[发明专利]一种用于应用程序的进程检测方法及系统

说明书

本发明实施例提供一种用于应用程序的进程检测方法及系统，该方法包括：根据安全日志内容，获取进程对应的可观测行为向量；将所述可观测行为向量转换为进程行为特征图；基于训练好的卷积神经网络模型，对所述进程行为特征图进行检测，得到所述进程的检测结果；所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。本发明实施例能够有效地识别出异常进程，弥补了现有通过人工技术识别异常进程准确率不高的缺陷，对不同类型的恶意进程均具有良好的适应性和较高的鲁棒性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种用于应用程序的进程检测方法及系统。

背景技术

近年来，恶意程序的数量呈指数级的增长，已经成为威胁互联网安全的关键因素之一。如何对恶意程序进行有效检测和查杀，也成为了企业与网络安全人员着重思考的问题之一。随着人工智能技术的不断发展与完善，如何将人工智能技术应用到恶意程序检测中，实现系统无监督或半监督模式的自我检测，也成为当下企业的需求之一。

对于恶意程序的检测与查杀，目前大多数技术都是分析恶意程序的源代码，提取相应的特征，进而对拥有相应特征的恶意程序进行查杀。主流的恶意程序源代码检测技术可以分为两类：启发式检测方法和基于特征码的检测方法。恶意代码混淆技术也按照其实现原理分为两类：干扰反逆向(反汇编)的混淆及指令和控制流混淆，故而恶意程序的源代码检测也存在一定的局限性。其中，部分恶意程序和恶意程序源代码存在大量的变种，现有的恶意程序源代码检测技术无法有效的检测出来。

因此，现在亟需一种用于应用程序的进程检测方法及系统来解决上述问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种用于应用程序的进程检测方法及系统。

第一方面，本发明实施例提供了一种用于应用程序的进程检测方法，包括：

根据安全日志内容，获取进程对应的可观测行为向量；

将所述可观测行为向量转换为进程行为特征图；

基于训练好的卷积神经网络模型，对所述进程行为特征图进行检测，得到所述进程的检测结果；所述训练好的卷积神经网络模型是由标记有正常进程标签的样本进程行为特征图和标记有恶意进程标签的进程行为特征图训练得到的。

进一步地，所述根据安全日志内容，获取进程对应的可观测行为向量，包括：

根据安全日志内容，获取进程的行为特征；

将所述进程的行为特征映射为对应的个体行为向量；

根据所述进程的父子进程关系，通过所述个体行为向量，获取所述进程的可观测行为向量。

进一步地，所述将所述进程的行为特征映射为对应的个体行为向量，包括：

将进程的行为特征分为基本行为特征和扩展行为特征；

根据所述基本行为特征和扩展行为特征，获取所述进程的个体行为向量：

IBV_i＝p_i*p_i+s_i；

其中，IBV_i表示第i个进程的个体行为向量，p_i表示第i个进程中基本行为特征的数量，s_i表示第i个进程中扩展行为特征的数量。

进一步地，在所述将进程的行为特征分为基本行为特征和扩展行为特征之后，所述方法还包括：

通过逻辑运算符，对属于基本行为特征的进程行为进行逻辑运算，获取对应的二次联合行为特征，以根据所述二次联合行为特征和所述扩展行为特征得到个体行为向量。