(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109145592A(43)申请公布日2019.01.04(21)申请号201710979748.4(51)Int.Cl.(22)申请日2017.10.19G06F21/55(2013.01)(30)优先权数据20171211202017.06.16RU15/720,3342017.09.29US(71)申请人卡巴斯基实验室股份制公司地址俄罗斯莫斯科(72)发明人阿列克谢·V·莫纳斯蒂尔斯基米哈伊尔·A·帕夫尤什切克阿列克谢·M·罗曼恩科马克西姆·Y·戈洛夫金(74)专利代理机构北京同达信恒知识产权代理有限公司11291代理人黄志华何月华权利要求书3页说明书10页附图5页(54)发明名称检测异常事件的系统和方法(57)摘要本发明涉及检测异常事件的系统和方法，特别地提供了一种用于检测在计算设备的操作系统中发生的异常事件的系统和方法。示例性的方法包括：在执行软件进程期间，检测在计算设备的操作系统中发生的事件。此外，该方法包括：确定检测到的事件的上下文并基于所确定的检测到的事件的上下文的选择的特征形成检测到的事件的卷积。另外，该方法包括：通过轮询包含与在网络中的客户端设备中发生的检测到的事件的频率相关的数据的数据库来确定所形成的卷积的普及度，其中，客户端设备的检测到的事件对应于计算设备中的检测到的事件。如果所确定的普及度小于阈值，则该方法确定检测到的事件是异常事件。CN109145592ACN109145592A权利要求书1/3页1.一种用于检测在计算设备的操作系统中发生的异常事件的方法，所述方法包括：在执行软件进程期间，检测在所述计算设备的所述操作系统中发生的至少一个事件；确定在执行所述软件进程期间检测到的在所述操作系统中发生的所述至少一个事件的上下文；基于所确定的检测到的所述至少一个事件的所述上下文的选择的特征，形成检测到的所述至少一个事件的卷积；通过轮询包含与在多个客户端设备中发生的多个检测到的事件的频率相关的数据的数据库，确定所形成的检测到的所述至少一个事件的所述卷积的普及度，所述多个检测到的事件与检测到的所述至少一个事件相对应；以及如果所确定的所述普及度小于阈值，则确定检测到的所述至少一个事件是异常事件。2.根据权利要求1所述的方法，其中，确定检测到的所述至少一个事件的上下文包括：确定在检测到的所述至少一个事件发生时刻的调用堆栈，其中，所述调用堆栈提供以下至少一者：在所述时刻正在执行的程序和正在执行的函数的列表、包含所述程序和所述函数的模块的列表、以及正在传输至所述模块的所有参数的数据类型和所有参数的值。3.根据权利要求1所述的方法，其中，确定检测到的所述至少一个事件的上下文包括确定以下至少一者：包含在检测到的所述至少一个事件发生的时刻正在执行的代码的所述软件进程的地址空间的转储、与从至少最后分支记录和分支轨迹存储的跳转相关的数据、以及在检测到的所述至少一个事件发生之前在所述软件进程中加载的模块的列表。4.根据权利要求1所述的方法，其中，形成检测到的所述至少一个事件的所述卷积包括以下至少一者：量化所确定的所述上下文的选择的所述特征、对所确定的所述上下文的选择的所述特征进行排序、合并所确定的所述上下文的选择的所述特征、对所确定的所述上下文的选择的所述特征进行分组、配置所确定的所述上下文的选择的所述特征的数据集、对所确定的所述上下文的选择的所述特征的值进行表格化、计算所确定的所述上下文的选择的所述特征的值、对所确定的所述上下文的选择的所述特征进行数据编码、以及归一化所确定的所述上下文的选择的所述特征。5.根据权利要求1所述的方法，还包括：通过将所确定的所述上下文的选择的所述特征卷积成字符串来生成散列值，以形成检测到的所述至少一个事件的所述卷积；以及通过将生成的所述散列值与所述数据库中的散列值列表进行比较以确定在所述多个客户端设备中发生的所述多个检测到的事件的所述频率，来确定所形成的所述卷积的所述普及度。6.根据权利要求1所述的方法，还包括：通过将所确定的所述上下文的选择的所述特征卷积成坐标值来生成向量，以形成检测到的所述至少一个事件的所述卷积；以及通过将生成的向量值与所述数据库中的向量列表进行比较以确定在所述多个客户端设备中发生的所述多个检测到的事件的所述频率，来确定所形成的所述卷积的所述普及度。7.根据权利要求1所述的方法，还包括：将所形成的检测到的所述至少一个事件的所述卷积与先前形成的安全事件的卷积的2CN109145592A权利要求书2/3页列表进行比较；以及如果所形成的检测到的所述至少一个事件的所述卷积不在所述先前形成的安全事件的卷积的列表上，则确定检测到的所述至少一个事件为异常事件。8.根据权利要求1所述的方法，其中，所述多个检测到的事件的