系统调用行为序列降维方法、系统、设备和存储介质技术方案

本发明专利技术涉及计算机安全技术领域，特别涉及一种基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质，该方法包括：撷取系统调用行为模式并得到系统调用行为模式对应的参数；当获得一组长度为W的系统调用行为序列时，根据词向量编码模型对系统调用行为序列进行降维处理，以获得维度为预设维度N的系统调用行为词向量序列；对N维的系统调用行为词向量序列进行平均运算，以获得系统调用行为模式特征词向量F。该基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质，能够自动撷取具代表性的序列特征，有效降低系统调用行为序列的维度，可提升后续进行机器学习的准确度及演算速率。

Methods, systems, devices and storage media for dimensionality reduction of system call behavior sequences

【技术实现步骤摘要】
系统调用行为序列降维方法、系统、设备和存储介质
本专利技术涉及计算机安全
，特别涉及一种基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质。
技术介绍
目前市面上大部分对于异常系统调用入侵检测产品的防御手法仅能针对已经被清楚分析且了解的网路攻击行为，以人为定义规则库的方式来加以侦测，而一些经由变形方式或针对现有攻击做小幅度修改的攻击手法，往往成为异常系统调用入侵检测的弱点之一，更遑论对于未知攻击而言，此类侦测方式更可说毫无招架之力。另外一种基于人工智能的异常系统调用入侵检测产品，是以OneClassSVM（异常检测）为主体去自动归纳正常用户或是正常程序的行为模式，如未来发生任何明显偏离正常行为的活动都被视为是入侵。采取此种设计模式的好处，乃是系统安全人员不需经常更新入侵攻击的行为样式，亦可以侦测到未知的攻击，故此种入侵检测方式于近年来被广泛运用。但随着大数据及人工智能时代的来临，以OneClassSVM有效的归纳正常用户或是正常程序的行为模式，在嵌入式系统或芯片的实作上将变得越来越困难，主因是系统调用行为序列的本文档来自技高网...

【技术保护点】
1.一种基于词向量的系统调用行为序列降维方法，其特征在于，包括：/n每间隔预设单位时长，撷取一个特定程序当下的系统调用行为模式；/n根据预设数值对应关系，得到所述系统调用行为模式对应的参数；当所述参数的累积个数大于或等于预设个数阈值W时，获得一组长度为W的系统调用行为序列；/n根据词向量编码模型对所述系统调用行为序列进行降维处理，以获得维度为预设维度N的系统调用行为词向量序列；其中，N<W，所述词向量编码模型为基于神经网络初始化的对应所述系统调用行为序列的词向量编码模型；/n对N维的所述系统调用行为词向量序列进行平均运算，以获得系统调用行为模式特征词向量F。/n

【技术特征摘要】
1.一种基于词向量的系统调用行为序列降维方法，其特征在于，包括：
每间隔预设单位时长，撷取一个特定程序当下的系统调用行为模式；
根据预设数值对应关系，得到所述系统调用行为模式对应的参数；当所述参数的累积个数大于或等于预设个数阈值W时，获得一组长度为W的系统调用行为序列；
根据词向量编码模型对所述系统调用行为序列进行降维处理，以获得维度为预设维度N的系统调用行为词向量序列；其中，N<W，所述词向量编码模型为基于神经网络初始化的对应所述系统调用行为序列的词向量编码模型；
对N维的所述系统调用行为词向量序列进行平均运算，以获得系统调用行为模式特征词向量F。


2.根据权利要求1所述的基于词向量的系统调用行为序列降维方法，其特征在于：
所述每间隔预设单位时长，撷取一个特定程序当下的系统调用行为模式，包括：预先定义T=1为撷取特定程序当下的系统调用行为模式的初始时间，每间隔预设单位时长对应撷取一个所述系统调用行为模式；
所述当所述参数的累积个数大于或等于预设个数阈值W时，获得一组长度为W的系统调用行为序列，包括：重复撷取所述特定程序当下的系统调用行为模式直到T=W时，得到一组长度为W的系统调用行为序列。


3.根据权利要求1所述的基于词向量的系统调用行为序列降维方法，其特征在于，所述降维处理包括训练过程和编码过程；所述词向量编码模型包括编码器和译码器；
所述训练过程包括：通过独热编码算法，将W维的所述系统调用行为序列转化成独热编码格式的V维序列，将若干个长度为V的所述V维序列通过所述词向量编码模型进行训练，直到训练准确度大于或等于预设标准门坎值时，获得并保存训练结果；
所述编码过程包括：输入所述V维序列，通过所述编码器将所述V维序列编码为维度为预设维度N的系统调用行为词向量序列；通过所述译码器将所述系统调用行为词向量序列还原成V维向量，以便用所述V维向量表示各个词汇在独热编码周围可能出现的几率。


4.根据权利要求3所述的基于词向量的系统调用行为序列降维方法，其特征在于，所述对N维的所述系统调用行为词向量序列进行平均运算，以获得系统调用行为模式特征词向量F包括：重复所述编码过程直到获得S组长度为N的所述系统调用行为词向量序列，对所述S组长度为N的所述系统调用行为词向量序列进行平均运算，得到一组长度为N的系统调用行为模式特征词向量F，以便用所述系统调用行为模式特征词向量F代表所述系统调用行为序列的隐藏特征，其中，S为本次系统调用行为序列的总长度。


5.一种基于词向量的系统调用行为序列降维系统，其特征在于，包括：
系统调用行为模式感测模块，用于每间隔预设单位时长，撷取一个特定程序当下的系统调用行为模式；
系统调用行为模式数值对应模块，用于根据预设数值对应关系，得到所述系统调用行为模式对应的参数；当所述参数的累积个数大于或等于预设个数阈值W时，获得一组长度为W的系统调用...

【专利技术属性】
技术研发人员：不公告发明人，
申请(专利权)人：网御安全技术深圳有限公司，
类型：发明
国别省市：广东;44