一种机器学习自动化行为分析的行为威胁分析方法与流程

本发明是一种机器学习自动化行为分析的行为威胁分析方法，属于网络安全领域。

背景技术：

现有技术中，随着网络中攻击越来越复杂，其在军事、商业方面的影响也越来越广，而攻击的复杂性导致高级持续性检测愈发的困难，该攻击的发展具体体现在攻击者不断使用各种攻击手段，变换已有的攻击方式，在缓慢顺利得渗透到内部网络后长期蛰伏，不断在网络中获取相关敏感信息并想方设法继续提升权限，直到获得重要敏感信息为止。对于隐蔽性极高的攻击，需要及时地对其进行发现和处理，保护运行系统的主体安全。

高级持续性威胁攻击（advancedpersistentthreat，apt）可能在用户环境中存在一年以上或更久，不断收集各种信息，直到收集到重要情报。而这些发动高级持续性威胁攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物。这种攻击具有持续性甚至长达数年的特征，攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏，让网管人员无从察觉。

尽管apt在攻击过程上与普通攻击行为很类似，但在具体步骤上，作为一种有目标、有组织的攻击方式，apt的攻击行为特征难以提取、单点隐蔽能力强、攻击渠道多样化、攻击持续时间长，使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。

经对现有技术文献的检索发现，中国专利申请号为：cn201510203698.1名称为“一种高级持续性威胁攻击的判别方法”，包括如下步骤：采集终端样本程序系统api调用序列；通过mapreduce模块提取其api调用短序列，然后计算短序列的信息增益，筛选出信息增益大的程序行为特征；再次扫描该系统api调用序列，得到终端样本程序的行为特征；统计机器学习模型模块使用每个样本程序的行为特征作为输入，对其进行训练，直至其对训练样本程序分类正确率达到90%以上时，确定模型参数，将其作为apt攻击判别器；采集目标终端程序的系统调用序列；对目标程序，采集其api调用序列、提取其行为特征后，便可判别其是否存在攻击行为。本发明对apt攻击的检测能力强，缩短程序行为特征的提取时间。”利用该方法，能够实现识别apt攻击的效果，扩大了可分析的终端程序系统调用序列的规模，缩短了程序行为特征的提取时间。

技术实现要素：

针对现有技术存在的不足，本发明目的是提供一种机器学习自动化行为分析的行为威胁分析方法，以解决上述背景技术中提出的问题。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种机器学习自动化行为分析的行为威胁分析方法，包括如下步骤：

步骤1：接管系统内核所有程序执行管道；

步骤2：监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；

步骤3：将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，若不低于阈值，则继续执行步骤4；

步骤4：持续监控这些用户的行为，返回步骤2继续执行。

进一步地，所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测。

进一步地，所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对。

所述步骤3包括：

步骤3.1：将捕捉到的用户指令以长度为n依序作为单位，判断每个序列与指令序列库的相似度；

步骤3.2：对相似度进行加窗降噪处理，得到按时间排列的相似度判决值；

步骤3.3：当判决值小于阈值时，系统告警。

进一步地，所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库，其中用户的主机名、网址等信息用统一格式的标识符号代替。

进一步地，所述捕捉各类系统及应用层操作，包括pe文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和api函数调用情况，将执行过程转化为指令进行检测。

本发明的有益效果：本发明的一种机器学习自动化行为分析的行为威胁分析方法，在操作系统内部通道捕获进程和内核的行为信息，通过捕捉用户指令序列，由机器学习的方式分析其行为可疑程度，从而达到检测高级持续性威胁，检测效率高，能够较全面地分析攻击在系统层面的行为情况。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为一种机器学习自动化行为分析的行为威胁分析方法的流程示意图。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

请参阅图1，本发明提供一种技术方案：一种机器学习自动化行为分析的行为威胁分析方法，包括如下步骤：

步骤1：接管系统内核所有程序执行管道；

步骤2：监控用户指令序列并交由通过机器学习建立的用户指令序列库进行比对；

步骤3：将用户指令序列分为长度较短的序列组合并得出判决值，若其低于阈值则系统告警，若不低于阈值，则继续执行步骤4；

步骤4：持续监控这些用户的行为，返回步骤2继续执行。

进一步地，所述步骤1包括接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，将执行过程中的各类指令转化为标准格式进行检测。

进一步地，所述步骤2包括将捕捉到的所有用户指令交由用户指令序列库进行比对，用户指令序列库可人为进行数据的添加。

所述步骤3包括：

步骤3.1：将捕捉到的用户指令以长度为n依序作为单位，判断每个序列与指令序列库的相似度，其中用户指令的长度n可人为设定；

步骤3.2：对相似度进行加窗降噪处理，得到按时间排列的相似度判决值；

步骤3.3：当判决值小于阈值时，系统告警。

进一步地，所述用户指令序列库是由合法用户的指令作为正常行为训练数据进行训练而建立的样本序列库，其中用户的主机名、网址等信息用统一格式的标识符号代替。

进一步地，所述捕捉各类系统及应用层操作，包括pe文件及各类脚本，将执行行为转化为操作指令，即使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和api函数调用情况，将执行过程转化为指令进行检测。

一种机器学习自动化行为分析的行为威胁分析方法，使其能够在符合检测要求的前提下，尽可能获取黑客在系统内部的行为分析数据，对捕获到的进程及命令行参数，检测可疑的执行指令和代码，同时对网络数据流进行监控，判断数据流中可以的危害特征。主要用来分析恶意代码的攻击行为，并且与本地攻击行为进行联动分析。

针对windows操作系统，这里是指windows系统环境下的高级持续性威胁检测方法，利用系统内部通道捕获进程和内核的行为信息，通过分析操作行为的可疑程度，并匹配攻击特征库进行决策，动态分析网络流数据和特征。挖掘出本地操作行为和网络行为的相关性，确定是否存在恶意的攻击行为，从而达到检测高级持续性威胁的目的。

对于windows操作系统下网络攻击行为，主要是指对高级持续性威胁的检测，具体的检测流程如图1所示，包括如下步骤：

第一步，接管系统内核所有程序执行管道，捕捉各类系统及应用层操作，即捕捉所有执行性的操作，包括pe文件及各类脚本；将执行行为转化为操作指令（具有可观测性），即将具体执行过程中的各类指令转化为标准格式进行检测。具体地，使用内核函数接管系统中所有的执行进程和命令管道，捕捉内部执行过程和api函数调用情况。将执行过程转化为指令进行检测。

第二步，将捕捉的指令序列交由用户指令交由用户指令序列库进行比对。其中，用户的主机名、网址等信息用统一格式的标识符号代替。

第三步，将捕捉到的用户指令以长度为n依序作为单位，判断每个序列与指令序列库的相似度，对相似度进行加窗降噪处理，得到按时间排列的相似度判决值；当判决值小于阈值时，则系统告警，其中阈值可进行设定，设定范围在80-90%。

本发明通过对系统中异常执行行为、网络行为和文件操作行为分析，并对捕捉的行为特征进行策略匹配异常分析，将高级持续性攻击在系统中可能发生的操作进行告警。

本发明经过了功能测试，测试结果表明了本发明对于常见的高级持续性攻击的行为具有很好的检测率；特别是对于windows系统平台下的通过网络进行渗透和攻击的情况，攻击检测率较高；该检测方法能够较全面地分析攻击在系统层面的行为情况；即使攻击比较复杂时，也能够检测出一部分攻击操作行为。

在黑客获得用户权限后，对于一个正常的用户行为，安全系统是很难分辨这个活动是来自于普通用户还是黑客，因为黑客在实施高级持续性威胁时，在最终获取重要信息资料之前，黑客不会执行特定的活动，不会执行有危害嫌疑的活动，以更好地隐藏自己，甚至在拥有访问特定应用程序或数据的合法权限之后也不进行大范围操作。对所有用户进行无关的活动路径的监控会大量占用系统资源和空间。

通常的黑客身份溯源是在发现资产财产损失之后进行的，但是黑客很容易通过相同的手段或者升级手段，换一个ip换一个登陆路径就能够欺骗过网管人员，再多的对于历史数据的分析也无济于事。

但是，黑客行为总是有迹可循的。利用基于机器学习自动化行为分析的方法，我们可以发现低风险用户进行的高危操作，从而及时发现黑客行为，防范于未然。

以上显示和描述了本发明的基本原理和主要特征和本发明的优点,对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。