[发明专利]一种自适应的主机入侵检测序列特征提取方法及系统

说明书

本发明公开了自适应的主机入侵检测序列特征提取方法，包括：提取定长特征子序列和变长特征子序列，得到定长语料库与变长语料库，取并集得到特征语料库，统计特征语料库中的子序列在待测试系统调用序列出现的频率得到特征向量，利用自动编码机对特征向量进行降维，将降维后的特征向量输入分类器进行分类，并得到分类结果。还公开了自适应的主机入侵检测序列特征提取系统，包括定长特征提取模块、变长特征提取模块、特征融合模块、自动编码机和分类器。结合定长和变长特征对主机程序行为进行描述，具有更好的自适应性，通过变长特征提取能够更好的刻画给定程序行为，基于TF‑IDF的定长特征选取方法，能够进一步提取出对分类贡献较高的特征。

技术领域

本发明涉及主机入侵检测技术领域，具体的说，是一种自适应的主机入侵检测序列特征提取方法及系统。

背景技术

主机入侵检测技术是一种通过事后分析从而防止进一步攻击的入侵检测技术，具备检测性价比高、检测视野集中、易于用户剪裁、无需另设硬件平台等优点。系统调用序列代表了主机中运行进程的行为特征，是主机入侵检测系统重要的数据来源。系统调用序列通常被抽象为代表调用函数的数字向量，各个系统调用之间的组合顺序代表了进程潜在的行动目标。传统的主机入侵检测特征提取方法有基于窗口的特征提取方法，主要利用定长窗口对系统调用序列进行划分得到子序列，并直接统计子序列在进程系统调用过程中出现的频率作为检测模型的输入特征，存在窗口长度难以自适应选择，以及如何从窗口序列中选取有效的分类特征的困难。尤其在处理海量系统调用序列集时，不恰当的窗口长度划分会导致系统调用子序列数量爆炸式增长，从而造成计算成本增加。并且子序列对窗口长度敏感，过短的子序列容易被攻击者绕过，而长子序列的长度与所用数据相关性较高，利用长序列进行训练容易造成分类模型的过拟合。

发明内容

本发明的目的在于提供一种自适应的主机入侵检测序列特征提取方法及系统，用于解决现有技术中基于定长窗口的特征提取方法不容易选择合适的窗口长度导致系统调用子序列数量爆炸式增长、计算成本增加以及过短的子序列容易被攻击者绕过，而长子序列的长度与所用数据相关性较高，利用长序列进行训练容易造成分类模型的过拟合的问题。

本发明通过下述技术方案解决上述问题：

一种自适应的主机入侵检测序列特征提取方法，包括：

步骤S100：从正常系统调用序列数据集提取定长特征子序列，包括：

步骤S110：利用N-Gram（N元模型）以设定的滑动窗口值将输入的系统调用序列切分成定长子序列；

步骤S120：利用TF-IDF（词频-逆文本频率）对各个定长子序列进行加权，TF是词频(Term Frequency)，IDF是逆文本频率指数(Inverse Document Frequency)，TF-IDF是一种用于信息检索与数据挖掘的常用加权技术。然后根据权重的大小对定长子序列进行筛选得到定长特征子序列的集合即为定长语料库；

步骤S200：从正常系统调用序列数据集提取变长特征子序列，包括：

步骤S210：判断输入的系统调用序列的长度是否大于指定单位长度d，若是，进入步骤S220；否则进入步骤S230；

步骤S220：将系统调用序列进行切分，得到系统调用子序列，进入下一步；

步骤S230：对每个系统调用序列或系统调用子序列分别建立后缀树，并筛选出每个系统调用序列或系统调用子序列的最长重复子串作为变长特征子序列，变长特征子序列的集合为变长语料库；

步骤S300：将得到的定长语料库与变长语料库取并集得到特征语料库，统计特征语料库中的子序列在待测试系统调用序列出现的频率得到特征向量，利用自动编码机对特征向量进行降维，将降维后的特征向量输入分类器进行分类，并得到分类结果。