[发明专利]一种容器内进程异常行为检测方法与系统有效
| 申请号: | 201910039085.7 | 申请日: | 2019-01-16 |
| 公开(公告)号: | CN109858244B | 公开(公告)日: | 2020-01-17 |
| 发明(设计)人: | 陈兴蜀;金逸灵;王玉龙;蒋超;金鑫;王启旭 | 申请(专利权)人: | 四川大学 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F9/455 |
| 代理公司: | 51284 成都禾创知家知识产权代理有限公司 | 代理人: | 裴娟 |
| 地址: | 610065 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开一种容器内进程异常行为检测方法与系统,提出在宿主机用户层,以无代理监控方式实时感知容器内所有进程的创建、运行和消亡等行为,从而透明采集进程全生命周期的系统调用行为数据,然后利用LSTM循环神经网络捕获序列数据的语义特征,以此刻画正常进程行为轮廓,最后采用局部窗口内累积偏差的方式,提出了两种异常判决方法,能更稳定地表示进程系统调用行为的规律性,使得在提升检测率的同时有效地降低了误报率。此外,在建模阶段,本发明根据映射同一系统调用的短序列频率,同比缩减训练样本数,加快了模型的训练速度,并通过测试训练数据的方式,自定义检测阶段的短序列概率阈值,减少了人工参与的工作量。 | ||
| 搜索关键词: | 异常行为检测 短序列 调用 进程 循环神经网络 全生命周期 代理监控 进程系统 人工参与 实时感知 同一系统 系统调用 行为轮廓 行为数据 序列数据 训练数据 训练样本 语义特征 正常进程 检测率 宿主机 误报率 用户层 有效地 自定义 映射 捕获 工作量 规律性 刻画 采集 测试 透明 判决 概率 检测 创建 | ||
【主权项】:
1.一种容器内进程异常行为检测系统,其特征在于,包括数据采集模块、数据建模模块和异常检测模块;/n数据采集模块在容器外部的宿主机用户层,根据指定容器的ID,采用无代理的方式获取该容器内正在运行的所有进程信息,并基于ptrace系统调用监控用于管理该容器生命周期的运行时载体进程,实时感知该容器内新进程的创建和消亡行为,动态追踪并透明采集该容器内所有进程运行过程中产生的系统调用行为数据,将其保存到容器数据日志文件中;/n数据建模模块根据正常情况下得到的容器数据日志文件中的系统调用序列训练一个基于LSTM循环神经网络的预测模型,以此刻画正常行为轮廓,并通过测试训练数据的方式,得到由M个连续系统调用组成的短序列出现概率P
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910039085.7/,转载请声明来源钻瓜专利网。
- 上一篇:追踪病毒来源的方法和装置
- 下一篇:一种基于改进深度置信网络的入侵检测方法
