[发明专利]一种基于序列模式的异常行为跟踪装置及方法

说明书

本发明公开了一种基于序列模式的异常行为跟踪装置及方法，该装置包括挂钩模块、序列模式抓取模块、序列模式生成模块和用户操作统计模块；挂钩模块用于挂钩API；序列模式抓取模块用于对API调用信息进行序列化处理生成序列数据；序列模式生成模块用于对序列数据进行挖掘，生成调用统计表；用户操作统计模块用于设定各模块所需参数。本发明对用户调用API的指令行为进行登记，并通过序列模式挖掘模型进行排序，分析出最常用和最不常用的行为，在一定程度上可以提高入侵检测的准确度。

技术领域

本发明涉及一种基于序列模式的异常行为跟踪装置及方法，属于网络安全检测技术领域。

背景技术

随着互联网的发展，软件安全和入侵检测的问题越来越引起所有人的重视。入侵的病毒会给操作系统造成重大危害，既可以使系统和其中的进程崩溃，也可以监听和盗窃用户的私密信息，危害很大。

HOOK技术是一项比较成熟的技术，HOOK的意思就是挂钩。可以使用HOOK技术挂钩键盘动作、鼠标动作，也可以挂钩API，登记API的调用过程，监控传入的参数。进程的IAT(导入地址表)、系统的SSDT(系统服务描述符表)、IDT(中断描述符表)等都是挂钩的理想对象。挂钩后，就相当于原有的过程增加了一个迂回分支，迂回完成后继续转回原有流程的处理步骤。图1描述了未增加HOOK过程和增加HOOK过程后软件的执行流程对比。

原有的入侵和异常行为检测方法基本是挂钩重要的API或者系统调用，然后记录其调用过程，并与下一个调用过程相关联。通过检测软件的规则库(例如病毒库、非法行为库等)进行比对，如果符合规则库的描述，则认为是病毒或入侵程序。

发明内容

本发明提供一种基于序列模式的异常行为跟踪装置及方法，利用序列模式模型和HOOK技术对异常行为检测机制进行改进，进而提高入侵检测的准确度。

本发明采用的技术方案如下：

本发明提供一种基于序列模式的异常行为跟踪装置，包括挂钩模块、序列模式抓取模块、序列模式生成模块和用户操作统计模块；

所述挂钩模块用于挂钩API；

所述序列模式抓取模块用于订阅API调用信息，以及对API调用信息进行序列化处理生成序列数据；

所述序列模式生成模块用于对序列模式抓取模块传递的序列数据进行挖掘生成序列模式，以及基于调用频率进行统计，生成统计表；

所述用户操作统计模块用于设定参数，包括设定挂钩模块要挂钩的API，设定序列模式抓取模块需要抓取的信息，设定序列模式生成模块抓取参数的上下阈值，设定调用频率阈值上限和下限，以及用于查看统计信息。

进一步的，所述挂钩模块通过替换进程的导入地址表的方式挂钩API。

进一步的，所述序列模式抓取模块包含两个子模块；

第一子模块用于向挂钩模块订阅API调用信息，包括调用参数值、参数数量和调用时间，以及对参数值进行去噪处理；

第二子模块用于对接收到的API调用信息进行序列化处理，生成一条序列并传递给序列模式生成模块；

一条序列数据表示为：APIName，APIAddress，Param1，Param2...ParamN，Timestamp，其中，APIName表示API名称，APIAddress表示API地址，Param表示第i个调用参数的参数值，N为调用参数数量，Timestamp表示调用时间。

进一步的，所述序列模式生成模块采用Apriori算法挖掘序列模式。