【技术实现步骤摘要】
基于主机序列嵌入表示的异常检测方法、装置及设备
[0001]本专利技术涉及主机入侵检测
,尤其是涉及一种基于主机序列嵌入表示的异常检测方法、装置、设备及存储介质。
技术介绍
[0002]在入侵检测领域中,一种基于主机的IDS(intrusion detection system,入侵检测系统)从系统调用序列(即主机序列)数据中检测异常的恶意行为,系统调用序列是由一个进程在一个给定的时间窗口内发起的一连串调用,通常被记录在系统日志当中。部分IDS(intrusion detection system,入侵检测系统)产品在单一特定的攻击类型中,如僵尸网络等,经测试误报率可低至千分之一。但实际上,据IDC对350位安全人员开展的另一项调查表明,不同解决方案发出的大量错误警报正引发警报疲劳现象,其中安全警报误报率达到45%,致使35%的调查群体选择忽略警报。这是由于网络安全中同时存在多种攻击类型,这对于IDS的复杂性处理能力具有较高要求。
[0003]现有技术中,一种基于主机序列嵌入表示的异常检测方法,通过对主机序列中...
【技术保护点】
【技术特征摘要】
1.一种基于主机序列嵌入表示的异常检测方法,其特征在于,包括步骤:获取待检测的系统调用序列,对所述系统调用序列中的每一系统调用命令分别进行词嵌入操作,得到每一所述系统调用命令对应的命令嵌入向量,所有所述命令嵌入向量构建为命令嵌入向量矩阵;对所述命令嵌入向量矩阵中关键命令所对应的命令嵌入向量进行加权,得到序列向量;对所述序列向量进行分类识别,得到主机入侵检测结果。2.根据权利要求1所述的方法,其特征在于,对所述命令嵌入向量矩阵中关键命令所对应的命令嵌入向量进行加权,包括步骤:将所述系统调用序列转换为有向有权图G;若第i个系统调用命令x
i
的前序系统调用命令x
j
的权值WS高,则系统调用命令x
i
的权值WS增大;获取第i个系统调用命令x
i
与前序系统调用命令x
j
在有向有权图G中的上下文权重ω
ji
;若第i个系统调用命令x
i
与前序系统调用命令x
j
间的上下文权重ω
ji
占系统调用命令x
j
的出度Out(X
j
)比例较大,则系统调用命令x
i
的权值WS增大;系统调用命令x
i
的权值WS的迭代机会随系统调用命令x
i
的入度In(X
i
)增加而增加。3.根据权利要求2所述的方法,其特征在于,第i个系统调用命令X
i
的权值WS(X
i
)的表达式为:其中,d为阻尼系数,表示第i个系统调用命令x
i
与其前序系统调用命令x
j
对应节点在有向有权图G中相邻的概率;ω
jk
为第j个系统调用命令x
j
与第k个系统调用命令x
k
对应节点间的上下文权重。4.根据权利要求1所述的方法,其特征在于,对所述命令嵌入向量矩阵中关键命令所对应的命令嵌入向量进行加权后,还包括步骤:通过调节函数f(x)对各个系统调用命令的权值进行调节,其中,第i个系统调用命令x
i
的调节权值f(WS(X
i
))的表达式为:其中,α为一可调节常数,n为所述系统调用命令的数量。5.基于主机序列嵌入表示的异常检测装置,其特征在于,包括:词嵌入模块,用于获取待检测的系统调用序列,对所述系统调用序列中的每一系统调用命令分别进...
【专利技术属性】
技术研发人员:卢逸君,
申请(专利权)人:广东省信息安全测评中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。