一种异常检测方法、装置及系统的制作方法

专利名称：一种异常检测方法、装置及系统的制作方法
技术领域：
本发明涉及通信技术领域，特别涉及一种异常检测方法、装置及系统。
背景技术：
视窗(Windows)操作系统是最常用的操作系统，同时也是最容易受恶 意程序攻击的操作系统。恶意软件在主机上运行时会利用操作系统的某些特 性和安全漏洞对操作系统做出攻击行为。 一般有两类普遍使用的方法来防御 恶意软件的攻击第一类防御恶意软件的方法中有两种方式病毒扫描器和 安全补丁，第二类是入侵检测系统(IntrusionDetection Systems, IDS )。
病毒扫描器可以检测主机上的恶意软件；安全补丁则更新操作系统来堵 上恶意软件使用的安全漏洞。两种方式都能在一定程度上防范恶意程序的攻 击，但都存在同样的缺陷，即能够检测到己知的攻击，但不能检测到未知类 型的攻击，原因是病毒扫描方法都是基于签名的方法，用软件中的字节序 列或嵌入的字符串来辨别某一程序是否是恶意的。如果病毒扫描器的签名数 据库中没有包含某一个特定病毒的相关特征，那么，病毒扫描器就不能检测 出这种病毒。 一般来说，病毒扫描器需要频繁更新签名库，否则扫描器将是 无用的。类似地，安全补丁也只能在补丁被写入、分配、应用到主一几系统之 后才能起到保护作用，否则系统会一直处于易受攻击状态。
入侵4企测系统是基于主机的入侵检测系统来监控主机系统并检测入侵行 为。现有的IDS是基于签名算法的，这些算法把主机活动和相应的已知攻击 的签名数据库相匹配，这个方法和使用杀毒软件类似，需要软件厂商提前提 供给用户一个关于已知攻击的签名库，在扫描过程中，系统引擎会根据所提 供的攻击签名库的内容进行相关的攻击检测。
术防御恶意软件攻击的方法都是基于签名的方法，基于签名的方法需要频繁 地更新病毒签名库来检测软件是否为恶意软件，而在很多时候更新病毒签名 库很困难；即使实时地更新了病毒签名库，使用病毒签名库与被检测软件匹 配的方式也只能^r测到已知攻击，对未知攻击仍然没有解决办法；另外，泽企
测《1擎根据签名库中已有的内容对于系统行为进行逐一的匹配扫描需要消耗 点大量的系统资源，大大降低了系统的效率。综上所述，使用现有技术防御 恶意攻击会大大地降低系统效率，并且只能检测已知攻击，不能未知攻击， 不能有效地防御恶意攻击。

发明内容
本发明实施例要解决的技术问题是提供一种异常检测方法、装置及系统， 能有效防御恶意攻击。
为解决上述技术问题，本发明所提供的异常检测方法实施例可以通过以
下技术方案实现
监控软件访问注册表的行为；
当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正 常行为特征^t型时，确定所述软件为恶意软件；
所述正常行为特征模型是通对所述注册表正常访问建模得到的，所述异 常行为特征模型是通过对所述注册表异常访问建模得到的。
上述技术方案具有如下有益效果通过建立对注册表的正常和/或异常访 问模型，然后通过监控软件对注册表的访问行为与正常和/或异常访问模型比 对，检测出恶意攻击，由于对注册表的监控占用资源比较小，由于恶意软件 具有的异常访问行为具有异常访问模型中的通性，可以判断新产生的恶意程 序，而不需要更新签名库；综上所述，上述实施例可以在占用系统资源较小 的条件实现;险测到未知攻击，实现有效地防-卸恶意攻击的目的。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面 描述中的附图仅仅是本发明的 一些实施例，对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 图]为本发明方法实施例 一异常检测流程示意图； 图2为本发明方法实施例二建立异常行为特征模型流程示意图； 图3为本发明方法实施例三扩充异常行为特征模型流程示意图； 图4为本发明方法实施例四贝叶斯分类操作流程示意图5为本发明方法实施例五贝叶斯异常检测方法流程示意图； 图6为本发明实施例六异常检测装置结构示意图； 图7为本发明实施例七异常检测装置结构示意图； 图8为本发明实施例八异常检测装置结构示意图； 图9为本发明实施例九异常检测装置结构示意图； 图IO为本发明实施例十异常检测系统结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行 清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而 不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
本发明实施例要解决的技术问题是提供一种异常检测方法、装置及系统， 能有效防御恶意攻击。
实施例一，本发明实施例提供的一种异常检测方法可以通过如下步骤实
现
步骤101:对注册表异常访问和/或正常访问操作建模，得到正常行为特征 模型和/或异常行为特征模型；在后续实施例中将对建模的方法作更详细的说 明；
步骤102:对软件访问注册表的行为进行监控；
步骤103:当所述软件访问注册表的行为属于异常行为特征模型和/或不属 于正常行为特征模型时，确定所述软件为恶意软件；或者，当所述软件访问 注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型时，确定 所述软件为正常软件。
所述正常行为特征模型为对注册表正常访问建;f莫得到，异常行为特征 模型为对注册表异常访问建模得到。具体的建模方式本发明实施例不作限 定，只需要满足正常行为特征模型包含正常访问特征，异常行为特征模型包 含异常访问特征，至于模型的规模可以根据系统安全要求的级别需要来建立。
上述实施例通过建立对注册表的正常和/或异常访问行为特征模型，然后 通过监控软件对注册表的访问行为与正常和/或异常访问特征模型比对，检测
出恶意攻击，由于对注册表的监控占用资源比较小，由于恶意软件具有的异 常访问行为具有异常访问模型中的通性，可以判断新产生的恶意程序，而不 需要更新签名库；综上所述，上述实施例可以在占用系统资源较小的条件实 现检测到未知攻击，实现有效地防御恶意攻击的目的。
实施例二，对注册表异常访问和/或正常访问操作建模，本发明实施例提 供了对注册表访问行为的分析方法。
如图2所述，建立模型异常行为特征模型的方法可以为 步骤201:对异常访问注册表的行为进行特征提取得到异常特征； 步骤202:将所述提取到的异常特征保存在异常行为特征模型中，得到异 常行为特4正纟莫型。
正常行为特征模型的建立方法与异常行为特征模型的建立方法类似不再 赘述。
在正常执行的情况下，注册表访问活动具有一些特性比如大多数 Windows程序都将会访问某一组注册表键，而且，多数用户运行机器时常规地 使用某一些程序， 一般为一组安装在机器上的程序或是这些程序的一部分； 并且这些活动会逐渐变得有规律。而且大多数程序仅仅在开、关机时访问注 册表，或者以一定的时间间隔访问注册表，上述对注册表的访问应该被认为 是正常访问。这种规律性使注册表成为一个极其优异的寻找不规律或异常活 动的地方，恶意程序偏离了正常活动特征而在很大程度上会被检索到。
操作系统安装在终端上之后，许多攻击可能涉及到几方面 一、启动以 前未启动过的程序；二、改变以前没改变过的键值；三、修改操作系统相对 应的键值；四、对其他程序的键值进行操作等。上述注册表操作为异常访问。 另外，恶意程序还可能需要查询部分注册表以获取关于漏洞的信息；还可能 引入新键在终端中创建一个可攻击的"后门"，这些操作都应当划分为异常访 问。可以理解的是上述举例并不是异常访问类型的穷举，不对本发明实施例 构成限定。下面就异常访问的几种情况举例说明
安装木马这种程序启动时，可能会在主机文件系统中增添文件读写的 共享功能。它可以通过在Windows注册表键的通信区域中建立注册表结构来使 用注册表。这个结构可以从
HKLM\Software\Microsoft\Windows\CurrentVersionWetworkAIanMan生成。然后 创建几个典型的新键供自身使用。它也可能访问HKLMXSecuritVovider来找机 器的安全信息帮助检测漏洞。而这些键不会被正常程序访问，这种使用自然 是可疑的。
后门2000: —个被植入"后门"客户程序的主机上这种程序会开放这个 漏洞来完成对计算机的控制。这种程序大量使用在注册表中，它使用了一个 Windows系统4艮少4吏用的4走HKLM\software\Microsoft\VBA\Monitersa这个键 在训练和测试中不会被正常程序访问。这样，我们可以把训练和测试中的访 问认作异常访问。这种程序也可能启动许多其它程序，如IoadWC.exe; Patch.exe; runonce.exe (常用的用来进行攻击的软件)等作为攻击的 一部分， 这些都应该被认为是对注册表的异常访问。
使诺顿Norton失效 一个使诺顿杀毒软件Norton Antivirus失效的注册表的 访问。这种攻击可以套牢一个注册表的记录键
HKLM\SOFTWARE\INTEL\LANDesk\VirusProtectG\CurrentVersion\Stomges\Fi les\System\RealTimeScan\OnOff。如果这个键值被设为0那么Norton Antivirus 实时监控系统被关闭。这种情况下，异常的原因是键值被不同的程序重写， 这类访问也应被认为是异常访问。
以上对注册表的正常和异常访问作了举例说明，可以理解的是本实施例 不是对所有正常和异常访问行为的穷举，因而上述举例不应理解为对本发明 实施例的限定。
可以对上述相关的恶意软件及恶意代码对注册表操作的一些提取，通过 对这些已知的并且进行过分析的针对注册表的恶意行为的处理，我们将这些 恶意行为进行特征的提取，并将它们保存在异常行为特征模型中，可以作为 异常行为特征模型中的原始数据。使用正常行为特征模型和异常的行为特征 模型，通过注册表访问行为与特征模型的比对得到所述注册表访问行为是否 为安全的访问，由于监控访问控制列表具有占用系统资源小的特点，实施例 可以在占用系统资源较小的条件实现检测到未知攻击，实现有效地防御恶意 攻击的目的。
经过对注册表正常和异常访问的分析，得到哪些访问是正常的，哪些访 问是异常的，用对注册表正常访问的行为建立正常行为特征模型，用对注册 表异常访问的行为建立异常行为特征模型；还可以使用异常分析算法对正常 行为特征模型和异常的行为特征模型进行扩充。
实施例三，本发明实施例还提供了使用异常分析算法对正常行为特征模 型和异常的行为特征模型进行扩充的方法。
在现有技术中有很多异常分析算法可以实现对正常行为特征模型和异常
的行为特征模型进行扩充；本实施例将提供使用一种启发式概率异常检测算
法(Probability Abnormity Detection, PAD)来进行扩充，该算法与其它算法
相比更为鲁棒。
如图3所示，扩充异常行为特征模型的步骤可以为 步骤301:使用异常检测算法对所述异常特征进行扩充， 步骤302:将扩充得到的异常特征保存在异常特征;漠型中。 正常行为特征模型的扩充方法与异常行为特征模型的扩充方法类似不再赘述。
一般说来， 一个原则性强的异常检测概率方法可以简化密度估计。如果 算法能在正常数据上估计一个密度函数p(x),那么就能够定义低概率发生的数 据元素是异常。在IDS的框架中，每一个特征有许多可能的值，例如关4建Key 特征在训练集中有超过30000的值。因为有这么多可能的相关特征值提取数据 记录，所以被涉及的数据集特征是稀疏的。
由于异常检测算法中的概率密度估计在稀疏数据上比较困难，可以通过 定义一致性检查来说明稀疏数据集上哪些记录是异常的。可以在正常数据上 定义一组一致性检查，每一个一致性检查可以被用到一个观测记录上。如果 记录不符合任何一个一致性检查，就把这个记录标明为异常集合模型中的一 个元素。
可以运用了两种一致性检测方法第一种是评价一个特征值是否与正常 数据集中观测到的特征值一致。把这种一致性类型认作是先觉的正常一致性 状态。例如每一个注册表记录可能被认为是5个随机变量的结果，XI， X2， X3 ， X4, X5。它们的一致性检查计算观测到的特征的可能性，可以表示为P(Xi)。 第二种， 一致性检查处理可以针对于特征对来进行，对于每一对特征来说，
每个特征都会以另 一个特征作为条件来产生又一个一致性检查的状态，这些 一致性检查被看作是又一个一致性检查的状态，可以表示为P(Xil Xj)。 注意，
对每一个Xj的值都有一个不同的Xi值的概率分布。在所给出的例子中，每一 个记录有5个特征值，这样有5个第一种一致性检查状态，20个第二种一致性 检查状态。如果任何一个一致性检查状态的概率小于一定阄值，就把这个记 录标定为异常，把它放到异常模型里。
为了有效地计算P(Xi)和P(Xi I Xj)概率，可以使用Friedman和Singer提出的
评估器，它明确地估计了观测以前没有观测到的元素的概率。如果元素i被观 测到，则使用公式P(X一)-^^C进行计算。否则，如果元素i没有被预先
观测到，则使用公式尸(1 = /)=C)进行计算。
丄一 A:。
其中，a是对每一个元素的预先计数；7V,是i被观测到的次数；N是观测 到的总数；kO是不同的被观测到的元素数目；L是可能的元素或者字符规模的 总数；C是规模参数，它考虑了有多大可能观测到与观测不到元素相对的预先 观测到的元素。
通过概率评估器的计算，可以得到两个有非零概率元素的子集。通过对恶 意行为和基本的正常行为的分析，并根据概率评估器对的计算，建立正常行 为特征模型和异常行为特征模型，两个模型分别表示正常行为和异常行为的 特征检测的概率以及相应的阈值的范围，在后续的检测中，当监控到相关的 操作后根据模型来进行验证。此算法标明的每一个注册表访问不是正常的就 是异常的。在某一处，程序可能有几个到几千个注册表访问，这时可能许多 攻击被大量的记录描述，这些记录中的一些记录会被认为是异常的。这些被 认为是异常的记录被认为是异常的原因，有的是因为它们有与正常数据相比 具有不一致的特征值；有的是因为它们与正常数据组合相比具有不一致的特 征组合，即使单个特征都是正常的。
异常行为特征模型和正常行为特征模型原始数据建立后，可以根据这两个 模型来完成对正常行为和异常行为的辨别，但是由于存在大量的恶意代码的 攻击行为，并且我们不可能对所有的恶意代码的攻击行为进行仔细的分析，
因为这种全面分析将是海量数据的处理，所以经过分析并提取的恶意行为只 是较小的一部分，可以使用异常行为模型中的原始数据，通过异常行为分析 算法在设置较高的阈值的情况下进行处理，来保证恶意行为的准确提取，并 对异常数据进行了有效的添加和扩充。上述较高的阈值在实验过程中使用了
8.497072和6.44408,实验结果表明使用较高阈值时会对恶意行为进行准确提 取，但是可能会产生漏报，使用较低阈值时会检测出较多的攻击行为，但是 会导致误报率的产生，这里需要根据实际需要进行设置，当安全性要求高时 将所述阈值设置低些，安全性要求低时将所述阈值设置高些。
使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充 后，能够更准确地检测访问行为是否安全，提高了检测的可靠性。
实施例四，本发明实施例还提供了判断未知类型异常的分类方法。 完成异常行为特征模型和正常行为特征模型后，可以使用模糊集、曲线 拟合、神经网络相关等算法进行计算和分类，本发明将以贝叶斯Bayes算法进 行分类为例进行介绍。
设X为一个类别未知的检测样本，H为某个假设，若数据样本X属于一个 特定的类别C，那么分类问题就是决定P(HIX),即在获得检测样本X时，H假 设成立的概率。
P(H|X)是事后概率或为建立在X(条件)之上的H概率。例如假设检测样 本是一次对注册表的访问，描述对注册表属性和键值的访问是否成功。假设X 为打开程序和缓冲溢出，H为X是一个入侵的假设，则P(HIX)表示在已知X是 打开程序和緩冲溢出时，确定X为一个入侵的H假设成立的概率；相反，P(H) 为事前概率，在上述例子中，P(H)就表示任意一个数据对象，它是一次入侵 的概率。无论访问是何种键值和访问是否成功。与P(H)相比，P(HIX)是建立在 更多信息基础之上的；而P(H)则与X无关。
类似的，P(XIH)是建立在H基础之上的X成立概率。也就是说若已知H 是一次入侵，那它是打开程序和緩沖溢出的概率可表示为P(XIH)。
由于P (X), P(H)和P(XIH)的概率值可以从分类所得到的数据集合中得到， 贝叶斯定理则描述了如何根据P(X) ,P(H)和P(XIH)计算获得的P(HIX),具体公
<formula>formula see original document page 12</formula>
如图四所示，贝叶斯分类器进行分类才喿作处理的步骤可以为
步骤401:每个数据样本均可以由一个n维特征向量X二 {xl, x2，…，xn)来描 述其11个属性(八1^2,..，入11)的具体取值。
步骤402: ^i殳共有m个不同类别，C1，C2，...， Cm。给定一个未知类别的数 据样本X，分类器在已知X的情况下，预测X属于事后概率最大的那个类别。 也可以理解为贝叶斯分类器将未知类别的样本X归属到类别Ci，其中类别Ci 被称为最大事后概率的假设
<formula>formula see original document page 12</formula>
也就是P(c,lx)最大。其中的类别c,就成为最大事后概率的假设。根据公
式:
<formula>formula see original document page 12</formula>
由于P(X)对于所有的类别都是相同的，因此将P(X I C,)P(C,)取最大值即可。
由于类别的事前概率是未知的，因此，通常假设各类别出现的概率相同。
对于上述公式取最大实际上只需要求P(XIC,)最大即可。而类别的事前概率一 般可以通过P(C,)^,/s公式进行估算，其中si为训练样本集合中类别Ci的个数， s是整个训练样本集合的大小。我们可以把类别分为正常模型和异常模型两类， 也就是只需要分为C1,C2即可。
步骤403:为实现对P(XICi)的有效估算，贝叶斯分类器假设各类别是相互 独立的，即各属性的取值是相互独立的。对于特定的类别，其各属性相互独
立，有尸(X I C,) = I C,)，我们根据训练数据样本估算户(x， I C,),
P(jc2lC,),…，P(xJC,)值，具体处理方法可以为
由于数据集中的数据是离散量，这里我们根据P(xiklCi,)=sik/si计算，这 里sik为训练样本中类别为Ci，且属性Ak取vk值的样本数，si为训练样本中类
别为Ci的样本数。
步骤404:为预测一个未知样本X的类别，可对每个类别Ci估算相应的 P(X|Ci) P(Ci)。样本X归属类别Ci，当JM义当P(Ci|X )>P(Cj|X) 1《7《mJW
根据该样本所归属的类别就可以判断，该样本属于正常的行为还是异常 的行为。
大多数的恶意行为都会对系统的注册表进行访问并且有较多的规律性， 使用上述实施例的方法对大量的样本进行分析，能够对存在的恶意行为进行 有效的提取异常特征，对未知类型的攻击也能做出准确的判断，为监控访问 行为的有效性l是供了保障。
实施例五，本发明实施例还提供了基本贝叶斯方法对基于注册表访问的 异常检测方法，如图5所示，可以包括以下步骤
步骤501:根据对注册表访问数据集的釆样形成相应的特征向量来描述其 具体的属性取值。
步骤502:因为己知只有两个类别正常和异常，只需要计算最后得到的 概率值更接近哪一个就可以了 。
步骤503:确定访问的性质，当所述概率更接近正常则属于正常访问特征 模型，当所述概率更接近异常则属于异常访问特征模型。
由于恶意程序和正常程序对注册表的访问所产生的结果都是相互独立 的，该特征完全合乎贝叶斯方法的要求。
上述异常检测算法以及贝叶斯算法都是非常成熟的算法，这两种算法的 执行效率较高，对恶意行为的监控效率较高；同时由于对注册表的监控较为 简便宜行也会有效的提高该系统的效率，在相对降低系统效率较少的情况下 达到了有效监控的目的。
上述方法对正常行为特征模型和异常行为特征模型进行有效的建模，所 以对已知存在的恶意行为能够有效地进行;险测，对于未知的恶意行为，通过 使用贝叶斯算法的有效计算和匹配，也能够很大程度上进行告警，有效地降 低了监控过程的漏报和误报。
实施例六，如图6所示，本发明实施例还提供了一种异常;f全测装置，包括
监控单元601:用于对软件访问注册表的行为进行监控；
判断单元602:用于当所述软件访问注册表的行为属于异常行为特4正^t型 和/或不属于正常行为特征模型时，确定所述软件为恶意软件；或者，当所述 软件访问注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型 时，确定所述软件为正常软件；所述正常行为特征模型为对注册表正常访 问建模得到，异常行为特征模型为对注册表异常访问建模得到。
上述实施例通过建立对注册表的正常和/或异常访问行为特征^t型，然后 通过监控软件对注册表的访问行为与正常和/或异常访问特征模型比对，检测 出恶意攻击，由于对注册表的监控占用资源比较小，由于恶意软件具有的异 常访问行为具有异常访问^t型中的通性，可以判断新产生的恶意程序，而不 需要更新签名库；综上所述，上述实施例可以在占用系统资源较小的条件实 现检测到未知攻击，实现有效地防御恶意攻击的目的。
实施例七，如图7所示，上述实施例六所述装置还可以包括
异常特征提取单元701,用于对异常访问注册表的行为进行特征提取得到 异常特征；
建异常模型单元702,用于将所述提取到的异常特征保存在异常行为特征 模型中，得到异常行为特征模型。
使用正常行为特征模型和异常的行为特征模型，通过注册表访问行为与 特征模型的比对得到所述注册表访问行为是否为安全的访问，由于监控访问 控制列表具有占用系统资源小的特点，实施例可以在占用系统资源较小的条 件实现检测到未知攻击，实现有效地防御恶意攻击的目的。
实施例八，如图8所示，实施例6所述装置还可以包括
扩充单元801,用于使用异常检测算法对所述异常特征进行扩充，并将扩 充得到的异常特征保存在异常特征^f莫型中。
使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充 后，能够更准确地检测访问行为是否安全，提高了检测的可靠性。
实施例九，如图9所示，实施例6所述装置还可以包括
概率计算单元901,用于对监控到的软件访问注册表的行为进行概率计
访问判断单元902,用于当所述概率更靠近异常行为特征时确定所述访问
为异常访问，当所述概率更靠近正常行为特征时确定所述访问为正常访问。
上述概率计算可以使用如异常检测算法以及贝叶斯算法等成熟和执行效
率较高的算法，这样对恶意行为的监控效率较高；同时由于对注册表的监控
较为简便宜行也会有效的提高该系统的效率，在相对降低系统效率较少的情
况下达到了有效监控的目的。
实施例十，如图10所示，本发明实施例还提供了一种异常检测系统，包
括
注册表IOOI,异常4全测装置1002;
异常检测装置1002,用于监控软件访问注册表1001的行为；当所述软件 访问注册表1001的行为属于异常行为特征模型和/或不属于正常行为特征模型 时，确定所述软件为恶意软件；所述正常行为特征模型是通对所述注册表IOOI 正常访问建模得到的，所述异常行为特征模型是通过对所述注册表1001异常 访问建模得到的。
上述实施例通过建立对注册表IOOI的正常和/或异常访问行为特征模型， 然后通过监控软件对注册表IOOI的访问行为与正常和/或异常访问特征模型比 对，检测出恶意攻击，由于对注册表1001的监控占用资源比较小，由于恶意 软件具有的异常访问行为具有异常访问模型中的通性，可以判断新产生的恶 意程序，而不需要更新签名库；综上所述，上述实施例可以在占用系统资源 较小的条件实现检测到未知攻击，实现有效地防御恶意攻击的目的。
所述异常检测装置1002，还可以用于对异常访问注册表1001的行为进行 特征4是取以得到异常特征；保存所述异常特征，得到异常行为特征^f莫型。
使用正常行为特征模型和异常的行为特征模型，通过注册表1001访问行 为与特征模型的比对得到所述注册表1001访问行为是否为安全的访问，由于 监控访问控制列表具有占用系统资源小的特点，实施例可以在占用系统资源 较小的条件实现检测到未知攻击，实现有效地防御恶意攻击的目的。
所述异常检测装置1002,还可以用于使用异常检测算法对所述异常特征 进行扩充，并将扩充得到的异常特征保存在异常行为特征模型中。
使用异常分析算法对正常行为特征模型和异常的行为特征模型进行扩充 后，能够更准确地检测访问行为是否安全，提高了检测的可靠性。
所述异常检测装置1002,还可以用于对监控到的软件访问注册表1001的
行为进行概率计算，所述概率为正常访问特征或异常访问特征的概率；当所 述概率更靠近异常行为特征时确定所述软件访问注册表1001的行为为异常访 问，当所述概率更靠近正常行为特征时确定所述软件访问注册表1001的行为 为正常i方问。
上述概率计算可以使用如异常检测算法以及贝叶斯算法等成熟和执行效 率较高的算法，这样对恶意行为的监控效率较高；同时由于对注册表1001的 监控较为简便宜行也会有效的提高该系统的效率，在相对降低系统效率较少 的情况下达到了有效监控的目的。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于 一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。
以上对本发明实施例所提供的异常检测方法、装置及系统进行了详细介
域的一般技术人员，依据本发明的思想，在具体实施方式
及应用范围上均会 有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
权利要求
1、一种异常检测方法，其特征在于，包括监控软件访问注册表的行为；当所述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；所述正常行为特征模型是通对所述注册表正常访问建模得到的，所述异常行为特征模型是通过对所述注册表异常访问建模得到的。
2、 根据权利要求l所述方法，其特征在于，所述对注册表异常访问建模 的步骤为对异常访问所述注册表的行为进行特征提取以得到异常特征； 保存所述异常特征，得到异常行为特征模型。
3、 根据权利要求2所述方法，其特征在于，得到异常特征之后还包括 使用异常检测算法对所述异常特征进行扩充，并将扩充得到的异常特征保存在异常行为特征模型中。
4、 根据权利要求1至3任意一项所述方法，其特征在于，当得到异常行为 特征模型和正常行为特征模型之后还包括对监控到的软件访问所述注册表的行为进行概率计算，所述概率为正常 访问特征或异常访问特征的概率；当所述概率更靠近异常行为特征时确定所述软件访问所述注册表的行为 为异常访问，当所述概率更靠近正常行为特征时确定所述软件访问所述注册 表的行为为正常访问。
5、 一种异常检测装置，其特征在于，包括 监控单元用于对软件访问注册表的行为进行监控；判断单元用于当所述软件访问所述注册表的行为属于异常行为特征才莫 型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；其中，所述正常行为特征模型是通对所述注册表正常访问建模得到的， 所述异常行为特征模型是通过对所述注册表异常访问建模得到的。
6、 根据权利要求5所述装置，其特征在于，还包括 异常特征提取单元，用于对异常访问所述注册表的行为进行特征提取以得到异常特征；建异常模型单元，用于保存所述异常特征，得到异常行为特征模型。
7、 根据权利要求5所述装置，其特征在于，还包括扩充单元，用于使用异常检测算法对所述异常特征进行扩充，并将扩充 得到的异常特征保存在异常特征模型中。
8、 根据权利要求5至7任意一项所述装置，其特征在于，还包括 概率计算单元，用于对监控到的软件访问所述注册表的行为进行概率计访问判断单元，用于当所述概率更靠近异常行为特征时确定所述访问为 异常访问，当所述概率更靠近正常行为特征时确定所述访问为正常访问。
9、 一种异常检测系统，其特征在于，包括 注册表，异常检测装置；其中，所述异常检测装置，用于监控软件访问所述注册表的行为；当所 述软件访问所述注册表的行为属于异常行为特征模型和/或不属于正常行为特 征模型时，确定所述软件为恶意软件；所述正常行为特征模型是通过对所述 注册表正常访问建模得到的，所述异常行为特征模型是通过对所述注册表异 常访问建模得到的。
10、 根据权利要求9所述系统，其特征在于，所述异常检测装置，还用于对异常访问所述注册表的行为进行特征提取 以得到异常特征；保存所述异常特征，得到所述异常行为特征模型。
11、 根据权利要求10所述系统，其特征在于，所述异常检测装置，还用于使用异常检测算法对所述异常特征进行扩充， 并将扩充得到的异常特征保存在异常行为特征模型中。
12、 根据权利要求9至11所述系统，其特征在于，所述异常检测装置，还用于对监控到的软件访问注册表的行为进行概率 计算，所述概率为正常访问特征或异常访问特征的概率；当所述概率更靠近 异常行为特征时确定所述软件访问所述注册表的行为为异常访问，当所述概 率更靠近正常行为特征时确定所述软件访问所述注册表的行为为正常访问。
全文摘要
本发明实施例公开了一种异常检测方法、装置及系统。其中方法实施例可以为对软件访问注册表的行为进行监控；当所述软件访问注册表的行为属于异常行为特征模型和/或不属于正常行为特征模型时，确定所述软件为恶意软件；或，当所述软件访问注册表的行为不属于异常行为特征模型和/或属于正常行为特征模型时，确定所述软件为正常软件；所述正常行为特征模型为对注册表正常访问建模得到，异常行为特征模型为对注册表异常访问建模得到。由于对注册表的监控占用资源较小，恶意软件具有异常访问行为的通性，可以判断新的恶意程序，不需要更新签名库；综上所述上述实施例可以在占用系统资源较小的条件实现检测到未知攻击，达到防御恶意攻击的目的。
文档编号H04L12/26GK101360023SQ20081021200
公开日2009年2月4日 申请日期2008年9月9日 优先权日2008年9月9日
发明者巍 崔, 欢 杜, 杨玉奇, 白皓文, 顾凌志 申请人:成都市华为赛门铁克科技有限公司