【技术实现步骤摘要】
一种终端入侵检测方法和装置
[0001]本专利技术涉及计算机
,特别涉及人工智能
,尤其涉及一种终端入侵检测方法和装置。
技术介绍
[0002]近年来,计算机网络安全涉及到军事、经济、科技、教育及企业、个人等各个领域,为了确保这些信息不被破坏,对于入侵检测的研究势在必行。相关技术中,通过基于窗口的主机入侵检测或基于频率的主机入侵检测进行终端检测,在特征提取阶段,存在切分系统调用序列的窗口难划定的问题,无法保留系统调用序列中的完整语义;在日常网络通讯中,绝大部分通讯数据为正常样本数据,其中只有极少部分为攻击者的攻击行为产生的异常样本数据,所以模型在训练时难以根据少量的异常样本数据学习到异常样本数据的攻击行为规律,从而容易对异常数据产生过拟合的现象,攻击者为了绕过入侵检测模型会模仿正常进程的行为,这将会导致攻击行为与正常行为提取出的特征较为相似,难以区分。相关技术无法从系统调用序列中提取出有效特征,无法区分相似的正常样本与异常样本,导致入侵检测模型的检测准确率较低。
技术实现思路
[0003]本专利技术的一个目的在于提供一种终端入侵检测方法,能够从目标系统调用序列中提取出有效特征向量,通过少量训练样本对基于聚焦损失函数的轻量梯度提升树算法进行训练构建入侵检测模型,避免过拟合问题;能够区分相似的正常样本与异常样本,提高入侵检测模型的检测准确率。本专利技术的另一个目的在于提供一种终端入侵检测装置。本专利技术的再一个目的在于提供一种计算机可读介质。本专利技术的还一个目的在于提供一种计算机设备。
【技术保护点】
【技术特征摘要】
1.一种终端入侵检测方法,其特征在于,所述方法包括:获取待检测终端的目标系统调用序列;对所述目标系统调用序列进行子序列提取,生成目标特征子序列;根据所述目标特征子序列,从预先构建的目标特征子序列语料库中提取出目标特征向量;通过样本生成算法,根据所述目标特征向量,生成增量序列样本;通过预先构建的入侵检测模型,对所述目标特征向量和增量序列样本进行入侵检测,得到入侵检测结果,所述入侵检测模型是基于聚焦损失函数的轻量梯度提升树算法训练得到的。2.根据权利要求1所述的终端入侵检测方法,其特征在于,在所述根据所述目标特征子序列,从预先构建的目标特征子序列语料库中提取出目标特征向量之前,还包括:获取各终端的正常系统调用序列;对所述正常系统调用序列进行子序列提取,生成目标特征子序列语料库。3.根据权利要求2所述的终端入侵检测方法,其特征在于,所述对所述正常系统调用序列进行子序列提取,生成目标特征子序列语料库,包括:通过语言模型,对所述正常系统调用序列进行语义子序列提取,生成语义特征语料库;通过后缀树,对所述正常系统调用序列进行进程行为子序列提取,生成进程行为特征语料库;根据所述语义特征语料库和进程行为特征语料库,生成目标特征子序列语料库。4.根据权利要求3所述的终端入侵检测方法,其特征在于,所述通过语言模型,对所述正常系统调用序列进行语义子序列提取,生成语义特征语料库,包括:通过窗口划分技术,对所述正常系统调用序列进行切分,得到多个切分子序列;统计每个切分子序列在各终端下的多个系统调用序列中的第一频数和在当前的正常系统调用序列中的第二频数;通过加权技术,根据所述切分子序列、所述切分子序列对应的第一频数和第二频数,生成所述切分子序列对应的子序列权重;对多个子序列权重进行比较,选取出指定排序的子序列权重对应的切分子序列;根据选取出的切分子序列,生成所述语义特征语料库。5.根据权利要求3所述的终端入侵检测方法,其特征在于,所述通过后缀树,对所述正常系统调用序列进行进程行为子序列提取,生成进程行为特征语料库,包括:若所述正常系统调用序列的长度大于预设的长度阈值,按照预设的划分长度对所述正常系统调用序列进行划分,得到多个子进程序列;若所述正常系统调用序列的长度小于或等于预设的长度阈值,将所述正常系统调用序列确定为子进程序列;根据每个所述子进程序列分别构建对应的后缀树;提取每棵后缀树的最长重复子串;根据多个所述最长重复子串,生成进程行为特征语料库。6.根据权利要求1所述的终端入侵检测方法,其特征在于,所述根据所述目标特征子序列,从预先构建的目标特征子序列语料库中提取出目标特征向量,包括:
统计每个所述目标特征子序列在所述目标特征子序列语料库中的频率,生成每个目标特征子序列对应的目标特征向量。7.根据权利要求1所述的终端入侵检测方法,其特征在于,所述目标特征向量包括正常序列样本和异常序列样本;所述通过样本生成算法,根据所述目标特征向量...
【专利技术属性】
技术研发人员:廖小瑶,张一芃,谢婷婷,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。