公开(公告)号：CN118199998A

公开(公告)日：2024-06-14

申请号：CN202410392645.8

申请日：2024-04-02

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  曹旭 ,  赵力欣 ,  蔡利君 ,  孟丹

IPC: H04L9/40 ,  G06N5/01 ,  G06N5/047 ,  G06F16/903

Abstract: 本发明涉及一种基于有限自动机的行为识别与采集方法及系统，其方法包括：S1：执行预设的脚本文件，生成对应的行为模式集合；S2：利用最长公共前后缀的特性在O(n)时间复杂度内，求得每个行为模式中多文件操作；S3：定义改进的有限自动机；根据有向带环图模型，将行为模式集合中的每个行为模式，按照步骤S2获取重复操作并构造为环，添加到有向带环图中；步骤S4：使用DFA算法，将进程中文件操作相关的系统调以序列形式按照自动机规则进行匹配，得到进程行为；同时，监控文件系统相关的内核函数，根据进程的执行状态获取详细的文件信息，对进程行为的信息进行补充丰富。本发明提供的方法可高效地产生富含行为语义的高质量日志。