一种基于机器学习的信息系统恶意行为的识别方法与流程

本发明涉及一种基于机器学习的信息系统恶意行为的识别方法，通过对主机进程行为、网络会话行为进行拓扑图建模，使用机器学习中图卷积网络的技术，可在主机层、网络层实现对系统中恶意行为的实时预测，以避免重要数据进一步遭受破坏的可能。

缩略语及名词解释：

gcn：全称graphconvolutionalnetwork，图卷积网络。

googlenet：一个22层的深度网络，采用了inception这种网中网(networkinnetwork)的结构。

apt：全称advancedpersistentthreat，高级持续性威胁，指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

0day漏洞：在信息安全意义上，0day漏洞是指在安全补丁发布前被了解和掌握的漏洞信息，它们可以被黑客或犯罪分子用来攻击企业或个人系统、盗取或改变资料，而由于彻底的安全措施尚未到位，被攻击者几乎无法防范。

背景技术：

随着信息化的不断发展，越来越多重要的信息以数据的形式存储在各类信息化系统中，其中不乏敏感信息。这些敏感信息如果被恶意泄露，或者被恶意删除、加密，会给数据所有者甚至是社会带来巨大的损失。典型的破坏手段有勒索病毒和apt攻击。

加密型勒索软件采用高强度加密算法对用户文件加密。目前对加密型勒索软件没有可靠的事前防御和检测措施，用户数据一旦被勒索软件加密，传统的反病毒软件无能为力。

apt是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。apt的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

现有的防护手段，一般是针对已知病毒特征进行筛查，存在如下严重缺失：

1、对变种病毒无法有效防御。勒索病毒变种很快，在杀毒软件更新病毒特征库之前，可以通过杀毒软件的检测进入主机系统进行窃取或破坏。杀毒软件通常并不能实时更新全量病毒库，这就为病毒的入侵提供了可能。

2、无法防御0day漏洞。在信息安全意义上，0day是指在安全补丁发布前被了解和掌握的漏洞信息，它们可以被黑客或犯罪分子用来攻击企业或个人系统、盗取或改变资料，而由于彻底的安全措施尚未到位，被攻击者几乎无法防范。

3、难以防范apt攻击。apt攻击往往把攻击的重点放在″低慢″上面--慢慢地，悄悄地从一个被入侵的主机移动到下一个主机上面，其中也不会产生可被监测的网络流量，从而寻找自己需要的数据和目标系统，使得传统基于流量的异常检测方法失效。

技术实现要素：

本发明提供了一种基于机器学习的信息系统恶意行为的识别方法，基于主机端进程行为和网络层会话行为，通过图卷积网络技术，可实现对进行中的恶意行为的识别，以便采取措施避免损失进一步扩大。

本发明所述的信息系统恶意行为识别方法，可从两个层面进行恶意行为识别。

1.基于主机层面，对主机进程访问文件的行为进行建模、判定，防止恶意进程对数据非法访问、非法修改、非法删除等操作。

2.基于网络层面，对网络会话行为进行建模、判定，防止网络恶意连接进行网络攻击、病毒扩散。

本发明所本发明所述的恶意行为识别方法分为三个模块，图转换模块、训练模块、图卷积网络模块。三个模块组合成两个实施过程，训练过程、识别过程。

图1为本发明所述的恶意行为识别方法的图转换模块，其中包括采集单元、序列化单元、图构造单元、图规范化单元。

采集单元实时采集主机进程的操作行为和网络会话行为，将采集数据进行数据清洗，送往序列化单元进行序列化操作。采集单元实时采集的主机进程操作行为包括：注册表操作(如键和值的创建、枚举、查询、删除等)、文件系统操作(针对本地存储和远程文件系统进行的操作)、网络操作(udp和tcp网络活动，包括源和目标地址、端口号、对应的连接、断开连接、发送、接收操作的数量及字节数等)、进程操作(如父进程创建子进程、进程启动、线程创建、线程退出、进程退出，以及将可执行映像载入进程的地址空间等)、概要(如自上一次概要事件后内核与用户时间总量、内存用量、上下文切换次数等)。采集单元实时采集的网络会话操作行为包括：源/目的ip地址、源/目的端口号、发送/接收字节数、发送/接收报文数、发送/接收速率、会话持续时长、协议等。

序列化单元在接收到采集单元发来的行为信息后，按主机进程/网络会话分别进行序列化操作，将单一进程/网络会话形成时间线上的事件集合，将事件集合矩阵送往图构造单元。

图构造单元收到事件集合矩阵后，按主机进程/网络会话事件进行拓扑图构造，按照每个主机进程/网络会话的状态迁移情况，抽象成为由点、边构成的拓扑图，用来描述该主机进程/网络会话各个事件之间的联系程度和状态，传递到图卷积网络单元。

图规范化单元接收到拓扑图后，将拓扑图转换成标准向量信息，作为图卷积网络模块的输入，进行空间域的卷积。

图2为本发明所述的恶意行为识别方法的训练模块，其中包括样本划分单元、模型训练单元、模型测试单元、模型调整单元、输出模型参数单元。

样本划分单元根据样本划分策略，利用留出法、k折交叉验证法、自助法将向量集划分为训练集和测试集，分别送入模型训练单元和模型测试单元。

模型训练单元根据输入的训练集及其标记，利用平方误差、交叉熵、hinge损失函数和随机梯度下降优化方法，训练图卷积模型各参数，参数收敛后送入模型测试单元。进程模型和网络会话模型分别训练参数。

模型测试单元接收测试集和模型参数，用训练集的向量在模型上进行预测，将预测结果和测试集标记进行对比，观察模型在测试集上的泛化能力表现，如计算准确率、召回率、f-score等。

如模型在测试集上的泛化能力表现满足预期，则将模型参数确定下来并输出；如模型在测试集上的泛化能力表现不能满足预期，则在模型调整单元中调整模型的超参数，重新在模型训练单元训练模型参数。

图卷积网络模块使用一个22层的googlenet实现，图3为googlenet中一个inception结构和两层全连接结构。

inception结构采用不同大小的卷积核，匹配不同大小的感受野，进行不同尺度特征的融合。

两层全连接结构用于分类计算。

图4为本发明所述的恶意行为识别方法的两个实施过程。

首先是训练过程，利用大量已标注的事件训练集，输入图转换模块转换成标准向量集，输入训练模块计算出模型参数，将模型参数输入到图卷积网络模块，将模型固定下来。除非认定应用环境有大的变化或者认为有必要重新训练模型的情况，一般来说不会再次训练。主机进程、网络会话分别训练相应的模型参数。

然后进入识别过程，将生产环境采集的主机进程/网络会话待识别数据输入图转换模块，转换成标准向量集输入图卷积网络模块，计算出识别结果输出，识别结果是二元化的0或者是1，用以标注正常/恶意行为。

具体实施方式：

以以太网环境为例说明本发明的应用。

图5为本发明所述的恶意行为识别方法中卷积模型网关的部署方式

1、首先利用恶意行为识别方法中卷积模型的训练过程训练主机进程模型和网络会话模型，将模型部署在网关设备内。

2、在以太网环境中需要防护的主机里部署客户端软件，采集主机进程行为并上报模型设备。

3、将模型所在网关设备部署在以太网环境中，接收客户端上报的主机进程信息，同时采用路由镜像方式或策略路由方式监听以太网内的流量，采集网络会话信息。

4、采集到的主机进程/网络会话信息送入模型网关设备进行预测，主机进程预测为恶意的，由模型网关设备通知主机客户端阻断该进程；网络会话预测为恶意的，由模型网关设备阻断该会话，达到保护的目的。

附图说明

图1为本发明所述的恶意行为识别方法的图转换模块示意图。

图2为本发明所述的恶意行为识别方法的图训练模块示意图。

图3为本发明所述的恶意行为识别方法的图卷积网络模块中一个inception结构和两层全连接层的示意图。

图4为本发明所述的恶意行为识别方法的两个实施过程示意图。

图5为本发明所述的恶意行为识别方法的卷积模型网关部署方式示意图。