[发明专利]一种异常检测方法、装置及系统

权利要求书

1、一种异常检测方法，其特征在于，包括：

监控软件访问注册表的行为；

当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；

所述正常行为特征模型是通对所述注册表正常访问建模得到的，所述异常行为特征模型是通过对所述注册表异常访问建模得到的。

2、根据权利要求1所述方法，其特征在于，所述对注册表异常访问建模的步骤为：

对异常访问所述注册表的行为进行特征提取以得到异常特征；

保存所述异常特征，得到异常行为特征模型。

3、根据权利要求2所述方法，其特征在于，得到异常特征之后还包括：

使用异常检测算法对所述异常特征进行扩充，并将扩充得到的异常特征保存在异常行为特征模型中。

4、根据权利要求1至3任意一项所述方法，其特征在于，当得到异常行为特征模型和正常行为特征模型之后还包括：

对监控到的软件访问所述注册表的行为进行概率计算，所述概率为正常访问特征或异常访问特征的概率；

当所述概率更靠近异常行为特征时确定所述软件访问所述注册表的行为为异常访问，当所述概率更靠近正常行为特征时确定所述软件访问所述注册表的行为为正常访问。

5、一种异常检测装置，其特征在于，包括：

监控单元：用于对软件访问注册表的行为进行监控；

判断单元：用于当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；

其中，所述正常行为特征模型是通对所述注册表正常访问建模得到的，所述异常行为特征模型是通过对所述注册表异常访问建模得到的。

6、根据权利要求5所述装置，其特征在于，还包括：

异常特征提取单元，用于对异常访问所述注册表的行为进行特征提取以得到异常特征；

建异常模型单元，用于保存所述异常特征，得到异常行为特征模型。

7、根据权利要求5所述装置，其特征在于，还包括：

扩充单元，用于使用异常检测算法对所述异常特征进行扩充，并将扩充得到的异常特征保存在异常特征模型中。

8、根据权利要求5至7任意一项所述装置，其特征在于，还包括：

概率计算单元，用于对监控到的软件访问所述注册表的行为进行概率计算；所述概率为所述访问为正常访问特征或异常访问特征的概率；

访问判断单元，用于当所述概率更靠近异常行为特征时确定所述访问为异常访问，当所述概率更靠近正常行为特征时确定所述访问为正常访问。

9、一种异常检测系统，其特征在于，包括：

注册表，异常检测装置；

其中，所述异常检测装置，用于监控软件访问所述注册表的行为；当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；所述正常行为特征模型是通过对所述注册表正常访问建模得到的，所述异常行为特征模型是通过对所述注册表异常访问建模得到的。

10、根据权利要求9所述系统，其特征在于，

所述异常检测装置，还用于对异常访问所述注册表的行为进行特征提取以得到异常特征；保存所述异常特征，得到所述异常行为特征模型。

11、根据权利要求10所述系统，其特征在于，

所述异常检测装置，还用于使用异常检测算法对所述异常特征进行扩充，并将扩充得到的异常特征保存在异常行为特征模型中。

12、根据权利要求9至11所述系统，其特征在于，

所述异常检测装置，还用于对监控到的软件访问注册表的行为进行概率计算，所述概率为正常访问特征或异常访问特征的概率；当所述概率更靠近异常行为特征时确定所述软件访问所述注册表的行为为异常访问，当所述概率更靠近正常行为特征时确定所述软件访问所述注册表的行为为正常访问。