[发明专利]基于关系网络的主机入侵检测方法

说明书

本发明公开了一种基于关系网络的主机入侵检测方法，包括：步骤1，对主机系统调用序列样本集进行特征化处理；步骤2，将经步骤1处理后的数据集划分为训练集、支持集和测试集；再将训练集划分为样例集和查询集；步骤3，构建关系网络模型；所述关系网络模型包括嵌入模块、连接模块和关系模块；步骤4，定义关系网络模型的目标函数；步骤5，训练构建的关系网络模型，得到主机入侵检测模型；步骤6，将需要检测的主机系统调用序列经过步骤1后输入训练好的主机入侵检测模型进行主机入侵检测。本发明提出一种基于关系网络的主机入侵检测方法，该方法可以在小样本的情况下既可以实现已有入侵方式的主机检测也可以实现未知入侵方式的主机入侵检测。

技术领域

本发明涉及网络空间安全领域，尤其是一种基于关系网络的主机入侵检测方法。

背景技术

随着互联网的迅猛发展，给人们生活带来便利的同时，也使得网络空间安全环境日趋复杂。很多黑客们以主机作为攻击目标，进行大规模的入侵，且伴随着入侵病毒和入侵行为的多样化、复杂化、智能化、隐蔽化，使得主机入侵检测面临巨大的挑战。为处理以上难题，目前普遍采用深度神经网络方法进行主机入侵检测。深度神经网络在监督识别任务上取得了很好的成果，但是深度神经网络需要每个类有足够多且完全标注的数据，同时，面对不断出现新的入侵病毒和入侵行为，对于深度神经网络进行主机入侵检测引发了以下两个问题：

一、由于高昂的标注样本代价，对于少量样本训练得到的模型，检测率较低，误报率较高；

二、对于新出现的入侵病毒和入侵行为，原有模型不能识别，需要重新训练模型。

以上引发的问题即少样本问题，为了解决少样本问题，研究人员发现人类非常擅长通过极少量的样本识别一个新物体，比如小孩子只需要书中的一些图片就可以认识什么是“斑马”，什么是“犀牛”。在人类的快速学习能力的启发下，研究人员希望机器学习模型在学习了一定类别的数据后，对于新的类别，只需要少量的样本就能快速学习，这就是小样本学习(Few-shot Learning，FSL)。FSL主要模型大致可分为三类：基于模型(Mode Based)、基于度量(Metric Based)和基于优化(Optimization Based)方式的。而关系网络(RelationNetwork，RN)是基于度量方式的，RN让网络自己学习度量方式，使的模型效果更好。但FSL目前仅是应用在图像领域和自然语言处理领域。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供一种基于关系网络的主机入侵检测方法。

本发明采用的技术方案如下：

一种基于关系网络的主机入侵检测方法，包括：

步骤1，对主机系统调用序列样本集进行特征化处理，得到样本集的属性矩阵和标签矩阵；

步骤2，将经步骤1处理后的数据集划分为训练集、支持集和测试集；再将训练集划分为样例集和查询集，所述样例集和查询集分别对应测试时的支持集和测试集；

步骤3，构建关系网络模型；所述关系网络模型包括嵌入模块、连接模块和关系模块；所述嵌入模块的输出经过连接模块进行特征处理后再输入关系模块；

步骤4，定义关系网络模型的目标函数；

步骤5，将样本集经过步骤1处理和步骤2划分后输入构建的关系网络模型，并利用步骤4确定的目标函数训练构建的关系网络模型，得到主机入侵检测模型；

步骤6，将需要检测的主机系统调用序列经过步骤1后输入训练好的主机入侵检测模型进行主机入侵检测。

进一步地，步骤1包括如下子步骤：

步骤1.1，对样本集进行数值化；

步骤1.2，对数值化后的样本集进行特征化，得到一维特征矩阵；