【技术实现步骤摘要】
基于关系网络的主机入侵检测方法
本专利技术涉及网络空间安全领域,尤其是一种基于关系网络的主机入侵检测方法。
技术介绍
随着互联网的迅猛发展,给人们生活带来便利的同时,也使得网络空间安全环境日趋复杂。很多黑客们以主机作为攻击目标,进行大规模的入侵,且伴随着入侵病毒和入侵行为的多样化、复杂化、智能化、隐蔽化,使得主机入侵检测面临巨大的挑战。为处理以上难题,目前普遍采用深度神经网络方法进行主机入侵检测。深度神经网络在监督识别任务上取得了很好的成果,但是深度神经网络需要每个类有足够多且完全标注的数据,同时,面对不断出现新的入侵病毒和入侵行为,对于深度神经网络进行主机入侵检测引发了以下两个问题:一、由于高昂的标注样本代价,对于少量样本训练得到的模型,检测率较低,误报率较高;二、对于新出现的入侵病毒和入侵行为,原有模型不能识别,需要重新训练模型。以上引发的问题即少样本问题,为了解决少样本问题,研究人员发现人类非常擅长通过极少量的样本识别一个新物体,比如小孩子只需要书中的一些图片就可以认识什么是“斑马”,什么是“犀...
【技术保护点】
1.一种基于关系网络的主机入侵检测方法,其特征在于,包括:/n步骤1,对主机系统调用序列样本集进行特征化处理,得到样本集的属性矩阵和标签矩阵;/n步骤2,将经步骤1处理后的数据集划分为训练集、支持集和测试集;再将训练集划分为样例集和查询集,所述样例集和查询集分别对应测试时的支持集和测试集;/n步骤3,构建关系网络模型;所述关系网络模型包括嵌入模块、连接模块和关系模块;所述嵌入模块的输出经过连接模块进行特征处理后再输入关系模块;/n步骤4,定义关系网络模型的目标函数;/n步骤5,将样本集经过步骤1处理和步骤2划分后输入构建的关系网络模型,并利用步骤4确定的目标函数训练构建的关...
【技术特征摘要】
1.一种基于关系网络的主机入侵检测方法,其特征在于,包括:
步骤1,对主机系统调用序列样本集进行特征化处理,得到样本集的属性矩阵和标签矩阵;
步骤2,将经步骤1处理后的数据集划分为训练集、支持集和测试集;再将训练集划分为样例集和查询集,所述样例集和查询集分别对应测试时的支持集和测试集;
步骤3,构建关系网络模型;所述关系网络模型包括嵌入模块、连接模块和关系模块;所述嵌入模块的输出经过连接模块进行特征处理后再输入关系模块;
步骤4,定义关系网络模型的目标函数;
步骤5,将样本集经过步骤1处理和步骤2划分后输入构建的关系网络模型,并利用步骤4确定的目标函数训练构建的关系网络模型,得到主机入侵检测模型;
步骤6,将需要检测的主机系统调用序列经过步骤1后输入训练好的主机入侵检测模型进行主机入侵检测。
2.根据权利要求1所述的基于关系网络的主机入侵检测方法,其特征在于,步骤1包括如下子步骤:
步骤1.1,对样本集进行数值化;
步骤1.2,对数值化后的样本集进行特征化,得到一维特征矩阵;
步骤1.3,对一维特征矩阵进行扩维;
步骤1.4,对扩维后的一维特征矩阵中的特征值进行标准化;
步骤1.5,将标准化后的一维特征矩阵转换为二维矩阵,得到样本集的属性矩阵X;
步骤1.6,对样本集的样本标签采用One-Hot编码,得到标签矩阵Y。
3.根据权利要求1所述的基于关系网络的主机入侵检测方法,其特征在于,步骤1.2中采用词袋模型对数值化后的样本集进行特征化。
4.根据权利要求1所述的基于关系网络的主机入侵检测方法,其特征在于,步骤1.4中采用z-score标准化方法对扩维后的一维特征矩阵中的特征值进行标准化。
5.根据权利要求1所述的基于关系网络的主机入侵检测方法,其特征在于,所述嵌入模块包括四个卷积块(Convolutionalblock)和两个2*2最大池化层,其结构依次为:卷积块、2*2最大池化层、卷积块、2*2最大池化层、卷积块、卷积块;其中,每个卷积块是由64个3*3的卷积核、1个批正则化层和1个线性整流层组成;
所述嵌入模块对输入的样本进行的操作如下:
其中,xi表示嵌入模块的输入,即第i个样本;为嵌入模块对样本xi进行特征映射操作后得到的特征,为嵌入模块要学习的参数。
6.根据权利要求1所述的基于关系网络的主机入侵检测方法,其特征在于,步骤3中所述连接模块进行特征处理的方法为:将所有输入的样例集/支持集和查询集/测试集的样本进行一一拼接,形成特征连接对;形成拼接对的过程为:
其中,con表示...
【专利技术属性】
技术研发人员:周世杰,杨晓庆,刘启和,程红蓉,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。