CN115051833B - 一种基于终端进程的互通网络异常检测方法 - Google Patents
一种基于终端进程的互通网络异常检测方法 Download PDFInfo
- Publication number
- CN115051833B CN115051833B CN202210515942.8A CN202210515942A CN115051833B CN 115051833 B CN115051833 B CN 115051833B CN 202210515942 A CN202210515942 A CN 202210515942A CN 115051833 B CN115051833 B CN 115051833B
- Authority
- CN
- China
- Prior art keywords
- terminal
- detection
- abnormal
- determine whether
- decision tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 195
- 230000008569 process Effects 0.000 title claims abstract description 161
- 238000001514 detection method Methods 0.000 title claims abstract description 150
- 230000002159 abnormal effect Effects 0.000 claims abstract description 68
- 238000012098 association analyses Methods 0.000 claims abstract description 14
- 230000005856 abnormality Effects 0.000 claims abstract description 5
- 238000003066 decision tree Methods 0.000 claims description 26
- 230000006399 behavior Effects 0.000 claims description 23
- 238000004891 communication Methods 0.000 claims description 15
- 238000013527 convolutional neural network Methods 0.000 claims description 15
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000012549 training Methods 0.000 claims description 7
- 239000013598 vector Substances 0.000 claims description 7
- 238000010219 correlation analysis Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 abstract description 18
- 238000010586 diagram Methods 0.000 description 11
- 238000004422 calculation algorithm Methods 0.000 description 9
- 230000007246 mechanism Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于终端进程的互通网络异常检测方法,包括对终端进行进程检测和互通网络检测,得到多个检测结果;将多个所述检测结果进行关联分析,以得到异常检测结果,通过多种检测方法得到多个检测结果,并对检测结果进行关联分析,使得终端分析的结果更加准确可信,能够更加准确的捕捉到异常,减少了误报的几率。
Description
技术领域
本发明涉及终端技术领域,尤其涉及一种基于终端进程的互通网络异常检测方法。
背景技术
天基互联网络将不同轨道、多种类型卫星以及地面应用终端等进行互联互通,并与地面移动通信网和新一代互联网互联互通,具有广覆盖、大容量、高传输、低延时的特点。由于开放性导致天基互联网络面临着严重的安全问题,影响着各类业务的正常开展,攻击事件层出不穷,信息泄露、篡改、服务器被控事件屡有发生。这些攻击行为之前,一般都有必要的迹象,为确保网络平台正常有效运行,需要分析各类危害平台安全的行为,提炼其特征,及时发现异常情况,建立主动监控防护机制,与传统的被动防御式安全措施相结合,进行安全性分类分级,一旦触发预警机制,可快速定位、溯源攻击者并及时消除影响,可以有效的降低安全威胁。
传统的基于恶意载体的分析方法往往在恶意攻击之后,根据恶意载体的行为一步步地进行追踪分析,分析结果作为情报用于相似攻击检测,这种方法无法面对一些恶意载体的变体形式,因此具有很大比例的漏报并且存在一定的误报。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本发明提供了一种基于终端进程的互通网络异常检测方法。
第一方面,本发明提供了一种基于终端进程的互通网络异常检测方法,所述方法包括:对终端进行进程检测和互通网络检测,得到多个检测结果;将多个所述检测结果进行关联分析,以得到异常检测结果。
可选地,对终端进行进程检测和互通检测,包括:通过决策树模型对终端进行进程检测,以确定终端是否存在伪装进程;通过关联程度计算方式对终端进行进程检测,以确定终端是否存在异常进程;通过建模对终端进行进程检测,以确定终端是否存在异常进程序列;对终端进行通信日志检测以及相似异常进程终端检测,得到互通网络检测结果。
可选地,通过决策树对终端进行进程检测,以确定终端是否存在伪装进程之前,所述方法包括:设计正负小样本集,所述正负小样本集包括:正样本、负样本向量;通过所述正负小样本集训练初始决策树模型,得到所述决策树模型;通过决策树对终端进行进程检测,以确定终端是否存在伪装进程包括:读入待检测日志数据,通过所述决策树模型对所述待检测日志数据进行检测,以对终端进行进程检测,确定终端是否存在异常进程。
可选地,通过关联程度计算方式对终端进行进程检测,以确定终端是否存在异常进程,包括:通过关联程度计算方式获取终端中进程的关联度,通过进程的关联度确定进程是否为异常进程。
可选地,通过建模对终端进行进程检测,以确定终端是否存在异常进程序列,包括:获取终端中进程序列中进程的行为,对进行序列中进程行为进行建模,以确定所述终端是否存在异常进程序列。
可选地,将多个所述检测结果进行关联分析,以得到异常检测结果之前,所述方法还包括:收集终端样本的动态行为数据,并对收集的数据进行数据预处理;通过卷积神经网络对进行数据预处理后的数据进行异常检测,以确定终端中是否存在恶意样本。
将多个所述检测结果进行关联分析,以得到异常检测结果,包括:将多个检测结果分别输入到检测模型中,通过所述检测模型分析多个检测结果的关联关系,根据所述关联关系确定异常检测结果。
本发明实施例提供的上述技术方案与现有技术相比具有如下优点:
本发明实施例提供的基于终端进程的互通网络异常检测方法,包括对终端进行进程检测和互通网络检测,得到多个检测结果;将多个所述检测结果进行关联分析,以得到异常检测结果,通过多种检测方法得到多个检测结果,并对检测结果进行关联分析,使得终端分析的结果更加准确可信,能够更加准确的捕捉到异常,减少了误报的几率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于终端进程的互通网络异常检测方法的基本示意图;
图2为本发明实施例提供的一种基于决策树的的伪装进程发现检测逻辑图;
图3为本发明实施例提供的一种基于K-Core评分的异常进程发现模型框架图;
图4为本发明实施例提供的一种基于K-Core评分的异常进程发现原理图;
图5为本发明实施例提供的一种APT检测模型的示意图;
图6为本发明实施例提供的一种检测功能的基本示意图;
图7为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本申请提供一种基于终端进程的互通网络异常检测方法,如图1所示,所述方法包括:
S101、对终端进行进程检测和互通网络检测,得到多个检测结果;
S102、将多个所述检测结果进行关联分析,以得到异常检测结果。
在本实施例的一些示例中,对终端进行进程检测和互通检测,包括:通过决策树模型对终端进行进程检测,以确定终端是否存在伪装进程;通过关联程度计算方式对终端进行进程检测,以确定终端是否存在异常进程;通过建模对终端进行进程检测,以确定终端是否存在异常进程序列;对终端进行通信日志检测以及相似异常进程终端检测,得到互通网络检测结果。
在本实施例的一些示例中,,通过决策树对终端进行进程检测,以确定终端是否存在伪装进程之前,所述方法包括:设计正负小样本集,所述正负小样本集包括:正样本、负样本向量;通过所述正负小样本集训练初始决策树模型,得到所述决策树模型;通过决策树对终端进行进程检测,以确定终端是否存在伪装进程包括:读入待检测日志数据,通过所述决策树模型对所述待检测日志数据进行检测,以对终端进行进程检测,确定终端是否存在异常进程。
具体的,基于决策树的伪装进程发现攻击者入侵终端,注入伪装的进程是常用的手法。木马进程名伪装成系统进程名。对于伪装木马的检测通过决策树的算法进行,其检测逻辑,如图2所示,图2为基于决策树的的伪装进程发现检测逻辑图,对于部署于黑白名单检测范围内的进程,可通过决策树算法进行。其流程包括:设计正负小样本集,即伪装进程名(负样本)和未伪装进程名(正样本);利用正样本、负样本向量训练决策树模型;读入待检测日志数据,先经过路径库、黑名单、白名单过滤,然后利用训练完毕的决策树模型进行检测。
在本实施例的一些示例中,通过关联程度计算方式(K-Core)对终端进行进程检测,以确定终端是否存在异常进程,包括:通过关联程度计算方式获取终端中进程的关联度,通过进程的关联度确定进程是否为异常进程。
具体的,基于K-Core评分的异常进程发现,首先根据进程的特性可以得到这样的结论,合法进程运行在多数终端上,非法进程运行在少数终端上,进而可以推论得到以下两个结论:
①合法进程(系统进程)与所有的进程集合(所有终端)关联性大。
②非法进程(挖矿进程)与所有的进程集合关联性相对小。
因此,使用基于图的关联程度计算方式(K-Core算法)可以得到进程的一种关联度评分,对关联度高的进程,评为白名单进程,用白名单进程来检测异常进程。模型框架如图3所示,图3为基于K-Core评分的异常进程发现模型框架图;
其中,利用K-Core建立白名单的过程就是一个计算K值和关联度的算法,最后得到的评分是K值(关联次数,边数目)和关联度之和的过程,其原理如图4所示,图4所示为基于K-Core评分的异常进程发现原理图;
在本实施例的一些示例中,通过建模对终端进行进程检测,以确定终端是否存在异常进程序列,包括:获取终端中进程序列中进程的行为,对进行序列中进程行为进行建模,以确定所述终端是否存在异常进程序列。
具体的,异常进程序列检测,可以理解的是,复杂的终端分析方法有基于进程创建关系建立多维度的进程序列或者进程树,结合文件创建等关键信息,使用历史数据检测异常的进程创建或者访问线路,从简单的单点检测到全局的检测方式。
在进程访问迁移的网络结构中,通过路线访问次数和访问时间等维度对异常的访问序列进行检测,实现对隐匿的异常行为检测。终端分析的能力较多,在行为分析部分,主要用于对进程行为的建模,因为进程的创建和访问都是具有方向性的,这种特征很容易被攻击者利用,也是检测异常的重要突破点。
在本实施例的一些示例中,将多个所述检测结果进行关联分析,以得到异常检测结果之前,所述方法还包括:收集终端样本的动态行为数据,并对收集的数据进行数据预处理;通过卷积神经网络(CNN)对进行数据预处理后的数据进行异常检测,以确定终端中是否存在恶意样本。
具体的,基于卷积神经网络的恶意样本识别,其中,恶意样本释放运行,也是攻击链中的重要一步。对于恶意样本的检测,传统的检测方法并不实际运行样本,而是直接根据二进制样本或相应的反汇编代码进行分析,此类方法容易受到变形、加壳、隐藏等方式的干扰。在大数据环境背景下,使用机器学习算法学习检测样本的动态行为成为选择的趋势。传统的机器学习算法,利用手工分析获取特征向量进行分类处理,其结果受特征向量选取的影响极大。采用CNN算法,借助CNN在自然语言处理方面的研究成果,进行样本的恶意动态行为检测。特点是不需要人工提取特征向量,具体的特征是算法根据样本的动态行为信息自行学习的。基于CNN算法的恶意样本识别步骤包括:收集样本的动态行为进行数据预处理;获取所有出现过的动态行为作为词库;将词库中的词样本进行数值化;使用CNN训练样本;对样本进行训练与测试得到。应当理解的是,卷积神经网络为通过初始卷积神经网络训练得到的。
基于卷积神经网络(CNN)的恶意样本识别的异常检测方法代表了深度学习方法在异常行为检测中的应用。在实际应用中,当数据量较大的时候,随着深度学习方法不断地提升优化参数和学习的层数,检测恶意样本等实践的效果也能在复杂环境中逐步提升。
在本实施例的一些示例中,对终端进行通信日志检测以及相似异常进程终端检测,得到互通网络检测结果。应该理解的是,终端异常检测中的一个重要环节就是,网络漫游的互通网络传播检测,具体的,基于网络漫游的互通网络传播检测,网络漫游是指恶意攻击载体使用预置的方式在控制或者攻陷某个节点之后向相邻的节点发送攻击的工具或者文件,进而实现横向的传播。
互通网络传播的检测方法可以基于终端之间通信日志检测,也可以分析不同终端间相似的进程创建关系来识别出被相同攻击载体攻击却在不同网段的终端,进而检测得到互通网络传播的行为。
①终端通信日志检测
这里终端通信日志主要包括会话日志,邮件日志等两个不同终端之间具有关联的日志,这一部分可以根据恶意样本传送文件的特征或者文件内容来识别,因为高级的隐匿攻击载体会在互通网络传播的过程中尽量地隐蔽关键信息,这也是在通信日志中检测所要面对的主要问题,但是由于内网通信的常常具有加密性质,端口的流量和通信日志内容不容易被获取,所以除了监控日志,还可以根据远程控制活动来实现异常检测。
基于网络漫游的传播方式除了复制和横向移动以外,还存在具有高潜伏和特定目标的隐匿威胁,面对这种持续性有目的的威胁,因为其在互通网络的传播中可以追寻的相关进程少,不容易被发现,但是其特点是会逐步地通过远程控制等方式获取不同终端的控制权,也就是根据其远程控制的特点来检测异常的远程访问控制。异常的远程控制分为异常时间,地点和人员,围绕远程控制这一行为建立多维度的异常检测模型和评分机制,监测针对重要资产的跳转链,可以实现对网络漫游间谍活动的检测和监控。
②相似异常进程终端检测
相似异常进程终端检测方式分为两种:一种是基于单个进程的异常检测,对于不同终端上的异常进程进行对比,可以检测得到异常进程相似度检测;第二种是基于进程创建或者访问序列的相似度检测,这里基于相似的异常进程创建进程访问或者创建上下文的关系,分析对比异常进程相关的异常序列的相似度,当单个异常进程和异常创建进程都存在较高的相似度,则认为两个不在同一网段的终端被同一恶意载体攻击,恶意载体具有横向迁移的特征。
在本实施例的一些示例中,将多个所述检测结果进行关联分析,以得到异常检测结果,包括:将多个检测结果分别输入到检测模型中,通过所述检测模型分析多个检测结果的关联关系,根据所述关联关系确定异常检测结果。
具体的,基于关联分析的异常行为检测,从攻击者的角度来看,通过不断的利用相关漏洞来实现内网的横向传播,并通过上传恶意文件,复制传播攻击源的方式,不断地攻陷资产或进一步获取高级权限,并且部分人员根据漏洞修复和实际情况,不断地“优化”攻击方式,通过外部包装等方式躲过早期的检测规则。基于以上特征,传统的分析方法不仅在互通网络的隐匿攻击检测使用范围上有所限制,不断变化的攻击方式也带来了更多阻碍和困难。
由于检测高级可持续性威胁(APT)类隐匿持续性攻击的数据源有限,并且攻击源容易产生变体,这里我们提供通过掌握一定已有的信息,比如主要的攻击模式和攻击链的环节,使用关联分析和推理的方法,来实现对APT类攻击的定位和检测,减少误报。
采用一种减少误报的APT检测模型,该模型由三部分构成,分别为威胁检测、相关性分析、攻击预测。其中威胁检测是在APT检测中发现流量中恶意行为的监测模块,威胁检测模块使用常用的威胁检测模型,分别在APT攻击生命周期的四个环节中检测恶意事件,该模块输出为告警事件,告警事件将在相关性分析模块中分析关联关系,并形成关联事件集,同时根据关联事件集还会计算该事件集的关联度,关联事件集和关联度将作为预测模型的输入,用于训练模型,模型如图5所示,图5为APT检测模型的示意图;
其中,上述检测模型通过对APT的多个环节进行威胁检测,并对各个环节间产生的安全事件进行关联,这种检测模型能有效地降低只对一个环节进行检测而导致的误报率问题,需要比较丰富的APT攻击数据集,这也是目前限制APT攻击检测的一个瓶颈,随着数据量不断增大,APT攻击相关的数据也会逐渐丰富,模型也会逐渐的成熟起来。
本实施例提供的基于终端进程的互通网络异常检测方法,采用的终端分析是基于终端上的一系列日志对终端上存在的异常行为和事件进行检测的分析方式。基于终端的分析方法有基线建模、机器学习等,其中基线的方式主要基于进程创建的关系,比如异常进程基线、统计历史访问的进程访问建立基线、对新的进程使用新进程检测的方法。
基于机器学习的终端学习方法有基于决策树的伪装进程发现、基于K-Core评分的异常进程发现、异常进程序列检测、基于卷积神经网络(CNN)的恶意样本识别、基于网络漫游的互通网络传播检测等方式,从终端进程的角度来分析内部预置威胁的特点,进而实现互通网络的隐匿威胁检测。
本实施例提供的基于终端进程的互通网络异常检测方法,包括对终端进行进程检测和互通网络检测,得到多个检测结果;将多个所述检测结果进行关联分析,以得到异常检测结果,通过多种检测方法得到多个检测结果,并对检测结果进行关联分析,使得终端分析的结果更加准确可信,能够更加准确的捕捉到异常,减少了误报的几率。
具体的。采用的基于终端进程分析的互通网络传播检测机制的方式,实现方法分为两步,第一步是基于终端层面结合知识库对异常终端进行检测,其中的方法包括基线建模法,评分法(K-Core评分模型),对特定的异常进程进行建模分析方法(伪装进程和恶意样本),以及基于进程上下文的异常进程序列检测的方法,具体的,如图6所示,检测包括:主机异常检测、行为异常检测、应用检测、场景检测、攻击溯源、未知威胁,第二步是在一系列相关的终端异常检测结果上,使用一种关联分析模型使得终端分析的结果更加准确可信。
如图7所示,本发明实施例提供了一种电子设备,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111,通信接口112,存储器113通过通信总线114完成相互间的通信,
存储器113,用于存放计算机程序;
在本发明一个实施例中,处理器111,用于执行存储器113上所存放的程序时,实现前述任意一个方法实施例提供的方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如前述任意一个方法实施例提供的方法的步骤。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所发明的原理和新颖特点相一致的最宽的范围。
Claims (5)
1.一种基于终端进程的互通网络异常检测方法,其特征在于,所述方法包括:
对终端进行进程检测和互通网络检测,包括:通过决策树模型对终端进行进程检测,以确定终端是否存在伪装进程;通过关联程度计算方式对终端进行进程检测,以确定终端是否存在异常进程;通过建模对终端进行进程检测,以确定终端是否存在异常进程序列;对终端进行通信日志检测以及相似异常进程终端检测,得到互通网络检测结果;
所述通过决策树模型对终端进行进程检测,以确定终端是否存在伪装进程包括:读入待检测日志数据,通过所述决策树模型对所述待检测日志数据进行检测,以对终端进行进程检测,确定终端是否存在异常进程;得到多个检测结果;
将多个所述检测结果进行关联分析,以得到异常检测结果包括:
将多个检测结果分别输入到检测模型中,通过所述检测模型分析多个检测结果的关联关系,根据所述关联关系确定异常检测结果。
2.如权利要求1所述的方法,其特征在于,通过决策树对终端进行进程检测,以确定终端是否存在伪装进程之前,所述方法包括:
设计正负小样本集,所述正负小样本集包括:正样本、负样本向量;
通过所述正负小样本集训练初始决策树模型,得到所述决策树模型。
3.如权利要求1所述的方法,其特征在于,通过关联程度计算方式对终端进行进程检测,以确定终端是否存在异常进程,包括:
通过关联程度计算方式获取终端中进程的关联度,通过进程的关联度确定进程是否为异常进程。
4.如权利要求1所述的方法,其特征在于,通过建模对终端进行进程检测,以确定终端是否存在异常进程序列,包括:
获取终端中进程序列中进程的行为,对进行序列中进程行为进行建模,以确定所述终端是否存在异常进程序列。
5.如权利要求1所述的方法,其特征在于,将多个所述检测结果进行关联分析,以得到异常检测结果之前,所述方法还包括:
收集终端样本的动态行为数据,并对收集的数据进行数据预处理;
通过卷积神经网络对进行数据预处理后的数据进行异常检测,以确定终端中是否存在恶意样本。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210515942.8A CN115051833B (zh) | 2022-05-12 | 2022-05-12 | 一种基于终端进程的互通网络异常检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210515942.8A CN115051833B (zh) | 2022-05-12 | 2022-05-12 | 一种基于终端进程的互通网络异常检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115051833A CN115051833A (zh) | 2022-09-13 |
| CN115051833B true CN115051833B (zh) | 2023-12-15 |
Family
ID=83157200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210515942.8A Active CN115051833B (zh) | 2022-05-12 | 2022-05-12 | 一种基于终端进程的互通网络异常检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115051833B (zh) |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106485152A (zh) * | 2016-09-30 | 2017-03-08 | 北京奇虎科技有限公司 | 漏洞检测方法及装置 |
| CN108038378A (zh) * | 2017-12-28 | 2018-05-15 | 厦门服云信息科技有限公司 | 云端检测函数被恶意修改的方法、终端设备及存储介质 |
| CN108134761A (zh) * | 2016-12-01 | 2018-06-08 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN110732139A (zh) * | 2019-10-25 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 检测模型的训练方法和用户数据的检测方法、装置 |
| KR20200025924A (ko) * | 2018-08-31 | 2020-03-10 | 에스케이플래닛 주식회사 | 라디오맵생성장치 및 그 동작 방법 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN112114995A (zh) * | 2020-09-29 | 2020-12-22 | 平安普惠企业管理有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
| CN112153062A (zh) * | 2020-09-27 | 2020-12-29 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN112580952A (zh) * | 2020-12-09 | 2021-03-30 | 腾讯科技(深圳)有限公司 | 用户行为风险预测方法、装置、电子设备及存储介质 |
| CN112738015A (zh) * | 2020-10-28 | 2021-04-30 | 北京工业大学 | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| KR102259760B1 (ko) * | 2020-11-09 | 2021-06-02 | 여동균 | 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 |
| CN113079151A (zh) * | 2021-03-26 | 2021-07-06 | 深信服科技股份有限公司 | 一种异常处理方法、装置、电子设备及可读存储介质 |
| CN113079150A (zh) * | 2021-03-26 | 2021-07-06 | 深圳供电局有限公司 | 一种电力终端设备入侵检测方法 |
| CN113312201A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种异常进程的处置方法及相关装置 |
| CN113935037A (zh) * | 2021-10-19 | 2022-01-14 | 上海观安信息技术股份有限公司 | 恶意进程检测方法、装置、系统及计算机可读存储介质 |
| CN113971285A (zh) * | 2020-07-24 | 2022-01-25 | 深信服科技股份有限公司 | 一种终端恶意进程识别方法、装置、设备及可读存储介质 |
| CN114143037A (zh) * | 2021-11-05 | 2022-03-04 | 山东省计算中心(国家超级计算济南中心) | 一种基于进程行为分析的恶意加密信道检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210288951A1 (en) * | 2020-03-12 | 2021-09-16 | Evan Chase Rose | Distributed Terminals Network Management, Systems, Interfaces and Workflows |
-
2022
- 2022-05-12 CN CN202210515942.8A patent/CN115051833B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106485152A (zh) * | 2016-09-30 | 2017-03-08 | 北京奇虎科技有限公司 | 漏洞检测方法及装置 |
| CN108134761A (zh) * | 2016-12-01 | 2018-06-08 | 中兴通讯股份有限公司 | 一种apt检测方法、系统及装置 |
| CN108038378A (zh) * | 2017-12-28 | 2018-05-15 | 厦门服云信息科技有限公司 | 云端检测函数被恶意修改的方法、终端设备及存储介质 |
| KR20200025924A (ko) * | 2018-08-31 | 2020-03-10 | 에스케이플래닛 주식회사 | 라디오맵생성장치 및 그 동작 방법 |
| CN110732139A (zh) * | 2019-10-25 | 2020-01-31 | 腾讯科技(深圳)有限公司 | 检测模型的训练方法和用户数据的检测方法、装置 |
| CN111147504A (zh) * | 2019-12-26 | 2020-05-12 | 深信服科技股份有限公司 | 威胁检测方法、装置、设备和存储介质 |
| CN111259204A (zh) * | 2020-01-13 | 2020-06-09 | 深圳市联软科技股份有限公司 | 基于图算法的apt检测关联分析方法 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN113971285A (zh) * | 2020-07-24 | 2022-01-25 | 深信服科技股份有限公司 | 一种终端恶意进程识别方法、装置、设备及可读存储介质 |
| CN112153062A (zh) * | 2020-09-27 | 2020-12-29 | 北京北信源软件股份有限公司 | 基于多维度的可疑终端设备检测方法及系统 |
| CN112114995A (zh) * | 2020-09-29 | 2020-12-22 | 平安普惠企业管理有限公司 | 基于进程的终端异常分析方法、装置、设备及存储介质 |
| CN112738015A (zh) * | 2020-10-28 | 2021-04-30 | 北京工业大学 | 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法 |
| KR102259760B1 (ko) * | 2020-11-09 | 2021-06-02 | 여동균 | 화이트 리스트 기반 비정상 프로세스 분석 서비스 제공 시스템 |
| CN112580952A (zh) * | 2020-12-09 | 2021-03-30 | 腾讯科技(深圳)有限公司 | 用户行为风险预测方法、装置、电子设备及存储介质 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| CN113079151A (zh) * | 2021-03-26 | 2021-07-06 | 深信服科技股份有限公司 | 一种异常处理方法、装置、电子设备及可读存储介质 |
| CN113079150A (zh) * | 2021-03-26 | 2021-07-06 | 深圳供电局有限公司 | 一种电力终端设备入侵检测方法 |
| CN113312201A (zh) * | 2021-06-23 | 2021-08-27 | 深信服科技股份有限公司 | 一种异常进程的处置方法及相关装置 |
| CN113935037A (zh) * | 2021-10-19 | 2022-01-14 | 上海观安信息技术股份有限公司 | 恶意进程检测方法、装置、系统及计算机可读存储介质 |
| CN114143037A (zh) * | 2021-11-05 | 2022-03-04 | 山东省计算中心(国家超级计算济南中心) | 一种基于进程行为分析的恶意加密信道检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| "基于异常加密流量标注的Android恶意进程识别方法研究";徐国天;《信息网络安全》;全文 * |
| 《2020 Design, Automation & Test in Europe Conference & Exhibition (DATE)》;Y. Cheng et al;"An Anomaly Comprehension Neural Network for Surveillance Videos on Terminal Devices";全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115051833A (zh) | 2022-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210352095A1 (en) | Cybersecurity resilience by integrating adversary and defender actions, deep learning, and graph thinking | |
| Sharma et al. | Layered approach for intrusion detection using naïve Bayes classifier | |
| Al-Khateeb et al. | Awareness model for minimizing the effects of social engineering attacks in web applications | |
| Mythreya et al. | Prediction and prevention of malicious URL using ML and LR techniques for network security: machine learning | |
| Amarasinghe et al. | AI based cyber threats and vulnerability detection, prevention and prediction system | |
| Kajal et al. | A hybrid approach for cyber security: improved intrusion detection system using Ann-Svm | |
| Mei et al. | CTScopy: hunting cyber threats within enterprise via provenance graph-based analysis | |
| CN115051833B (zh) | 一种基于终端进程的互通网络异常检测方法 | |
| Rahman et al. | A Study of Permission-based Malware Detection Using Machine Learning | |
| Alqurashi et al. | On the performance of isolation forest and multi layer perceptron for anomaly detection in industrial control systems networks | |
| Baich et al. | Machine Learning for IoT based networks intrusion detection: a comparative study | |
| Meeran et al. | Resilient Detection of Cyber Attacks in Industrial Devices | |
| Mahmoud et al. | Performance Analysis of IDS_MDL Algorithm to Predict Intrusion Detection for IoT Applications | |
| Alosaimi et al. | Computer Vision‐Based Intrusion Detection System for Internet of Things | |
| KR102592624B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 | |
| Rokade et al. | Detection of Malicious Activities and Connections for Network Security using Deep Learning | |
| Alzahrani et al. | Artificial Intelligence Algorithms for Detecting and Classifying MQTT Protocol Internet of Things Attacks. Electronics 2022, 11, 3837 | |
| Bahmani et al. | Introducing a Two-step Strategy Based on Deep Learning to Enhance the Accuracy of Intrusion Detection Systems in the Network | |
| Kale et al. | Enhancing Cryptojacking Detection Through Hybrid Black Widow Optimization and Generative Adversarial Networks. | |
| Ibáñez Monteagudo | Implementation of Machine Learning techniques and Artificial Intelligence for the intrusion detection in communications networks | |
| Shabu et al. | Detection Method for Software Defined Network Intrusion | |
| Wang | APT Detection and Attack Scenario Reconstruction Based on Big Data Analysis | |
| Siyi | Research on Web Intrusion Technology Based on DBN | |
| Khapre et al. | Automated Malware Analysis in Internet of Things based Systems: A Deep Learning Approach | |
| Balaji | Enhanced Gradient Boosting Technique to Detect the Malware in API |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |