CN105160248A - 一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统及方法 - Google Patents

Abstract

本发明公开了一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统及方法。包括进程信息获取模块、进程模式训练模块、进程模式数据库模块、进程模式匹配模块、进程处理模块；通过获取虚拟机的操作系统类型，根据虚拟机的操作系统类型确定与操作系统类型对应的内核数据结构偏移数组，根据内核数据结构偏移数组获取虚拟机中各进程的进程信息，与利用基于相关性剪枝BP神经网络训练方法训练得到的进程行为模式数据库进行匹配，可以准确识别宿主机上不同操作系统的多个虚拟机进程是否有恶意进程，并及时将判断结果输出到处理模块。本发明具有高准确度和实时性的优点。

Description

一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统及方法

技术领域

本发明属于恶意程序识别领域，尤其涉及一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统及方法。

背景技术

目前，云计算因其具有资源利用率高、可扩展性好、管理灵活等优点得到了高速发展，作为云计算的支撑技术之一的虚拟化技术具有重要作用。在VMware、Denali、Xen、KVM等主要虚拟化技术中，Xen虚拟化技术因其性能稳定、占用资源少且开源而应用最为广泛。

通常，Xen虚拟机上运行着若干个客户操作系统，每个操作系统上又运行着若干个进程，进程作为系统资源分配和调度的基本单位，是操作系统动态执行的基本单元。如果操作系统中存在恶意进程，将会对虚拟机造成严重影响，如资源过度消耗，数据丢失或隐蔽通道等。因此，识别Xen虚拟机中的恶意进程非常重要。

目前，针对Xen虚拟机的恶意进程识别的相关研究还未见报道，但是已有部分关于Xen虚拟机的进程信息获取相关成果，主要有：专利201310485094.1公开的一种虚拟机进程监控方法和装置，通过解析每台虚拟机内核中的task_struct结构来获取进程信息，但没有给出具体的识别正常进程和恶意进程的方法；专利201310290430.7公布的一种IaaS云环境下轻量级虚拟机进程追踪系统和方法，通过监视虚拟机内部事件构建进程高级语义视图，得到虚拟机内进程以及进程之间的关联关系，但没有给出得到进程信息后的处理方法。

以上对虚拟机安全研究主要集中在虚拟机上运行进程的实时检测方向，但都只能针对不同操作系统解析虚拟机内核的task_struct结构来获取进程信息，并没有给出具体的识别所监控的进程是否是恶意进程的方法，也没有给出对恶意进程的控制方法。

发明内容

本发明的目的是提供一种能够对恶意进程进行识别，并及时做出相应处理的基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统。本发明的目的还包括提供一种计算速度快、实用性强的基于相关性剪枝神经网络的Xen虚拟机恶意进程识别方法。

一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统，包括进程信息获取模块、进程模式训练模块、进程模式数据库模块、进程模式匹配模块、进程处理模块；

进程信息获取模块包括获取模块、查询模块和确定模块，获取模块首先获取Xen虚拟机内存的中断描述符表寄存器的base数值，根据base数值获取操作系统类型，并将操作系统类型输出到查询模块；

查询模块接收获取模块输入的操作系统类型，查询预设的内核数据结构偏移集合，确定与操作系统类型对应的内核数据结构偏移数组，数据结构偏移数组为一个二元组，第一个元素是操作系统类型对应的虚拟机的进程链表数据结构，第二个元素是操作系统类型对应的虚拟机中进程信息的偏移量，根据得到的进程链表数据结构确定操作系统类型对应的虚拟机中各进程对应的结构体的虚拟地址，将该虚拟地址和进程信息偏移量输出到确定模块；

确定模块接收虚拟地址和进程信息偏移量后，获取所述操作系统类型对应的虚拟机中各进程的进程信息，当本系统的工作状态为进程模式训练阶段时，将进程信息输出给进程模式训练模块，当本系统的工作状态为进程模式匹配阶段时，将进程信息输出到进程模式匹配模块；

进程模式训练模块，采用基于相关性剪枝BP神经网络的进程模式训练方法对进程信息进行训练，得到正常进程行为模式和恶意进程行为模式，并将正常进程行为模式和恶意进程行为模式输出到进程模式数据库模块；

进程模式数据库模块，将进程模式训练模块输入的正常进程行为模式存储到正常进程行为模式数据库，将进程模式训练模块输入恶意进程行为模式存储到恶意进程行为模式数据库；

进程模式匹配模块对接收到的进程信息与恶意进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则该进程是恶意进程，并将匹配结果输出到进程处理模块；若匹配不成功，将该进程信息与正常进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则认为是正常进程，并将匹配结果输出到进程处理模块；若匹配仍不成功，则输出“无法识别”到进程处理模块；

进程处理模块对进程模式匹配模块的输入结果进行处理，若输入是正常进程，则不做处理；若是恶意进程，则发出警报信息；若是“无法识别”，则由用户手动处理该进程。

本发明一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统，还可以包括：

1、基于相关性剪枝BP神经网络的输入层具有5个神经元，接收正常进程样本或恶意进程样本x₁,x₂,x₃,x₄,x₅，中间层具有10个神经元，输出层具有2个神经元，输出层的输出表示进程行为模式；中间层输出h_j，j＝1,2,…,10，输入层与中间层神经元之间的连接权值w_ij，i＝1,2,…,5,j＝1,2,…,10，中间层与输出层神经元之间的连接权值v_jk，j＝1,2,…,10,k＝1,2，中间层阈值a＝[a₁,a₂,…,a₁₀]，输出层阈值b＝[b₁,b₂]。

一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别方法，包括以下步骤，

步骤一：初始化，设置本系统的工作状态为进程模式训练阶段，即stage＝0；

步骤二：获取模块首先获取Xen虚拟机内存的中断描述符表寄存器的base数值，根据base数值获取操作系统类型，并将操作系统类型输出到查询模块；

步骤三：查询模块接收获取模块输入的操作系统类型，查询预设的内核数据结构偏移集合，确定与操作系统类型对应的内核数据结构偏移数组，数据结构偏移数组为一个二元组，第一个元素是操作系统类型对应的虚拟机的进程链表数据结构，第二个元素是操作系统类型对应的虚拟机中进程信息的偏移量，根据得到的进程链表数据结构确定操作系统类型对应的虚拟机中各进程对应的结构体的虚拟地址，将该虚拟地址和进程信息偏移量输出到确定模块；

步骤四：确定模块接收虚拟地址和进程信息偏移量后，获取所述操作系统类型对应的虚拟机中各进程的进程信息，当本系统的工作状态为进程模式训练阶段时，即stage＝0，进入步骤五，当本系统的工作状态为进程模式匹配阶段时，即stage＝1，进入步骤七；

步骤五：进程模式训练模块，采用基于相关性剪枝BP神经网络的进程模式训练方法对进程信息进行训练，得到正常进程行为模式和恶意进程行为模式，并将正常进程行为模式和恶意进程行为模式输出到进程模式数据库模块，将本系统的工作状态置为进程模式匹配阶段，即stage＝1；

步骤六：进程模式数据库模块，将进程模式训练模块输入的正常进程行为模式存储到正常进程行为模式数据库，将进程模式训练模块输入恶意进程行为模式存储到恶意进程行为模式数据库；

步骤七：进程模式匹配模块对接收到的进程信息与恶意进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则该进程是恶意进程，并将匹配结果输出到进程处理模块；若匹配不成功，将该进程信息与正常进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则认为是正常进程，并将匹配结果输出到进程处理模块；若匹配仍不成功，则输出“无法识别”到进程处理模块；

步骤八：进程处理模块对进程模式匹配模块的输入结果进行处理，若输入是正常进程，则不做处理；若是恶意进程，则发出警报信息；若是“无法识别”，则由用户手动处理该进程。

本发明一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别方法还可以包括：

1、基于相关性剪枝BP神经网络的进程模式训练方法为：

(1)基于相关性剪枝BP神经网络的输入层接收正常进程或者恶意进程x₁,x₂,x₃,x₄,x₅；

(2)计算中间层输出h_j：

$h_j=f(\underset{i=1}{\overset{5}{\Σ}}{w}_{ij}{x}_i-a_j),j=1,2,...,10$

其中，f为中间层激励函数，w_ij，i＝1,2,…,5，为输入层与中间层神经元之间的连接权值，a＝[a₁,a₂,…,a₁₀]为中间层阈值，

计算中间层两个隐节点的输出的相关性系数r_ij：

$r_{ij}=\frac{\underset{p}{\Σ}{h}_{ip}{h}_{jp}-n\stackrel{\‾}{h_i}\stackrel{\‾}{h_j}}{{\left(\underset{p}{\Σ}{\left(h_{ip}-\stackrel{\‾}{h_i}\right)}^2\right)}^{\frac{1}{2}}{\left(\underset{p}{\Σ}{\left(h_{jp}-\stackrel{\‾}{h_j}\right)}^2\right)}^{\frac{1}{2}}}$

其中，p为样本数，h_ip和h_jp为中间层节点i和j对所有样本的输出序列，和为其均值，如果r_ij>K，则进行相关性剪枝，即将这两个中间层节点合并成一个节点；

(3)计算输出层输出o_k：

$o_k=\underset{j=1}{\overset{2}{\Σ}}{h}_j{v}_{jk}-b_k,k=1,2$

其中，v_jk为中间层与输出层神经元之间的连接权值，b＝[b₁,b₂]为输出层阈值；

(4)更新中间层神经元之间的连接权值w_ij和中间层与输出层神经元之间的连接权值v_jk：

w_ij(t+1)＝w_ij+η[(1-β)D(t)+βD(t-1)],i＝1,2,…,5,j＝1,2,…,10

v_jk(t+1)＝v_jk(t)+η[(1-β)E(t)+βE(t-1)].j＝1,2,…,10,k＝1,2

其中，η为学习速率，β动量因子， $D\left(t\right)=-\∂J/\∂w_{ij}\left(t\right),E\left(t\right)=-\∂J/\∂v_{jk}\left(t\right),$ 为在样本p作用时输出节点k的目标值，为输出节点k在样本p作用时的输出，N为训练样本个数；

(5)根据网络输出o_k和期望输出y_k之间的误差更新阈值a_j，b_k：

$a_j(t+1)=a_j\left(t\right)+{\mathrm{\ηh}}_j(1-h_j)\underset{k=1}{\overset{2}{\Σ}}{w}_{jk}(y_k-o_k).j=1,2,......10,k=1,2$

b_k(t+1)＝b_k(t)+(y_k-o_k).k＝1,2。

有益效果：

本发明提出了一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别装置，不仅能获取Xen虚拟机中进程信息，而且能识别所监控进程是否恶意进程。本发明采用相关性剪枝思想解决了神经网络学习速度慢的问题，提升了本发明的实用性和适用性。

本发明针对恶意进程对Xen虚拟机有巨大危害的问题，提出一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别装置，用于监控Xen虚拟机下不同客户操作系统中运行的各种进程，对恶意进程进行识别，并及时做出相应处理。

(1)本发明将获取的进程信息采用基于相关性剪枝的BP神经网络算法进行训练，可将相关性较大的中间层节点合并，提高训练速度。

(2)本发明将训练结果存入数据库，再实时获取虚拟机中进程信息直接与数据库里信息进行模式匹配，使恶意进程识别具有较高的时效性。

(3)本发明不仅提出了恶意进程识别方法，而且提出了对恶意进程的处理方法，可以及时处理恶意进程。

附图说明

图1为一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别装置的部署图。

具体实施方式

下面将结合附图对本发明做进一步详细说明。

本发明的一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别装置部署于Xen虚拟机的特权域VM₀中，它能通过Xen虚拟机监视器XenHypervisor获取客户操作系统VM₁、VM₂、……VM_n中的进程信息。该装置具体包括进程信息获取模块、进程模式训练模块、进程模式数据库模块、进程模式匹配模块、进程处理模块五个部分。

当装置首次运行时，将表示装置工作阶段的stage变量设置为0。当stage＝0时，表示进程模式训练阶段；当stage＝1时，表示进程模式匹配阶段。

(1)进程信息获取模块。进程信息获取模块分为三个子模块：获取模块、查询模块和确定模块。

①获取模块首先获取Xen虚拟机内存的中断描述符表寄存器(IDTR)的base数值，根据base数值再获取操作系统类型，并将操作系统类型输出到查询模块。

②查询模块接收获取模块输入的操作系统类型，查询预设的内核数据结构偏移集合，确定与操作系统类型对应的内核数据结构偏移数组，该数组是一个二元组：(进程链表数据结构，进程信息偏移量)。具体为，第一个元素是操作系统类型对应的虚拟机的进程链表数据结构，第二个元素是操作系统类型对应的虚拟机中各进程信息在结构体中的偏移量。查询模块根据所述进程链表数据结构确定所述操作系统类型对应的虚拟机中各进程对应的结构体的虚拟地址，并将该虚拟地址和前述的进程信息偏移量输出到确定模块。

③确定模块接收查询模块输入的虚拟地址和进程信息偏移量，获取所述操作系统类型对应的虚拟机中各进程的进程信息。当stage＝0时，将所述获取的进程信息输出到进程模式训练模块；当stage＝1时，将所述获取的进程信息输出到进程模式匹配模块。

(2)进程模式训练模块。当stage＝0时,进程模式训练模块采用基于相关性剪枝BP神经网络的进程模式训练方法对进程信息获取模块输入的进程信息进行训练，得到正常进程行为模式和恶意进程行为模式，并将正常进程行为模式和恶意进程行为模式输出到进程模式数据库模块。当进程模式训练完成时，设置stage＝1。

(3)进程模式数据库模块。进程模式数据库模块将进程模式训练模块输入的正常进程行为模式存储到正常进程行为模式数据库，将进程模式训练模块输入恶意进程行为模式存储到恶意进程模块数据库。

(4)进程模式匹配模块。当stage＝1时，进程模式匹配模块采用基于Wu-Manber多模式匹配算法，对进程信息获取模块输入的进程信息与恶意进程行为模式数据库中数据模式进行模式匹配。若匹配成功，则该进程是恶意进程，并将匹配结果输出到进程处理模块；若匹配不成功，将该进程信息与正常进程行为模式数据库中数据模式进行模式匹配。若此时匹配成功，则认为是正常进程，并将匹配结果输出到进程处理模块；若此时匹配仍不成功，则输出“无法识别”到进程处理模块。

(5)进程处理模块。进程处理模块对进程模式匹配模块的输入结果进行处理，若输入是正常进程，则不做处理；若是恶意进程，则发出警报信息，由用户决定杀死进程、挂起进程；若是“无法识别”，则由用户手动处理该进程。

前述的步骤(2)中的基于相关性剪枝BP神经网络的进程模式训练方法还具体包括：

1)其中基于相关性剪枝BP神经网络的输入层具有5个神经元，接收正常进程样本或恶意进程样本x₁,x₂,x₃,x₄,x₅，中间层具有10个神经元，输出层具有2个神经元，输出层的输出表示进程行为模式。中间层输出h_j(j＝1,2,…,10)，输入层与中间层神经元之间的连接权值w_ij(i＝1,2,…,5,j＝1,2,…,10)，中间层与输出层神经元之间的连接权值v_jk(j＝1,2,…,10,k＝1,2),中间层阈值a＝[a₁,a₂,…,a₁₀]，输出层阈值b＝[b₁,b₂]。

2)前述的基于相关性剪枝BP神经网络的中间层输出h_j(j＝1,2,…,10)的计算方法还包括：

$h_j=f(\underset{i=1}{\overset{5}{\Σ}}{w}_{ij}{x}_i-a_j),j=1,2,...,10---\left(1\right)$

式中，f为中间层激励函数，x_i(i＝1,2,…,5)为第i个输入神经元变量。

设同一中间层内两个隐节点i和j的输出的相关性系数为r_ij，如果r_ij>0.8,则进行相关性剪枝，即将这两个中间层节点合并成一个节点。其中

$r_{ij}=\frac{\underset{p}{\Σ}{h}_{ip}{h}_{jp}-n\stackrel{\‾}{h_i}\stackrel{\‾}{h_j}}{{\left(\underset{p}{\Σ}{\left(h_{ip}-\stackrel{\‾}{h_i}\right)}^2\right)}^{\frac{1}{2}}{\left(\underset{p}{\Σ}{\left(h_{jp}-\stackrel{\‾}{h_j}\right)}^2\right)}^{\frac{1}{2}}}---\left(2\right)$

式中，p为样本数，h_ip和h_jp为中间层节点i和j对所有样本的输出序列，和为其均值。

3)前述的基于相关性剪枝BP神经网络的输出层输出o_k(k＝1,2)的计算方法还包括：

$o_k=\underset{j=1}{\overset{2}{\Σ}}{h}_j{v}_{jk}-b_k,k=1,2---\left(3\right)$

根据学习速率η、动量因子β和w_ij(i＝1,2,…,5,j＝1,2,…,10)更新权值，根据网络输出o_k(k＝1,2)和期望输出y_k(k＝1,2)之间的误差更新阈值a_j(j＝1,2,…,10)，b_k(k＝1,2)。最终得到正常进程行为模式和恶意进程行为模式。

下面结合附图1对本发明实施例一进行详细描述:

具体包括进程信息获取模块、进程模式训练模块、进程模式数据库模块、进程模式匹配模块、进程处理模块五个部分。

当装置首次运行时，将表示装置工作阶段的stage变量设置为0。当stage＝0时，表示进程模式训练阶段；当stage＝1时，表示进程模式匹配阶段。

(1)进程信息获取模块。进程信息获取模块分为三个子模块：获取模块、查询模块和确定模块。

①获取模块获取虚拟机的操作系统类型。对于本宿主机上正在运行的虚拟机或者刚从其他宿主机迁移到本宿主机的虚拟机，获取模块判断Xen虚拟机内存的中断描述表寄存器(IDTR)的limit数值是否为“0xFF”，若limit＝“0xFF”，则表示IDT寄存器已初始化完成，获取模块获取中断描述表(IDT)寄存器的base数值，然后根据base数值判断虚拟机的操作系统类型。

②查询模块根据获取模块输入的操作系统类型，查询预设的内核数据结构偏移集合，确定与操作系统类型对应的内核数据结构偏移数组，该数组是一个二元组：(进程链表数据结构，进程信息偏移量)。具体为，第一个元素是操作系统类型对应的虚拟机的进程链表数据结构，第二个元素是操作系统类型对应的虚拟机中各进程信息在结构体中的偏移量。查询模块根据所述进程链表数据结构确定所述操作系统类型对应的虚拟机中各进程对应的结构体的虚拟地址，并将该虚拟地址和前述的进程信息偏移量输出到确定模块。

③确定模块根据查询模块输入的虚拟地址和进程信息偏移量获取所述操作系统类型对应的虚拟机中各进程的进程信息。当stage＝0时，将所述获取的进程信息输出到进程模式训练模块；当stage＝1时，将所述获取的进程信息输出到进程模式匹配模块。

(2)进程模式训练模块。当stage＝0时,进程模式训练模块采用基于相关性剪枝BP神经网络的训练算法对进程信息获取模块输入的进程信息进行训练，得到正常进程行为模式和恶意进程行为模式，并将正常进程行为模式和恶意进程行为模式输出到进程模式数据库模块。当进程模式训练完成时，设置stage＝1。

(3)进程模式数据库模块。进程模式数据库模块将进程模式训练模块输入的正常进程行为模式存储到正常进程行为模式数据库，将进程模式训练模块输入恶意进程行为模式存储到恶意进程模块数据库。

(4)进程模式匹配模块。当stage＝1时，进程模式匹配模块对进程信息进行匹配。具体为：

步骤一：进程模式匹配模块采用基于Wu-Manber多模式匹配算法，对进程信息获取模块输入的进程信息与恶意进程行为模式数据库中数据模式进行模式匹配。若匹配成功，则该进程是恶意进程，并将匹配结果输出到进程处理模块；若匹配不成功，进入步骤二。

步骤二：将该进程信息与正常进程行为模式数据库中数据模式进行模式匹配。若此时匹配成功，则认为是正常进程，并将匹配结果输出到进程处理模块；若此时匹配仍不成功，进入步骤三。

步骤三：输出“无法识别”到进程处理模块。

(5)进程处理模块。进程处理模块对进程模式匹配模块的输入结果进行处理，若输入是正常进程，则不做处理；若是恶意进程，则发出警报信息，由用户决定杀死进程、挂起进程；若是“无法识别”，则由用户手动处理该进程。

基于相关性剪枝BP神经网络的进程模式训练方法还具体包括：

1)其中基于相关性剪枝BP神经网络的输入层具有5个神经元，接收正常进程样本或恶意进程样本x₁,x₂,x₃,x₄,x₅，中间层具有10个神经元，输出层具有2个神经元，输出层的输出表示进程行为模式。中间层输出h_j(j＝1,2,…,10)，输入层与中间层神经元之间的连接权值w_ij(i＝1,2,…,5,j＝1,2,…,10)，中间层与输出层神经元之间的连接权值v_jk(j＝1,2,…,10,k＝1,2),中间层阈值a＝[a₁,a₂,…,a₁₀]，输出层阈值b＝[b₁,b₂]。

2)前述的基于相关性剪枝BP神经网络的中间层输出h_j(j＝1,2,…,10)的计算方法还包括：

$h_j=f(\underset{i=1}{\overset{5}{\Σ}}{w}_{ij}{x}_i-a_j),j=1,2,...,10---\left(4\right)$

式中，f为中间层激励函数，x_i(i＝1,2,…,5)为第i个输入神经元变量。

设同一中间层内两个隐节点i和j的输出的相关性系数为r_ij，如果r_ij>0.8,则进行相关性剪枝，即将这两个中间层节点合并成一个节点。其中

$r_{ij}=\frac{\underset{p}{\Σ}{h}_{ip}{h}_{jp}-n\stackrel{\‾}{h_i}\stackrel{\‾}{h_j}}{{\left(\underset{p}{\Σ}{\left(h_{ip}-\stackrel{\‾}{h_i}\right)}^2\right)}^{\frac{1}{2}}{\left(\underset{p}{\Σ}{\left(h_{jp}-\stackrel{\‾}{h_j}\right)}^2\right)}^{\frac{1}{2}}}---\left(5\right)$

式中，p为样本数，h_ip和h_jp为中间层节点i和j对所有样本的输出序列，和为其均值。

3)前述的基于相关性剪枝BP神经网络的输出层输出o_k(k＝1,2)的计算方法还包括：

$o_k=\underset{j=1}{\overset{2}{\Σ}}{h}_j{v}_{jk}-b_k,k=1,2---\left(6\right)$

4)前述的基于相关性剪枝BP神经网络的w_ij(i＝1,2,…,5,j＝1,2,…,10)权值更新计算方法还包括：

w_ij(t+1)＝w_ij+η[(1-β)D(t)+βD(t-1)],i＝1,2,…,5,j＝1,2,…,10(7)

v_jk(t+1)＝v_jk(t)+η[(1-β)E(t)+βE(t-1)].j＝1,2,…,10,k＝1,2(8)

式中，η为学习速率，β为动量因子， $D\left(t\right)=-\∂J/\∂w_{ij}\left(t\right),E\left(t\right)=-\∂J/\∂v_{jk}\left(t\right),$ 为在样本p作用时输出节点k的目标值，为输出节点k在样本p作用时的输出，N为训练样本个数。

5)前述的基于相关性剪枝BP神经网络的阈值a_j(j＝1,2,…,10)，b_k(k＝1,2)更新计算方法还包括：

$a_j(t+1)=a_j\left(t\right)+{\mathrm{\ηh}}_j(1-h_j)\underset{k=1}{\overset{2}{\Σ}}{w}_{jk}(y_k-o_k).j=1,2,......10,k=1,2---\left(9\right)$

b_k(t+1)＝b_k(t)+(y_k-o_k).k＝1,2(10)

式中，η为学习速率。

最终得到正常进程行为模式和恶意进程行为模式。

本实施例中，通过获取虚拟机的操作系统类型，根据虚拟机的操作系统类型确定与操作系统类型对应的内核数据结构偏移数组，根据内核数据结构偏移数组获取虚拟机中各进程的进程信息，与利用基于相关性剪枝BP神经网络训练方法训练得到的进程行为模式数据库进行匹配，可以准确识别宿主机上不同操作系统的多个虚拟机进程是否有恶意进程，并及时将判断结果输出到处理模块，具有高准确度和实时性的优点。

Claims (4)

1.一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统，其特征在于：包括进程信息获取模块、进程模式训练模块、进程模式数据库模块、进程模式匹配模块、进程处理模块；

进程信息获取模块包括获取模块、查询模块和确定模块，获取模块首先获取Xen虚拟机内存的中断描述符表寄存器的base数值，根据base数值获取操作系统类型，并将操作系统类型输出到查询模块；

查询模块接收获取模块输入的操作系统类型，查询预设的内核数据结构偏移集合，确定与操作系统类型对应的内核数据结构偏移数组，数据结构偏移数组为一个二元组，第一个元素是操作系统类型对应的虚拟机的进程链表数据结构，第二个元素是操作系统类型对应的虚拟机中进程信息的偏移量，根据得到的进程链表数据结构确定操作系统类型对应的虚拟机中各进程对应的结构体的虚拟地址，将该虚拟地址和进程信息偏移量输出到确定模块；

确定模块接收虚拟地址和进程信息偏移量后，获取所述操作系统类型对应的虚拟机中各进程的进程信息，当本系统的工作状态为进程模式训练阶段时，将进程信息输出给进程模式训练模块，当本系统的工作状态为进程模式匹配阶段时，将进程信息输出到进程模式匹配模块；

进程模式训练模块，采用基于相关性剪枝BP神经网络的进程模式训练方法对进程信息进行训练，得到正常进程行为模式和恶意进程行为模式，并将正常进程行为模式和恶意进程行为模式输出到进程模式数据库模块；

进程模式数据库模块，将进程模式训练模块输入的正常进程行为模式存储到正常进程行为模式数据库，将进程模式训练模块输入恶意进程行为模式存储到恶意进程行为模式数据库；

进程模式匹配模块对接收到的进程信息与恶意进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则该进程是恶意进程，并将匹配结果输出到进程处理模块；若匹配不成功，将该进程信息与正常进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则认为是正常进程，并将匹配结果输出到进程处理模块；若匹配仍不成功，则输出“无法识别”到进程处理模块；

进程处理模块对进程模式匹配模块的输入结果进行处理，若输入是正常进程，则不做处理；若是恶意进程，则发出警报信息；若是“无法识别”，则由用户手动处理该进程。

2.根据权利要求1所述的一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统，其特征在于：所述的基于相关性剪枝BP神经网络的输入层具有5个神经元，接收正常进程样本或恶意进程样本x₁,x₂,x₃,x₄,x₅，中间层具有10个神经元，输出层具有2个神经元，输出层的输出表示进程行为模式；中间层输出h_j，j＝1,2,…,10，输入层与中间层神经元之间的连接权值w_ij，i＝1,2,…,5,j＝1,2,…,10，中间层与输出层神经元之间的连接权值v_jk，j＝1,2,…,10,k＝1,2，中间层阈值a＝[a₁,a₂,…,a₁₀]，输出层阈值b＝[b₁,b₂]。

3.基于权利要求1所述的一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别系统的识别方法，其特征在于：包括以下步骤，

步骤一：初始化，设置本系统的工作状态为进程模式训练阶段，即stage＝0；

步骤二：获取模块首先获取Xen虚拟机内存的中断描述符表寄存器的base数值，根据base数值获取操作系统类型，并将操作系统类型输出到查询模块；

步骤三：查询模块接收获取模块输入的操作系统类型，查询预设的内核数据结构偏移集合，确定与操作系统类型对应的内核数据结构偏移数组，数据结构偏移数组为一个二元组，第一个元素是操作系统类型对应的虚拟机的进程链表数据结构，第二个元素是操作系统类型对应的虚拟机中进程信息的偏移量，根据得到的进程链表数据结构确定操作系统类型对应的虚拟机中各进程对应的结构体的虚拟地址，将该虚拟地址和进程信息偏移量输出到确定模块；

步骤四：确定模块接收虚拟地址和进程信息偏移量后，获取所述操作系统类型对应的虚拟机中各进程的进程信息，当本系统的工作状态为进程模式训练阶段时，即stage＝0，进入步骤五，当本系统的工作状态为进程模式匹配阶段时，即stage＝1，进入步骤七；

步骤五：进程模式训练模块，采用基于相关性剪枝BP神经网络的进程模式训练方法对进程信息进行训练，得到正常进程行为模式和恶意进程行为模式，并将正常进程行为模式和恶意进程行为模式输出到进程模式数据库模块，将本系统的工作状态置为进程模式匹配阶段，即stage＝1；

步骤六：进程模式数据库模块，将进程模式训练模块输入的正常进程行为模式存储到正常进程行为模式数据库，将进程模式训练模块输入恶意进程行为模式存储到恶意进程行为模式数据库；

步骤七：进程模式匹配模块对接收到的进程信息与恶意进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则该进程是恶意进程，并将匹配结果输出到进程处理模块；若匹配不成功，将该进程信息与正常进程行为模式数据库中数据模式进行模式匹配，若匹配成功，则认为是正常进程，并将匹配结果输出到进程处理模块；若匹配仍不成功，则输出“无法识别”到进程处理模块；

步骤八：进程处理模块对进程模式匹配模块的输入结果进行处理，若输入是正常进程，则不做处理；若是恶意进程，则发出警报信息；若是“无法识别”，则由用户手动处理该进程。

4.根据权利要求3所述的一种基于相关性剪枝神经网络的Xen虚拟机恶意进程识别方法，其特征在于：所述的基于相关性剪枝BP神经网络的进程模式训练方法为：

(1)基于相关性剪枝BP神经网络的输入层接收正常进程或者恶意进程x₁,x₂,x₃,x₄,x₅；

(2)计算中间层输出h_j：

$h_j=f(\underset{i=1}{\overset{5}{\Σ}}{w}_{ij}{x}_i-a_j),j=1,2,...,10$

其中，f为中间层激励函数，w_ij，i＝1,2,…,5，为输入层与中间层神经元之间的连接权值，a＝[a₁,a₂,…,a₁₀]为中间层阈值，

计算中间层两个隐节点的输出的相关性系数r_ij：

$r_{ij}=\frac{\underset{p}{\Σ}{h}_{ip}{h}_{jp}-n\stackrel{\‾}{h_i}\stackrel{\‾}{h_j}}{{\left(\underset{p}{\Σ}{\left(h_{ip}-\stackrel{\‾}{h_i}\right)}^2\right)}^{\frac{1}{2}}{\left(\underset{p}{\Σ}{\left(h_{jp}-\stackrel{\‾}{h_j}\right)}^2\right)}^{\frac{1}{2}}}$

其中，p为样本数，h_ip和h_jp为中间层节点i和j对所有样本的输出序列，和为其均值，如果r_ij>K，则进行相关性剪枝，即将这两个中间层节点合并成一个节点；

(3)计算输出层输出o_k：

$o_k=\underset{j=1}{\overset{2}{\Σ}}{h}_j{v}_{jk}-b_k,k=1,2$

其中，v_jk为中间层与输出层神经元之间的连接权值，b＝[b₁,b₂]为输出层阈值；

(4)更新中间层神经元之间的连接权值w_ij和中间层与输出层神经元之间的连接权值v_jk：

w_ij(t+1)＝w_ij+η[(1-β)D(t)+βD(t-1)],i＝1,2,…,5,j＝1,2,…,10

v_jk(t+1)＝v_jk(t)+η[(1-β)E(t)+βE(t-1)].j＝1,2,…,10,k＝1,2

其中，η为学习速率，β动量因子， $D\left(t\right)=-\∂J/\∂w_{ij}\left(t\right),E\left(t\right)=-\∂J/\∂v_{jk}\left(t\right),$ 为在样本p作用时输出节点k的目标值，为输出节点k在样本p作用时的输出，N为训练样本个数；

(5)根据网络输出o_k和期望输出y_k之间的误差更新阈值a_j，b_k：

$a_j(t+1)=a_j\left(t\right)+{\mathrm{\ηh}}_j(1-h_j)\underset{k=1}{\overset{2}{\Σ}}{w}_{jk}(y_k-o_k).j=1,2,......10,k=1,2$

b_k(t+1)＝b_k(t)+(y_k-o_k).k＝1,2。