[发明专利]一种基于元学习的远程访问木马智能分析方法

说明书

本发明公开了一种基于元学习的远程访问木马智能分析方法，包括获取应用数据集；定义元任务；元任务训练得到行为样本；根据所述恶意程序样本和合法程序样本对应的行为样本统计得到各个行为样本的行为向量；利用各个行为样本的行为向量对GMMs模型进行训练，训练确定最终的K值以及聚簇中心和大小；利用训练后的GMMs模型对待分析的在线程序进行检测。本发明构建基于元学习算法，利用高斯混合模型、欧氏距离和动态行为特征的RAT恶意程序智能分析检测模型，模仿安全专家学习、判断恶意程序的过程，利用动态行为特征构建程序行为向量，实现针对RAT的高效、精准检测。

技术领域

本申请属于信息安全技术领域，具体涉及一种基于元学习的远程访问木马智能分析方法。

背景技术

目前，网络安全形势已进入崭新的时代，面向各种新的战场和市场，需要新的架构、新的方法来支撑应对越来越多艰巨的任务，而大力发展信息系统安全检测和验证技术，特别是发展针对高级网络攻击的智能检测分析技术，实现信息系统的安全可控，以寻求在网络空间对抗中的领先地位已迫在眉睫。

当前的恶意文件与恶意程序检测方法无法适应高级网络攻击复杂多变的特点。主要表现在：一方面，恶意文件/程序的样本数量稀少，难以获得。另一方面，恶意文件/程序的变式多，检测困难。尽管学术界和工业界对高级网络攻击智能分析发现提出了一系列的解决方案(如特征检测方案、异常检测方案、大数据分析方案等)，但是高级网络攻击的多样性、隐蔽性和样本稀缺性给检测带来了极大的困难，主要表现在：

在终端主机侧，远程访问木马(Remote Access Trojan，RAT)攻击工具难以收集且对恶意行为的表现能力有限。其多掌握于黑客和攻击组织手中，另外包括Symantec等安全公司收集到的RAT样本多为被控制端，无法主动触发动态行为，因而无法生成足量动态执行训练数据。因此，如何构建基于元学习(Learning to Learn)算法的RAT智能分析模型，模仿安全专家学习、判断恶意程序的过程，利用动态行为特征构建程序行为特征向量，实现针对RAT的检测，是面向高级网络攻击的样本增强及智能分析方法研究中的一个关键科学问题。

发明内容

本申请的目的在于提供一种基于元学习的远程访问木马智能分析方法，实现针对RAT的高效、精准检测。

为实现上述目的，本申请所采取的技术方案为：

一种基于元学习的远程访问木马智能分析方法，所述基于元学习的远程访问木马智能分析方法，包括：

步骤1、获取应用数据集，应用数据集包含恶意程序样本和合法程序样本；

步骤2、定义元任务包括：下载执行、远程Shell、键盘记录、获取密码、远程摄像头、访问网址、计算机控制、系统信息、录音、服务管理器、脚本执行、CD-Rom控制、枚举窗口、剪贴板管理、桌面任务栏管理、DDos、网络连接表、软件管理、显示器控制、语音转换、自启动管理、USB管理、搜索文件、文件传送；

步骤3、元任务训练得到行为样本，包括：从恶意程序样本和合法程序样本中提取元任务并记录运行时元任务对应的动态行为特征作为行为样本；

步骤4、根据所述恶意程序样本和合法程序样本对应的行为样本构建各个行为样本的行为向量；

步骤5、利用各个行为样本的行为向量对GMMs模型进行训练，训练确定最终的K值以及聚簇中心和大小；

步骤6、利用训练后的GMMs模型对待分析的在线程序进行检测，包括：

步骤6.1、利用已定义的元任务，实时匹配在线程序运行时的动态行为特征；

步骤6.2、根据在线程序匹配后的动态行为特征构建在线程序的行为向量；

步骤6.3、将在线程序的行为向量输入训练后的GMMs模型，GMMs模型根据行为向量分为不同聚簇以及明显的离群点；