共查询到20条相似文献,搜索用时 468 毫秒
1.
异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 相似文献
2.
一种新的基于Markov链模型的用户行为异常检测方法 总被引:3,自引:0,他引:3
提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 相似文献
3.
提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。 相似文献
4.
基于隐马尔可夫模型的用户行为异常检测新方法 总被引:2,自引:0,他引:2
提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。 相似文献
5.
6.
7.
一种基于隐马尔可夫模型的IDS异常检测新方法 总被引:4,自引:1,他引:3
提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。 相似文献
8.
基于命令紧密度的用户伪装入侵检测方法 总被引:2,自引:0,他引:2
根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵.如果待检测的命令块对于该用户来说表现出紧密度过低,则判断为异常.实验表明该方法计算量小,检测效果好,而且具有很高的实时性. 相似文献
9.
现在入侵检测系统面临着巨大挑战,越来越复杂的计算机网络系统,越来越高明的入侵手段要求入侵检测技术不断快速向前发展。对于入侵检测的实现手段也要多样化。
本文提出了一种基于隐马尔可夫模型的异常检测新方法——隐马尔可夫状态时延序列嵌入法(HMMTide)。这种方法的主要思想是用HMM模型的隐含状态序列的局部模型,即隐马尔可夫状态短序列,实现对正常行为的特征的刻画。通过对被测行为产生的隐马尔科夫状态序列局部模式与已建立的正常模型进行比较实现异常检测。该方法具有从不完整的数据中进行异常分析的能力,减少了对系统资源的需求。对HMMTjde方法进行了仿真实验,实验结果表明采用HMM方法后,虚警率大大降低了,而且在构建正常行为特征库时,对数据完整性的要求也大大降低了。 相似文献
10.
11.
疲劳驾驶已经成为威胁驾驶员安全的重要因素.本文设计了一种融合眼睛状态和心跳速率变化的驾驶员疲劳检测系统,分别研究了驾驶员疲劳时眼睛状态和心跳速率的变化规律,改进了已有的疲劳检测算法以适应驾驶环境.由于融合了眼睛检测子系统和心跳速率检测子系统,该系统既减小了光照等环境因素的影响,又克服了心跳速率检测设备有延迟的缺点,具有更好的准确率.实验结果证明该系统具有良好的鲁棒性和实时性. 相似文献
12.
13.
网络入侵检测技术研究 总被引:3,自引:0,他引:3
对入侵检测作较全面的综述性介绍,首先从入侵、入侵检测的概念出发,接着介绍入侵检测的分类和入侵检测系统的模型,最入对入侵检测的各种方法进行简要分析。 相似文献
14.
探索一种基于聚类来识别异常的方法,这个方法不需要手动标示的训练数据集却可以探测到很多不同类型的入侵行为.实验结果表明该方法是可行的和有效的,使用它来进行异常检测可以得到探测率和误报率的一个平衡,从而为异常检测问题提供一个较好的解决办法. 相似文献
15.
频谱感知是认知无线电的重要技术之一,它通过实时感知电磁环境以判断频谱空穴的存在。根据能量检测的检测时间短,以及循环平稳特征检测在低信噪比情况下的检测准确性高的优点,提出了基于能量和循环谱的两步检测算法。通过实验仿真表明,与循环平稳特征检测相比,两步检测的检测时间大幅度缩短,同时检测准确性也得到了提高。 相似文献
16.
17.
18.
J.P. Alegre Author Vitae Author Vitae J.M. García del Pozo Author Vitae Author Vitae 《Integration, the VLSI Journal》2009,42(2):169-174
A novel envelope detector structure is proposed in this paper that overcomes the traditional trade-off required in these circuits. It improves both the tracking and keeping of the signal and thereby obtains great savings of capacitor area. At the same time, it cancels nonlinearities due to the use of switches when this technique is employed, such as nonlinearities caused by charge injection and, tenders high performance with small ripple (<1%), fast settling (0.4 μs) and high linearity. 相似文献
19.
故障信号的分析与检测方法 总被引:1,自引:0,他引:1
讨论了小波变换及其基本性质,探讨了基于小波变换模最大值沿尺度演变的信号突变检测的基本原理与方法。在不同尺度上分析和处理信号的各种频率成分,使信号的奇点、突变点被放大,成为诊断故障信号的手段。 相似文献
20.
Jean-Gabriel Gander 《Signal processing》1979,1(1):65-81
A pattern recognition approach is proposed for tone detection. Three basic tone features are extracted from the signal in the form of power, mean frequency, and spectral concentration. These three features are calculated for each signal sample taken during the decision interval and are represented by points in a three dimensional space.The actual tone detection function is then performed by partitioning the feature space in two decision volumes corresponding to the two alternatives (tone present and absent respectively) and by identifying the presence of associated clusters. A reject option is available when the decision volumes are not complementary, and allows the system to be insensitive to very noisy samples (e.g. impulsive noise).A non-linear classification method is presented which provides adaptive and robust detection in presence of non gaussian noise. Moreover global performance may be optimized on-line for unknown or time varying environments.Hardware and Software simulation results are presented and show good performance in presence of impulsive and interference noise. 相似文献