针对系统调用的基于语义特征的多方面信息融合的主机异常检测框架
Host Anomaly Detection Framework Based on Multifaceted Information Fusion of Semantic Features for System Calls作者机构:战略支援部队信息工程大学信息技术研究所郑州450002
出 版 物:《计算机科学》 (Computer Science)
年 卷 期:2024年第51卷第7期
页 面:380-388页
学科分类:08[工学] 0839[工学-网络空间安全] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术(可授工学、理学学位)]
主 题:主机异常检测 系统调用语义信息融合 混淆攻击 深度学习 注意力机制
摘 要:混淆攻击通过修改进程运行时产生的系统调用序列,可以在实现同等攻击效果的前提下,绕过主机安全防护机制的检测。现有的基于系统调用的主机异常检测方法不能对混淆攻击修改后的系统调用序列进行有效检测。针对此问题,提出了一种基于系统调用多方面语义信息融合的主机异常检测方法。从系统调用序列的多方面语义信息入手,通过系统调用语义信息抽象和系统调用语义特征提取充分挖掘系统调用序列的深层语义信息,利用多通道TextCNN实现多方面信息的融合以进行异常检测。系统调用语义抽象实现特定系统调用到其类型的映射,通过提取序列的抽象语义信息来屏蔽特定系统调用改变对检测效果的影响;系统调用语义特征提取利用注意力机制获取表征序列行为模式的关键语义特征。在ADFA-LD数据集上的实验结果表明,所提方法检测一般主机异常的误报率低于2.2%,F1分数达到0.980;检测混淆攻击的误报率低于2.8%,F1分数达到0.969,检测效果优于对比方法。