融合注意力与卷积的系统调用异常检测

作     者：陈仲磊 伊鹏 陈祥 胡涛 CHEN Zhongei;YI Peng;CHEN Xiang;HU Tao

作者机构：信息工程大学河南郑州450001 

基　　金：国家重点研发计划资助项目(2019YFB802505 2020YFB806402) 

出 版 物：《信息工程大学学报》 (Journal of Information Engineering University)

年 卷 期：2023年第24卷第4期

页      码：475-483页

摘      要：基于系统调用数据是实施主机异常检测的一种有效手段,然而现有检测技术无法有效应对混淆攻击。提出一种融合注意力与卷积的系统调用异常检测模型,能够同时关注到系统调用序列展现的进程全局行为与每一个时间窗口的局部行为。首先,设计了一种混淆攻击数据模拟生成方法解决样本数据不平衡问题,提出基于进程行为特征的序列补齐方法增强系统调用语义特征;其次,融合注意力机制与一维权重卷积网络同时从系统调用序列的全局与局部提取数据特征;最后,基于单一变量原则和交叉验证方式获得最优异常检测模型,进而得到异常检测结果。与其他传统异常检测方法对比得出,所提模型具有更高的准确率(96.6%)和较低的误报率(1.9%),同时此模型具有抵抗混淆攻击的能力。

主 题 词：一维权重卷积 系统调用 多头注意力 位置编码 异常检测 

学科分类：08[工学] 0839[0839] 081201[081201] 0812[工学-测绘类] 

D　O　I：10.3969/j.issn.1671-0673.2023.04.013

馆 藏 号：203123303...