本發(fā)明實(shí)施例公開了一種惡意進(jìn)程檢測方法，獲取注冊表操作日志中的進(jìn)程名稱、目標(biāo)對象、設(shè)置值與惡意進(jìn)程標(biāo)識字段，并將進(jìn)程名稱、目標(biāo)對象、設(shè)置值與惡意進(jìn)程標(biāo)識字段以二維矩陣存儲為第一二維矩陣，將目標(biāo)對象中的注冊表路徑轉(zhuǎn)化為節(jié)點(diǎn)列表，并將設(shè)置值合并入節(jié)點(diǎn)列表，在節(jié)點(diǎn)列表中，將列表項(xiàng)根據(jù)其內(nèi)容進(jìn)行編號，得到樣本二維矩陣；將樣本二維矩陣中的進(jìn)程名稱作為行索引、編號后的節(jié)點(diǎn)列表以及惡意進(jìn)程標(biāo)識字段作為列索引，輸入至隨機(jī)森林模型，得到惡意進(jìn)程檢測模型；將待檢測進(jìn)程輸入至惡意進(jìn)程檢測模型，以判斷待檢測進(jìn)程是否為惡意進(jìn)程。本發(fā)明將注冊表路徑與惡意檢測聯(lián)系起來以建立惡意進(jìn)程檢測模型，實(shí)現(xiàn)對惡意進(jìn)程的快速準(zhǔn)確識別。

技術(shù)領(lǐng)域

本發(fā)明涉及機(jī)器學(xué)習(xí)領(lǐng)域，尤其涉及一種惡意進(jìn)程檢測方法、裝置、系統(tǒng)及計(jì)算機(jī)可讀存儲介質(zhì)。

背景技術(shù)

注冊表是Windows系統(tǒng)中的一個(gè)分層數(shù)據(jù)庫，包含對系統(tǒng)中運(yùn)行的應(yīng)用程序和服務(wù)至關(guān)重要的數(shù)據(jù)。數(shù)據(jù)庫以樹格式構(gòu)建，每個(gè)節(jié)點(diǎn)稱為一個(gè)鍵，每個(gè)鍵可以包含子鍵和稱值的數(shù)據(jù)條目。應(yīng)用程序所需要的數(shù)據(jù)可能是鍵本身，也可能是與該鍵相關(guān)聯(lián)的值。進(jìn)程在運(yùn)行過程為了實(shí)現(xiàn)其功能基本上都會存在對注冊表的操作，而這些操作也反映了進(jìn)程的行為，因此通過對注冊表操作日志的分析可以實(shí)現(xiàn)對進(jìn)程屬性的判斷。

Windows系統(tǒng)中存在日志記錄功能，其中在安裝了微軟官方的一款軟件Sysmon之后可以實(shí)現(xiàn)對進(jìn)程的注冊表操作行為的檢測，這為我們提供了數(shù)據(jù)的來源。

注冊表操作行為的日志量非常龐大，一個(gè)進(jìn)程在短時(shí)間內(nèi)就可以產(chǎn)生數(shù)百條日志，很難用人工進(jìn)行分析，同時(shí)也難以使用固有的規(guī)則進(jìn)行匹配，造成惡意進(jìn)程的識別困難。

針對現(xiàn)有技術(shù)中難以識別惡意進(jìn)程的問題，目前還沒有一個(gè)有效的解決方案。

發(fā)明內(nèi)容

為解決上述問題，本發(fā)明提供一種惡意進(jìn)程檢測方法、裝置、系統(tǒng)及計(jì)算機(jī)可讀存儲介質(zhì)，采集注冊表操作日志中的進(jìn)程名稱、目標(biāo)對象、設(shè)置值以及惡意進(jìn)程標(biāo)識字段，將目標(biāo)對象中的注冊表路徑轉(zhuǎn)換成節(jié)點(diǎn)列表，并將設(shè)置值合并入節(jié)點(diǎn)列表，對注冊表路徑進(jìn)行編碼得到樣本二維矩陣，使用樣本二維矩陣訓(xùn)練惡意進(jìn)程檢測模型，再使用該惡意進(jìn)程檢測模型對待檢測進(jìn)程進(jìn)行惡意檢測，得到進(jìn)程的檢測結(jié)果以解決惡意進(jìn)程難以識別的問題。

為達(dá)到上述目的，本發(fā)明提供了一種惡意進(jìn)程檢測方法，包括：獲取注冊表操作日志，提取每個(gè)注冊表操作日志中的進(jìn)程名稱、目標(biāo)對象、設(shè)置值與惡意進(jìn)程標(biāo)識字段，并將進(jìn)程名稱、目標(biāo)對象、設(shè)置值與惡意進(jìn)程標(biāo)識字段以二維矩陣形式進(jìn)行存儲，得到第一二維矩陣；在所述第一二維矩陣中，將所述目標(biāo)對象中的注冊表路徑進(jìn)行節(jié)點(diǎn)分割，將分割后的每個(gè)節(jié)點(diǎn)內(nèi)容作為列表項(xiàng)以將所述注冊表路徑轉(zhuǎn)化為節(jié)點(diǎn)列表，刪除所述目標(biāo)對象，并將所述設(shè)置值合并入所述節(jié)點(diǎn)列表；在所述節(jié)點(diǎn)列表中，將距離根節(jié)點(diǎn)項(xiàng)最近的預(yù)設(shè)數(shù)量個(gè)列表項(xiàng)按照鍵類型進(jìn)行編號，并將相同進(jìn)程名稱的注冊表操作日志進(jìn)行數(shù)據(jù)歸并，得到第二二維矩陣；在所述第二二維矩陣中，將所述節(jié)點(diǎn)列表中未編號的列表項(xiàng)根據(jù)列表項(xiàng)的文本內(nèi)容進(jìn)行編號，得到樣本二維矩陣；將所述樣本二維矩陣中的進(jìn)程名稱作為行索引、編號后的節(jié)點(diǎn)列表以及惡意進(jìn)程標(biāo)識字段作為列索引，輸入至隨機(jī)森林模型，得到惡意進(jìn)程檢測模型；將待檢測進(jìn)程輸入至所述惡意進(jìn)程檢測模型，以判斷所述待檢測進(jìn)程是否為惡意進(jìn)程。

進(jìn)一步可選的，所述在所述節(jié)點(diǎn)列表中，將距離根節(jié)點(diǎn)項(xiàng)最近的預(yù)設(shè)數(shù)量個(gè)列表項(xiàng)按照鍵類型進(jìn)行編號，包括：當(dāng)根節(jié)點(diǎn)項(xiàng)為HKLM時(shí)，將根節(jié)點(diǎn)項(xiàng)編號為1、將子鍵項(xiàng)按子鍵類型編號，按根節(jié)點(diǎn)項(xiàng)編號、0、子鍵項(xiàng)編號的順序生成三位序列，以替換所述根節(jié)點(diǎn)項(xiàng)以及子鍵項(xiàng)；當(dāng)根節(jié)點(diǎn)項(xiàng)為HKU時(shí)，將根節(jié)點(diǎn)項(xiàng)編號為2、將一級子鍵項(xiàng)按一級子鍵類型編號、將二級子鍵項(xiàng)按二級子鍵類型編號，按根節(jié)點(diǎn)項(xiàng)編號、一級子鍵項(xiàng)編號、二級子鍵項(xiàng)編號的順序生成三位序列，以替換所述根節(jié)點(diǎn)項(xiàng)、一級子鍵項(xiàng)以及二級子鍵項(xiàng)；當(dāng)根節(jié)點(diǎn)項(xiàng)為HKCU時(shí)，將根節(jié)點(diǎn)項(xiàng)編號為3、將子鍵項(xiàng)按子鍵類型編號，并按根節(jié)點(diǎn)項(xiàng)編號、0、子鍵項(xiàng)編號的順序生成三位序列，以替換所述根節(jié)點(diǎn)項(xiàng)以及子鍵項(xiàng)；當(dāng)根節(jié)點(diǎn)項(xiàng)為其它內(nèi)容時(shí)，將根節(jié)點(diǎn)項(xiàng)編號為0。