[发明专利]一种基于机器学习的信息系统恶意行为的识别方法

说明书

本发明提供了一种基于机器学习的信息系统恶意行为的识别方法。该方法包括图转换模块、训练模块、图卷积网络模块。三个模块组合成两个实施过程，训练过程、识别过程。所述方法采集主机进程/网络会话行为信息。序列化单元完成行为序列化操作，形成事件集合。图构造单元将事件集合抽象成为拓扑图。图规范化单元将拓扑图规范化为标准向量，输入图卷积网络模型进行预测输出。本发明所述的方法，可在主机层面和网络层面实现对系统中恶意行为的实时预测，以避免重要数据进一步遭受破坏的可能。

技术领域

本发明涉及一种基于机器学习的信息系统恶意行为的识别方法，通过对主机进程行为、网络会话行为进行拓扑图建模，使用机器学习中图卷积网络的技术，可在主机层、网络层实现对系统中恶意行为的实时预测，以避免重要数据进一步遭受破坏的可能。

缩略语及名词解释：

GCN：全称Graph Convolutional Network，图卷积网络。

GoogLeNet：一个22层的深度网络，采用了Inception这种网中网(Network InNetwork)的结构。

APT：全称Advanced Persistent Threat，高级持续性威胁，指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

0day漏洞：在信息安全意义上，0day漏洞是指在安全补丁发布前被了解和掌握的漏洞信息，它们可以被黑客或犯罪分子用来攻击企业或个人系统、盗取或改变资料，而由于彻底的安全措施尚未到位，被攻击者几乎无法防范。

背景技术

随着信息化的不断发展，越来越多重要的信息以数据的形式存储在各类信息化系统中，其中不乏敏感信息。这些敏感信息如果被恶意泄露，或者被恶意删除、加密，会给数据所有者甚至是社会带来巨大的损失。典型的破坏手段有勒索病毒和APT攻击。

加密型勒索软件采用高强度加密算法对用户文件加密。目前对加密型勒索软件没有可靠的事前防御和检测措施，用户数据一旦被勒索软件加密，传统的反病毒软件无能为力。

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

现有的防护手段，一般是针对已知病毒特征进行筛查，存在如下严重缺失：

1、对变种病毒无法有效防御。勒索病毒变种很快，在杀毒软件更新病毒特征库之前，可以通过杀毒软件的检测进入主机系统进行窃取或破坏。杀毒软件通常并不能实时更新全量病毒库，这就为病毒的入侵提供了可能。

2、无法防御0day漏洞。在信息安全意义上，0Day是指在安全补丁发布前被了解和掌握的漏洞信息，它们可以被黑客或犯罪分子用来攻击企业或个人系统、盗取或改变资料，而由于彻底的安全措施尚未到位，被攻击者几乎无法防范。

3、难以防范APT攻击。APT攻击往往把攻击的重点放在″低慢″上面--慢慢地，悄悄地从一个被入侵的主机移动到下一个主机上面，其中也不会产生可被监测的网络流量，从而寻找自己需要的数据和目标系统，使得传统基于流量的异常检测方法失效。

发明内容

本发明提供了一种基于机器学习的信息系统恶意行为的识别方法，基于主机端进程行为和网络层会话行为，通过图卷积网络技术，可实现对进行中的恶意行为的识别，以便采取措施避免损失进一步扩大。

本发明所述的信息系统恶意行为识别方法，可从两个层面进行恶意行为识别。

1.基于主机层面，对主机进程访问文件的行为进行建模、判定，防止恶意进程对数据非法访问、非法修改、非法删除等操作。