CN101360023A - 一种异常检测方法、装置及*** - Google Patents
一种异常检测方法、装置及*** Download PDFInfo
- Publication number
- CN101360023A CN101360023A CNA2008102120055A CN200810212005A CN101360023A CN 101360023 A CN101360023 A CN 101360023A CN A2008102120055 A CNA2008102120055 A CN A2008102120055A CN 200810212005 A CN200810212005 A CN 200810212005A CN 101360023 A CN101360023 A CN 101360023A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- registration table
- characteristic model
- normal
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种异常检测方法、装置及***。其中方法实施例可以为:对软件访问注册表的行为进行监控;当所述软件访问注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;或,当所述软件访问注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型时,确定所述软件为正常软件;所述正常行为特征模型为:对注册表正常访问建模得到,异常行为特征模型为:对注册表异常访问建模得到。由于对注册表的监控占用资源较小,恶意软件具有异常访问行为的通性,可以判断新的恶意程序,不需要更新签名库;综上所述上述实施例可以在占用***资源较小的条件实现检测到未知攻击,达到防御恶意攻击的目的。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种异常检测方法、装置及***。
背景技术
视窗(Windows)操作***是最常用的操作***,同时也是最容易受恶意程序攻击的操作***。恶意软件在主机上运行时会利用操作***的某些特性和安全漏洞对操作***做出攻击行为。一般有两类普遍使用的方法来防御恶意软件的攻击:第一类防御恶意软件的方法中有两种方式:病毒扫描器和安全补丁,第二类是入侵检测***(Intrusion Detection Systems,IDS)。
病毒扫描器可以检测主机上的恶意软件;安全补丁则更新操作***来堵上恶意软件使用的安全漏洞。两种方式都能在一定程度上防范恶意程序的攻击,但都存在同样的缺陷,即能够检测到已知的攻击,但不能检测到未知类型的攻击,原因是:病毒扫描方法都是基于签名的方法,用软件中的字节序列或嵌入的字符串来辨别某一程序是否是恶意的。如果病毒扫描器的签名数据库中没有包含某一个特定病毒的相关特征,那么,病毒扫描器就不能检测出这种病毒。一般来说,病毒扫描器需要频繁更新签名库,否则扫描器将是无用的。类似地,安全补丁也只能在补丁被写入、分配、应用到主机***之后才能起到保护作用,否则***会一直处于易受攻击状态。
入侵检测***是基于主机的入侵检测***来监控主机***并检测入侵行为。现有的IDS是基于签名算法的,这些算法把主机活动和相应的已知攻击的签名数据库相匹配,这个方法和使用杀毒软件类似,需要软件厂商提前提供给用户一个关于已知攻击的签名库,在扫描过程中,***引擎会根据所提供的攻击签名库的内容进行相关的攻击检测。
发明人在实现本发明的过程中发现现有技术存在以下问题:由于现有技术防御恶意软件攻击的方法都是基于签名的方法,基于签名的方法需要频繁地更新病毒签名库来检测软件是否为恶意软件,而在很多时候更新病毒签名库很困难;即使实时地更新了病毒签名库,使用病毒签名库与被检测软件匹配的方式也只能检测到已知攻击,对未知攻击仍然没有解决办法;另外,检测引擎根据签名库中已有的内容对于***行为进行逐一的匹配扫描需要消耗点大量的***资源,大大降低了***的效率。综上所述,使用现有技术防御恶意攻击会大大地降低***效率,并且只能检测已知攻击,不能未知攻击,不能有效地防御恶意攻击。
发明内容
本发明实施例要解决的技术问题是提供一种异常检测方法、装置及***,能有效防御恶意攻击。
为解决上述技术问题,本发明所提供的异常检测方法实施例可以通过以下技术方案实现:
监控软件访问注册表的行为;
当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;
所述正常行为特征模型是通对所述注册表正常访问建模得到的,所述异常行为特征模型是通过对所述注册表异常访问建模得到的。
上述技术方案具有如下有益效果:通过建立对注册表的正常和/或异常访问模型,然后通过监控软件对注册表的访问行为与正常和/或异常访问模型比对,检测出恶意攻击,由于对注册表的监控占用资源比较小,由于恶意软件具有的异常访问行为具有异常访问模型中的通性,可以判断新产生的恶意程序,而不需要更新签名库;综上所述,上述实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明方法实施例一异常检测流程示意图;
图2为本发明方法实施例二建立异常行为特征模型流程示意图;
图3为本发明方法实施例三扩充异常行为特征模型流程示意图;
图4为本发明方法实施例四贝叶斯分类操作流程示意图;
图5为本发明方法实施例五贝叶斯异常检测方法流程示意图;
图6为本发明实施例六异常检测装置结构示意图;
图7为本发明实施例七异常检测装置结构示意图;
图8为本发明实施例八异常检测装置结构示意图;
图9为本发明实施例九异常检测装置结构示意图;
图10为本发明实施例十异常检测***结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例要解决的技术问题是提供一种异常检测方法、装置及***,能有效防御恶意攻击。
实施例一,本发明实施例提供的一种异常检测方法可以通过如下步骤实现:
步骤101:对注册表异常访问和/或正常访问操作建模,得到正常行为特征模型和/或异常行为特征模型;在后续实施例中将对建模的方法作更详细的说明;
步骤102:对软件访问注册表的行为进行监控;
步骤103:当所述软件访问注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;或者,当所述软件访问注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型时,确定所述软件为正常软件。
所述正常行为特征模型为:对注册表正常访问建模得到,异常行为特征模型为:对注册表异常访问建模得到。具体的建模方式本发明实施例不作限定,只需要满足正常行为特征模型包含正常访问特征,异常行为特征模型包含异常访问特征,至于模型的规模可以根据***安全要求的级别需要来建立。
上述实施例通过建立对注册表的正常和/或异常访问行为特征模型,然后通过监控软件对注册表的访问行为与正常和/或异常访问特征模型比对,检测出恶意攻击,由于对注册表的监控占用资源比较小,由于恶意软件具有的异常访问行为具有异常访问模型中的通性,可以判断新产生的恶意程序,而不需要更新签名库;综上所述,上述实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
实施例二,对注册表异常访问和/或正常访问操作建模,本发明实施例提供了对注册表访问行为的分析方法。
如图2所述,建立模型异常行为特征模型的方法可以为:
步骤201:对异常访问注册表的行为进行特征提取得到异常特征;
步骤202:将所述提取到的异常特征保存在异常行为特征模型中,得到异常行为特征模型。
正常行为特征模型的建立方法与异常行为特征模型的建立方法类似不再赘述。
在正常执行的情况下,注册表访问活动具有一些特性比如:大多数Windows程序都将会访问某一组注册表键,而且,多数用户运行机器时常规地使用某一些程序,一般为一组安装在机器上的程序或是这些程序的一部分;并且这些活动会逐渐变得有规律。而且大多数程序仅仅在开、关机时访问注册表,或者以一定的时间间隔访问注册表,上述对注册表的访问应该被认为是正常访问。这种规律性使注册表成为一个极其优异的寻找不规律或异常活动的地方,恶意程序偏离了正常活动特征而在很大程度上会被检索到。
操作***安装在终端上之后,许多攻击可能涉及到几方面:一、启动以前未启动过的程序;二、改变以前没改变过的键值;三、修改操作***相对应的键值;四、对其他程序的键值进行操作等。上述注册表操作为异常访问。另外,恶意程序还可能需要查询部分注册表以获取关于漏洞的信息;还可能引入新键在终端中创建一个可攻击的“后门”,这些操作都应当划分为异常访问。可以理解的是上述举例并不是异常访问类型的穷举,不对本发明实施例构成限定。下面就异常访问的几种情况举例说明:
安装木马:这种程序启动时,可能会在主机文件***中增添文件读写的共享功能。它可以通过在Windows注册表键的通信区域中建立注册表结构来使用注册表。这个结构可以从:HKLM\Software\Microsoft\Windows\CurrentVersionWetwork\IanMan生成。然后创建几个典型的新键供自身使用。它也可能访问HKLM\Securit\rovider来找机器的安全信息帮助检测漏洞。而这些键不会被正常程序访问,这种使用自然是可疑的。
后门2000:一个被植入“后门”客户程序的主机上这种程序会开放这个漏洞来完成对计算机的控制。这种程序大量使用在注册表中,它使用了一个Windows***很少使用的键:HKLM\software\Microsoft\VBA\Monitersa这个键在训练和测试中不会被正常程序访问。这样,我们可以把训练和测试中的访问认作异常访问。这种程序也可能启动许多其它程序,如:IoadWC.exe;Patch.exe;runonce.exe(常用的用来进行攻击的软件)等作为攻击的一部分,这些都应该被认为是对注册表的异常访问。
使诺顿Norton失效:一个使诺顿杀毒软件Norton Antivirus失效的注册表的访问。这种攻击可以套牢一个注册表的记录键:HKLM\SOFTWARE\INTEL\LANDesk\VirusProtectG\CurrentVersion\Storages\Files\System\RealTimeScan\OnOff。如果这个键值被设为0那么Norton Antivirus实时监控***被关闭。这种情况下,异常的原因是键值被不同的程序重写,这类访问也应被认为是异常访问。
以上对注册表的正常和异常访问作了举例说明,可以理解的是本实施例不是对所有正常和异常访问行为的穷举,因而上述举例不应理解为对本发明实施例的限定。
可以对上述相关的恶意软件及恶意代码对注册表操作的一些提取,通过对这些已知的并且进行过分析的针对注册表的恶意行为的处理,我们将这些恶意行为进行特征的提取,并将它们保存在异常行为特征模型中,可以作为异常行为特征模型中的原始数据。使用正常行为特征模型和异常的行为特征模型,通过注册表访问行为与特征模型的比对得到所述注册表访问行为是否为安全的访问,由于监控访问控制列表具有占用***资源小的特点,实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
经过对注册表正常和异常访问的分析,得到哪些访问是正常的,哪些访问是异常的,用对注册表正常访问的行为建立正常行为特征模型,用对注册表异常访问的行为建立异常行为特征模型;还可以使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充。
实施例三,本发明实施例还提供了使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充的方法。
在现有技术中有很多异常分析算法可以实现对正常行为特征模型和异常的行为特征模型进行扩充;本实施例将提供使用一种启发式概率异常检测算法(Probability Abnormity Detection,PAD)来进行扩充,该算法与其它算法相比更为鲁棒。
如图3所示,扩充异常行为特征模型的步骤可以为:
步骤301:使用异常检测算法对所述异常特征进行扩充,
步骤302:将扩充得到的异常特征保存在异常特征模型中。
正常行为特征模型的扩充方法与异常行为特征模型的扩充方法类似不再赘述。
一般说来,一个原则性强的异常检测概率方法可以简化密度估计。如果算法能在正常数据上估计一个密度函数p(x),那么就能够定义低概率发生的数据元素是异常。在IDS的框架中,每一个特征有许多可能的值,例如:关键Key特征在训练集中有超过30000的值。因为有这么多可能的相关特征值提取数据记录,所以被涉及的数据集特征是稀疏的。
由于异常检测算法中的概率密度估计在稀疏数据上比较困难,可以通过定义一致性检查来说明稀疏数据集上哪些记录是异常的。可以在正常数据上定义一组一致性检查,每一个一致性检查可以被用到一个观测记录上。如果记录不符合任何一个一致性检查,就把这个记录标明为异常集合模型中的一个元素。
可以运用了两种一致性检测方法:第一种是评价一个特征值是否与正常数据集中观测到的特征值一致。把这种一致性类型认作是先觉的正常一致性状态。例如:每一个注册表记录可能被认为是5个随机变量的结果,X1,X2,X3,X4,X5。它们的一致性检查计算观测到的特征的可能性,可以表示为P(Xi)。第二种,一致性检查处理可以针对于特征对来进行,对于每一对特征来说,每个特征都会以另一个特征作为条件来产生又一个一致性检查的状态,这些一致性检查被看作是又一个一致性检查的状态,可以表示为P(Xi|Xj)。注意,对每一个Xj的值都有一个不同的Xi值的概率分布。在所给出的例子中,每一个记录有5个特征值,这样有5个第一种一致性检查状态,20个第二种一致性检查状态。如果任何一个一致性检查状态的概率小于一定阈值,就把这个记录标定为异常,把它放到异常模型里。
为了有效地计算P(Xi)和P(Xi|Xj)概率,可以使用Friedman和Singer提出的评估器,它明确地估计了观测以前没有观测到的元素的概率。如果元素i被观测到,则使用公式 进行计算。否则,如果元素i没有被预先观测到,则使用公式 进行计算。
其中,α是对每一个元素的预先计数;Ni是i被观测到的次数;N是观测到的总数;k0是不同的被观测到的元素数目;L是可能的元素或者字符规模的总数;C是规模参数,它考虑了有多大可能观测到与观测不到元素相对的预先观测到的元素。
通过概率评估器的计算,可以得到两个有非零概率元素的子集。通过对恶意行为和基本的正常行为的分析,并根据概率评估器对的计算,建立正常行为特征模型和异常行为特征模型,两个模型分别表示正常行为和异常行为的特征检测的概率以及相应的阈值的范围,在后续的检测中,当监控到相关的操作后根据模型来进行验证。此算法标明的每一个注册表访问不是正常的就是异常的。在某一处,程序可能有几个到几千个注册表访问,这时可能许多攻击被大量的记录描述,这些记录中的一些记录会被认为是异常的。这些被认为是异常的记录被认为是异常的原因,有的是因为它们有与正常数据相比具有不一致的特征值;有的是因为它们与正常数据组合相比具有不一致的特征组合,即使单个特征都是正常的。
异常行为特征模型和正常行为特征模型原始数据建立后,可以根据这两个模型来完成对正常行为和异常行为的辨别,但是由于存在大量的恶意代码的攻击行为,并且我们不可能对所有的恶意代码的攻击行为进行仔细的分析,因为这种全面分析将是海量数据的处理,所以经过分析并提取的恶意行为只是较小的一部分,可以使用异常行为模型中的原始数据,通过异常行为分析算法在设置较高的阈值的情况下进行处理,来保证恶意行为的准确提取,并对异常数据进行了有效的添加和扩充。上述较高的阈值在实验过程中使用了8.497072和6.44408,实验结果表明使用较高阈值时会对恶意行为进行准确提取,但是可能会产生漏报,使用较低阈值时会检测出较多的攻击行为,但是会导致误报率的产生,这里需要根据实际需要进行设置,当安全性要求高时将所述阈值设置低些,安全性要求低时将所述阈值设置高些。
使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充后,能够更准确地检测访问行为是否安全,提高了检测的可靠性。
实施例四,本发明实施例还提供了判断未知类型异常的分类方法。
完成异常行为特征模型和正常行为特征模型后,可以使用模糊集、曲线拟合、神经网络相关等算法进行计算和分类,本发明将以贝叶斯Bayes算法进行分类为例进行介绍。
设X为一个类别未知的检测样本,H为某个假设,若数据样本X属于一个特定的类别C,那么分类问题就是决定P(H|X),即在获得检测样本X时,H假设成立的概率。
P(H|X)是事后概率或为建立在X(条件)之上的H概率。例如:假设检测样本是一次对注册表的访问,描述对注册表属性和键值的访问是否成功。假设X为打开程序和缓冲溢出,H为X是一个入侵的假设,则P(H|X)表示在已知X是打开程序和缓冲溢出时,确定X为一个入侵的H假设成立的概率;相反,P(H)为事前概率,在上述例子中,P(H)就表示任意一个数据对象,它是一次入侵的概率。无论访问是何种键值和访问是否成功。与P(H)相比,P(H|X)是建立在更多信息基础之上的;而P(H)则与X无关。
类似的,P(X|H)是建立在H基础之上的X成立概率。也就是说:若已知H是一次入侵,那它是打开程序和缓冲溢出的概率可表示为P(X|H)。
由于P(X),P(H)和P(X|H)的概率值可以从分类所得到的数据集合中得到,贝叶斯定理则描述了如何根据P(X),P(H)和P(X|H)计算获得的P(H|X),具体公式定义描述如下:
如图四所示,贝叶斯分类器进行分类操作处理的步骤可以为:
步骤401:每个数据样本均可以由一个n维特征向量X={x1,x2,...,xn}来描述其n个属性(A1,A2,..,An)的具体取值。
步骤402:假设共有m个不同类别,C1,C2,...,Cm。给定一个未知类别的数据样本X,分类器在已知X的情况下,预测X属于事后概率最大的那个类别。也可以理解为:贝叶斯分类器将未知类别的样本X归属到类别Ci,其中类别Ci被称为最大事后概率的假设
当且仅当:P(Ci|X)>P(Cj|X)1≤j≤m,j≠i
也就是P(Ci|X)最大。其中的类别Ci就成为最大事后概率的假设。根据公式:
由于P(X)对于所有的类别都是相同的,因此将P(X|Ci)P(Ci)取最大值即可。
由于类别的事前概率是未知的,因此,通常假设各类别出现的概率相同。对于上述公式取最大实际上只需要求P(X|Ci)最大即可。而类别的事前概率一般可以通过P(Ci)=si/s公式进行估算,其中si为训练样本集合中类别Ci的个数,s是整个训练样本集合的大小。我们可以把类别分为正常模型和异常模型两类,也就是只需要分为C1,C2即可。
步骤403:为实现对P(X|Ci)的有效估算,贝叶斯分类器假设各类别是相互独立的,即各属性的取值是相互独立的。对于特定的类别,其各属性相互独立,有: 我们根据训练数据样本估算P(x1|Ci),P(x2|Ci),...,P(xn|Ci)值,具体处理方法可以为:
由于数据集中的数据是离散量,这里我们根据P(xik|Ci,)=sik/si计算,这里sik为训练样本中类别为Ci,且属性Ak取vk值的样本数,si为训练样本中类别为Ci的样本数。
步骤404:为预测一个未知样本X的类别,可对每个类别Ci估算相应的P(X|Ci)P(Ci)。样本X归属类别Ci,当且仅当:P(Ci|X)>P(Cj|X)1≤j≤m,j≠i
根据该样本所归属的类别就可以判断,该样本属于正常的行为还是异常的行为。
大多数的恶意行为都会对***的注册表进行访问并且有较多的规律性,使用上述实施例的方法对大量的样本进行分析,能够对存在的恶意行为进行有效的提取异常特征,对未知类型的攻击也能做出准确的判断,为监控访问行为的有效性提供了保障。
实施例五,本发明实施例还提供了基本贝叶斯方法对基于注册表访问的异常检测方法,如图5所示,可以包括以下步骤:
步骤501:根据对注册表访问数据集的采样形成相应的特征向量来描述其具体的属性取值。
步骤502:因为已知只有两个类别:正常和异常,只需要计算最后得到的概率值更接近哪一个就可以了。
步骤503:确定访问的性质,当所述概率更接近正常则属于正常访问特征模型,当所述概率更接近异常则属于异常访问特征模型。
由于恶意程序和正常程序对注册表的访问所产生的结果都是相互独立的,该特征完全合乎贝叶斯方法的要求。
上述异常检测算法以及贝叶斯算法都是非常成熟的算法,这两种算法的执行效率较高,对恶意行为的监控效率较高;同时由于对注册表的监控较为简便宜行也会有效的提高该***的效率,在相对降低***效率较少的情况下达到了有效监控的目的。
上述方法对正常行为特征模型和异常行为特征模型进行有效的建模,所以对已知存在的恶意行为能够有效地进行检测,对于未知的恶意行为,通过使用贝叶斯算法的有效计算和匹配,也能够很大程度上进行告警,有效地降低了监控过程的漏报和误报。
实施例六,如图6所示,本发明实施例还提供了一种异常检测装置,包括:
监控单元601:用于对软件访问注册表的行为进行监控;
判断单元602:用于当所述软件访问注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;或者,当所述软件访问注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型时,确定所述软件为正常软件;所述正常行为特征模型为:对注册表正常访问建模得到,异常行为特征模型为:对注册表异常访问建模得到。
上述实施例通过建立对注册表的正常和/或异常访问行为特征模型,然后通过监控软件对注册表的访问行为与正常和/或异常访问特征模型比对,检测出恶意攻击,由于对注册表的监控占用资源比较小,由于恶意软件具有的异常访问行为具有异常访问模型中的通性,可以判断新产生的恶意程序,而不需要更新签名库;综上所述,上述实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
实施例七,如图7所示,上述实施例六所述装置还可以包括:
异常特征提取单元701,用于对异常访问注册表的行为进行特征提取得到异常特征;
建异常模型单元702,用于将所述提取到的异常特征保存在异常行为特征模型中,得到异常行为特征模型。
使用正常行为特征模型和异常的行为特征模型,通过注册表访问行为与特征模型的比对得到所述注册表访问行为是否为安全的访问,由于监控访问控制列表具有占用***资源小的特点,实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
实施例八,如图8所示,实施例6所述装置还可以包括:
扩充单元801,用于使用异常检测算法对所述异常特征进行扩充,并将扩充得到的异常特征保存在异常特征模型中。
使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充后,能够更准确地检测访问行为是否安全,提高了检测的可靠性。
实施例九,如图9所示,实施例6所述装置还可以包括:
概率计算单元901,用于对监控到的软件访问注册表的行为进行概率计算;所述概率为所述访问为正常访问特征或异常访问特征的概率;
访问判断单元902,用于当所述概率更靠近异常行为特征时确定所述访问为异常访问,当所述概率更靠近正常行为特征时确定所述访问为正常访问。
上述概率计算可以使用如异常检测算法以及贝叶斯算法等成熟和执行效率较高的算法,这样对恶意行为的监控效率较高;同时由于对注册表的监控较为简便宜行也会有效的提高该***的效率,在相对降低***效率较少的情况下达到了有效监控的目的。
实施例十,如图10所示,本发明实施例还提供了一种异常检测***,包括:
注册表1001,异常检测装置1002;
异常检测装置1002,用于监控软件访问注册表1001的行为;当所述软件访问注册表1001的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;所述正常行为特征模型是通对所述注册表1001正常访问建模得到的,所述异常行为特征模型是通过对所述注册表1001异常访问建模得到的。
上述实施例通过建立对注册表1001的正常和/或异常访问行为特征模型,然后通过监控软件对注册表1001的访问行为与正常和/或异常访问特征模型比对,检测出恶意攻击,由于对注册表1001的监控占用资源比较小,由于恶意软件具有的异常访问行为具有异常访问模型中的通性,可以判断新产生的恶意程序,而不需要更新签名库;综上所述,上述实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
所述异常检测装置1002,还可以用于对异常访问注册表1001的行为进行特征提取以得到异常特征;保存所述异常特征,得到异常行为特征模型。
使用正常行为特征模型和异常的行为特征模型,通过注册表1001访问行为与特征模型的比对得到所述注册表1001访问行为是否为安全的访问,由于监控访问控制列表具有占用***资源小的特点,实施例可以在占用***资源较小的条件实现检测到未知攻击,实现有效地防御恶意攻击的目的。
所述异常检测装置1002,还可以用于使用异常检测算法对所述异常特征进行扩充,并将扩充得到的异常特征保存在异常行为特征模型中。
使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充后,能够更准确地检测访问行为是否安全,提高了检测的可靠性。
所述异常检测装置1002,还可以用于对监控到的软件访问注册表1001的行为进行概率计算,所述概率为正常访问特征或异常访问特征的概率;当所述概率更靠近异常行为特征时确定所述软件访问注册表1001的行为为异常访问,当所述概率更靠近正常行为特征时确定所述软件访问注册表1001的行为为正常访问。
上述概率计算可以使用如异常检测算法以及贝叶斯算法等成熟和执行效率较高的算法,这样对恶意行为的监控效率较高;同时由于对注册表1001的监控较为简便宜行也会有效的提高该***的效率,在相对降低***效率较少的情况下达到了有效监控的目的。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上对本发明实施例所提供的异常检测方法、装置及***进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1、一种异常检测方法,其特征在于,包括:
监控软件访问注册表的行为;
当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;
所述正常行为特征模型是通对所述注册表正常访问建模得到的,所述异常行为特征模型是通过对所述注册表异常访问建模得到的。
2、根据权利要求1所述方法,其特征在于,所述对注册表异常访问建模的步骤为:
对异常访问所述注册表的行为进行特征提取以得到异常特征;
保存所述异常特征,得到异常行为特征模型。
3、根据权利要求2所述方法,其特征在于,得到异常特征之后还包括:
使用异常检测算法对所述异常特征进行扩充,并将扩充得到的异常特征保存在异常行为特征模型中。
4、根据权利要求1至3任意一项所述方法,其特征在于,当得到异常行为特征模型和正常行为特征模型之后还包括:
对监控到的软件访问所述注册表的行为进行概率计算,所述概率为正常访问特征或异常访问特征的概率;
当所述概率更靠近异常行为特征时确定所述软件访问所述注册表的行为为异常访问,当所述概率更靠近正常行为特征时确定所述软件访问所述注册表的行为为正常访问。
5、一种异常检测装置,其特征在于,包括:
监控单元:用于对软件访问注册表的行为进行监控;
判断单元:用于当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;
其中,所述正常行为特征模型是通对所述注册表正常访问建模得到的,所述异常行为特征模型是通过对所述注册表异常访问建模得到的。
6、根据权利要求5所述装置,其特征在于,还包括:
异常特征提取单元,用于对异常访问所述注册表的行为进行特征提取以得到异常特征;
建异常模型单元,用于保存所述异常特征,得到异常行为特征模型。
7、根据权利要求5所述装置,其特征在于,还包括:
扩充单元,用于使用异常检测算法对所述异常特征进行扩充,并将扩充得到的异常特征保存在异常特征模型中。
8、根据权利要求5至7任意一项所述装置,其特征在于,还包括:
概率计算单元,用于对监控到的软件访问所述注册表的行为进行概率计算;所述概率为所述访问为正常访问特征或异常访问特征的概率;
访问判断单元,用于当所述概率更靠近异常行为特征时确定所述访问为异常访问,当所述概率更靠近正常行为特征时确定所述访问为正常访问。
9、一种异常检测***,其特征在于,包括:
注册表,异常检测装置;
其中,所述异常检测装置,用于监控软件访问所述注册表的行为;当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时,确定所述软件为恶意软件;所述正常行为特征模型是通过对所述注册表正常访问建模得到的,所述异常行为特征模型是通过对所述注册表异常访问建模得到的。
10、根据权利要求9所述***,其特征在于,
所述异常检测装置,还用于对异常访问所述注册表的行为进行特征提取以得到异常特征;保存所述异常特征,得到所述异常行为特征模型。
11、根据权利要求10所述***,其特征在于,
所述异常检测装置,还用于使用异常检测算法对所述异常特征进行扩充,并将扩充得到的异常特征保存在异常行为特征模型中。
12、根据权利要求9至11所述***,其特征在于,
所述异常检测装置,还用于对监控到的软件访问注册表的行为进行概率计算,所述概率为正常访问特征或异常访问特征的概率;当所述概率更靠近异常行为特征时确定所述软件访问所述注册表的行为为异常访问,当所述概率更靠近正常行为特征时确定所述软件访问所述注册表的行为为正常访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008102120055A CN101360023A (zh) | 2008-09-09 | 2008-09-09 | 一种异常检测方法、装置及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008102120055A CN101360023A (zh) | 2008-09-09 | 2008-09-09 | 一种异常检测方法、装置及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101360023A true CN101360023A (zh) | 2009-02-04 |
Family
ID=40332369
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008102120055A Pending CN101360023A (zh) | 2008-09-09 | 2008-09-09 | 一种异常检测方法、装置及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101360023A (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101986323A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于检测先前未知的恶意软件的***和方法 |
CN101593253B (zh) * | 2009-06-22 | 2012-04-04 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
CN103905423A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种基于动态行为分析的有害广告件检测方法及*** |
CN104021343A (zh) * | 2014-05-06 | 2014-09-03 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和*** |
CN104933096A (zh) * | 2015-05-22 | 2015-09-23 | 北京奇虎科技有限公司 | 数据库的异常键识别方法、装置与数据*** |
CN105208037A (zh) * | 2015-10-10 | 2015-12-30 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
CN105874463A (zh) * | 2013-12-30 | 2016-08-17 | 诺基亚技术有限公司 | 用于恶意软件检测的方法和装置 |
CN106330852A (zh) * | 2015-07-06 | 2017-01-11 | 纬创资通股份有限公司 | 异常预测方法、异常预测***及异常预测装置 |
CN109460784A (zh) * | 2018-10-22 | 2019-03-12 | 武汉极意网络科技有限公司 | 访问行为特征模型建立方法、设备、存储介质及装置 |
CN111641535A (zh) * | 2020-05-28 | 2020-09-08 | 中国工商银行股份有限公司 | 网络监控方法、装置、电子设备和介质 |
CN112583846A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种面向中小企业网络安全事件复杂分析*** |
CN112839008A (zh) * | 2019-11-22 | 2021-05-25 | 北京沃东天骏信息技术有限公司 | 一种访问监控方法、装置和*** |
WO2021139235A1 (zh) * | 2020-06-30 | 2021-07-15 | 平安科技(深圳)有限公司 | ***异常检测方法、装置、设备及存储介质 |
CN113196707A (zh) * | 2018-12-19 | 2021-07-30 | 日本电信电话株式会社 | 检测装置、检测方法及检测程序 |
CN113691405A (zh) * | 2021-08-25 | 2021-11-23 | 北京知道创宇信息技术股份有限公司 | 一种访问异常诊断方法、装置、存储介质及电子设备 |
-
2008
- 2008-09-09 CN CNA2008102120055A patent/CN101360023A/zh active Pending
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101593253B (zh) * | 2009-06-22 | 2012-04-04 | 成都市华为赛门铁克科技有限公司 | 一种恶意程序判断方法及装置 |
CN101986323B (zh) * | 2009-10-01 | 2013-11-20 | 卡巴斯基实验室封闭式股份公司 | 用于检测先前未知的恶意软件的***和方法 |
CN101986323A (zh) * | 2009-10-01 | 2011-03-16 | 卡巴斯基实验室封闭式股份公司 | 用于检测先前未知的恶意软件的***和方法 |
CN103905423A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种基于动态行为分析的有害广告件检测方法及*** |
CN103905423B (zh) * | 2013-12-25 | 2017-08-11 | 武汉安天信息技术有限责任公司 | 一种基于动态行为分析的有害广告件检测方法及*** |
CN105874463A (zh) * | 2013-12-30 | 2016-08-17 | 诺基亚技术有限公司 | 用于恶意软件检测的方法和装置 |
CN104021343A (zh) * | 2014-05-06 | 2014-09-03 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和*** |
CN104021343B (zh) * | 2014-05-06 | 2016-08-24 | 南京大学 | 一种基于堆访问模式的恶意程序监控方法和*** |
CN104933096B (zh) * | 2015-05-22 | 2018-06-19 | 北京奇虎科技有限公司 | 数据库的异常键识别方法、装置与数据*** |
CN104933096A (zh) * | 2015-05-22 | 2015-09-23 | 北京奇虎科技有限公司 | 数据库的异常键识别方法、装置与数据*** |
CN106330852A (zh) * | 2015-07-06 | 2017-01-11 | 纬创资通股份有限公司 | 异常预测方法、异常预测***及异常预测装置 |
CN106330852B (zh) * | 2015-07-06 | 2019-06-25 | 纬创资通股份有限公司 | 异常预测方法、异常预测***及异常预测装置 |
CN105208037A (zh) * | 2015-10-10 | 2015-12-30 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
CN105208037B (zh) * | 2015-10-10 | 2018-05-08 | 中国人民解放军信息工程大学 | 一种基于轻量级入侵检测的DoS/DDoS攻击检测和过滤方法 |
CN109460784A (zh) * | 2018-10-22 | 2019-03-12 | 武汉极意网络科技有限公司 | 访问行为特征模型建立方法、设备、存储介质及装置 |
CN113196707A (zh) * | 2018-12-19 | 2021-07-30 | 日本电信电话株式会社 | 检测装置、检测方法及检测程序 |
CN112839008A (zh) * | 2019-11-22 | 2021-05-25 | 北京沃东天骏信息技术有限公司 | 一种访问监控方法、装置和*** |
CN112839008B (zh) * | 2019-11-22 | 2024-02-06 | 北京沃东天骏信息技术有限公司 | 一种访问监控方法、装置和*** |
CN111641535A (zh) * | 2020-05-28 | 2020-09-08 | 中国工商银行股份有限公司 | 网络监控方法、装置、电子设备和介质 |
CN111641535B (zh) * | 2020-05-28 | 2021-10-29 | 中国工商银行股份有限公司 | 网络监控方法、装置、电子设备和介质 |
WO2021139235A1 (zh) * | 2020-06-30 | 2021-07-15 | 平安科技(深圳)有限公司 | ***异常检测方法、装置、设备及存储介质 |
CN112583846A (zh) * | 2020-12-25 | 2021-03-30 | 南京联成科技发展股份有限公司 | 一种面向中小企业网络安全事件复杂分析*** |
CN113691405A (zh) * | 2021-08-25 | 2021-11-23 | 北京知道创宇信息技术股份有限公司 | 一种访问异常诊断方法、装置、存储介质及电子设备 |
CN113691405B (zh) * | 2021-08-25 | 2023-12-01 | 北京知道创宇信息技术股份有限公司 | 一种访问异常诊断方法、装置、存储介质及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101360023A (zh) | 一种异常检测方法、装置及*** | |
Khreich et al. | An anomaly detection system based on variable N-gram features and one-class SVM | |
US11347867B2 (en) | Methods and apparatuses to evaluate cyber security risk by establishing a probability of a cyber-attack being successful | |
CN105247532B (zh) | 使用硬件特征的对异常进程的无监督的检测 | |
Cao et al. | Machine learning to detect anomalies in web log analysis | |
KR101230271B1 (ko) | 악성 코드 탐지를 위한 시스템 및 방법 | |
Rahman et al. | Attacks classification in adaptive intrusion detection using decision tree | |
US10645100B1 (en) | Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning | |
Xu et al. | A reinforcement learning approach for host-based intrusion detection using sequences of system calls | |
CN110909348B (zh) | 一种内部威胁检测方法及装置 | |
CN104348827A (zh) | 基于特征的三阶段神经网络入侵检测方法和*** | |
Yu | A survey of anomaly intrusion detection techniques | |
US20230274003A1 (en) | Identifying and correcting vulnerabilities in machine learning models | |
CN107315956A (zh) | 一种用于快速准确检测零日恶意软件的图论方法 | |
Osareh et al. | Intrusion detection in computer networks based on machine learning algorithms | |
Mohamed et al. | A brief introduction to intrusion detection system | |
Iliou et al. | Detection of advanced web bots by combining web logs with mouse behavioural biometrics | |
Al-Maksousy et al. | NIDS: Neural network based intrusion detection system | |
CN101588358A (zh) | 基于危险理论和nsa的主机入侵检测***及检测方法 | |
Lin et al. | Three‐phase behavior‐based detection and classification of known and unknown malware | |
CN109918901A (zh) | 实时检测基于Cache攻击的方法 | |
Wang et al. | Profiling program and user behaviors for anomaly intrusion detection based on non-negative matrix factorization | |
CN110365625A (zh) | 物联网安全检测方法、装置及存储介质 | |
CN116756578A (zh) | 车辆信息安全威胁聚合分析预警方法及*** | |
CN112000954B (zh) | 一种基于特征序列挖掘和精简的恶意软件检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090204 |