[发明专利]一种基于深度学习的主机恶意行为检测方法

说明书

本发明提供一种基于深度学习的主机恶意行为检测方法，该方法为，对要判定行为的主机的内、外部信息流进行跟踪，不断并依次形成多个信息流序列组；提取每组信息流序列组内部和外部特征以及标签输入模型，对模型进行训练，形成分类模型，然后使用分类模型对信息流是否恶意进行鉴别。本发明方法可以针对每一条信息流序列进行分类，这些信息流汇聚成信息流图后，可根据对每一条信息流序列分类的结果，判断由这些信息流序列组成的信息流图中的计算机及服务器的受攻击范围及严重情况。

技术领域

本发明属于计算机技术领域，具体涉及一种基于深度学习的主机恶意行为检测方法。

背景技术

深度学习的前身是机器学习，而机器学习又是一种实现人工智能的方法，它涉及大数据领域，而大数据又涉及到金融、IT等方方面面。机器学习最基本的做法，是使用算法来解析数据、从中学习，然后对真实世界中的事件做出决策和预测。与传统的为解决特定任务、硬编码的软件程序不同，机器学习是用大量的数据来“训练”，通过各种算法从数据中学习如何完成任务。深度学习是近年来新兴的技术，深度学习本来并不是一种独立的学习方法，其本身也会用到有监督和无监督的学习方法来训练深度神经网络。但由于近几年该领域发展迅猛，一些特有的学习手段相继被提出（如残差网络），因此越来越多的人将其单独看作一种学习的方法。最初的深度学习是利用深度神经网络来解决特征表达的一种学习过程。深度神经网络本身并不是一个全新的概念，可大致理解为包含多个隐含层的神经网络结构。为了提高深层神经网络的训练效果，人们对神经元的连接方法和激活函数等方面做出相应的调整。

现有技术中对主机恶意行为的检测方法主要包含以下几种：1、现有的一些主机恶意行为检测都是基于规则的，属于传统的检测方法。这种检测方法无法应对病毒或者是恶意软件的变种（此类方法太多就不一一列举）。2、还有一些方法（“基于主机行为特征的恶意软件检测方法”）是针对僵尸、远控木马等恶意软件检测问题，提出一种基于主机行为的异常检测模型。通过持续性分析算法，判断主机与外部特定目标的通信行为是否具有周期性或连续性，提取出可疑的网络行为，并根据网络行为的触发、启动等异常检测规则对这些可疑的网络行为进行分析，判断主机是否感染恶意软件。这种方法不能通过主机内外部的信息流流向来动态的根据监控系统对安全性的要求来调整主机是否是恶意主机的判别标准，若对主机一连串行为的分类过于严格，那么会造成大量的预警。若对主机一连串行为分类过于宽松，又会漏掉一些严重告警。3、另外的一些方法（“Learning to Detect andClassify Malicious Executables in the Wild”）通过使用机器学习和数据挖掘来检测恶意可执行文件（包括：病毒，蠕虫和特洛伊木马），其中，他第一步使用n-gram来提取可执行文件ASKII形式的16进制代码，以它作为基础特征向量来进行变换，然后在其基础上进行分类得到结果，但未使用在主机的恶意行为的检测上，而且提取的特征和方法也不同。

现有检测方法存在的问题是：没有通过主机内外部的信息流流向来动态的根据监控系统对安全性的要求来调整主机是否是恶意主机的判别标准，若对主机一连串行为的分类过于严格，那么会造成大量的预警。若对主机一连串行为分类过于宽松，又会漏掉一些严重告警。而且现有的检测方法也不能对整个信息流图进行一个全面的评估，判断出在一段时间内整个拓扑图中有多少恶意主机，占比有多大。

发明内容

本发明提出一种基于深度学习的主机恶意行为检测方法，以克服现有技术中的问题。

为达到本发明的目的，本发明所采用的技术方案是：

一种基于深度学习的主机恶意行为检测方法，对要判定行为的主机的内、外部信息流进行跟踪，不断并依次形成多个信息流序列组；提取每组信息流序列组内部和外部特征以及标签输入模型，对模型进行训练，形成分类模型，然后使用分类模型对信息流是否恶意进行鉴别。

具体的，依次包括下述步骤：

步骤一、以一台主机为源头，提取这台主机内部信息流序列行为；