[发明专利]一种基于机器学习的信息系统恶意行为的识别方法

权利要求书

1.一种基于机器学习的信息系统恶意行为的识别方法，基于主机端进程行为和网络层会话行为，通过图卷积网络技术，可实现对进行中的恶意行为的识别；包括图转换模块、训练模块、图卷积网络模块，其中：

A.图转换模块完成从主机进程/网络会话事件到标准向量集的转换；

B.训练模块完成对图卷积网络模型参数的训练计算；

C.图卷积网络模块完成对标准向量集的卷积计算，输出判断结果。

2.如权利要求1所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，图转换模块包括采集单元、序列化单元、图构造单元、图规范化单元，其中：

A.采集单元实时采集主机进程的操作行为和网络会话行为，进行数据清洗；

B.序列化单元按主机进程/网络会话分别进行序列化操作，将单一进程/网络会话形成时间线上的事件集合；

C.图构造单元将事件集合抽象成为拓扑图；

D.图规范化单元将拓扑图转换成标准向量集，输出到图卷积网络模型。

3.如权利要求2所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，采集单元在主机上采集如下信息：

A.实时采集的主机进程注册表操作，包括：如键和值的创建、枚举、查询、删除；

B.实时采集的主机进程文件系统操作，包括：针对本地存储和远程文件系统进行的新建、打开、读写、关闭、删除文件，建立、删除目录操作；

C.实时采集的主机进程网络操作，包括UDP和TCP网络活动，包括进程名称、进程ID、源/目标地址、端口号、对应的连接、断开连接、发送/接收操作的数量及字节数；

D.实时采集的主机进程的进程操作，包括父进程创建子进程、进程启动、线程创建、线程退出、进程退出，以及将可执行映像载入进程的地址空间；

E.实时采集的主机进程的概要，包括自上一次概要事件后内核与用户时间总量、内存用量、上下文切换次数。

4.如权利要求2所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，采集单元实时采集的网络会话操作行为，包括源/目的IP地址、源/目的端口号、发送/接收字节数、发送/接收报文数、发送/接收速率、会话持续时长、协议。

5.如权利要求2所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，序列化单元在接收到采集单元发来的行为信息，以时间序列化的方法形成事件集合，送往图构造单元。

6.如权利要求2所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，图构造单元收到事件集合矩阵，将事件抽象成为由点、边构成的拓扑图，每个相关的进程、文件、注册表键、IP地址、会话作为拓扑图的点，操作类型、时间长度、CPU占用率、内存占用值、协议类型、字节数、报文数、速率作为拓扑图的边，描述事件状态的迁移关系，送入图规范化单元。

7.如权利要求2所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，图规范化单元将拓扑图规范化，转换成标准向量，将标准向量输入图卷积网络模块进行预测。

8.如权利要求1所述的一种基于机器学习的信息系统恶意行为的识别方法，其特征在于，训练过程由图转换模块和训练模块组成，先于识别过程实现，利用大量已标注的事件训练集，输入图转换模块转换成标准向量集，输入训练模块计算出模型参数，将模型参数输入到图卷积网络模块，将模型固定下来；识别过程由图转换模块和图卷积网络模块组成，将生产环境采集的主机进程/网络会话待识别数据输入图转换模块，转换成标准向量集输入图卷积网络模块，计算出识别结果输出，识别结果是二元化的0或者是1，用以标注正常/恶意行为。