[发明专利]系统调用行为序列降维方法、系统、设备和存储介质

说明书

本发明涉及计算机安全技术领域，特别涉及一种基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质，该方法包括：撷取系统调用行为模式并得到系统调用行为模式对应的参数；当获得一组长度为W的系统调用行为序列时，根据词向量编码模型对系统调用行为序列进行降维处理，以获得维度为预设维度N的系统调用行为词向量序列；对N维的系统调用行为词向量序列进行平均运算，以获得系统调用行为模式特征词向量F。该基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质，能够自动撷取具代表性的序列特征，有效降低系统调用行为序列的维度，可提升后续进行机器学习的准确度及演算速率。

技术领域

本发明涉及计算机安全技术领域，特别涉及一种基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质。

背景技术

目前市面上大部分对于异常系统调用入侵检测产品的防御手法仅能针对已经被清楚分析且了解的网路攻击行为，以人为定义规则库的方式来加以侦测，而一些经由变形方式或针对现有攻击做小幅度修改的攻击手法，往往成为异常系统调用入侵检测的弱点之一，更遑论对于未知攻击而言，此类侦测方式更可说毫无招架之力。

另外一种基于人工智能的异常系统调用入侵检测产品，是以One Class SVM（异常检测）为主体去自动归纳正常用户或是正常程序的行为模式，如未来发生任何明显偏离正常行为的活动都被视为是入侵。采取此种设计模式的好处，乃是系统安全人员不需经常更新入侵攻击的行为样式，亦可以侦测到未知的攻击，故此种入侵检测方式于近年来被广泛运用。

但随着大数据及人工智能时代的来临，以One Class SVM有效的归纳正常用户或是正常程序的行为模式，在嵌入式系统或芯片的实作上将变得越来越困难，主因是系统调用行为序列的维度，会随着人工智能辅助攻击手段及大数据的发展而变得越来越巨大，举例而言：One Class SVM分类法是O(n²)的算法，即演算时间复杂度会随着系统调用行为序列的维度呈现平方关系。也就是说，过大的系统调用行为序列维度，极不利于运算力较低的嵌入式系统或芯片进行实时处理。也就是说，过大的系统调用行为序列维度，极不利于运算力较低的嵌入式系统或芯片进行实时处理，但如以人工手段进行系统调用行为序列的降维，又可能会过于主观且不全面，从而进一步导致系统的侦测准确率受到严重影响。

发明内容

本发明实施方式的目的在于提供一种基于词向量的系统调用行为序列降维方法、系统、电子设备和存储介质，能够自动撷取具代表性的序列特征，有效降低系统调用行为序列的维度，不仅可提升后续进行机器学习的准确度及演算速率，亦不受人工手段降维的主观因素影响，并可有效将其实践于嵌入式系统或芯片进行实时处理。

为解决上述技术问题，本发明采用以下技术方案：

第一方面，提供一种基于词向量的系统调用行为序列降维方法，包括：

每间隔预设单位时长，撷取一个特定程序当下的系统调用行为模式；

根据预设数值对应关系，得到所述系统调用行为模式对应的参数；当所述参数的累积个数大于或等于预设个数阈值W时，获得一组长度为W的系统调用行为序列；

根据词向量编码模型对所述系统调用行为序列进行降维处理，以获得维度为预设维度N的系统调用行为词向量序列；其中，NW，所述词向量编码模型为基于神经网络初始化的对应所述系统调用行为序列的词向量编码模型；

对N维的所述系统调用行为词向量序列进行平均运算，以获得系统调用行为模式特征词向量F。

优选地，所述每间隔预设单位时长，撷取一个特定程序当下的系统调用行为模式，包括：预先定义T=1为撷取特定程序当下的系统调用行为模式的初始时间，每间隔预设单位时长对应撷取一个所述系统调用行为模式；