[发明专利]异常检测方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种异常检测方法及装置。

背景技术

相关技术中，许多本地和通过Internet的远程攻击入侵行为，都是利用了存在漏洞的关键程序。针对这些关键程序的攻击是入侵系统的主要手段。入侵检测技术是通过对计算机中留存的系统信息和用户行为在系统中产生的信息进行分析，用以检测对系统的入侵。入侵检测技术分为误用检测(Misuse Detection)和异常检测(Anomaly Detection)。误用检测是基于分析入侵或攻击的相关知识来检测入侵。误用检测的缺点在于对新的入侵方法或一些入侵方法的变异难以检测。并且，它的性能和模式库的大小及体系结构有关。对入侵行为及入侵方法的分析发现，入侵最终都体现在一系列非法的或者异常的系统调用上，由此提出了多种异常检测方法。异常检测是基于正常状态下的系统特征来检查当前状态对正常状态的偏离。

当前主流的异常检测方法之一是特征模式提取结合统计特征检测。在检测时，首先将系统调用序列压缩成系统调用与特征模式混合构成的序列，在此基础上以变长模式为单元建立改进的状态转换矩阵，用状态序列出现的概率区分异常。

由此可见，当前主流的异常检测方法在检测时，先获取关键程序的系统调用序列的确定特征模式，然后根据该确定特征模式进行检测，但是在实际的检测过程中，系统所保存的关键程序的系统调用序列的确定特征模式种类是非常少的，这将导致在异常检测时，可识别的模式较少，无法应对复杂的模式特征，从而导致对关键程序行为的刻画能力低下，进而影响整个异常检测的精确度。

针对相关技术中，通过确定特征模式结合统计特征检测的方法进行异常检测所导致的可识别模式较少的问题，尚未提出有效的解决方案。

发明内容

本发明提供了一种异常检测方法及装置，以至少解决相关技术中通过确定特征模式结合统计特征检测的方法进行异常检测所导致的可识别模式较少的问题。

根据本发明的一个方面，提供了一种异常检测方法，包括：获取系统调用序列的模糊特征模式，并将所述模糊特征模式添加至特征模式库中，其中，所述模糊特征模式为包括确定模式和模糊模式的特征模式，所述确定模式表示通过多个系统调用按照确定顺序组成的特征模式，所述模糊模式表示一类系统调用序列的特征模式；将训练集的系统 调用序列与所述特征模式库中所包括的特征模式进行匹配，依据与匹配结果对应的规则获取所述训练集的系统调用序列对应的状态序列；用所述状态序列训练马尔可夫模型，得到训练后的马尔可夫模型；使用所述训练后的马尔可夫模型，检测待检测系统调用序列的异常。

可选地，所述确定模式通过以下方式获取：执行以下步骤，直至得到长度最长的特征模式：获取长度为第一阈值的当前特征模式，并将所述当前特征模式添加至所述特征模式库中；将所述当前特征模式与相邻特征模式进行连接，得到连接后的特征模式；判断所述连接后的特征模式是否满足支持度要求；在判断结果为是的情况下，将所述连接后的特征模式设置为待获取特征模式，并将所述待获取特征模式添加至所述特征模式库中，其中，在所述特征模式库中不包括所述当前特征模式和所述相邻特征模式，所述支持度为系统调用短序列作为一个整体在系统进程的运行轨迹中出现的概率；判断所述特征模式库中是否包括所述长度最长的特征模式；在判断结果为是的情况下，将所述特征模式库中所包括的特征模式作为所述确定模式。

可选地，在判断所述特征模式库中不包括所述长度最长的特征模式时，所述方法还包括：在所述特征模式库中选取预定数量的相邻特征模式进行连接，得到连接后的特征模式；判断该连接后的特征模式是否满足支持度要求；在判断结果为是的情况下，将该连接后的特征模式设置为新的待获取特征模式，并将所述新的待获取特征模式添加至所述特征模式库中，其中，所述特征模式库不包含用于组成所述新的待获取特征模式的相邻特征模式；继续判断所述特征模式库中是否包括所述长度最长的特征模式。