CN109492389B - 一种机器学习自动化行为分析的行为威胁分析方法 - Google Patents

一种机器学习自动化行为分析的行为威胁分析方法 Download PDF

Info

Publication number
CN109492389B
CN109492389B CN201811288091.8A CN201811288091A CN109492389B CN 109492389 B CN109492389 B CN 109492389B CN 201811288091 A CN201811288091 A CN 201811288091A CN 109492389 B CN109492389 B CN 109492389B
Authority
CN
China
Prior art keywords
behavior
instruction sequence
user instruction
user
machine learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811288091.8A
Other languages
English (en)
Other versions
CN109492389A (zh
Inventor
施勇
傅烨文
刘宁
何翔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai leading Mdt InfoTech Ltd.
Original Assignee
Shanghai Leading Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Leading Mdt Infotech Ltd filed Critical Shanghai Leading Mdt Infotech Ltd
Priority to CN201811288091.8A priority Critical patent/CN109492389B/zh
Publication of CN109492389A publication Critical patent/CN109492389A/zh
Application granted granted Critical
Publication of CN109492389B publication Critical patent/CN109492389B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种机器学习自动化行为分析的行为威胁分析方法,接管系统内核所有程序执行管道;监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,在操作系统内部通道捕获进程和内核的行为信息,通过捕捉用户指令序列,由机器学习的方式分析其行为可疑程度,从而达到检测高级持续性威胁,检测效率高,能够较全面地分析攻击在系统层面的行为情况。

Description

一种机器学习自动化行为分析的行为威胁分析方法
技术领域
本发明是一种机器学习自动化行为分析的行为威胁分析方法,属于网络安全领域。
背景技术
现有技术中,随着网络中攻击越来越复杂,其在军事、商业方面的影响也越来越广,而攻击的复杂性导致高级持续性检测愈发的困难,该攻击的发展具体体现在攻击者不断使用各种攻击手段,变换已有的攻击方式,在缓慢顺利得渗透到内部网络后长期蛰伏,不断在网络中获取相关敏感信息并想方设法继续提升权限,直到获得重要敏感信息为止。对于隐蔽性极高的攻击,需要及时地对其进行发现和处理,保护运行系统的主体安全。
高级持续性威胁攻击(Advanced Persistent Threat,APT)可能在用户环境中存在一年以上或更久,不断收集各种信息,直到收集到重要情报。而这些发动高级持续性威胁攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物。这种攻击具有持续性甚至长达数年的特征,攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏,让网管人员无从察觉。
尽管APT在攻击过程上与普通攻击行为很类似,但在具体步骤上,作为一种有目标、有组织的攻击方式,APT的攻击行为特征难以提取、单点隐蔽能力强、攻击渠道多样化、攻击持续时间长,使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。
经对现有技术文献的检索发现,中国专利申请号为:CN201510203698.1名称为“一种高级持续性威胁攻击的判别方法”,包括如下步骤:采集终端样本程序系统API调用序列;通过MapReduce模块提取其API调用短序列,然后计算短序列的信息增益,筛选出信息增益大的程序行为特征;再次扫描该系统API调用序列,得到终端样本程序的行为特征;统计机器学习模型模块使用每个样本程序的行为特征作为输入,对其进行训练,直至其对训练样本程序分类正确率达到90%以上时,确定模型参数,将其作为APT攻击判别器;采集目标终端程序的系统调用序列;对目标程序,采集其API调用序列、提取其行为特征后,便可判别其是否存在攻击行为。本发明对APT攻击的检测能力强,缩短程序行为特征的提取时间。”利用该方法,能够实现识别APT攻击的效果,扩大了可分析的终端程序系统调用序列的规模,缩短了程序行为特征的提取时间。
发明内容
针对现有技术存在的不足,本发明目的是提供一种机器学习自动化行为分析的行为威胁分析方法,以解决上述背景技术中提出的问题。
为了实现上述目的,本发明是通过如下的技术方案来实现:一种机器学习自动化行为分析的行为威胁分析方法,包括如下步骤:
步骤1:接管系统内核所有程序执行管道;
步骤2:监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;
步骤3:将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,若不低于阈值,则继续执行步骤4;
步骤4:持续监控这些用户的行为,返回步骤2继续执行。
进一步地,所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测。
进一步地,所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对。
所述步骤3包括:
步骤3.1:将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度;
步骤3.2:对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;
步骤3.3:当判决值小于阈值时,系统告警。
进一步地,所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库,其中用户的主机名、网址等信息用统一格式的标识符号代替。
进一步地,所述捕捉各类系统及应用层操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。
本发明的有益效果:本发明的一种机器学习自动化行为分析的行为威胁分析方法,在操作系统内部通道捕获进程和内核的行为信息,通过捕捉用户指令序列,由机器学习的方式分析其行为可疑程度,从而达到检测高级持续性威胁,检测效率高,能够较全面地分析攻击在系统层面的行为情况。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为一种机器学习自动化行为分析的行为威胁分析方法的流程示意图。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本发明。
请参阅图1,本发明提供一种技术方案:一种机器学习自动化行为分析的行为威胁分析方法,包括如下步骤:
步骤1:接管系统内核所有程序执行管道;
步骤2:监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;
步骤3:将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,若不低于阈值,则继续执行步骤4;
步骤4:持续监控这些用户的行为,返回步骤2继续执行。
进一步地,所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测。
进一步地,所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对,用户指令序列库可人为进行数据的添加。
所述步骤3包括:
步骤3.1:将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度,其中用户指令的长度N可人为设定;
步骤3.2:对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;
步骤3.3:当判决值小于阈值时,系统告警。
进一步地,所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库,其中用户的主机名、网址等信息用统一格式的标识符号代替。
进一步地,所述捕捉各类系统及应用层操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。
一种机器学习自动化行为分析的行为威胁分析方法,使其能够在符合检测要求的前提下,尽可能获取黑客在系统内部的行为分析数据,对捕获到的进程及命令行参数,检测可疑的执行指令和代码,同时对网络数据流进行监控,判断数据流中可以的危害特征。主要用来分析恶意代码的攻击行为,并且与本地攻击行为进行联动分析。
针对Windows操作系统,这里是指Windows系统环境下的高级持续性威胁检测方法,利用系统内部通道捕获进程和内核的行为信息,通过分析操作行为的可疑程度,并匹配攻击特征库进行决策,动态分析网络流数据和特征。挖掘出本地操作行为和网络行为的相关性,确定是否存在恶意的攻击行为,从而达到检测高级持续性威胁的目的。
对于Windows操作系统下网络攻击行为,主要是指对高级持续性威胁的检测,具体的检测流程如图1所示,包括如下步骤:
第一步,接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,即捕捉所有执行性的操作,包括PE文件及各类脚本;将执行行为转化为操作指令(具有可观测性),即将具体执行过程中的各类指令转化为标准格式进行检测。具体地,使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况。将执行过程转化为指令进行检测。
第二步,将捕捉的指令序列交由用户指令交由用户指令序列库进行比对。其中,用户的主机名、网址等信息用统一格式的标识符号代替。
第三步,将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度,对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;当判决值小于阈值时,则系统告警,其中阈值可进行设定,设定范围在80-90%。
本发明通过对系统中异常执行行为、网络行为和文件操作行为分析,并对捕捉的行为特征进行策略匹配异常分析,将高级持续性攻击在系统中可能发生的操作进行告警。
本发明经过了功能测试,测试结果表明了本发明对于常见的高级持续性攻击的行为具有很好的检测率;特别是对于Windows系统平台下的通过网络进行渗透和攻击的情况,攻击检测率较高;该检测方法能够较全面地分析攻击在系统层面的行为情况;即使攻击比较复杂时,也能够检测出一部分攻击操作行为。
在黑客获得用户权限后,对于一个正常的用户行为,安全系统是很难分辨这个活动是来自于普通用户还是黑客,因为黑客在实施高级持续性威胁时,在最终获取重要信息资料之前,黑客不会执行特定的活动,不会执行有危害嫌疑的活动,以更好地隐藏自己,甚至在拥有访问特定应用程序或数据的合法权限之后也不进行大范围操作。对所有用户进行无关的活动路径的监控会大量占用系统资源和空间。
通常的黑客身份溯源是在发现资产财产损失之后进行的,但是黑客很容易通过相同的手段或者升级手段,换一个ip换一个登陆路径就能够欺骗过网管人员,再多的对于历史数据的分析也无济于事。
但是,黑客行为总是有迹可循的。利用基于机器学习自动化行为分析的方法,我们可以发现低风险用户进行的高危操作,从而及时发现黑客行为,防范于未然。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (1)

1.一种机器学习自动化行为分析的行为威胁分析方法,其特征在于包括如下步骤:
步骤1:接管系统内核所有程序执行管道;
所述步骤1包括接管系统内核所有程序执行管道,捕捉各类系统及应用层操作,将执行过程中的各类指令转化为标准格式进行检测;
步骤2:监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对;
所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对;
步骤3:将用户指令序列分为长度较短的序列组合并得出判决值,若其低于阈值则系统告警,若不低于阈值,则继续执行步骤4;
所述步骤3包括:
步骤3.1:将捕捉到的用户指令以长度为N依序作为单位,判断每个序列与指令序列库的相似度;
步骤3.2:对相似度进行加窗降噪处理,得到按时间排列的相似度判决值;
步骤3.3:当判决值小于阈值时,则系统告警,其中阈值可进行设定,设定范围在80-90%;
步骤4:持续监控这些用户的行为,返回步骤2继续执行;
所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库,其中用户的主机名以及网址信息用统一格式的标识符号代替;
所述捕捉各类系统及应用层操作,包括PE文件及各类脚本,将执行行为转化为操作指令,即使用内核函数接管系统中所有的执行进程和命令管道,捕捉内部执行过程和API函数调用情况,将执行过程转化为指令进行检测。
CN201811288091.8A 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法 Active CN109492389B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811288091.8A CN109492389B (zh) 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811288091.8A CN109492389B (zh) 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法

Publications (2)

Publication Number Publication Date
CN109492389A CN109492389A (zh) 2019-03-19
CN109492389B true CN109492389B (zh) 2020-08-21

Family

ID=65693489

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811288091.8A Active CN109492389B (zh) 2018-10-31 2018-10-31 一种机器学习自动化行为分析的行为威胁分析方法

Country Status (1)

Country Link
CN (1) CN109492389B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245780A (zh) * 2019-12-23 2020-06-05 北京威努特技术有限公司 一种基于工业防火墙的序列攻击检测实现方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829A (zh) * 2011-09-22 2012-02-08 重庆大学 基于集成分类的病毒检测方法
CN103177215A (zh) * 2013-03-05 2013-06-26 四川电力科学研究院 基于软件控制流特征的计算机恶意软件检测新方法
CN104318161A (zh) * 2014-11-18 2015-01-28 北京奇虎科技有限公司 一种安卓样本的病毒检测方法及装置
CN104850780A (zh) * 2015-04-27 2015-08-19 北京北信源软件股份有限公司 一种高级持续性威胁攻击的判别方法
CN105245495A (zh) * 2015-08-27 2016-01-13 哈尔滨工程大学 一种基于相似性匹配恶意shellcode快速检测方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102346829A (zh) * 2011-09-22 2012-02-08 重庆大学 基于集成分类的病毒检测方法
CN103177215A (zh) * 2013-03-05 2013-06-26 四川电力科学研究院 基于软件控制流特征的计算机恶意软件检测新方法
CN104318161A (zh) * 2014-11-18 2015-01-28 北京奇虎科技有限公司 一种安卓样本的病毒检测方法及装置
CN104850780A (zh) * 2015-04-27 2015-08-19 北京北信源软件股份有限公司 一种高级持续性威胁攻击的判别方法
CN105245495A (zh) * 2015-08-27 2016-01-13 哈尔滨工程大学 一种基于相似性匹配恶意shellcode快速检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
《基于API序列分析和支持向量机的未知病毒检测》;王硕;《计算机应用》;20070831;正文第1942-1943页 *

Also Published As

Publication number Publication date
CN109492389A (zh) 2019-03-19

Similar Documents

Publication Publication Date Title
EP2860937B1 (en) Log analysis device, method, and program
CN105871883B (zh) 基于攻击行为分析的高级持续性威胁检测方法
CN107251037B (zh) 黑名单生成装置、黑名单生成系统、黑名单生成方法和记录介质
CN107612924B (zh) 基于无线网络入侵的攻击者定位方法及装置
US20180309772A1 (en) Method and device for automatically verifying security event
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
JP6174520B2 (ja) 悪性通信パターン検知装置、悪性通信パターン検知方法、および、悪性通信パターン検知プログラム
CN103957205A (zh) 一种基于终端流量的木马检测方法
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
Grill et al. Malware detection using http user-agent discrepancy identification
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
Wang et al. TextDroid: Semantics-based detection of mobile malware using network flows
CN106911665B (zh) 一种识别恶意代码弱口令入侵行为的方法及系统
CN111859374A (zh) 社会工程学攻击事件的检测方法、装置以及系统
Abuzaid et al. An efficient trojan horse classification (ETC)
CN109492389B (zh) 一种机器学习自动化行为分析的行为威胁分析方法
CN113746832B (zh) 多方法混合的分布式apt恶意流量检测防御系统及方法
Vast et al. Artificial intelligence based security orchestration, automation and response system
CN112632538A (zh) 一种基于混合特征的安卓恶意软件检测方法及系统
CN116800543A (zh) 一种扫描器的检测方法、装置、电子设备及可读存储介质
CN114629711B (zh) 一种针对Windows平台特种木马检测的方法及系统
CN108573148B (zh) 一种基于词法分析的混淆加密脚本识别方法
CN112104674B (zh) 攻击检测召回率自动测试方法、装置和存储介质
CN112751863A (zh) 一种攻击行为分析方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20200629

Address after: 200000 Shanghai Pudong New Area free trade trial area, 1 spring 3, 400 Fang Chun road.

Applicant after: Shanghai leading Mdt InfoTech Ltd.

Address before: 200 000 Shuiqing Road 332, Minhang District, Shanghai

Applicant before: Shi Yong

Applicant before: Fu Yewen

Applicant before: Liu Ning

Applicant before: He Xiang

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant