[发明专利]基于孪生网络的恶意进程识别方法、装置、电子设备及存储介质

说明书

本发明公开了一种基于孪生网络的恶意进程识别方法，包括：获取反映客户端的进程行为的序列化日志作为原始样本，并以各个进程行为类型作为原始样本添加的标签，所述反映客户端的进程行为的序列化日志包括该进程运行过程中的API或系统调用的日志；所述进程行为包括非恶意进程行为和不同类型的恶意进程行为；对各个原始样本进行序列化处理得到相应进程的行为特征向量；利用所述行为特征向量进行孪生网络训练；利用训练得到的孪生网络对待检测行为进程进行恶意行为进程识别，以得到所述待检测行为进程的标签。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种基于孪生网络的恶意进程识别方法、装置、计电子设备及存储介质。

背景技术

随着互联网技术的不断发展，网络上恶意程序的数目也在不断激增，远程访问木马(RAT，remote access Trojan)便是其中一种数目不断持续增长的恶意程序，入侵者可以利用RAT来在受感染的计算机上进行绝大部分的恶意操作，如监视用户行为、激活系统的摄像头和录音录像、传播病毒和其他恶意软件、访问机密信息和密码等，危害十分巨大。

当前，已经有一些工作来对RAT恶意程序的行为进行识别。

对RAT病毒而言，传统的检测方法主要是基于规则来对其进行入侵检测，但这种基于特征的检测技术，恶意软件可以通过混淆、变形来规避检测，利用规则和特征库来进行检测，只能检测出目前已知的RAT病毒行为，而对于未知的RAT或者利用混淆来做过处理的已知RAT，基于规则的方法都对此无能为力，无法将其检测出来。

近年来，基于网络流量的分析技术显示出高效性和低占用率，机器学习的算法在其中发挥着重要的作用。然而，针对RAT木马网络行为识别这一应用，目前的研究较少考虑进程执行记录的时间顺序，且RAT恶意行为样本本身数据量较少，且分布不平衡，对现有的机器学习检测器的分类效果有很大的影响，导致目前的研究对于木马的识别率较低。

机器学习的一般机制是使用在先前准备的训练样本上学习的统计模型对未来数据进行预测。在大多数情况下，模型的泛化能力是由足够数量的训练样本来保证的。然而，在许多实际应用中，人们可能只被允许访问很少的新类别的训练数据，在有限的范围内，每个新类别只有极少数样本。因此，如何从很少的训练数据中学习到一个相对高检出率的模型就成为了一个很大的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种基于孪生网络的恶意进程识别方法。

本发明的一种基于孪生网络的恶意进程识别方法，所述方法包括：

获取反映客户端的进程行为的序列化日志作为原始样本，并以各个进程行为类型作为原始样本添加的标签，所述反映客户端的进程行为的序列化日志包括该进程运行过程中的API或系统调用的日志；所述进程行为包括非恶意进程行为和不同类型的恶意进程行为；

对各个原始样本进行序列化处理得到相应进程的行为特征向量；

利用所述行为特征向量进行孪生网络训练，并利用训练得到的孪生网络对待检测行为进程的行为特征向量进行恶意行为进程识别，以得到所述待检测行为进程的标签。

作为优选，对各个原始样本进行序列化处理得到相应进程的行为特征向量包括：

用精简与恶意行为无关调用栈的方法和/或压缩循环重复序列的方法对各个原始样本进行特征选取以去除冗余特征；

对各个经过特征选取的原始样本进行序列化处理得到相应进程的行为特征向量。

作为优选，所述利用所述行为特征向量进行孪生网络训练包括：

构建孪生网络模型，其包括用于处理输入的两个相似空间映射网络分支；