[发明专利]使用系统状态的嵌入空间表示的异常检测

说明书

一种使用系统状态的嵌入空间表示进行异常检测的方法、系统和计算机程序产品。使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练异常检测模型，所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量，并且每个系统状态快照在定义的时间窗期间捕获在所述系统中运行的每个进程的多个特征。响应于接收到包括一个或多个系统状态快照的测试数据集，使用用于映射所述测试数据集中的每个系统状态快照的所述嵌入空间表示过程获得所述嵌入空间中的一个或多个向量，并且使用所述异常检测模型来确定所述一个或多个向量中的向量是否指示对所述系统的网络攻击。

背景技术

本公开中描述的一些实施方案涉及数据分析，并且更具体地但不排他地，涉及使用系统状态的嵌入空间表示的异常检测。

计算机系统控制并促进人类生活的许多方面，从文本编辑到例如发电厂和交通信号灯的基础设施资源管理。网络通信经常由许多计算机系统使用，并且在一些情况下甚至对许多计算机系统的基本功能至关重要，这使它们容易受到通过计算机网络和/或通信网络连接执行的网络攻击，即蓄意试图获得对系统和/或其任何资源的未授权访问或损害系统和/或其任何资源的正常运行。此类攻击可能会造成严重的经济损失，在极端情况下甚至会导致重伤或死亡。具体来说，在自动驾驶汽车行业，网络攻击备受关注并且被视为要应对的主要挑战之一。

发明内容

本公开的目的是描述一种使用系统状态的嵌入空间表示进行异常检测的系统和方法。

前述和其他目的通过独立权利要求的特征实现。另外的实现方式从从属权利要求、说明书和附图中显而易见。

根据所公开主题的一个方面，提供一种用于识别对系统的网络攻击的方法，包括：获得异常检测模型，所述异常检测模型使用异常检测算法和使用嵌入空间表示过程获得的多个参考向量训练，所述嵌入空间表示过程被配置用于将包括在训练数据集中的多个系统状态快照中的每一个映射到嵌入空间中的单点向量，并且每个系统状态快照在定义的时间窗期间捕获在系统中运行的每个进程的多个特征；并且响应于接收到包括一个或多个系统状态快照的测试数据集，使用用于映射测试数据集中的每个系统状态快照的嵌入空间表示过程获得嵌入空间中的一个或多个向量，并且使用异常检测模型来确定一个或多个向量中的向量是否指示对系统的网络攻击。

可选地，对于多个特征中的每个特征，定义特征的多个类别，其中单点向量的坐标表示定义的时间窗中的进程处于所述多个特征中的特征的多个类别中的相应类别中的概率或基于所述概率获得。

更可选地，单点向量的坐标使用从训练数据集导出的至少一个统计量通过归一化过程归一化。

更可选地，归一化过程包括选自由以下各项组成的组的动作：除以平均概率；计算Z分数。

可选地，所述系统是车辆系统或包括在车辆系统中。

根据所公开主题的另一方面，提供一种用于嵌入系统状态的空间表示以促进异常检测的方法，包括：接收至少一个系统状态快照，所述系统状态快照在定义的时间窗期间捕获在系统中运行的一组进程中的每一个的多个特征；对于多个特征中的每一个，将所述一组进程分为多个类别；对于多个类别中的每个类别，计算在定义的时间窗中的进程处于所述类别的概率；并且对于多个特征中的每个特征以及对于多个类别中的每个类别，对计算的概率进行级联，从而获得嵌入空间中的单点向量。

可选地，所述方法还包括基于从历史数据导出的至少一个统计量来归一化单点向量的每个坐标。