[发明专利]使用系统状态的嵌入空间表示的异常检测在审
申请号: | 202080107226.5 | 申请日: | 2020-11-24 |
公开(公告)号: | CN116438524A | 公开(公告)日: | 2023-07-14 |
发明(设计)人: | S·孟德洛维茨;D·科恩 | 申请(专利权)人: | 雷德本德有限公司 |
主分类号: | G06F11/34 | 分类号: | G06F11/34 |
代理公司: | 北京市柳沈律师事务所 11105 | 代理人: | 陈丽来 |
地址: | 以色列霍*** | 国省代码: | 暂无信息 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 使用 系统 状态 嵌入 空间 表示 异常 检测 | ||
1.一种用于识别对系统的网络攻击的方法,包括:
获得异常检测模型,所述异常检测模型使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练,所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量,并且每个系统状态快照在定义的时间窗期间捕获在所述系统中运行的每个进程的多个特征;以及
响应于接收到包括一个或多个系统状态快照的测试数据集,使用用于映射所述测试数据集中的每个系统状态快照的所述嵌入空间表示过程获得所述嵌入空间中的一个或多个向量,并且使用所述异常检测模型来确定所述一个或多个向量中的向量是否指示对所述系统的网络攻击。
2.如权利要求1所述的方法,其中对于所述多个特征中的每个特征,定义所述特征的多个类别,其中所述单点向量的坐标表示所述定义的时间窗中的进程处于所述多个特征中的特征的所述多个类别中的相应类别中的概率或基于所述概率获得。
3.如权利要求2所述的方法,其中所述单点向量的坐标使用从所述训练数据集导出的至少一个统计量通过归一化过程归一化。
4.如权利要求3所述的方法,其中所述归一化过程包括选自由以下各项组成的组的动作:除以平均概率;计算Z分数。
5.如权利要求1所述的方法,其中所述系统是车辆系统或包括在车辆系统中。
6.一种用于嵌入有助于异常检测的系统状态的空间表示的方法,包括:
接收至少一个系统状态快照,所述系统状态快照在定义的时间窗期间捕获在系统中运行的一组进程中的每一个的多个特征;
对于所述多个特征中的每一个,将所述一组进程分为多个类别;
对于所述多个类别中的每个类别,计算在所述定义的时间窗中的进程处于所述类别的概率;以及
对于所述多个特征中的每个特征以及对于所述多个类别中的每个类别,对所述计算的概率进行级联,从而获得嵌入空间中的单点向量。
7.如权利要求6所述的方法,还包括基于从历史数据导出的至少一个统计量来归一化所述单点向量的每个坐标。
8.一种计算机程序产品,包括:
非暂时性计算机可读存储介质;
程序指令,所述程序指令用于由处理器执行如权利要求6所述的方法。
9.一种计算机程序产品,包括:
非暂时性计算机可读存储介质;
程序指令,所述程序指令用于由处理器执行如权利要求1所述的方法。
10.如权利要求9所述的计算机程序产品,其中对于所述多个特征中的每个特征,定义所述特征的多个类别,其中所述单点向量的坐标表示所述定义的时间窗中的进程处于所述多个特征中的特征的所述多个类别中的相应类别中的概率或基于所述概率获得。
11.如权利要求10所述的计算机程序产品,其中所述单点向量的坐标使用从所述训练数据集导出的至少一个统计量通过归一化过程归一化。
12.如权利要求9所述的计算机程序产品,其中所述系统是车辆系统或包括在车辆系统中。
13.一种训练用于识别网络攻击的异常检测模型的方法,包括:
接收包括多个系统状态快照的训练数据集,每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征;
计算并在所述训练数据集上应用将所述多个系统状态快照中的每一个映射到嵌入空间中的单点向量的变换,从而获得多个参考向量;以及
使用异常检测算法和所述多个参考向量来训练所述异常检测模型。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于雷德本德有限公司,未经雷德本德有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202080107226.5/1.html,转载请声明来源钻瓜专利网。
- 上一篇:应用于WiFi的安全认证的方法和装置
- 下一篇:元件安装机和元件安装方法