【技术实现步骤摘要】
本专利技术涉及进程检测,具体涉及一种基于沙箱的异常进程检测装置和方法。
技术介绍
1、异常进程检测系统是一种网络安全工具,主要用于检测和识别计算机系统中的异常进程或应用程序,这些异常进程可能是恶意软件、病毒、僵尸网络、恶意脚本或其他不正常的活动,对计算机系统和网络造成威胁和风险。
2、异常进程检测系统的检测过程通常是持续性的,它不断监测系统中运行的进程,并在检测到异常时采取相应的措施。这有助于提高网络安全性,及早发现和应对潜在的威胁。异常进程检测系统的异常检测过程(参看图1)通常包括以下步骤:
3、采集进程信息:检测系统首先收集与进程相关的数据,包括进程的系统调用、文件访问、网络通信、内存使用、cpu利用率等信息。该功能可以通过操作系统提供的接口或代理程序来实现。
4、进程特征提取:从收集的数据中提取进程行为特征,系统调用序列、文件访问模式、网络通信模式等,并将进程的行为转化为可分析的数据形式。
5、异常进程检测:检测系统使用各种技术和算法来检测异常进程的存在,主要包括规则引擎、机器学习模型、行为分析等,该功能将进程的特征与已知的正常行为或恶意行为进行比较,以确定是否存在异常。
6、警报生成:一旦检测到异常进程,系统将生成警报,并将警报发送给安全管理员或相关人员,以通知他们潜在的威胁。警报内容通常包括异常行为的详细信息,以及相关的进程标识信息。
7、隔离/终止处理:根据检测系统的安全策略配置,可以采取终止和文件隔离措施来应对异常进程,以便阻止异常进程的恶意活
8、事件记录和报告:检测系统会记录检测到的异常活动,生成详细的报告,用于审计、分析和未来的安全策略制定。
9、在实际应用中,异常进程检测通常需要从多个数据源收集信息和分析,包括系统日志、网络流量、文件访问等,为了及时阻断高风险进程的运行,某些应用场景要求异常进程检测系统能够实时监测和响应异常行为,现有的技术主要通过在目标进程的运行过程中采集并分析进程的运行行为,在识别出异常进程之前,该进程已经运行一段时间,甚至已经执行过一些高危操作,导致用户系统暴露于攻击者面前。
10、另外,由于检测指标的波动和精度问题,异常检测系统可能会产生许多误报,为了进一步分析和验证检测结果,也会占用了大量的系统资源,包括cpu、内存和存储资源,导致系统性能进一步下降,加剧了系统的性能消耗和负担。
技术实现思路
1、专利技术目的:本专利技术目的在于针对现有技术的不足,提供一种基于沙箱的异常进程检测装置和方法,通过用户终端沙箱自动采集系统上的进程信息,并在进程启动时,根据其祖先进程、父进程和当前进程的行为,检测并阻断异常进程的运行。
2、技术方案:本专利技术所述的基于沙箱的异常进程检测装置,包括:
3、管理中心,用于下发安全策略,获取终端上传的安全事件以及进行安全策略、安全事件的管理;
4、agent组件,部署于用户终端操作系统上,用于构建虚拟的沙箱环境,通过钩子技术对系统内核进行挂接,按照所述管理中心下发的安全策略捕获终端上所有进程的系统调用情况,对于新进程,创建该进程的上下文向量,并通过已训练的异常检测模型进行重建,得到重建输出,计算输入数据与重建输出之间的重建误差,按照四分差规则,设置异常评分的阈值,将异常评分值超出阈值的进程标记为异常进程,将标记为异常的进程作为安全事件上传至所述管理中心。
5、进一步完善上述技术方案,所述agent组件包括:
6、数据采集模块,定时监控和采集来自终端上所有进程的系统调用情况,包括资源消耗数据、内核监控数据和系统调用数据;
7、数据处理模块,用于对所述数据采集模块获取的数据进行清理、标准化处理,以及对进程的系统调用数据进行词袋处理,为每个定时监控内的系统调用数据创建文档,为每个文档创建向量并填充向量,以得到统一维度的进程向量;
8、异常检测模型,获取数据处理模块处理后的进程向量,对每一个进程向量,创建该进程向量的上下文向量,并通过已训练的降噪自编码器模型自编码器进行重建,得到重建输出,计算输入数据和重建输出之间的重建误差,按照四分差规则,设置异常评分的阈值,将异常评分值超出阈值的进程标记为异常进程。
9、进一步地,所述数据采集模块包括:
10、资源监控模块,用于监控系统内核事件;
11、内核监控模块,用于监控终端中的进程管理信息;
12、系统监控模块,用于监控终端中的进程调用信息;
13、监控控制器,配置为控制所述资源监控模块、内核监控模块、系统监控模块的启动、停止、运行以及工作参数,以及将采集的数据发送至所述数据处理模块。
14、进一步地,所述数据处理模块对于数据采集模块收集的数据进行如下处理:
15、(1)对于数据采集模块在一个时间窗口内收集的数值类数据,通过数据清理功能,删除具有恒定值的数据,删除具有强相关关系的重复数据,然后进行标准化处理;
16、(2)对于进程的系统调用信息使用词袋模型进行处理,仅保留系统调用名称;
17、(3)构建一个词典,词典内容包含了在所有时间窗口中发生的系统调用名称,将每个时间窗口内的系统调用序列创建为一个文档,其中包含该时间窗口中发生的系统调用名称;
18、(4)为每个文档创建一个向量,用每个系统调用在当前时间窗口内出现的次数,来填充向量位置,填充后的向量维度采用扩展或删除的方法规范为统一维度。
19、进一步地,所述异常检测模块采用降噪自编码器模型得到重建的输出,计算输入数据和重建输出之间的重建误差,
20、使用的异常评分公式为:;
21、在上式中,重建误差的平均值和标准差,通过训练阶段的重建误差数组进行计算,按照四分差规则,设置异常评分的阈值,将实时计算出的进程异常评分进行排列,计算出当前的异常评分四分差为iqr=q3−q1,将异常评分值落在[q1−1.5×iqr,q3+1.5×iqr]之外的进程标记为异常进程。
22、进一步地,所述降噪自编码器模型包括:
23、输入层,用于获取输入数据;
24、高斯噪声层,用于向输入数据添加高斯噪声;
25、编码层,用于将添加高斯噪声的输入数据映射到潜在空间,以提取输入数据的高阶特征;
26、解码层,将编码后的数据映射回原始输入空间,以得到重建数据。
27、本专利技术还提供基于沙箱的异常进程检测方法,包括模型训练和异常进程检测;
28、所述模型训练过程如下:
29、准备训练样本:训练数据由设备正常运行状态下的进程数据组成,设定训练时间,按照训练时间采集进程的系统调用情况,生成进程向量,基于进程父子关系的上下文向量创建训练样本;
30、构建降噪自编码器模型,将上下文向量作为降噪自编码器模型的输入,训练过程中,通过反向传播来更新权重,采用均方本文档来自技高网...
【技术保护点】
1.一种基于沙箱的异常进程检测装置,其特征在于,包括:
2.根据权利要求1所述的基于沙箱的异常进程检测装置,其特征在于,所述Agent组件包括:
3.根据权利要求2所述的基于沙箱的异常进程检测装置,其特征在于,所述数据采集模块包括:
4.根据权利要求3所述的基于沙箱的异常进程检测装置,其特征在于,所述数据处理模块对于数据采集模块收集的数据进行如下处理:
5.根据权利要求4所述的基于沙箱的异常进程检测装置,其特征在于:所述异常检测模块采用降噪自编码器模型得到重建的输出,计算输入数据和重建输出之间的重建误差,
6.根据权利要求5述的基于沙箱的异常进程检测装置,其特征在于,所述降噪自编码器模型包括:
7.一种基于沙箱的异常进程检测方法,其特征在于:包括模型训练和异常进程检测;
8.根据权利要求7基于沙箱的异常进程检测方法,其特征在于:所述上下文向量的生成方法是,对每一个进程向量,从当前进程出发,逐级回溯得到父进程链。
【技术特征摘要】
1.一种基于沙箱的异常进程检测装置,其特征在于,包括:
2.根据权利要求1所述的基于沙箱的异常进程检测装置,其特征在于,所述agent组件包括:
3.根据权利要求2所述的基于沙箱的异常进程检测装置,其特征在于,所述数据采集模块包括:
4.根据权利要求3所述的基于沙箱的异常进程检测装置,其特征在于,所述数据处理模块对于数据采集模块收集的数据进行如下处理:
5.根据权利要求4所述的基于沙箱的异常进程检测装置...
【专利技术属性】
技术研发人员:于振伟,杨正权,秦益飞,
申请(专利权)人:江苏易安联网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。