本发明专利技术实施例提供一种用于应用程序的进程检测方法及系统,该方法包括:根据安全日志内容,获取进程对应的可观测行为向量;将所述可观测行为向量转换为进程行为特征图;基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。本发明专利技术实施例能够有效地识别出异常进程,弥补了现有通过人工技术识别异常进程准确率不高的缺陷,对不同类型的恶意进程均具有良好的适应性和较高的鲁棒性。
A process detection method and system for application program
【技术实现步骤摘要】
一种用于应用程序的进程检测方法及系统
本专利技术涉及计算机
,尤其涉及一种用于应用程序的进程检测方法及系统。
技术介绍
近年来,恶意程序的数量呈指数级的增长,已经成为威胁互联网安全的关键因素之一。如何对恶意程序进行有效检测和查杀,也成为了企业与网络安全人员着重思考的问题之一。随着人工智能技术的不断发展与完善,如何将人工智能技术应用到恶意程序检测中,实现系统无监督或半监督模式的自我检测,也成为当下企业的需求之一。对于恶意程序的检测与查杀,目前大多数技术都是分析恶意程序的源代码,提取相应的特征,进而对拥有相应特征的恶意程序进行查杀。主流的恶意程序源代码检测技术可以分为两类:启发式检测方法和基于特征码的检测方法。恶意代码混淆技术也按照其实现原理分为两类:干扰反逆向(反汇编)的混淆及指令和控制流混淆,故而恶意程序的源代码检测也存在一定的局限性。其中,部分恶意程序和恶意程序源代码存在大量的变种,现有的恶意程序源代码检测技术无法有效的检测出来。因此,现在亟需一种用于应用程序的进程检测方法及系统来解决上述问题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种用于应用程序的进程检测方法及系统。第一方面,本专利技术实施例提供了一种用于应用程序的进程检测方法,包括:根据安全日志内容,获取进程对应的可观测行为向量;将所述可观测行为向量转换为进程行为特征图;基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。进一步地,所述根据安全日志内容,获取进程对应的可观测行为向量,包括:根据安全日志内容,获取进程的行为特征;将所述进程的行为特征映射为对应的个体行为向量;根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量。进一步地,所述将所述进程的行为特征映射为对应的个体行为向量,包括:将进程的行为特征分为基本行为特征和扩展行为特征;根据所述基本行为特征和扩展行为特征,获取所述进程的个体行为向量:IBVi=pi*pi+si;其中,IBVi表示第i个进程的个体行为向量,pi表示第i个进程中基本行为特征的数量,si表示第i个进程中扩展行为特征的数量。进一步地,在所述将进程的行为特征分为基本行为特征和扩展行为特征之后,所述方法还包括:通过逻辑运算符,对属于基本行为特征的进程行为进行逻辑运算,获取对应的二次联合行为特征,以根据所述二次联合行为特征和所述扩展行为特征得到个体行为向量。进一步地,所述根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量,包括:根据所述进程的父子进程关系,通过所述个体行为向量,构建可观测行为向量公式,若所述进程中无子进程,则可观测行为向量公式为:OBVi=IBVi;若所述进程中有子进程,则可观测行为向量公式为:其中,OBVi表示第i个进程的可观测行为向量,IBVi表示第i个进程的个体行为向量,OBVj表示第j个子进程的可观测行为向量,ni表示第i个进程中包括n个子进程,表示逻辑或运算符。进一步地,所述将所述可观测行为向量转换为进程行为特征图,包括:将所述可观测行为向量转换为二维逻辑图像,得到进程行为特征图。第二方面,本专利技术实施例提供了一种用于应用程序的进程检测系统,包括:行为向量生成模块,用于根据安全日志内容,获取进程对应的可观测行为向量;特征图转换模块,用于将所述可观测行为向量转换为进程行为特征图;检测模块,用于基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。进一步地,所述行为向量生成模块包括:行为特征获取单元,用于根据安全日志内容,获取进程的行为特征;个体行为向量映射单元,用于将所述进程的行为特征映射为对应的个体行为向量;处理单元,用于根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量。第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。第四方面,本专利技术实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。本专利技术实施例提供的用于应用程序的进程检测方法及系统,能够有效地识别出异常进程,弥补了现有通过人工技术识别异常进程准确率不高的缺陷,对不同类型的恶意进程均具有良好的适应性和较高的鲁棒性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的用于应用程序的进程检测方法的流程示意图;图2为本专利技术实施例提供的进程的个体行为向量示意图;图3为本专利技术实施例提供的可观测行为向量的生成示意图;图4为本专利技术实施例提供的可观测行为向量转换为进程行为特征图的示意图;图5为本专利技术实施例提供的进程可观测行为向量对应的进程行为特征图;图6为本专利技术实施例提供的用于应用程序的进程检测系统的结构示意图;图7为本专利技术实施例提供的电子设备结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1为本专利技术实施例提供的用于应用程序的进程检测方法的流程示意图,如图1所示,本专利技术实施例提供了一种用于应用程序的进程检测方法,包括:步骤101,根据安全日志内容,获取进程对应的可观测行为向量;步骤102,将所述可观测行为向量转换为进程行为特征图;步骤103,基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。在本专利技术实施例中,从Windows系统中获取安全日志内容,并根据这些安全日志内容,对应用程序中进程的行为进行定义,从而构建每个进程对应的可观测行为向量(Ob本文档来自技高网...
【技术保护点】
1.一种用于应用程序的进程检测方法,其特征在于,包括:/n根据安全日志内容,获取进程对应的可观测行为向量;/n将所述可观测行为向量转换为进程行为特征图;/n基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。/n
【技术特征摘要】
1.一种用于应用程序的进程检测方法,其特征在于,包括:
根据安全日志内容,获取进程对应的可观测行为向量;
将所述可观测行为向量转换为进程行为特征图;
基于训练好的卷积神经网络模型,对所述进程行为特征图进行检测,得到所述进程的检测结果;所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。
2.根据权利要求1所述的用于应用程序的进程检测方法,其特征在于,所述根据安全日志内容,获取进程对应的可观测行为向量,包括:
根据安全日志内容,获取进程的行为特征;
将所述进程的行为特征映射为对应的个体行为向量;
根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量。
3.根据权利要求2所述的用于应用程序的进程检测方法,其特征在于,所述将所述进程的行为特征映射为对应的个体行为向量,包括:
将进程的行为特征分为基本行为特征和扩展行为特征;
根据所述基本行为特征和扩展行为特征,获取所述进程的个体行为向量:
IBVi=pi*pi+si;
其中,IBVi表示第i个进程的个体行为向量,pi表示第i个进程中基本行为特征的数量,si表示第i个进程中扩展行为特征的数量。
4.根据权利要求3所述的用于应用程序的进程检测方法,其特征在于,在所述将进程的行为特征分为基本行为特征和扩展行为特征之后,所述方法还包括:
通过逻辑运算符,对属于基本行为特征的进程行为进行逻辑运算,获取对应的二次联合行为特征,以根据所述二次联合行为特征和所述扩展行为特征得到个体行为向量。
5.根据权利要求2所述的用于应用程序的进程检测方法,其特征在于,所述根据所述进程的父子进程关系,通过所述个体行为向量,获取所述进程的可观测行为向量,包括:
根据所述进程的父子进程关系,通过所述个体行为向量,构建可观测行为向量公式,若所述进程中无子...
【专利技术属性】
技术研发人员:张文博,杨松,朱鼎成,徐秀兰,胡冰城,孙志敏,雷凯,程艳,邓晏宁,张晓光,唐先锋,
申请(专利权)人:北京邮电大学,华为技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。