【技術實現步驟摘要】
本專利技術涉及電數字數據處理,具體涉及一種基于系統調用的應用程序行為度量方法及系統。
技術介紹
1、在當今數字化時代,計算機應用程序已成為人們日常生活和工作不可或缺的一部分。隨著應用程序的廣泛普及和功能的不斷擴展,其安全性問題也日益凸顯;惡意軟件、網絡攻擊、數據泄露等安全事件頻發,給個人、企業和國家的信息安全帶來了巨大威脅,因此,如何有效地檢測和度量目標應用程序的行為,及時發現并阻止潛在的安全風險,成為了計算機安全領域亟待解決的重要問題。
2、傳統的目標應用程序行為檢測與度量方法主要依賴于靜態代碼分析、基于簽名的檢測以及網絡流量分析等;然而,這些方法在實際應用中存在著諸多局限性,靜態代碼分析雖然能夠提前發現潛在的安全漏洞,但難以應對運行時的動態變化和惡意代碼注入;基于簽名的檢測方法依賴于已知的惡意模式庫,對于新型或變種的攻擊手段往往束手無策;網絡流量分析則主要關注網絡層面的行為,對于應用層面的行為檢測能力有限。
3、系統調用作為操作系統與目標應用程序之間的橋梁,是目標應用程序執行過程中不可或缺的一部分,每個系統調用都代表著目標應用程序對操作系統資源的請求或操作,因此,系統調用序列中蘊含著豐富的行為信息,通過分析系統調用序列,可以深入了解目標應用程序的運行狀態和潛在的安全風險。近年來,基于系統調用的應用程序行為檢測與度量方法逐漸成為研究熱點,然而,基于系統調用的應用程序行為檢測與度量并非易事,首先,系統調用種類繁多,不同類型的系統調用具有不同的語義和行為特征,如何準確提取出與目標應用程序行為相關的關鍵特征是
技術實現思路
1、本專利技術的目的在于提供一種基于系統調用的應用程序行為度量方法及系統,以克服現有技術中存在的問題,本專利技術能夠通過實時監控和分析系統調用序列,在短時間內完成對目標應用程序行為的檢測與度量,提高檢測效率;基于行為特征提取和行為模式識別技術,能夠準確地識別出目標應用程序的異常行為,降低誤報率和漏報率;通過定義一套完整的行為度量指標,能夠全面反映目標應用程序的行為特征,為安全分析和風險評估提供有力支持。
2、為達到上述目的,本專利技術所采用的技術方案如下:
3、第一方面,本專利技術提供了一種基于系統調用的應用程序行為度量方法,包括以下步驟:
4、實時監控目標應用程序在執行過程中產生的系統調用序列;
5、對系統調用序列進行預處理,然后對預處理后的系統調用序列采用行為特征提取算法,提取與目標應用程序行為相關的關鍵行為特征;
6、將關鍵行為特征輸入到預先訓練好的行為模式識別模型中,通過行為模式識別模型識別出目標應用程序的異常行為模式;
7、根據預設的行為度量指標,對行為模式識別模型識別出的異常行為模式進行量化評估,生成行為度量報告;
8、進一步地,所述實時監控包括如下至少一項:
9、在系統調用表中替換目標應用程序相對應的系統調用的指針,使指針指向自定義的監控函數,實現實時監控;
10、利用系統調用監控工具實現實時監控;
11、進一步地,所述修改操作系統內核包括:在系統調用表中替換目標應用程序相對應的系統調用的指針,使指針指向自定義的監控函數;
12、所述系統調用監控工具包括:系統追蹤器和系統探針;
13、進一步地,所述預處理包括:去除冗余信息和規范化數據;
14、進一步地,所述行為特征提取算法包括頻繁模式挖掘算法和序列比對算法;
15、進一步地,所述行為模式識別模型的訓練包括:數據準備和模型訓練;
16、進一步地,所述數據準備包括:收集系統調用序列,使行為模式識別模型學習到已知為正常的行為特征,然后在系統調用序列中標注異常的行為特征,使行為模式識別模型學習到異常的行為特征,得到準備好的數據,準備好的數據為正常的行為特征和異常的行為特征;
17、所述模型訓練包括:將準備好的數據劃分為訓練集和測試集,設置行為模式識別模型的各個參數,使用訓練集對行為模式識別模型進行訓練,然后使用測試集計算行為模式識別模型的各項指標,根據各項指標對訓練好的行為模式識別模型進行評估,再根據評估結果,對行為模式識別模型的參數和數據量進行調優,得到訓練好的行為模式識別模型;
18、進一步地,所述預設的行為度量指標為:系統調用頻率、系統調用序列長度、系統調用響應時間、資源消耗指標和異常行為指標;
19、所述量化評估包括:持續收集目標應用程序的系統調用異常數據,然后針對預設的行為度量指標,對收集到的系統調用異常數據進行分析,再將分析得到的數據與系統調用頻率、系統調用序列長度、系統調用響應時間和資源消耗指標進行比較;
20、進一步地,所述行為度量報告包括:目標應用程序行為的量化評分、異常行為模式的具體描述和風險等級描述。
21、第二方面,本專利技術提供了一種基于系統調用的應用程序行為度量系統,包括:
22、系統調用監控模塊:用于實時監控目標應用程序在執行過程中產生的系統調用序列;
23、行為特征提取模塊:用于對系統調用序列進行預處理,然后對預處理后的系統調用序列采用行為特征提取算法,提取與目標應用程序行為相關的關鍵行為特征;
24、行為模式識別模塊:用于將關鍵行為特征輸入到預先訓練好的行為模式識別模型中,通過行為模式識別模型識別出目標應用程序的異常行為模式;
25、行為度量模塊:用于根據預設的行為度量指標,對行為模式識別模型識別出的異常行為模式進行量化評估,生成行為度量報告。
26、上述技術方案具有如下優勢或者有益效果:
27、第一方面,本專利技術提供了一種基于系統調用的應用程序行為度量方法,通過實時監控目標應用程序在執行過程中產生的系統調用序列,能夠及時發現并識別出潛在的安全威脅或惡意行為,有助于防御諸如惡意軟件、病毒、木馬等安全攻擊,提升系統的整體安全性;利用行為特征提取算法和預先訓練好的行為模式識別模型,可以更加精準地從復雜的系統調用中提取并識別出與目標應用程序正常行為不符的異常行為模式,有助于減少誤報和漏報,提高安全檢測的效率和準確性;通過預設的行為度量指標對識別出的異常行為模式進行量化評估,能夠生成詳細且具體的行為度量報告,不僅能夠幫助用戶或安全管理系統了解目標應用程序的具體風險情況,還能夠為后續的安全分析和風險評估提供有力的數據支持;本專利技術方法使得目標應用程序的行為變得可觀測、可度量和可管理,通過實時監控和報告機制,用戶或安全管理系統可以清晰地了解目標應用程序的運行狀態和潛在風險,從而采取相應的安全措施來增強系統的可控性和穩定性;一旦發現異常行為模式,系統可以立即生成報告并通知用戶或安本文檔來自技高網...
【技術保護點】
1.一種基于系統調用的應用程序行為度量方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述實時監控包括如下至少一項:
3.根據權利要求2所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述系統調用監控工具包括:系統追蹤器和系統探針。
4.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述預處理包括:去除冗余信息和規范化數據。
5.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述行為特征提取算法包括頻繁模式挖掘算法和序列比對算法。
6.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述行為模式識別模型的訓練包括:數據準備和模型訓練。
7.根據權利要求6所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述數據準備包括:收集系統調用序列,使行為模式識別模型學習到已知為正常的行為特征,然后在系統調用序列中標注異常的行為特征,使行為模式識別模型學習到異常的行為
8.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述預設的行為度量指標為:系統調用頻率、系統調用序列長度、系統調用響應時間、資源消耗指標和異常行為指標;
9.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述行為度量報告包括:目標應用程序行為的量化評分、異常行為模式的具體描述和風險等級描述。
10.一種基于系統調用的應用程序行為度量系統,其特征在于,包括:
...【技術特征摘要】
1.一種基于系統調用的應用程序行為度量方法,其特征在于,包括以下步驟:
2.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述實時監控包括如下至少一項:
3.根據權利要求2所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述系統調用監控工具包括:系統追蹤器和系統探針。
4.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述預處理包括:去除冗余信息和規范化數據。
5.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述行為特征提取算法包括頻繁模式挖掘算法和序列比對算法。
6.根據權利要求1所述的一種基于系統調用的應用程序行為度量方法,其特征在于,所述行為模式識別模型的訓練包括:數據準備和模型訓練。
<...【專利技術屬性】
技術研發人員:付寧,楊淵,李學滿,楊春,李心怡,曾亮,湯福,李家港,雷超,楊柳,張軍,張昇,鐘慶堯,孫廣慶,潘樂,
申請(專利權)人:西安熱工研究院有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。