一种基于过程管控的恶意软件的检测系统和方法与流程

本发明涉及网络安全、soc(security operation center)、过程管控、windows审计日志、恶意软件、lstm(long short term memory networks)和嵌入(embedding)的，尤其涉及到一种基于过程管控的恶意软件的检测系统和方法。

背景技术：

1、多年来，使用机器学习算法将安全相关数据分为正常数据和恶意数据的思想，并将该机器学习用于网络安全、基于主机的入侵检测等。这项工作的重点是该场景中的一项特定任务，即将windows审计日志事件分为两类：正常和恶意。

2、windows审计日志是全面的，记录有关操作系统和用户活动的详细信息。windows操作系统上的所有活动都会在这种日志记录中生成事件序列。这就是为什么windows审计日志事件是检测恶意软件、勒索软件、特洛伊木马等有害活动的一个很有希望的原始数据。此外，它甚至能够区分正常和恶意用户行为。但是，windows审计日志是文本和顺序数据，这使得使用最先进的机器学习算法进行分析变得复杂，因此不清楚使用windows审计日志事件的所有可用信息是否有益，或者是否可以丢弃某些信息。因此，手动分析或静态阈值通常用于分析windows审计日志事件。这项工作解决的问题是开发一种适当的方法来分析windows审计日志事件，使用机器学习算法来检测恶意软件。

3、本申请的目标是将windows审计日志转换为有意义的向量，这样它们就可以被典型的机器学习算法(如深度神经网络)处理。因此，这项工作遵循两个主要目标。第一个目标衡量所用特征的不同表示的影响。第二个目标是调查考虑windows审计日志事件的不同特征子集的影响。

4、文本和顺序数据的基本挑战与自然语言处理(natural language processingnlp)相似。在nlp中，热编码(one-hot encodings)通常用于表示单词。其他方法，如bert、elmo、glove或word2vec，使用文本语料库作为输入，学习单词的实值向量表示。由于数据结构相似，将一种热编码和三种嵌入方法(快速文本fast-text、手套glove和word2vec)传输到与安全相关的数据中。首先，从windows审计日志的每个事件中提取几个特征。然后，使用一种热编码和不同的嵌入表示将这些值转换为连续向量。

5、虽然存在用于检测恶意软件的各种方法，但是，能够被应用于windows审计日志的检测系统和检测方法却很少。因此，研究lstm(long short term memory networks长短期内存网络)，将windows审计日志事件分为两类(正常和恶意)，从而检测出恶意软件，显得尤为重要。

技术实现思路

1、为了解决上述技术问题，本发明提供了一种基于过程管控的恶意软件的检测系统和方法，采用lstm方法来检测恶意软件，在过程管控模型的安装阶段中，构建反恶意软件的“防线”，从而阻止攻击者的进一步地攻击。

2、一种基于过程管控的恶意软件的检测系统，其特征在于，被用于在过程管控模型所述的安装阶段中检测恶意软件，从记录有关用户和操作系统运行进程的详细信息的windows审计日志中，采用fasttext的表示方法提取若干特征，使用lstm在所述的windows审计日志的若干特征上检测恶意软件，所述系统，包括日志特征提取及其输入模块、lstm模型模块和检测输出模块；

3、所述日志特征提取及其输入模块，采用fasttext的表示方法，将诸如动作action、名称name和目标文件target的许多特征转换为连续序列，序列由多个单独的文件组成，每个文件包含大约几分钟的windows审计日志事件，每个日志文件都包含诸如记录时间和事件数的元信息，一个文件有1到m个进程，对于每个进程，都有进程名称、进程id和相应事件的列表，每个进程包含1到n个事件，事件是日志文件中最小的单元，包含特征：时间、事件id、字符串id、动作、目标文件和抽象，提取的windows审计日志的特征包括层级，层级指示所述windows审计日志文件的层次结构，对于windows审计日志文件中的所有事件，第1层级的特征相同，对于由同一进程引起的所有事件，第2层级的特征相同，对于每个事件，第3层级的特征不同；

4、所述lstm模型模块，将lstm层堆叠在一起以改善序列中长期相关性的处理，由于windows审计日志中的长期依赖关系，将3个lstm层堆叠在一起，lstm层之后是两个完全连接的ff层，根据输入特征的数量n调整每层神经元的数量，包括：使用min(max128)个神经元的第1个lstm层，使用min(max64)个神经元的第2个lstm层，使用min(max32个)个神经元的第3个lstm层，第一个完全连接的层4和最后一个层1神经元；

5、所述检测输出模块，输出值为0的属于正常序列，输出值为1的属于恶意序列或恶意软件；

6、一种基于过程管控的恶意软件的检测方法，其特征在于，所述方法，还包括如下步骤：

7、(1)预处理训练数据；

8、(2)转换训练和测试数据；

9、(3)训练和评估模型；

10、(4)日志特征提取及其输入，并输出检测结果。

11、进一步地，所述第1层级，包括特征：开始时间、结束时间、数据大小。

12、进一步地，所述第2层级，包括特征：进程id、名称、进程文件路径、进程文件后缀。

13、进一步地，所述第3层级，包括特征：时间、事件id、忽略、字符串id、动作、目标文件、目标文件路径、目标文件后缀和抽象。

14、本发明的技术效果在于：

15、在本发明中，提供了一种基于过程管控的恶意软件的检测系统和方法，其特征在于，被用于在过程管控模型所述的安装阶段中检测恶意软件，从记录有关用户和操作系统运行进程的详细信息的windows审计日志中，采用fasttext的表示方法提取若干特征，使用lstm在所述的windows审计日志的若干特征上检测恶意软件，所述系统，包括日志特征提取及其输入模块、lstm模型模块和检测输出模块。所述方法，还包括步骤：(1)预处理训练数据；(2)转换训练和测试数据；(3)训练和评估模型；(4)日志特征提取及其输入，并输出检测结果。通过本发明，能够在过程管控模型所述的安装阶段检测出恶意软件，阻止攻击者的进一步地攻击。

技术特征：

1.一种基于过程管控的恶意软件的检测系统，其特征在于，被用于在过程管控模型所述的安装阶段中检测恶意软件，从记录有关用户和操作系统运行进程的详细信息的windows审计日志中，采用fasttext的表示方法提取若干特征， 使用lstm在所述的windows审计日志的若干特征上检测恶意软件，所述系统，包括日志特征提取及其输入模块、lstm模型模块和检测输出模块；

2.如权利要求1所述的一种基于过程管控的恶意软件的检测系统和方法，其特征在于，所述第1层级，包括特征：开始时间、结束时间、数据大小。

3.如权利要求1所述的一种基于过程管控的恶意软件的检测系统和方法，其特征在于，所述第2层级，包括特征：进程id、名称、进程文件路径、进程文件后缀。

4.如权利要求1所述的一种基于过程管控的恶意软件的检测系统和方法，其特征在于，所述第3层级，包括特征：时间、事件id、忽略、字符串id、动作、目标文件、目标文件路径、目标文件后缀和抽象。

技术总结
本发明公开了一种基于过程管控的恶意软件的检测系统和方法，其特征在于，被用于在过程管控模型所述的安装阶段中检测恶意软件，从记录有关用户和操作系统运行进程的详细信息的Windows审计日志中，采用FastText的表示方法提取若干特征，使用LSTM在所述的Windows审计日志的若干特征上检测恶意软件，所述系统，包括日志特征提取及其输入模块、LSTM模型模块和检测输出模块。所述方法，还包括步骤：(1)预处理训练数据；(2)转换训练和测试数据；(3)训练和评估模型；(4)日志特征提取及其输入，并输出检测结果。通过本发明，能够在过程管控模型所述的安装阶段检测出恶意软件，阻止攻击者的进一步地攻击。

技术研发人员：凌飞,林薇
受保护的技术使用者：南京联成科技发展股份有限公司
技术研发日：
技术公布日：2024/1/12