ANOMALY DETECTION USING SEQUENCES OF SYSTEM CALLS

Systems and methods of detecting a call sequence anomaly in a message-based operating system are provided. A message may be received that indicates a programmatic procedure of an operating system was invoked. The message may include a programmatic procedure identifier, a sender process identifier, and a receiver process identifier. An invocation hash may be generated based on the message. The invocation hash may be translated to a smaller invocation identifier. The invocation identifier may be included in a translated call sequence that comprises invocation identifiers for a series of invocations. Depending on whether the translated call sequence is included in previously generated predetermined call sequences, the translated call sequence may be determined as an anomaly or not an anomaly. L'invention concerne des systèmes et des procédés de détection d'une anomalie par séquence d'appels dans un système d'exploitation basé sur un message. Un message peut être reçu, et ce message indique qu'une procédure de programmation d'un système d'exploitation a été invoquée. Le message peut comprendre un identificateur de procédure de programmation, un identificateur de processus expéditeur et un identificateur de processus récepteur. Un hachage d'invocation peut être généré sur la base du message. Le hachage d'invocation peut être traduit en identificateur d'invocation plus petit. L'identificateur d'invocation peut être inclus dans une séquence d'appels traduite qui comprend des identificateurs d'invocations pour une série d'invocations. Suivant si la séquence d'appels traduite est incluse ou non dans des séquences d'appels prédéfinies générées au préalable, il peut être déterminé si la séquence d'appels traduite est ou n'est pas une anomalie.