基于改进OBS-NMF算法的入侵检测方法

摘要

本发明公开了一种基于改进OBS-NMF算法的入侵检测方法，主要解决已有技术存在的处理高维数据能力低，鲁棒性不强，阈值选取范围小，检测结果不理想的问题。其实现步骤为：(1)收集进程系统调用；(2)构造并简化训练矩阵；(3)对训练矩阵进行降维分解；(4)判断是否满足收敛条件，若满足，则执行步骤(5)，否则返回步骤(3)继续迭代，直到达到最大迭代次数；(5)构造测试矩阵U；(6)利用基矩阵W求解U的特征系数向量hu；(7)求解U中进程向量的异常度；(8)设定阈值λ，输出检测结果。本发明具有实现简单，稳定性好，检测精度高，阈值选取范围大和实时性强的优点，可用于基于主机系统调用的实时入侵检测。

主权项

1.一种基于改进OBS-NMF算法的入侵检测方法，包括如下步骤：(1)运行客户端计算机，利用服务器对其进行入侵攻击，监视系统运行中产生的正常进程和异常进程，收集进程执行过程中产生的系统调用；(2)将收集到的每一个正常进程按照系统调用号从小到大构造一个进程向量，将系统调用出现的次数作为向量的元素，设定训练矩阵规模，将每一个向量依次输入作为训练矩阵的一列，构建出训练矩阵V^*表示如下：${V^{*}}_{n\times m}=\left[\begin{array}{ccccc}1& 1& 0& ···& 3\\ 0& 2& 2& ···& 0\\ ···& ···& ···& ···& ···\\ 0& 0& 1& ···& 0\end{array}\right]=[{v^{*}}_1,{v^{*}}_2,···,{v_i}^{*},···{v^{*}}_m]$n是最大系统调用号，m是进程数，v是系统调用次数；(3)删除训练矩阵中0元素比例大于95％的行，并标记被删除的行，计算训练矩阵中各系统调用在相应进程中的使用概率，将V^*简化成矩阵V；(4)使用OBS-NMF算法对简化后的训练矩阵V进行降维分解，使得V≈WH，W表示V的权值矩阵，其大小为n×r，H表示V的系数矩阵，其大小为r×m，r表示分解因子，W和H的初始值取随机值；(5)利用以下迭代公式求得权值矩阵W和系数矩阵H：W⁺←((H·H^T)^-1·H·V^T)^TW＝W⁺+ΔW⁺H⁺←(W·(W^T·W)^-1)^T·VH＝H⁺+ΔH⁺其中W⁺和H⁺分别是W和H的过渡变量，分别表示调整W⁺和H⁺后引起的均方误差增量，j＝1，2，…，n，e_j第j列的单位矩阵，矩阵W_j＝W⁺e_j，H_j＝H⁺e_j，5＜r＜20；(6)选择最大迭代次数maxiter＝1000，判断V与WH的迭代误差是否满足收敛条件Conv＞γ，其中，0.8＜γ＜1，若满足，则执行步骤(7)，否则返回步骤(5)继续迭代，直到达到最大迭代次数maxiter，迭代误差式表示为：$\mathrm{Conv}=\underset{i}{\min }\left(\frac{v_i^T\left({\mathrm{Wh}}_i\right)}{{\left|\right|v_i\left|\right|}_2{\left|\right|{\mathrm{Wh}}_i\left|\right|}_2}\right),i=\mathrm{1,2},···m$其中，h_i表示H矩阵的列向量；(7)取全部正常进程和异常进程作为测试样本，对该测试样本执行步骤(2)，并删除步骤(3)中标记的行，得到测试矩阵U，使用如下公式，求解U中每个列向量u的特征系数向量h_u：h_u＝(W^T·W)^-1·W^T·u；(8)比较h_u与H中每个向量h_i的正弦距离，将最小的正弦距离作为U中每个进程向量u的异常度e：$e=1-\underset{i}{\max }\left(\frac{h_u^T{h}_i}{{\left|\right|h_u\left|\right|}_2{\left|\right|h_i\left|\right|}_2}\right),i=\mathrm{1,2}···m;$(9)设定门限阈值0＜λ＜0.1，如果e＞λ，则表明该进程存在异常，提示系统进行处理，否则提示进程安全。