本發明公開了一種基于關系網絡的主機入侵檢測方法，包括：步驟1，對主機系統調用序列樣本集進行特征化處理；步驟2，將經步驟1處理后的數據集劃分為訓練集、支持集和測試集；再將訓練集劃分為樣例集和查詢集；步驟3，構建關系網絡模型；所述關系網絡模型包括嵌入模塊、連接模塊和關系模塊；步驟4，定義關系網絡模型的目標函數；步驟5，訓練構建的關系網絡模型，得到主機入侵檢測模型；步驟6，將需要檢測的主機系統調用序列經過步驟1后輸入訓練好的主機入侵檢測模型進行主機入侵檢測。本發明提出一種基于關系網絡的主機入侵檢測方法，該方法可以在小樣本的情況下既可以實現已有入侵方式的主機檢測也可以實現未知入侵方式的主機入侵檢測。

技術領域

本發明涉及網絡空間安全領域，尤其是一種基于關系網絡的主機入侵檢測方法。

背景技術

隨著互聯網的迅猛發展，給人們生活帶來便利的同時，也使得網絡空間安全環境日趨復雜。很多黑客們以主機作為攻擊目標，進行大規模的入侵，且伴隨著入侵病毒和入侵行為的多樣化、復雜化、智能化、隱蔽化，使得主機入侵檢測面臨巨大的挑戰。為處理以上難題，目前普遍采用深度神經網絡方法進行主機入侵檢測。深度神經網絡在監督識別任務上取得了很好的成果，但是深度神經網絡需要每個類有足夠多且完全標注的數據，同時，面對不斷出現新的入侵病毒和入侵行為，對于深度神經網絡進行主機入侵檢測引發了以下兩個問題：

一、由于高昂的標注樣本代價，對于少量樣本訓練得到的模型，檢測率較低，誤報率較高；

二、對于新出現的入侵病毒和入侵行為，原有模型不能識別，需要重新訓練模型。

以上引發的問題即少樣本問題，為了解決少樣本問題，研究人員發現人類非常擅長通過極少量的樣本識別一個新物體，比如小孩子只需要書中的一些圖片就可以認識什么是“斑馬”，什么是“犀牛”。在人類的快速學習能力的啟發下，研究人員希望機器學習模型在學習了一定類別的數據后，對于新的類別，只需要少量的樣本就能快速學習，這就是小樣本學習(Few-shot Learning，FSL)。FSL主要模型大致可分為三類：基于模型(Mode Based)、基于度量(Metric Based)和基于優化(Optimization Based)方式的。而關系網絡(RelationNetwork，RN)是基于度量方式的，RN讓網絡自己學習度量方式，使的模型效果更好。但FSL目前僅是應用在圖像領域和自然語言處理領域。

發明內容

本發明所要解決的技術問題是：針對上述存在的問題，提供一種基于關系網絡的主機入侵檢測方法。

本發明采用的技術方案如下：

一種基于關系網絡的主機入侵檢測方法，包括：

步驟1，對主機系統調用序列樣本集進行特征化處理，得到樣本集的屬性矩陣和標簽矩陣；

步驟2，將經步驟1處理后的數據集劃分為訓練集、支持集和測試集；再將訓練集劃分為樣例集和查詢集，所述樣例集和查詢集分別對應測試時的支持集和測試集；

步驟3，構建關系網絡模型；所述關系網絡模型包括嵌入模塊、連接模塊和關系模塊；所述嵌入模塊的輸出經過連接模塊進行特征處理后再輸入關系模塊；

步驟4，定義關系網絡模型的目標函數；

步驟5，將樣本集經過步驟1處理和步驟2劃分后輸入構建的關系網絡模型，并利用步驟4確定的目標函數訓練構建的關系網絡模型，得到主機入侵檢測模型；

步驟6，將需要檢測的主機系統調用序列經過步驟1后輸入訓練好的主機入侵檢測模型進行主機入侵檢測。

進一步地，步驟1包括如下子步驟：

步驟1.1，對樣本集進行數值化；

步驟1.2，對數值化后的樣本集進行特征化，得到一維特征矩陣；