共查询到20条相似文献,搜索用时 265 毫秒
1.
异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 相似文献
2.
异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用-阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 相似文献
3.
一种新的基于Markov链模型的用户行为异常检测方法 总被引:3,自引:0,他引:3
提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 相似文献
4.
基于数据挖掘和变长序列模式匹配的程序行为异常检测 总被引:1,自引:0,他引:1
异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能. 相似文献
5.
6.
基于隐马尔可夫模型的用户行为异常检测新方法 总被引:2,自引:0,他引:2
提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。 相似文献
7.
提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。 相似文献
8.
9.
本文提出了一种新的基于准正交内插Walsh序列的多天线CDMA多用户系统.该系统使用扩展的内插Walsh序列生成大量准正交内插Walsh序列,每个用户使用一个序列.接收端采用多天线,每个天线的数据和所有Walsh序列做相关,联合检测这些相关值就可以检测出所有用户的数据.在复杂散射的信道中,该系统可支持的最大用户数是Walsh序列长度乘以接收天线数,极大的增加了可同时接入的用户数.同时得出了内插Walsh序列生成矩阵必须列不相关及列重不小于接收天线数的条件. 相似文献
10.
11.
12.
一种基于隐马尔可夫模型的IDS异常检测新方法 总被引:4,自引:1,他引:3
提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。 相似文献
13.
14.
基于自适应的DS-UWB多用户检测方案研究 总被引:3,自引:2,他引:1
文章在文献[1]的基础上进一步研究了基于直接序列扩频超宽带(DS-UWB)通信系统中接收机的多用户检测方案及其实现,提出了利用不同用户各自多径信道具有非相关性的特点进行多用户检测的独特思路.该方案充分考虑了多径信道的影响,给出了用户接入容量与地址码之间的关系以及用户接入容量与接收信号采样率之间的关系,最终提出了一种针对具体应用环境(多径信道)的简化的设计方法. 相似文献
15.
16.
17.
18.
时间序列异常检测是数据分析中一个重要的研究领域.传统的时间序列的异常检测方法主要通过比较检测数据和历史数据的差异程度,以判断被检测数据是否为奇异点(Surprise)、离群(Outlier)点等.然而序列和窗口的划分,状态的划分或者异常的定义和判定等问题,使得这类方法存在一定的局限性.本文针对传统时间序列检测算法不足,提出一种基于层级实时记忆算法的时间序列异常检测算法.该方法对时间序列内在模式关系进行学习,建立预测模型,通过比较预测值和真实值的偏离程度来判断数据是否异常.首先使用稀疏离散表征在保证保留数据相关性的同时又将数据离散化;然后输入到模型网络,预测下一时刻的数据值;最终根据预测值和真实值的差异为数据异常程度进行定量评分.在人造数据和真实数据上的实验表明,该方法能够准确、快速地发掘时间序列中的异常. 相似文献
19.