【技术实现步骤摘要】
本公开至少涉及计算机安全,尤其涉及一种恶意进程检测方法、恶意进程检测装置以及计算机可读存储介质。
技术介绍
1、现有的恶意进程检测,通常是通过分析进程日志,并学习现有系统中的正常进程的规律,来综合分析是否出现异常进程。然而,这种分析方法需要分析处理学习大量的进程运行相关日志数据,并需要复杂的编码来完成进程日志的分析。
技术实现思路
1、本公开所要解决的技术问题是针对上述不足,提供一种恶意进程检测方法、恶意进程检测装置以及计算机可读存储介质,以解决如何减小了异常进程检测的分析数据量的问题。
2、第一方面,本公开提供一种恶意进程检测方法,所述方法包括:
3、获取系统的进程图像,进程图像中包括进程运行信息;
4、提取进程图像的图像特征;
5、将图像特征输入异常检测模型,以使异常检测模型,根据多张进程图像的图像特征,检测异常进程图像;
6、获取异常进程图像中的异常进程。
7、进一步地,进程图像具体是使用进程可视化工具查看的系统进程信息的截图,进程运行信息包括进程运行中使用系统中央处理器cpu和内存资源的信息。
8、进一步地,所述方法具体包括:
9、获取系统当前时刻的当前进程图像,当前进程图像中包括各进程的进程运行信息;
10、提取当前进程图像的当前图像特征;
11、将当前图像特征输入孤立森林异常检测模型,以使孤立森林异常检测模型,通过对比与当前时刻间隔最近的多张正常进程图
12、响应于当前进程图像为异常进程图像,获取当前进程图像中的异常进程。
13、进一步地,获取系统当前时刻的当前进程图像,当前进程图像中包括各进程的进程运行信息,具体包括:
14、在linux操作系统中,按照预设的采集周期,使用进程可视化工具top或htop查看系统进程信息并截图,以获取到系统当前时刻的当前进程图像;
15、当前进程图像中包括全局信息块和局部信息块,全局信息块中包括系统cpu和内存资源使用情况信息,局部信息块中包括各进程分别使用系统cpu和内存资源的信息。
16、进一步地,提取当前进程图像的当前图像特征,具体包括:
17、使用opencv工具提取当前进程图像的尺度不变特征变换sift特征和方向梯度直方图hog特征,作为当前进程图像的第一当前图像特征;
18、将当前进程图像转换为当前图像向量,将当前图像向量输入ae自编码器,以使ae自编码器输出当前进程图像的第二当前图像特征。
19、进一步地,将当前图像特征输入孤立森林异常检测模型,以使孤立森林异常检测模型,通过对比与当前时刻间隔最近的多张正常进程图像的正常图像特征,检测当前进程图像是否为异常进程图像,具体包括:
20、将第一当前图像特征和第二当前图像特征输入孤立森林异常检测模型,以使孤立森林异常检测模型,通过对比从当前时刻往前的预设时长内按照预设的采集周期采集的历史进程图像的第一历史图像特征和第二历史图像特征,检测当前进程图像是否与历史进程图像中的多数正常进程图像相异。
21、进一步地,响应于当前进程图像为异常进程图像,获取当前进程图像中的异常进程,具体包括:
22、响应于当前进程图像与历史进程图像中的多数正常进程图像相异,获取当前进程图像中的排列在top n的进程为疑似异常进程;
23、获取疑似异常进程的进程参数,根据进程参数判断疑似异常进程是否为异常进程。
24、进一步地,获取疑似异常进程的进程参数,根据进程参数判断疑似异常进程是否为异常进程,具体包括:
25、使用opencv提取进程图像中疑似异常进程的进程名、源文件所在目录、可疑命令、系统cpu和/或内存资源使用信息;
26、判断疑似异常进程的进程名是否符合进程名规范,如果是赋予第一分值,如果否赋予第二分值;
27、判断疑似异常进程的源文件所在目录是否符合进程源文件目录规范,如果是赋予第三分值,如果否赋予第四分值;
28、判断疑似异常进程出现时段内系统是否有超过预设数量个可疑命令,如果否赋予第五分值,如果是赋予第六分值;
29、判断疑似异常进程出现时段内系统cpu和/或内存资源使用是否出现超过预设幅度的波动,如果否赋予第七分值,如果是赋予第八分值;
30、对以上各赋予的分值求和以获取总分值,响应于总分值大于第九分值,判定疑似异常进程为异常进程。
31、第二方面,本公开提供一种恶意进程检测装置,所述装置包括:
32、图像获取模块,用于获取系统的进程图像,进程图像中包括进程运行信息;
33、特征提取模块,与图像获取模块连接,用于提取进程图像的图像特征;
34、模型检测模块,与特征提取模块连接,用于将图像特征输入异常检测模型,以使异常检测模型,根据多张进程图像的图像特征,检测异常进程图像;
35、异常分析模块,与模型检测模块连接,用于获取异常进程图像中的异常进程。
36、第三方面,本公开提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被处理器运行时,实现如上所述的恶意进程检测方法。
37、本公开提供一种恶意进程检测方法、恶意进程检测装置以及计算机可读存储介质,通过获取系统的进程图像,对多张进程图像的图像特征进行检测,以获取到其中的异常进程图像,分析异常进程图像中是否存在异常进程,以实现异常进程检测,减小了异常进程检测的分析数据量。
本文档来自技高网...【技术保护点】
1.一种恶意进程检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,进程图像具体是使用进程可视化工具查看的系统进程信息的截图,进程运行信息包括进程运行中使用系统中央处理器CPU和内存资源的信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法具体包括:
4.根据权利要求3所述的方法,其特征在于,获取系统当前时刻的当前进程图像,当前进程图像中包括各进程的进程运行信息,具体包括:
5.根据权利要求4所述的方法,其特征在于,提取当前进程图像的当前图像特征,具体包括:
6.根据权利要求5所述的方法,其特征在于,将当前图像特征输入孤立森林异常检测模型,以使孤立森林异常检测模型,通过对比与当前时刻间隔最近的多张正常进程图像的正常图像特征,检测当前进程图像是否为异常进程图像,具体包括:
7.根据权利要求6所述的方法,其特征在于,响应于当前进程图像为异常进程图像,获取当前进程图像中的异常进程,具体包括:
8.根据权利要求7所述的方法,其特征在于,获取疑似异常进程的进程参数,根据
9.一种恶意进程检测装置,其特征在于,所述装置包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序被处理器运行时,实现如权利要求1-8任一项所述的恶意进程检测方法。
...【技术特征摘要】
1.一种恶意进程检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,进程图像具体是使用进程可视化工具查看的系统进程信息的截图,进程运行信息包括进程运行中使用系统中央处理器cpu和内存资源的信息。
3.根据权利要求1或2所述的方法,其特征在于,所述方法具体包括:
4.根据权利要求3所述的方法,其特征在于,获取系统当前时刻的当前进程图像,当前进程图像中包括各进程的进程运行信息,具体包括:
5.根据权利要求4所述的方法,其特征在于,提取当前进程图像的当前图像特征,具体包括:
6.根据权利要求5所述的方法,其特征在于,将当前图像特征输入孤立森林异常检测模型,以...
【专利技术属性】
技术研发人员:童海波,陈世刚,方东,李克利,陈戈,韦峻峰,金保争,王楠,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。