[发明专利]一种自适应的主机入侵检测序列特征提取方法及系统

权利要求书

1.一种自适应的主机入侵检测序列特征提取方法，其特征在于，包括：

步骤S100：从正常系统调用序列数据集提取定长特征子序列，包括：

步骤S110：利用N元模型N-Gram以设定的滑动窗口值将输入的系统调用序列切分成定长子序列；

步骤S120：利用词频-逆文本频率TF-IDF对各个定长子序列进行加权，根据权重的大小对定长子序列进行筛选得到定长特征子序列的集合即为定长语料库，具体包括：

步骤S121：统计定长子序列t_i出现在所有系统调用序列中的频数，计算序列频数反比：

其中，N为系统调用序列数据集中系统调用序列的总数，为系统调用序列数据集中的系统调用序列中出现过定长子序列t_i的序列数；

步骤S122：计算定长子序列t_i在系统调用序列中出现的频数fre_i：

得到所有定长子序列t={t₁,t₂,…,t_m}出现在系统调用序列的频率向量Fre：

Fre=[fre₁,fre₂,…,fre_m]；

步骤S123：计算进程行为权重：

变换得到：

；

步骤S124：选取每个进程系统调用序列中进程行为权重前b位的定长子序列收录进定长子序列语料库：

其中，t_jb代表第j个系统调用序列中的第b个定长子序列， t_1b代表第1个系统调用序列中的第b个定长子序列， t_nb代表第n个系统调用序列中的第b个定长子序列，0＜j≤n，n表示进程的数量；

步骤S200：从正常系统调用序列数据集提取变长特征子序列，包括：

步骤S210：判断输入的系统调用序列的长度是否大于指定单位长度d，若是，进入步骤S220；否则进入步骤S230；

步骤S220：将系统调用序列进行切分，得到系统调用子序列，进入下一步；

步骤S230：对每个系统调用序列或系统调用子序列分别建立后缀树，并筛选出每个系统调用序列或系统调用子序列的最长重复子串作为变长特征子序列，变长特征子序列的集合为变长语料库；

步骤S300：将得到的定长语料库与变长语料库取并集得到特征语料库，统计特征语料库中的子序列在待测试系统调用序列出现的频率得到特征向量，利用自动编码机对特征向量进行降维，将降维后的特征向量输入分类器进行分类，并得到分类结果。

2.实现如权利要求1所述方法的一种自适应的主机入侵检测序列特征提取系统，其特征在于，包括定长特征提取模块、变长特征提取模块、特征融合模块、自动编码机模块和分类器模块，其中：

定长特征提取模块，用于将正常的系统调用序列利用N 元模型N-Gram切分成定长特征子序列，并利用词频-逆文本频率TF-IDF对各个定长特征子序列进行加权，再根据权重的大小对定长特征子序列进行筛选得到定长特征子序列集即定长子序列语料库；

变长特征提取模块，用于分别对正常的系统调用序列建立后缀树，并筛选出最长重复子串作为变长特征子序列，变长特征子序列集即为变长子序列语料库；

特征融合模块，用于整合定长特征提取模块和变长特征提取模块的提取结果，分别统计定长子序列语料库与变长子序列语料库中的子序列在待测试系统调用序列出现的频率得到特征向量；

自动编码机模块，用于对特征向量进行降维处理；

分类器模块，用于对降维后的特征向量进行分类。