基于实时击键序列的主机入侵检测系统研究

用户的击键特性犹如指纹,能反映人独特的生理和行为特性.击键特性识别是一种生理统计学技术,它根据敲击键盘的节奏模式来区分不同的人.将击键特性运用于入侵检测能有效地识别用户,减少黑客入侵,防止账户被盗.     

基于键盘行为数据的用户身份识别

用户击键行为作为一种生物特征,具有采集成本低、安全性高的特点。然而,现有的研究方法和实验环境都是基于实验室数据,并不适用于极度不平衡的真实数据。比如,在实验室数据上效果出色的分类算法在真实数据上却无法应用。针对此问题,提出了基于真实击键行为数据的用户识别算法。该方法将聚类算法和距离算法结合起来,通过比较新来的击键行为和历史击键行为相似度以实现用户识别。实验结果表明,该算法在100名用户的3015条真实击键记录组成的数据集上准确率达到88.22%,在投入实际应用后,随着样本集的增大算法的准确率还可以进一步提升。     

基于键盘行为进行用户识别的方法与应用

基于键盘行为的已有研究大多限制在实验环境下,并限定用户的输入为特定字符串,或只在有限实验参与者中进行识别,从而导致其无法应用在真实的环境中。为了克服已有研究的局限,解决真实环境中正负样本不均衡和负样本缺失的问题,对真实环境下一千万条用户击键行为进行分析,提出了一种基于键盘行为进行用户识别的方法。该方法使用击键持续时间和击键间隔时间描述用户的击键行为,通过实验选择马氏距离进行用户击键行为相似度的对比,并对未知击键行为进行预测。实验结果表明,该方法可获得80%的预测准确率。     

基于行为特征识别的网络诈骗嫌疑人追踪系统

在互联网日益发展的今天,网络诈骗随时随处都在发生,犯罪嫌疑人的身份极难识别,给网络诈骗案件的侦破带来了困难。文章以即时聊天工具QQ为例,对网络诈骗嫌疑人身份识别及追踪给出一个完整的解决方案。文章的思路是通过行为特征来进行嫌疑人的身份识别,行为特征指不同人的击键特征,能够高精准地区分不同的人,而且键盘普及率很高,这给系统运行提供了硬件环境。在系统中,文章通过监听用户键盘击键进行击键特征提取,并且引入本地验证和服务器验证对用户进行身份识别,通过IP对疑犯进行定位,从而协助执法人员进行网络诈骗案件的侦查。     

基于实时击键序列的主机入侵检测

基于主机的入侵检测是保障计算机网络信息安全的重要手段之一．该文在介绍击键特性及其识别算法的基础上，根据大量试验结果，确定将具体键的击键序列作为信息源，提出了一种改进的贝叶斯统计方法，实现了主机入侵检测．该方法既能独立于用户名和口令之外对用户进行身份认证，又能动态监控用户击键的整个过程,文中对系统实现的关键问题和检测结果进行了详细的分析和讨论．     

基于击键特征的用户身份认证新方法

口令保护机制是绝大多数计算机及网络安全管理中的重要一环，如何有效防止因口令失窃而造成计算机及网络系统的非法进入，一直是一个倍受关注的问题，为此文章提出了一种利用用户口令输入击键特征进行用户身份认证的新方法，该方法利用人在点击键盘时所产生的按键压力和击键频率，构造出能够描述每个用户独有特征的击键特征向量，并由此提出了一种基于有限正例样本集合识别正反例的新算法，相关实验结果表明该身份认证新方法具有较高的用户识别能力。     

基于口令击键过程的用户身份识别方法研究

口令保护机制是计算机系统及其网络安全管理中重要的一环.如何有效防止因口令失窃所造成计算机及其网络系统的非法进入,一直是一个倍受关注的问题.为此本文提出了一种利用用户口令输入时的击键特征进行用户身份认证的方法.该方法利用用户在点击键盘时所产生的按键压力和击键频率,构造出能够描述每个用户特有的击键特征向量,并由此提出了一种基于有限正例样本集合识别正反例的归纳方法.相应的实验结果表明这种用户身份认证方法,具有较高的用户识别能力.     

基于谱系聚类法的用户击键特征识别

以用户击键特征为依据，提出了一种基于谱系聚类法的识别算法。该算法通过谱系聚类法对用户击键特征向量进行聚类分析，并形成各向量之间的谱系关系，从而由谱系关系来对击键特征向量进行识别。该算法的主要特点是使用欧氏距离进行分类，算法实现简单并且识别速度快。由于采用的聚类算法的简单性，其识别精度尚有待提高，因此该算法适用于击键识别的简单应用。     

基于差别子空间的用户击键特征识别

根据用户的击键行为特征，提出了一种基于差别子空间的识别算法，该算法仅依据用户前几次成功登录的击键特征计算出能够代表用户击键的共性特征向量，进而利用当前用户击键特征向量与共性特征向量的欧几里德距离作为判别依据来判定用户的身份。该算法主要进行内积运算，实现简单且识别速度快，实验结果表明该算法误报率较低，鲁棒性较强。     

基于击键特征的用户身份校验

基于用户所特有的击键节奏特征,提出了一种判别某一击键序列是否为某特定用户的行为的方案.该方案利用非参数方法中的Spearman相关分析来确定计算cityblock距离所需的权值,进而利用预存样本与新输入样本之间的距离来判定用户的身份.所以此方案不受各种可能击键的概率分布限制.一个基于击键特征的用户身份校验系统已经使用Java语言成功地实现.     

基于遗传算法优化的OCSVM双轮廓模型异常检测算法

针对Modbus工业总线协议的特殊性及工控数据样本的不均衡性,利用单类支持向量机（OCSVM）分别构建正常OCSVM模型和异常OCSVM模型,即双轮廓模态来模拟系统通信的正常模式和异常模式,从而实现工控系统异常检测。同时将遗传算法优化自变量降维应用于工控网络入侵检测场景,实现对输入自变量的降维压缩处理,防止OCSVM模型出现过拟合现象及分类准确率低的问题,提高异常检测的精度,缩减建模时间。通过仿真验证了该算法对工控网络异常检测的有效性。     

基于机器学习的用户行为异常检测模型

针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。     

单类支持向量机融合深度自编码器的异常检测模型

大规模高维不平衡数据是异常检测中的重大挑战.单类支持向量机在处理不平衡数据方面非常有效,但不适合大规模高维数据,同时单类支持向量机的核函数对检测性能也具有重要的影响.文中提出了一个深度自编码器与单类支持向量机相结合的异常检测模型,深度自编码器不仅负责提取特征和降维,同时拟合出了一个自适应核函数.深度自编码器与单类支持向...     

基于生物击键特性的访问控制

访问控制在安全领域起着越来越重要的作用,个人的一些生物特征具有唯一性而且难以改变,利用这些特征识别用户身份,从而进行系统访问控制具有很强的优势。论文首先通过对人体生物击键特性的分析,阐述了基于生物击键特性的访问控制过程;然后对已有的击键序列识别算法进行分析,提出了一种新的自适应击键特性识别算法。该算法能够适应用户敲击键盘熟练程度的变化,并可防止输入过程中的个别“奇点”影响整体的识别效果。算法改进的讨论中,通过改变特征数据的存储结构使得用户修改密码后,算法仍然能够从历史数据中挖掘击键特性,提高学习效率。最后的测试结果和理论分析都表明该方法对于因密钥丢失导致的系统失控具有很好的防护作用。     

基于改进单类支持向量机的工业控制网络入侵检测方法

针对单类支持向量机（OCSVM）入侵检测方法无法检测内部异常点和离群点导致决策函数偏离训练样本的问题,提出了一种结合具有噪声的密度聚类（DBSCAN）方法和K-means方法的OCSVM异常入侵检测算法。首先通过DBSCAN算法,剔除训练数据中的离群点,消除离群点的影响;然后利用K-means划分数据类簇的方法筛选出内部异常点;最后利用OCSVM算法为每一个类簇建立单分类器用于检测异常数据。工控网络数据集上的实验结果表明,该组合分类器能够利用无异常数据样本检测出工控网络入侵,并且提高了OCSVM方法的检测效果。在气体管道网络数据集入侵检测实验中,所提方法的总体检测率为91.81%;而原始OCSVM算法则为80.77%。     

卷积自编码器融合核近似技术的异常检测模型

图像中的异常检测是计算机视觉中非常重要的研究主题, 它可以定义为单分类问题;针对图像数据集的规模大,维度高等特性,一种新的深度卷积自编码器(Convolutional Autoencoder, CAE)与核近似单分类支持向量机(One Class Support Vector Machine, OCSVM)相结合的异常检测模型CAE-OCSVM被提出;模型中的深度卷积自编码器负责学习图像的本质特征表示,然后使用随机傅里叶特征对卷积自编码器学习本质特征进行核近似,核近似后输入线性单类支持向量机进行图像异常检测。核近似技术克服了核学习技术时间复杂度高的问题;同时深度卷积自编码器与核近似单类支持向量机通过梯度下降法实现了端到端的学习;模型的AUC性能在四个公开的图像基准数据集上进行了实验验证,同时模型与其它常用的异常检测模型在不同的异常率的情况下进行了性能对比;实验结果证实CAE-OCSVM模型在四个公开图像数据集上的性能都优于其它异常检测模型,表明了CAE-OCSVM模型更适合大规模高维数据集的异常检测     

基于Shell命令和DTMC模型的用户行为异常检测新方法

提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。     

电网工控系统流量异常检测的应用与算法改进

“两化融合”的工业控制网络的安全问题不断突显.电力作为国家重要基础设施,其电网工控系统的安全防护工作极其重要.本文根据电网工控系统中控制网的内防水平低且其安全监测和防护缺乏内部网络流量异常检测的现状,分析了电网工控系统的组成结构、网络安全需求及面临的威胁.提出了将流量异常检测技术应用于针对电网工控系统控制网的安全防护中,形成针对电网工控系统控制网的两级安全防护.然后研究了流量异常检测方法的分类和特点以及电网工控系统的网络流量数据特点,提出了基于熵的动态半监督K-means算法并辅以单类支持向量机对半监督K-means算法进行改进,为提升电力系统内防水平奠定基础.     

One-class naïve Bayes with duration feature ranking for accurate user authentication using keystroke dynamics

Biometric-based approaches, including keystroke dynamics on keyboards, mice, and mobile devices, have incorporated machine learning algorithms to learn users’ typing behavior for authentication systems. Among the machine learning algorithms, one-class naïve Bayes (ONENB) has been shown to be effective when it is applied to anomaly tests; however, there have been few studies on applying the ONENB algorithm to keystroke dynamics-based authentication. We applied the ONENB algorithm to calculate the likelihood of attributes in keystroke dynamics data. Additionally, we propose the speed inspection in typing skills (SITS) algorithm designed from the observation that every person has a different typing speed on specific keys. These specific characteristics, also known as the keystroke’s index order, can be used as essential patterns for authentication systems to distinguish between a genuine user and imposter. To further evaluate the effectiveness of the SITS algorithm and examine the quality of each attribute type (e.g., dwell time and flight time), we investigated the influence of attribute types on the keystroke’s index order. From the experimental results of the proposed algorithms and their combination, we observed that the shortest/longest time attributes and separation of the attributes are useful for enhancing the performance of the proposed algorithms.