检测伪装攻击的装置和方法与流程

1.本发明涉及通过监视计算机用户行为来检测伪装攻击的装置和方法.


背景技术：

2.许多计算机安全研究都集中在防止未经授权和非法访问系统和信息的方法上. 然而，最具破坏性的恶意活动之一是组织内部滥用的结果.这可能是因为大部分注意力都集中在针对计算机病毒、蠕虫、木马、黑客、间谍软件、密钥恢复攻击、拒绝服务攻击、恶意软件、探针等的预防措施上.以至于很少有人将注意力集中在内部.
3.内部威胁通常包括伪装者，伪装者通常包括冒充其他内部用户的攻击者.例如，金融交易系统中的身份盗窃就是伪装攻击的一个例子.在窃取银行客户的商业身份 (例如，他们的信用卡或帐户信息)后，伪装者会出于恶意目的使用客户的信用额度来窃取这些凭据.在另一个例子中，心怀不满的内部员工通常完全了解他经常使用的系统和有效的安全策略，并利用他的知识和访问权限进行未经授权的活动.在又一个实施例中，心怀不满的内部员工可以在窃取组织内另一名员工的身份时充当叛徒和伪装者.
4.此外，当外部攻击者获得内部网络访问权限时，一些外部攻击者可能会成为内部攻击者.例如，外部攻击者可以使用间谍软件访问内部网络.此类软件可以通过物理或数字媒体(例如电子邮件、下载等)轻松安装在计算机系统上，并且可以为攻击者提供机器上的管理员访问权限以及收集敏感数据的能力.具体而言，攻击者可以窥探或窃听计算机或网络、下载和泄露数据、窃取资产和信息、破坏关键资产和信息和/或修改信息.间谍软件能够隐藏自己并躲避检测.设法在内部安装间谍软件的外部攻击者实际上成为了内部人员，从而增加了造成伤害的能力.
5.当前的检测方法通常监控用户发出的命令行调用、异常应用程序使用或事件的系统调用、数据库或文件访问以及组织策略管理规则和合规性日志.例如，一种特定的检测方法通过专门监控违反“需要知道”策略的情况来检测恶意内部活动.另一种方法构建自适应命令行界面.然而，这些方法在发出命令或运行进程时未能揭示或阐明用户的意图.此外，这些检测方法产生的结果具有不可接受的误报率.
6.因此，本领域需要通过监视计算机用户行为来检测伪装攻击的方法.因此，需要提供克服现有技术的这些和其他缺陷的方法、系统.


技术实现要素：

7.本发明提供一种通过监视计算机用户行为来检测伪装攻击的装置和方法.
8.内部攻击通常包括来自叛徒的攻击和来自已经获得访问计算环境的权限的伪装者的攻击.叛徒可以是组织内的合法用户，该用户已被授予访问系统和其他信息资源的权限，但其行为与政策背道而驰，其目标是对某些信息资产的机密性、完整性或可用性产生负面影响.伪装者可以是成功窃取合法用户身份并出于恶意目的冒充合法用户的攻击者.例如，一旦伪装者窃取了银行客户的商业身份，包括信用卡和/ 或帐户信息，伪装者就会出于
使用客户的信用额度来窃取金钱的恶意目的而提供该信息.内部攻击者、叛徒和伪装者有时在本文中被称为攻击者.
9.然而，攻击者通常不太可能知道受害计算机用户在使用文件系统时的行为.例如，每个单独的计算机用户通常非常了解他自己的文件系统，以便以有限的、有针对性的和独特的方式进行搜索，以便找到与当前任务密切相关的信息.在另一个例子中，一些个人计算机用户每次登录时都会启动相同或相似的命令以在使用环境之前设置他们的环境——例如，启动一些应用程序，例如阅读电子邮件、打开网络浏览器和/或开始聊天会话.另一方面，攻击者通常不知道用户的文件系统和/或用户桌面的布局.因此，攻击者通常以不同于被冒充的受害者用户的方式进行更广泛的搜索.例如，攻击者可能会从事广泛的搜索活动，因为攻击者可能不熟悉系统本地资源，或者攻击者可能在发起攻击之前正在探索文件系统.
10.在一些实施例中，提供伪装检测方法来监视用户的动作并确定当前用户动作是否与用户的历史行为一致.例如，这些机制创建特定用户的行为和意图的一个或多个模型，并确定当前用户操作是否偏离一个或多个模型.在另一个实施例中，用户操作(例如，用户命令、windows应用程序、基于注册表的活动、dll活动等) 被分类为允许模型更容易地检测指示用户意图的行为模式的类别.在更具体的实施例中，可以对与搜索活动相关的行为进行建模以检测文件系统上异常数量的搜索活动，这可以指示攻击者已经获得对文件系统的入口.这样，可以对特定用户的搜索类别进行建模.
11.在一些实施例中，这些伪装检测方法可包括可用于混淆、欺骗和/或检测试图泄露和/或使用信息的恶意内部攻击者的陷阱.这些陷阱使用诱饵信息(此处有时称为“诱饵信息”、“诱饵流量”、“诱饵媒体”或“诱饵文档”)来吸引、欺骗和/或迷惑攻击者.例如，可以生成大量诱饵信息并将其插入到网络流中，并且可以生成大量诱饵文档或包含诱饵信息的文档并将其放置在文件系统中以引诱潜在的攻击者.在另一个实施例中，可以生成诱饵文档，这些文档是机器生成的文档，其中包含诱使内部攻击者窃取虚假信息的内容.除其他外，诱饵信息可用于降低攻击者的系统知识水平，诱使攻击者执行揭示其存在和/或身份的操作，以及发现和跟踪攻击者的未授权活动.
12.应该注意的是，包含诱饵信息的文件(例如，诱饵密码文件、带有虚假信用卡信息的文件等)可用于减少和/或消除使用上述伪装检测模型的检测器生成的误报，如果用户在访问诱饵文件之前或同时访问了包含诱饵信息的文件并执行了异常行为，则检测器或传感器可以使用该信息来确定可能发生伪装攻击.伪装检测模型可用于减少和/或消除由监视诱饵文件的检测器生成的误报.
13.因此，提供伪装检测方法，其创建并使用计算机用户行为的模型来确定当前用户动作中的至少一个是否被视为异常，并且检测当前用户动作中的至少一个是否包括访问、传输、打开、执行和/或滥用文件系统上的诱饵信息.
14.在一些实施例中，提供了一种用于检测伪装攻击的方法，该方法包括：监控计算环境中的多个第一用户动作和诱饵信息的访问；为包括多个第一用户动作中的至少一个的类别生成用户意图模型；监控多个第二用户动作；通过确定与生成的用户意图模型的偏差，将多个第二用户动作与用户意图模型进行比较；至少部分地基于比较来识别多个第二用户动作是否是伪装攻击；响应于识别多个第二用户动作是伪装攻击并且响应于确定多个第二用
户动作包括访问计算环境中的诱饵信息，生成警报.
15.在一些实施例中，使用基于主机的异常传感器来执行检测.例如，基于主机的传感器可以持续监控用户行为并检测显著的行为差异或变化，这可能表明存在安全漏洞或恶意意图.基于主机的传感器还可以持续监控包含诱饵信息的文件是否已被访问.
16.在一些实施例中，用户动作被分类为上下级类别并且针对一个或多个类别生成用户意图模型.可以根据例如操作环境、用户等来选择这些类别进行建模.
17.根据一些实施例，提供了一种用于检测伪装攻击的系统，该系统包括处理器，该处理器：监视计算环境中的多个第一用户动作和诱饵信息的访问；为包括多个第一用户动作中的至少一个的类别生成用户意图模型；监视多个第二用户动作；通过确定与生成的用户意图模型的偏差，将多个第二用户动作与用户意图模型进行比较；至少部分地基于比较来识别多个第二用户动作是否是伪装攻击；并且响应于识别出多个第二用户动作是伪装攻击并且响应于确定多个第二用户动作包括访问计算环境中的诱饵信息而生成警报.
附图说明
18.图1是检测伪装攻击的装置的示意图.
具体实施方式
19.图1为可以实现伪装攻击检测方法的装置100的示意图.装置100包括多个协作系统102、104和106、通信网络108、受感染计算机110、通信线路112、检测和欺骗系统114以及攻击者计算机系统116.
20.协作系统102、104和106可以是由大学、企业、政府、非营利组织、家庭、个人和/或任何其他合适的人和/或实体拥有、运营和/或使用的系统.协作系统102、104 和106可以包括任何数量的用户计算机、服务器、防火墙、路由器、交换机、网关、无线网络、有线网络、入侵检测系统和任何其他合适的设备.协作系统102、104和 106可以包括一个或多个处理器，例如通用计算机、专用计算机、数字处理设备、服务器、工作站和/或各种其他合适的设备.协作系统102、104和106可以运行程序，例如操作系统、软件应用程序、功能和/或过程库、后台守护进程和/或各种其他合适的程序.在一些实施例中，协作系统102、104和106可以支持一个或多个虚拟机.装置100中可以存在任意数量(仅包括一个)协作系统102、104和106，并且协作系统102、104和106可以相同或不同.
21.通信网络108可以是用于促进计算机、服务器等之间通信的任何合适的网络. 例如，通信网络108可以包括专用计算机网络、公共计算机网络(例如因特网)、电话通信系统、有线电视系统、卫星通信系统、无线通信系统、任何其他合适的网络或系统，和/或此类网络和/或系统的任何组合.
22.受感染计算机110的用户是伪装者或内部攻击者，其合法地有权访问通信网络 108和/或一个或多个系统102、104和106，但使用他的访问权来实现非法目标.例如，受感染计算机110的用户可以是叛徒，其使用他自己的合法凭证来获得对通信网络108和/或一个或多个系统102、104和106的访问权，但是使用他的访问权以达到不正当的目的.在另一个实施例中，受感染计算机110的用户可以是伪装成另一个内部用户的伪装者.此外，受感染计算机110可以是任何计算机、服务器或其他合适的设备，用于发起计算机威胁，例如病毒、
蠕虫、木马、间谍软件、密钥恢复攻击、拒绝服务攻击、恶意软件、探头等.
23.在一些实施例中，当外部攻击者获得内部网络访问权限时，外部攻击者可以成为内部攻击者.例如，使用间谍软件，外部攻击者可以获得对通信网络108的访问权.此类软件可以通过物理或数字媒体(例如电子邮件、下载等)轻松安装在计算机系统上，从而为外部攻击者提供管理员或机器上的“root”访问权限以及收集敏感数据的能力.外部攻击者还可以窥探或窃听一个或多个系统102、104和106或通信网络108，下载和泄露数据，窃取资产和信息，破坏关键资产和信息，和/或修改信息.
24.在一些实施例中，受感染计算机110的所有者可能不知道受感染计算机110正在执行什么操作或者可能不受受感染计算机110的控制.受感染计算机110可以在控制下行动另一台计算机(例如，攻击计算机系统116)或基于先前的计算机攻击自主地使用病毒、蠕虫、特洛伊木马、间谍软件、恶意软件、探针等感染计算机110. 例如，一些恶意软件可以被动地收集通过的信息通过受感染计算机110.在另一个实施例中，一些恶意软件可以利用受感染计算机110与其他系统102、104和106之间的信任关系通过感染其他系统来扩展网络访问.在又一实施例中，一些恶意软件可以通过渗漏通道120与攻击计算机系统116通信以传输机密信息(例如，ip地址、密码、信用卡号等).
25.应该注意的是，恶意代码可以注入到在文档中显示为图标的对象中.响应于手动选择图标，恶意代码可以发起针对第三方易受攻击的应用程序的攻击.恶意代码也可以嵌入文档中，恶意代码不会自动执行.相反，恶意代码在环境的文件存储中处于休眠状态，等待未来攻击提取隐藏的恶意代码.
26.或者，在一些实施例中，受感染计算机110和/或攻击计算机系统116可由具有恶意意图的个人或组织操作.例如，通过使用恶意代码和/或渗漏通道120，受感染计算机110的用户或攻击计算机系统116的用户可以执行未经授权的活动(例如，在不使用通道120的情况下渗漏数据，从协作系统102、104和106)之一窃取信息等.
27.应当注意，装置100中可以存在任意数量的受感染计算机110和攻击计算机系统116，但是图1中仅示出了一个.
28.在一些实施例中，检测和欺骗系统114可以是用于生成正常用户行为和意图的模型、监控系统110中的用户行为以及建模、生成、插入、分发和/或将诱饵信息管理到系统100中.类似于协作系统102、104和106，检测和欺骗系统114可以运行程序，例如操作系统(os)、软件应用程序、函数和/或程序库、后台守护程序进程和/或各种其他合适的程序.在一些实施例中，检测和欺骗系统114可以支持一个或多个虚拟机.
29.例如，检测和欺骗系统114可以包括诱饵信息广播器以将诱饵交通信息注入通信网络108.在另一个实施例中，检测和欺骗系统114可以是分析信息、事件和信息的指定服务器或专用工作站.系统100中的网络流，基于该分析生成用户行为模型和诱饵信息，并将欺骗信息插入系统100.在又一实施例中，欺骗系统可以结合基于主机的安全应用程序运行，例如赛门铁克杀毒软件.在又一实施例中，检测和欺骗系统114可以是模拟协作系统102、104和106之间的信息、事件和流量的多个服务器或工作站.
30.在一些实施例中，检测和欺骗系统114可以包括多个传感器以监测、审计和 /或捕获关于装置100的用户的数据。例如，检测和欺骗系统114可以包括监测 基于注册表的活动的一个或多个传感器、进程创建和销毁、窗口图形用户界面 (gui)访问、动态链接库(dll)
活动和/或诱饵信息访问(参见例如图1)。使用这样 的传感器可以获得关于用户活动的信息，例如进程名称和进程标识、进程路径、 进程的父进程、进程操作的类型(例如，注册表访问的类型、进程创建、进程销 毁、等)、流程命令参数、操作标志(例如，成功或失败)和注册活动结果。传 感器获得的每条审计记录或信息都可以记录时间戳。在更具体的实施例中，传感 器可以基于用户使用的操作系统收集特定信息。在使用基于linux的操作系统 的数字处理设备中，传感器可以使用内核挂钩来获取进程创建事件和丰富的用户 命令。在使用microsoft windows操作系统的数字处理设备中，传感器可以使用 低级系统驱动程序、dll注册机制和系统表钩子来获取基于注册表的活动、进 程创建和销毁、窗口gui访问和dll图书馆活动。
31.传感器监控并记录特定用户的进程标识号、时间戳、分数、进程名称和命令参数、请求、进程路径、结果和任何其他合适的信息.
32.一种伪装检测方法，包括如下步骤：
33.步骤1，授予对文件系统的访问权.例如，可以响应于接收到合法的用户名和密码而授予访问权.
34.应当注意，响应于授予对文件系统的访问权限，可以存储受监控的用户行为(例如，用户命令、用户启动的应用程序、基于注册表的活动和/或dll活动)和模型，并将其与基于用户名的特定用户相关联.在另一个实施例中，模型可以被存储并与特定用户类型相关联，例如管理员用户或访客用户.
35.步骤2，作为响应，监视文件系统上的用户行为.类似地，可以使用一个或多个传感器(例如，windows传感器、linux传感器或用于任何合适操作系统的传感器)来监视关于用户活动的信息，例如进程名称和进程标识、进程路径、进程的父进程、进程操作的类型(例如，注册表访问类型、进程创建、进程销毁等)、进程命令参数、操作标志(例如，成功或失败)，以及注册活动结果.
36.步骤3，生成和监控包含文件系统上的诱饵信息的文件.应该注意的是，误报的一个缺点是可能会过于频繁地提醒合法用户的烦恼.另一方面，假阴性(例如，未被发现的伪装者)的一个缺点可能要危险得多.可以部署和监控这些包含诱饵信息的文件(例如，诱饵密码文件、带有虚假信用卡信息的文件等).随着用户行为和意图模型的生成以及当前用户操作(例如，用户命令、用户启动的应用程序、基于注册表的活动和/或dll活动)与生成的模型的比较，检测对包含诱饵信息的文件执行动作提供了更强有力的渎职证据，从而提高了检测和欺骗系统114的准确性. 因此，诱饵信息可用于减少和/或消除误报.
37.可以使用任何合适的方法生成和/或管理诱饵信息和/或诱饵文档.例如，检测和欺骗系统114可以搜索计算机上的文件(例如，协作系统102、104和106中的一个或多个)，从合法用户(例如，一个或多个协作系统)接收模板、文件或任何其他合适的输入.管理员用户)，监视通信网络108上的流量，或使用任何其他合适的方法来创建可信的诱饵信息.在更具体的实施例中，检测和欺骗系统114可以确定特定用户通常访问哪些文件(例如，前十名、最后二十名等)并生成类似于那些文件的诱饵信息.在另一个实施例中，检测和欺骗系统114可以执行搜索并确定各种用户名、密码、信用卡信息和/或可以存储在协作系统102、104和106中的一个或多个上的任何其他敏感信息.这些搜索结果、检测和欺骗系统114然后可以创建具有诱饵凭证、真实姓名、地址和登录名的基于表格的文件.或者，检测和欺骗系统
114可以监视文件系统并生成具有与在文件系统上访问的文件类似的文件名的诱饵文件或具有文件类型类似于在文件系统上访问的文件(例如，pdf文件、doc文件、url链接、html文件、jpg文件等).
38.应当注意，检测和欺骗系统114可以生成符合增强对伪装者的欺骗的特定属性的诱饵信息和诱饵文档.可以生成诱饵信息，使得文档可信、诱人、引人注目、可检测、可变、与实际或真实信息可区分、不干扰合法用户等.
39.在一些实施例中，诱饵信息可以与任何合适数量的内部或外部监控或警报方法结合以检测伪装者.例如，信标可以嵌入在文档或任何其他合适的诱饵信息中.如这里所使用的，信标可以是帮助区分诱饵信息与实际信息和/或帮助指示非法访问诱饵信息的攻击者的渎职行为的任何合适的代码或数据.在一些实施例中，这些隐蔽信标可以使信号被传输到服务器，该信号指示特定诱饵信息何时和/或在何处被打开、执行等.
40.在另一实施例中，诸如诱饵文档之类的诱饵信息可以与一个或多个无源信标相关联和/或嵌入其中.在更具体的实施例中，水印形式的无源信标可以嵌入到文档文件的二进制格式或文档文件格式的任何其他合适位置中.当诱饵信息被加载到存储器中或通过网络公开传输时，检测到水印.在一些实施例中，基于主机的监控应用程序可以被配置为当它检测到文档中的被动信标时发送信号或警报.
41.在又一实施例中，诱饵信息本身的内容可用于检测伪装者的潜在存在.诱饵信息的内容可以包括虚假登录(例如，google mail的虚假登录和密码).可以在诱饵文档中创建对网站的虚假登录，并通过外部方法进行监控(例如，轮询网站或使用访问mail.google.com并解析诱饵帐户页面以收集帐户活动信息的自定义脚本).
42.步骤4：在文件系统上监视用户行为和诱饵信息.在确定当前用户行为中的一个或多个异常后(例如，确定当前用户行为中的一个或多个偏离正常用户行为模型) 后，进行步骤5；
43.步骤5：确定当前用户中的至少一个动作，访问、执行、打印、复制、传输或对包含诱饵信息(诱饵文档)的文件执行合适的动作；
44.步骤6：响应于确定当前用户动作中的一个或多个异常并且响应于确定当前用户动作中的至少一个涉及访问、执行、打印、复制、传输和/或执行任何其他合适的对包含诱饵信息的文件进行操作时，会生成警报.例如，警报组件可以向文件系统的合法用户发送电子邮件.响应于接收到警报(例如，电子邮件消息)，可以提示合法用户指示警报是否是错误警报.在另一个实施例中，警报组件可以向管理员用户 (例如，信息技术专业人员)发送通知.在又一个实施例中，警报组件可以向主机传感器或基于主机的监控应用程序(例如防病毒软件应用程序)传输消息.
45.虽然伪装者可能能够捕获用户凭据和/或机密用户信息，但这些伪装者通常无法捕获或冒充特定用户的行为.通过为某个用户生成用户行为和意图的模型(例如，使用提交的用户操作的正常模式)，可以准确地检测到伪装者的行为与合法用户的行为不同.在一些实施例中，诱饵文档的结合和对这些诱饵文档执行的监控动作可以减少或消除由一个或多个模型产生的误报.
46.应当注意，在一些实施例中，用户活动(例如，用户命令、用户启动的应用程序、基于注册表的活动和/或dll活动)可以被置于上下文类别中.例如，用户命令可以被分类为多
个类别之一，因为某些类别的用户命令比其他类别更能揭示用户意图.在另一个实施例中，windows应用程序可以被分类为多个类别的应用程序之一.在更具体的实施例中，用户搜索行为可以是一组有趣的用户命令和/或命令类别以进行监视和分析，因为它表明用户缺乏他们正在寻找的信息.同样，伪装者不太可能深入了解受害者的机器(例如，文件、重要目录的位置、可用的应用程序等). 因此，伪装者可能在启动特定动作之前首先执行信息收集和搜索命令.在另一个实施例中，对其他系统的远程访问以及大量数据到远程系统的通信或输出可以是一组有趣的用户命令和/或命令类别，以进行监视和分析，因为此类命令和/或类别可以提供指示非法复制或分发敏感信息.
47.在另一个例子中，合法用户在每次登录到他们的环境之前，通过启动多个应用程序(例如，阅读电子邮件、打开网络浏览器、开始聊天会话)，往往会在每次用户登录到他们的环境之前启动相同的重复动作或活动.类似地，合法用户往往会在用户注销时清理和关闭特定应用程序并执行特定操作.这种重复的行为构成了一个配置文件，可以建模并用于在造成重大损害之前检查用户会话的真实性.因此，分类法中的某些类别可以揭示特定用户的用户意图.
48.在另一个实施例中，检测伪装攻击的方法，包括如下步骤：
49.步骤1，多个动作的每个动作(例如，用户命令、用户启动的应用程序、基于注册表的活动和/或dll活动)可以被分配一个类别类型.类别类型可以将这些操作或活动分为特定类别，例如访问控制、应用程序、通信和网络、显示和格式化、执行和程序控制、文件系统、i/o外围设备、搜索和信息收集、其他、进程管理、系统管理、未知和实用程序.
50.一些类别可以进一步划分或分类为子类别.例如，显示和格式化类别可以进一步分为文件转换命令或应用程序和编辑命令或应用程序.在另一个例子中，执行和程序控制类别可以进一步分为作业执行命令和程序控制命令.
51.应当注意，也可以创建任何其他合适的类别，并且可以基于例如操作环境(例如，windows、unix、chrome等)、用户类型(例如，管理员、访客等)来创建类别.
52.步骤2，基于指定的类别类型生成类别分类法.可以使用生成的类别分类法、用户命令、用户启动的应用程序、基于注册表的活动和/或dll活动来容易地识别和建模特定的用户行为.
53.应该注意的是，分类法抽象了审计数据并丰富了用户配置文件的含义.也就是说，执行类似操作类型的活动(例如命令、应用程序或dll活动)被组合到一个或多个类别中，从而使分析序列更加抽象和有意义.分类法可以减少复杂性，例如当观察到“从未见过的命令”时，因为不同的用户命令被其类别替换.因此，用户动作(例如，用户命令、用户启动的应用程序、基于注册表的活动和/或dll活动) 被分配一个类别类型，并且类别类型的序列被建模而不是单个动作.
54.步骤3，可以使用例如审计数据、被监视的用户动作等来生成用户行为和意图的模型.如上所述，一些类别可以比其他类别更多地揭示用户意图.因此，可以选择揭示用户意图的特定类别进行建模.例如，为了揭示特定用户的意图，可以选择与搜索、访问控制权限以及复制或打印信息相关的类别.在从这些类别(例如，在给定窗口中)收集用户行为后，可以为特定用户的分类法的一个或多个类别的提交动作的正常模式生成模型.
55.然而，需要注意的是，每个用户的用户行为都是不同的，因此可以为不同的用户选
择不同的类别.例如，管理用户可以拥有与来宾用户不同的一组可用命令.在另一个合适的实施例中，检测和欺骗系统114可以提示用户(例如，登录的用户、管理用户等)输入对与用户行为有关的问题的响应.例如，可以向用户提供用于输入对与用户搜索行为有关的问题(例如，最频繁的查询、特定文件夹位置等)的响应的界面.在另一个合适的实施例中，可以向管理员用户提供用于为公司特定部门中的特定用户选择类别的界面.或者，检测和欺骗系统114可以基于用户行为(例如，最频繁的搜索、接收敏感信息传输的前十个远程源等)从分类法中选择特定类别.
56.一旦确定了这些类别，就可以提取代表此类行为的特征.例如，可以将监视的
57.数据分组为10秒的用户活动量，其中每个时期提取七个特征，例如，搜索操作的数量(windows注册表的特定部分、特定dll和系统上的特定程序)与系统搜索相关)，非搜索操作的数量，用户引发的操作的数量(例如，手动启动或终止进程，打开窗口，手动搜索某些文件或某些内容等)，窗口的数量触摸(例如，将窗口置于前台、关闭窗口等)、新进程数、系统上运行的进程总数以及系统上运行的文档编辑应用程序总数.但是，可以为每个类别提取任何合适的特征.
58.步骤4，文件系统上的当前用户活动(例如，实时用户操作)被监控并与生成的“正常”用户行为和类别模型进行比较，以便确定其有害的可能性.
59.步骤5，基于比较，它可以确定被监控的一个或多个用户行为是否异常，从而检测到伪装攻击.
60.在一些实施例中，可以计算特定数量块的平均分数以确定总分数.响应于平均分数大于特定用户阈值，动作块(例如，命令)可以被视为异常并且伪装器块.
61.或者，在一些实施例中，可以计算海灵格距离的变化率.例如，可以将计算的海灵格距离与先前计算的海灵格距离进行比较，其中确定了海灵格距离之间的差异. 如果海灵格距离之间的变化率大于特定阈值，则可以认为该动作块是异常的并且是伪装块.
62.在一些实施例中，可以使用支持向量机建模方法来执行生成提交的用户行为的模型并将当前用户行为与该模型进行比较以确定其在步骤3和4中成为伪装者攻击的可能性。