一种定向进程的异常检测方法、装置及电子设备

本发明涉及网络安全，尤其涉及一种定向进程的异常检测方法、装置及电子设备。

背景技术：

1、定向进程保护的主要目标是确保专用业务的正常运行，防范潜在的安全威胁。

2、目前进程异常监测方法通常依赖于对系统调用序列的分析。这种方法通过追踪系统调用、构建正常操作行为的数据库或进行数据挖掘建模，将其作为异常检测的基准。在系统调用序列特征检测方面，有多种方法可供选择，包括n-gram、滑动窗口算法、词袋模型以及词频率逆文档频率(term frequency-inverse document frequency，tf-idf)等。

3、这些算法的缺点是需要对于系统调用序列进行精确的匹配，因此存在较高的处理器利用率，对资源的消耗相当庞大，并且也存在较高的漏报率和误报率。另一方面，虽然有些技术针对资源的异常检测，但仅从资源方面进行异常检测不能反映进程的实际情况，也就是说，针对系统调用的异常检测不能全面反映进程的实际情况。

技术实现思路

1、为了解决上述现有技术存在的问题，本发明提供一种定向进程的异常检测方法、装置及电子设备。

2、本发明提供一种定向进程的异常检测方法，包括：

3、选取定向进程最小观测事件集；

4、基于内核可观测技术，获取目标定向进程的最小观测事件集的观测结果；

5、将所述观测结果输入训练好的异常检测模型，得到所述目标定向进程对应的异常分数偏差值；

6、基于所述目标定向进程对应的异常分数偏差值，确定所述目标定向进程的异常检测结果；

7、其中，所述异常检测模型是根据所述目标定向进程在设定时长内的指标数据进行无监督训练得到的。

8、根据本发明提供的一种定向进程的异常检测方法，所述目标定向进程的最小观测事件集包含所述目标定向进程的系统调用接口、所述目标定向进程的进程资源、所述目标定向进程的进程页表情况和所述目标定向进程的进程调度情况。

9、根据本发明提供的一种定向进程的异常检测方法，所述选取目标定向进程的最小观测事件集，包括：

10、将系统调用接口按照功能进行分类，并按照安全威胁程度将各个类型的功能分为安全威胁高、安全威胁一般和无安全威胁三个等级；

11、基于安全威胁高的功能的系统调用接口，确定所述目标定向进程的最小观测事件集。

12、根据本发明提供的一种定向进程的异常检测方法，所述获取目标定向进程的最小观测事件集的观测结果，具体包括：

13、采集所述观测事件集中的各个观测事件的变化率；和/或，

14、采集所述观测事件集中的进程资源观测事件的变化率。

15、根据本发明提供的一种定向进程的异常检测方法，所述基于所述目标定向进程对应的异常分数偏差值，确定所述目标定向进程的异常检测结果，具体包括：

16、在所述目标定向进程对应的异常分数偏差值超过异常偏差阈值的情况下，根据所述观测事件集对应的异常分数偏差值从高到低进行排序，选取前n项观测事件作为所述目标定向进程的异常检测结果；其中，n为正整数；

17、在所述目标定向进程对应的异常分数偏差值不超过异常偏差阈值的情况下，判定所述目标定向进程正常。

18、本发明还提供一种定向进程的异常检测装置，包括：

19、选取模块，用于选取目标定向进程最小观测事件集；

20、获取模块，用于基于内核可观测技术，获取目标定向进程的最小观测事件集的观测结果；

21、检测模块，用于将所述观测结果输入训练好的异常检测模型，得到所述目标定向进程对应的异常分数偏差值；

22、异常判定模块，用于基于所述目标定向进程对应的异常分数偏差值，确定所述目标定向进程的异常检测结果；

23、其中，所述异常检测模型是根据所述目标定向进程在设定时长内的指标数据进行无监督训练得到的。

24、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述定向进程的异常检测方法。

25、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述定向进程的异常检测方法。

26、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述定向进程的异常检测方法。

27、本发明提供的一种定向进程的异常检测方法、装置及电子设备，通过根据目标定向进程在设定时长内的指标数据进行无监督训练得到异常检测模型，然后基于内核可观测技术获取目标定向进程的最小观测事件集的观测结果，将观测结果输入异常检测模型得到目标定向进程的异常分数偏差值，来确定目标定向进程的异常检测结果，从而可以精准且高效地实现定向进程的异常行为的检测，同时降低系统资源开销。

技术特征：

1.一种定向进程的异常检测方法，其特征在于，包括：

2.根据权利要求1所述的定向进程的异常检测方法，其特征在于，所述目标定向进程的最小观测事件集包含所述目标定向进程的系统调用接口、所述目标定向进程的进程资源、所述目标定向进程的进程页表情况和所述目标定向进程的进程调度情况。

3.根据权利要求1所述的定向进程的异常检测方法，其特征在于，所述选取目标定向进程的最小观测事件集，包括：

4.根据权利要求1至3任一所述的定向进程的异常检测方法，其特征在于，所述获取目标定向进程的最小观测事件集的观测结果，具体包括：

5.根据权利要求1所述的定向进程的异常检测方法，其特征在于，所述基于所述目标定向进程对应的异常分数偏差值，确定所述目标定向进程的异常检测结果，具体包括：

6.一种定向进程的异常检测装置，其特征在于，包括：

7.根据权利要求6所述的定向进程的异常检测装置，其特征在于，所述目标定向进程的最小观测事件集包含所述目标定向进程的系统调用接口、所述目标定向进程的进程资源、所述目标定向进程的进程页表情况和所述目标定向进程的进程调度情况。

8.一种电子设备，包括存储器、处理器及存储在所述存储器上并在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至5任一项所述定向进程的异常检测方法。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述定向进程的异常检测方法。

10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述定向进程的异常检测方法。

技术总结
本发明提供一种定向进程的异常检测方法、装置及电子设备，其中方法包括：选取目标进程最小观测事件集，基于内核可观测技术，获取目标定向进程的最小观测事件集的观测结果；将所述观测结果输入训练好的异常检测模型，得到所述目标定向进程对应的异常分数偏差值；基于所述目标定向进程的异常分数偏差值，确定所述目标定向进程的异常检测结果；其中，所述异常检测模型是根据所述目标定向进程在设定时长内的指标数据进行无监督训练得到的。从而可以精准且高效地实现定向进程的异常行为的检测，同时降低系统资源开销。

技术研发人员：夏豪骏,孙利民,张涛,马媛媛,涂碧波,宋站威,黄惠英,郑仁广,谢静怡
受保护的技术使用者：中国科学院信息工程研究所
技术研发日：
技术公布日：2024/9/23