基于shell命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于shell命令和Markov链模型的用户伪装攻击检测

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。     

基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

新的基于机器学习的入侵检测方法

提出了一种基于机器学习的用户行为异常检测方法,主要用于UNIX平台上以shell命令为审计数据的入侵检测系统。该方法在LaneT等人提出的检测方法的基础上,改进了对用户行为模式和行为轮廓的表示方式,在检测中以行为模式所对应的命令序列为单位进行相似度赋值;在对相似度流进行平滑时,引入了“可变窗长度”的概念,并联合采用多个判决门限对被监测用户的行为进行判决。实验表明,该方法在检测准确度和实时性上均优于LaneT等人提出的方法。     

基于Shell命令和多阶Markov链模型的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次narkov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的...     

一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

基于命令紧密度的用户伪装入侵检测方法

根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵.如果待检测的命令块对于该用户来说表现出紧密度过低,则判断为异常.实验表明该方法计算量小,检测效果好,而且具有很高的实时性.     

隐马尔可夫模型应用于入侵检测系统的研究

现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高明的入侵手段要求入侵检测技术不断快速向前发展。对于入侵检测的实现手段也要多样化。 本文提出了一种基于隐马尔可夫模型的异常检测新方法——隐马尔可夫状态时延序列嵌入法（HMMTide）。这种方法的主要思想是用HMM模型的隐含状态序列的局部模型，即隐马尔可夫状态短序列，实现对正常行为的特征的刻画。通过对被测行为产生的隐马尔科夫状态序列局部模式与已建立的正常模型进行比较实现异常检测。该方法具有从不完整的数据中进行异常分析的能力，减少了对系统资源的需求。对HMMTjde方法进行了仿真实验，实验结果表明采用HMM方法后，虚警率大大降低了，而且在构建正常行为特征库时，对数据完整性的要求也大大降低了。     

遗传算法在基于网络异常的入侵检测中的应用

考虑到基于误用的IDS不能有效检测未知入侵行为,而基于统计的异常检测法在建模时忽略了多变量在一段时间内的关系,提出了一种异常检测算法.用滑动窗口将系统各属性表示为特征向量,从而将系统正常状态分布在n维空间中,并使用遗传算法进化检测规则集来覆盖异常空间.经实验证明该方法提高了检测率.     

基于多参数的驾驶员疲劳检测系统

疲劳驾驶已经成为威胁驾驶员安全的重要因素.本文设计了一种融合眼睛状态和心跳速率变化的驾驶员疲劳检测系统,分别研究了驾驶员疲劳时眼睛状态和心跳速率的变化规律,改进了已有的疲劳检测算法以适应驾驶环境.由于融合了眼睛检测子系统和心跳速率检测子系统,该系统既减小了光照等环境因素的影响,又克服了心跳速率检测设备有延迟的缺点,具有更好的准确率.实验结果证明该系统具有良好的鲁棒性和实时性.     

特征检测与异常检测相结合的入侵检测模型

介绍了入侵检测技术的基本概念,讨论了几种常见的入侵检测技术,提出特征检测和入侵检测相结合的一种检测技术,建立了模型并分析了实验结果,发现其检测性能更好。     

网络入侵检测技术研究

对入侵检测作较全面的综述性介绍，首先从入侵、入侵检测的概念出发，接着介绍入侵检测的分类和入侵检测系统的模型，最入对入侵检测的各种方法进行简要分析。     

基于聚类的网络异常检测

探索一种基于聚类来识别异常的方法,这个方法不需要手动标示的训练数据集却可以探测到很多不同类型的入侵行为.实验结果表明该方法是可行的和有效的,使用它来进行异常检测可以得到探测率和误报率的一个平衡,从而为异常检测问题提供一个较好的解决办法.     

基于能量和循环谱的两步频谱感知

频谱感知是认知无线电的重要技术之一,它通过实时感知电磁环境以判断频谱空穴的存在。根据能量检测的检测时间短,以及循环平稳特征检测在低信噪比情况下的检测准确性高的优点,提出了基于能量和循环谱的两步检测算法。通过实验仿真表明,与循环平稳特征检测相比,两步检测的检测时间大幅度缩短,同时检测准确性也得到了提高。     

基于VC＋＋的超声波混凝土厚度检测软件的设计与实现

为检测混凝土厚度,研发了基于Windows平台的超声数据分析软件,并根据用户需求设计系统架构和模块功能,以提高软件的可靠性和易用性。该软件采用自定义数据格式,利用多种数字信号处理方法对原始数据进行分析处理,当发射器有效地监测到反射波时,软件根据收集到的数据计算出混凝土厚度。     

视频检测算法研究与FPGA实现

视频检测、跟踪、识别一直是智能监控、视频检索、模式识别相关领域研究的热点。在此使用FPGA作为系统的控制模块,实现了基于背景寄存检测算法的检测系统。该系统在满足实时性要求的同时,较好地完成了检测任务。并用在QuartusⅡ,ModelSim进行混合仿真,避免了硬件平台的限制,增加了实现的成功率。     

Fast-response low-ripple envelope follower

A novel envelope detector structure is proposed in this paper that overcomes the traditional trade-off required in these circuits. It improves both the tracking and keeping of the signal and thereby obtains great savings of capacitor area. At the same time, it cancels nonlinearities due to the use of switches when this technique is employed, such as nonlinearities caused by charge injection and, tenders high performance with small ripple (<1%), fast settling (0.4 μs) and high linearity.     

故障信号的分析与检测方法

讨论了小波变换及其基本性质,探讨了基于小波变换模最大值沿尺度演变的信号突变检测的基本原理与方法。在不同尺度上分析和处理信号的各种频率成分,使信号的奇点、突变点被放大,成为诊断故障信号的手段。     

A pattern recognition approach to tone detection

A pattern recognition approach is proposed for tone detection. Three basic tone features are extracted from the signal in the form of power, mean frequency, and spectral concentration. These three features are calculated for each signal sample taken during the decision interval and are represented by points in a three dimensional space.The actual tone detection function is then performed by partitioning the feature space in two decision volumes corresponding to the two alternatives (tone present and absent respectively) and by identifying the presence of associated clusters. A reject option is available when the decision volumes are not complementary, and allows the system to be insensitive to very noisy samples (e.g. impulsive noise).A non-linear classification method is presented which provides adaptive and robust detection in presence of non gaussian noise. Moreover global performance may be optimized on-line for unknown or time varying environments.Hardware and Software simulation results are presented and show good performance in presence of impulsive and interference noise.