一种机器学习自动化行为分析的行为威胁分析方法技术

本发明专利技术提供一种机器学习自动化行为分析的行为威胁分析方法，接管系统内核所有程序执行管道；监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，在操作系统内部通道捕获进程和内核的行为信息，通过捕捉用户指令序列，由机器学习的方式分析其行为可疑程度，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。

A Behavior Threat Analysis Method for Machine Learning Automation Behavior Analysis

The invention provides a behavioral threat analysis method for automatic behavioral analysis of machine learning, which takes over all program execution pipelines in the system core; monitors the user instruction sequence and compares it with the user instruction sequence library established by machine learning; divides the user instruction sequence into shorter sequence combinations and obtains the decision value, and if it is below the threshold, the system alarms, and in the operation system. The internal channel captures the behavior information of the process and the kernel. By capturing the sequence of user instructions, the suspicious degree of the user's behavior can be analyzed by machine learning, so as to detect the high-level persistent threat with high detection efficiency and analyze the behavior of the attack at the system level more comprehensively.

【技术实现步骤摘要】
一种机器学习自动化行为分析的行为威胁分析方法
本专利技术是一种机器学习自动化行为分析的行为威胁分析方法，属于网络安全领域。
技术介绍
现有技术中，随着网络中攻击越来越复杂，其在军事、商业方面的影响也越来越广，而攻击的复杂性导致高级持续性检测愈发的困难，该攻击的发展具体体现在攻击者不断使用各种攻击手段，变换已有的攻击方式，在缓慢顺利得渗透到内部网络后长期蛰伏，不断在网络中获取相关敏感信息并想方设法继续提升权限，直到获得重要敏感信息为止。对于隐蔽性极高的攻击，需要及时地对其进行发现和处理，保护运行系统的主体安全。高级持续性威胁攻击（AdvancedPersistentThreat，APT）可能在用户环境中存在一年以上或更久，不断收集各种信息，直到收集到重要情报。而这些发动高级持续性威胁攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物。这种攻击具有持续性甚至长达数年的特征，攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏，让网管人员无从察觉。尽管APT在攻击过程上与普通攻击行为很类似，但在具体步骤上，作为一种有目标、有组织的攻击方式，APT的攻击行为特征难以提取、单点隐蔽能力强、攻击渠道多样化、攻击持续时间长，使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。经对现有技术文献的检索发现，中国专利申请号为：CN201510203698.1名称为“一种高级持续性威胁攻击的判别方法”，包括如下步骤：采集终端样本程序系统API调用序列；通过MapReduce模块提取其API调用短序列，然后计算短序列的信息增益，筛选出信息增益大的程序行为特征；再次扫描该系统API调用序列，得到终端样本程序的行为特征；统计机器学习模型模块使用每个样本程序的行为特征作为输入，对其进行训练，直至其对训练样本程序分类正确率达到90%以上时，确定模型参数，将其作为APT攻击判别器；采集目标终端程序的系统调用序列；对目标程序，采集其API调用序列、提取其行为特征后，便可判别其是否存在攻击行为。本专利技术对APT攻击的检测能力强，缩短程序行为特征的提取时间。”利用该方法，能够实现识别APT攻击的效果，扩大了可分析的终端程序系统调用序列的规模，缩短了程序行为特征的提取时间。
技术实现思路
针对现有技术存在的不足，本专利技术目的是提供一种机器学习自动化行为分析的行为威胁分析方法，以解决上述
技术介绍
中提出的问题。为了实现上述目的，本专利技术是通过如下的技术方案来实现：一种机器学习自动化行为分析的行为威胁分析方法，包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；步骤3：将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，若不低于阈值，则继续执行步骤4；步骤4：持续监控这些用户的行为，返回步骤2继续执行。进一步地，所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测。进一步地，所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对。所述步骤3包括：步骤3.1：将捕捉到的用户指令以长度为N依序作为单位，判断每个序列与指令序列库的相似度；步骤3.2：对相似度进行加窗降噪处理，得到按时间排列的相似度判决值；步骤3.3：当判决值小于阈值时，系统告警。进一步地，所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库，其中用户的主机名、网址等信息用统一格式的标识符号代替。进一步地，所述捕捉各类系统及应用层操作，包括PE文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和API函数调用情况，将执行过程转化为指令进行检测。本专利技术的有益效果：本专利技术的一种机器学习自动化行为分析的行为威胁分析方法，在操作系统内部通道捕获进程和内核的行为信息，通过捕捉用户指令序列，由机器学习的方式分析其行为可疑程度，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。附图说明通过阅读参照以下附图对非限制性实施例所作的详细描述，本专利技术的其它特征、目的和优点将会变得更明显：图1为一种机器学习自动化行为分析的行为威胁分析方法的流程示意图。具体实施方式为使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本专利技术。请参阅图1，本专利技术提供一种技术方案：一种机器学习自动化行为分析的行为威胁分析方法，包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；步骤3：将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，若不低于阈值，则继续执行步骤4；步骤4：持续监控这些用户的行为，返回步骤2继续执行。进一步地，所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测。进一步地，所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对，用户指令序列库可人为进行数据的添加。所述步骤3包括：步骤3.1：将捕捉到的用户指令以长度为N依序作为单位，判断每个序列与指令序列库的相似度，其中用户指令的长度N可人为设定；步骤3.2：对相似度进行加窗降噪处理，得到按时间排列的相似度判决值；步骤3.3：当判决值小于阈值时，系统告警。进一步地，所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库，其中用户的主机名、网址等信息用统一格式的标识符号代替。进一步地，所述捕捉各类系统及应用层操作，包括PE文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和API函数调用情况，将执行过程转化为指令进行检测。一种机器学习自动化行为分析的行为威胁分析方法，使其能够在符合检测要求的前提下，尽可能获取黑客在系统内部的行为分析数据，对捕获到的进程及命令行参数，检测可疑的执行指令和代码，同时对网络数据流进行监控，判断数据流中可以的危害特征。主要用来分析恶意代码的攻击行为，并且与本地攻击行为进行联动分析。针对Windows操作系统，这里是指Windows系统环境下的高级持续性威胁检测方法，利用系统内部通道捕获进程和内核的行为信息，通过分析操作行为的可疑程度，并匹配攻击特征库进行决策，动态分析网络流数据和特征。挖掘出本地操作行为和网络行为的相关性，确定是否存在恶意的攻击行为，从而达到检测高级持续性威胁的目的。对于Windows操作系统下网络攻击行为，主要是指对高级持续性威胁的检测，具体的检测流程如图1所示，包括如下步骤：第一步，接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，即捕捉所有执行性的操作，包括PE文件及各类脚本；将执行行为转化为操作指令（具有可观测性），即将具体执行过程中的各类指令转化为标准格式进行检测。具体地，使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和API函数调用情况。将执行过程本文档来自技高网...

【技术保护点】
1.一种机器学习自动化行为分析的行为威胁分析方法，其特征在于包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；步骤3：将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，若不低于阈值，则继续执行步骤4；步骤4：持续监控这些用户的行为，返回步骤2继续执行。

【技术特征摘要】
1.一种机器学习自动化行为分析的行为威胁分析方法，其特征在于包括如下步骤：步骤1：接管系统内核所有程序执行管道；步骤2：监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；步骤3：将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，若不低于阈值，则继续执行步骤4；步骤4：持续监控这些用户的行为，返回步骤2继续执行。2.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法，其特征在于：所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测。3.根据权利要求1所述的一种机器学习自动化行为分析的行为威胁分析方法，其特征在于：所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对。4.根据权利要求1所述的一种机器学习自动化行为分析...

【专利技术属性】
技术研发人员：施勇，傅烨文，刘宁，何翔，
申请(专利权)人：施勇，傅烨文，刘宁，何翔，
类型：发明
国别省市：上海,31