本发明专利技术实施例公开了一种检测实时威胁的方法,通过跟踪系统层面的信息流,形成特定进程与可执行文件对象的链式关系图,针对关系图中涉及到的对象进行系统调用监控并对其进行检测,具体包括以下步骤:监控并记录程序执行过程系统的调用;对程序进行快速检测;判断程序威胁是否超过规定值,如果是,则进行下一步操作,否则继续执行监控;对程序进行深度检测;识别程序威胁,如果程序进程正常,则威胁排除,继续快速检测,否则,进行威胁响应。可以有效、准确地识别在主机中运行的安全威胁,例如,文件病毒、木马、勒索软件。同时,能够减轻未知恶意代码对主机文件的破坏,显著提升终端主机系统的安全性和可用性。
【技术实现步骤摘要】
一种检测实时威胁的方法
本专利技术涉及系统安全
,具体地说是一种检测实时威胁的方法。
技术介绍
主机安全保护的关键在于对恶意代码攻击的检测与防范能力。在恶意代码防护方面,国内安全厂商的检测原理基本以签名特征码为主。这种检测方式的优点是匹配速度快,误报率低,但前提是恶意代码在其软件生命周期内不发生变化。不幸的是,大多数病毒、木马在短期内会产生大量变异,且变形、加密、多态等代码混淆技术已被普遍应用其中。与此同时,恶意代码规模爆炸式的增长趋势也使得签名特征库的更新和维护变得愈发困难。可以看出,在缺乏应用程序本身运行行为信息的情况下,未知进程的合法性判断和控制都面临巨大的困难。而现有的基于系统行为分析的动态检测技术,大多都是把待测软件置于沙箱中运行,通过将运行过程的程序指令与先验的行为特征进行比对,得到合法与否的判断。这种检测模式,更适用于非实时场景下的软件合法性判定;此外,检测所应用的机器学习算法,往往具有较高的误判率,而准确率较高的深度学习算法,所需的检测时间相对较长,上述因素都大大制约威胁检测的实现效果,很难直接用于主机环境的威胁实时监测和防护。
技术实现思路
本专利技术实施例中提供了一种检测实时威胁的方法,以解决现有技术中威胁检测误判率高、效果不理想的问题。为了解决上述技术问题,本专利技术实施例公开了如下技术方案:一种检测实时威胁的方法,通过跟踪系统层面的信息流,形成特定进程与可执行文件对象的链式关系图,针对关系图中涉及到的对象进行系统调用监控并对其进行检测,具体包括以下步骤:监控并记录程序执行过程系统的调用;对程序进行快速检测;判断程序威胁是否超过规定值,如果是,则进行下一步操作,否则继续执行监控;对程序进行深度检测;识别程序威胁,如果程序进程正常,则威胁排除,继续快速检测,否则,进行威胁响应。结合第一方面,在第一方面第一种可能的实现方式中,所述监控并记录程序执行过程系统的调用具体包括以下步骤:对恶意代码的入口进行标记;过滤链式关系图的对象,得到高危信息流;对高危信息流的行为进行监控、记录。结合第一方面,在第一方面第二种可能的实现方式中,所述恶意代码的入口包括网络和可移动存储设备;高危信息流包括被可疑进程生成或修改的可执行文件、由可疑进程生成的子进程、加载了可疑的可执行文件或脚本文件的进程、从可疑进程接收数据的另一进程;监控的范围包括系统配置、进程活动行为、文件操作、网络访问。结合第一方面,在第一方面第三种可能的实现方式中,对高危信息流的行为进行监控的方法包括:采用Hook钩挂,对高危信息流在内核层面拦截系统调用。结合第一方面,在第一方面第四种可能的实现方式中,快速检测的方式具体包括:训练常规机器学习算法分类器;检测基于常规机器学习算法分类器。结合第一方面,在第一方面第五种可能的实现方式中,训练常规机器学习算法分类器的方法具体包括以下步骤:预先收集恶意代码和合法程序样本,数量分别记为N和M;利用Cuckoo沙箱分别运行样本,并输出得到样本的行为数据;对行为数据在不同时间窗口内的系统调用作为行为特征进行特征提取,并使用信息增益或文档频率方式进行特征选取;结合常规机器学习算法,训练得到多类常规机器学习算法分类器;检测基于常规机器学习算法分类器的方法具体包括以下步骤:对实时监控得到的待测程序行为数据通过常规机器学习算法进行分类;判断分类结果是否合法;如果合法,则继续进行高危信息流的监控;否则,执行下一步操作。结合第一方面,在第一方面第六种可能的实现方式中,判断程序威胁是否超过规定值的方法具体包括以下步骤:预设威胁门限值T;判断常规机器学习算法否超过T个;如果超过,则提示待测程序具有恶意属性;否则,继续监测。结合第一方面,在第一方面第七种可能的实现方式中,对程序进行深度检测的方式具体包括以下步骤:训练深度学习算法分类器;检测基于深度学习算法的分类器。结合第一方面,在第一方面第八种可能的实现方式中,训练深度学习算法分类器的方法具体包括以下步骤:收集恶意代码和合法程序样本;利用Cuckoo沙箱分别运行样本,并输出得到样本的行为数据;对行为数据在不同时间窗口内的系统调用作为特征进行特征提取与特征选取;利用CNN深度学习框架,训练得到深度学习算法分类器;检测基于深度学习算法的分类器的方法具体包括以下步骤:输入具有恶意属性的程序;使用深度学习算法分类器进行威胁识别。结合第一方面,在第一方面第九种可能的实现方式中,所述的威胁识别具体包括:判断深度学习算法分类器返回的结果值,如果结果值为0,则表示具有威胁,进行威胁响应并输出威胁日志,如果结果值为1,则表示威胁排除;所述的威胁响应包括隔离可执行文件、终止恶意线程;所述的威胁排除包括将快速检测模块中的监控威胁阈值清零。由以上技术方案可见,本专利技术通过快速检测、深度检测构成的多层机器学习分析的实时威胁检测,可以有效、准确地识别在主机中运行的安全威胁,例如,文件病毒、木马、勒索软件。同时,能够减轻未知恶意代码对主机文件的破坏,显著提升终端主机系统的安全性和可用性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为一种检测实时威胁的方法的示意图;图2为本专利技术实施例一种检测实时威胁的方法的流程示意图;图3为本专利技术实施例监控并记录程序执行过程系统调用的流程示意图;图4为本专利技术实施例快速检测的方法流程示意图;图5为本专利技术实施例深度检测的方法流程示意图。具体实施方式为了使本
的人员更好地理解本专利技术中的技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。如图1所示,一种检测实时威胁的方法,通过跟踪系统层面的信息流,形成特定进程与可执行文件对象的链式关系图,针对关系图中涉及到的对象进行系统调用监控并对其进行检测。如图2所示,具体包括以下步骤:S1、监控并记录程序执行过程系统的调用;S2、对程序进行快速检测;S3、判断程序威胁是否超过规定值,如果是,则进行S4操作,否则继续执行监控;S4、对程序进行深度检测;S5、识别程序威胁,如果程序进程正常,则威胁排除,继续快速检测,否则,进行威胁响应。如图3所示,监控并记录程序执行过程系统的调用具体包括以下步骤:S101、对恶意代码的入口进行标记;S102、过滤链式关系图的对象,得到高危信息流;S103、对高危信息流的行为进行监控、记录。恶意代码的入口包括网络和可移动存储设备;这两个对象是可疑行为的初始点。因此,专利技术将进行远程通信的进程和可移动存储中的可执行文件标记为具有潜在可疑性,需要进行监控。高危信息流包括被可疑进程生成或修改的可执行文件、由可疑进程生成的子进程、加载了可疑的可执行文件或脚本文件的进程、从可疑进程接收数据的另一进程;信息流的追踪不针对系统普通文件、目录、注册表键值的读写操作,尽管这些操作很频繁,但很难与恶意代码的传播过程相关。不过在行本文档来自技高网...
【技术保护点】
一种检测实时威胁的方法,其特征在于,通过跟踪系统层面的信息流,形成特定进程与可执行文件对象的链式关系图,针对关系图中涉及到的对象进行系统调用监控并对其进行检测,具体包括以下步骤:监控并记录程序执行过程系统的调用;对程序进行快速检测;判断程序威胁是否超过规定值,如果是,则进行下一步操作,否则继续执行监控;对程序进行深度检测;识别程序威胁,如果程序进程正常,则威胁排除,继续快速检测,否则,进行威胁响应。
【技术特征摘要】
1.一种检测实时威胁的方法,其特征在于,通过跟踪系统层面的信息流,形成特定进程与可执行文件对象的链式关系图,针对关系图中涉及到的对象进行系统调用监控并对其进行检测,具体包括以下步骤:监控并记录程序执行过程系统的调用;对程序进行快速检测;判断程序威胁是否超过规定值,如果是,则进行下一步操作,否则继续执行监控;对程序进行深度检测;识别程序威胁,如果程序进程正常,则威胁排除,继续快速检测,否则,进行威胁响应。2.根据权利要求1所述的方法,其特征在于,所述监控并记录程序执行过程系统的调用具体包括以下步骤:对恶意代码的入口进行标记;过滤链式关系图的对象,得到高危信息流;对高危信息流的行为进行监控、记录。3.根据权利要求2所述的方法,其特征是,所述恶意代码的入口包括网络和可移动存储设备;高危信息流包括被可疑进程生成或修改的可执行文件、由可疑进程生成的子进程、加载了可疑的可执行文件或脚本文件的进程、从可疑进程接收数据的另一进程;监控的范围包括系统配置、进程活动行为、文件操作、网络访问。4.根据权利要求2所述的方法,其特征是,对高危信息流的行为进行监控的方法包括:采用Hook钩挂,对高危信息流在内核层面拦截系统调用。5.根据权利要求1所述的方法,其特征是,快速检测的方式具体包括:训练常规机器学习算法分类器;检测基于常规机器学习算法分类器。6.根据权利要求5所述的方法,其特征是,训练常规机器学习算法分类器的方法具体包括以下步骤:预先收集恶意代码和合法程序样本,数量分别记为N和M;利用Cuckoo沙箱分别运行样本,并输出得到样本的行为数据;对行为数据在不同时间窗口...
【专利技术属性】
技术研发人员:张尧,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。