[发明专利]异常系统调用的攻击防御方法、系统及防御装置

权利要求书

1.一种异常系统调用的攻击防御方法，应用于服务器端，其特征在于，包括：

接收本地端回传的系统调用序列，并将其存储至数据库；

在训练阶段中，使用编码类神经网络及解码类神经网络，以非监督式学习的方式提取所述数据库中的所述系统调用序列，并对所述系统调用序列进行训练，以获取训练好的自编码及解码模块；

在训练完成后，通过所述自编码及解码模块中的第一编码器对所述数据库中的所述系统调用序列进行特征编码，以获取相应的第一特征向量集合；而且，将所述第一编码器的编码参数传送至本地端，以在本地端构建第二编码器，并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合；

将所述第一特征向量集合进行回归方程运算，以获取相应的回归方程式，并将所述回归方程式传送至本地端，以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对，并根据比对结果判断所述系统调用序列是否为正常系统调用。

2.一种异常系统调用的攻击防御方法，应用于本地端，其特征在于，包括：

当侦测到有程序执行时，从操作系统上获取系统调用序列，并将所述系统调用序列回传至服务器端，以使所述服务器端将所述系统调用序列存储至数据库；

通过第二编码器对所述系统调用序列进行特征编码，以获取相应的第二特征向量集合，其中，所述第二编码器根据服务器端传入的自编码及解码模块中第一编码器的编码参数构建，而且，服务器端在训练阶段中，使用编码类神经网络及解码类神经网络，以非监督式学习的方式提取所述数据库中的所述系统调用序列，并对所述系统调用序列进行训练，以获取训练好的自编码及解码模块；在训练完成后通过所述第一编码器将所接收的系统调用序列进行特征编码，以获取第一特征向量集合；

将所述第二特征向量通过回归方程式在特征空间中进行比对，并根据比对结果确定所述系统调用序列是否为正常系统调用，其中，所述回归方程式由服务器端对所述第一特征向量集合进行回归方程运算而获取并传送。

3.根据权利要求2所述的异常系统调用的攻击防御方法，其特征在于，将所述系统调用序列传送至服务器端，包括：

实时将所述系统调用序列传送至服务器端；或，

在日志文件中记录所获取的系统调用序列，并在日志文件中的系统调用序列的数量达到预设值时，将所述日志文件中的系统调用序列传送至服务器端；或，

每间隔预设时段将所述系统调用序列传送至服务器端。

4.根据权利要求1所述的异常系统调用的攻击防御方法，其特征在于，根据比对结果判断所述系统调用序列是否为正常系统调用，包括：

若所述第二特征向量集合中的特征向量属于所述回归方程式范围，则确定与所述特征向量对应的系统调用序列为正常系统调用；

若所述第二特征向量集合中的特征向量不属于所述回归方程式范围，则确定与所述特征向量对应的系统调用序列为异常系统调用；

所述异常系统调用的攻击防御方法，还包括：

对判断结果进行显示，所述判断结果包括：正常系统调用、异常系统调用。

5.根据权利要求4所述的异常系统调用的攻击防御方法，其特征在于，还包括：

将判断结果及所述系统调用序列的副本回传至服务器端，以供服务器端后续进行加强式自学习。