數(shù) 據(jù)元素是異常。在IDS的框架中,每一個特征有許多可能的值,例如關4建Key 特征在訓練集中有超過30000的值。因為有這么多可能的相關特征值提取數(shù)據(jù) 記錄,所以被涉及的數(shù)據(jù)集特征是稀疏的。
由于異常檢測算法中的概率密度估計在稀疏數(shù)據(jù)上比較困難,可以通過 定義一致性檢查來說明稀疏數(shù)據(jù)集上哪些記錄是異常的。可以在正常數(shù)據(jù)上 定義一組一致性檢查,每一個一致性檢查可以被用到一個觀測記錄上。如果 記錄不符合任何一個一致性檢查,就把這個記錄標明為異常集合模型中的一 個元素。
可以運用了兩種一致性檢測方法第一種是評價一個特征值是否與正常 數(shù)據(jù)集中觀測到的特征值一致。把這種一致性類型認作是先覺的正常一致性 狀態(tài)。例如每一個注冊表記錄可能被認為是5個隨機變量的結果,XI, X2, X3 , X4, X5。它們的一致性檢查計算觀測到的特征的可能性,可以表示為P(Xi)。 第二種, 一致性檢查處理可以針對于特征對來進行,對于每一對特征來說,
每個特征都會以另 一個特征作為條件來產生又一個一致性檢查的狀態(tài),這些 一致性檢查被看作是又一個一致性檢查的狀態(tài),可以表示為P(Xil Xj)。 注意,
對每一個Xj的值都有一個不同的Xi值的概率分布。在所給出的例子中,每一 個記錄有5個特征值,這樣有5個第一種一致性檢查狀態(tài),20個第二種一致性 檢查狀態(tài)。如果任何一個一致性檢查狀態(tài)的概率小于一定鬮值,就把這個記 錄標定為異常,把它放到異常模型里。
為了有效地計算P(Xi)和P(Xi I Xj)概率,可以使用Friedman和Singer提出的
評估器,它明確地估計了觀測以前沒有觀測到的元素的概率。如果元素i被觀 測到,則使用公式P(X一)-^^C進行計算。否則,如果元素i沒有被預先
觀測到,則使用公式尸(1 = /)=C)進行計算。
丄一 A:。
其中,a是對每一個元素的預先計數(shù);7V,是i被觀測到的次數(shù);N是觀測 到的總數(shù);kO是不同的被觀測到的元素數(shù)目;L是可能的元素或者字符規(guī)模的 總數(shù);C是規(guī)模參數(shù),它考慮了有多大可能觀測到與觀測不到元素相對的預先 觀測到的元素。
通過概率評估器的計算,可以得到兩個有非零概率元素的子集。通過對惡 意行為和基本的正常行為的分析,并根據(jù)概率評估器對的計算,建立正常行 為特征模型和異常行為特征模型,兩個模型分別表示正常行為和異常行為的 特征檢測的概率以及相應的閾值的范圍,在后續(xù)的檢測中,當監(jiān)控到相關的 操作后根據(jù)模型來進行驗證。此算法標明的每一個注冊表訪問不是正常的就 是異常的。在某一處,程序可能有幾個到幾千個注冊表訪問,這時可能許多 攻擊被大量的記錄描述,這些記錄中的一些記錄會被認為是異常的。這些被 認為是異常的記錄被認為是異常的原因,有的是因為它們有與正常數(shù)據(jù)相比 具有不一致的特征值;有的是因為它們與正常數(shù)據(jù)組合相比具有不一致的特 征組合,即使單個特征都是正常的。
異常行為特征模型和正常行為特征模型原始數(shù)據(jù)建立后,可以根據(jù)這兩個 模型來完成對正常行為和異常行為的辨別,但是由于存在大量的惡意代碼的 攻擊行為,并且我們不可能對所有的惡意代碼的攻擊行為進行仔細的分析,
因為這種全面分析將是海量數(shù)據(jù)的處理,所以經(jīng)過分析并提取的惡意行為只 是較小的一部分,可以使用異常行為模型中的原始數(shù)據(jù),通過異常行為分析 算法在設置較高的閾值的情況下進行處理,來保證惡意行為的準確提取,并 對異常數(shù)據(jù)進行了有效的添加和擴充。上述較高的閾值在實驗過程中使用了
8.497072和6.44408,實驗結果表明使用較高閾值時會對惡意行為進行準確提 取,但是可能會產生漏報,使用較低閾值時會檢測出較多的攻擊行為,但是 會導致誤報率的產生,這里需要根據(jù)實際需要進行設置,當安全性要求高時 將所述閾值設置低些,安全性要求低時將所述閾值設置高些。
使用異常分析算法對正常行為特征模型和異常的行為特征模型進行擴充 后,能夠更準確地檢測訪問行為是否安全,提高了檢測的可靠性。
實施例四,本發(fā)明實施例還提供了判斷未知類型異常的分類方法。 完成異常行為特征模型和正常行為特征模型后,可以使用模糊集、曲線 擬合、神經(jīng)網(wǎng)絡相關等算法進行計算和分類,本發(fā)明將以貝葉斯Bayes算法進 行分類為例進行介紹。
設X為一個類別未知的檢測樣本,H為某個假設,若數(shù)據(jù)樣本X屬于一個 特定的類別C,那么分類問題就是決定P(HIX),即在獲得檢測樣本X時,H假 設成立的概率。
P(H|X)是事后概率或為建立在X(條件)之上的H概率。例如假設檢測樣 本是一次對注冊表的訪問,描述對注冊表屬性和鍵值的訪問是否成功。假設X 為打開程序和緩沖溢出,H為X是一個入侵的假設,則P(HIX)表示在已知X是 打開程序和緩沖溢出時,確定X為一個入侵的H假設成立的概率;相反,P(H) 為事前概率,在上述例子中,P(H)就表示任意一個數(shù)據(jù)對象,它是一次入侵 的概率。無論訪問是何種鍵值和訪問是否成功。與P(H)相比,P(HIX)是建立在 更多信息基礎之上的;而P(H)則與X無關。
類似的,P(XIH)是建立在H基礎之上的X成立概率。也就是說若已知H 是一次入侵,那它是打開程序和緩沖溢出的概率可表示為P(XIH)。
由于P (X), P(H)和P(XIH)的概率值可以從分類所得到的數(shù)據(jù)集合中得到, 貝葉斯定理則描述了如何根據(jù)P(X) ,P(H)和P(XIH)計算獲得的P(HIX),具體公
<formula>formula see original document page 12</formula>
如圖四所示,貝葉斯分類器進行分類才喿作處理的步驟可以為
步驟401:每個數(shù)據(jù)樣本均可以由一個n維特征向量X二 {xl, x2,…,xn)來描 述其11個屬性(八1^2,..,入11)的具體取值。
步驟402: ^i殳共有m個不同類別,C1,C2,..., Cm。給定一個未知類別的數(shù) 據(jù)樣本X,分類器在已知X的情況下,預測X屬于事后概率最大的那個類別。 也可以理解為貝葉斯分類器將未知類別的樣本X歸屬到類別Ci,其中類別Ci 被稱為最大事后概率的假設
<formula>formula see original document page 12</formula>
也就是P(c,lx)最大。其中的類別c,就成為最大事后概率的假設。根據(jù)公
式:
<formula>formula see original document page 12</formula>
由于P(X)對于所有的類別都是相同的,因此將P(X I C,)P(C,)取最大值即可。
由于類別的事前概率是未知的,因此,通常假設各類別出現(xiàn)的概率相同。
對于上述公式取最大實際上只需要求P(XIC,)最大即可。而類別的事前概率一 般可以通過P(C,)^,/s公式進行估算,其中si為訓練樣本集合中類別Ci的個數(shù), s是整個訓練樣本集合的大小。我們可以把類別分為正常模型和異常模型兩類, 也就是只需要分為C1,C2即可。
步驟403:為實現(xiàn)對P(XICi)的有效估算,貝葉斯分類器假設各類別是相互 獨立的,即各屬性的取值是相互獨立的。對于特定的類別,其各屬性相互獨
立,有尸(X I C,) = I C,),我們根據(jù)訓練數(shù)據(jù)樣本估算戶(x, I C,),
P(jc2lC,),…,P(xJC,)值,具體處理方法可以為
由于數(shù)據(jù)集中的數(shù)據(jù)是離散量,這里我們根據(jù)P(xiklCi,)=sik/si計算,這 里sik為訓練樣本中類別為Ci,且屬性Ak取vk值的樣本數(shù),si為訓練樣本中類
別為Ci的樣本數(shù)。
步驟404:為預測一個未知樣本X的類別,可對每個類別Ci估算相應的 P(X|Ci) P(Ci)。樣本X歸屬類別Ci,當JM義當P(Ci|X )>P(Cj|X) 1《7《mJW
根據(jù)該樣本所歸屬的類別就可以判斷,該樣本屬于正常的行為還是異常 的行為。
大多數(shù)的惡意行為都會對系統(tǒng)的注冊表進行訪問并且有較多的規(guī)律性, 使用上述實施例的方法對大量的樣本進行分析,能夠對存在的惡意行為進行 有效的提取異常特征,對未知類型的攻擊也能做出準確的判斷,為監(jiān)控訪問 行為的有效性l是供了保障。
實施例五,本發(fā)明實施例還提供了基本貝葉斯方法對基于注冊表訪問的 異常檢測方法,如圖5所示,可以包括以下步驟
步驟501:根據(jù)對注冊表訪問數(shù)據(jù)集的釆樣形成相應的特征向量來描述其 具體的屬性取值。
步驟502:因為己知只有兩個類別正常和異常,只需要計算最后得到的 概率值更接近哪一個就可以了 。
步驟503:確定訪問的性質,當所述概率更接近正常則屬于正常訪問特征 模型,當所述概率更接近異常則屬于異常訪問特征模型。
由于惡意程序和正常程序對注冊表的訪問所產生的結果都是相互獨立 的,該特征完全合乎貝葉斯方法的要求。
上述異常檢測算法以及貝葉斯算法都是非常成熟的算法,這兩種算法的 執(zhí)行效率較高,對惡意行為的監(jiān)控效率較高;同時由于對注冊表的監(jiān)控較為 簡便宜行也會有效的提高該系統(tǒng)的效率,在相對降低系統(tǒng)效率較少的情況下 達到了有效監(jiān)控的目的。
上述方法對正常行為特征模型和異常行為特征模型進行有效的建模,所 以對已知存在的惡意行為能夠有效地進行;險測,對于未知的惡意行為,通過 使用貝葉斯算法的有效計算和匹配,也能夠很大程度上進行告警,有效地降 低了監(jiān)控過程的漏報和誤報。
實施例六,如圖6所示,本發(fā)明實施例還提供了一種異常;f全測裝置,包括
監(jiān)控單元601:用于對軟件訪問注冊表的行為進行監(jiān)控;
判斷單元602:用于當所述軟件訪問注冊表的行為屬于異常行為特4正^t型 和/或不屬于正常行為特征模型時,確定所述軟件為惡意軟件;或者,當所述 軟件訪問注冊表的行為不屬于異常行為特征模型和/或屬于正常行為特征模型 時,確定所述軟件為正常軟件;所述正常行為特征模型為對注冊表正常訪 問建模得到,異常行為特征模型為對注冊表異常訪問建模得到。
上述實施例通過建立對注冊表的正常和/或異常訪問行為特征^t型,然后 通過監(jiān)控軟件對注冊表的訪問行為與正常和/或異常訪問特征模型比對,檢測 出惡意攻擊,由于對注冊表的監(jiān)控占用資源比較小,由于惡意軟件具有的異 常訪問行為具有異常訪問^t型中的通性,可以判斷新產生的惡意程序,而不 需要更新簽名庫;綜上所述,上述實施例可以在占用系統(tǒng)資源較小的條件實 現(xiàn)檢測到未知攻擊,實現(xiàn)有效地防御惡意攻擊的目的。
實施例七,如圖7所示,上述實施例六所述裝置還可以包括
異常特征提取單元701,用于對異常訪問注冊表的行為進行特征提取得到 異常特征;
建異常模型單元702,用于將所述提取到的異常特征保存在異常行為特征 模型中,得到異常行為特征模型。
使用正常行為特征模型和異常的行為特征模型,通過注冊表訪問行為與 特征模型的比對得到所述注冊表訪問行為是否為安全的訪問,由于監(jiān)控訪問 控制列表具有占用系統(tǒng)資源小的特點,實施例可以在占用系統(tǒng)資源較小的條 件實現(xiàn)檢測到未知攻擊,實現(xiàn)有效地防御惡意攻擊的目的。
實施例八,如圖8所示,實施例6所述裝置還可以包括
擴充單元801,用于使用異常檢測算法對所述異常特征進行擴充,并將擴 充得到的異常特征保存在異常特征^f莫型中。
使用異常分析算法對正常行為特征模型和異常的行為特征模型進行擴充 后,能夠更準確地檢測訪問行為是否安全,提高了檢測的可靠性。
實施例九,如圖9所示,實施例6所述裝置還可以包括
概率計算單元901,用于對監(jiān)控到的軟件訪問注冊表的行為進行概率計
訪問判斷單元902,用于當所述概率更靠近異常行為特征時確定所述訪問
為異常訪問,當所述概率更靠近正常行為特征時確定所述訪問為正常訪問。
上述概率計算可以使用如異常檢測算法以及貝葉斯算法等成熟和執(zhí)行效
率較高的算法,這樣對惡意行為的監(jiān)控效率較高;同時由于對注冊表的監(jiān)控
較為簡便宜行也會有效的提高該系統(tǒng)的效率,在相對降低系統(tǒng)效率較少的情
況下達到了有效監(jiān)控的目的。
實施例十,如圖10所示,本發(fā)明實施例還提供了一種異常檢測系統(tǒng),包
括
注冊表IOOI,異常4全測裝置1002;
異常檢測裝置1002,用于監(jiān)控軟件訪問注冊表1001的行為;當所述軟件 訪問注冊表1001的行為屬于異常行為特征模型和/或不屬于正常行為特征模型 時,確定所述軟件為惡意軟件;所述正常行為特征模型是通對所述注冊表IOOI 正常訪問建模得到的,所述異常行為特征模型是通過對所述注冊表1001異常 訪問建模得到的。
上述實施例通過建立對注冊表IOOI的正常和/或異常訪問行為特征模型, 然后通過監(jiān)控軟件對注冊表IOOI的訪問行為與正常和/或異常訪問特征模型比 對,檢測出惡意攻擊,由于對注冊表1001的監(jiān)控占用資源比較小,由于惡意 軟件具有的異常訪問行為具有異常訪問模型中的通性,可以判斷新產生的惡 意程序,而不需要更新簽名庫;綜上所述,上述實施例可以在占用系統(tǒng)資源 較小的條件實現(xiàn)檢測到未知攻擊,實現(xiàn)有效地防御惡意攻擊的目的。
所述異常檢測裝置1002,還可以用于對異常訪問注冊表1001的行為進行 特征4是取以得到異常特征;保存所述異常特征,得到異常行為特征^f莫型。
使用正常行為特征模型和異常的行為特征模型,通過注冊表1001訪問行 為與特征模型的比對得到所述注冊表1001訪問行為是否為安全的訪問,由于 監(jiān)控訪問控制列表具有占用系統(tǒng)資源小的特點,實施例可以在占用系統(tǒng)資源 較小的條件實現(xiàn)檢測到未知攻擊,實現(xiàn)有效地防御惡意攻擊的目的。
所述異常檢測裝置1002,還可以用于使用異常檢測算法對所述異常特征 進行擴充,并將擴充得到的異常特征保存在異常行為特征模型中。
使用異常分析算法對正常行為特征模型和異常的行為特征模型進行擴充 后,能夠更準確地檢測訪問行為是否安全,提高了檢測的可靠性。
所述異常檢測裝置1002,還可以用于對監(jiān)控到的軟件訪問注冊表1001的
行為進行概率計算,所述概率為正常訪問特征或異常訪問特征的概率;當所 述概率更靠近異常行為特征時確定所述軟件訪問注冊表1001的行為為異常訪 問,當所述概率更靠近正常行為特征時確定所述軟件訪問注冊表1001的行為 為正常i方問。
上述概率計算可以使用如異常檢測算法以及貝葉斯算法等成熟和執(zhí)行效 率較高的算法,這樣對惡意行為的監(jiān)控效率較高;同時由于對注冊表1001的 監(jiān)控較為簡便宜行也會有效的提高該系統(tǒng)的效率,在相對降低系統(tǒng)效率較少 的情況下達到了有效監(jiān)控的目的。
本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流 程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于 一計算機可讀取存儲介質中,該程序在執(zhí)行時,可包括如上述各方法的實施 例的流程。其中,所述的存儲介質可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。
以上對本發(fā)明實施例所提供的異常檢測方法、裝置及系統(tǒng)進行了詳細介
域的一般技術人員,依據(jù)本發(fā)明的思想,在具體實施方式
及應用范圍上均會 有改變之處,綜上所述,本說明書內容不應理解為對本發(fā)明的限制。
權利要求
1、一種異常檢測方法,其特征在于,包括監(jiān)控軟件訪問注冊表的行為;當所述軟件訪問所述注冊表的行為屬于異常行為特征模型和/或不屬于正常行為特征模型時,確定所述軟件為惡意軟件;所述正常行為特征模型是通對所述注冊表正常訪問建模得到的,所述異常行為特征模型是通過對所述注冊表異常訪問建模得到的。
2、 根據(jù)權利要求l所述方法,其特征在于,所述對注冊表異常訪問建模 的步驟為對異常訪問所述注冊表的行為進行特征提取以得到異常特征; 保存所述異常特征,得到異常行為特征模型。
3、 根據(jù)權利要求2所述方法,其特征在于,得到異常特征之后還包括 使用異常檢測算法對所述異常特征進行擴充,并將擴充得到的異常特征保存在異常行為特征模型中。
4、 根據(jù)權利要求1至3任意一項所述方法,其特征在于,當?shù)玫疆惓P袨?特征模型和正常行為特征模型之后還包括對監(jiān)控到的軟件訪問所述注冊表的行為進行概率計算,所述概率為正常 訪問特征或異常訪問特征的概率;當所述概率更靠近異常行為特征時確定所述軟件訪問所述注冊表的行為 為異常訪問,當所述概率更靠近正常行為特征時確定所述軟件訪問所述注冊 表的行為為正常訪問。
5、 一種異常檢測裝置,其特征在于,包括 監(jiān)控單元用于對軟件訪問注冊表的行為進行監(jiān)控;判斷單元用于當所述軟件訪問所述注冊表的行為屬于異常行為特征才莫 型和/或不屬于正常行為特征模型時,確定所述軟件為惡意軟件;其中,所述正常行為特征模型是通對所述注冊表正常訪問建模得到的, 所述異常行為特征模型是通過對所述注冊表異常訪問建模得到的。
6、 根據(jù)權利要求5所述裝置,其特征在于,還包括 異常特征提取單元,用于對異常訪問所述注冊表的行為進行特征提取以得到異常特征;建異常模型單元,用于保存所述異常特征,得到異常行為特征模型。
7、 根據(jù)權利要求5所述裝置,其特征在于,還包括擴充單元,用于使用異常檢測算法對所述異常特征進行擴充,并將擴充 得到的異常特征保存在異常特征模型中。
8、 根據(jù)權利要求5至7任意一項所述裝置,其特征在于,還包括 概率計算單元,用于對監(jiān)控到的軟件訪問所述注冊表的行為進行概率計訪問判斷單元,用于當所述概率更靠近異常行為特征時確定所述訪問為 異常訪問,當所述概率更靠近正常行為特征時確定所述訪問為正常訪問。
9、 一種異常檢測系統(tǒng),其特征在于,包括 注冊表,異常檢測裝置;其中,所述異常檢測裝置,用于監(jiān)控軟件訪問所述注冊表的行為;當所 述軟件訪問所述注冊表的行為屬于異常行為特征模型和/或不屬于正常行為特 征模型時,確定所述軟件為惡意軟件;所述正常行為特征模型是通過對所述 注冊表正常訪問建模得到的,所述異常行為特征模型是通過對所述注冊表異 常訪問建模得到的。
10、 根據(jù)權利要求9所述系統(tǒng),其特征在于,所述異常檢測裝置,還用于對異常訪問所述注冊表的行為進行特征提取 以得到異常特征;保存所述異常特征,得到所述異常行為特征模型。
11、 根據(jù)權利要求10所述系統(tǒng),其特征在于,所述異常檢測裝置,還用于使用異常檢測算法對所述異常特征進行擴充, 并將擴充得到的異常特征保存在異常行為特征模型中。
12、 根據(jù)權利要求9至11所述系統(tǒng),其特征在于,所述異常檢測裝置,還用于對監(jiān)控到的軟件訪問注冊表的行為進行概率 計算,所述概率為正常訪問特征或異常訪問特征的概率;當所述概率更靠近 異常行為特征時確定所述軟件訪問所述注冊表的行為為異常訪問,當所述概 率更靠近正常行為特征時確定所述軟件訪問所述注冊表的行為為正常訪問。
全文摘要
本發(fā)明實施例公開了一種異常檢測方法、裝置及系統(tǒng)。其中方法實施例可以為對軟件訪問注冊表的行為進行監(jiān)控;當所述軟件訪問注冊表的行為屬于異常行為特征模型和/或不屬于正常行為特征模型時,確定所述軟件為惡意軟件;或,當所述軟件訪問注冊表的行為不屬于異常行為特征模型和/或屬于正常行為特征模型時,確定所述軟件為正常軟件;所述正常行為特征模型為對注冊表正常訪問建模得到,異常行為特征模型為對注冊表異常訪問建模得到。由于對注冊表的監(jiān)控占用資源較小,惡意軟件具有異常訪問行為的通性,可以判斷新的惡意程序,不需要更新簽名庫;綜上所述上述實施例可以在占用系統(tǒng)資源較小的條件實現(xiàn)檢測到未知攻擊,達到防御惡意攻擊的目的。
文檔編號H04L12/26GK101360023SQ20081021200
公開日2009年2月4日 申請日期2008年9月9日 優(yōu)先權日2008年9月9日
發(fā)明者巍 崔, 歡 杜, 楊玉奇, 白皓文, 顧凌志 申請人:成都市華為賽門鐵克科技有限公司