[發明專利]一種機器學習自動化行為分析的行為威脅分析方法有效
| 申請號: | 201811288091.8 | 申請日: | 2018-10-31 |
| 公開(公告)號: | CN109492389B | 公開(公告)日: | 2020-08-21 |
| 發明(設計)人: | 施勇;傅燁文;劉寧;何翔 | 申請(專利權)人: | 上海境領信息科技有限公司 |
| 主分類號: | G06F21/55 | 分類號: | G06F21/55 |
| 代理公司: | 廣州越華專利代理事務所(普通合伙) 44523 | 代理人: | 陳岑 |
| 地址: | 200000 上海市浦東新*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 機器 學習 自動化 行為 分析 威脅 方法 | ||
【權利要求書】:
1.一種機器學習自動化行為分析的行為威脅分析方法,其特征在于包括如下步驟:
步驟1:接管系統內核所有程序執行管道;
所述步驟1包括接管系統內核所有程序執行管道,捕捉各類系統及應用層操作,將執行過程中的各類指令轉化為標準格式進行檢測;
步驟2:監控用戶指令序列并交由通過機器學習建立的用戶指令序列庫進行比對;
所述步驟2包括將捕捉到的所有用戶指令交由用戶指令序列庫進行比對;
步驟3:將用戶指令序列分為長度較短的序列組合并得出判決值,若其低于閾值則系統告警,若不低于閾值,則繼續執行步驟4;
所述步驟3包括:
步驟3.1:將捕捉到的用戶指令以長度為N依序作為單位,判斷每個序列與指令序列庫的相似度;
步驟3.2:對相似度進行加窗降噪處理,得到按時間排列的相似度判決值;
步驟3.3:當判決值小于閾值時,則系統告警,其中閾值可進行設定,設定范圍在80-90%;
步驟4:持續監控這些用戶的行為,返回步驟2繼續執行;
所述用戶指令序列庫是由合法用戶的指令作為正常行為訓練數據進行訓練而建立的樣本序列庫,其中用戶的主機名以及網址信息用統一格式的標識符號代替;
所述捕捉各類系統及應用層操作,包括PE文件及各類腳本,將執行行為轉化為操作指令,即使用內核函數接管系統中所有的執行進程和命令管道,捕捉內部執行過程和API函數調用情況,將執行過程轉化為指令進行檢測。
下載完整專利技術內容需要扣除積分,VIP會員可以免費下載。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海境領信息科技有限公司,未經上海境領信息科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811288091.8/1.html,轉載請聲明來源鉆瓜專利網。
