[发明专利]一种异常行为检测方法、装置及电子设备

说明书

本申请公开了一种异常行为检测方法，包括：获取待检测设备的系统调用序列；将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果；异常行为检测模型基于调用序列样本训练得到，该模型包括双向长短期记忆层，双向长短期记忆层的细胞变体的遗忘门的输出基于历史系统调用序列的第一信息、历史系统调用序列的第二信息以及待检测设备的系统调用序列确定，双向长短期记忆层的细胞变体的输入门的输出基于遗忘门的输出确定，第一信息包括历史系统调用序列的历史时刻的隐层状态信息，第二信息包括历史系统调用序列的历史时刻的细胞状态信息；基于输出结果，确定待检测设备是否存在异常行为调用。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种异常行为检测方法、装置及电子设备。

背景技术

随着互联网技术的发展，互联网也面临越来越多的网络安全挑战。比如，网络攻击者可能容易绕过现有的安全防御，对网络和计算机存在的固有漏洞进行攻击。基于此，为了维护网络安全，通常需要对网络和计算机进行入侵检测，其中，入侵检测是网络安全的核心要素，其主要目的是识别网络和计算机中的入侵异常行为。

相关技术中，通常基于入侵检测系统(Intrusion Detection System，IDS)对网络和计算机进行入侵检测，具体地，针对网络进行入侵检测时，IDS通过分析在网络中若干关键点采集的流量数据来发现是否有网络入侵的行为或迹象，识别出正在发生的入侵企图或已经发生的入侵活动；针对计算机进行入侵检测时，利用已知类型的攻击样本以离线的方式训练入侵检测模型，然后基于训练好的入侵检测模型进行入侵检测。

然而，采用上述方法对计算机进行检测时，由于计算机活动通常是动态的，因此可能出现不能识别新出现的攻击类型的问题，以及存在模型更新代价高等问题。

发明内容

本申请实施例提供一种异常行为检测方法，用以解决现有技术中基于入侵检测系统进行入侵检测时，可能出现不能识别新出现的攻击类型的问题，以及存在模型更新代价高等问题。

本申请实施例还提供一种异常行为检测装置，一种电子设备，以及一种计算机可读存储介质。

本申请实施例采用下述技术方案：

第一方面，本申请实施例提供一种异常行为检测方法，包括：

获取待检测设备的系统调用序列；

将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果；其中，输出结果包括系统调用序列的分类标签，异常行为检测模型基于正调用序列样本和负调用序列样本训练得到，异常行为检测模型包括双向长短期记忆层，双向长短期记忆层的细胞变体的遗忘门的输出基于历史系统调用序列的第一信息、历史系统调用序列的第二信息以及待检测设备的系统调用序列确定，双向长短期记忆层的细胞变体的输入门的输出基于遗忘门的输出确定，第一信息包括历史系统调用序列的历史时刻的隐层状态信息，第二信息包括历史系统调用序列的历史时刻的细胞状态信息；所述系统调用序列正样本表征设备未存在异常行为调用，所述系统调用序列负样本表征设备存在异常行为调用；

基于输出结果，确定待检测设备是否存在异常行为调用。

可选的，在将系统调用序列输入预先训练得到的异常行为检测模型，得到输出结果之前，还包括：构建异常行为检测模型；

其中，构建异常行为检测模型，包括：

获取系统调用序列正样本和系统调用序列负样本，其中，系统调用序列正样本表征设备未存在异常行为调用，系统调用序列负样本表征设备存在异常行为调用；