基于集成学习的系统调用实时异常检测框架 |
| |
作者姓名: | 陈仲磊 伊鹏 陈祥 胡涛 |
| |
作者单位: | 战略支援部队信息工程大学 信息技术研究所,郑州 450002;国家数字交换系统工程技术研究中心 内生安全研究中心,郑州 450002 |
| |
基金项目: | 国家重点研发计划(2019YFB802505,2020YFB806402); |
| |
摘 要: | 基于系统调用数据的异常检测无法完成进程生命周期内的入侵行为同步感知任务,且存在实时异常检测准确率低的问题。提出一个基于集成学习的系统调用实时异常检测框架,其中包括数据处理与切片、集成学习、异常检测与反馈模块。在数据处理与切片模块中,对处于生命周期内的进程行为轨迹进行采集与分析,根据线上待分析数据与线下模型训练数据对时效性的不同要求,设计2种系统调用轨迹的切分策略;在集成学习模块中,改进GPT语言模型和门控循环神经单元用于构建系统调用轨迹片段行为轮廓,以集成学习思想融合异常检测异构模型同时抓取单向语义特征与统计特征;在异常检测与反馈模块中,采用考虑单个系统调用重要度的异常判决方法,引入同步感知与实时裁决共存的异常预警机制。在公开数据集上的实验结果表明,该框架具有进程生命周期内的入侵同步感知能力,所构建的集成模型在保证低误报率(0.2%)的同时具有高异常检测准确率(99.3%),优于决策树模型、单分类SVM、BiLSTM等对比模型。
|
关 键 词: | 异常检测 系统调用 主机入侵检测 集成学习 半监督学习 |
本文献已被 万方数据 等数据库收录! |
|