公开(公告)号：CN114692138A

公开(公告)日：2022-07-01

申请号：CN202011628081.1

申请日：2020-12-30

Applicant: 北京梆梆安全科技有限公司 ,  北京梆梆系统集成服务有限公司

Inventor： 阚志刚 ,  熊友彬 ,  张健 ,  林凯 ,  卢佐华 ,  陈彪

IPC: G06F21/55 ,  G06N3/04 ,  G06N3/08

Abstract: 本申请公开了一种异常行为检测方法，包括：获取待检测设备的系统调用序列；将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果；异常行为检测模型基于调用序列样本训练得到，该模型包括双向长短期记忆层，双向长短期记忆层的细胞变体的遗忘门的输出基于历史系统调用序列的第一信息、历史系统调用序列的第二信息以及待检测设备的系统调用序列确定，双向长短期记忆层的细胞变体的输入门的输出基于遗忘门的输出确定，第一信息包括历史系统调用序列的历史时刻的隐层状态信息，第二信息包括历史系统调用序列的历史时刻的细胞状态信息；基于输出结果，确定待检测设备是否存在异常行为调用。