[发明专利]使用系统调用序列的异常检测

说明书

提供了在基于消息的操作系统中检测调用序列异常的系统和方法。可以接收指示调取操作系统的编程流程的消息。该消息可以包括编程流程标识符、发送方进程标识符和接收方进程标识符。可以基于该消息生成调取散列。可以将调取散列翻译为较小的调取标识符。调取标识符可以包括在已翻译的调用序列中，该已翻译的调用序列包括一系列调取的调取标识符。取决于已翻译的调用序列是否包括在先前生成的预定的调用序列中，该已翻译的调用序列可以被确定为异常或非异常。

技术领域

本申请涉及调用序列异常检测，具体涉及操作系统调用中的异常检测。

背景技术

在基于消息的操作系统中，操作系统的大多数编程流程的调用(call)或调取(invocation)涉及消息传递系统。在基于消息的操作系统中，操作系统的编程流程的调取可导致对应的消息通过消息传递系统从发送方进程传递给接收方进程。

在一些示例中，消息传递系统在微内核中实现。微内核可以提供实现操作系统所需的相对少量的服务。例如，微内核的服务可以包括低级地址空间管理、进程管理和进程间通信(IPC)。消息传递系统可以是进程间通信服务的一部分。

进程是正在执行的计算机程序的实例。在一些操作系统中，进程可以由同时执行指令的多个执行线程组成。

附图说明

参考以下附图和描述可以更好地理解实施例。图中的组件不一定按比例绘制。此外，在附图中，相同的附图标记在不同视图中表示对应的部件。

图1示出了在基于消息的操作系统中检测调用序列异常的系统的示例；

图2示出了示例消息；

图3示出了示例简档；

图4示出了用于检测调用序列异常的系统的示例逻辑的流程图；以及

图5示出了包括存储器和处理器的系统的示例。

具体实施方式

提供了用于检测基于消息的操作系统中的调用序列异常的方法和系统。可以通过本文描述的方法和系统来检测软件攻击或其它异常。甚至可以检测到对以前未知的软件漏洞(称为零日攻击)的攻击。其它检测到的异常可能包括例如软件缺陷或其它不常见的事件，诸如硬件故障和超时。

图1示出了用于在基于消息的操作系统(OS)102中检测调用序列异常的系统100的示例。系统100可以包括在OS 102内执行的异常检测器104，或者替代地，如图1中所示，作为在OS 102外部执行的进程。OS 102通过处理来自一个或多个进程106(图1中指定为P1、P2和P3)的对应消息来处理操作系统调用的调取。顺便提及，当异常检测器104作为OS 102外部的进程运行时，OS 102还处理由异常检测器104做出的操作系统调用的调取。OS 102还可以通过类似机制处理进程间通信，通过软件总线108在进程106之间传递消息。在一些示例中，OS 102可以包括微内核110，微内核110实现OS102的消息传递功能。

除了进程间通信之外，OS 102可以在一些实现方式中处理节点间通信。例如，OS102、进程106和异常检测器104可以包括在第一节点112上，而第二节点114可以包括操作系统和一个或多个进程。第一节点112上的任何一个或多个进程106可以通过将消息传递给第一节点112的OS102来与第二节点114上的目标进程通信，该第一节点将消息传递给第二节点114上的目标进程。

节点112、114可以在同一设备上，或者替代地，在通过网络进行通信的单独物理设备上。每个节点可以是服务器的实例、虚拟机的实例、计算设备或网络上的任何其它设备，其中设备可以是真实的或虚拟的。