【技术实现步骤摘要】
一种主机异常检测中系统调用数据的特征提取方法
本专利技术涉及主机异常检测领域的系统调用数据的特征提取
,具体涉及一种主机异常检测中系统调用数据的特征提取方法。
技术介绍
异常检测是保护用户数据的重要技术,例如入侵检测系统旨在检测异常入侵行为,保障通信安全。一旦检测到异常行为,就会出发警报,并且系统将阻止异常行为。异常检测系统可分为基于主机数据的异常检测和基于网络流量数据的异常检测。本专利技术方法主要针对主机的系统调用(Systemcall)数据。在系统调用数据上的特征提取可划分为基于短序列(shortsequence)、基于频率(frequency)和混合方法。在基于短序列方法中,Greech和Hu(CreechG,HuJ.Asemanticapproachtohost-basedintrusiondetectionsystemsusingcontiguousanddiscontiguoussystemcallpatterns.IEEETransactionsonComputers2014;63(4):807-819)...
【技术保护点】
1.一种主机异常检测中系统调用数据的特征提取方法,其特征在于,包括下述步骤:/nS1、获取应用程序在运行期间的系统调用序列记录,在每个系统调用序列记录上,提取系统调用的n-gram数值序列;/nS2、在每个系统调用序列记录上,基于提取的n-gram数值序列,获得n-gram频数序列;/nS3、在每个n-gram频数序列上,进行K个统计计算,将K个统计值组成特征值向量。/n
【技术特征摘要】
1.一种主机异常检测中系统调用数据的特征提取方法,其特征在于,包括下述步骤:
S1、获取应用程序在运行期间的系统调用序列记录,在每个系统调用序列记录上,提取系统调用的n-gram数值序列;
S2、在每个系统调用序列记录上,基于提取的n-gram数值序列,获得n-gram频数序列;
S3、在每个n-gram频数序列上,进行K个统计计算,将K个统计值组成特征值向量。
2.根据权利要求1所述的一种主机异常检测中系统调用数据的特征提取方法,其特征在于,步骤S1中,所述n-gram是在一个系统调用序列中,由连续的n个系统调用组成;所述提取系统调用的n-gram数值序列,针对某个系统调用序列,具体包括下述步骤:
步骤S11、提取序列中的1-gram元素,即每个系统调用值;
步骤S12、提取序列中的2-gram元素,即每两个相邻的系统调用值;
步骤S13、提取序列中的3-gram元素,即每三个相邻的系统调用值;
步骤S14、将1-gram、2-gram、3-gram中的唯一元素值分别组成1-gram数值序列V(1)=<v(1)1,v(1)2,…,v(1)n1>、2-gram数值序列V(2)=<v(2)1,v(2)2,…,v(2)n2>和3-gram数值序列V(3)=<v(3)1,v(3)2,…,v(3)n3>,其中,n-gram数值序列下标n1、n2和n3分别表示1-gram、2-gram和3-gram的唯一元素值个数;v(1)n1、v(2)n2和v(3)n3分别表示第n1个1-gram,第n2个2-gram和第n3个3-gram元素值。
3.根据权利要求1所述的一种主机异常检测中系统调用数...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。