(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111653950.0 (22)申请日 2021.12.3 0 (71)申请人 杭州电子科技大 学 地址 310018 浙江省杭州市下沙高教园区2 号大街 (72)发明人 许艳萍　吴雨衡　赵一伟　陈孙为　 余作诚　陈政　仇建　 (74)专利代理 机构 杭州君度专利代理事务所 (特殊普通 合伙) 33240 代理人 杨舟涛 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于进程行为序列分片的恶意软件智 能云检测系统 (57)摘要 本发明公开了一种基于进程行为序列分片 的恶意软件智能云检测系统， 由客户端、 云端和 智能检测系统组成。 在客户端对主机上的进程行 为进行监控， 并生成日志发向云端； 在云端对进 程行为日志数据进行解析、 存储、 统计和可视化； 在智能检测平台， 根据一个行为的完整表征， 将 行为数据进行分片， 生成数据集， 再基于机器学 习算法建立检测模型， 对客户端主机的安全情况 做出判断； 云端再将收集到的数据和 智能检测过 程和结果进行整合， 形成表或图提供数据可视化 服务。 本系统的优势在于采用动态检测方式， 实 时性强； 基于机器学习智 能检测， 具有高效精准 特性； 云端数据全景可视化， 全面展示数据的内 容和检测过程， 让恶意软件无处遁形。 权利要求书1页 说明书5页 附图1页 CN 114338188 A 2022.04.12 CN 114338188 A 1.一种基于进程行为序列分片的恶意软件智能云检测系统， 其特征在于： 包括面向用 户主机的客户端进程行为数据采集模块， 面向云端的进程行为可视化分析模块和基于机器 学习的智能检测模块； 所述进程行为数据采集模块用于采集用户 主机的进程行为信息， 包括进程的属性信 息、 API调用序列及环境数据； 然后 将采集到的进程行为信息按照预定义的格式存储到日志 文件中， 以一定的通讯频率， 将日志文件发送到进程行为可视化分析模块； 所述进程行为可视化分析模块用于周期性地接收进程行为数据采集模块上传的日志 文件， 并且解析日志文件， 提取进程行为数据存储到数据库中， 并对进程行为数据以及检测 结果进行实时可视化展示； 所述基于机器学习的智能检测模块获取数据库中存储的进程行为数据后， 基于一个行 为的完整表征， 对API调用序列按照进程序列集合进 行分片， 然后统计每一个切片中出现的 进程以及每个API被调用的次数， 最后将一个切片的统计结果作为一条数据， 形成数据集； 选择机器学习算法构建检测模型， 利用分片得到的数据集进行模型训练， 然后使用训练好 的模型进行 数据预测， 判断用户主机是否被恶意软件攻击 。 2.如权利要求1所述一种基于进程行为序列分片的恶意软件智能云检测系统， 其特征 在于： 所述进程行为数据采集模块通过基于系统命令和驱动监控的方式获取进程的多维度 属性信息， 包括进程ID、 路径、 状态、 内存占用和网络流量； 通过基于HOOK和DLL结合的方式 提取进程系统级API调用序列， 实时反应进程正在执行的行为； 通过驱动监控的方式实时获 取进程运行时的系统环境数据， 包括内存占用率和上 下行网速。 3.如权利要求1或2所述一种基于进程行为序列分片的恶意软件智能云检测系统， 其特 征在于： API调用序列的提取包括以下步骤： 1)DLL线程注入： 进程在加载DLL时， 为DLL分配空间， 并且执行DLLmain函数， 所述 DLLmain函数地址是相对固定的； 当进程 成功加载DLL后， 对目标的函数进行修改， 转入目标 API的函数入口， 修改目的代码段， 完成APIHO OK； 2)目标函数劫持： 在完成DLL线程注入之后， 锁定要监控的API， 修改目标API地址下的 代码段， 跳转到目标函数； 并在目标函数完成后， 恢复现场， 再转回执行原API函数； 在这个 过程中， 填入需要监控的API列表， 即可完成API记录和监控API 函数参数。 4.如权利要求1所述一种基于进程行为序列分片的恶意软件智能云检测系统， 其特征 在于： 所述实时可视化展示包括直接可视化和图表可视化， 直接可视化将数据库中的数据 直接显示， 图表可视化将进程行为数据进行统计分析后， 再以饼图或折线图的图表形式显 示。 5.如权利要求1所述一种基于进程行为序列分片的恶意软件智能云检测系统， 其特征 在于： 所述机器学习算法为对决策树、 支持向量机、 卷积神经网络和对抗 生成网络 。权　利　要　求　书 1/1 页 2 CN 114338188 A 2一种基于进程行为 序列分片的恶 意软件智能云检测系统 技术领域 [0001]本发明属于网络安全技术领域， 涉及恶意软件检测和主机安全防护， 尤其是涉及 到一种基于进程行为序列分片的恶意软件智能云检测系统。 背景技术 [0002]随着现代信息和互联网技术的进步和飞速发展， 人们的日常工作、 学习和生活越 来越离不开互联网。 而恶意软件己成为互联网安全的主要威胁之一， 甚至威胁到 国家的安 全。 恶意软件一直是广泛存在的网络安全问题， 自其诞生以来就处于迅速发展的状态， 并由 此衍生出复杂且成熟的网络犯罪产业， 形成庞大的网络犯罪生态系统， 并从网络走向现实， 对教育、 医疗、 金融、 能源等多个行业造成严重的影响。 其所直接或间接造成的数据损坏、 业 务中断、 企业声誉损害、 生产力停滞、 经济损失等损害甚至影响国家经济发展。 而如今恶意 软件的新趋势， 给全球疫情防疫增大难度的同时， 也为各个国家的公共安全埋下隐患。 因 此， 对于恶意软件的有效检测 和防范势在 必行。 [0003]随着恶意软件的日益增多， 传统的基于静态特征码的恶意软件检测方法早己无法 有效应对这些复杂的情况， 因此主要的反病毒供应商都在朝着机器学习方法靠拢， 以求跟 上不断变化的危险环境。 机器学习 具有强大 的数据学习能力和可扩展优势， 用不断优化的 机器学习技术来提高恶意软件检测能力， 已经成为网络安全检测的重要方面。 恶意软件的 特征提取是检测过程中至为关键的一步， 提取特征的好坏直接影响着恶意软件检测的效 果。 恶意软件程序提取的特征主要分为两大类： 语法特征和语义特征。 其中语法特征主要 有： 原始代码、 抽象语法树、 变量、 指令基本块、 指针、 进程、 控制流图、 调用图以及对象继承 和依赖关系。 语义特征主要包括： API调用序列、 数据流、 程序 依赖图和系统依赖图。 API是一 个应用程序与操作系统之间的调用接口， API调用序列能够反应一个应用程序对系统资源 的操作行为， 因此基于API的动态行为是恶意软件检测的优秀特 征。 发明内容 [0004]针对现有技术的不足， 本发明提出了一种基于进程行为序列分片的恶意软件智能 云检测系统， 基于一个行为的完整表征， 对API序列按照进程序列集合进行分片， 形成数据 集， 再基于机器学习算法， 建立检测模型， 对客户端主机的安全情况做出评估， 提高了恶意 软件检测的精准 性和实时性。 [0005]一种基于进程行为序列分片的恶意软件智能云检测系统， 包括面向用户主机的客 户端进程行为数据采集模块， 面向云端的进程行为可视化分析模块和基于机器学习的智能 检测模块。 [0006]所述进程行为数据采集模块用于采集用户主机的进程行为信息， 包括进程的属性 信息、 API调用序列及环境数据。 将采集到的进程行为信息按照预定义的格式存储到日志文 件中， 间隔一定时间， 将日志文件发送到进程行为可视化分析模块。 [0007]具体的， 通过基于系统命令和驱动监控的方式获取进程的多维度属性信息， 包括说　明　书 1/5 页 3 CN 114338188 A 3