[发明专利]检测异常事件的系统和方法

权利要求书

1.一种用于检测在计算设备的操作系统中发生的异常事件的方法，所述方法包括：

在执行软件进程期间，检测在所述计算设备的所述操作系统中发生的至少一个事件；

确定在执行所述软件进程期间检测到的在所述操作系统中发生的所述至少一个事件的上下文，其中，确定所述上下文包括确定以下至少一者：

包含在检测到的所述至少一个事件发生的时刻正在执行的代码的所述软件进程的地址空间的转储；

与从至少最后分支记录和分支轨迹存储的跳转相关的数据；以及

在检测到的所述至少一个事件发生之前在所述软件进程中加载的可执行的软件程序代码的列表；

基于所确定的检测到的所述至少一个事件的所述上下文的选择的特征，形成检测到的所述至少一个事件的卷积；

通过轮询包含与在多个客户端设备中发生的多个检测到的事件的频率相关的数据的数据库，确定所形成的检测到的所述至少一个事件的所述卷积的普及度，所述多个检测到的事件与检测到的所述至少一个事件相对应；以及

如果所确定的所述普及度小于阈值，则确定检测到的所述至少一个事件是异常事件。

2.根据权利要求1所述的方法，其中，确定检测到的所述至少一个事件的上下文包括：确定在检测到的所述至少一个事件发生时刻的调用堆栈，其中，所述调用堆栈提供以下至少一者：在所述时刻正在执行的程序和正在执行的函数的列表、包含所述程序和所述函数的模块的列表、以及正在传输至所述模块的所有参数的数据类型和所有参数的值。

3.根据权利要求1所述的方法，其中，形成检测到的所述至少一个事件的所述卷积包括以下至少一者：量化所确定的所述上下文的选择的所述特征、对所确定的所述上下文的选择的所述特征进行排序、合并所确定的所述上下文的选择的所述特征、对所确定的所述上下文的选择的所述特征进行分组、配置所确定的所述上下文的选择的所述特征的数据集、对所确定的所述上下文的选择的所述特征的值进行表格化、计算所确定的所述上下文的选择的所述特征的值、对所确定的所述上下文的选择的所述特征进行数据编码、以及归一化所确定的所述上下文的选择的所述特征。

4.根据权利要求1所述的方法，还包括：

通过将所确定的所述上下文的选择的所述特征卷积成字符串来生成散列值，以形成检测到的所述至少一个事件的所述卷积；以及

通过将生成的所述散列值与所述数据库中的散列值列表进行比较以确定在所述多个客户端设备中发生的所述多个检测到的事件的所述频率，来确定所形成的所述卷积的所述普及度。

5.根据权利要求1所述的方法，还包括：

通过将所确定的所述上下文的选择的所述特征卷积成坐标值来生成向量，以形成检测到的所述至少一个事件的所述卷积；以及

通过将生成的向量值与所述数据库中的向量列表进行比较以确定在所述多个客户端设备中发生的所述多个检测到的事件的所述频率，来确定所形成的所述卷积的所述普及度。

6.根据权利要求1所述的方法，还包括：

将所形成的检测到的所述至少一个事件的所述卷积与先前形成的安全事件的卷积的列表进行比较；以及

如果所形成的检测到的所述至少一个事件的所述卷积不在所述先前形成的安全事件的卷积的列表上，则确定检测到的所述至少一个事件为异常事件。

7.根据权利要求1所述的方法，其中，所述多个检测到的事件的所述频率包括以下至少一者：在检测到所述至少一个事件的当前时刻的所述多个检测到的事件的总数、以及在所述当前时刻各自经历检测到的所述至少一个事件的客户端设备的总数。

8.根据权利要求1所述的方法，其中，轮询所述数据库包括以下至少一者：轮询与在所有可访问的子网内的第一多个客户端设备相关联的全局数据库，以及轮询与在设备的单个子网内的第二多个客户端设备相关联的局部数据。

9.根据权利要求1所述的方法，还包括：当检测到的所述至少一个事件被确定为是异常事件时，删除和/或隔离所述软件进程。