一种异常行为检测方法、装置及电子设备制造方法及图纸

本申请公开了一种异常行为检测方法，包括：获取待检测设备的系统调用序列；将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果；异常行为检测模型基于调用序列样本训练得到，该模型包括双向长短期记忆层，双向长短期记忆层的细胞变体的遗忘门的输出基于历史系统调用序列的第一信息、历史系统调用序列的第二信息以及待检测设备的系统调用序列确定，双向长短期记忆层的细胞变体的输入门的输出基于遗忘门的输出确定，第一信息包括历史系统调用序列的历史时刻的隐层状态信息，第二信息包括历史系统调用序列的历史时刻的细胞状态信息；基于输出结果，确定待检测设备是否存在异常行为调用。是否存在异常行为调用。是否存在异常行为调用。

【技术实现步骤摘要】
一种异常行为检测方法、装置及电子设备


[0001]本申请涉及网络安全
，尤其涉及一种异常行为检测方法、装置及电子设备。

技术介绍

[0002]随着互联网技术的发展，互联网也面临越来越多的网络安全挑战。比如，网络攻击者可能容易绕过现有的安全防御，对网络和计算机存在的固有漏洞进行攻击。基于此，为了维护网络安全，通常需要对网络和计算机进行入侵检测，其中，入侵检测是网络安全的核心要素，其主要目的是识别网络和计算机中的入侵异常行为。
[0003]相关技术中，通常基于入侵检测系统(Intrusion Detection System，IDS)对网络和计算机进行入侵检测，具体地，针对网络进行入侵检测时，IDS通过分析在网络中若干关键点采集的流量数据来发现是否有网络入侵的行为或迹象，识别出正在发生的入侵企图或已经发生的入侵活动；针对计算机进行入侵检测时，利用已知类型的攻击样本以离线的方式训练入侵检测模型，然后基于训练好的入侵检测模型进行入侵检测。
[0004]然而，采用上述方法对计算机进行检测时，由于计算机活动通常是动态的，因此可能出现不能识别新出现的攻击类型的问题，以及存在模型更新代价高等问题。

技术实现思路

[0005]本申请实施例提供一种异常行为检测方法，用以解决现有技术中基于入侵检测系统进行入侵检测时，可能出现不能识别新出现的攻击类型的问题，以及存在模型更新代价高等问题。
[0006]本申请实施例还提供一种异常行为检测装置，一种电子设备，以及一种计算机可读存储介质。
[0007]本申请实施例采用下述技术方案：
[0008]第一方面，本申请实施例提供一种异常行为检测方法，包括：
[0009]获取待检测设备的系统调用序列；
[0010]将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果；其中，输出结果包括系统调用序列的分类标签，异常行为检测模型基于正调用序列样本和负调用序列样本训练得到，异常行为检测模型包括双向长短期记忆层，双向长短期记忆层的细胞变体的遗忘门的输出基于历史系统调用序列的第一信息、历史系统调用序列的第二信息以及待检测设备的系统调用序列确定，双向长短期记忆层的细胞变体的输入门的输出基于遗忘门的输出确定，第一信息包括历史系统调用序列的历史时刻的隐层状态信息，第二信息包括历史系统调用序列的历史时刻的细胞状态信息；所述系统调用序列正样本表征设备未存在异常行为调用，所述系统调用序列负样本表征设备存在异常行为调用；
[0011]基于输出结果，确定待检测设备是否存在异常行为调用。
[0012]可选的，在将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结
果之前，还包括：构建异常行为检测模型；
[0013]其中，构建异常行为检测模型，包括：
[0014]获取系统调用序列正样本和系统调用序列负样本，其中，系统调用序列正样本表征设备未存在异常行为调用，系统调用序列负样本表征设备存在异常行为调用；
[0015]基于系统调用序列正样本和系统调用序列负样本训练预设的基于注意力机制的双向长短期记忆模型，得到异常行为检测模型，双向长短期记忆模型包括输入层、词嵌入层、双向长短期记忆层、注意力机制层以及输出层，双向长短期记忆层的细胞变体包括遗忘门、输入门以及输出门，其中，所遗忘门的输出基于历史系统调用序列的所有信息和待检测设备的系统调用序列确定，输入门的输出基于遗忘门的输出确定。
[0016]可选的，基于系统调用序列正样本和系统调用序列负样本训练预设的基于注意力机制的双向长短期记忆模型，得到异常行为检测模型，包括：
[0017]基于输入层，输入系统调用序列正样本和系统调用序列负样本，得到输入层的输出结果；
[0018]将输入层的输出结果输入双向长短期记忆模型的词嵌入层，以获取系统调用序列正样本的词向量和系统调用序列负样本的词向量；
[0019]根据系统调用序列正样本的词向量和系统调用序列负样本的词向量，通过双向长短期记忆层，得到双向长短期记忆层的输出结果；
[0020]基于注意力机制层和双向长短期记忆层的输出结果，确定系统调用序列正样本关键信息和系统调用序列负样本的关键信息；
[0021]将系统调用序列正样本关键信息和系统调用序列负样本的关键信息输入输出层，以对预设的基于注意力机制的双向长短期记忆模型进行训练，得到异常行为检测模型。
[0022]可选的，双向长短期记忆层的细胞变体的输出门的输出基于待检测设备的系统调用序列、历史系统调用序列的第一信息，以及历史系统调用序列的当前时刻的细胞状态信息确定。
[0023]可选的，输出门的输出基于待检测设备的系统调用序列、历史系统调用序列的第一信息，以及历史系统调用序列的当前时刻的细胞状态信息按照如下公式确定：
[0024]o
t
＝σ2(W
o
[C
t
,h
t
‑1,X
t
]+b
o
)；
[0025]其中，o
t
表示输出门的输出，σ2表示预设的激活函数，W
o
和b
o
表示预设的系数，C
t
表示历史系统调用序列的当前时刻的细胞状态信息，h
t
‑1表示历史系统调用序列的第一信息，X
t
表示待检测设备的系统调用序列。
[0026]可选的，当前时刻的细胞状态信息基于第二信息、遗忘门的输出以及双向长短期记忆层的细胞变体的输入门的补给确定。
[0027]可选的，当前时刻的细胞状态信息基于第二信息、遗忘门的输出以及双向长短期记忆层的细胞变体的输入门的补给按照如下公式确定：
[0028][0029]其中，C
t
表示当前时刻的细胞状态信息，f
t
表示遗忘门的输出，C
t
‑1表示第二信息，表示输入门的补给。
[0030]可选的，遗忘门的输出基于历史系统调用序列的第一信息、历史系统调用序列的
第二信息以及待检测设备的系统调用序列按照如下公式确定：
[0031]f
t
＝σ1(W
f
[C
t
,h
t
‑1,X
t
]+b
f
)；
[0032]其中，f
t
表示双向长短期记忆层的细胞变体的遗忘门的输出；σ1表示预设的激活函数；W
f
、b
f
表示预设的参数；C
t
表示历史系统调用序列的当前时刻的细胞状态信息；h
t
‑1表示历史系统调用序列的第一信息，X
t
表示待检测设备的系统调用序列。
[0033]第二方面，本申请实施例提供一种异常行为检测装置，包括：
[0034]获取模块，用于获取待检测设备的系统调用序列本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常行为检测方法，其特征在于，包括：获取待检测设备的系统调用序列；将所述系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果；其中，所述输出结果包括所述系统调用序列的分类标签，所述异常行为检测模型基于正调用序列样本和负调用序列样本训练得到，所述异常行为检测模型包括双向长短期记忆层，所述双向长短期记忆层的细胞变体的遗忘门的输出基于历史系统调用序列的第一信息、所述历史系统调用序列的第二信息以及所述待检测设备的系统调用序列确定，所述双向长短期记忆层的细胞变体的输入门的输出基于所述遗忘门的输出确定，所述第一信息包括所述历史系统调用序列的历史时刻的隐层状态信息，所述第二信息包括所述历史系统调用序列的历史时刻的细胞状态信息；所述系统调用序列正样本表征设备未存在异常行为调用，所述系统调用序列负样本表征设备存在异常行为调用；基于输出结果，确定所述待检测设备是否存在异常行为调用。2.如权利要求1所述的方法，其特征在于，在将所述系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果之前，还包括：构建所述异常行为检测模型；其中，构建所述异常行为检测模型，包括：获取系统调用序列正样本和系统调用序列负样本；基于所述系统调用序列正样本和所述系统调用序列负样本训练预设的基于注意力机制的双向长短期记忆模型，得到所述异常行为检测模型，所述双向长短期记忆模型包括输入层、词嵌入层、双向长短期记忆层、注意力机制层以及输出层，所述双向长短期记忆层的细胞变体包括遗忘门、输入门以及输出门，其中，所遗忘门的输出基于历史系统调用序列的所有信息和所述待检测设备的系统调用序列确定，所述输入门的输出基于所述遗忘门的输出确定。3.如权利要求2所述的方法，其特征在于，基于所述系统调用序列正样本和所述系统调用序列负样本训练预设的基于注意力机制的双向长短期记忆模型，得到所述异常行为检测模型，包括：基于所述输入层，输入所述系统调用序列正样本和所述系统调用序列负样本，得到输入层的输出结果；将所述输入层的输出结果输入所述双向长短期记忆模型的词嵌入层，以获取所述系统调用序列正样本的词向量和所述系统调用序列负样本的词向量；根据所述系统调用序列正样本的词向量和所述系统调用序列负样本的词向量，通过所述双向长短期记忆层，得到所述双向长短期记忆层的输出结果；基于所述注意力机制层和所述双向长短期记忆层的输出结果，确定所述系统调用序列正样本关键信息和所述系统调用序列负样本的关键信息；将所述系统调用序列正样本关键信息和所述系统调用序列负样本的关键信息输入所述输出层，以对所述预设的基于注意力机制的双向长短期记忆模型进行训练，得到所述异常行为检测模型。4.如权利要求1所述的方法，其特征在于，所述双向长短期记忆层的细胞变体的输出门的输出基于所述待检测设备的系统调用序列、所述历史系统调用序列的第一信息，以及所述历史系统调用序列的当前时刻的细胞状态信息确定。
5.如权利要求4所述的方法，其特征在于，所述输出门的输出基于所述待检测设备的系统调用序列、所述历史系统调用序列的第一信息，以及所述历史系统调用序列的当前时刻的细胞状态信息按照如下公式确定：o
t
＝σ2(W
o
[C
t
,h
t
‑1,X
t
]+b
o
)；其中，o
t
表示...

【专利技术属性】
技术研发人员：阚志刚，熊友彬，张健，林凯，卢佐华，陈彪，
申请(专利权)人：北京梆梆系统集成服务有限公司，
类型：发明
国别省市：