[发明专利]检测异常事件的系统和方法

说明书

本发明涉及检测异常事件的系统和方法，特别地提供了一种用于检测在计算设备的操作系统中发生的异常事件的系统和方法。示例性的方法包括：在执行软件进程期间，检测在计算设备的操作系统中发生的事件。此外，该方法包括：确定检测到的事件的上下文并基于所确定的检测到的事件的上下文的选择的特征形成检测到的事件的卷积。另外，该方法包括：通过轮询包含与在网络中的客户端设备中发生的检测到的事件的频率相关的数据的数据库来确定所形成的卷积的普及度，其中，客户端设备的检测到的事件对应于计算设备中的检测到的事件。如果所确定的普及度小于阈值，则该方法确定检测到的事件是异常事件。

技术领域

本公开总体涉及计算机安全领域，更具体地，涉及一种用于保护计算机设备免受利用设备软件中存在的漏洞的系统和方法。

背景技术

随着软件应用程序在当今技术领域的目前的广泛使用和变化，使用恶意软件渗透计算机设备的最广泛的方法之一涉及利用安装在特定设备上的软件中存在的漏洞。

为了防止漏洞的利用，公司和/或个人会使用消除漏洞本身的形式的被动方法和检测漏洞的实际利用的形式的主动方法两者。被动方法用于已知的漏洞，而主动方法用于已知的漏洞和未知的漏洞两者。

实际上，现有的检测技术能够检测利用已知的技术和机制的漏洞的实际利用，但不幸的是，这些方法无法检测和防止利用漏洞的新技术，这些新技术采用新的利用原理和利用机制。例如，为了不能执行溢出代码(即，用作利用软件漏洞的有效载荷的一小段代码)，已经开发了防止在堆栈中执行的技术，但是在它们的角度出现了面向返回的编程技术。一般来说，面向返回的编程是计算机安全开发技术，其允许攻击者在存在诸如不可执行内存和代码签名等安全防御的情况下执行代码。

已经证明现有的防御性技术对于面向返回的编程是无能为力的。因此，例如如美国专利公开号2006/0196428所述，已经开发了新的解决方案以防止这些攻击。鉴于这些新的解决方案，仍然需要检测计算机系统的功能与正常操作的偏差，这可能表明系统已经被利用软件中的漏洞的技术所攻击。这个问题的解决将有可能摆脱那些利用正在发生变化和改进的漏洞本身的技术，以将重点放在攻击的外部症状上，当技术变化时，这些外部症状保持不变。

发明内容

因此，如本文所公开的，提供示例性的系统和方法来检测在计算设备的操作系统中发生的异常事件。特别地，所公开的系统和方法提供用于在执行设备的软件进程期间检测在客户端设备的操作系统中发生的异常事件。

因此，根据示例性方面，提供了用于检测在计算设备的操作系统中发生的异常事件的方法。在该方面中，该方法包括：在执行软件进程期间，检测在所述计算设备的所述操作系统中发生的至少一个事件；确定在执行所述软件进程期间检测到的在所述操作系统中发生的所述至少一个事件的上下文；基于所确定的检测到的所述至少一个事件的所述上下文的选择的特征，形成检测到的所述至少一个事件的卷积；通过轮询包含与在多个客户端设备中发生的多个检测到的事件的频率相关的数据的数据库，确定所形成的检测到的所述至少一个事件的所述卷积的普及度，所述多个检测到的事件与检测到的所述至少一个事件相对应；以及如果所确定的所述普及度小于阈值，则确定检测到的所述至少一个事件是异常事件。

在示例性方法的另一方面，确定检测到的所述至少一个事件的上下文包括：确定在检测到的所述至少一个事件发生时刻的调用堆栈，其中，所述调用堆栈提供以下至少一者：在所述时刻正在执行的程序和正在执行的函数的列表、包含所述程序和所述函数的模块的列表、以及正在传输至所述模块的所有参数的数据类型和所有参数的值。

在示例性方法的另一方面，确定检测到的所述至少一个事件的上下文包括确定以下至少一者：包含在检测到的所述至少一个事件发生的时刻正在执行的代码的所述软件进程的地址空间的转储、与从至少最后分支记录和分支轨迹存储的跳转相关的数据、以及在检测到的所述至少一个事件发生之前在所述软件进程中加载的模块的列表。