[发明专利]异常系统调用的攻击防御方法、系统及防御装置

说明书

本发明涉及了一种异常系统调用的攻击防御方法、系统及防御装置，该攻击防御方法包括：当侦测到有程序执行时，从操作系统上获取系统调用序列，并将系统调用序列回传至服务器端；通过第二编码器对系统调用序列进行特征编码，以获取相应的第二特征向量集合，其中，第二编码器根据服务器端传入的自编码及解码模块中第一编码器的编码参数构建；将第二特征向量通过回归方程式在特征空间中进行比对，并根据比对结果确定系统调用序列是否为正常系统调用，其中，回归方程式由服务器端对第一特征向量集合进行回归方程运算而获取并传送。实施本发明的技术方案，可有效提升对于未曾见过的恶意软件的侦测有效性，而且，可有效分配运算资源、降低硬件开销成本。

技术领域

本发明涉及计算机安全领域，尤其涉及一种异常系统调用的攻击防御方法、系统及防御装置。

背景技术

近年来随着大数据及人工智能时代的来临，各公司许多研究及产品，皆以类神经网络(NN)为基础，结合高算力的GPU设备，以进行各种文字、图片及视频的分类应用。但相较于以上应用，针对于恶意软件所导致的异常系统调用入侵防御的相关研究较少，且大部分研究无法有效的商品化，归咎主因有二：

一、目前所有的人工智能自我学习算法，皆须依赖大量标记过后的训练数据为基础，但恶意软件在大规模扩散之前，必然是未曾出现过的，故大部分网络安全公司能取得的讯练数据，皆为正常的系统调用数据，至于因恶意软件所引起的异常系统调用数据，则相当难以取得，即使能够取得，必然也是过去几年的数据，相对参考价值较低。这样的艰难状况，对于需要大量训练数据为基础的深度学习算法已然成为相当大的阻碍，故目前市面上大部分对于异常系统调用入侵检测产品的防御手法，仅能针对那些已经被清楚分析且了解的网路攻击行为，以人为定义规则库的方式来加以侦测，而其他经由变形方式或针对现有攻击做小幅度修改的攻击手法，往往成为异常系统调用入侵检测的弱点之一，更不用说对于未知攻击而言，此类侦测方式更是毫无招架之力。

二、目前较流行的人工智能算法为深度学习算法，此类算法在图形辨识领域已取得了相当巨大的成功。但深度学习算法须以深度类神经网络(DNN)搭配高算力的GPU硬件作为运算基础，才能进行有效率的自我学习。如欲以深度学习算法进行异常系统调用侦测，则上述类神经网络的结构将随着恶意软件攻击模式的进化变得越来越复杂，故其运算速率及准确率，亦将更需依赖高算力的GPU来提升。一般在家庭计算机、手机、甚至嵌入式系统或芯片中，受安装面积及制造成本的限制，并无法安装此类GPU硬件设备，但这样极可能导致深度学习算法的运算速率及分类准确率大幅降低。

发明内容

本发明要解决的技术问题在于，针对现有技术中的上述缺陷，提供一种异常系统调用的攻击防御方法、系统及防御装置。

本发明解决其技术问题所采用的技术方案是：构造一种异常系统调用的攻击防御方法，应用于服务器端，包括：

接收本地端回传的系统调用序列，并将其存储至数据库；

在训练阶段中，使用编码类神经网络及解码类神经网络，对所述数据库中的所述系统调用序列进行训练，以获取训练好的自编码及解码模块；

在训练完成后，通过所述自编码及解码模块中的第一编码器对所述数据库中的所述系统调用序列进行特征编码，以获取相应的第一特征向量集合；而且，将所述第一编码器的编码参数传送至本地端，以在本地端构建第二编码器，并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合；

将所述第一特征向量集合进行回归方程运算，以获取相应的回归方程式，并将所述回归方程式传送至本地端，以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对，并根据比对结果判断所述系统调用序列是否为正常系统调用。

本发明还构造一种异常系统调用的攻击防御方法，应用于本地端，包括：

当侦测到有程序执行时，从操作系统上获取系统调用序列，并将所述系统调用序列回传至服务器端；