本发明公开了一种主机异常检测中系统调用数据的特征提取方法。所述方法包括以下步骤：获取应用程序在运行期间的系统调用序列记录,在每个序列记录上,提取系统调用的n-gram数值序列；在每个系统调用序列记录上,基于提取的n-gram数值序列,获得n-gram频数序列；在每个n-gram频数序列上,进行K个统计值计算,将K个统计值作为特征值。本发明的方法涉及基于主机的异常检测领域,将不等长的系统调用序列转化为K个统计值描述的特征向量,此特征向量独立于系统调用的采集平台,可实现跨平台。

• 单位
  华南理工大学