平码五不中公式规律
  • / 7
  • 下载费用:30 金币  

一种基于深度学习的主机恶意行为检测方法.pdf

关 键 ?#21097;?/dt>
一种 基于 深度 学习 主机 恶意 行为 检测 方法
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201910038388

申请日:

20190116

公开号:

CN109547496A

公开日:

20190329

当前法律状态:

实质审查的生效

?#34892;?#24615;:

审中

法?#19978;?#24773;: 实质审查的生效
IPC分类号: H04L29/06;H04L12/851;H04L12/24 主分类号: H04L29/06;H04L12/851;H04L12/24
申请人: 西安工业大学
发明人: 折宇超;路晓雷
地址: 710032 陕西省西安市未央区学府中路2号
优先权:
专利代理机构: 61114 代理人: 黄秦芳
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201910038388

授权公告号:

法律状态公告日:

20190423

法律状态类型:

实质审查的生效

摘要

本发明提供一种基于深度学习的主机恶意行为检测方法,该方法为,对要判定行为的主机的内、外部信息流进行跟踪,不断并依次形成多个信息流序列组;提取每组信息流序列组内部和外部特征以及标签输入模型,对模型进行训练,形成分类模型,然后使用分类模型对信息流是否恶意进行鉴别。本发明方法可以针对每一条信息流序列进行分类,这些信息流汇聚成信息流图后,可根据对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。

权利要求书

1.一种基于深度学习的主机恶意行为检测方法,其特征在于:对要判定行为的主机的内、外部信息流进行跟踪,不断并依次形成多个信息流序列组;提取每组信息流序列组内部和外部特征以及标签输入模型,对模型进行训练,形成分类模型,然后使用分类模型对信息流是否恶意进行鉴别。 2.根据权利要求1所述基于深度学习的主机恶意行为检测方法,其特征在于: 具体的,依次包括下述步骤: 步骤一、以一台主机为源头,提取这台主机内部信息流序?#34892;?#20026;; 步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列; 步骤三、提取这些主机间的信息流序列; 步骤四、将所?#34892;?#24687;流序列的这些数字特征和标签分为三组;第一组用于训?#32442;?#22411;,第二组用于测试训练精度并不断调整模型使测试精度达到最高,第三组用于实际测量精度; 步骤五、对第一组数字特征和分类的标签输入分类器中进行分类,分类器包括神经网络,CNN,调节分类器的输入节点数、层数、隐藏层节点数参数,根据系统类型提高或?#26723;?#20998;类精度;具体的,通过精确?#30465;?#20934;确?#30465;?#26723;?#25351;标判断模型的好坏,调节模型参数,确定分类模型; 步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中,对模型的输出结果进行测评,通过精确?#30465;?#20934;确?#30465;值、业务需求等指标判断模型的好坏,调节模型参数评估并修正模型; 步骤七、重复执行第五、六步,直到满足条件为止,确定最终的成熟模型; 步骤八、将第三组数字特征和分类的标签输入到成熟模型中,对模型的输出结果进行测评,得到实际测量值,也就是可以判定每一个链条是否为攻击链; 步骤九、根据实际测量值,通过对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。 3.根据权利要求2所述基于深度学习的主机恶意行为检测方法,其特征在于: 步骤一中,以一台主机为源头,提取这台主机内部信息流序?#34892;?#20026;,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全?#26029;?#39640;安全级读的非法行为,如有标识为1,若无标识为0。 4.根据权利要求3所述基于深度学习的主机恶意行为检测方法,其特征在于: 步骤二中,提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列,具体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全?#26029;?#39640;安全级读的非法行为,如有标识为1,若无标识为0。 5.根据权利要求4所述基于深度学习的主机恶意行为检测方法,其特征在于: 步骤三中,提取这些主机间的信息流序列,具体方法包括,机器的节点编号,每台机器接收到的比特数、?#32440;?#25968;、包数、?#20013;?#26102;间、每秒比特数、每秒?#32440;?#25968;。 6.根据权利要求5所述基于深度学习的主机恶意行为检测方法,其特征在于: 步骤四中,将所?#34892;?#24687;流序列的这些数字特征和标签分为三组,其中,第一组占60%,第二组占20%,第三组占20%。

说明书


一种基于深度学习的主机恶意行为检测方法
技术领域


本发明属于计算机技术领域,具体涉及一种基于深度学习的主机恶意行为检测方
法。


背景技术


深度学习的前身是机器学习,而机器学习又是一种实现人工智能的方法,它涉及
大数据领域,而大数据又涉及到金融、IT等方方面面。机器学习最基本的做法,是使用算法
来解析数据、从中学习,然后对真实世界中的事件做出决策和预测。与传统的为解决特定任
务、硬编码的软件程序不同,机器学习是用大量的数据来“训练?#20445;?#36890;过各种算法从数据中学
习如何完成任务。深度学习是近年来新兴的技术,深度学习本来并不是一种独立的学习方
法,其本身?#19981;?#29992;到有监督和无监督的学习方法来训练深度神经网络。但由于近几年该领
域发展?#35813;停?#19968;些特有的学习手段相继被提出(如残差网络),因此越来越多的人将其单独
看作一种学习的方法。最初的深度学习是利用深度神经网络来解决特征表达的一种学习过
程。深度神经网络本身并不是一个全新的概念,可大致理解为包含多个隐含层的神经网络
结构。为了提高深层神经网络的训练效果,人们对神经元的连接方法和激活函数等方面做
出相应的调整。


现有技术中对主机恶意行为的检测方法主要包含以下几种:1、现有的一些主机恶
意行为检测都是基于规则的,属于传统的检测方法。这种检测方法无法应对病毒或者是恶
意软件的变种(此类方法太多就不一一列举)。2、还有一些方法(“基于主机行为特征的恶意
软件检测方法?#20445;?#26159;针对僵尸、远控木马等恶意软件检测问题,提出一种基于主机行为的异
常检测模型。通过?#20013;?#24615;分析算法,判断主机与外部特定目标的通信行为是否具有周期性
或连续性,提取出可疑的网络行为,并根据网络行为的触发、启动等异常检测规则对这些可
疑的网络行为进行分析,判断主机是否感染恶意软件。这种方法不能通过主机内外部的信
息流流向来动态的根据监控系统对安全性的要求来调整主机是否是恶意主机的判别标准,
若对主机一连串行为的分类过于严格,那么会造成大量的预警。若对主机一连串行为分类
过于宽松,?#21482;?#28431;掉一些严重告警。3、另外的一些方法(“Learning to Detect and
Classify Malicious Executables in the Wild?#20445;?#36890;过使用机器学习和数据挖掘来检测
恶意可执行文件(包括:病毒,蠕虫和特洛伊木马),其中,他第一步使用n-gram来提取可执
行文件ASKII形式的16进制代码,?#36816;?#20316;为基础特征向量来进行变换,然后在其基础上进行
分类得到结果,但未使用在主机的恶意行为的检测上,而且提取的特征和方法也不同。


现有检测方法存在的问题是?#22909;?#26377;通过主机内外部的信息流流向来动态的根据监
控系统对安全性的要求来调整主机是否是恶意主机的判别标准,若对主机一连串行为的分
类过于严格,那么会造成大量的预警。若对主机一连串行为分类过于宽松,?#21482;?#28431;掉一些严
重告警。而且现有的检测方法也不能对整个信息流图进行一个全面的评估,判断出在一段
时间内整个拓扑图中有多少恶意主机,占比有多大。


发明内容


本发明提出一种基于深度学习的主机恶意行为检测方法,以克服现有技术中的问
题。


为达到本发明的目的,本发明所采用的技术方案是:


一种基于深度学习的主机恶意行为检测方法,对要判定行为的主机的内、外部信息流
进行跟踪,不断并依次形成多个信息流序列组;提取每组信息流序列组内部和外部特征以
及标签输入模型,对模型进行训练,形成分类模型,然后使用分类模型对信息流是否恶意进
行鉴别。


具体的,依次包括下述步骤:


步骤一、以一台主机为源头,提取这台主机内部信息流序?#34892;?#20026;;


步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机
内部信息流行为序列;


步骤三、提取这些主机间的信息流序列;


步骤四、将所?#34892;?#24687;流序列的这些数字特征和标签分为三组;第一组用于训?#32442;?#22411;,第
二组用于测试训练精度并不断调整模型使测试精度达到最高,第三组用于实际测量精度;


步骤五、对第一组数字特征和分类的标签输入分类器中进行分类,分类器包括神经网
络,CNN,调节分类器的输入节点数、层数、隐藏层节点数参数,根据系统类型提高或?#26723;?#20998;
类精度;具体的,通过精确?#30465;?#20934;确?#30465;?#26723;?#25351;标判断模型的好坏,调节模型参数,确定分类
模型;


步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中,对模型的输出结
果进行测评,通过精确?#30465;?#20934;确?#30465;值、业务需求等指标判断模型的好坏,调节模型参数评
估并修正模型;


步骤七、重复执行第五、六步,直到满足条件为止,确定最终的成熟模型;


步骤八、将第三组数字特征和分类的标签输入到成熟模型中,对模型的输出结果进行
测评,得到实际测量值,也就是可以判定每一个链条是否为攻击链;


步骤九、根据实际测量值,通过对每一条信息流序列分类的结果,判断由这些信息流序
列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。


进一步的,步骤一中,以一台主机为源头,提取这台主机内部信息流序?#34892;?#20026;,具
体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全?#26029;?#39640;安全级读
的非法行为,如有标识为1,若无标识为0。


进一步的,步骤二中,提取以这台主机为源头的且直接或间接与这台主机相连的
一系列主机的主机内部信息流行为序列,具体方法包括,主机内部信息流行为构成的有限
状态自动机是否存在低安全?#26029;?#39640;安全级读的非法行为,如有标识为1,若无标识为0。


进一步的,步骤三中,提取这些主机间的信息流序列,具体方法包括,机器的节点
编号,每台机器接收到的比特数、?#32440;?#25968;、包数、?#20013;?#26102;间、每秒比特数、每秒?#32440;?#25968;。


进一步的,步骤四中,将所?#34892;?#24687;流序列的这些数字特征和标签分为三组,其中,
第一组占60%,第二组占20%,第三组占20%。


与现有技术相比,本发明的优点是:


1、本发明方法可以针对每一条信息流序列进行分类,这些信息流汇聚成信息流图后,
可根据对每一条信息流序列分类的结果,判断由这些信息流序列组成的信息流图中的计算
机及服务器的受攻击范围及严重情况。


2、本发明方法可通过信息流分析及深度学习方法根据需要动态的调整被分类主
机行为流量分配到正常行为和恶意行为的比例以及范围、判断网络拓扑图中恶意主机的所
占的比例;如果信息系统是保密系统或对安全要求严格,则被检测行为流量和异常行为流
量在相似度为20%时,就将被检测主机行为流量信息归类为恶意流量并预警、采取措施,若
信息系统民用而且对安全要求比较宽松,那么可在相似度为50%的行为流量出现时才将其
分为恶意流量。


附图说明


图1为本发明步骤八形成成熟模型的过程示意图。


图2为本发明步骤九中判定每一条信息流序列分类的结果示意图。


具体实施方式


下面通过具体实施方式结合附图对本发明作进一步详细说明。说明书中所描述的
特点、操作或者特征可以以任意?#23454;?#30340;方式结合形成各种实施方式。同时,方法描述中的各
步骤或者动作?#37096;?#20197;按照本领域技术人员所能显而?#20934;?#30340;方式进行顺序调换或调整。因
此,说明书和附图中的各种顺序只是为了清楚描述某一个实施例,并不意味着是必须的顺
序,除非另有说明其中某个顺序是必须遵循的。


本发明方法的关键点在于通过深度学习网络来调节主机恶意行为和正常行为的
判别标准,可达到按照系统的安全要求来告警的需求。着重涉及以下几点:1.提取每台主机
一连串内、外信息流行为的特征的方法; 2.实现根据安全需求不断调整模型分类的判别标
准; 3.根据分类结果判断恶意主机在拓扑图中所占的比例。


总体来说,需要对要判定行为的主机的内、外部信息流进行跟踪,不断形成信息流
序列组,依次形成多个信息流序列组。提取每组信息流序列组内部和外部特征以及标签输
入模型,对模型进行训练,形成分类模型;然后使用分类模型对信息流是否恶意进行鉴别。


下面介绍本发明的一个具体的实施例:


一种基于深度学习的主机恶意行为检测方法,依次包括下述步骤:


步骤一、以一台主机为源头,提取这台主机内部信息流序?#34892;?#20026;;


步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机
内部信息流行为序列;


步骤三、提取这些主机间的信息流序列;


步骤四、将所?#34892;?#24687;流序列的这些数字特征和标签分为三组;第一组用于训?#32442;?#22411;,第
二组用于测试训练精度并不断调整模型使测试精度达到最高,第三组用于实际测量精度;


步骤五、对第一组数字特征和分类的标签输入分类器中进行分类,分类器包括神经网
络,CNN,调节分类器的输入节点数、层数、隐藏层节点数参数,根据系统类型提高或?#26723;?#20998;
类精度;具体的,通过精确?#30465;?#20934;确?#30465;?#26723;?#25351;标判断模型的好坏,调节模型参数,确定分类
模型;


步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中,对模型的输出结
果进行测评,通过精确?#30465;?#20934;确?#30465;值、业务需求等指标判断模型的好坏,调节模型参数评
估并修正模型;


步骤七、重复执行第五、六步,直到满足条件为止,确定最终的成熟模型;


步骤八、参见图1,将第三组数字特征和分类的标签输入到成熟模型中,对模型的输出
结果进行测评,得到实际测量值,也就是可以判定每一个链条是否为攻击链;


步骤九、参见图2,根据实际测量值,通过对每一条信息流序列分类的结果,判断由这些
信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。


进一步的,步骤一中,以一台主机为源头,提取这台主机内部信息流序?#34892;?#20026;,具
体方法包括,主机内部信息流行为构成的有限状态自动机是否存在低安全?#26029;?#39640;安全级读
的非法行为,如有标识为1,若无标识为0。


进一步的,步骤二中,提取以这台主机为源头的且直接或间接与这台主机相连的
一系列主机的主机内部信息流行为序列,具体方法包括,主机内部信息流行为构成的有限
状态自动机是否存在低安全?#26029;?#39640;安全级读的非法行为,如有标识为1,若无标识为0。


进一步的,步骤三中,提取这些主机间的信息流序列,具体方法包括,机器的节点
编号,每台机器接收到的比特数、?#32440;?#25968;、包数、?#20013;?#26102;间、每秒比特数、每秒?#32440;?#25968;。


进一步的,步骤四中,将所?#34892;?#24687;流序列的这些数字特征和标签分为三组,其中,
第一组占60%,第二组占20%,第三组占20%。


本领域技术人员可以理解,上述实施方式中各种方法的全部或部分功能可以通过
?#24067;?#30340;方式实现,?#37096;?#20197;通过计算机程序的方式实现。当上述实施方式中全部或部分功能
通过计算机程序的方式实现时,该程序可?#28304;?#20648;于一计算机可?#38142;?#20648;介质中,存储介质可
以包括:只?#38142;?#20648;器、随机存储器、磁盘、光盘、硬盘等,通过计算机执行该程序以实现上述
功能。例如,将程序存储在设备的存储器中,当通过处理器执行存储器中程序,即可实现上
述全部或部分功能。另外,当上述实施方式中全部或部分功能通过计算机程序的方式实现
时,该程序?#37096;梢源?#20648;在服务器、另一计算机、磁盘、光盘、?#38142;?#30424;或移动硬盘等存储介质
中,通过下载或复制保存到本地设备的存储器中,或对本地设备的系统进行版本更新,当通
过处理器执行存储器中的程序时,即可实现上述实施方式中全部或部分功能。


以上应用?#21496;?#20307;个例对本发明进行阐述,只是用于帮助理解本发明,并不用以限
制本发明。对于本发明所属技术领域的技术人?#20445;?#20381;据本发明的思想,还可以做出若干简单
推演、变形或替换。


关于本文
本文标题:一种基于深度学习的主机恶意行为检测方法.pdf
链接地址:http://www.pqiex.tw/p-6153091.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
平码五不中公式规律 时时彩大小单双2期计划 捕鱼来了猜青龙白龙怎么猜 微信实体店买彩票 赛车北京pk10有官网吗 北京pk10预测软件免费 玩水果机怎么压能赢钱 内蒙古时时三星走势 剑啸江湖赚钱 十二生肖走势图 河南福彩22选5弟134期预测号