[发明专利]使用系统状态的嵌入空间表示的异常检测

权利要求书

1.一种用于识别对系统的网络攻击的方法，包括：

获得异常检测模型，所述异常检测模型使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练，所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量，并且每个系统状态快照在定义的时间窗期间捕获在所述系统中运行的每个进程的多个特征；以及

响应于接收到包括一个或多个系统状态快照的测试数据集，使用用于映射所述测试数据集中的每个系统状态快照的所述嵌入空间表示过程获得所述嵌入空间中的一个或多个向量，并且使用所述异常检测模型来确定所述一个或多个向量中的向量是否指示对所述系统的网络攻击。

2.如权利要求1所述的方法，其中对于所述多个特征中的每个特征，定义所述特征的多个类别，其中所述单点向量的坐标表示所述定义的时间窗中的进程处于所述多个特征中的特征的所述多个类别中的相应类别中的概率或基于所述概率获得。

3.如权利要求2所述的方法，其中所述单点向量的坐标使用从所述训练数据集导出的至少一个统计量通过归一化过程归一化。

4.如权利要求3所述的方法，其中所述归一化过程包括选自由以下各项组成的组的动作：除以平均概率；计算Z分数。

5.如权利要求1所述的方法，其中所述系统是车辆系统或包括在车辆系统中。

6.一种用于嵌入有助于异常检测的系统状态的空间表示的方法，包括：

接收至少一个系统状态快照，所述系统状态快照在定义的时间窗期间捕获在系统中运行的一组进程中的每一个的多个特征；

对于所述多个特征中的每一个，将所述一组进程分为多个类别；

对于所述多个类别中的每个类别，计算在所述定义的时间窗中的进程处于所述类别的概率；以及

对于所述多个特征中的每个特征以及对于所述多个类别中的每个类别，对所述计算的概率进行级联，从而获得嵌入空间中的单点向量。

7.如权利要求6所述的方法，还包括基于从历史数据导出的至少一个统计量来归一化所述单点向量的每个坐标。

8.一种计算机程序产品，包括：

非暂时性计算机可读存储介质；

程序指令，所述程序指令用于由处理器执行如权利要求6所述的方法。

9.一种计算机程序产品，包括：

非暂时性计算机可读存储介质；

程序指令，所述程序指令用于由处理器执行如权利要求1所述的方法。

10.如权利要求9所述的计算机程序产品，其中对于所述多个特征中的每个特征，定义所述特征的多个类别，其中所述单点向量的坐标表示所述定义的时间窗中的进程处于所述多个特征中的特征的所述多个类别中的相应类别中的概率或基于所述概率获得。

11.如权利要求10所述的计算机程序产品，其中所述单点向量的坐标使用从所述训练数据集导出的至少一个统计量通过归一化过程归一化。

12.如权利要求9所述的计算机程序产品，其中所述系统是车辆系统或包括在车辆系统中。

13.一种训练用于识别网络攻击的异常检测模型的方法，包括：

接收包括多个系统状态快照的训练数据集，每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征；

计算并在所述训练数据集上应用将所述多个系统状态快照中的每一个映射到嵌入空间中的单点向量的变换，从而获得多个参考向量；以及

使用异常检测算法和所述多个参考向量来训练所述异常检测模型。