异常行为侦测模型生成装置及其异常行为侦测模型生成方法制造方法及图纸

一种异常行为侦测模型生成装置及其异常行为侦测模型生成方法。异常行为侦测模型生成装置对与异常行为相关联的多个程序操作序列数据中多个程序操作序列，进行词性分析，以产生多个词向量，并将该等词向量分群。基于分群后的结果，异常行为侦测模型生成装置获得各程序操作序列数据的特征向量，以使用该等特征向量，对一分类算法进行监督式学习，来生成异常行为侦测模型。

【技术实现步骤摘要】
异常行为侦测模型生成装置及其异常行为侦测模型生成方法
本专利技术是关于异常行为侦测模型生成装置及其异常行为侦测模型生成方法。具体而言，本专利技术的异常行为侦测模型生成装置基于与异常行为相关联的多个程序操作序列数据中的多个程序操作序列，生成异常行为侦测模型。
技术介绍
随着科技的快速发展，人们对于计算机及网络的依赖也与日俱增。基于各式各样的目的，有心人士会透过系统漏洞或恶意程序入侵网络上的服务器/计算机，以窃取数据或瘫痪系统。针对这些入侵行为，目前的习知技术采用专家规则式(signature-based)或静态特征(StaticFeature)的侦测机制来防护。然而，这些侦测机制是基于预先决定的专家规则或静态特征来判断异常的程序操作行为，故侦测手段上受限于固定的形式且难以抵御特征混淆的恶意程序。此外，动态行为序列分析(DynamicAnalysis)常受限于沙盒(Sandbox)环境设定的不同，故当恶意程序的行为序列长度不一且富含杂质的时候，难有泛用型的特征表达式作为判断异常的程序操作行为的依据。有鉴于此，如何建立一种异常行为侦测模型，其无需依赖预先决定的专家规则或静态特征，亦不受沙盒(Sandbox)环境设定的不同而有所影响，乃是业界亟待解决的问题。
技术实现思路
本专利技术的目的在于提供一种异常行为侦测模型。本专利技术透过对与异常行为相关联的多个程序操作序列数据中的多个程序操作序列进行词性分析，以产生多个词向量，并将该等词向量分群。基于分群后的结果，本专利技术可获得各程序操作序列数据的特征向量，以根据该等特征向量，对一分类算法进行监督式学习，来生成异常行为侦测模型。不同于习知技术，本专利技术所生成的异常行为侦测模型可基于程序操作序列的词性分群结果，来获得程序操作序列数据的特征向量，故可有效地侦测抵御特征混淆的恶意程序，且无需依赖预先决定的专家规则或静态特征，亦不受沙盒(Sandbox)环境设定的不同而有所影响。为达上述目的，本专利技术揭露一种异常行为侦测模型生成装置，其包含：一存储器以及一处理器。该存储器用以存储多个程序操作序列数据及多个行为标签。各该程序操作序列数据记载多个程序操作序列。各该程序操作序列数据对应至该等行为标签其中之一。该处理器，电性连接至该存储器，并用以执行下列操作：透过一词嵌入(wordembedding)模型运算该等程序操作序列数据的该等程序操作序列，以产生多个词向量，各该词向量对应至该等程序操作序列其中之一；基于一聚类算法，将该等词向量分群为多个词向量群组；将各该程序操作序列数据的该等程序操作序列分别与各该词向量群组所包含的至少一该等词向量所对应的至少一该等程序操作序列进行一比对，以产生各该程序操作序列数据的一特征向量；基于该等特征向量及该等行为标签，进行一分类算法的一监督式学习，以生成一分类器，该分类器是用以将该等特征向量分类以对应至该等行为标签；以及基于该等词向量群组及该分类器，生成一异常行为侦测模型。此外，本专利技术更揭露一种用于一异常行为侦测模型生成装置的异常行为侦测模型生成方法。该异常行为侦测模型生成装置包含一存储器及一处理器。该存储器存储多个程序操作序列数据及多个行为标签。各该程序操作序列数据记载多个程序操作序列。各该程序操作序列数据对应至该等行为标签其中之一。该异常行为侦测模型生成方法由该处理器执行且包含下列步骤：透过一词嵌入(wordembedding)模型，运算该等程序操作序列数据的该等程序操作序列，以产生多个词向量，各该词向量对应至该等程序操作序列其中之一；基于一聚类算法，将该等词向量分群为多个词向量群组；将各该程序操作序列数据的该等程序操作序列分别与各该词向量群组所包含的至少一该等词向量所对应的至少一该等程序操作序列进行一比对，以产生各该程序操作序列数据的一特征向量；基于该等特征向量及该等行为标签，进行一分类算法的一监督式学习，以生成一分类器，该分类器是用以将该等特征向量分类以对应至该等行为标签；以及基于该等词向量群组及该分类器，生成一异常行为侦测模型。在参阅附图及随后描述的实施方式后，本领域技术人员便可了解本专利技术的其他目的，以及本专利技术的技术手段及实施态样。附图说明图1是本专利技术的异常行为侦测模型生成装置1的示意图；图2A是一程序操作序列数据的示意图；图2B是另一程序操作序列数据的示意图；图3是描绘各词向量于一二维空间中的分布；图4是描绘分群后的各词向量群组；以及图5是本专利技术的异常行为侦测模型生成方法的流程图。符号说明1：异常行为侦测模型生成装置11：存储器13：处理器AL：行为标签POSD：程序操作序列数据WVD：词向量分布空间G1-G4：词向量群组V1-V11：词向量S501-S509：步骤具体实施方式以下将透过实施例来解释本
技术实现思路
，本专利技术的实施例并非用以限制本专利技术须在如实施例所述的任何特定的环境、应用或特殊方式方能实施。因此，关于实施例的说明仅为阐释本专利技术的目的，而非用以限制本专利技术。需说明者，以下实施例及附图中，与本专利技术非直接相关的元件已省略而未绘示，且附图中各元件间的尺寸关系仅为求容易了解，并非用以限制实际比例。本专利技术第一实施例如图1-4所示。图1是本专利技术的异常行为侦测模型生成装置1的示意图。异常行为侦测模型生成装置1包含一存储器11以及一处理器13。处理器13电性连接至存储器11。存储器11用以存储多个程序操作序列数据POSD及多个行为标签AL。各程序操作序列数据POSD记载多个程序操作序列。举例而言，该等程序操作序列可为一动态操程序操作序列，例如：一应用程序编程接口(ApplicationProgrammingInterface；API)序列、一系统呼叫(SystemCall)序列，但不限于此。于一实施例中，动态程序操作序列可透过一追踪程序撷取。再举例而言，该等程序操作序列亦可为一静态程序操作序列，例如：一运算码(OperationCode；Opcode)序列，但不限于此。于一实施例中，静态程序操作序列可透过一反编译程序获得。程序操作序列数据POSD对应至该等行为标签AL(例如：一正常行为标签、一异常行为标签等，但不限于此)。于一实施例中，该等程序操作序列数据POSD中包含多个异常程序操作序列数据，且各异常程序操作序列数据与一恶意程序相关联。在此情况下，该等行为标签AL可更包含一恶意广告(Adware)程序、一蠕虫(Worm)程序、一木马(Trojan)程序等，但不限于此。以Opcode序列作为说明，如图2A所示，其是程序操作序列数据POSD的一范例，其所包含的该等程序操作序列为Opcode序列。须说明者，基于版面的限制，图2A中所显示的Opcode序列仅为程序操作序列数据POSD中的一部分。处理器13透过一词嵌入(wordembedding)模型，例如：一词至向量(Word2Vec)模型或一独热编码(One-HotEncoding)模型，运算该等程序操作序列数据POSD的该等程序操作序列，以产生多个词向量。各词向量对应至该等程序操作序列其中之一。举例而言，该等程序操作序列包含「xor」、「sub」、「add」、「and」、「push」、「pop」、「xchg」、「inc」、「cmp」、「jmp」、「jz」，处理器13透过词嵌入模型对该等程序操作序列进行运算，并产本文档来自技高网...

【技术保护点】
1.一种异常行为侦测模型生成装置，包含：一存储器，用以存储多个程序操作序列数据及多个行为标签，各该程序操作序列数据记载多个程序操作序列，各该程序操作序列数据对应至该等行为标签其中之一；以及一处理器，电性连接至该存储器，并用以执行下列操作：透过一词嵌入模型运算该等程序操作序列数据的该等程序操作序列，以产生多个词向量，各该词向量对应至该等程序操作序列其中之一；基于一聚类算法，将该等词向量分群为多个词向量群组；将各该程序操作序列数据的该等程序操作序列分别与各该词向量群组所包含的该等词向量中至少一者所对应的该等程序操作序列中至少一者进行一比对，以产生各该程序操作序列数据的一特征向量；基于该等特征向量及该等行为标签，进行一分类算法的一监督式学习，以生成一分类器，该分类器是用以将该等特征向量分类以对应至该等行为标签；以及基于该等词向量群组及该分类器，生成一异常行为侦测模型。

【技术特征摘要】
1.一种异常行为侦测模型生成装置，包含：一存储器，用以存储多个程序操作序列数据及多个行为标签，各该程序操作序列数据记载多个程序操作序列，各该程序操作序列数据对应至该等行为标签其中之一；以及一处理器，电性连接至该存储器，并用以执行下列操作：透过一词嵌入模型运算该等程序操作序列数据的该等程序操作序列，以产生多个词向量，各该词向量对应至该等程序操作序列其中之一；基于一聚类算法，将该等词向量分群为多个词向量群组；将各该程序操作序列数据的该等程序操作序列分别与各该词向量群组所包含的该等词向量中至少一者所对应的该等程序操作序列中至少一者进行一比对，以产生各该程序操作序列数据的一特征向量；基于该等特征向量及该等行为标签，进行一分类算法的一监督式学习，以生成一分类器，该分类器是用以将该等特征向量分类以对应至该等行为标签；以及基于该等词向量群组及该分类器，生成一异常行为侦测模型。2.如权利要求1所述的异常行为侦测模型生成装置，其特征在于，该等程序操作序列是一动态程序操作序列及一静态程序操作序列其中之一。3.如权利要求2所述的异常行为侦测模型生成装置，其特征在于，该动态程序操作序列为一应用程序编程接口序列。4.如权利要求2所述的异常行为侦测模型生成装置，其特征在于，该动态程序操作序列为一系统呼叫序列。5.如权利要求2所述的异常行为侦测模型生成装置，其特征在于，该静态程序操作序列为一运算码序列。6.如权利要求2所述的异常行为侦测模型生成装置，其特征在于，该动态程序操作序列是透过一追踪程序撷取。7.如权利要求1所述的异常行为侦测模型生成装置，其特征在于，该词嵌入模型是一词至向量模型及一独热编码模型其中之一。8.如权利要求1所述的异常行为侦测模型生成装置，其特征在于，该聚类算法是一吸引子传播聚类算法、一谱聚类算法、一模糊平均数聚类算法、一反复自我组织分析技术算法聚类算法、一K平均值聚类算法、一完整链接聚类算法、一单一链接聚类算法及一华德法聚类算法其中之一。9.如权利要求1所述的异常行为侦测模型生成装置，其特征在于，该分类算法是一支持向量机算法、一判定树算法、一贝氏算法及一邻近算法其中之一。10.如权利要求1所述的异常行为侦测模型生成装置，其特征在于，该等程序操作序列数据中包含多个异常程序操作序列数据，以及各该异常程序操作序列数据与一恶意程序相关联。11.一种用于一异常行为侦测模型生成装置的异常行为侦测...

【专利技术属性】
技术研发人员：魏得恩，谢志宏，孔祥重，
申请(专利权)人：财团法人资讯工业策进会，
类型：发明
国别省市：中国台湾,71