[发明专利]一种操作系统的时序异常操作行为检测方法

说明书

本发明涉及服务器运维、网络安全和信息压缩领域，具体提供了一种操作系统的时序异常操作行为检测方法。与现有技术相比，本发明的基于自编码器的神经网络结构,包含encoder部分和decoder部分,对于时序数据使用卷积的方式,encoder部分通过神经网络逐层设置收敛的卷积个数,将数据的维度降低,即可得到数据的低位且高效的表达；再经过decoder部分将数据还原，将还原的数据与输入的数据计算误差；然后，设置一个阈值T，对正常操作系统行为信息进行无监督的学习，并对新操作数据持续进行编解码，当解码误差大于阈值T时，即可判断为异常的操作行为。本发明能够减少工作量，建模也性对简单，能够良好的检测异常行为，具有良好的推广价值。

技术领域

本发明涉及服务器运维、网络安全和信息压缩领域，具体提供一种操作系统的时序异常操作行为检测方法。

背景技术

随着计算机技术的高速发展，许多数据被部署在服务器中，其中不乏有一些私密的、敏感的数据，其安全问题日益严峻，需要面对层出不穷的入侵威胁。一味的加密数据、加固对数据的防御只能被动的抵抗，因此需要主动地对异常行为进行识别。不但防止本地操作出现问题，也会对抵御外网的异常攻击起到帮助作用。导致操作系统出现问题的一系列操作可被认为是一些异常的行为、流量、设备等，因此，可以将某些行为定义为异常标本。

传统的异常检测需要大量数据进行训练，但操作的信息收集和更新相对困难，维护特征库的工作量巨大，统计模型难以建立。对于新型的入侵方式识别困难，存在漏报误报的缺点。

发明内容

本发明是针对上述现有技术的不足，提供一种实用性强的操作系统的时序异常操作行为检测方法。

本发明解决其技术问题所采用的技术方案是：

一种操作系统的时序异常操作行为检测方法，基于自编码器的神经网络结构,包含encoder部分和decoder部分,对于时序数据使用卷积的方式,encoder部分通过神经网络逐层设置收敛的卷积个数,将数据的维度降低,即可得到数据的低位且高效的表达；

再经过decoder部分将数据还原，将还原的数据与输入的数据计算误差；

然后，设置一个阈值T，对正常操作系统行为信息进行无监督的学习，并对新操作数据持续进行编解码，当解码误差大于阈值T时，即可判断为异常的操作行为。

进一步的，分为以下步骤：

1)正常、异常行为数据的收集与处理；

2)搭建神经网络架构；

3)用正常数据训练，得到新数据后编码、解码；

4)计算误差，判断是否为异常操作行为。

进一步的，在步骤1)中，首先在操作系统建立日志记录机制，将固定时间间隔的操作记录下来，定义每种要记录的操作。

作为优选，要记录的操作为单击、双击、右击、鼠标移动、拖拽、访问目录、打开应用、访问网页、下载的内容、消耗的流量、后台调用的线程、CPU、GPU内存、硬盘的占用率和读写。

进一步的，将定义的操作进行Onehot encoding，即假设有m种操作，定义一个m维布尔向量，每种定义过的操作和行为都有固定位置的布尔值，出现的操作和行为布尔值为1，否则为0；

收集n个固定时间的操作或者阶段性的操作日志构建操作矩阵，所述矩阵列是m种操作，矩阵行是n条收集到的样本，收集多个时间段的操作数据构建操作矩阵集合。