异常检测方法及装置制造方法及图纸

本发明专利技术提供了一种异常检测方法及装置。其中，包括：获取系统调用序列的模糊特征模式，并将模糊特征模式添加至特征模式库中，其中，模糊特征模式为包括确定模式和模糊模式的特征模式，确定模式表示通过多个系统调用按照确定顺序组成的特征模式，模糊模式表示一类系统调用序列的特征模式；将训练集的系统调用序列与特征模式库中所包括的特征模式进行匹配，依据与匹配结果对应的规则获取训练集的系统调用序列对应的状态序列；用状态序列训练马尔可夫模型，得到训练后的马尔可夫模型；使用训练后的马尔可夫模型，检测待检测系统调用序列的异常。通过本发明专利技术，解决了相关技术中通过确定的特征模式进行异常检测所导致的可识别模式种类较少的问题。

Anomaly detection method and apparatus

The invention provides an abnormal detection method and device. Among them, including fuzzy pattern recognition system call sequence, which will be added to the model of fuzzy feature pattern set, fuzzy feature model, including determining the characteristic mode and fuzzy pattern, determine the pattern representation by a plurality of system call patterns determined in accordance with the order of, a kind of fuzzy pattern feature representation model the system call sequence; will feature matching model including the training set of sequences of system calls and features in the pattern database, results and matching basis system call sequence corresponding to the training set to obtain the corresponding rules of the state by state sequence of training sequence; Markov model, Markov model trained with Markov model after training; to be, the anomaly detection system call sequence detection. The invention solves the problem of less recognizable patterns caused by abnormal detection of the identified feature patterns in related technologies.

【技术实现步骤摘要】
异常检测方法及装置
本专利技术涉及通信领域，具体而言，涉及一种异常检测方法及装置。
技术介绍
相关技术中，许多本地和通过Internet的远程攻击入侵行为，都是利用了存在漏洞的关键程序。针对这些关键程序的攻击是入侵系统的主要手段。入侵检测技术是通过对计算机中留存的系统信息和用户行为在系统中产生的信息进行分析，用以检测对系统的入侵。入侵检测技术分为误用检测(MisuseDetection)和异常检测(AnomalyDetection)。误用检测是基于分析入侵或攻击的相关知识来检测入侵。误用检测的缺点在于对新的入侵方法或一些入侵方法的变异难以检测。并且，它的性能和模式库的大小及体系结构有关。对入侵行为及入侵方法的分析发现，入侵最终都体现在一系列非法的或者异常的系统调用上，由此提出了多种异常检测方法。异常检测是基于正常状态下的系统特征来检查当前状态对正常状态的偏离。当前主流的异常检测方法之一是特征模式提取结合统计特征检测。在检测时，首先将系统调用序列压缩成系统调用与特征模式混合构成的序列，在此基础上以变长模式为单元建立改进的状态转换矩阵，用状态序列出现的概率区分异常。由此可见，当前主流的异本文档来自技高网...

【技术保护点】
一种异常检测方法，其特征在于，包括：获取系统调用序列的模糊特征模式，并将所述模糊特征模式添加至特征模式库中，其中，所述模糊特征模式为包括确定模式和模糊模式的特征模式，所述确定模式表示通过多个系统调用按照确定顺序组成的特征模式，所述模糊模式表示一类系统调用序列的特征模式；将训练集的系统调用序列与所述特征模式库中所包括的特征模式进行匹配，依据与匹配结果对应的规则获取所述训练集的系统调用序列对应的状态序列；用所述状态序列训练马尔可夫模型，得到训练后的马尔可夫模型；使用所述训练后的马尔可夫模型，检测待检测系统调用序列的异常。

【技术特征摘要】
1.一种异常检测方法，其特征在于，包括：获取系统调用序列的模糊特征模式，并将所述模糊特征模式添加至特征模式库中，其中，所述模糊特征模式为包括确定模式和模糊模式的特征模式，所述确定模式表示通过多个系统调用按照确定顺序组成的特征模式，所述模糊模式表示一类系统调用序列的特征模式；将训练集的系统调用序列与所述特征模式库中所包括的特征模式进行匹配，依据与匹配结果对应的规则获取所述训练集的系统调用序列对应的状态序列；用所述状态序列训练马尔可夫模型，得到训练后的马尔可夫模型；使用所述训练后的马尔可夫模型，检测待检测系统调用序列的异常。2.根据权利要求1所述的方法，其特征在于，所述确定模式通过以下方式获取：执行以下步骤，直至得到长度最长的特征模式：获取长度为第一阈值的当前特征模式，并将所述当前特征模式添加至所述特征模式库中；将所述当前特征模式与相邻特征模式进行连接，得到连接后的特征模式；判断所述连接后的特征模式是否满足支持度要求；在判断结果为是的情况下，将所述连接后的特征模式设置为待获取特征模式，并将所述待获取特征模式添加至所述特征模式库中，其中，在所述特征模式库中不包括所述当前特征模式和所述相邻特征模式，所述支持度为系统调用短序列作为一个整体在系统进程的运行轨迹中出现的概率；判断所述特征模式库中是否包括所述长度最长的特征模式；在判断结果为是的情况下，将所述特征模式库中所包括的特征模式作为所述确定模式。3.根据权利要求2所述的方法，其特征在于，在判断所述特征模式库中不包括所述长度最长的特征模式时，所述方法还包括：在所述特征模式库中选取预定数量的相邻特征模式进行连接，得到连接后的特征模式；判断该连接后的特征模式是否满足支持度要求；在判断结果为是的情况下，将该连接后的特征模式设置为新的待获取特征模式，并将所述新的待获取特征模式添加至所述特征模式库中，其中，所述特征模式库不包含用于组成所述新的待获取特征模式的相邻特征模式；继续判断所述特征模式库中是否包括所述长度最长的特征模式。4.根据权利要求3所述的方法，其特征在于，所述模糊模式通过以下方式获取：重复执行以下步骤，直至得到长度最长的特征模式：将所述特征模式库中距离为第一预定阈值的两个确定模式进行合并，得到合并后的特征模式，其中，位于所述两个确定模式中间的特征模式为单个系统调用序列或者所述确定模式；判断所述合并后的特征模式是否满足支持度要求；在判断结果为是的情况下，将所述合并后的特征模式作为目标特征模式，并将所述目标特征模式添加至所述特征模式库中，其中，所述特征模式库中不包括参与合并的特征模式；判断所述特征模式库中是否包括长度最长的目标特征模式；在判断结果为是的情况下，将所述特征模式库中所包括的所述目标特征模式作为所述模糊模式。5.根据权利要求4所述的方法，其特征在于，在判断所述特征模式库中不包括长度最长的目标特征模式时，所述方法还包括：将所述特征模式库中距离为第一预定阈值的两个确定模式进行合并，得到合并后的特征模式，并判断所述合并后的特征模式是否满足支持度要求；或者，将所述特征模式库中两个所述目标特征模式进行合并，并判断所述合并后的特征模式是否满足支持度要求；或者，将所述确定模式与所述目标特征模式进行合并，并判断所述合并后的特征模式是否满足支持度要求。6.根据权利要求1所述的方法，其特征在于，所述依据与匹配结果对应的规则获取所述待检测系统调用序列对应的状态序列包括：将所述待检测系统调用序列添加至空队列的尾部；将所述空队列中的所述待检测系统调用序列与所述特征模式库中的确定模式进行匹配；在所述待检测系统调用序列与所述确定模式匹配时，将所述待检测系统调用序列转换为所述状态序列；在所述待检测系统调用序列与所述确定模式不匹配时，根据所述待检测系统调用序列与所述模糊特征模式的匹配结果获取所述待检测系统调用序列对应的状态序列。7.根据权利要求6所述的方法，其特征在于，所述根据所述待检测系统调用序列与所述模糊特征模式的匹配结果获取所述待检测系统调用序列对应的状态序列包括：判断所述待检测系统调用序列的首部是否匹配所述模糊特征模式的第一个确定部分，其中，所述待检测系统调用序列的首部至少包括一个系统调用；在判断结果为是的情况下，依次将所述待检测系统调用序列的其它系统调用与所述模糊特征模式的其它确定部分进行匹配，并根据匹配结果获取所述待检测系统调用序列对应的状态序列。8.根据权利要求7所述的方法，其特征在于，在依次将所述待检测系统调用序列的其它系统调用与所述模糊特征模式的其它确定部分进行匹配之后还包括：判断所述空队列中相邻两个确定部分之间的系统调用序列是否不为单个系统调用或者所述确定模式，或者，判断所述确定部分与所述空队列末端之间的系统调用序列是否大于所述特征模式库中确定模式的最大长度；在判断结果为是的情况下，所述空队列中与所述模糊特征模式匹配的第一个确定部分出队，并将所述第一个确定部分中每一个系统调用转换成状态添加至所述状态序列中；在判断结果为否的情况下，继续确定所述待检测系统调用序列中的其它系统调用。9.根据权利要求1所述的方法，其特征在于，所述使用所述训练后的马尔可夫模型，检测所述待检测系统调用序列的异常包括：在所述训练后的马尔可夫模型中，获取所述待检测系统调用序列对应的预定数量个状态序列中概率小于预定阈值的个数，其中，所述预定阈值为与系统调用序列的异常度对应的值；在判断所述个数大于第二预定阈值时，则确定所述待检测调用序列出现异常。10.一种异常检测装置，其特征在于，包括：第一处理模块，用于获取系统调用序列的模糊特征模式，并将所述模糊特征模式添加至特征模式库中，其中，所述模糊特征模式...

【专利技术属性】
技术研发人员：左焘，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东,44