一种异常检测方法、装置及系统制造方法及图纸

本发明专利技术实施例公开了一种异常检测方法、装置及系统。其中方法实施例可以为：对软件访问注册表的行为进行监控；当所述软件访问注册表的行为属于异常行为特征模型和／或不属于正常行为特征模型时，确定所述软件为恶意软件；或，当所述软件访问注册表的行为不属于异常行为特征模型和／或属于正常行为特征模型时，确定所述软件为正常软件；所述正常行为特征模型为：对注册表正常访问建模得到，异常行为特征模型为：对注册表异常访问建模得到。由于对注册表的监控占用资源较小，恶意软件具有异常访问行为的通性，可以判断新的恶意程序，不需要更新签名库；综上所述上述实施例可以在占用系统资源较小的条件实现检测到未知攻击，达到防御恶意攻击的目的。

【技术实现步骤摘要】

【技术保护点】
一种异常检测方法，其特征在于，包括：　监控软件访问注册表的行为；　当所述软件访问所述注册表的行为属于异常行为特征模型和／或不属于正常行为特征模型时，确定所述软件为恶意软件；　所述正常行为特征模型是通对所述注册表正常访问建模得到的，所述异常行为特征模型是通过对所述注册表异常访问建模得到的。

【技术特征摘要】

【专利技术属性】
技术研发人员：崔巍，顾凌志，杨玉奇，杜欢，白皓文，
申请(专利权)人：成都市华为赛门铁克科技有限公司，
类型：发明
国别省市：90[中国|成都]