基于系统调用序列的车载主机设备入侵检测方法研究

列车内部的主机设备搭载Linux嵌入式操作系统，外部应用需要执行系统调用来访问系统内核。随着列车通信网络的兼容性和开放性不断提升，车载主机设备存在遭受网络攻击的风险。当网络攻击发生时，恶意程序同样会通过系统调用与内核产生交互并留下相应痕迹，因此可基于系统调用序列实现车载主机设备的入侵检测。文章分析了Linux系统结构和系统调用序列的原理，设计了包含特征提取、特征词袋处理、特征逆频率处理和特征降维的原始数据特征处理方法，构建了基于网格搜索-K近邻（Grid Search-K-Nearest Neighbor, GS-KNN）的入侵检测模型。试验证明，文章提出的方法准确率达到了96.62%，相较于其他轻量级算法存在优势，能够实现网络入侵的有效检测。