| 发明名称 | 一种高级持续性威胁攻击的判别方法 | ||
| 摘要 | 本发明涉及一种高级持续性威胁攻击的判别方法,步骤如下:采集终端样本程序系统API调用序列;通过MapReduce模块提取其API调用短序列,然后计算短序列的信息增益,筛选出信息增益大的程序行为特征;再次扫描该系统API调用序列,得到终端样本程序的行为特征;统计机器学模型模块使用每个样本程序的行为特征作为输入,对其进行训练,直至其对训练样本程序分类正确率达到90%以上时,确定模型参数,将其作为APT攻击判别器;采集目标终端程序的系统调用序列;对目标程序,采集其API调用序列、提取其行为特征后,便可判别其是否存在攻击行为。本发明对APT攻击的检测能力强,缩短程序行为特征的提取时间。 | ||
| 申请公布号 | CN104850780A | 申请公布日期 | 2015.08.19 |
| 申请号 | CN201510203698.1 | 申请日期 | 2015.04.27 |
| 申请人 | 北京北信源软件股份有限公司 | 发明人 | 高曦;杨华;张宏宇 |
| 分类号 | G06F21/55(2013.01)I | 主分类号 | G06F21/55(2013.01)I |
| 代理机构 | 北京连城创新知识产权代理有限公司 11254 | 代理人 | 刘伍堂 |
| 主权项 | 一种高级持续性威胁攻击的判别方法,其特征在于,包括终端程序行为采集模块,用于采集每个终端程序的系统API调用序列;MapReduce模块,作为海量程序行为日志分析器;统计机器学习模型模块,作为APT攻击的判别器;包括如下步骤:a.所述终端程序行为采集模块采集每个终端样本程序系统API调用序列;b.所述MapReduce模块用于扫描每个终端样本程序的系统API调用序列,通过滑动窗口方式提取所述系统API调用序列的短序列,计算每个系统API调用短序列的信息增益,按照信息增益的大小排序,解析出终端样本程序的行为特征;c.所述统计机器学习模型模块使用每个样本程序的行为特征作为输入,对统计机器学习模型模块进行训练,直至所述统计机器学习模型模块对训练样本程序分类错误率达到指定阈值;d.完成以上步骤之后,便开始采集目标终端程序的系统API调用序列,对采集到的每个系统API调用序列进行扫描,查看其中是否存在步骤b筛选出的行为特征,如果扫描到的系统API调用序列存在步骤b筛选出的行为特征,生成对应的程序行为特征向量;将所述程序行为特征向量作为已训练好的APT攻击判别器的输入,便可判别目标终端程序是否存在攻击行为。 | ||
| 地址 | 100081 北京市海淀区中关村南大街34号中关村科技发展大厦C座1602室 | ||