一种使用系统状态的嵌入空间表示进行异常检测的方法、系统和计算机程序产品。使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练异常检测模型,所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量,并且每个系统状态快照在定义的时间窗期间捕获在所述系统中运行的每个进程的多个特征。响应于接收到包括一个或多个系统状态快照的测试数据集,使用用于映射所述测试数据集中的每个系统状态快照的所述嵌入空间表示过程获得所述嵌入空间中的一个或多个向量,并且使用所述异常检测模型来确定所述一个或多个向量中的向量是否指示对所述系统的网络攻击。攻击。攻击。
【技术实现步骤摘要】
【国外来华专利技术】使用系统状态的嵌入空间表示的异常检测
技术介绍
[0001]本公开中描述的一些实施方案涉及数据分析,并且更具体地但不排他地,涉及使用系统状态的嵌入空间表示的异常检测。
[0002]计算机系统控制并促进人类生活的许多方面,从文本编辑到例如发电厂和交通信号灯的基础设施资源管理。网络通信经常由许多计算机系统使用,并且在一些情况下甚至对许多计算机系统的基本功能至关重要,这使它们容易受到通过计算机网络和/或通信网络连接执行的网络攻击,即蓄意试图获得对系统和/或其任何资源的未授权访问或损害系统和/或其任何资源的正常运行。此类攻击可能会造成严重的经济损失,在极端情况下甚至会导致重伤或死亡。具体来说,在自动驾驶汽车行业,网络攻击备受关注并且被视为要应对的主要挑战之一。
技术实现思路
[0003]本公开的目的是描述一种使用系统状态的嵌入空间表示进行异常检测的系统和方法。
[0004]前述和其他目的通过独立权利要求的特征实现。另外的实现方式从从属权利要求、说明书和附图中显而易见。
[0005]根据所公开主题的一个方面,提供一种用于识别对系统的网络攻击的方法,包括:获得异常检测模型,所述异常检测模型使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练,所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量,并且每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征;并且响应于接收到包括一个或多个系统状态快照的测试数据集,使用用于映射测试数据集中的每个系统状态快照的嵌入空间表示过程获得嵌入空间中的一个或多个向量,并且使用异常检测模型来确定一个或多个向量中的向量是否指示对系统的网络攻击。
[0006]可选地,对于多个特征中的每个特征,定义特征的多个类别,其中单点向量的坐标表示定义的时间窗中的进程处于所述多个特征中的特征的多个类别中的相应类别中的概率或基于所述概率获得。
[0007]更可选地,单点向量的坐标使用从训练数据集导出的至少一个统计量通过归一化过程归一化。
[0008]更可选地,归一化过程包括选自由以下各项组成的组的动作:除以平均概率;计算Z分数。
[0009]可选地,所述系统是车辆系统或包括在车辆系统中。
[0010]根据所公开主题的另一方面,提供一种用于嵌入系统状态的空间表示以促进异常检测的方法,包括:接收至少一个系统状态快照,所述系统状态快照在定义的时间窗期间捕获在系统中运行的一组进程中的每一个的多个特征;对于多个特征中的每一个,将所述一组进程分为多个类别;对于多个类别中的每个类别,计算在定义的时间窗中的进程处于所
述类别的概率;并且对于多个特征中的每个特征以及对于多个类别中的每个类别,对计算的概率进行级联,从而获得嵌入空间中的单点向量。
[0011]可选地,所述方法还包括基于从历史数据导出的至少一个统计量来归一化单点向量的每个坐标。
[0012]根据所公开主题的又另一方面,提供一种计算机程序产品,包括:非暂时性计算机可读存储介质;程序指令,所述程序指令用于由处理器执行用于嵌入系统状态的空间表示以促进异常检测的方法,所述方法包括:接收至少一个系统状态快照,所述系统状态快照在定义的时间窗期间捕获在系统中运行的一组进程中的每一个的多个特征;对于多个特征中的每一个,将所述一组进程分为多个类别;对于多个类别中的每个类别,计算在定义的时间窗中的进程处于所述类别的概率;并且对于多个特征中的每个特征以及对于多个类别中的每个类别,对计算的概率进行级联,从而获得嵌入空间中的单点向量。
[0013]根据所公开主题的又另一方面,提供一种计算机程序产品,所述计算机程序产品包括:非暂时性计算机可读存储介质;程序指令,所述程序指令用于由处理器执行用于识别对系统的网络攻击的方法,所述方法包括:获得异常检测模型,所述异常检测模型使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练,所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量,并且每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征;并且响应于接收到包括一个或多个系统状态快照的测试数据集,使用用于映射测试数据集中的每个系统状态快照的嵌入空间表示过程获得嵌入空间中的一个或多个向量,并且使用异常检测模型来确定一个或多个向量中的向量是否指示对系统的网络攻击。
[0014]可选地,对于多个特征中的每个特征,定义特征的多个类别,其中单点向量的坐标表示定义的时间窗中的进程处于所述多个特征中的特征的多个类别中的相应类别中的概率或基于所述概率获得。
[0015]更可选地,单点向量的坐标使用从训练数据集导出的至少一个统计量通过归一化过程归一化。
[0016]更可选地,归一化过程包括选自由以下各项组成的组的动作:除以平均概率;计算Z分数。
[0017]可选地,所述系统是车辆系统或包括在车辆系统中。
[0018]根据所公开主题的又另一方面,提供一种训练用于识别网络攻击的异常检测模型的方法,包括:接收包括多个系统状态快照的训练数据集,每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征;计算并在训练数据集上应用将多个系统状态快照中的每一个映射到嵌入空间中的单点向量的变换,从而获得多个参考向量;并且使用异常检测算法和多个参考向量来训练异常检测模型。
[0019]可选地,对于多个特征中的每个特征,定义特征的多个类别,其中单点向量的坐标表示定义的时间窗中的进程处于所述多个特征中的特征的多个类别中的相应类别中的概率或基于所述概率获得。
[0020]更可选地,单点向量的坐标使用从训练数据集导出的至少一个统计量通过归一化过程归一化。
[0021]可选地,异常检测算法是无监督学习算法。
[0022]更可选地,异常检测算法选自由以下各项组成的组:孤立森林;一类支持向量机;深度神经网络;复制器神经网络;以及自动编码器。
[0023]可选地,训练数据集标记为指示其中的系统状态快照是否表示在不存在或存在攻击时的系统行为,其中异常检测算法是监督学习算法。
[0024]可选地,训练数据集表示在没有攻击的情况下的正常系统行为。
[0025]根据所公开主题的又另一方面,提供一种计算机程序产品,包括:非暂时性计算机可读存储介质;程序指令,所述程序指令用于由处理器执行训练用于识别网络攻击的异常检测模型的方法,所述方法包括:接收包括多个系统状态快照的训练数据集,每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征;计算并在训练数据集上应用将多个系统状态快照中的每一个映射到嵌入空间中的单点向量的变换,从而获得多个参考向量;并且使用异常检测算法和多个参考向量来训练异常检测模型。
[0026]可选地,对于多个特征中的每个特征,定义特征的多个类别,其中单点向量的坐标表示定义的时间窗中的进程处于所述多个特征中的特征的多个类别中的相应类本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于识别对系统的网络攻击的方法,包括:获得异常检测模型,所述异常检测模型使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练,所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量,并且每个系统状态快照在定义的时间窗期间捕获在所述系统中运行的每个进程的多个特征;以及响应于接收到包括一个或多个系统状态快照的测试数据集,使用用于映射所述测试数据集中的每个系统状态快照的所述嵌入空间表示过程获得所述嵌入空间中的一个或多个向量,并且使用所述异常检测模型来确定所述一个或多个向量中的向量是否指示对所述系统的网络攻击。2.如权利要求1所述的方法,其中对于所述多个特征中的每个特征,定义所述特征的多个类别,其中所述单点向量的坐标表示所述定义的时间窗中的进程处于所述多个特征中的特征的所述多个类别中的相应类别中的概率或基于所述概率获得。3.如权利要求2所述的方法,其中所述单点向量的坐标使用从所述训练数据集导出的至少一个统计量通过归一化过程归一化。4.如权利要求3所述的方法,其中所述归一化过程包括选自由以下各项组成的组的动作:除以平均概率;计算Z分数。5.如权利要求1所述的方法,其中所述系统是车辆系统或包括在车辆系统中。6.一种用于嵌入有助于异常检测的系统状态的空间表示的方法,包括:接收至少一个系统状态快照,所述系统状态快照在定义的时间窗期间捕获在系统中运行的一组进程中的每一个的多个特征;对于所述多个特征中的每一个,将所述一组进程分为多个类别;对于所述多个类别中的每个类别,计算在所述定义的时间窗中的进程处于所述类别的概率;以及对于所述多个特征中的每个特征以及对于所述多个类别中的每个类别,对所述计算的概率进行级联,从而获得嵌入空间中的单点向量。7.如权利要求6所述的方法,还包括基于从历史数据导出的至少一个统计量来归一化所述单点向量的每个坐标。8.一种计算机程序产品,包括:非暂时性计算机可读存储介质;程序指令,所述程序指令用于由处理器执行如权利要求6所述的方法。9.一种计算机程序产品,包括:非暂时性计算机可读存储介质;程...
【专利技术属性】
技术研发人员:S,
申请(专利权)人:雷德本德有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。