[发明专利]一种基于深度学习的主机恶意行为检测方法

权利要求书

1.一种基于深度学习的主机恶意行为检测方法，其特征在于：对要判定行为的主机的内、外部信息流进行跟踪，不断并依次形成多个信息流序列组；提取每组信息流序列组内部和外部特征以及标签输入模型，对模型进行训练，形成分类模型，然后使用分类模型对信息流是否恶意进行鉴别；

具体的，依次包括下述步骤：

步骤一、以一台主机为源头，提取这台主机内部信息流序列行为；

步骤二、提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列；

步骤三、提取这些主机间的信息流序列；

步骤四、将所有信息流序列的这些数字特征和标签分为三组；第一组用于训练模型，第二组用于测试训练精度并不断调整模型使测试精度达到最高，第三组用于实际测量精度；

步骤五、对第一组数字特征和分类的标签输入分类器中进行分类，分类器包括神经网络，CNN，调节分类器的输入节点数、层数、隐藏层节点数参数，根据系统类型提高或降低分类精度；具体的，通过精确率、准确率、F值指标判断模型的好坏，调节模型参数，确定分类模型；

步骤六、将第二组数字特征和分类的标签输入训练好的成熟模型中，对模型的输出结果进行测评，通过精确率、准确率、F值、业务需求指标判断模型的好坏，调节模型参数评估并修正模型；

步骤七、重复执行第五、六步，直到满足条件为止，确定最终的成熟模型；

步骤八、将第三组数字特征和分类的标签输入到成熟模型中，对模型的输出结果进行测评，得到实际测量值，也就是可以判定每一个链条是否为攻击链；

步骤九、根据实际测量值，通过对每一条信息流序列分类的结果，判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。

2.根据权利要求1所述基于深度学习的主机恶意行为检测方法，其特征在于：

步骤一中，以一台主机为源头，提取这台主机内部信息流序列行为，具体方法包括，主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为，如有标识为1，若无标识为0。

3.根据权利要求2所述基于深度学习的主机恶意行为检测方法，其特征在于：

步骤二中，提取以这台主机为源头的且直接或间接与这台主机相连的一系列主机的主机内部信息流行为序列，具体方法包括，主机内部信息流行为构成的有限状态自动机是否存在低安全级向高安全级读的非法行为，如有标识为1，若无标识为0。

4.根据权利要求3所述基于深度学习的主机恶意行为检测方法，其特征在于：

步骤三中，提取这些主机间的信息流序列，具体方法包括，机器的节点编号，每台机器接收到的比特数、字节数、包数、持续时间、每秒比特数、每秒字节数。

5.根据权利要求4所述基于深度学习的主机恶意行为检测方法，其特征在于：

步骤四中，将所有信息流序列的这些数字特征和标签分为三组，其中，第一组占60%，第二组占20%，第三组占20%。