基于图像和机器学习的虚拟化平台异常检测

doi:10.3969/j.issn.1671-1122.2020.09.019

信息网络安全 ›› 2020, Vol. 20 ›› Issue (9): 92-96.doi: 10.3969/j.issn.1671-1122.2020.09.019

基于图像和机器学习的虚拟化平台异常检测

王湘懿¹^,², 张健¹^,²()

1. 南开大学网络空间安全学院,天津 300350
2. 天津市网络与数据安全技术重点实验室,天津 300350

收稿日期:2020-07-16 出版日期:2020-09-10 发布日期:2020-10-15
通讯作者: 张健 E-mail:jeffersonzj@qq.com
作者简介:王湘懿（1999—）,女,辽宁,硕士研究生,主要研究方向为云安全、网络安全、系统安全|张健（1968—）,男,天津,正高级工程师,博士,主要研究方向为云安全、网络安全、系统安全
基金资助:
天津市重点研发计划(20YFZCGX00680);天津市科技重大专项与工程(19ZXZNGX00090)

Abnormal Behavior Detection of Virtualization Platform Based on Image and Machine Learning

WANG Xiangyi¹^,², ZHANG Jian¹^,²()

1. College of Cyber Science, Nankai University, Tianjin 300350, China
2. Tianjin Key Laboratory of Network and Data Security Technology, Tianjin 300350, China

Received:2020-07-16 Online:2020-09-10 Published:2020-10-15
Contact: Jian ZHANG E-mail:jeffersonzj@qq.com

摘要/Abstract

摘要：

文章提出一种基于机器学习的虚拟化平台异常行为动态检测方法,该方法依托虚拟化平台,提取正常程序和恶意软件运行过程中的系统内存并转储为文件,将其中的部分信息经SimHash提取形成灰度图像并采用局部二值模式（LBP）进行描述,得到图像的纹理特征,再利用图像的纹理特征训练构建的卷积神经网络,通过生成的模型判断虚拟化平台是否存在异常行为。实验表明,虚拟化平台异常检测率可以达到97.5%,能够有效发现云攻击事件。

关键词: 云计算, 虚拟化, 卷积神经网络, 图像特征, 异常行为检测

Abstract:

This paper proposes a method for dynamically detecting abnormal behavior of a virtualization platform based on machine learning. This method relies on the virtualization platform, extracted the system memory during normal program and malware running and dumps it into a file, extracted part of the information through SimHash to form a grayscale image and used local binary mode(LBP) to describe the texture features of the image. The features of image are used to train the constructed convolutional neural network, and the generated model determines whether the virtualization platform has abnormal behavior. Experiments show that the detection rate of virtualization platform can reach 97.5%, which can effectively detect cloud attack events.

Key words: cloud computing, virtualization, convolutional neural network, image feature, abnormal behavior detection

中图分类号:

TP309

王湘懿, 张健. 基于图像和机器学习的虚拟化平台异常检测[J]. 信息网络安全, 2020, 20(9): 92-96.

WANG Xiangyi, ZHANG Jian. Abnormal Behavior Detection of Virtualization Platform Based on Image and Machine Learning[J]. Netinfo Security, 2020, 20(9): 92-96.

图/表 7

图1

图2

图3

图4

表1

图5

表2

参考文献 13

[1]	National Internet Emergency Center. China's Internet Network Security Situation in the First Half of 2019[EB/OL]. http://www.cac.gov.cn/2019-08/13/c_1124871484.htm, 2020-6-1.
	国家互联网应急中心. 2019年上半年我国互联网网络安全态势[EB/OL]. http://www.cac.gov.cn/2019-08/13/c_1124871484.htm, 2020-6-1.
[2]	BAEK H W, SRIVASTAVA A, DER MERWE J V, et al. CloudVMI: Virtual Machine Introspection as a Cloud Service[C]// IEEE. IEEE International Conference on Cloud Engineering, March 11-14, 2014, Washington, DC, USA. New Jersey: IEEE, 2014: 153-158.
[3]	GARFINKEL T, ROSENBLUM M. A Virtual Machine Introspection Based Architecture for Intrusion Detection[EB/OL]. https://suif.stanford.edu/papers/vmi-ndss03.pdf, 2020-6-1.
[4]	NANCE K, BISHOP M, HAY B. Virtual Machine Introspection: Observation or Interference[J]. IEEE Security & Privacy Magazine, 2008,6(5):32-37.
[5]	PFOH J, SCHNEIDER C, ECKERT C. A Formal Model for Virtual Machine Introspection[EB/OL]. http://www.cs.jhu.edu/~sdoshi/jhuisi650/papers/spimacs/SPIMACS_CD/vmsec/p1.pdf, 2020-6-1.
[6]	LI Baohui, XU Kefu, ZHANG Peng, et al. Research and Application Progress of Virtual Machine Introspection Technology[J]. Journal of Software, 2016,27(6):1384-1401.
	李保珲, 徐克付, 张鹏, 等. 虚拟机自省技术研究与应用进展[J]. 软件学报, 2016,27(6):1384-1401.
[7]	SCHULTZ M G, ESKIN E, ZADOK F, et al. Data Mining Methods for Detection of New Malicious Executables[EB/OL]. http://cseweb.ucsd.edu/~eeskin/papers/binaryeval-ieeesp01.pdf, 2020-6-1.
[8]	CONTI G, BRATUS S, SHUBINA A, et al. Automated Mapping of Large Binary Objects Using Primitive Fragment Type Classification[EB/OL]. https://dl.acm.org/doi/10.1016/j.diin.2010.05.002, 2020-6-1.
[9]	VASAN D, ALAZAB M, WASSAN S, et al. IMCFN: Image-based Malware Classification Using Fine-tuned Convolutional Neural Network Architecture[EB/OL]. https://www.sciencedirect.com/science/article/abs/pii/S1389128619304736, 2020-6-1.
[10]	NI Sang, QIAN Quan, ZHANG Rui. Malware Identification Using Visualization Images and Deep Learning[EB/OL]. https://www.sciencedirect.com/science/article/pii/S0167404818303481, 2020-6-1.
[11]	DAI Yusheng, LI Hui, QIAN Yekui, et al. A Malware Classification Method Based on Memory Dump Grayscale Image[J]. Digital Investigation, 2018,27(12):30-37. doi: 10.1016/j.diin.2018.09.006 URL
[12]	OJALA T, PIETIKINEN M, HARWOOD D. A Comparative Study of Texture Measures with Classification Based on Featured Distributions[J]. Pattern Recognition the Journal of the Pattern Recognition Society, 1996,29(1):51-59.
[13]	BAMS D, LEHNERT T, WOLFF C P. Loss Functions in Option Valuation: A Framework for Selection[J]. Management Science, 2009,55(5):853-862. doi: 10.1287/mnsc.1080.0976 URL

种类	数量
木马	15
后门软件	30
广告软件	38
蠕虫	17

方法	accuracy	precision	recall
Inception V3+SimHash +LBP+大数据集	80%	73.07%	95%
InceptionV3+SimHash	97.5%	95.24%	100%
InceptionV3+SimHash +HOG	90%	100%	80%
InceptionV3+SimHash +LBP	90%	86.36%	95%

[1]	李桥, 龙春, 魏金侠, 赵静. 一种基于LMDR和CNN的混合入侵检测模型[J]. 信息网络安全, 2020, 20(9): 117-121.
[2]	刘静, 张学谦, 刘全明. 混合Gabor的轻量级卷积神经网络的验证码识别研究[J]. 信息网络安全, 2020, 20(7): 77-84.
[3]	边曼琳, 王利明. 云环境下Docker容器隔离脆弱性分析与研究[J]. 信息网络安全, 2020, 20(7): 85-95.
[4]	张蕾华, 黄进, 张涛, 王生玉. 视频侦查中人像智能分析应用及算法优化[J]. 信息网络安全, 2020, 20(5): 88-93.
[5]	王蓉, 马春光, 武朋. 基于联邦学习和卷积神经网络的入侵检测方法[J]. 信息网络安全, 2020, 20(4): 47-54.
[6]	刘渊, 乔巍. 云环境下基于Kubernetes集群系统的容器网络研究与优化[J]. 信息网络安全, 2020, 20(3): 36-44.
[7]	荆涛, 万巍. 面向属性迁移状态的P2P网络行为分析方法研究[J]. 信息网络安全, 2020, 20(1): 16-25.
[8]	白嘉萌, 寇英帅, 刘泽艺, 查达仁. 云计算平台基于角色的权限管理系统设计与实现[J]. 信息网络安全, 2020, 20(1): 75-82.
[9]	任良钦, 王伟, 王琼霄, 鲁琳俪. 一种新型云密码计算平台架构及实现[J]. 信息网络安全, 2019, 19(9): 91-95.
[10]	余奕, 吕良双, 李肖坚, 王天博. 面向移动云计算场景的动态网络拓扑描述语言[J]. 信息网络安全, 2019, 19(9): 120-124.
[11]	王紫璇, 吕良双, 李肖坚, 王天博. 基于共享存储的OpenStack虚拟机应用分发策略[J]. 信息网络安全, 2019, 19(9): 125-129.
[12]	崔艳鹏, 冯璐铭, 闫峥, 蔺华庆. 基于程序切片技术的云计算软件安全模型研究[J]. 信息网络安全, 2019, 19(7): 31-41.
[13]	葛新瑞, 崔巍, 郝蓉, 于佳. 加密云数据上支持可验证的关键词排序搜索方案[J]. 信息网络安全, 2019, 19(7): 82-89.
[14]	田春岐, 李静, 王伟, 张礼庆. 一种基于机器学习的Spark容器集群性能提升方法[J]. 信息网络安全, 2019, 19(4): 11-19.
[15]	赵谱, 崔巍, 郝蓉, 于佳. 一种针对El-Gamal数字签名生成的安全外包计算方案[J]. 信息网络安全, 2019, 19(3): 81-86.

基于图像和机器学习的虚拟化平台异常检测

Abnormal Behavior Detection of Virtualization Platform Based on Image and Machine Learning

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 7

参考文献 13

相关文章 15

编辑推荐

Metrics

本文评价