專利名稱:利用指紋識(shí)別和實(shí)時(shí)證據(jù)收集以保護(hù)內(nèi)容的裝置�、系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及遠(yuǎn)程計(jì)算安全,更為具體地且并不排它地提供一種裝置�、系統(tǒng)和方法以保護(hù)數(shù)字信息免受未授權(quán)訪問,包括使用數(shù)字指紋識(shí)別�����、模式識(shí)別和入侵證據(jù)收集���。
背景技術(shù):
在經(jīng)歷數(shù)字技術(shù)和互聯(lián)網(wǎng)的興起而發(fā)生巨大變化的各行業(yè)中��,很少象“內(nèi)容”行業(yè)那樣遭到席卷��,如音樂��、電影�、按次付費(fèi)電視(PPV)、視頻點(diǎn)播(VoD)��、交互式媒體及類似事物的制作者和提供者���?;ヂ?lián)網(wǎng)使這些內(nèi)容的廣泛傳播比任何時(shí)候都容易����。不幸的是,對于內(nèi)容制作者和提供者來說����,數(shù)字時(shí)代正在呈嚴(yán)重的下滑趨勢。一些消費(fèi)者更為容易地訪問到這些內(nèi)容而無需支付費(fèi)用�。
針對保護(hù)這些內(nèi)容已經(jīng)做了一些努力。例如�,當(dāng)內(nèi)容在諸如互聯(lián)網(wǎng)的網(wǎng)絡(luò)上傳送時(shí)��,將對其進(jìn)行加密。當(dāng)內(nèi)容駐留于媒體設(shè)備如CD���,DVD及類似設(shè)備時(shí)��,也可以對其加密����。然而���,一旦將內(nèi)容解密并可為消費(fèi)者所用時(shí)�����,比方說在客戶端計(jì)算設(shè)備的重放過程中��,該內(nèi)容容易受到未授權(quán)的訪問��。利用多種技術(shù)����,可以不適當(dāng)?shù)卦L問或惡意訪問(hack)這種無保護(hù)的內(nèi)容�����。
例如,可以從客戶端計(jì)算設(shè)備“內(nèi)”惡意訪問該內(nèi)容���。即���,客戶端計(jì)算設(shè)備的用戶可以利用多種機(jī)制中的任何一種來試圖不恰當(dāng)?shù)卦L問該內(nèi)容,包括惡意訪問(hacking)屏幕顯示���、使用屏幕剪貼(scraper)工具�����、惡意訪問音頻和/或視頻設(shè)備�����、惡意訪問內(nèi)容流�����,以及類似行為�。用戶甚至可以試圖使用內(nèi)容流剪貼來不恰當(dāng)?shù)卦L問未經(jīng)授權(quán)使用的內(nèi)容�����。
類似地,可以通過從客戶端計(jì)算設(shè)備外部惡意訪問客戶端計(jì)算設(shè)備來不恰當(dāng)?shù)卦L問該內(nèi)容�����。即��,通過使用多種惡意訪問工具和方法���,外部黑客(hacker)可以試圖進(jìn)入客戶端計(jì)算設(shè)備,將內(nèi)容保護(hù)信息傳送至不受保護(hù)的位置�,然后利用保護(hù)信息以不恰當(dāng)?shù)貜?fù)制該內(nèi)容。因此���,本發(fā)明已考慮到關(guān)于這些以及其它的問題�����。
參照下圖���,將描述本發(fā)明的非限制性和非窮舉的實(shí)施方式。在這些圖中�����,除非特別說明,同樣的參考標(biāo)號(hào)指遍布不同圖中的同樣部件���。
為更好地理解本發(fā)明�����,將提及本發(fā)明的下述詳細(xì)說明����,其將連同附圖一起閱讀����,其中圖1顯示了一個(gè)功能框圖,其舉例說明了實(shí)現(xiàn)本發(fā)明的環(huán)境的一個(gè)實(shí)施方式�����;圖2顯示了客戶端設(shè)備的一個(gè)實(shí)施方式�����,其包含于實(shí)現(xiàn)本發(fā)明的系統(tǒng)中����;圖3說明了可在確定指紋和實(shí)時(shí)證據(jù)收集中由本發(fā)明所分析的一列參數(shù)名單的一個(gè)實(shí)施例�;圖4說明了一邏輯流程圖���,其通常顯示總體進(jìn)程的一個(gè)實(shí)施方式���,此過程用于檢測在計(jì)算設(shè)備上的未授權(quán)行為���;圖5說明了一邏輯流程圖�,其通常顯示一個(gè)進(jìn)程的一個(gè)實(shí)施方式��,此進(jìn)程用于收集與計(jì)算設(shè)備相關(guān)的進(jìn)程的預(yù)選擇參數(shù)�;圖6說明了一邏輯流程圖,其通常顯示一個(gè)進(jìn)程的一個(gè)實(shí)施方式�,此進(jìn)程用于利用增量(delta)事件分析來確定關(guān)于至少一個(gè)進(jìn)程子集的指紋;圖7說明了一邏輯流程圖���,其通常顯示一個(gè)進(jìn)程的一個(gè)實(shí)施方式��,此進(jìn)程用于利用熵分析來執(zhí)行所確定指紋的模式分類�;圖8說明了一示意圖���,其通常顯示一個(gè)進(jìn)程的一個(gè)實(shí)施方式��,此進(jìn)程用于變換向量以確定一個(gè)計(jì)數(shù)輸出;和圖9說明了一示意圖,其通常顯示一個(gè)進(jìn)程的一個(gè)實(shí)施方式�����,按照本發(fā)明����,此進(jìn)程用于變換矩陣以確定幾個(gè)計(jì)數(shù)輸出��。
具體實(shí)施例方式
現(xiàn)在將參照構(gòu)成本發(fā)明一部分的附圖在下文更充分地描述本發(fā)明�,并且通過舉例說明來表示實(shí)施本發(fā)明的具體實(shí)施例。然而��,本發(fā)明體現(xiàn)在很多不同的實(shí)施方式中并且不能將其解釋成受限于這里提出的實(shí)施方式��;相反�,提供這些實(shí)施方式使本公開更徹底和完全,并能充分地告知本領(lǐng)域技術(shù)人員本發(fā)明的范圍����。在其它方面,本發(fā)明可作為方法或設(shè)備來體現(xiàn)��。從而,本發(fā)明可采取的形式為完全的硬件實(shí)施方式����、完全的軟件實(shí)施方式或軟件和硬件方面相結(jié)合的實(shí)施方式。因此����,以下詳細(xì)的描述不會(huì)被理解為限制的意思。
簡要地說�,本發(fā)明關(guān)注一種用于保護(hù)數(shù)字信息免受未授權(quán)訪問的裝置、系統(tǒng)和方法��。配置本發(fā)明以使用數(shù)字指紋識(shí)別�����、模式識(shí)別和實(shí)時(shí)入侵證據(jù)收集來監(jiān)控未授權(quán)訪問�,并提供適當(dāng)?shù)捻憫?yīng)����。數(shù)字指紋識(shí)別可以基于,至少部分基于所選計(jì)算機(jī)進(jìn)程的行為����。本發(fā)明關(guān)注于保護(hù)數(shù)字媒介免受外部的�,和/或內(nèi)部的未授權(quán)訪問以及類似在客戶端側(cè)設(shè)備處的未授權(quán)行為�����。在一個(gè)實(shí)施方式中���,客戶端設(shè)備包括數(shù)字計(jì)算機(jī)�����、機(jī)頂盒(STB)和類似設(shè)備�。
本發(fā)明使用了一些機(jī)制��,包括向量分析��、聚類分析��、統(tǒng)計(jì)分析���、模糊邏輯���、神經(jīng)學(xué)邏輯理論、決策理論��、最優(yōu)化理論及類似機(jī)制。本發(fā)明可將這些機(jī)制中的至少一些結(jié)合在一起����,以提供用于檢測未授權(quán)行為的模式識(shí)別系統(tǒng)。配置本發(fā)明以生成和處理大量不同的數(shù)據(jù)�,包括但不局限于被確定為正常的數(shù)據(jù)、被確定為反常的數(shù)據(jù)(有時(shí)也叫做“不正確的”或未授權(quán)行為)��、半重復(fù)數(shù)據(jù)��、不確定數(shù)據(jù)和模糊數(shù)據(jù)�����,根據(jù)這些數(shù)據(jù)可生成行為模式�。生成的模式可分類為正常(正確的)數(shù)據(jù)模式���、反常(不正確的)數(shù)據(jù)模式及類似模式�,該反常數(shù)據(jù)模式有可能是未經(jīng)授權(quán)的����。使用這些模式是因?yàn)楫?dāng)一個(gè)典型黑客試圖實(shí)施惡意行為時(shí),該黑客通常無法維持系統(tǒng)�����、進(jìn)程及類似事物的這些正常模式。
另外����,通過使用本發(fā)明,可以相對快捷地檢測到黑客�����,即使在危及到系統(tǒng)���、進(jìn)程����、應(yīng)用軟件或類似事物的安全時(shí)���,也更有可能保護(hù)內(nèi)容�����。雖然黑客通常危及系統(tǒng)的安全并改變其軟件���,但是系統(tǒng)的進(jìn)程行為不太可能是一樣的�����。這樣�����,進(jìn)程行為的監(jiān)控可以很有效地防止黑客�����。而且��,由于系統(tǒng)的進(jìn)程行為的變化�,黑客在被檢測到之前能夠完成惡意行為的可能性大大下降了���。
本發(fā)明可以在多種配置中使用���,包括但不局限于入侵檢測系統(tǒng)��、經(jīng)配置用于檢測入侵或未授權(quán)數(shù)據(jù)修改的設(shè)備�、動(dòng)態(tài)和/或靜態(tài)模式、圖像識(shí)別系統(tǒng)����、經(jīng)配置用于檢測來自計(jì)算設(shè)備���、STB和類似設(shè)備的反常行為的設(shè)備。而且�,在至少一個(gè)實(shí)施方式中,本發(fā)明可以被配置以駐留在客戶端計(jì)算設(shè)備上��。在那一配置中���,即使在客戶端計(jì)算設(shè)備沒有與網(wǎng)絡(luò)連接時(shí)���,對未授權(quán)行為的監(jiān)控也可以實(shí)行。然而�,本發(fā)明不局限于僅駐留在客戶端計(jì)算設(shè)備。例如�����,本發(fā)明可以駐留在另一個(gè)計(jì)算設(shè)備上����,交叉多個(gè)計(jì)算設(shè)備上,以及類似設(shè)備上,而不偏離于本發(fā)明的主旨或范圍����。
說明的環(huán)境圖1顯示了一功能框圖,其舉例說明了操作環(huán)境100的一個(gè)實(shí)施方式�,在此環(huán)境中實(shí)施本發(fā)明。操作環(huán)境100僅是合適操作環(huán)境的一個(gè)例子而不意味著對本發(fā)明的使用或功能的范圍提出任何限制��。這樣���,如果不偏離于本發(fā)明的主旨或范圍�,可以使用其它熟知的環(huán)境和配置��。
如圖所示�,操作環(huán)境100包括內(nèi)容提供者102、網(wǎng)絡(luò)104和客戶端106-108����。網(wǎng)絡(luò)104與內(nèi)容提供者102和客戶端106-108連接。
內(nèi)容提供者102包括計(jì)算設(shè)備�����,配置此設(shè)備供制作者�、開發(fā)者和媒介內(nèi)容所有者使用,媒介內(nèi)容可以發(fā)布到客戶設(shè)備106-108���。這樣的內(nèi)容包括但不局限于針對諸如客戶端設(shè)備106-108的客戶端設(shè)備用戶的動(dòng)畫��、電影���、視頻、音樂���、PPV����、VoD�����、互動(dòng)媒體����、音頻、靜態(tài)圖像��、文本����、圖形和數(shù)字內(nèi)容的其它形式��。內(nèi)容提供者102也可以包括從內(nèi)容所有者處獲得復(fù)制和發(fā)行內(nèi)容權(quán)利的行業(yè)��、系統(tǒng)和類似機(jī)構(gòu)���。內(nèi)容提供者102可以從一個(gè)或多個(gè)內(nèi)容所有者處獲得復(fù)制和發(fā)行的權(quán)利。為了后面的銷售���、發(fā)行和許可其它內(nèi)容提供者���、客戶端設(shè)備106-108的用戶和類似用戶,內(nèi)容提供者102可以對內(nèi)容進(jìn)行重新包裝�����、存儲(chǔ)和編制目錄����。
雖然說明了使用網(wǎng)絡(luò)104向客戶端設(shè)備106-108傳送內(nèi)容,但本發(fā)明并不受這樣限制���。例如�,內(nèi)容提供者102事實(shí)上可使用任何機(jī)制來傳送內(nèi)容,包括但不局限于數(shù)據(jù)通信線路�����、事實(shí)上的任何存儲(chǔ)設(shè)備包括但不局限于CD���、DVD、軟盤�����、磁帶和類似物��。內(nèi)容可使用多種加密技術(shù)的任意一種來加密���。類似地��,內(nèi)容也可以被解密�。
可以用作內(nèi)容提供者102的設(shè)備包括個(gè)人計(jì)算機(jī)��、臺(tái)式(desktop)計(jì)算機(jī)�、多處理器系統(tǒng)、基于微處理器或可編程的消費(fèi)電子產(chǎn)品���、網(wǎng)絡(luò)PC���、服務(wù)器和類似事物��。
配置網(wǎng)絡(luò)104以將一個(gè)計(jì)算設(shè)備連接至另一個(gè)計(jì)算設(shè)備�����,使兩者能相互通信�����。激活網(wǎng)絡(luò)104�����,使其能夠利用任何形式的計(jì)算機(jī)可讀媒介將信息從一個(gè)電子設(shè)備傳至另一個(gè)����。同樣���,網(wǎng)絡(luò)104可以包括無線接口和/或有線接口���,例如互聯(lián)網(wǎng)��、除局域網(wǎng)(LAN)之外的廣域網(wǎng)(WAN)�����、如通過通用串行總線(USB)端口的直接連接����、計(jì)算機(jī)可讀媒介的其它形式或它們之間的任意組合����。在LAN的互聯(lián)裝置上�����,包括那些基于不同體系結(jié)構(gòu)和協(xié)議的裝置����,路由器作為在LAN之間連接,使消息從一處發(fā)送至另一處�。同樣,LAN內(nèi)的通信連接通常包括雙絞線或同軸電纜����,而網(wǎng)絡(luò)間的通信連接可使用模擬電話線�、包括T1����、T2、T3和T4的全部或部分的專用數(shù)字線�����、綜合業(yè)務(wù)數(shù)字網(wǎng)(ISDN)��、數(shù)字用戶線(DSL)���、包括衛(wèi)星連接的無線連接或其它為本領(lǐng)域技術(shù)人員所知的通信連接�。而且�����,遠(yuǎn)端計(jì)算機(jī)和其它相關(guān)的電子設(shè)備能夠通過調(diào)制解調(diào)器或臨時(shí)電話連接遠(yuǎn)程連接至LAN或WAN上��。實(shí)質(zhì)上���,網(wǎng)絡(luò)104包括任何通信方法����,通過這些方法,信息可以在客戶端設(shè)備106-108和內(nèi)容提供者102之間傳播���。
上述用來在通信連接中傳送信息的媒介說明了一種類型的計(jì)算機(jī)可讀媒介��,即通信媒介����。通常��,計(jì)算機(jī)可讀媒介包括能夠由計(jì)算設(shè)備訪問的任何媒介�����。計(jì)算機(jī)可讀媒介可以包括計(jì)算機(jī)存儲(chǔ)媒介�、通信媒介或它們的任意結(jié)合物�����。
另外�����,通信媒介通常表現(xiàn)為在調(diào)制數(shù)據(jù)信號(hào)中的計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)���、程序模塊或其它數(shù)據(jù)�,該調(diào)制數(shù)據(jù)信號(hào)如載波����、數(shù)據(jù)信號(hào)或其它傳輸機(jī)制,并且通信媒介包括了任何信息傳輸媒介��。術(shù)語“調(diào)制數(shù)據(jù)信號(hào)”或“載波信號(hào)”包括一個(gè)信號(hào)�,在此信號(hào)中其具有一個(gè)或多個(gè)特征集合,或其采用的變化方式可對信息�����、指令�����、數(shù)據(jù)和類似事物進(jìn)行編碼�����。通過例子���,通信媒介包括有線媒介如雙絞線�����、同軸電纜���、光纖�、波導(dǎo)和其它有線媒介���,以及無線媒介如聲音����、射頻��、紅外線和其它無線媒介���。
客戶端設(shè)備106-108事實(shí)上可以包括能夠通過諸如網(wǎng)絡(luò)104的網(wǎng)絡(luò),從諸如內(nèi)容提供者102的另一個(gè)計(jì)算設(shè)備中接收內(nèi)容的任何計(jì)算設(shè)備����。客戶端設(shè)備106-108也可以包括能夠使用其它機(jī)制接收內(nèi)容的任何計(jì)算設(shè)備����,該機(jī)制包括但不局限于CD���、DVD、磁帶���、電子存儲(chǔ)設(shè)備和類似物����。這組設(shè)備可以包括通常使用有線通信媒介連接的設(shè)備���,此有線通信媒介如個(gè)人計(jì)算機(jī)�����、多處理器系統(tǒng)��、基于微處理器的或可編程的消費(fèi)電子產(chǎn)品����、網(wǎng)絡(luò)PC和類似物�����。這組設(shè)備還可以包括通常使用無線通信媒介連接的設(shè)備,此無線通信媒介如手機(jī)�、智能電話、尋呼機(jī)�、無線對講機(jī)、射頻設(shè)備����、紅外線設(shè)備、CB�、合并有一個(gè)或多個(gè)上述設(shè)備的集成式設(shè)備和類似物?����?蛻舳嗽O(shè)備106-108也可以包括能夠使用有線或無線通信媒介連接的任何設(shè)備�����,此有線或無線通信媒介如PDA�����、POCKET PC�、可穿戴計(jì)算機(jī)和經(jīng)裝備后可通過有線和/或無線通信媒介通信以接收和播放內(nèi)容的任何其它設(shè)備���。類似地��,客戶端設(shè)備106-108可以使用多種設(shè)備中的任一個(gè)來欣賞這種內(nèi)容����,包括但不局限于計(jì)算機(jī)播放系統(tǒng)、音頻系統(tǒng)�、自動(dòng)唱片點(diǎn)唱機(jī)(jukebox)、機(jī)頂盒(STB)����、電視、視頻播放設(shè)備和類似物���。參考圖2��,使用如下面更詳細(xì)描述的客戶端設(shè)備�����,可實(shí)施客戶端設(shè)備106-108����。
客戶端設(shè)備106-108可以包括一個(gè)客戶端�,將其配置以使終端用戶能接收內(nèi)容并播放所接收的內(nèi)容�??蛻舳艘部梢蕴峁┢渌鼊?dòng)作,包括但不局限于激活客戶端設(shè)備的其它部分以執(zhí)行�、激活與另一個(gè)部件、設(shè)備��、終端用戶相連的接口���,和類似動(dòng)作���。
客戶端設(shè)備106-108可以進(jìn)一步包含內(nèi)容保護(hù)管理(CPM)部件,如下更詳細(xì)描述����。可以配置CPM部件以監(jiān)控客戶端設(shè)備的行為特征�����,當(dāng)確定一個(gè)行為是反常(不正確或未授權(quán))行為時(shí)���,CPM部件可激活一個(gè)動(dòng)作以保護(hù)內(nèi)容不受有可能的未授權(quán)行為損害�����。這種行為可以包括基于策略�����、規(guī)則或類似事物的多種預(yù)先確定的動(dòng)作的任一個(gè)��,包括關(guān)閉網(wǎng)絡(luò)連接��、關(guān)閉一個(gè)或多個(gè)進(jìn)程�、使內(nèi)容無效或不然禁止訪問內(nèi)容���、向計(jì)算設(shè)備的終端用戶���、內(nèi)容所有者提供消息、或類似動(dòng)作���。
說明性的計(jì)算設(shè)備按照本發(fā)明的一個(gè)實(shí)施方式�����,圖2顯示了計(jì)算設(shè)備的一個(gè)實(shí)施方式����。計(jì)算設(shè)備200可以包括比所示部件更多的部件。然而�����,所示部件充分公開了實(shí)現(xiàn)本發(fā)明的一個(gè)說明性的實(shí)施方式��。例如�����,計(jì)算設(shè)備200可以表示圖1的客戶端設(shè)備106-108�����。
計(jì)算設(shè)備200包括處理單元212�����、視頻播放適配器214和大容量存儲(chǔ)器��,所有這些通過總線222彼此通信�����。大容量存儲(chǔ)器通常包括RAM216、ROM232和一個(gè)或多個(gè)永久性大容量存儲(chǔ)設(shè)備��,如硬盤驅(qū)動(dòng)器�、磁帶驅(qū)動(dòng)器、光驅(qū)動(dòng)器和/或軟盤驅(qū)動(dòng)器���。大容量存儲(chǔ)器存儲(chǔ)操作系統(tǒng)220以控制計(jì)算設(shè)備200的操作??梢允褂萌魏味嘤猛镜牟僮飨到y(tǒng)。也提供了基本輸入/輸出系統(tǒng)(“BIB0”)218來控制計(jì)算設(shè)備200的低級(jí)操作�。如圖2所示,通過網(wǎng)絡(luò)接口單元210����,計(jì)算設(shè)備200也能夠與互聯(lián)網(wǎng)或一些其它的通信網(wǎng)絡(luò)如圖1中的網(wǎng)絡(luò)104進(jìn)行通信,構(gòu)建網(wǎng)絡(luò)接口單元以供包括TCP/IP協(xié)議在內(nèi)的各種通信協(xié)議使用�����。網(wǎng)絡(luò)接口單元210有時(shí)被認(rèn)為是收發(fā)器����、收發(fā)設(shè)備或網(wǎng)絡(luò)接口卡(NIC)。
上文描述的大容量存儲(chǔ)器說明了另一種計(jì)算機(jī)可讀媒介���,即計(jì)算機(jī)存儲(chǔ)媒介���。計(jì)算機(jī)存儲(chǔ)媒介可以包括采用任何方法或工藝來實(shí)現(xiàn)的易失性的��、非易失性的����、可移動(dòng)的��、不可移動(dòng)的媒介以用于信息存儲(chǔ)��,該信息如計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)�����、程序模塊或其它數(shù)據(jù)����。計(jì)算機(jī)存儲(chǔ)媒介的例子包括RAM、ROM��、EEPROM��、閃存(Flash memory)或其它存儲(chǔ)技術(shù)、CD-ROM�,數(shù)字多功能盤(DVD)或其它光存儲(chǔ)器、盒式磁帶�、磁帶、磁盤存儲(chǔ)器或其它磁性存儲(chǔ)設(shè)備��、或能夠用來存儲(chǔ)所需信息和能夠被計(jì)算設(shè)備訪問的任何其它媒介���。
大容量存儲(chǔ)器也存儲(chǔ)程序代碼和數(shù)據(jù)�。一個(gè)或多個(gè)應(yīng)用軟件250被載入大容量存儲(chǔ)器中并在操作系統(tǒng)220上運(yùn)行��。應(yīng)用程序的例子可以包括但不局限于代碼轉(zhuǎn)換程序��、調(diào)度程序���、日歷安排程序、數(shù)據(jù)庫程序����、文字處理程序,HTTP程序�����、音頻播放器、視頻播放器�����、VoD播放器�����、解碼器����、譯碼器、PPV播放器�����、STB的接口程序��、電視的接口程序�、視頻照相機(jī)和諸如此類事物。大容量存儲(chǔ)器可以進(jìn)一步包括諸如內(nèi)容保護(hù)管理器(CPM)252的應(yīng)用軟件�。CPM252可以包括附加部件,可以配置該附加部件以生成指紋(指紋管理器253)并且實(shí)施模式分類(分類器254)�。CPM252也可以包括決策引擎255,其中�,配置該決策引擎以對能夠指示反常行為的各種因素進(jìn)行分析����。當(dāng)檢測到反常行為時(shí)�����,決策引擎255采取行動(dòng)以保護(hù)內(nèi)容不受有可能未授權(quán)動(dòng)作的損害�。CPM252和與其相關(guān)聯(lián)的部件可以實(shí)施如下連同圖4-6一起更為詳細(xì)描述的行動(dòng)。
在一個(gè)實(shí)施方式中���,CPM252與內(nèi)容一起被載入到計(jì)算設(shè)備200上�����。這樣,CPM252可以駐留在諸如CD�、DVD和類似物的內(nèi)容媒介上。CPM252也可以通過網(wǎng)絡(luò)載入�����,而內(nèi)容被下載到計(jì)算設(shè)備200上�����。然而,本發(fā)明并不受這樣的限制���,事實(shí)上使用任何裝置并且事實(shí)上在任何時(shí)間���,甚至與內(nèi)容何時(shí)載入無關(guān),都可將CPM252載入到計(jì)算設(shè)備200上�。而且,雖然圖2圖示說明CPM252駐留于計(jì)算設(shè)備200中���,但本發(fā)明不受這樣的限制�,并且CPM252可以駐留于另一個(gè)設(shè)備�����,在多個(gè)設(shè)備上分布���,以及類似情形���,如果不偏離本發(fā)明的范圍或主旨。
計(jì)算設(shè)備200也可以包括用于發(fā)送和接收電子郵件的SMTP處理機(jī)應(yīng)用軟件��、用于接收和處理HTTP請求的HTTP處理機(jī)應(yīng)用軟件和用于處理安全連接的HTTP處理機(jī)應(yīng)用軟件�����。HTTP處理機(jī)應(yīng)用軟件可以用安全的方式啟動(dòng)與外部應(yīng)用軟件的通信。
計(jì)算設(shè)備200也包括用于與外部設(shè)備通信的輸入/輸出接口224���,外部設(shè)備如鼠標(biāo)�����、鍵盤����、掃描儀或其它未在圖2中顯示的輸入設(shè)備���。同樣��,計(jì)算設(shè)備200可以進(jìn)一步包括附加的大容量存儲(chǔ)設(shè)備如CD-ROM/DVD-ROM驅(qū)動(dòng)器226和硬盤驅(qū)動(dòng)器228���。其中��,可以使用硬盤驅(qū)動(dòng)器228存儲(chǔ)應(yīng)用程序�����、數(shù)據(jù)庫、客戶端設(shè)備配置信息�、策略和類似物。
說明性的操作綜述本發(fā)明能夠監(jiān)控和檢測未授權(quán)行為并能夠?qū)⑦@種行為對系統(tǒng)���、內(nèi)容及類似事物的影響降低到最小�。這樣����,本發(fā)明關(guān)注于監(jiān)控未授權(quán)行為,無論該行為來自計(jì)算系統(tǒng)外部的發(fā)起者或是遠(yuǎn)離計(jì)算系統(tǒng)的發(fā)起者乃至計(jì)算系統(tǒng)內(nèi)部的發(fā)起者(例如�,其中發(fā)起者可以是計(jì)算系統(tǒng)、進(jìn)程����、程序、或在處理系統(tǒng)上運(yùn)行的近似任務(wù)或類似物的終端用戶)���。
使用諸如指紋識(shí)別�、模式識(shí)別�、統(tǒng)計(jì)分析和類似構(gòu)想的多種構(gòu)想中的任一種,進(jìn)一步設(shè)計(jì)本發(fā)明以檢測在計(jì)算系統(tǒng)上未授權(quán)行為���,該計(jì)算系統(tǒng)可指示針對截取���、捕捉��、復(fù)制和/或調(diào)整內(nèi)容的行為����。然后�����,可以通過結(jié)束未授權(quán)進(jìn)程或任務(wù)���、干涉未授權(quán)進(jìn)程或任務(wù)�����、或甚至借助多種機(jī)制關(guān)閉內(nèi)容來實(shí)現(xiàn)內(nèi)容的保護(hù)��,從而該內(nèi)容不再被未授權(quán)進(jìn)程或任務(wù)所得到��。
在使用這些構(gòu)想的過程中���,在計(jì)算系統(tǒng)上觀察到的授權(quán)行為可以被分類為“正?�!蹦J降男袨榛騽?dòng)作。試圖進(jìn)行未授權(quán)行為的動(dòng)作可以改變這一“正?���!毙袨榈哪J健_@種已改變的行為模式可能與正常模式不匹配�����。這些已改變的行為模式可以被稱為“反?��!被颉安徽_”行為���。
正常行為的確定可以部分地基于行為的分類,將行為從相關(guān)數(shù)據(jù)轉(zhuǎn)換成在計(jì)算系統(tǒng)上執(zhí)行的進(jìn)程或進(jìn)程子集的一組特征����,其與每一個(gè)進(jìn)程所關(guān)聯(lián)的名字無關(guān)。例如�����,在執(zhí)行內(nèi)容播放器以及類似動(dòng)作的過程中���,可以從計(jì)算系統(tǒng)中得到這些數(shù)據(jù)����。
本發(fā)明進(jìn)一步關(guān)注于確定在每個(gè)進(jìn)程中被認(rèn)為是“正常的”模式與“反常的”模式之間的邏輯的、非數(shù)字的區(qū)別�����。此確定可以是實(shí)時(shí)的���,也可以是非實(shí)時(shí)的��。
基于一種方法����,監(jiān)控可以關(guān)注于信息和特征的收集��,此信息和特征與計(jì)算系統(tǒng)上現(xiàn)有的進(jìn)程相關(guān)����。然而,可能有幾百個(gè)不同的可能參數(shù)�����,其可以標(biāo)志每個(gè)單獨(dú)進(jìn)程的特征。這將導(dǎo)致大量分析的時(shí)間和資源�����。例如�,設(shè)想每個(gè)進(jìn)程包括可能大約200個(gè)將被監(jiān)控的參數(shù)�,例如,其可以在Windows2000 Professional操作系統(tǒng)的一個(gè)實(shí)施方式上實(shí)施�。然后,在200×K的數(shù)據(jù)空間上進(jìn)行分析���,其中K是在計(jì)算系統(tǒng)中運(yùn)行的進(jìn)程的數(shù)目�����。然而��,假設(shè)有足夠的空間和資源���,這一方法可以由本發(fā)明實(shí)行,這樣��,此方法不在本發(fā)明的范圍之外�。
然而����,也可以整理所采集的數(shù)據(jù)以使用于分析的參數(shù)的數(shù)目最少����。因而,在一個(gè)實(shí)施方式中���,本發(fā)明使用了增量事件方法���,此方法部分地基于在每個(gè)參數(shù)之間的測量差異,這些參數(shù)在一個(gè)時(shí)間段上表現(xiàn)進(jìn)程的特征��。獲得的差異被認(rèn)為是參數(shù)行為的特殊事件���,這里稱為指紋�����。
另外��,用于一個(gè)給定進(jìn)程的一些參數(shù)可以隨著時(shí)間改變其值���,而另一些參數(shù)卻不能�����。這一觀測結(jié)論被用于進(jìn)程的指紋識(shí)別的開發(fā)中���。即,在給定的時(shí)間段內(nèi)����,參數(shù)可以或不可以充分變化�。可以使用這一結(jié)論來簡化對參數(shù)的監(jiān)控�,以判斷在一個(gè)時(shí)間段內(nèi)該參數(shù)是改變了還是基本上不變。因而���,可以將該參數(shù)描述成兩種狀態(tài)改變的或未改變的�。隨后��,每一個(gè)進(jìn)程參數(shù)可以被認(rèn)為有其行為的自身狀態(tài)�����,其可以被轉(zhuǎn)化成指紋或行為模式����。此外����,每個(gè)進(jìn)程的特征都可以是行為或指紋模式中的一個(gè)模式����。通過使用參數(shù)動(dòng)作的兩種狀態(tài)表示,本發(fā)明可以將數(shù)字參數(shù)的方法轉(zhuǎn)換成非數(shù)字的邏輯任務(wù)�。
然而,并非每個(gè)參數(shù)都只有一種狀態(tài)�。例如,參數(shù)可以隨時(shí)間有多種狀態(tài)����。然而,參數(shù)的每種狀態(tài)出現(xiàn)的概率可以通過統(tǒng)計(jì)分析來獲得���。如果這樣的統(tǒng)計(jì)分析指示一種狀態(tài)的出現(xiàn)已經(jīng)被另一種狀態(tài)的出現(xiàn)大大地超過����,則可以確定每種狀態(tài)的數(shù)學(xué)期望(如算數(shù)平均)��。然后��,可將所獲得的參數(shù)反常事件的計(jì)數(shù)確定為噪聲或不確定度。
選擇監(jiān)控哪個(gè)進(jìn)程可以基于多種考慮中的任一種�。例如,可以選擇監(jiān)控與播放內(nèi)容相關(guān)的進(jìn)程����、與惡意行為相關(guān)的進(jìn)程及類似進(jìn)程。在一個(gè)實(shí)施方式中�,選擇與處理器內(nèi)核相關(guān)的參數(shù)。在另一個(gè)實(shí)施方式中����,對與處理器內(nèi)核相關(guān)的進(jìn)程進(jìn)行分析��,同時(shí)對運(yùn)行進(jìn)程的用戶次數(shù)進(jìn)行分析��?���?蛇x擇經(jīng)確定具有的次數(shù)大大高于其它進(jìn)程的那些進(jìn)程來用于繼續(xù)的分析。
例如��,基于一個(gè)實(shí)施方式�����,數(shù)學(xué)分析可以統(tǒng)計(jì)地指出,對于給定的操作系統(tǒng)�,例如預(yù)先確定的Windows版本,標(biāo)志每個(gè)單獨(dú)進(jìn)程的200個(gè)參數(shù)中的37個(gè)可以對行為模式產(chǎn)生主要影響�����。圖3說明了一組參數(shù)中的一個(gè)例子���,在至少部分地基于分析的本發(fā)明的一個(gè)實(shí)施方式中使用了這些參數(shù)��。然而��,本發(fā)明并不限于這些參數(shù)���,還可以使用其它參數(shù),如果不偏離本發(fā)明的范圍�����。
在選擇了一組參數(shù)后���,可以產(chǎn)生帶有邊界的一組類別。例如,兩個(gè)類別���,正確行為類別和不正確行為類別�����,可以通過兩種行為模式來表示��。第一類(正確行為)可以與內(nèi)容播放器及類似物相關(guān)�,而另一類(不正確行為)可以與未授權(quán)的動(dòng)作相關(guān)�,未授權(quán)的動(dòng)作如來自多種惡意行為工具中的任一種動(dòng)作,包括如屏幕剪貼��、音頻捕獲程序和類似物���。
通過基于在幾個(gè)時(shí)間段上的內(nèi)容播放器的執(zhí)行來計(jì)算數(shù)學(xué)期望,并通過對與內(nèi)容播放器相關(guān)的進(jìn)程進(jìn)行分析����,能夠獲得代表內(nèi)容播放器的模式?���?梢允褂妙愃频姆椒▉泶_定與惡意行為工具相關(guān)的模式。
可以為每一類生成理想的邊界,其中一個(gè)理想的不正確類別可以只包括未改變的數(shù)據(jù)��,而一個(gè)理想的正確類別可以只包括已改變的數(shù)據(jù)��。在一個(gè)實(shí)施方式中��,這樣的理想邊界可以從單個(gè)模式的行為分析中獲得��,該單個(gè)模式與內(nèi)容播放器和/或惡意行為工具或類似物有關(guān)��。
可以對所獲得的原型模式進(jìn)行分析�����,以選擇一個(gè)集合���,隨后將此集合提供給決策引擎���。在一個(gè)實(shí)施方式中,通過選擇子集���,可減少所獲得的原型模式�,例如在2到4個(gè)模式之間(雖然本發(fā)明并不限于這種已縮減的集合)�����。所獲得的原型模式可以比作正確模式以便可以設(shè)立不正確的情況。類似地����,原型模式可以比作不正確模式,以便選擇一個(gè)最接近地表示該不正確模式的模式��。在另一個(gè)實(shí)施方式中�,其中可以配置決策引擎255以根據(jù)平衡原則操作,其中�,一組模式或類別只包括一個(gè)正確模式計(jì)數(shù),而另一組模式或類別只包括一不正確壞模式計(jì)數(shù)��。
兩個(gè)尺度類別的每一個(gè)類別都被載入至具有相同數(shù)量的正確計(jì)數(shù)和不正確計(jì)數(shù)的先驗(yàn)知識(shí)中����。在一個(gè)實(shí)施方式中,設(shè)立一個(gè)初始化為零的尺度���。與所選類別相關(guān)的正確計(jì)數(shù)和不正確計(jì)數(shù)代表了在每個(gè)類別中可發(fā)生的總的可能的計(jì)數(shù)����。當(dāng)獲得了一個(gè)新計(jì)數(shù)時(shí)�����,本發(fā)明將其加到一個(gè)尺度類別中�����。當(dāng)向一個(gè)尺度類別加上一個(gè)計(jì)數(shù)時(shí)���,將自動(dòng)從另一個(gè)類別中減去另一個(gè)計(jì)數(shù)�。這是為了充分地保持總的計(jì)數(shù)數(shù)目不變�����,而不產(chǎn)生大的不平衡���。
例如�����,假如不平衡上升�,那么基于不正確計(jì)數(shù)���,本發(fā)明確定來自決策引擎的數(shù)值和分類���。這種確定是針對不正確計(jì)數(shù)的不平衡而進(jìn)行的�����,而不是針對正確計(jì)數(shù)����,當(dāng)本發(fā)明試圖識(shí)別的是不正確情形���,并且不針對正確計(jì)數(shù)來操作時(shí)�����,可最小化處理時(shí)間���。
部分地根據(jù)使用如非線性分類規(guī)則或類似規(guī)則來測定數(shù)值,可確定每個(gè)類別的數(shù)據(jù)熵�。在一個(gè)實(shí)施方式中,使用基本的兩個(gè)對數(shù)數(shù)據(jù)熵來確定來自決策引擎的輸出���。然后��,當(dāng)輸出的結(jié)果明顯地等于或大于預(yù)先確定的可靠水平時(shí)��,配置決策引擎以作出最終結(jié)論的響應(yīng)�����。
在為確定進(jìn)程特征的準(zhǔn)備中���,確定事件數(shù)目和收集的數(shù)據(jù)樣本的規(guī)模。事件數(shù)目包括不同進(jìn)程參數(shù)和特征的所期望的最大數(shù)目�,其可以從給定的操作系統(tǒng)配置中得到。例如�,這樣的參數(shù)包括但不限于進(jìn)程標(biāo)識(shí)、目標(biāo)操作系統(tǒng)版本��、優(yōu)先級(jí)�、用戶對象計(jì)數(shù)、存儲(chǔ)器信息�����、輸入輸出(IO)計(jì)數(shù)器和類似事物��。
樣本規(guī)模包括通常用于處理的數(shù)據(jù)樣本的規(guī)模����,其從可用事件數(shù)目中提取��?��?梢允褂枚喾N統(tǒng)計(jì)方法的任一種方法來顯著降低用于執(zhí)行模式識(shí)別任務(wù)的樣本規(guī)模。
說明性的用于檢測未授權(quán)行為的操作本發(fā)明的一些方面的操作將參考圖4-6來描述����。特別地,圖4說明了用于在計(jì)算設(shè)備上檢測未授權(quán)行為的總體過程�����。這里描述的進(jìn)程包括幾個(gè)子進(jìn)程��,包括用于針對關(guān)于在該計(jì)算設(shè)備上執(zhí)行的各種進(jìn)程的預(yù)選參數(shù)收集數(shù)據(jù)的子進(jìn)程�����、用于基于增量事件分析確定指紋的子進(jìn)程和使用熵分析進(jìn)行指紋分類的子進(jìn)程����。圖5說明了數(shù)據(jù)收集的子進(jìn)程。圖6說明了指紋確定子進(jìn)程����,而圖7說明了分類進(jìn)程���。這些進(jìn)程中的每一個(gè)進(jìn)程都在下文更詳細(xì)地描述。另外����,在討論邏輯流程圖后����,進(jìn)一步詳細(xì)描述操作。
圖4說明了邏輯流程圖�����,其通常顯示了總體過程的一個(gè)實(shí)施方式�����,此總體過程用于檢測在計(jì)算設(shè)備上的未授權(quán)行為��,計(jì)算設(shè)備如圖1的客戶端106-108�����。圖4的進(jìn)程400可在軟件���、硬件�����、硬件組合或類似事物中執(zhí)行�����,其在計(jì)算設(shè)備上可操作���。
在開始方框之后����,進(jìn)程400開始于方框402�,其在下文結(jié)合圖5將被詳細(xì)的描述。然而��,簡單地說�����,在方框402�����,對關(guān)于可在計(jì)算設(shè)備上執(zhí)行的各種進(jìn)程的預(yù)選參數(shù)進(jìn)行收集。結(jié)合圖3���,已經(jīng)在上文描述了這種預(yù)選參數(shù)的例子�����。在一個(gè)實(shí)施方式中��,收集進(jìn)程包括針對至少兩個(gè)時(shí)間間隔收集預(yù)先選擇的參數(shù)。
處理進(jìn)程繼續(xù)至方框404�����,其在下文結(jié)合圖6將被詳細(xì)的描述�。然而,簡單地說���,在方框404�����,確定關(guān)于可在計(jì)算設(shè)備上執(zhí)行的進(jìn)程的至少一個(gè)子集的指紋����。利用下文將更詳細(xì)描述的增量事件分析,可以確定該指紋��。
進(jìn)程400繼續(xù)至方框406����,其在下文結(jié)合圖7將被詳細(xì)的描述。簡單地說��,在方框406���,利用熵分析�,所確定的指紋可以被分類成正確的行為模式和/或不正確的行為模式�����。隨即��,熵分析可以確定正在計(jì)算設(shè)備上被估值的進(jìn)程的熵���。
下一步���,處理進(jìn)程移至判定框408�,其中��,將判斷是否檢測到未授權(quán)行為��。如下文進(jìn)一步描述的����,基于將所確定的熵與預(yù)先確定的置信度進(jìn)行的比較,做出這一判定�。如果判定所確定的熵高于預(yù)先確定的置信度,那么可以確定未授權(quán)行為存在���,進(jìn)程移至方框410�;否則����,處理過程循環(huán)返回方框402以繼續(xù)監(jiān)控在計(jì)算設(shè)備上未授權(quán)行為的出現(xiàn)����。
在方框410,基于業(yè)務(wù)規(guī)則或類似物�����,實(shí)行各種預(yù)先確定的動(dòng)作。例如�����,這種預(yù)先確定的動(dòng)作可以包括關(guān)閉網(wǎng)絡(luò)連接�、關(guān)閉一個(gè)或多個(gè)進(jìn)程、使內(nèi)容無效或不然禁止訪問內(nèi)容����、禁止訪問計(jì)算設(shè)備、向一個(gè)或多個(gè)實(shí)體提供消息���、告警或類似物��,或類似動(dòng)作�。事實(shí)上���,基于未授權(quán)動(dòng)作的檢測可實(shí)施任何動(dòng)作���。
隨后,處理過程可以返回調(diào)用進(jìn)程�。然而,本發(fā)明并不受到這樣的限制����。例如���,盡管進(jìn)程400說明了返回調(diào)用進(jìn)程,在方框410后進(jìn)程400也可以循環(huán)回方框402����,并繼續(xù)監(jiān)控未授權(quán)行為,如果不偏離本發(fā)明的范圍或主旨��。
圖5說明了邏輯流程圖�,其通常顯示了一個(gè)進(jìn)程的一個(gè)實(shí)施方式,此進(jìn)程用于收集與計(jì)算設(shè)備相關(guān)的進(jìn)程的預(yù)先選擇的參數(shù)���。圖5說明了關(guān)于方框402的子進(jìn)程操作的一個(gè)實(shí)施方式�����,結(jié)合圖4在上文中已描述該方框。
圖5的進(jìn)程500開始于方框502���,其中設(shè)立了理想的類別�����。在一個(gè)實(shí)施方式中���,確定理想的正確類別和理想的不正確類別�。例如����,理想的正確類別可以由所有元素為1的矩陣來表示,而理想的不正確類別可以由所有元素為-1的矩陣來表示�����。
處理過程前進(jìn)至方框504����,其中,在第一個(gè)時(shí)間間隔T1內(nèi)收集關(guān)于M個(gè)進(jìn)程的參數(shù)的第一個(gè)數(shù)據(jù)集合��。這樣的數(shù)據(jù)收集可以包括監(jiān)控關(guān)于M個(gè)進(jìn)程中的每一個(gè)進(jìn)程的參數(shù)集合并且在時(shí)間間隔T1內(nèi)記錄其各自的值����。利用多種機(jī)制中的任何一種機(jī)制可以存儲(chǔ)該數(shù)據(jù)集合,這些機(jī)制包括文件夾��、電子數(shù)據(jù)報(bào)表����、存儲(chǔ)器�����、數(shù)據(jù)庫���、文件或類似物。而且�,該參數(shù)集合可以包括與M個(gè)進(jìn)程相關(guān)的多種參數(shù)中的任何一種參數(shù),所述M個(gè)進(jìn)程都可以在計(jì)算設(shè)備上執(zhí)行��。
進(jìn)程500繼續(xù)至方框506�����,其中����,在第二時(shí)間間隔T2內(nèi)收集關(guān)于K個(gè)進(jìn)程的參數(shù)的第二個(gè)數(shù)據(jù)集合。事實(shí)上���,對于在計(jì)算設(shè)備執(zhí)行的每個(gè)相關(guān)的進(jìn)程,都可以獲得參數(shù)的第一個(gè)和第二個(gè)數(shù)據(jù)集合���。然而����,本發(fā)明不局限于收集關(guān)于每個(gè)進(jìn)程的數(shù)據(jù)集合。例如�,如果不偏離本發(fā)明的范圍或主旨,可以選擇進(jìn)程的子集以供收集����。在一個(gè)實(shí)施方式中,方框506的數(shù)據(jù)收集可以在一個(gè)延遲后進(jìn)行��。
而且�����,第一個(gè)和第二個(gè)數(shù)據(jù)集合可以表示為矩陣��,其將在下文更詳細(xì)描述���。然而�,簡單地說�����,矩陣可以包括在關(guān)于M或K個(gè)進(jìn)程中的每一個(gè)進(jìn)程的時(shí)間內(nèi)的參數(shù)值的集合。
處理過程從方框506移至判定框508���,其中��,判定在T1中收集的進(jìn)程數(shù)目M與在T2中收集的進(jìn)程數(shù)目K是否一致����。即��,M=K����?例如,當(dāng)一個(gè)進(jìn)程在數(shù)據(jù)收集的一個(gè)時(shí)間間隔中執(zhí)行而在另一個(gè)時(shí)間間隔中不執(zhí)行的情況下��,M和K可以不相等����。例如,拼寫檢查進(jìn)程可以在一個(gè)時(shí)間間隔中執(zhí)行而在另一個(gè)時(shí)間間隔中不執(zhí)行����。因此,如果判定了M與K不同,那么處理進(jìn)程移至方框510�。在方框510���,選擇了與在兩個(gè)時(shí)間間隔內(nèi)的進(jìn)程數(shù)目L相關(guān)的參數(shù)數(shù)據(jù)選集�����。在一個(gè)實(shí)施方式中���,通過選擇那些在兩個(gè)時(shí)間間隔內(nèi)都執(zhí)行的進(jìn)程,來確定進(jìn)程的數(shù)目��。例如����,進(jìn)程的數(shù)目L可以是M和K中的最小值(min(M,K))�����。這使得兩個(gè)數(shù)據(jù)集合變?yōu)橥瑯拥囊?guī)模大小��。然后處理過程返回調(diào)用進(jìn)程以實(shí)施其它動(dòng)作��。相似地,如果在方框508判定M=K��,處理過程也返回調(diào)用程序以實(shí)施其它動(dòng)作���。
圖6說明了一個(gè)邏輯流程圖�,其通常顯示了一個(gè)進(jìn)程的一個(gè)實(shí)施方式����,此進(jìn)程用于使用增量事件分析來確定一些或全部進(jìn)程的指紋。圖6的進(jìn)程600背后的數(shù)學(xué)知識(shí)在下文更詳細(xì)描述��。此外�,進(jìn)程600可以表示圖4的方框404的一個(gè)實(shí)施方式。
在起始方框之后�����,進(jìn)程600開始于方框602���,其中����,確定用于已選數(shù)據(jù)集合的進(jìn)程的子集���??梢允褂枚喾N機(jī)制中的任一種機(jī)制來確定進(jìn)程的子集。然而����,正如所說明的�,通過選擇那些使用高的CPU時(shí)間百分?jǐn)?shù)的進(jìn)程來確定子集。例如�����,在一個(gè)實(shí)施方式中��,這可以通過監(jiān)控那些在圖3中其參數(shù)21和23顯示高的CPU時(shí)間百分?jǐn)?shù)的進(jìn)程來確定����。在一個(gè)實(shí)施方式中,高的CPU時(shí)間百分?jǐn)?shù)是CPU時(shí)間百分?jǐn)?shù)的最大值��。然而��,本發(fā)明沒有這樣的限制�,可以使用其他參數(shù)或類似物。無論如何�����,一旦確定了進(jìn)程的子集,處理過程轉(zhuǎn)至方框604���。
在方框604����,對進(jìn)程的子集執(zhí)行增量事件分析����。簡單地說,增量事件分析可以包括減去進(jìn)程子集中的兩個(gè)數(shù)據(jù)集以獲得進(jìn)程的一個(gè)增量數(shù)據(jù)集�。如前所述,每個(gè)數(shù)據(jù)集可以用參數(shù)矩陣或類似物表示一個(gè)進(jìn)程�����,參數(shù)變化可以進(jìn)一步表示該進(jìn)程的行為模式�����。
隨即�,處理過程繼續(xù)至方框606,其中���,通過使用在下文更詳細(xì)描述的二元分類(binary classification)����,將增量事件數(shù)據(jù)集轉(zhuǎn)換成關(guān)于進(jìn)程的指紋。簡單地說����,這樣的二元分類可以看成是將數(shù)字判定轉(zhuǎn)換成非數(shù)字的邏輯判定。隨后��,進(jìn)程600回到調(diào)用進(jìn)程�。
圖7說明了一個(gè)邏輯流程圖�����,其顯示了進(jìn)程的一個(gè)實(shí)施方式����,此進(jìn)程用于利用熵分析來執(zhí)行已確定指紋的模式分類。例如��,圖7的進(jìn)程700可以表示上述圖4的方框406的一個(gè)實(shí)施方式�。
在起始方框之后,進(jìn)程700開始于方框702�����,其中,確定與理想正確類別不匹配最大的進(jìn)程�。這將在下文詳細(xì)描述。然而��,簡單地說����,例如,認(rèn)為理想的正確類別是一個(gè)全1的集合([1����,1...1])。那么�����,將在理想的正確類別集合中的每個(gè)元素和從圖6的進(jìn)程600中得到的每個(gè)進(jìn)程集合中的每個(gè)元素或類似物之間做比較�����。實(shí)行逐元素計(jì)數(shù)�����,其比較的結(jié)果的和可以顯示哪些進(jìn)程使失配最大化(例如,離理想的正確類別最遠(yuǎn))��。在一個(gè)實(shí)施方式中�,更不正確的進(jìn)程(即,在導(dǎo)致與理想的正確類別失配最大的進(jìn)程子集中識(shí)別另一個(gè)進(jìn)程子集)���。
隨后�����,處理過程繼續(xù)至方框704��,其中�,對在方框702處確定的進(jìn)程的子集使用平衡方案�。按照下面的平衡規(guī)則��,平衡方案導(dǎo)致將行為(進(jìn)程)的每個(gè)模式分類為正確類別和不正確類別�,并確定在這兩類別的每一個(gè)類別內(nèi)的這樣模式的計(jì)數(shù)。
隨后�����,處理過程移至確定方框706��,其中,判定不正確類別中記錄的模式的數(shù)目是否超過正確類別中記錄的模式的數(shù)目�。如果是,處理過程移至方框708���;否則����,處理過程返回調(diào)用進(jìn)程����。
在方框708,如下文詳細(xì)描述的���,確定熵的最終計(jì)數(shù)�����。隨后��,處理過程返回調(diào)用進(jìn)程����。在一個(gè)實(shí)施方式中,調(diào)用進(jìn)程可以將統(tǒng)計(jì)測試應(yīng)用于熵的最終計(jì)數(shù)以判定在預(yù)先確定的置信度內(nèi)是否檢測到未授權(quán)行為���。
可以理解�����,流程圖說明的每個(gè)方框和流程圖說明內(nèi)的方框組合可以通過計(jì)算機(jī)程序指令來實(shí)施�����。將這些程序指令提供給處理器以生成系統(tǒng)����,這樣����,在處理器上執(zhí)行的那些指令產(chǎn)生用于實(shí)施動(dòng)作的方法,這些動(dòng)作已由流程圖一個(gè)或多個(gè)方框所規(guī)定�。計(jì)算機(jī)程序指令可以由處理器來執(zhí)行以引起一系列的操作步驟,這些步驟由處理器完成以產(chǎn)生由計(jì)算機(jī)執(zhí)行的進(jìn)程�����,這樣�,在處理器上執(zhí)行的這些指令提供用于完成在一個(gè)或多個(gè)流程圖方框中所規(guī)定動(dòng)作的步驟�。
因此����,流程圖說明方框支持將用于完成所規(guī)定動(dòng)作的方法相結(jié)合�����、將用于完成所規(guī)定動(dòng)作的步驟相結(jié)合和將用于完成所規(guī)定動(dòng)作的程序指令方法���。同時(shí)可以理解���,通過可完成所規(guī)定動(dòng)作或步驟的專用硬件式系統(tǒng),可以實(shí)施流程圖說明的每個(gè)方框和流程圖說明的方框組合����,或者可使用專用硬件和計(jì)算機(jī)指令的組合來完成所規(guī)定動(dòng)作。
模式分類下文提供了本發(fā)明的進(jìn)一步細(xì)節(jié)��,并且結(jié)合圖4-7使用其來進(jìn)一步描述上文已描述過的進(jìn)程��。
例如�,下文描述了上述圖5的模式分類和數(shù)據(jù)收集動(dòng)作。
把許多事件看作是單個(gè)模式的集合�,其特征為有關(guān)計(jì)算系統(tǒng)上的每一個(gè)現(xiàn)有進(jìn)程。如上所述,在監(jiān)控該計(jì)算系統(tǒng)時(shí)間間隔T1后��,可以得到這一集合�����。
通過使用N維歐幾里得測量空間RN內(nèi)的向量Xi����,可將事件的數(shù)目描述成許多模式中的一個(gè)模式,其中���,參數(shù)i=1���,N把許多單個(gè)模式描述成向量Xi的組成元素Xi=(Xi,1,Xi�����,2�����,.......Xi�����,N-1�����,Xi�����,N)如果有M個(gè)進(jìn)程同時(shí)運(yùn)行(即����,M個(gè)向量Xi,j�,i=1,N且J=1����,M),它們可由矩陣A來表示A=|X1,1X1,2......X1,N-1X1,NX2,1X2,2......X2,N-1X2,NX3,1X3,2......X3,N-1X3,N...............................................XM-1,1XM-1,2......XM-1,N-1XM-1,NXM,1XM,2......XM,N-1XM,N|]]>如上所述�,在監(jiān)控計(jì)算系統(tǒng)時(shí)間間隔T2之后,能夠得到另一個(gè)集合���。通過N維歐幾里得測量空間RN內(nèi)的向量Yi����,可以引入事件的新數(shù)目作為許多模式中的一個(gè)模式,其中�����,參數(shù)i=1��,N把許多單個(gè)模式描述成向量Yi的組成元素Yi=(Yi�,1,Yi���,2���,.......Yi,N-1�����,Yi�����,N)如果在計(jì)算系統(tǒng)內(nèi)有K個(gè)進(jìn)程同時(shí)運(yùn)行(有K個(gè)向量Yi�����,j,i=1����,N且J=1���,M)����,它們能夠由矩陣B來表示B=|Y1,1Y1,2......Y1,N-1Y1,NY2,1Y2,2......Y2,N-1Y2,NY3,1Y3,2......Y3,N-1Y3,N................................................YK-1,1YK-1,2......YK-1,N-1YK-1,NYK,1YK,2......YK,N-1YK,N|]]>關(guān)于參數(shù)K��,考慮三種可能的情況第一種K=M�����;第二種K>M�����;和第三種K<M��。這些情況的監(jiān)控能使本發(fā)明使用矩陣A和B來正確地完成計(jì)算���。在一個(gè)實(shí)施方式中��,通過比較矩陣A和矩陣B�����,對實(shí)際上所有在時(shí)間間隔T1和時(shí)間間隔T2內(nèi)都運(yùn)行的進(jìn)程進(jìn)行比較�。使用先前所確定的且唯一地識(shí)別每個(gè)進(jìn)程(ID)的進(jìn)程參數(shù)來定制這些矩陣。
如果確定它們是相同的并沒有其它項(xiàng)出現(xiàn)�,那么就表示M=K并且可以完成使用矩陣A和B的計(jì)算。在M>K的情況下(如較早執(zhí)行的進(jìn)程已中止)�,或者在M<K的情況(如未執(zhí)行的進(jìn)程已經(jīng)開始執(zhí)行),矩陣A和B共有的ID的子集被確定并在隨后的計(jì)算中使用����。
用增量事件分析確定指紋下文進(jìn)一步詳細(xì)描述圖6的進(jìn)程600。如上文所提到的����,有可能降低每個(gè)向量的維數(shù),所述向量表示從規(guī)模為N到規(guī)模為L的某個(gè)進(jìn)程�����,其中N>L�。例如����,通過L維歐幾里得測量空間RL內(nèi)的向量Xi或Yi��,可以將事件的數(shù)目描述為許多模式中的一個(gè)模式�,其中,參數(shù)i=1���,L是單個(gè)模式的數(shù)目,其為向量Xi或Yi的組成元素���。
通過選擇一些參數(shù)有可能降低所考慮的向量的數(shù)目����,所述參數(shù)使用大于一些所選值P%的時(shí)間的CPU%���,其中可根據(jù)多種條件來選擇P%��。例如�,在一個(gè)實(shí)施方式中���,可以根據(jù)播放器所使用的CPU來選擇P%��。
用戶時(shí)間Ut可以定義為表示由O/S報(bào)告的時(shí)間總額的兩個(gè)值之間的差值�����,其為在不同的T2和T1時(shí)間間隔內(nèi)�,在用戶模式中進(jìn)程執(zhí)行所花費(fèi)的時(shí)間。核心時(shí)間Kt也可以定義為表示由O/S報(bào)告的時(shí)間總額的兩個(gè)值之間的差值���,其為在同樣的T2和T1時(shí)間間隔內(nèi)����,在內(nèi)核中進(jìn)程執(zhí)行所花費(fèi)的時(shí)間���。然后CPU%的計(jì)算可以由向量Vuk來確定Vuk=(Kt1���,i-1+Ut1,i����;Kt2,i-1+Utj��,i-1;.....��;Ktj,i-1+Utj����,i;......���;KtM�,i-1+UtM�����,i)T其中���,索引M表示執(zhí)行進(jìn)程的總數(shù);j是當(dāng)前進(jìn)程����;索引i表示進(jìn)程j的進(jìn)程事件i-1和i。使用事件i-1和i來保持分別與內(nèi)核和用戶時(shí)間相關(guān)的值�����。不同索引的選擇可以與特定的計(jì)算機(jī)操作系統(tǒng)或類似物相關(guān)。
隨后��,每個(gè)j運(yùn)行進(jìn)程的CPU%時(shí)間百分?jǐn)?shù)能夠被確定為總和(Ktj����,i-1+Utj,i)的一部分��,其中j=1��,MCPU%j=((Ktj,i-1+Utj,i)/Σj=1M(Ktj,i-1+Utj,i))*100%]]>在確定所有的CPU%之后�����,可以確定進(jìn)程N(yùn)P的數(shù)目�,其使用CPU%時(shí)間大于所選擇的值P%,其中NP<<M�����。
在實(shí)際系統(tǒng)中����,雖然并未對此有要求,但值NP的變化通常在2和4之間��。
基于以上討論和新的最大矩陣規(guī)模,本發(fā)明可以將計(jì)算減少至一個(gè)4×37的問題����。
隨后,假定兩個(gè)等秩的新矩陣A1和B1����,其中A1從時(shí)間間隔T1獲得而B1從時(shí)間間隔T2獲得A1=|X1,1X1,2......X1,N1-1X1,N1X2,1X2,2......X2,N1-1X2,N1X3,1X3,2......X3,N1-1X3,N1X4,1X4,2......X4,N1-1X4,N1|]]>
B1=|Y1,1Y1,2......Y1,N1-1Y1,N1Y2,1Y2,2......Y2,N1-1Y2,N1Y3,1Y3,2......Y3,N1-1Y3,N1Y4,1Y4,2......Y4,N1-1Y4,N1|]]>一個(gè)新矩陣C1,其可以確定為C1=B1-A1或C1=|Z1,1Z1,2......Z1,N1-1Z1,N1Z2,1Z2,2......Z2,N1-1Z2,N1Z3,1Z3,2......Z3,N1-1Z3,N1Z4,1Z4,2......Z4,N1-1Z4,N1|]]>其中�,Zj,i=Y(jié)j�,i-Xj,i�����;i=1�����,N1�;j=1��,4然而����,本發(fā)明不限于從i到N1這樣的值����。例如�,在一個(gè)實(shí)施方式中,如果沒有相關(guān)信息的明顯缺失����,可以將向量規(guī)模進(jìn)一步降低至15(N1=15)。
可以確定矩陣C1到二元分類形式的轉(zhuǎn)換����,其中每個(gè)矩陣元素確定為二元值(binary value)。在一個(gè)實(shí)施方式中��,這可以通過用W替換矩陣C1的每個(gè)元素Zj���,i得到����,其中W是任意的邏輯加權(quán)系數(shù) 結(jié)果是矩陣C1包括如1���,-1這樣的元素��。而且�,所得的矩陣C1表示關(guān)于進(jìn)程的指紋。然而�����,本發(fā)明不限于這些數(shù)值���,并且如果不偏離本發(fā)明的范圍或主旨��,實(shí)際上可以使用其它任何數(shù)值��、數(shù)值的集合和類似物���。
使用熵分析對指紋分類下文進(jìn)一步描述了圖7的進(jìn)程700。為確定將向決策引擎提供的計(jì)數(shù)����,例如,使用C1*PVT=D來確定N1維空間中的4個(gè)向量的延伸形式的表示式����。其中����,PVT是具有分量PV1��,PV2�����,...��,PVN1的模式向量��,而D是具有分量D1��,D2�����,D3和D4的輸出向量���,使得|Z1,1Z1,2......Z1,N1-1Z1,N1Z2,1Z2,2......Z2,N1-1Z2,N1Z3,1Z3,2......Z3,N1-1Z3,N1Z4,1Z4,2......Z4,N1-1Z4,N1|*|PV1............PVN1|=|D1D2D3D4|]]>為了保持二元格式(binary format)的計(jì)數(shù)值,可以使用如下規(guī)則min(D)=min(D1,D2,D3,D4)={1,ifmin(D)<0-1,ifmin(D)>0]]>下面����,通過識(shí)別在原始信息中的相關(guān)特征、取出這樣的特征并測量它們����,可以對模式進(jìn)行分類�。隨后�����,可以將這些測量值傳送至可對模式進(jìn)行分類的分類器�。
圖8說明了一個(gè)圖示800,其通常顯示將兩個(gè)向量Xi和Yi轉(zhuǎn)換成一個(gè)計(jì)數(shù)輸出(ZiT∪W)*PV=Di的進(jìn)程的一個(gè)實(shí)施方式�����。如圖所示���,向量Xi和Yi表示輸入數(shù)據(jù)����。類似地�,向量Zi=(Zi1,Zi2��,......ZiN)表示增量事件���。而且���,系數(shù)W表示任意的加權(quán)(如前所示),而向量PV=(PV1�����,PV2�,.....,PVN)表示理想模式向量�����。例如�����,假定1是理想值��,那么PV可以是(1�,1,......1)����。然而,本發(fā)明沒有這樣的限制���,而PV也可以用其它值來表示�。單個(gè)值Di表示兩個(gè)向量Xi和Yi的轉(zhuǎn)換的總的輸出結(jié)果。
圖9說明了一個(gè)圖示�,按照本發(fā)明,其通常顯示了變換矩陣以確定一些計(jì)數(shù)輸出的進(jìn)程的一個(gè)實(shí)施方式���。特別是����,如圖所示�,示意圖900說明了從矩陣A和B到一些不同計(jì)數(shù)輸出D的變換,其基于變換(Z∪W)*PVT=D�����。如圖所示��,將矩陣A和B輸入至這個(gè)變換���。矩陣Z表示增量事件的矩陣����,而W是任意加權(quán)系數(shù)的矩陣。此外��,向量PV=(PV1�,PV2,.....�,PVK)表示理想模式向量��。變換的總的輸出結(jié)果由向量D=(D1���,D2�����,.....���,DK)來表示。
此外���,K個(gè)N維向量Xi�����、Yi和Zi��,其中i=1���,k���,分別表示矩陣A、B和Z�����。
當(dāng)已知類別的數(shù)目并且如此的訓(xùn)練模式使類別之間存在幾何分隔���,那么可以使用判別函數(shù)(DF)對未知模式進(jìn)行分類��。
例如�,考慮這樣一種情況����,其中兩個(gè)類別C1和C2存在于Rn尺寸空間,且可見超線D(X)=0���,其分隔相關(guān)模式�����。然后可以使用DF D(X)作為分類器來區(qū)分每個(gè)新模式���。此應(yīng)用是基于D(X)>0→∈C1D(X)<0→∈C2超線D(X)=0有時(shí)被認(rèn)為是判別邊界���。也存在線性的或非線性的分類器���,其分別與線性或非線性DF相關(guān)��。任務(wù)是識(shí)別使用哪一種DF可獲得非?�?煽康慕Y(jié)果���。
可以使用多種機(jī)制來實(shí)現(xiàn)決策引擎。在一個(gè)實(shí)施方式中����,決策引擎使用具有非線性分類器的判別函數(shù),該非線性分類器是基于確定類別C1和C2組合的反向熵RE�����。即RE=1-NE其中�����,NE是標(biāo)準(zhǔn)熵。本方法使用了模糊和神經(jīng)學(xué)機(jī)制���。然而����,本發(fā)明不限于這種方法�,如果不偏離本發(fā)明的范圍和主旨,可使用其它的方法�。
對分類器可以使用平衡原則,而對熵確定使用自然對數(shù)函數(shù)log2���。如果正確的和不正確的值大約相等平衡��,那么這種情況的熵大約等于0并可以使用超點(diǎn)D(X)=0作為分隔兩個(gè)類別C1和C2的判別邊界���。
在一個(gè)實(shí)施方式中,最初在類別C1中收集的正確數(shù)據(jù)值的數(shù)目與在類別C2中收集的不正確數(shù)據(jù)值的數(shù)目大致相等�。此外,正確數(shù)據(jù)值和不正確數(shù)據(jù)值的數(shù)目的總和可以保持常數(shù)并等于值VS����。
當(dāng)接收到來自方框704的數(shù)據(jù)計(jì)數(shù)時(shí)�����,根據(jù)其是正確數(shù)據(jù)還是不正確數(shù)據(jù)��,將其與合適的類別C1或C2相關(guān)�。在第一種情況中����,數(shù)據(jù)接收導(dǎo)致了那一類中的數(shù)據(jù)總量加1。為了將總額VS基本上保持在一個(gè)常量��,將縮減其它類別的數(shù)據(jù)量��。然后���,進(jìn)行關(guān)于類別C1和C2的數(shù)目之間的比較。當(dāng)判定類別C2中不正確數(shù)據(jù)的數(shù)目BN充分大于類別C1中正確數(shù)據(jù)的數(shù)目GN(即D(X)>0)�,根據(jù)FS=1+(BN/VS)*log2(BN/VS)+(GN/VS)*log2(GN/VS)確定來自決策引擎的最終計(jì)數(shù)FS。
而且�����,最終計(jì)數(shù)FS表示正在被估值的進(jìn)程模式的熵�。
可以用范圍從0到1(包含0和1)的數(shù)值CL來對置信度賦值���。當(dāng)FS≥CL可對被檢測的模式做最終判定。類似地����,最終判定可以基于百分?jǐn)?shù)測量FS%=FS*100%因此,如果判定所計(jì)算出的最大錯(cuò)誤在指定的錯(cuò)誤范圍內(nèi)(置信度)����,那么判定該結(jié)果能充分可靠地判斷未授權(quán)行為是否被檢測到?�;跈z測�����,可以采取多種動(dòng)作中的任一種動(dòng)作來最小化訪問內(nèi)容����,其包括但不局限于刪除內(nèi)容、鎖定計(jì)算機(jī)�、禁止可疑程序的執(zhí)行、發(fā)送錯(cuò)誤消息及其它��。
上面的說明書�、例子和數(shù)據(jù)提供了本發(fā)明的組成的制造及使用的詳細(xì)描述��。由于不偏離本發(fā)明的主旨和范圍而能夠完成本發(fā)明的許多實(shí)施方式��,因而本發(fā)明駐留于下文所附的權(quán)利要求中���。
權(quán)利要求
1.一種用于檢測計(jì)算設(shè)備上未授權(quán)行為的方法,其包括選擇在所述計(jì)算設(shè)備上與多個(gè)進(jìn)程中的每個(gè)進(jìn)程相關(guān)的多個(gè)參數(shù)�����;為與所述多個(gè)進(jìn)程中的每個(gè)進(jìn)程相關(guān)的所述多個(gè)參數(shù)收集數(shù)據(jù)���;使用增量事件來確定所述多個(gè)進(jìn)程的至少一個(gè)子集的指紋����;動(dòng)態(tài)地確定所述多個(gè)進(jìn)程的所述子集的熵����;并且如果所述確定的熵提示在所述計(jì)算設(shè)備上有未授權(quán)行為��,那么就執(zhí)行預(yù)先確定的動(dòng)作�����。
2.如權(quán)利要求1所述的方法,其中�,選擇所述多個(gè)參數(shù)進(jìn)一步包括基于計(jì)算設(shè)備特征來選擇所述多個(gè)參數(shù),其包括操作系統(tǒng)特征���、存儲(chǔ)器特征或輸入/輸出(I/O)設(shè)備特征的至少一個(gè)特征�。
3.如權(quán)利要求1所述的方法���,其中���,所述多個(gè)參數(shù)包括存儲(chǔ)器度量、內(nèi)核度量�����、資源使用度量��、時(shí)間度量�、輸入/輸出度量和規(guī)模度量中的至少一個(gè),它們與配置在所述計(jì)算設(shè)備上執(zhí)行的至少一個(gè)進(jìn)程相關(guān)�。
4.如權(quán)利要求1所述的方法,進(jìn)一步包括通過在所述消耗所述計(jì)算設(shè)備的中央處理器(CPU)資源的所述多個(gè)進(jìn)程內(nèi)選擇進(jìn)程來確定所述多個(gè)進(jìn)程的所述子集�����。
5.如權(quán)利要求4所述的方法,其中����,所述CPU資源進(jìn)一步包括CPU時(shí)間百分?jǐn)?shù)。
6.如權(quán)利要求1所述的方法�,其中,為所述多個(gè)參數(shù)收集數(shù)據(jù)進(jìn)一步包括通過為第一個(gè)時(shí)間間隔記錄所述多個(gè)參數(shù)來生成第一個(gè)數(shù)據(jù)集合�����;通過為第二個(gè)時(shí)間間隔記錄所述多個(gè)參數(shù)來生成第二個(gè)數(shù)據(jù)集合��。
7.如權(quán)利要求6所述的方法��,使用增量事件來確定指紋進(jìn)一步包括從所述第二個(gè)數(shù)據(jù)集合中減去所述第一個(gè)數(shù)據(jù)集合以生成差值的數(shù)據(jù)集合���,其中��,所述減法是基于同一個(gè)進(jìn)程和所述第一個(gè)與第二個(gè)數(shù)據(jù)集合中的同一個(gè)參數(shù)�����;和使用邏輯加權(quán)系數(shù),將所述差值的數(shù)據(jù)集合轉(zhuǎn)換成二元數(shù)據(jù)集合�����,所述二元數(shù)據(jù)集合代表所述多個(gè)進(jìn)程的所述子集中每一個(gè)所述進(jìn)程的指紋。
8.如權(quán)利要求7所述的方法�,其中,減去進(jìn)一步包括如果所述第一個(gè)數(shù)據(jù)集合和所述第二個(gè)數(shù)據(jù)集合在多個(gè)進(jìn)程中存在不同����,那么在實(shí)施所述減法之前,在所述第一個(gè)數(shù)據(jù)集合和所述第二個(gè)數(shù)據(jù)集合之間選擇一個(gè)公共的進(jìn)程集合��。
9.如權(quán)利要求1所述的方法���,其中�,動(dòng)態(tài)地確定熵進(jìn)一步包括基于分析的����、模糊的或神經(jīng)學(xué)機(jī)制中的至少一個(gè)機(jī)制來確定所述熵。
10.如權(quán)利要求10所述的方法�����,其中���,動(dòng)態(tài)地確定熵進(jìn)一步包括確定在所述進(jìn)程子集中的另一個(gè)進(jìn)程子集�,其與預(yù)先確定的一類正確的理想?yún)?shù)失配最大;確定在第一類進(jìn)程中的多個(gè)正確參數(shù)�,其中,所述第一類進(jìn)程包括在所述另一個(gè)進(jìn)程子集中經(jīng)確定在超線上方的進(jìn)程�����;確定在第二類進(jìn)程中的多個(gè)不正確參數(shù)��,其中��,所述第二類進(jìn)程包括在所述另一個(gè)進(jìn)程子集中經(jīng)確定在超線下方的進(jìn)程�;和如果所述不正確參數(shù)的數(shù)目充分大于所述正確參數(shù)的數(shù)目,那么基于所述不正確參數(shù)數(shù)目���、正確參數(shù)數(shù)目以及正確與不正確參數(shù)的總數(shù)目的對數(shù)函數(shù)來確定所述熵��。
11.一種用于檢測在計(jì)算設(shè)備上未授權(quán)行為的方法����,包括選擇與在所述計(jì)算設(shè)備上的多個(gè)進(jìn)程中的每個(gè)進(jìn)程相關(guān)的多個(gè)參數(shù)�����;為與所述多個(gè)進(jìn)程中的每個(gè)進(jìn)程相關(guān)的所述多個(gè)參數(shù)收集數(shù)據(jù);確定關(guān)于所述多個(gè)進(jìn)程的至少一個(gè)子集的指紋�;動(dòng)態(tài)地確定關(guān)于所述多個(gè)進(jìn)程的所述子集的熵�;和如果所述確定的熵提示在所述計(jì)算設(shè)備上有未授權(quán)行為,那么執(zhí)行預(yù)先確定的動(dòng)作�。
12.如權(quán)利要求11所述的方法,其中�,確定指紋進(jìn)一步包括針對與在所述多個(gè)進(jìn)程的所述子集內(nèi)的每個(gè)進(jìn)程相關(guān)的所述多個(gè)參數(shù)的所述已收集數(shù)據(jù)使用增量事件分析,其中����,所述增量事件分析進(jìn)一步包括確定在關(guān)于多個(gè)所述數(shù)據(jù)收集時(shí)間間隔之間所共有的每個(gè)進(jìn)程的所述多個(gè)參數(shù)中的每個(gè)參數(shù)之間差值的增量。
13.如權(quán)利要求11所述的方法�,其中,動(dòng)態(tài)地確定熵進(jìn)一步包括基于在所述多個(gè)進(jìn)程的所述子集中的每個(gè)進(jìn)程所使用的CPU時(shí)間百分?jǐn)?shù)���,從所述進(jìn)程的子集中選擇進(jìn)程的另一個(gè)子集�����;確定在另一個(gè)進(jìn)程子集中的進(jìn)程�����,其與預(yù)先確定的一類正確的理想?yún)?shù)失配最大�����;確定在第一類進(jìn)程內(nèi)的多個(gè)正確參數(shù)��,其中��,所述第一類進(jìn)程包括在所述另一個(gè)進(jìn)程子集中經(jīng)確定在超線上方的進(jìn)程�;確定在第二類進(jìn)程內(nèi)的多個(gè)不正確參數(shù),其中��,所述第二類進(jìn)程包括在所述另一個(gè)進(jìn)程子集中經(jīng)確定在所述超線下方的進(jìn)程��;以及如果所述不正確參數(shù)的數(shù)目充分大于所述正確參數(shù)的數(shù)目����,那么基于所述不正確參數(shù)數(shù)目、正確參數(shù)數(shù)目以及正確和不正確參數(shù)總數(shù)的對數(shù)函數(shù)�����,來確定所述熵��。
14.一種計(jì)算機(jī)可讀媒介��,其具有計(jì)算機(jī)可執(zhí)行部件以用于檢測在計(jì)算設(shè)備上的未授權(quán)行為����,所述部件包括一個(gè)收發(fā)器�����,其用于接收和發(fā)送信息�;一個(gè)處理器�,其與所述收發(fā)器通信����;和一個(gè)存儲(chǔ)器,其與所述處理器通信并用于存儲(chǔ)數(shù)據(jù)和機(jī)器指令����,其使得所述處理器執(zhí)行操作,包括選擇與所述計(jì)算設(shè)備上的至少一個(gè)進(jìn)程相關(guān)的至少一個(gè)參數(shù)��;為所述至少一個(gè)進(jìn)程的所述至少一個(gè)參數(shù)收集數(shù)據(jù)��;部分基于所述數(shù)據(jù)收集中的增量事件確定至少一個(gè)進(jìn)程的指紋�;動(dòng)態(tài)確定所述至少一個(gè)進(jìn)程的熵;和如果所述確定的熵提示在所述計(jì)算設(shè)備上有未授權(quán)行為�,執(zhí)行預(yù)先確定的動(dòng)作。
15.如權(quán)利要求14所述的計(jì)算機(jī)可讀媒介�,其中�����,選擇所述至少一個(gè)參數(shù)進(jìn)一步包括基于所述計(jì)算設(shè)備的特征來選擇所述至少一個(gè)參數(shù)���。
16.如權(quán)利要求14所述的計(jì)算機(jī)可讀媒介,進(jìn)一步包括通過選擇消耗所述計(jì)算設(shè)備的預(yù)先確定資源的進(jìn)程來確定所述至少一個(gè)進(jìn)程���。
17.如權(quán)利要求14所述的計(jì)算機(jī)可讀媒介��,其中����,為所述至少一個(gè)進(jìn)程的至少一個(gè)參數(shù)收集數(shù)據(jù)進(jìn)一步包括通過為第一個(gè)時(shí)間間隔記錄所述至少一個(gè)參數(shù)來生成第一個(gè)數(shù)據(jù)集合�;和通過為第二個(gè)時(shí)間間隔記錄所述至少一個(gè)參數(shù)來生成第二個(gè)數(shù)據(jù)集合。
18.如權(quán)利要求17所述的計(jì)算機(jī)可讀媒介�����,至少部分基于增量事件來確定指紋進(jìn)一步包括確定所述第一個(gè)數(shù)據(jù)集合和所述第二個(gè)數(shù)據(jù)集合之間差值的數(shù)據(jù)集合����,其中,所述確定是基于在所述第一個(gè)和第二個(gè)數(shù)據(jù)集合中同一個(gè)進(jìn)程和同一個(gè)參數(shù)��;和通過使用邏輯加權(quán)系數(shù)將所述差值的數(shù)據(jù)集合轉(zhuǎn)換成二元數(shù)據(jù)集合,所述二元數(shù)據(jù)集合表示所述至少一個(gè)進(jìn)程的指紋�����。
19.如權(quán)利要求14所述的計(jì)算機(jī)可讀媒介����,其中,動(dòng)態(tài)地確定熵進(jìn)一步包括確定在所述至少一個(gè)進(jìn)程中的進(jìn)程����,其與預(yù)先確定的一類理想正確參數(shù)失配最大����;確定在第一類進(jìn)程中的多個(gè)正確參數(shù),其中�,所述第一類進(jìn)程包括至少部分基于所述數(shù)據(jù)收集被確定在超線上方的進(jìn)程;確定在第二類進(jìn)程中的個(gè)多不正確參數(shù)����,其中,所述第二類進(jìn)程包括至少部分基于所述數(shù)據(jù)收集被確定在所述超線下方的進(jìn)程��;和如果所述不正確參數(shù)的數(shù)目大于所述正確參數(shù)的數(shù)目�,那么基于所述不正確參數(shù)數(shù)目���、正確參數(shù)數(shù)目以及正確和不正確參數(shù)的總數(shù)的對數(shù)函數(shù),來確定所述熵�����。
20.一種調(diào)制數(shù)據(jù)信號(hào)���,其用于檢測在計(jì)算設(shè)備中的未授權(quán)行為�����,所述調(diào)制數(shù)據(jù)信號(hào)包括指令����,其使所述計(jì)算設(shè)備能夠執(zhí)行的動(dòng)作為為多個(gè)進(jìn)程中的每個(gè)進(jìn)程的至少一個(gè)參數(shù)���,在第一個(gè)周期收集第一個(gè)數(shù)據(jù)集合����,其中��,在所述第一個(gè)數(shù)據(jù)集合的所述收集過程中,所述多個(gè)進(jìn)程中的至少一個(gè)進(jìn)程在所述計(jì)算設(shè)備上執(zhí)行�����;為另外多個(gè)進(jìn)程中的每個(gè)進(jìn)程的至少一個(gè)參數(shù)����,在第二個(gè)周期收集第二個(gè)數(shù)據(jù)集合,其中��,在第二個(gè)數(shù)據(jù)集合的所述收集過程中��,所述另外多個(gè)進(jìn)程中的至少一個(gè)進(jìn)程在所述計(jì)算設(shè)備上執(zhí)行���;從所述多個(gè)進(jìn)程和另外多個(gè)進(jìn)程中選擇一個(gè)進(jìn)程集合��;至少部分地對所選進(jìn)程集合使用增量事件分析,來確定所選進(jìn)程集合的指紋�����;動(dòng)態(tài)地確定關(guān)于所選進(jìn)程集合的熵���;和如果所述確定的熵提示在所述計(jì)算設(shè)備上有未授權(quán)行為����,那么執(zhí)行預(yù)先確定的動(dòng)作。
21.如權(quán)利要求20所述的調(diào)制數(shù)據(jù)信號(hào)�����,其中�����,如果所述確定的熵提示有未授權(quán)行為���,進(jìn)一步包括將所述確定的熵與置信度比較���。
22.如權(quán)利要求20所述的調(diào)制數(shù)據(jù)信號(hào),其中動(dòng)態(tài)地確定熵進(jìn)一步包括確定在第一類進(jìn)程中的多個(gè)正確參數(shù)���,其中����,所述第一類進(jìn)程包括在所述所選進(jìn)程集合內(nèi)經(jīng)確定在超線上方的進(jìn)程�����;確定在第二類進(jìn)程中的多個(gè)不正確參數(shù),其中��,所述第二類進(jìn)程包括在所述所選進(jìn)程集合內(nèi)經(jīng)確定在所述超線下方的進(jìn)程�����;和如果不正確參數(shù)的所述數(shù)目充分大于正確參數(shù)的所述數(shù)目���,那么基于所述不正確參數(shù)數(shù)目�、正確參數(shù)數(shù)目以及正確和不正確參數(shù)的總數(shù)的對數(shù)函數(shù)����,來確定所述熵。
23.如權(quán)利要求20所述的調(diào)制數(shù)據(jù)信號(hào)�����,其使用增量事件來確定指紋進(jìn)一步包括關(guān)于所述至少一個(gè)參數(shù)確定所述第一個(gè)數(shù)據(jù)集合和所述第二個(gè)數(shù)據(jù)集合之間增量差值的集合�����;使用邏輯加權(quán)系數(shù)�,將所述增量差值的集合轉(zhuǎn)換成二元數(shù)據(jù)集合���,所述二元數(shù)據(jù)集合表示所選進(jìn)程集合的指紋���。
24.一種用于檢測在計(jì)算設(shè)備中未授權(quán)行為的裝置���,包括用于為與在所述計(jì)算設(shè)備上執(zhí)行的進(jìn)程集合相關(guān)的參數(shù)收集數(shù)據(jù)的裝置;用于根據(jù)所述收集的數(shù)據(jù)并使用增量事件方法來確定指紋的裝置����;用于動(dòng)態(tài)地確定所述進(jìn)程的至少一個(gè)子集的熵的裝置;和如果所述確定的熵提示在所述計(jì)算設(shè)備上有未授權(quán)行為����,用于執(zhí)行動(dòng)作的裝置。
全文摘要
描述了一種用于保護(hù)數(shù)字信息不受未授權(quán)訪問的裝置�、系統(tǒng)和方法。配置本發(fā)明以使用數(shù)字指紋識(shí)別���、模式識(shí)別和實(shí)時(shí)入侵證據(jù)收集來監(jiān)控未授權(quán)訪問��。當(dāng)檢測到未授權(quán)訪問時(shí)���,提供基于業(yè)務(wù)規(guī)則的適當(dāng)響應(yīng),其包括中止執(zhí)行內(nèi)容播放器�����。本發(fā)明長期監(jiān)控一組預(yù)先確定且與客戶端設(shè)備上至少一個(gè)進(jìn)行相關(guān)的參數(shù),以檢測狀態(tài)的變化�����。使用該狀態(tài)變化生成關(guān)于該進(jìn)程的指紋�����。隨后對收集到的附加數(shù)據(jù)應(yīng)用統(tǒng)計(jì)分析以判斷該附加數(shù)據(jù)是否指示未授權(quán)行為�。
文檔編號(hào)G06F11/00GK1973268SQ200580021167
公開日2007年5月30日 申請日期2005年6月17日 優(yōu)先權(quán)日2004年6月24日
發(fā)明者格倫·A·莫頓, 奧斯卡·V·茲胡克 申請人:威德萬技術(shù)公司