一种基于机器学习的信息系统恶意行为的识别方法技术方案

本发明专利技术提供了一种基于机器学习的信息系统恶意行为的识别方法。该方法包括图转换模块、训练模块、图卷积网络模块。三个模块组合成两个实施过程，训练过程、识别过程。所述方法采集主机进程/网络会话行为信息。序列化单元完成行为序列化操作，形成事件集合。图构造单元将事件集合抽象成为拓扑图。图规范化单元将拓扑图规范化为标准向量，输入图卷积网络模型进行预测输出。本发明专利技术所述的方法，可在主机层面和网络层面实现对系统中恶意行为的实时预测，以避免重要数据进一步遭受破坏的可能。

A method of identifying malicious behavior in information system based on machine learning

【技术实现步骤摘要】
一种基于机器学习的信息系统恶意行为的识别方法
本专利技术涉及一种基于机器学习的信息系统恶意行为的识别方法，通过对主机进程行为、网络会话行为进行拓扑图建模，使用机器学习中图卷积网络的技术，可在主机层、网络层实现对系统中恶意行为的实时预测，以避免重要数据进一步遭受破坏的可能。缩略语及名词解释：GCN：全称GraphConvolutionalNetwork，图卷积网络。GoogLeNet：一个22层的深度网络，采用了Inception这种网中网(NetworkInNetwork)的结构。APT：全称AdvancedPersistentThreat，高级持续性威胁，指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。0day漏洞：在信息安全意义上，0day漏洞是指在安全补丁发布前被了解和掌握的漏洞信息，它们可以被黑客或犯罪分子用来攻击企业或个人系统、盗取或改变资料，而由于彻底的安全措施尚未到位，被攻击者几乎无法防范。
技术介绍
随着信息化的不断发展，越来越多重要的信息以数据的形式存储在各类信息化系统中，其中不本文档来自技高网...

【技术保护点】
1.一种基于机器学习的信息系统恶意行为的识别方法，基于主机端进程行为和网络层会话行为，通过图卷积网络技术，可实现对进行中的恶意行为的识别；包括图转换模块、训练模块、图卷积网络模块，其中：/nA.图转换模块完成从主机进程/网络会话事件到标准向量集的转换；/nB.训练模块完成对图卷积网络模型参数的训练计算；/nC.图卷积网络模块完成对标准向量集的卷积计算，输出判断结果。/n

【技术特征摘要】
1.一种基于机器学习的信息系统恶意行为的识别方法，基于主机端进程行为和网络层会话行为，通过图卷积网络技术，可实现对进行中的恶意行为的识别；包括图转换模块、训练模块、图卷积网络模块，其中：
A.图转换模块完成从主机进程/网络会话事件到标准向量集的转换；
B.训练模块完成对图卷积网络模型参数的训练计算；
C.图卷积网络模块完成对标准向量集的卷积计算，输出判断结果。


2.如权利要求1所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，图转换模块包括采集单元、序列化单元、图构造单元、图规范化单元，其中：
A.采集单元实时采集主机进程的操作行为和网络会话行为，进行数据清洗；
B.序列化单元按主机进程/网络会话分别进行序列化操作，将单一进程/网络会话形成时间线上的事件集合；
C.图构造单元将事件集合抽象成为拓扑图；
D.图规范化单元将拓扑图转换成标准向量集，输出到图卷积网络模型。


3.如权利要求2所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，采集单元在主机上采集如下信息：
A.实时采集的主机进程注册表操作，包括：如键和值的创建、枚举、查询、删除；
B.实时采集的主机进程文件系统操作，包括：针对本地存储和远程文件系统进行的新建、打开、读写、关闭、删除文件，建立、删除目录操作；
C.实时采集的主机进程网络操作，包括UDP和TCP网络活动，包括进程名称、进程ID、源/目标地址、端口号、对应的连接、断开连接、发送/接收操作的数量及字节数；
D.实时采集的主机进程的进程操作，包括父进程创建子进程、进程启动、线程创建、线程退出、进程退出，以及将可执行映像载入进程的地址空间；
E.实时采集的主机进程的概要，包括自上...

【专利技术属性】
技术研发人员：刘兴鹏，王晓波，
申请(专利权)人：慧盾信息安全科技苏州股份有限公司，刘兴鹏，王晓波，
类型：发明
国别省市：江苏;32