基于系统调用数据是实施主机异常检测的一种有效手段，然而现有检测技术无法有效应对混淆攻击。提出一种融合注意力与卷积的系统调用异常检测模型，能够同时关注到系统调用序列展现的进程全局行为与每一个时间窗口的局部行为。首先，设计了一种混淆攻击数据模拟生成方法解决样本数据不平衡问题，提出基于进程行为特征的序列补齐方法增强系统调用语义特征；其次，融合注意力机制与一维权重卷积网络同时从系统调用序列的全局与局部提取数据特征；最后，基于单一变量原则和交叉验证方式获得最优异常检测模型，进而得到异常检测结果。与其他传统异常检测方法对比得出，所提模型具有更高的准确率(96.6%)和较低的误报率(1.9%),同时此模型具有抵抗混淆攻击的能力。

• 单位
  信息工程大学