一种基于终端进程的互通网络异常检测方法技术

本发明专利技术涉及一种基于终端进程的互通网络异常检测方法，包括对终端进行进程检测和互通网络检测，得到多个检测结果；将多个所述检测结果进行关联分析，以得到异常检测结果，通过多种检测方法得到多个检测结果，并对检测结果进行关联分析，使得终端分析的结果更加准确可信，能够更加准确的捕捉到异常，减少了误报的几率。几率。几率。

【技术实现步骤摘要】
一种基于终端进程的互通网络异常检测方法


[0001]本专利技术涉及终端
，尤其涉及一种基于终端进程的互通网络异常检测方法。

技术介绍

[0002]天基互联网络将不同轨道、多种类型卫星以及地面应用终端等进行互联互通，并与地面移动通信网和新一代互联网互联互通，具有广覆盖、大容量、高传输、低延时的特点。由于开放性导致天基互联网络面临着严重的安全问题，影响着各类业务的正常开展，攻击事件层出不穷，信息泄露、篡改、服务器被控事件屡有发生。这些攻击行为之前，一般都有必要的迹象，为确保网络平台正常有效运行，需要分析各类危害平台安全的行为，提炼其特征，及时发现异常情况，建立主动监控防护机制，与传统的被动防御式安全措施相结合，进行安全性分类分级，一旦触发预警机制，可快速定位、溯源攻击者并及时消除影响，可以有效的降低安全威胁。
[0003]传统的基于恶意载体的分析方法往往在恶意攻击之后，根据恶意载体的行为一步步地进行追踪分析，分析结果作为情报用于相似攻击检测，这种方法无法面对一些恶意载体的变体形式，因此具有很大比例的漏报并且存在一定的误报。

技术实现思路

[0004]为了解决上述技术问题或者至少部分地解决上述技术问题，本专利技术提供了一种基于终端进程的互通网络异常检测方法。
[0005]第一方面，本专利技术提供了一种基于终端进程的互通网络异常检测方法，所述方法包括：对终端进行进程检测和互通网络检测，得到多个检测结果；将多个所述检测结果进行关联分析，以得到异常检测结果。
[0006]可选地，对终端进行进程检测和互通检测，包括：通过决策树模型对终端进行进程检测，以确定终端是否存在伪装进程；通过关联程度计算方式对终端进行进程检测，以确定终端是否存在异常进程；通过建模对终端进行进程检测，以确定终端是否存在异常进程序列；对终端进行通信日志检测以及相似异常进程终端检测，得到互通网络检测结果。
[0007]可选地，通过决策树对终端进行进程检测，以确定终端是否存在伪装进程之前，所述方法包括：设计正负小样本集，所述正负小样本集包括：正样本、负样本向量；通过所述正负小样本集训练初始决策树模型，得到所述决策树模型；通过决策树对终端进行进程检测，以确定终端是否存在伪装进程包括：读入待检测日志数据，通过所述决策树模型对所述待检测日志数据进行检测，以对终端进行进程检测，确定终端是否存在异常进程。
[0008]可选地，通过关联程度计算方式对终端进行进程检测，以确定终端是否存在异常进程，包括：通过关联程度计算方式获取终端中进程的关联度，通过进程的关联度确定进程是否为异常进程。
[0009]可选地，通过建模对终端进行进程检测，以确定终端是否存在异常进程序列，包
括：获取终端中进程序列中进程的行为，对进行序列中进程行为进行建模，以确定所述终端是否存在异常进程序列。
[0010]可选地，将多个所述检测结果进行关联分析，以得到异常检测结果之前，所述方法还包括：收集终端样本的动态行为数据，并对收集的数据进行数据预处理；通过卷积神经网络对进行数据预处理后的数据进行异常检测，以确定终端中是否存在恶意样本。
[0011]将多个所述检测结果进行关联分析，以得到异常检测结果，包括：将多个检测结果分别输入到检测模型中，通过所述检测模型分析多个检测结果的关联关系，根据所述关联关系确定异常检测结果。
[0012]本专利技术实施例提供的上述技术方案与现有技术相比具有如下优点：
[0013]本专利技术实施例提供的基于终端进程的互通网络异常检测方法，包括对终端进行进程检测和互通网络检测，得到多个检测结果；将多个所述检测结果进行关联分析，以得到异常检测结果，通过多种检测方法得到多个检测结果，并对检测结果进行关联分析，使得终端分析的结果更加准确可信，能够更加准确的捕捉到异常，减少了误报的几率。
附图说明
[0014]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并与说明书一起用于解释本专利技术的原理。
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0016]图1为本专利技术实施例提供的一种基于终端进程的互通网络异常检测方法的基本示意图；
[0017]图2为本专利技术实施例提供的一种基于决策树的的伪装进程发现检测逻辑图；
[0018]图3为本专利技术实施例提供的一种基于K
‑
Core评分的异常进程发现模型框架图；
[0019]图4为本专利技术实施例提供的一种基于K
‑
Core评分的异常进程发现原理图；
[0020]图5为本专利技术实施例提供的一种APT检测模型的示意图；
[0021]图6为本专利技术实施例提供的一种检测功能的基本示意图；
[0022]图7为本专利技术实施例提供的一种电子设备的结构示意图。
具体实施方式
[0023]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0024]本申请提供一种基于终端进程的互通网络异常检测方法，如图1所示，所述方法包括：
[0025]S101、对终端进行进程检测和互通网络检测，得到多个检测结果；
[0026]S102、将多个所述检测结果进行关联分析，以得到异常检测结果。
[0027]在本实施例的一些示例中，对终端进行进程检测和互通检测，包括：通过决策树模
型对终端进行进程检测，以确定终端是否存在伪装进程；通过关联程度计算方式对终端进行进程检测，以确定终端是否存在异常进程；通过建模对终端进行进程检测，以确定终端是否存在异常进程序列；对终端进行通信日志检测以及相似异常进程终端检测，得到互通网络检测结果。
[0028]在本实施例的一些示例中，，通过决策树对终端进行进程检测，以确定终端是否存在伪装进程之前，所述方法包括：设计正负小样本集，所述正负小样本集包括：正样本、负样本向量；通过所述正负小样本集训练初始决策树模型，得到所述决策树模型；通过决策树对终端进行进程检测，以确定终端是否存在伪装进程包括：读入待检测日志数据，通过所述决策树模型对所述待检测日志数据进行检测，以对终端进行进程检测，确定终端是否存在异常进程。
[0029]具体的，基于决策树的伪装进程发现攻击者入侵终端，注入伪装的进程是常用的手法。木马进程名伪装成系统进程名。对于伪装木马的检测通过决策树的算法进行，其检测逻辑，如图2所示，图2为基于决策树的的伪装进程发现检测逻辑图，对于部署于黑白名单检测范围内的进程，可通过决策树算法进行。其流本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于终端进程的互通网络异常检测方法，其特征在于，所述方法包括：对终端进行进程检测和互通网络检测，得到多个检测结果；将多个所述检测结果进行关联分析，以得到异常检测结果。2.如权利要求1所述的方法，其特征在于，对终端进行进程检测和互通检测，包括：通过决策树模型对终端进行进程检测，以确定终端是否存在伪装进程；通过关联程度计算方式对终端进行进程检测，以确定终端是否存在异常进程；通过建模对终端进行进程检测，以确定终端是否存在异常进程序列；对终端进行通信日志检测以及相似异常进程终端检测，得到互通网络检测结果。3.如权利要求2所述的方法，其特征在于，通过决策树对终端进行进程检测，以确定终端是否存在伪装进程之前，所述方法包括：设计正负小样本集，所述正负小样本集包括：正样本、负样本向量；通过所述正负小样本集训练初始决策树模型，得到所述决策树模型；通过决策树对终端进行进程检测，以确定终端是否存在伪装进程包括：读入待检测日志数据，通过所述决策树模型对所述待检测日志数据进行检测，以对终端进行进程检测，确定...

【专利技术属性】
技术研发人员：雷璟，仇林遥，柳罡，田原，胡桥，吴彦锋，王钰迪，
申请(专利权)人：中国电子科技集团公司电子科学研究院，
类型：发明
国别省市：