摘要
本发明属于网络安全与机器学习技术领域,公开了一种基于多视图协同学习的主机入侵检测方法和装置。包括采集主机内核日志数据构建溯源图,抽取溯源图中每个节点的结构特征、操作特征和语义特征,以进程节点的结构特征、操作特征和语义特征分别训练无监督异常检测模型;对于进程节点样本集,若三个无监督异常检测模型的检测结果一致,则将进程节点以及检测结果放入有标注训练样本集;否则放入无标注训练样本集;取有标注训练样本集分别训练三个有监督子模型;利用无标注训练样本集对三个有监督子模型进行半监督协同训练,得到三个主机入侵检测模型,利用主机入侵检测模型得到待检测进程节点的检测结果。本发明提高对APT检测的准确性和检测效率。
