公开(公告)号：CN112613032B

公开(公告)日：2024-03-26

申请号：CN202011484244.3

申请日：2020-12-15

Applicant: 中国科学院信息工程研究所

Inventor： 蔡利君 ,  王丹丹 ,  马建刚 ,  赵力欣 ,  于爱民 ,  孟丹

IPC: G06F21/55

Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置，包括：对各系统调用序列进行深度嵌入，构建各系统调用的词嵌入向量；基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对；基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对，确定各系统调用之间的依赖关系；基于各系统调用之间的依赖关系确定各短序列的概率值；将各短序列的概率值确定的共现概率作为异常因子，采用阈值判断法确定各系统调用序列的检测结果；所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征，把系统调用序列看作是系统与进程之间交互的语言，对系统调用进行处理，具有很好是泛化性能，降低入侵检测误报率。

公开(公告)号：CN112613032A

公开(公告)日：2021-04-06

申请号：CN202011484244.3

申请日：2020-12-15

Applicant: 中国科学院信息工程研究所

Inventor： 蔡利君 ,  王丹丹 ,  马建刚 ,  赵力欣 ,  于爱民 ,  孟丹

IPC: G06F21/55

Abstract: 本发明实施例提供了一种基于系统调用序列的主机入侵检测方法及装置，包括：对各系统调用序列进行深度嵌入，构建各系统调用的词嵌入向量；基于n‑gram算法将各系统调用序列切分成短序列的输入输出样本对；基于各系统调用的词嵌入向量确定的词向量矩阵和短序列的输入输出样本对，确定各系统调用之间的依赖关系；基于各系统调用之间的依赖关系确定各短序列的概率值；将各短序列的概率值确定的共现概率作为异常因子，采用阈值判断法确定各系统调用序列的检测结果；所述检测结果包括正常或异常。本实施例考虑到系统调用的全局特征，把系统调用序列看作是系统与进程之间交互的语言，对系统调用进行处理，具有很好是泛化性能，降低入侵检测误报率。