[发明专利]一种基于序列模式的异常行为跟踪装置及方法

权利要求书

1.一种基于序列模式的异常行为跟踪装置，其特征在于，包括挂钩模块、序列模式抓取模块、序列模式生成模块和用户操作统计模块；

所述挂钩模块用于挂钩API；

所述序列模式抓取模块用于订阅API调用信息，以及对API调用信息进行序列化处理生成序列数据；

所述序列模式生成模块用于对序列模式抓取模块传递的序列数据进行挖掘生成序列模式，以及基于调用频率进行统计，生成统计表；

所述用户操作统计模块用于设定参数，包括设定挂钩模块要挂钩的API，设定序列模式抓取模块需要抓取的信息，设定序列模式生成模块抓取参数的上下阈值，设定调用频率阈值上限和下限，以及用于查看统计信息。

2.根据权利要求1所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述挂钩模块通过替换进程的导入地址表的方式挂钩API。

3.根据权利要求1所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述序列模式抓取模块包含两个子模块；

第一子模块用于向挂钩模块订阅API调用信息，包括调用参数值、参数数量和调用时间，以及对参数值进行去噪处理；

第二子模块用于对接收到的API调用信息进行序列化处理，生成一条序列并传递给序列模式生成模块；

一条序列数据表示为： APIName，APIAddress，Param1，Param2...ParamN，Timestamp，其中，APIName表示API名称，APIAddress表示API地址，Param表示第i个调用参数的参数值，N为调用参数数量，Timestamp表示调用时间。

4.根据权利要求1所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述序列模式生成模块采用Apriori算法挖掘序列模式。

5.根据权利要求4所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述序列模式生成模块基于API名称或者API地址或者调用参数统计调用次数，每次调用后累计调用次数，并生成新的统计序列，表示为： APIName，APIAddress，参数值1，参数值2....参数值N，调用时间，调用次数。

6.根据权利要求5所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述序列模式生成模块还用于，当有相同API名称或API地址的序列时，基于统计序列生成针对该API的统计表。

7.根据权利要求6所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述序列模式生成模块还用于，基于统计表分析异常行为，并向用户操作统计模块预警；

所述异常行为包括：

在一个时间段内的调用次数低于设定的调用频率阈值下限的调用，调用参数值超出该参数的上下阈值范围的调用，以及在一个时间段内的调用次数高于设定的调用频率阈值上限的调用。

8.根据权利要求1所述的一种基于序列模式的异常行为跟踪装置，其特征在于，所述用户操作统计模块还用于，

根据统计表中参数的最大值和最小值对参数的上下阈值进行修正。

9.一种基于序列模式的异常行为跟踪方法，其特征在于，包括：

设定要挂钩的API、需要抓取的参数集、调用时间，以及设定抓取参数的上下阈值；

根据设定的抓取参数的调用时间，抓取API调用信息并进行序列化处理生成序列数据；

对生成的序列数据进行挖掘，生成序列模式；

对序列模式按照API名称或者API地址或者参数统计调用次数，生成统计表；

基于统计表，分析异常行为进行告警。

10.根据权利要求9所述的一种基于序列模式的异常行为跟踪方法，其特征在于，所述异常行为包括：

在一个时间段内的调用次数低于设定的调用频率阈值下限的调用，调用参数值超出该参数的上下阈值范围的调用，以及在一个时间段内的调用次数高于设定的调用频率阈值上限的调用。