基于shell命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于shen命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统（IDS）研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法，该方法利用-阶齐次Markov链对网络系统中合法用户的正常行为进行建模，将Markov链的状态与用户执行的shell命令联系在一起，并引入一个附加状态；Markov链参数的计算中采用了运算量较小的命令匹配方法；在检测阶段，基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析，并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用，并表现出良好的检测性能。     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于数据挖掘和变长序列模式匹配的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

新的基于机器学习的入侵检测方法

提出了一种基于机器学习的用户行为异常检测方法,主要用于UNIX平台上以shell命令为审计数据的入侵检测系统。该方法在LaneT等人提出的检测方法的基础上,改进了对用户行为模式和行为轮廓的表示方式,在检测中以行为模式所对应的命令序列为单位进行相似度赋值;在对相似度流进行平滑时,引入了“可变窗长度”的概念,并联合采用多个判决门限对被监测用户的行为进行判决。实验表明,该方法在检测准确度和实时性上均优于LaneT等人提出的方法。     

基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

基于shell命令和Markov链模型的用户伪装攻击检测

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。     

一种微弱点运动目标的快速统计检测算法

本文提出一种新的从序列图像中检测微弱点状运动目标算法,该算法基于多帧检测技术,它首先累加多个差分帧,构成组合帧,然后在组合帧内对目标轨迹进行统计判别.与其它检测算法相比较,该算法在保证较高检测性能的同时,具有快速、实时的特点.本文还给出了该算法性能的理论分析结果及实验仿真结果.     

一种新的多天线准正交CDMA多用户系统及其检测方法

本文提出了一种新的基于准正交内插Walsh序列的多天线CDMA多用户系统.该系统使用扩展的内插Walsh序列生成大量准正交内插Walsh序列,每个用户使用一个序列.接收端采用多天线,每个天线的数据和所有Walsh序列做相关,联合检测这些相关值就可以检测出所有用户的数据.在复杂散射的信道中,该系统可支持的最大用户数是Walsh序列长度乘以接收天线数,极大的增加了可同时接入的用户数.同时得出了内插Walsh序列生成矩阵必须列不相关及列重不小于接收天线数的条件.     

DOS命令记录器

著名的Windows窗口软件中有个命令序列记录器Recorder的程序组,利用它用户可以记录一条或多条Windows或应用程序的命令序列;这些命令序列可以是某些信息,如输入到应用程序中的文字或数据;或者同时记录上述两项命令内容,这一过程叫做命令序列的Recorder功能。然后使用单个按键或组合按键来重放这些命令序列,这个过程叫做命令序列的Playback功能。系统中的这种命     

基于Shell命令和多阶Markov链模型的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次narkov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的...     

一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

基于独立分量分析的联合盲多用户检测

传统的多用户检测方法仅利用扩频码统计独立性,本文充分利用DS-CDMA信号中各用户扩频码的统计独立性和各用户信息数据序列的统计独立性,提出了基于独立分量分析和多用户检测的联合盲多用户检测法.仿真结果表明,该方法具有更好的检测性能、更强的抗多址干扰(MAI)和抗远近效应的能力.     

基于自适应的DS-UWB多用户检测方案研究

文章在文献[1]的基础上进一步研究了基于直接序列扩频超宽带(DS-UWB)通信系统中接收机的多用户检测方案及其实现,提出了利用不同用户各自多径信道具有非相关性的特点进行多用户检测的独特思路.该方案充分考虑了多径信道的影响,给出了用户接入容量与地址码之间的关系以及用户接入容量与接收信号采样率之间的关系,最终提出了一种针对具体应用环境(多径信道)的简化的设计方法.     

基于盲源分离的CDMA系统信息码与扩频码盲估计

针对码分多(CDMA)系统盲多用户检测问题,提出了一种基于盲源分离(BSS)的信息码盲检测与扩频码盲估计算法.该算法在对CDMA系统进行多用户检测的过程中,不仅不需要知道用户的扩频码,同时利用最小均方误差(MMSE) 则还可以盲估计出不同用户的扩频码序列.仿真结果证明该算法有较大的实用价值.     

多聚类融合算法在频繁非法访问检测中的应用

针对频繁非法访问的检查问题，提供了一种机器学习方法来检测登录场景中的频繁非法访问活动。通过特征工程的方法分析登录日志数据，筛选提取有效特征，再使用聚类方法对登录特征数据进行检测，分类出正常用户和异常用户。为了提高无监督识别算法的精度，提出了多聚类融合的检测算法，从多个聚类算法的角度，精确识别出登录日志中的频繁非法访问用户。实验结果证明，该方法可以更准确地提取登录场景中各项指标异常的用户，并可以扩展适应其他频繁非法访问场景。     

多径衰落信道下基于子空间的RLS盲多用户检测

本文在RLS盲检测算法的基础上,利用子空间的概念,构建了基于子空间的RLS多用户盲检测算法,在仅仅需要知道目标用户的特征序列和定时的条件下,自适应地估计检测向量,通过理论分析表明,改进的检测算法在运算复杂度上低于满秩RLS算法[7].仿真结果表明,改进的检测算法收敛性能优于满秩RLS算法,同时在特征序列畸变条件下表现出健壮件也远优于满秩RLS检测算法.     

基于层级实时记忆算法的时间序列异常检测算法

时间序列异常检测是数据分析中一个重要的研究领域.传统的时间序列的异常检测方法主要通过比较检测数据和历史数据的差异程度,以判断被检测数据是否为奇异点（Surprise）、离群（Outlier）点等.然而序列和窗口的划分,状态的划分或者异常的定义和判定等问题,使得这类方法存在一定的局限性.本文针对传统时间序列检测算法不足,提出一种基于层级实时记忆算法的时间序列异常检测算法.该方法对时间序列内在模式关系进行学习,建立预测模型,通过比较预测值和真实值的偏离程度来判断数据是否异常.首先使用稀疏离散表征在保证保留数据相关性的同时又将数据离散化;然后输入到模型网络,预测下一时刻的数据值;最终根据预测值和真实值的差异为数据异常程度进行定量评分.在人造数据和真实数据上的实验表明,该方法能够准确、快速地发掘时间序列中的异常.     

确定性退火算法在"伪装"入侵行为检测中的应用

本文提出了一种基于确定性退火算法的检测"伪装"入侵行为的方法.在该方法中,每一个用户被看作是一个离散变长记忆的平稳信源,被"伪装"的入侵者利用的账户所产生的命令行字符序列可以被看作是由该账户的相应用户和"伪装"的入侵者两个不同信源在不同时段活动的混合结果.我们通过对命令行字符序列的分析来重构原信源模型以判断是否存在入侵行为.实验结果表明该模型是可行的.     

基于统计可信度的压缩感知协作频谱检测算法

压缩感知为认知无线电的宽频谱感知提供了一种新的方法和思路。基于压缩感知的原理,提出了一种多认知用户协作场景下基于用户统计可信度的协作频谱检测算法。该算法使用正交匹配协作追踪算法获得认知区域内的频谱占用情况,根据不同认知用户频谱检测的历史准确度综合判定用户感知结果的统计可信度。仿真结果表明,该算法在不同用户数、不同采样值、不同信噪比变化范围下其检测性能均优于传统算术平均方法,有效改善了检测性能。