用于基于系统调用的进程监视的空间和时间卷积网络技术方案

提供了利用计数向量来检测恶意进程的系统和方法。计数向量存储进程在可配置的时间间隔中执行的系统调用的数目和类型。计数向量被提供到时间卷积网络和空间卷积网络。时间卷积网络通过使计数向量经过识别进程的时间特征的时间过滤器来生成时间输出。空间卷积网络通过使计数向量经过识别进程的空间特征的空间过滤器来生成空间输出。时间输出和空间输出被合并成进程的概要表示。恶意软件检测系统使用概要表示来确定进程为恶意进程。

【技术实现步骤摘要】
【国外来华专利技术】用于基于系统调用的进程监视的空间和时间卷积网络相关申请的交叉引用本申请是2017年12月18日递交的美国专利申请15/845,199号的延续案并要求其优先权，这里通过引用将该美国专利申请完全并入。
本公开概括而言涉及检测恶意软件，更具体而言涉及通过在卷积网络中处理表示系统调用的计数向量来检测恶意软件。
技术介绍
传统恶意软件检测系统通过识别由进程生成的系统调用的踪迹，然后对照已知的良性或恶意进程比较这些踪迹来检测恶意进程。这种恶意软件检测系统通常在执行该进程的同一计算设备上运行。然而，这种恶意软件检测系统在数千个进程每秒生成数百万个系统调用的网络环境中将不会起作用。另外，过滤系统调用踪迹中的一些不是一个解决方案，因为恶意软件检测系统可利用过滤的系统调用踪迹来误分类恶意进程。附图说明图1是其中可实现恶意软件检测系统的示范性系统。图2是根据一实施例的向量生成器的框图。图3A是根据一实施例的计数向量的框图。图3B是根据一实施例的将系统调用类型映射到计数向量中的元素的计数向量的框图。图3C-3D是根据一实施例的将系统调用的序列映射到计数向量的计数向量的框图。图4是根据一实施例的恶意软件检测系统的框图。图5A是根据一实施例的时间卷积网络的框图。图5B是根据一实施例的空间卷积网络的框图。图6是根据一实施例的合并时间卷积网络的输出和空间卷积网络的输出的合并器的框图。图7是根据一实施例的完全连接模块的框图。图8是根据一实施例的用于识别恶意进程的方法的流程图。图9是根据一实施例的适用于实现图1-图8中的一个或多个组件的计算机系统的框图。通过参考接下来的详细描述最好地理解本公开的实施例及其优点。应当明白，相似的附图标记被用于标识一幅或多幅附图中图示的相似元素，其中的展示是为了图示本公开的实施例，而不是为了对其进行限制。具体实施方式下面记载的详细描述结合附图打算作为对各种配置的描述，而并不打算表示可实现本文描述的构思的唯一配置。详细描述包括用于提供对各种构思的透彻理解的具体细节。然而，本领域技术人员将清楚，没有这些具体细节也可实现这些构思。在一些情况中，以框图形式示出了公知的结构和组件以避免模糊这种构思。系统和方法提供了使用被聚集成计数向量的进程踪迹来确定恶意进程的恶意软件检测系统。进程踪迹是由在计算设备或服务器上执行的进程生成的系统调用的踪迹。系统调用是进程对在计算设备上执行的操作系统作出的对系统资源的请求。示例系统资源可以是处理器时间、存储器访问、对文件系统的访问，等等。在一实施例中，在预定的时间间隔中由进程生成的系统调用可被聚集成计数向量。每个计数向量可包括由单个进程生成的计数向量。每个计数向量也可被划分成多个分量，使得计数向量的每个分量映射到系统调用的某个类型。另外，每个分量也可被赋予默认值。随着进程在预定的时间间隔期间生成系统调用，与系统调用的某个类型相对应的分量的值被递增一。这样，计数向量表示进程在预定的时间间隔中生成的系统调用的数目和类型。示例时间间隔可以是一秒。在一实施例中，本文描述的恶意软件检测模块使用计数向量来确定进程是否是或者是否包括恶意软件。为了确定进程是否是或者是否包括恶意软件，恶意软件检测模块包括时间卷积网络和空间卷积网络。时间卷积网络包括时间过滤器。时间过滤器利用时间特征对计数向量过滤。空间卷积网络包括空间过滤器。空间过滤器利用空间特征对计数向量过滤。在一实施例中，恶意软件检测模块还包括合并器。合并器将时间卷积网络产生的输出和空间卷积网络产生的输出合并成进程的概要表示。恶意软件检测模块随后基于概要表示来将进程分类为恶意进程。图1是其中可实现实施例的示范性系统100。系统100包括网络102。网络102可被实现为单个网络或者多个网络的组合。例如，在各种实施例中，网络102可包括互联网或者一个或多个内联网、陆线网络、无线网络和/或其他适当类型的网络。网络102可以是小规模通信网络，例如私有或局域网，或者更大规模的网络，例如广域网，其可被系统100的各种组件访问。可访问网络102的各种组件可以是计算设备104和服务器106。计算设备104可以是在用户的控制下并且被配置为从服务器106发送、接收和操纵数据的便携的和非便携的电子设备。示例计算设备104包括桌面型计算机、膝上型计算机、平板设备、智能电话、可穿戴计算设备、包含计算设备的眼镜、可植入计算设备，等等。计算设备104可包括一个或多个应用108。应用108可被预安装在计算设备104上，被利用诸如致密盘或指状储存器之类的便携式存储器存储设备安装在计算设备104上，或者被从如下所述可以是服务器106之一的服务提供商服务器下载到计算设备104。应用108可在计算设备104上被执行并且从用户、从服务器106或者从其他计算设备104接收指令和数据。安装在计算设备104上的示例应用108可以是电子交易应用。电子交易应用可被配置为通过计算机网络在全世界进行交易。另外，应用108可为支付服务提供商、电话服务提供商、社交网络服务提供商和/或其他服务提供商所拥有或者受其控制，其中支付服务提供商例如是美国加州圣何塞的贝宝TM公司(PAYPALTM,Inc)。应用108也可以是分析应用。分析应用基于当前和历史数据执行业务逻辑、提供服务并且测量和改善在计算设备104上执行的其他应用的服务和功能的性能。在另一示例中，应用108可以是用于实现客户端侧安全性特征的安全性应用，用于通过网络102与适当的应用编程接口(applicationprogramminginterface，API)相接口的程序化客户端应用，诸如电子邮件、短消息、语音和允许用户通过网络102发送和接收电子邮件、呼叫、文本和其他通知的即时消息传递应用之类的通信应用。在另外一个实施例中，应用108可以是位置检测应用，例如地图、罗盘和/或全球定位系统(globalpositioningsystem，GPS)应用。另外，应用108可以是社交网络应用和/或商家应用。在另外一个实施例中，应用108可以是允许计算设备104的用户接收、请求和/或查看关于产品和/或服务的信息并且还允许用户购买所选的产品和/或服务的服务应用。在一实施例中，应用108可利用计算设备104中包括的许多组件来显示、接收输入、存储数据以及与网络102通信。示例组件在图9中详细论述。如上所述，服务器106也连接到网络102。示例服务器106可以是包括用于大规模处理的硬件和软件的计算设备。在另一示例中，服务器106可以是安装在计算设备上的计算机程序，其向安装在多个计算设备104上的应用108提供服务。在一实施例中，服务器106可由服务提供商(例如PAYPALTM、电话服务提供商、社交网络服务和/或其他服务提供商)维护。在一实施例中，服务器106也可包括应用110或者与应用110耦合。应用110可以是在计算设备104上执行的应用108的对方。应用110可接收、处理和发送从应用本文档来自技高网...

【技术保护点】
1.一种系统，包括：/n存储指令的非暂态存储器；以及/n一个或多个硬件处理器，该一个或多个硬件处理器耦合到所述非暂态存储器并且被配置为从所述非暂态存储器读取指令以使得所述系统执行操作，所述操作包括：/n将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络，其中计数向量的多个分量中的每个分量对应于由进程生成的系统调用的类型和每种类型的系统调用在可配置时间间隔中发生的次数；/n利用所述时间卷积网络中的多个时间过滤器为所述多个计数向量生成时间输出；/n利用所述空间卷积网络中的多个空间过滤器为所述多个计数向量生成空间输出；/n将所述时间输出和所述空间输出合并成概要表示，其中所述概要表示表示生成了所述计数向量的进程；并且/n利用所述概要表示来确定生成了所述计数向量的进程。/n

【技术特征摘要】
【国外来华专利技术】20171218 US 15/845,1991.一种系统，包括：
存储指令的非暂态存储器；以及
一个或多个硬件处理器，该一个或多个硬件处理器耦合到所述非暂态存储器并且被配置为从所述非暂态存储器读取指令以使得所述系统执行操作，所述操作包括：
将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络，其中计数向量的多个分量中的每个分量对应于由进程生成的系统调用的类型和每种类型的系统调用在可配置时间间隔中发生的次数；
利用所述时间卷积网络中的多个时间过滤器为所述多个计数向量生成时间输出；
利用所述空间卷积网络中的多个空间过滤器为所述多个计数向量生成空间输出；
将所述时间输出和所述空间输出合并成概要表示，其中所述概要表示表示生成了所述计数向量的进程；并且
利用所述概要表示来确定生成了所述计数向量的进程。


2.如权利要求1所述的系统，其中生成所述时间输出和生成所述空间输出并行发生。


3.如权利要求1所述的系统，其中所述多个时间过滤器中的时间过滤器包括多行，并且所述多行中的每一行与时间间隔相关联。


4.如权利要求1所述的系统，其中所述多个空间过滤器中的空间过滤器对应于所述计数向量中的分量的数目。


5.如权利要求1所述的系统，其中所述多个空间过滤器中的空间过滤器对应于用于生成所述多个计数向量中的计数向量的可配置时间间隔。


6.如权利要求1所述的系统，其中所述多个时间过滤器中的时间过滤器识别随着时间的流逝发生的所述进程的特征。


7.如权利要求1所述的系统，其中所述空间过滤器识别与所述进程在预配置的时间段期间生成的系统调用的数目和类型相对应的所述进程的特征。


8.如权利要求1所述的系统，其中所述概要表示保留所述进程的时间和空间特征。


9.如权利要求1所述的系统，其中所述进程是恶意进程。


10.一种方法，包括：
将具有多个分量的计数向量作为输入提供到时间卷积网络和空间卷积网络，其中所述多个计数向量中的计数向量包括表示在可配置时间间隔中由进程向操作系统作出的系统调用的数据；
通过使所述多个计数向量经过所述时间卷积网络中的多个时间过滤器来生成时间输出；
通过使所述多个计数向量经过所述空间卷积网络中的多个空间过滤器来生成空间输出；
将所述时间输出和...

【专利技术属性】
技术研发人员：迈克尔·迪姆希茨，本杰明·希勒尔·米亚拉，
申请(专利权)人：贝宝公司，
类型：发明
国别省市：美国;US