一種行為鏈分析與異常關聯檢測的方法技術

技術編號：44353522 閱讀：4 留言：0更新日期：2025-02-25 09:38

本發明專利技術提供一種行為鏈分析與異常關聯檢測的方法，包括：收集程序操作行為數據，并構建行為鏈圖模型，其中每個節點表示一個操作，每條邊表示操作之間的順序或關系；利用建模信息計算每個節點關聯度，將計算得到的節點關聯度與正常行為鏈的基線模型進行比較以判斷是否存在異常；從檢測到出的異常行為鏈中提取特征，包括異常節點的度數和異常邊的權重，使用提取的特征作為輸入數據，訓練惡意行為檢測模型；惡意行為檢測模型學習提取的特征與惡意行為之間的關系，將輸入的新的行為鏈進行識別和分類，以判斷是否異?；驉阂狻１景l明專利技術能夠有效減少假陽性率和假陰性率，且具有較高的處理速度，解決了相關技術中程序惡意行為所帶來的問題。

全部詳細技術資料下載

【技術實現步驟摘要】

本專利技術涉及網絡安全領域，具體是一種行為鏈分析與異常關聯檢測的方法。

技術介紹

1、隨著信息技術的飛速發展，網絡安全問題變得越來越突出。惡意程序(malware)成為了現代網絡環境中的主要威脅。它們不僅對個人用戶造成了困擾，也對企業和政府機構構成了嚴重的安全風險。惡意程序的傳播途徑多種多樣，如電子郵件附件、下載鏈接和社交工程手段，使得防御措施必須不斷更新以應對新興的威脅。

2、惡意程序通常會通過隱蔽的方式進入系統，一旦感染目標，它們可以執行各種有害操作。例如，數據竊取可能導致用戶的個人信息或企業機密泄露，系統破壞則可能導致系統崩潰或數據丟失。此外，一些惡意程序還能夠遠程控制受感染的計算機，進行進一步的攻擊或操控。這些行為不僅會影響系統的正常運行，還可能導致信息篡改和進一步的安全問題。

技術實現思路

1、本專利技術提出了一種行為鏈分析與異常關聯檢測方法，通過結合行為鏈建模、多層次異常檢測和復雜數學模型，解決了相關技術中異常檢測效率低、復雜環境適應性差、實時動態監控不足、特征提取和數據處理效率低、惡意行為識別困難的問題，通過對行為鏈的深入建模和動態監控，能夠提高異常檢測的準確性，增強系統對復雜和動態環境的適應能力，提升對惡意程序行為的識別能力。

2、一種行為鏈分析與異常關聯檢測的方法，包括以下步驟：

3、步驟一、行為鏈建模：收集程序操作行為數據，根據所述操作行為數據構建行為鏈的圖模型，圖模型以圖結構表示行為鏈，其中每個節點表示一個操作，每條邊表示操

4、步驟二、異常關聯檢測：利用步驟一中的建模信息計算每個節點關聯度，將計算得到的節點關聯度與正常行為鏈的基線模型進行比較以判斷是否存在異常；

5、步驟三、惡意行為識別：從檢測到出的異常行為鏈中提取特征，包括異常節點的度數和異常邊的權重，使用提取的特征作為輸入數據，訓練惡意行為檢測模型；惡意行為檢測模型學習提取的特征與惡意行為之間的關系，將輸入的新的行為鏈進行識別和分類，以判斷是否異?；驉阂狻?/p>

6、進一步的，還包括：

7、步驟四、多維度特征融合：在特征提取過程中，結合多維度特征，以提供更多信息來識別異常或惡意行為，提取的特征用于訓練惡意行為檢測的混合高斯模型，提取的特征包括操作間的時間間隔、操作頻率和操作的上下文信息，使用主成分分析pca方法來提升特征的表達能力，主成分分析中的協方差矩陣計算為：

8、

9、其中，xi是第i個樣本，是樣本均值，n是樣本總數。

10、進一步的，步驟一中根據所述操作行為數據構建行為鏈的圖模型具體包括：所述操作行為數據記錄操作序列及其上下文信息，將收集到的程序操作行為數據，按照操作順序和關系進行圖形化表示。

11、進一步的，步驟一中根據所述操作行為數據構建行為鏈的圖模型具體包括：所述操作行為數據記錄操作序列及其上下文信息，將收集到的程序操作行為數據，按照操作順序和關系進行圖形化表示。

12、進一步的，所述圖模型的節點和邊的定義如下：

13、節點集合v＝{v1，v2，...，vn}，其中每個節點vi表示一個操作；

14、邊集合e＝{eij|eij連接節點vi和vj}，其中每條邊eij表示操作間的順序或依賴關系；

15、權重函數其中w(eij)＝f(tij，fij)的權重，表示操作間的關系強度。

16、進一步的，步驟一中利用圖論技術對行為鏈進行建模是對圖模型的深入處理，定義圖的節點、邊及其權，通過定義節點和邊的權重來表示操作之間的強弱關系、時間間隔或頻率等信息，具體包括：

17、節點權重通過以下函數計算：

18、

19、其中，是節點vi的權重，是節點vi對應操作的頻率，是節點vi對應操作的重要性，是節點vi的上下文信息復雜度，α、β和γ是權重系數，滿足α+β+γ＝1；

20、邊權重公式是用來構建圖模型中邊的權重，反映正常情況下節點間的關系，基于時間間隔和操作頻率來計算權重，邊的權重通過以下函數計算：

21、wij＝f(tij，fij)

22、其中，wij是邊eij的權重，tij是操作間的時間間隔，fij是操作的頻率，f是權重函數，i表示一個節點的索引；j表示另一個節點的索引。

23、進一步的，步驟二具體包括：

24、將計算得到的節點關聯度與正常行為鏈的基線模型進行比較，以判斷是否存在異常，節點關聯度a(vi)計算公式為：

25、

26、其中wij是節點vi與節點vj之間的邊的權重，反映節點之間的關聯強度；

27、邊權重異常檢測公式為：

28、如果邊權重的異常值δwij超過異常閾值θanomaly，則表示邊eij的關系或順序存在異常；

29、其中，ωobserved(eij)是實際觀察到的邊權重，ωexpected(eij)是基線模型中預期的邊權重，σij是邊權重的標準差；邊權重異常檢測公式是用來在實時檢測過程中識別邊權重的異常情況，比較實際權重與預期權重的差異，結合標準差來判斷是否存在異常；

30、異常評分計算為：

31、其中，μa和σa分別為節點關聯度的均值和標準差；

32、如果|s(vi)|在設定的正常范圍(如[-2,2])內，認為節點關聯正常；如果|s(vi)|超出此范圍(如s(vi)＞2或s(vi)＜-2)，則該節點被判定為異常，表示操作異?；驉阂庑袨椤?/p>

33、進一步的，步驟三具體包括：

34、使用混合高斯模型對異常行為鏈進行建模，并計算每個異常行為鏈的概率密度函數：

35、

36、其中，πk是混合權重，是高斯分布函數μk和∑k分別為高斯分布的均值和協方差矩陣；混合高斯模型的概率密度函數p(x)用于對行為鏈的特征進行建模，通過計算特征向量的概率密度來識別異常行為。

37、進一步的，所述基線模型的正常范圍定義如下：

38、節點度數范圍dnormal(vi)∈[dmin，dmax]；

39、其中，dmin和dmax分別為節點度數的最小和最大閾值；dnormal(vi)：表示節點vi的度數的正常范圍，節點vi的度數表示與節點vi相連的邊數；在檢測過程中，系統會針對每個節點vi計算其當前度數，如果節點的度數d(vi)超出預設的正常范圍[dmin，dmax]，則該節點將被標記為異常；

40、邊權重范圍wnormal(eij)∈[wmin，wmax]；

41、其中，wnormal(eij)表示節點vi和vj之間的邊eij的權重的正常范圍；wmin和wmax分別為邊權重的最小和最大閾值；系統通過計算邊的實際權重w(eij)，并將其與預設的正常范圍[wmin，wmax]進行比較；如果邊的權重超出該范圍，說明該邊可能存在異常關聯。<本文檔來自技高網...

【技術保護點】

1.一種行為鏈分析與異常關聯檢測的方法，其特征在于，包括以下步驟：

2.如權利要求1所述的行為鏈分析與異常關聯檢測的方法，其特征在于，還包括：

3.如權利要求1所述的行為鏈分析與異常關聯檢測的方法，其特征在于，步驟一中根據所述操作行為數據構建行為鏈的圖模型具體包括：所述操作行為數據記錄操作序列及其上下文信息，將收集到的程序操作行為數據，按照操作順序和關系進行圖形化表示。

4.根據權利要求3所述的方法，其特征在于，所述圖模型的節點和邊的定義如下：

5.如權利要求4所述的行為鏈分析與異常關聯檢測的方法，其特征在于，步驟一中利用圖論技術對行為鏈進行建模是對圖模型的深入處理，定義圖的節點、邊及其權，通過定義節點和邊的權重來表示操作之間的強弱關系、時間間隔或頻率等信息，具體包括：

6.如權利要求1所述的行為鏈分析與異常關聯檢測的方法，其特征在于，步驟二具體包括：

7.如權利要求1所述的行為鏈分析與異常關聯檢測的方法，其特征在于，步驟三具體包括：

8.根據權利要求1所述的方法，其特征在于，所述基線模型的正常范圍定義如下：

...

【技術特征摘要】

1.一種行為鏈分析與異常關聯檢測的方法，其特征在于，包括以下步驟：

2.如權利要求1所述的行為鏈分析與異常關聯檢測的方法，其特征在于，還包括：

4.根據權利要求3所述的方法，其特征在于，所述圖模型的節點和邊的定義如下：

5.如...

【專利技術屬性】
技術研發人員：牛犁青，劉焱，陳劍，常強，徐挺，張燁，袁安琪，陳偉偉，陳玉寶，李黎明，汪磊，
申請(專利權)人：湖北華中電力科技開發有限責任公司，
類型：發明
國別省市：

全部詳細技術資料下載我是這個專利的主人

相關技術

網友詢問留言已有0條評論

還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。

發布您的意見

相關領域技術