CN109492389A - 一种机器学习自动化行为分析的行为威胁分析方法 - Google Patents

一种机器学习自动化行为分析的行为威胁分析方法 Download PDF

Info

Publication number
CN109492389A
CN109492389A CN201811288091.8A CN201811288091A CN109492389A CN 109492389 A CN109492389 A CN 109492389A CN 201811288091 A CN201811288091 A CN 201811288091A CN 109492389 A CN109492389 A CN 109492389A
Authority
CN
China
Prior art keywords
behavior
machine learning
user instruction
instruction sequence
analysis method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201811288091.8A
Other languages
English (en)
Other versions
CN109492389B (zh
Inventor
施勇
傅烨文
刘宁
何翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai leading Mdt InfoTech Ltd.
Original Assignee
施勇
傅烨文
刘宁
何翔
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 施勇, 傅烨文, 刘宁, 何翔 filed Critical 施勇
Priority to CN201811288091.8A priority Critical patent/CN109492389B/zh
Publication of CN109492389A publication Critical patent/CN109492389A/zh
Application granted granted Critical
Publication of CN109492389B publication Critical patent/CN109492389B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供一种机器学习自动化行为分析的行为威胁分析方法,接管系统内核所有程序执行管道;监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,在操作系统内部通道捕获进程和内核的行为信息,通过捕捉用户指令序列,由机器学习的方式分析其行为可疑程度,从而达到检测高级持续性威胁,检测效率高,能够较全面地分析攻击在系统层面的行为情况。

Description

一种机器学习自动化行为分析的行为威胁分析方法
技术领域
本发明是一种机器学习自动化行为分析的行为威胁分析方法,属于网络安全领域。
背景技术
现有技术中,随着网络中攻击越来越复杂,其在军事、商业方面的影响也越来越广,而攻击的复杂性导致高级持续性检测愈发的困难,该攻击的发展具体体现在攻击者不断使用各种攻击手段,变换已有的攻击方式,在缓慢顺利得渗透到内部网络后长期蛰伏,不断在网络中获取相关敏感信息并想方设法继续提升权限,直到获得重要敏感信息为止。对于隐蔽性极高的攻击,需要及时地对其进行发现和处理,保护运行系统的主体安全。
高级持续性威胁攻击(Advanced Persistent Threat,APT)可能在用户环境中存在一年以上或更久,不断收集各种信息,直到收集到重要情报。而这些发动高级持续性威胁攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物。这种攻击具有持续性甚至长达数年的特征,攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏,让网管人员无从察觉。
尽管APT在攻击过程上与普通攻击行为很类似,但在具体步骤上,作为一种有目标、有组织的攻击方式,APT的攻击行为特征难以提取、单点隐蔽能力强、攻击渠道多样化、攻击持续时间长,使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。
经对现有技术文献的检索发现,中国专利申请号为:CN201510203698.1名称为“一种高级持续性威胁攻击的判别方法”,包括如下步骤:采集终端样本程序系统API调用序列;通过MapReduce模块提取其API调用短序列,然后计算短序列的信息增益,筛选出信息增益大的程序行为特征;再次扫描该系统API调用序列,得到终端样本程序的行为特征;统计机器学习模型模块使用每个样本程序的行为特征作为输入,对其进行训练,直至其对训练样本程序分类正确率达到90%以上时,确定模型参数,将其作为APT攻击判别器;采集目标终端程序的系统调用序列;对目标程序,采集其API调用序列、提取其行为特征后,便可判别其是否存在攻击行为。本发明对APT攻击的检测能力强,缩短程序行为特征的提取时间。”利用该方法,能够实现识别APT攻击的效果,扩大了可分析的终端程序系统调用序列的规模,缩短了程序行为特征的提取时间。
发明内容
针对现有技术存在的不足,本发明目的是提供一种机器学习自动化行为分析的行为威胁分析方法,以解决上述背景技术中提出的问题。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种机器学习自动化行为分析的行为威胁分析方法,包括如下步骤:
步骤1:接管系统内核所有程序执行管道;
步骤2:监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;
步骤3:将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,若不低于阈值,则继续执行步骤4;
步骤4:持续监控这些用户的行为,返回步骤2继续执行。
进一步地,所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测。
进一步地,所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对。
所述步骤3包括:
步骤3.1:将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度;
步骤3.2:对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;
步骤3.3:当判决值小于阈值时,系统告警。
进一步地,所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库,其中用户的主机名、网址等信息用统一格式的标识符号代替。
进一步地,所述捕捉各类系统及应用层操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。
本发明的有益效果:本发明的一种机器学习自动化行为分析的行为威胁分析方法,在操作系统内部通道捕获进程和内核的行为信息,通过捕捉用户指令序列,由机器学习的方式分析其行为可疑程度,从而达到检测高级持续性威胁,检测效率高,能够较全面地分析攻击在系统层面的行为情况。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为一种机器学习自动化行为分析的行为威胁分析方法的流程示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
请参阅图1,本发明提供一种技术方案:一种机器学习自动化行为分析的行为威胁分析方法,包括如下步骤:
步骤1:接管系统内核所有程序执行管道;
步骤2:监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;
步骤3:将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,若不低于阈值,则继续执行步骤4;
步骤4:持续监控这些用户的行为,返回步骤2继续执行。
进一步地,所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测。
进一步地,所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对,用户指令序列库可人为进行数据的添加。
所述步骤3包括:
步骤3.1:将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度,其中用户指令的长度N可人为设定;
步骤3.2:对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;
步骤3.3:当判决值小于阈值时,系统告警。
进一步地,所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库,其中用户的主机名、网址等信息用统一格式的标识符号代替。
进一步地,所述捕捉各类系统及应用层操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。
一种机器学习自动化行为分析的行为威胁分析方法,使其能够在符合检测要求的前提下,尽可能获取黑客在系统内部的行为分析数据,对捕获到的进程及命令行参数,检测可疑的执行指令和代码,同时对网络数据流进行监控,判断数据流中可以的危害特征。主要用来分析恶意代码的攻击行为,并且与本地攻击行为进行联动分析。
针对Windows操作系统,这里是指Windows系统环境下的高级持续性威胁检测方法,利用系统内部通道捕获进程和内核的行为信息,通过分析操作行为的可疑程度,并匹配攻击特征库进行决策,动态分析网络流数据和特征。挖掘出本地操作行为和网络行为的相关性,确定是否存在恶意的攻击行为,从而达到检测高级持续性威胁的目的。
对于Windows操作系统下网络攻击行为,主要是指对高级持续性威胁的检测,具体的检测流程如图1所示,包括如下步骤:
第一步,接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,即捕捉所有执行性的操作,包括PE文件及各类脚本;将执行行为转化为操作指令(具有可观测性),即将具体执行过程中的各类指令转化为标准格式进行检测。具体地,使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况。将执行过程转化为指令进行检测。
第二步,将捕捉的指令序列交由用户指令交由用户指令序列库进行比对。其中,用户的主机名、网址等信息用统一格式的标识符号代替。
第三步,将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度,对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;当判决值小于阈值时,则系统告警,其中阈值可进行设定,设定范围在80-90%。
本发明通过对系统中异常执行行为、网络行为和文件操作行为分析,并对捕捉的行为特征进行策略匹配异常分析,将高级持续性攻击在系统中可能发生的操作进行告警。
本发明经过了功能测试,测试结果表明了本发明对于常见的高级持续性攻击的行为具有很好的检测率;特别是对于Windows系统平台下的通过网络进行渗透和攻击的情况,攻击检测率较高;该检测方法能够较全面地分析攻击在系统层面的行为情况;即使攻击比较复杂时,也能够检测出一部分攻击操作行为。
在黑客获得用户权限后,对于一个正常的用户行为,安全系统是很难分辨这个活动是来自于普通用户还是黑客,因为黑客在实施高级持续性威胁时,在最终获取重要信息资料之前,黑客不会执行特定的活动,不会执行有危害嫌疑的活动,以更好地隐藏自己,甚至在拥有访问特定应用程序或数据的合法权限之后也不进行大范围操作。对所有用户进行无关的活动路径的监控会大量占用系统资源和空间。
通常的黑客身份溯源是在发现资产财产损失之后进行的,但是黑客很容易通过相同的手段或者升级手段,换一个ip换一个登陆路径就能够欺骗过网管人员,再多的对于历史数据的分析也无济于事。
但是,黑客行为总是有迹可循的。利用基于机器学习自动化行为分析的方法,我们可以发现低风险用户进行的高危操作,从而及时发现黑客行为,防范于未然。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (6)

1.一种机器学习自动化行为分析的行为威胁分析方法,其特征在于包括如下步骤:
步骤1:接管系统内核所有程序执行管道;
步骤2:监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;
步骤3:将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,若不低于阈值,则继续执行步骤4;
步骤4:持续监控这些用户的行为,返回步骤2继续执行。
2.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法,其特征在于:所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测。
3.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法,其特征在于:所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对。
4.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法,其特征在于:所述步骤3包括:
步骤3.1:将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度;
步骤3.2:对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;
步骤3.3:当判决值小于阈值时,系统告警。
5.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法,其特征在于:所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库,其中用户的主机名、网址等信息用统一格式的标识符号代替。
6.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法,其特征在于:所述捕捉各类系统及应用层操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。
CN201811288091.8A 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法 Active CN109492389B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811288091.8A CN109492389B (zh) 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811288091.8A CN109492389B (zh) 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法

Publications (2)

Publication Number Publication Date
CN109492389A true CN109492389A (zh) 2019-03-19
CN109492389B CN109492389B (zh) 2020-08-21

Family

ID=65693489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811288091.8A Active CN109492389B (zh) 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法

Country Status (1)

Country Link
CN (1) CN109492389B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245780A (zh) * 2019-12-23 2020-06-05 北京威努特技术有限公司 一种基于工业防火墙的序列攻击检测实现方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829A (zh) * 2011-09-22 2012-02-08 重庆大学 基于集成分类的病毒检测方法
CN103177215A (zh) * 2013-03-05 2013-06-26 四川电力科学研究院 基于软件控制流特征的计算机恶意软件检测新方法
CN104318161A (zh) * 2014-11-18 2015-01-28 北京奇虎科技有限公司 一种安卓样本的病毒检测方法及装置
CN104850780A (zh) * 2015-04-27 2015-08-19 北京北信源软件股份有限公司 一种高级持续性威胁攻击的判别方法
CN105245495A (zh) * 2015-08-27 2016-01-13 哈尔滨工程大学 一种基于相似性匹配恶意shellcode快速检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829A (zh) * 2011-09-22 2012-02-08 重庆大学 基于集成分类的病毒检测方法
CN103177215A (zh) * 2013-03-05 2013-06-26 四川电力科学研究院 基于软件控制流特征的计算机恶意软件检测新方法
CN104318161A (zh) * 2014-11-18 2015-01-28 北京奇虎科技有限公司 一种安卓样本的病毒检测方法及装置
CN104850780A (zh) * 2015-04-27 2015-08-19 北京北信源软件股份有限公司 一种高级持续性威胁攻击的判别方法
CN105245495A (zh) * 2015-08-27 2016-01-13 哈尔滨工程大学 一种基于相似性匹配恶意shellcode快速检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王硕: "《基于API序列分析和支持向量机的未知病毒检测》", 《计算机应用》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245780A (zh) * 2019-12-23 2020-06-05 北京威努特技术有限公司 一种基于工业防火墙的序列攻击检测实现方法

Also Published As

Publication number Publication date
CN109492389B (zh) 2020-08-21

Similar Documents

Publication Publication Date Title
CN105871883B (zh) 基于攻击行为分析的高级持续性威胁检测方法
CN105264861B (zh) 用于检测多阶段事件的方法和设备
CN103368979B (zh) 一种基于改进K-means算法的网络安全性验证装置
CN104811447B (zh) 一种基于攻击关联的安全检测方法和系统
Murtaza et al. A host-based anomaly detection approach by representing system calls as states of kernel modules
Ahmed et al. Detecting Computer Intrusions Using Behavioral Biometrics.
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
US9992216B2 (en) Identifying malicious executables by analyzing proxy logs
CN111818102B (zh) 一种应用于网络靶场的防御效能评估方法
CN107579997A (zh) 无线网络入侵检测系统
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
Ussath et al. Identifying suspicious user behavior with neural networks
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
CN107103237A (zh) 一种恶意文件的检测方法及装置
Fu et al. Detecting software keyloggers with dendritic cell algorithm
CN108965251B (zh) 一种云端结合的安全手机防护系统
CN109492390A (zh) 一种基于攻击时间线的高级持续性威胁分析方法
Jasiul et al. Identification of malware activities with rules
CN101588358A (zh) 基于危险理论和nsa的主机入侵检测系统及检测方法
CN113746832B (zh) 多方法混合的分布式apt恶意流量检测防御系统及方法
CN105243328A (zh) 一种基于行为特征的摆渡木马防御方法
CN109492389A (zh) 一种机器学习自动化行为分析的行为威胁分析方法
CN113595975A (zh) 一种Java内存Webshell的检测方法及装置
Yuan et al. Research of intrusion detection system on android
Rodríguez et al. A Process Mining-based approach for Attacker Profiling

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20200629

Address after: 200000 Shanghai Pudong New Area free trade trial area, 1 spring 3, 400 Fang Chun road.

Applicant after: Shanghai leading Mdt InfoTech Ltd.

Address before: 200 000 Shuiqing Road 332, Minhang District, Shanghai

Applicant before: Shi Yong

Applicant before: Fu Yewen

Applicant before: Liu Ning

Applicant before: He Xiang

GR01 Patent grant
GR01 Patent grant