【技术实现步骤摘要】
一种操作系统的时序异常操作行为检测方法
本专利技术涉及服务器运维、网络安全和信息压缩领域,具体提供一种操作系统的时序异常操作行为检测方法。
技术介绍
随着计算机技术的高速发展,许多数据被部署在服务器中,其中不乏有一些私密的、敏感的数据,其安全问题日益严峻,需要面对层出不穷的入侵威胁。一味的加密数据、加固对数据的防御只能被动的抵抗,因此需要主动地对异常行为进行识别。不但防止本地操作出现问题,也会对抵御外网的异常攻击起到帮助作用。导致操作系统出现问题的一系列操作可被认为是一些异常的行为、流量、设备等,因此,可以将某些行为定义为异常标本。传统的异常检测需要大量数据进行训练,但操作的信息收集和更新相对困难,维护特征库的工作量巨大,统计模型难以建立。对于新型的入侵方式识别困难,存在漏报误报的缺点。
技术实现思路
本专利技术是针对上述现有技术的不足,提供一种实用性强的操作系统的时序异常操作行为检测方法。本专利技术解决其技术问题所采用的技术方案是:一种操作系统的时序异常操作行为检测方法,基于自编...
【技术保护点】
1.一种操作系统的时序异常操作行为检测方法,其特征在于,基于自编码器的神经网络结构,包含encoder部分和decoder部分,对于时序数据使用卷积的方式,encoder部分通过神经网络逐层设置收敛的卷积个数,将数据的维度降低,即可得到数据的低位且高效的表达;/n再经过decoder部分将数据还原,将还原的数据与输入的数据计算误差;/n然后,设置一个阈值T,对正常操作系统行为信息进行无监督的学习,并对新操作数据持续进行编解码,当解码误差大于阈值T时,即可判断为异常的操作行为。/n
【技术特征摘要】
1.一种操作系统的时序异常操作行为检测方法,其特征在于,基于自编码器的神经网络结构,包含encoder部分和decoder部分,对于时序数据使用卷积的方式,encoder部分通过神经网络逐层设置收敛的卷积个数,将数据的维度降低,即可得到数据的低位且高效的表达;
再经过decoder部分将数据还原,将还原的数据与输入的数据计算误差;
然后,设置一个阈值T,对正常操作系统行为信息进行无监督的学习,并对新操作数据持续进行编解码,当解码误差大于阈值T时,即可判断为异常的操作行为。
2.根据权利要求1所述的一种操作系统的时序异常操作行为检测方法,其特征在于,分为以下步骤:
1)正常、异常行为数据的收集与处理;
2)搭建神经网络架构;
3)用正常数据训练,得到新数据后编码、解码;
4)计算误差,判断是否为异常操作行为。
3.根据权利要求1或2所述的一种操作系统的时序异常操作行为检测方法,其特征在于,在步骤1)中,首先在操作系统建立日志记录机制,将固定时间间隔的操作记录下来,定义每种要记录的操作。
4.根据权利要求3所述的一种操作系统的时序异常操作行为检测方法,其特征在于,要记录的操作为单击、双击、右击、鼠标移动、拖拽、访问目录、打开应用、访问网页、下载的内容、消耗的流量、后台调用的线程、CPU、GPU内存、硬盘的占用率和读写。
5.根据权利要求4所述的一种操作系统的时序异常操作行为检测方法,其特征在于,将定义的操作进行Onehotencoding,即假设有m种操作,定义一个m维布尔向量,每种定义过的操作和行为都有固定位置的布尔值,出现的操作和行为布尔值为1,否则为0;
收集n个固定时间的操作或者阶段性的操作日志构建操作矩阵,所述矩阵列是m种操作,矩阵行是n条收集到的样本,收集多...
【专利技术属性】
技术研发人员:段强,李锐,金长新,
申请(专利权)人:济南浪潮高新科技投资发展有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。