CN110119621A - 异常系统调用的攻击防御方法、系统及防御装置 - Google Patents

异常系统调用的攻击防御方法、系统及防御装置 Download PDF

Info

Publication number
CN110119621A
CN110119621A CN201910368608.2A CN201910368608A CN110119621A CN 110119621 A CN110119621 A CN 110119621A CN 201910368608 A CN201910368608 A CN 201910368608A CN 110119621 A CN110119621 A CN 110119621A
Authority
CN
China
Prior art keywords
call sequence
system call
coding
server end
regression equation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910368608.2A
Other languages
English (en)
Other versions
CN110119621B (zh
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wangyu Safety Technology (shenzhen) Co Ltd
Original Assignee
Wangyu Safety Technology (shenzhen) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wangyu Safety Technology (shenzhen) Co Ltd filed Critical Wangyu Safety Technology (shenzhen) Co Ltd
Priority to CN201910368608.2A priority Critical patent/CN110119621B/zh
Publication of CN110119621A publication Critical patent/CN110119621A/zh
Application granted granted Critical
Publication of CN110119621B publication Critical patent/CN110119621B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及了一种异常系统调用的攻击防御方法、系统及防御装置,该攻击防御方法包括:当侦测到有程序执行时,从操作系统上获取系统调用序列,并将系统调用序列回传至服务器端;通过第二编码器对系统调用序列进行特征编码,以获取相应的第二特征向量集合,其中,第二编码器根据服务器端传入的自编码及解码模块中第一编码器的编码参数构建;将第二特征向量通过回归方程式在特征空间中进行比对,并根据比对结果确定系统调用序列是否为正常系统调用,其中,回归方程式由服务器端对第一特征向量集合进行回归方程运算而获取并传送。实施本发明的技术方案,可有效提升对于未曾见过的恶意软件的侦测有效性,而且,可有效分配运算资源、降低硬件开销成本。

Description

异常系统调用的攻击防御方法、系统及防御装置
技术领域
本发明涉及计算机安全领域,尤其涉及一种异常系统调用的攻击防御方法、系统及防御装置。
背景技术
近年来随着大数据及人工智能时代的来临,各公司许多研究及产品,皆以类神经网络(NN)为基础,结合高算力的GPU设备,以进行各种文字、图片及视频的分类应用。但相较于以上应用,针对于恶意软件所导致的异常系统调用入侵防御的相关研究较少,且大部分研究无法有效的商品化,归咎主因有二:
一、目前所有的人工智能自我学习算法,皆须依赖大量标记过后的训练数据为基础,但恶意软件在大规模扩散之前,必然是未曾出现过的,故大部分网络安全公司能取得的讯练数据,皆为正常的系统调用数据,至于因恶意软件所引起的异常系统调用数据,则相当难以取得,即使能够取得,必然也是过去几年的数据,相对参考价值较低。这样的艰难状况,对于需要大量训练数据为基础的深度学习算法已然成为相当大的阻碍,故目前市面上大部分对于异常系统调用入侵检测产品的防御手法,仅能针对那些已经被清楚分析且了解的网路攻击行为,以人为定义规则库的方式来加以侦测,而其他经由变形方式或针对现有攻击做小幅度修改的攻击手法,往往成为异常系统调用入侵检测的弱点之一,更不用说对于未知攻击而言,此类侦测方式更是毫无招架之力。
二、目前较流行的人工智能算法为深度学习算法,此类算法在图形辨识领域已取得了相当巨大的成功。但深度学习算法须以深度类神经网络(DNN)搭配高算力的GPU硬件作为运算基础,才能进行有效率的自我学习。如欲以深度学习算法进行异常系统调用侦测,则上述类神经网络的结构将随着恶意软件攻击模式的进化变得越来越复杂,故其运算速率及准确率,亦将更需依赖高算力的GPU来提升。一般在家庭计算机、手机、甚至嵌入式系统或芯片中,受安装面积及制造成本的限制,并无法安装此类GPU硬件设备,但这样极可能导致深度学习算法的运算速率及分类准确率大幅降低。
发明内容
本发明要解决的技术问题在于,针对现有技术中的上述缺陷,提供一种异常系统调用的攻击防御方法、系统及防御装置。
本发明解决其技术问题所采用的技术方案是:构造一种异常系统调用的攻击防御方法,应用于服务器端,包括:
接收本地端回传的系统调用序列,并将其存储至数据库;
在训练阶段中,使用编码类神经网络及解码类神经网络,对所述数据库中的所述系统调用序列进行训练,以获取训练好的自编码及解码模块;
在训练完成后,通过所述自编码及解码模块中的第一编码器对所述数据库中的所述系统调用序列进行特征编码,以获取相应的第一特征向量集合;而且,将所述第一编码器的编码参数传送至本地端,以在本地端构建第二编码器,并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合;
将所述第一特征向量集合进行回归方程运算,以获取相应的回归方程式,并将所述回归方程式传送至本地端,以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对,并根据比对结果判断所述系统调用序列是否为正常系统调用。
本发明还构造一种异常系统调用的攻击防御方法,应用于本地端,包括:
当侦测到有程序执行时,从操作系统上获取系统调用序列,并将所述系统调用序列回传至服务器端;
通过第二编码器对所述系统调用序列进行特征编码,以获取相应的第二特征向量集合,其中,所述第二编码器根据服务器端传入的自编码及解码模块中第一编码器的编码参数构建,而且,服务器端在训练完成后通过所述第一编码器将所接收的系统调用序列进行特征编码,以获取第一特征向量集合;
将所述第二特征向量通过回归方程式在特征空间中进行比对,并根据比对结果确定所述系统调用序列是否为正常系统调用,其中,所述回归方程式由服务器端对所述第一特征向量集合进行回归方程运算而获取并传送。
优选地,将所述系统调用序列传送至服务器端,包括:
实时将所述系统调用序列传送至服务器端;或,
在日志文件中记录所获取的系统调用序列,并在日志文件中的系统调用序列的数量达到预设值时,将所述日志文件中的系统调用序列传送至服务器端;或,
每间隔预设时段将所述系统调用序列传送至服务器端。
优选地,根据比对结果判断所述系统调用序列是否为正常系统调用,包括:
若所述第二特征向量集合中的特征向量属于所述回归方程式范围,则确定与所述特征向量对应的系统调用序列为正常系统调用;
若所述第二特征向量集合中的特征向量不属于所述回归方程式范围,则确定与所述特征向量对应的系统调用序列为异常系统调用;
所述异常系统调用的攻击防御方法,还包括:
对判断结果进行显示,所述判断结果包括:正常系统调用、异常系统调用。
优选地,还包括:
将判断结果及所述系统调用序列的副本回传至服务器端,以供服务器端后续进行加强式自学习。
本发明还构造一种服务器端防御装置,包括:
数据库,用于存储本地端回传的系统调用序列;
自编码及解码模块,用于在训练阶段中,使用编码类神经网络及解码类神经网络,对所述数据库中的所述系统调用序列进行训练,而且,在训练完成后,所述自编码及解码模块中的第一编码器用于对所述数据库中的所述系统调用序列进行特征编码,以获取相应的第一特征向量集合;
回归方程运算模块,用于将所述第一特征向量集合进行回归方程运算,以获取相应的回归方程式;
第一通讯模块,用于接收本地端回传的系统调用序列;还用于将所述第一编码器的编码参数传送至本地端,以在本地端构建第二编码器,并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合;还用于将所述回归方程式传送至本地端,以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对,并根据比对结果判断所述系统调用序列是否为正常系统调用。
本发明还构造一种本地端防御装置,包括:
第二通讯模块,用于将从操作系统上获取的系统调用序列传送至服务器端;还用于接收服务器端传入的自编码及解码模块中第一编码器的编码参数,其中,所述第一编码器用于在训练完成后对所接收的系统调用序列进行特征编码,以获取第一特征向量集合;还用于接收服务器端传入的回归方程式,其中,所述回归方程式为服务器端对所述第一特征向量集合进行回归方程运算而获取;
第二编码器,用于根据所接收的编码参数而构建,且用于对所述系统调用序列进行特征编码,以获取相应的第二特征向量集合;
分类运算模块,用于将所述第二特征向量通过所述回归方程式在特征空间中进行比对,并根据比对结果确定所述系统调用序列是否为正常系统调用。
本发明还构造一种服务器端防御装置,包括第一处理器及存储有计算机程序的第一存储器,所述第一处理器在执行所述第一存储器中的计算机程序时实现上述异常系统调用的攻击防御方法的步骤。
本发明还构造一种本地端防御装置,包括第二处理器及存储有计算机程序的第二存储器,所述第二处理器在执行所述第二存储器中的计算机程序时实现上述异常系统调用的攻击防御方法的步骤。
本发明还构造一种异常系统调用的攻击防御系统,包括:
以上所述的服务器端防御装置;及
多个以上所述的本地端防御装置。
实施本发明的技术方案,以非监督式学习的方式提取在正常系统调用序列中最具代表性的序列特征,可有效提升对于未曾见过的恶意软件的侦测有效性。
二、以分布式计算的方式,有效分配运算资源,将须依赖高计算能力的训练过程分配于服务器端主机,仅在本地端进行相对较低计算能力需求的运算。这样,不仅可维持复杂型类神经网络的分类准确度,也同时兼顾演算速率,除此之外,也无需再在本地端设备上安装额外的GPU硬件,这样可大幅降低硬件开销成本。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图中:
图1是本发明异常系统调用的攻击防御方法实施例一的流程图;
图2是本发明异常系统调用的攻击防御方法实施例二的流程图;
图3是本发明异常系统调用的攻击防御系统实施例一的逻辑结构图;
图4是本发明服务器端防御装置实施例一的逻辑结构图;
图5是本发明本地端防御装置实施例一的逻辑结构图。
具体实施方式
下面结合附图详细说明本发明的具体实施方式。
在此记载的具体实施方式/实施例为本发明的特定的具体实施方式,用于说明本发明的构思,均是解释性和示例性的,不应解释为对本发明实施方式及本发明范围的限制。除在此记载的实施例外,本领域技术人员还能够基于本申请权利要求书和说明书所公开的内容采用显而易见的其它技术方案,这些技术方案包括采用对在此记载的实施例的做出任何显而易见的替换和修改的技术方案,都在本发明的保护范围之内。还需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
在本发明中,“系统调用”是指一软件要达成某一特定任务时,需调用操作系统的一连串底层程序,以有效达成该任务需求。而“正常系统调用”是指:该软件所调用的底层程序为经广大用户所认可的不具有安全风险的程序,即,使用该软件后的安全风险与使用该软件前相同。反之,则为“异常系统调用”。在系统调用序列收集后,可通过大量的系统调用序列进行机器学习,以得到正常系统调用序列的运作规律。
图1是本发明异常系统调用的攻击防御方法实施例一的流程图,该实施例的攻击防御方法应用于服务器端,且具体包括:
步骤S11.接收本地端回传的系统调用序列,并将其存储至数据库;
步骤S12.在训练阶段中,使用编码类神经网络及解码类神经网络,对所述数据库中的所述系统调用序列进行训练,以获取训练好的自编码及解码模块;
步骤S13.在训练完成后,通过所述自编码及解码模块中的第一编码器对所述数据库中的所述系统调用序列进行特征编码,以获取相应的第一特征向量集合;而且,将所述第一编码器的编码参数传送至本地端,以在本地端构建第二编码器,并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合;
步骤S14.将所述第一特征向量集合进行回归方程运算,以获取相应的回归方程式,并将所述回归方程式传送至本地端,以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对,并根据比对结果判断所述系统调用序列是否为正常系统调用。
图2是本发明异常系统调用的攻击防御方法实施例二的流程图,该实施例的攻击防御方法应用于本地端,且具体包括:
步骤S21.当侦测到有程序执行时,从操作系统上获取系统调用序列,并将所述系统调用序列回传至服务器端;
步骤S22.通过第二编码器对所述系统调用序列进行特征编码,以获取相应的第二特征向量集合,其中,所述第二编码器根据服务器端传入的自编码及解码模块中第一编码器的编码参数构建,而且,服务器端在训练完成后通过所述第一编码器将所接收的系统调用序列进行特征编码,以获取第一特征向量集合;
步骤S23.将所述第二特征向量通过回归方程式在特征空间中进行比对,并根据比对结果确定所述系统调用序列是否为正常系统调用,其中,所述回归方程式由服务器端对所述第一特征向量集合进行回归方程运算而获取并传送。
上述实施例的技术方案具有以下有益效果:
一、以非监督式学习的方式提取在正常系统调用序列中最具代表性的序列特征,此举可有效提升对于未曾见过的恶意软件的侦测有效性。
二、以分布式计算的方式,有效分配运算资源,将须依赖高计算能力的训练过程分配于服务器端主机,仅在本地端进行相对较低计算能力需求的运算。这样,不仅可维持复杂型类神经网络的分类准确度,也同时兼顾演算速率,除此之外,也无需再在本地端设备上安装额外的GPU硬件,这样可大幅降低硬件开销成本。
另外,该技术方案也具相当的弹性,不仅可应用于恶意软件的防御应用,也可以将该技术方案直接扩充至各种文字、图片及视频的分类应用,且无须再修改系统架构。而且,该技术方案的实施无地域、时间的限制,具有鉴别迅速、正确直观,成本低廉等优点。
在一个可选实施例中,步骤S21中,将所述系统调用序列传送至服务器端,包括:
实时将所述系统调用序列传送至服务器端;或,
在日志文件中记录所获取的系统调用序列,并在日志文件中的系统调用序列的数量达到预设值时,将所述日志文件中的系统调用序列传送至服务器端;或,
每间隔预设时段将所述系统调用序列传送至服务器端。
在一个具体实施例中,在步骤S23中,根据比对结果判断所述系统调用序列是否为正常系统调用,即,对第二特征向量进行特征分类的运算,而且,包括:
若所述第二特征向量集合中的特征向量属于所述回归方程式范围,则确定与所述特征向量对应的系统调用序列为正常系统调用;
若所述第二特征向量集合中的特征向量不属于所述回归方程式范围,则确定与所述特征向量对应的系统调用序列为异常系统调用。
而且,进一步地,在步骤S23之后,本发明的异常系统调用的攻击防御方法还包括:
对判断结果进行显示,所述判断结果包括:正常系统调用、异常系统调用。
在一个可选实施例中,在步骤S23之后,本发明的异常系统调用的攻击防御方法还包括:
将判断结果及所述系统调用序列的副本回传至服务器端,以供服务器端后续进行加强式自学习。
图3是本发明异常系统调用的攻击防御系统实施例一的逻辑结构图,该实施例的攻击防御系统包括有:服务器端防御装置10、多个本地端防御装置20、…、20′。结合图4,服务器端防御装置包括有:数据库11、自编码及解码模块12、回归方程运算模块13、第一通讯模块14。结合图5,本地端防御装置包括有:第二编码器21、分类运算模块22、第二通讯模块23。下面具体说明每个模块:
数据库11用于存储本地端回传的系统调用序列,具体地,该数据库11可为(但不限于)一种位于服务器端的数据库,本数据库主要储存各本地端防御装置在本地端程序执行时所传回的系统调用序列,例如:open,read,mmap,mmap,open,getrlimit,mmap,close。
自编码及解码模块12用于在训练阶段中,使用编码类神经网络及解码类神经网络,对数据库11中的系统调用序列进行训练,而且,在训练完成后,自编码及解码模块12中的第一编码器121用于对数据库11中的系统调用序列进行特征编码,以获取相应的第一特征向量集合。具体地,自编码及解碼模块12可为(但不限于)一种基于类神经网络的自编码模型,其架构可视需求自由调整,主要分为第一编码器(Encoder)121、译码器(Decoder)122。在训练阶段中,将输入数据库11中的数据,并使用编码类神经网络及解码类神经网络进行训练。训练完成后,可透过其中的第一编码器将数据库11中的数据进行特征编码,最后输出一组与数据库中的数据对应的特征向量集合。
回归方程运算模块13用于将所述第一特征向量集合进行回归方程运算,以获取相应的回归方程式。具体地,回归方程运算模块13为(但不限于)一种可将特征向量集合输入并自动进行回归方程运算的模块,本模块最后可输出对应所输入的特征向量集合的回归方程式。
第一通讯模块14用于接收本地端回传的系统调用序列;还用于将第一编码器121的编码参数传送至本地端,以在本地端构建第二编码器,并通过第二编码器21对本地端的系统调用序列进行特征编码而获取第二特征向量集合;还用于将回归方程式传送至本地端,以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对,并根据比对结果判断所述系统调用序列是否为正常系统调用。
第二通讯模块23用于将从操作系统上获取的系统调用序列传送至服务器端;还用于接收服务器端传入的自编码及解码模块12中第一编码器121的编码参数,其中,第一编码器121用于在训练完成后对所接收的系统调用序列进行特征编码,以获取第一特征向量集合;还用于接收服务器端传入的回归方程式,其中,回归方程式为服务器端对所述第一特征向量集合进行回归方程运算而获取。
第二编码器21用于根据所接收的编码参数而构建,且用于对所述系统调用序列进行特征编码,以获取相应的第二特征向量集合。具体地,第二编码器21为(但不限于)一种可经由服务器端传入的编码参数进行特征编码的类神经网络模块,其类神经网络架构需与服务器端的第一编码器121相同,主要用于实时侦测阶段中,将系统调用序列的数据,透过第二编码器21将系统调用序列的数据进行特征编码,最后输出一组与系统调用序列数据X对应的特征向量Z。
分类运算模块22用于将所述第二特征向量通过所述回归方程式在特征空间中进行比对,并根据比对结果确定所述系统调用序列是否为正常系统调用。具体地,分类运算模块22为(但不限于)一种可经由服务器端传入的回归方程式,结合本地端特征向量集合进行特征分类的运算模块。主要用于实时侦测阶段中,将系统调用序列数据X所对应的特征向量Z,通过服务器端传入的回归方程式,在特征空间中进行比对,如Z属于该回归方程式范围,则本系统调用序列数据X定义为正常系统调用,反之则为异常系统调用。
最后,分类运算模块22可将分类结果显示于本地端,并向服务器端回传分类结果及实时系统调用序列数据X的副本,以供后续进行服务器端进行加强式自我学习使用。
本发明还构造一种服务器端防御装置,其包括第一处理器及存储有计算机程序的第一存储器,而且,第一处理器在执行第一存储器中的计算机程序时实现图1所示的攻击防御方法的步骤。
本发明还构造一种本地端防御装置,其包括第二处理器及存储有计算机程序的第二存储器,而且,第二处理器在执行第二存储器中的计算机程序时实现图2所示的攻击防御方法的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何纂改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种异常系统调用的攻击防御方法,应用于服务器端,其特征在于,包括:
接收本地端回传的系统调用序列,并将其存储至数据库;
在训练阶段中,使用编码类神经网络及解码类神经网络,对所述数据库中的所述系统调用序列进行训练,以获取训练好的自编码及解码模块;
在训练完成后,通过所述自编码及解码模块中的第一编码器对所述数据库中的所述系统调用序列进行特征编码,以获取相应的第一特征向量集合;而且,将所述第一编码器的编码参数传送至本地端,以在本地端构建第二编码器,并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合;
将所述第一特征向量集合进行回归方程运算,以获取相应的回归方程式,并将所述回归方程式传送至本地端,以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对,并根据比对结果判断所述系统调用序列是否为正常系统调用。
2.一种异常系统调用的攻击防御方法,应用于本地端,其特征在于,包括:
当侦测到有程序执行时,从操作系统上获取系统调用序列,并将所述系统调用序列回传至服务器端;
通过第二编码器对所述系统调用序列进行特征编码,以获取相应的第二特征向量集合,其中,所述第二编码器根据服务器端传入的自编码及解码模块中第一编码器的编码参数构建,而且,服务器端在训练完成后通过所述第一编码器将所接收的系统调用序列进行特征编码,以获取第一特征向量集合;
将所述第二特征向量通过回归方程式在特征空间中进行比对,并根据比对结果确定所述系统调用序列是否为正常系统调用,其中,所述回归方程式由服务器端对所述第一特征向量集合进行回归方程运算而获取并传送。
3.根据权利要求2所述的异常系统调用的攻击防御方法,其特征在于,将所述系统调用序列传送至服务器端,包括:
实时将所述系统调用序列传送至服务器端;或,
在日志文件中记录所获取的系统调用序列,并在日志文件中的系统调用序列的数量达到预设值时,将所述日志文件中的系统调用序列传送至服务器端;或,
每间隔预设时段将所述系统调用序列传送至服务器端。
4.根据权利要求1所述的异常系统调用的攻击防御方法,其特征在于,根据比对结果判断所述系统调用序列是否为正常系统调用,包括:
若所述第二特征向量集合中的特征向量属于所述回归方程式范围,则确定与所述特征向量对应的系统调用序列为正常系统调用;
若所述第二特征向量集合中的特征向量不属于所述回归方程式范围,则确定与所述特征向量对应的系统调用序列为异常系统调用;
所述异常系统调用的攻击防御方法,还包括:
对判断结果进行显示,所述判断结果包括:正常系统调用、异常系统调用。
5.根据权利要求4所述的异常系统调用的攻击防御方法,其特征在于,还包括:
将判断结果及所述系统调用序列的副本回传至服务器端,以供服务器端后续进行加强式自学习。
6.一种服务器端防御装置,其特征在于,包括:
数据库,用于存储本地端回传的系统调用序列;
自编码及解码模块,用于在训练阶段中,使用编码类神经网络及解码类神经网络,对所述数据库中的所述系统调用序列进行训练,而且,在训练完成后,所述自编码及解码模块中的第一编码器用于对所述数据库中的所述系统调用序列进行特征编码,以获取相应的第一特征向量集合;
回归方程运算模块,用于将所述第一特征向量集合进行回归方程运算,以获取相应的回归方程式;
第一通讯模块,用于接收本地端回传的系统调用序列;还用于将所述第一编码器的编码参数传送至本地端,以在本地端构建第二编码器,并通过所述第二编码器对本地端的系统调用序列进行特征编码而获取第二特征向量集合;还用于将所述回归方程式传送至本地端,以使本地端将所述第二特征向量通过所接收的回归方程式在特征空间中进行比对,并根据比对结果判断所述系统调用序列是否为正常系统调用。
7.一种本地端防御装置,其特征在于,包括:
第二通讯模块,用于将从操作系统上获取的系统调用序列传送至服务器端;还用于接收服务器端传入的自编码及解码模块中第一编码器的编码参数,其中,所述第一编码器用于在训练完成后对所接收的系统调用序列进行特征编码,以获取第一特征向量集合;还用于接收服务器端传入的回归方程式,其中,所述回归方程式为服务器端对所述第一特征向量集合进行回归方程运算而获取;
第二编码器,用于根据所接收的编码参数而构建,且用于对所述系统调用序列进行特征编码,以获取相应的第二特征向量集合;
分类运算模块,用于将所述第二特征向量通过所述回归方程式在特征空间中进行比对,并根据比对结果确定所述系统调用序列是否为正常系统调用。
8.一种服务器端防御装置,包括第一处理器及存储有计算机程序的第一存储器,其特征在于,所述第一处理器在执行所述第一存储器中的计算机程序时实现权利要求1所述的异常系统调用的攻击防御方法的步骤。
9.一种本地端防御装置,包括第二处理器及存储有计算机程序的第二存储器,其特征在于,所述第二处理器在执行所述第二存储器中的计算机程序时实现权利要求2-5所述的异常系统调用的攻击防御方法的步骤。
10.一种异常系统调用的攻击防御系统,其特征在于,包括:
权利要求6或8所述的服务器端防御装置;及
多个权利要求7或9所述的本地端防御装置。
CN201910368608.2A 2019-05-05 2019-05-05 异常系统调用的攻击防御方法、系统及防御装置 Active CN110119621B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910368608.2A CN110119621B (zh) 2019-05-05 2019-05-05 异常系统调用的攻击防御方法、系统及防御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910368608.2A CN110119621B (zh) 2019-05-05 2019-05-05 异常系统调用的攻击防御方法、系统及防御装置

Publications (2)

Publication Number Publication Date
CN110119621A true CN110119621A (zh) 2019-08-13
CN110119621B CN110119621B (zh) 2020-08-21

Family

ID=67520322

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910368608.2A Active CN110119621B (zh) 2019-05-05 2019-05-05 异常系统调用的攻击防御方法、系统及防御装置

Country Status (1)

Country Link
CN (1) CN110119621B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110502895A (zh) * 2019-08-27 2019-11-26 中国工商银行股份有限公司 接口异常调用确定方法及装置
CN111241496A (zh) * 2020-04-24 2020-06-05 支付宝(杭州)信息技术有限公司 确定小程序特征向量的方法、装置和电子设备

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022137403A1 (ja) * 2020-12-23 2022-06-30 日本電気株式会社 情報収集制御装置、情報収集システム、情報収集制御方法、及び情報収集制御プログラム

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
CN103136476A (zh) * 2011-12-01 2013-06-05 深圳市证通电子股份有限公司 移动智能终端恶意软件分析系统
US20160307094A1 (en) * 2015-04-16 2016-10-20 Cylance Inc. Recurrent Neural Networks for Malware Analysis
CN107612948A (zh) * 2017-11-08 2018-01-19 国网四川省电力公司信息通信公司 一种入侵防御系统及方法
CN108021806A (zh) * 2017-11-24 2018-05-11 北京奇虎科技有限公司 一种恶意安装包的识别方法和装置
CN108491717A (zh) * 2018-03-28 2018-09-04 四川长虹电器股份有限公司 一种基于机器学习的xss防御系统及其实现方法
US10133865B1 (en) * 2016-12-15 2018-11-20 Symantec Corporation Systems and methods for detecting malware
CN108965340A (zh) * 2018-09-25 2018-12-07 网御安全技术(深圳)有限公司 一种工业控制系统入侵检测方法及系统
CN109583475A (zh) * 2018-11-02 2019-04-05 阿里巴巴集团控股有限公司 异常信息的监测方法及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103136476A (zh) * 2011-12-01 2013-06-05 深圳市证通电子股份有限公司 移动智能终端恶意软件分析系统
CN102546624A (zh) * 2011-12-26 2012-07-04 西北工业大学 一种网络多路入侵检测防御方法及系统
US20160307094A1 (en) * 2015-04-16 2016-10-20 Cylance Inc. Recurrent Neural Networks for Malware Analysis
US20180101681A1 (en) * 2015-04-16 2018-04-12 Cylance Inc. Recurrent Neural Networks for Malware Analysis
US10133865B1 (en) * 2016-12-15 2018-11-20 Symantec Corporation Systems and methods for detecting malware
CN107612948A (zh) * 2017-11-08 2018-01-19 国网四川省电力公司信息通信公司 一种入侵防御系统及方法
CN108021806A (zh) * 2017-11-24 2018-05-11 北京奇虎科技有限公司 一种恶意安装包的识别方法和装置
CN108491717A (zh) * 2018-03-28 2018-09-04 四川长虹电器股份有限公司 一种基于机器学习的xss防御系统及其实现方法
CN108965340A (zh) * 2018-09-25 2018-12-07 网御安全技术(深圳)有限公司 一种工业控制系统入侵检测方法及系统
CN109583475A (zh) * 2018-11-02 2019-04-05 阿里巴巴集团控股有限公司 异常信息的监测方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋歌: "神经网络在异常检测中的应用", 《计算机工程与应用》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110502895A (zh) * 2019-08-27 2019-11-26 中国工商银行股份有限公司 接口异常调用确定方法及装置
CN111241496A (zh) * 2020-04-24 2020-06-05 支付宝(杭州)信息技术有限公司 确定小程序特征向量的方法、装置和电子设备

Also Published As

Publication number Publication date
CN110119621B (zh) 2020-08-21

Similar Documents

Publication Publication Date Title
CN111784348B (zh) 账户风险识别方法及装置
CN108718310B (zh) 基于深度学习的多层次攻击特征提取及恶意行为识别方法
CN109561084B (zh) 基于lstm自编码网络的url参数异常值检测方法
CN110119621A (zh) 异常系统调用的攻击防御方法、系统及防御装置
CN105590055B (zh) 用于在网络交互系统中识别用户可信行为的方法及装置
CN106709345A (zh) 基于深度学习方法推断恶意代码规则的方法、系统及设备
CN109617706B (zh) 工业控制系统防护方法及工业控制系统防护装置
CN109753608A (zh) 确定用户标签的方法、自编码网络的训练方法及装置
WO2021168617A1 (zh) 业务风控处理方法、装置、电子设备以及存储介质
CN111260220B (zh) 群控设备识别方法、装置、电子设备和存储介质
CN113743111A (zh) 基于文本预训练和多任务学习的金融风险预测方法及装置
CN110138758A (zh) 基于域名词汇的误植域名检测方法
CN107368499B (zh) 一种客户标签建模及推荐方法及装置
CN111275416A (zh) 数字货币异常交易检测方法、装置、电子设备及介质
Wei et al. Calibrating Network Traffic with One‐Dimensional Convolutional Neural Network with Autoencoder and Independent Recurrent Neural Network for Mobile Malware Detection
CN115204886A (zh) 账户识别的方法、装置、电子设备和存储介质
CN117077153A (zh) 基于大规模语言模型的静态应用安全检测误报判别方法
CN113656798B (zh) 一种面向恶意软件标签翻转攻击的正则化识别方法及装置
KR20220101952A (ko) 비트코인 불법거래 탐지 장치 및 방법
CN110290101B (zh) 智能电网环境中基于深度信任网络的关联攻击行为识别方法
CN110457009B (zh) 基于数据分析的软件安全需求推荐模型的实现方法
CN116561737A (zh) 基于用户行为基线的密码有效性检测方法及其相关设备
CN107222319A (zh) 一种通信操作分析方法及装置
CN114726634A (zh) 一种基于知识图谱的黑客攻击场景构建方法和设备
Gomathy et al. Network intrusion detection using genetic algorithm and neural network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant