基于shell命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于shell命令和Markov链模型的用户伪装攻击检测

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。     

基于Shell命令和多阶Markov链模型的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次narkov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的...     

基于命令紧密度的用户伪装入侵检测方法

根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵.如果待检测的命令块对于该用户来说表现出紧密度过低,则判断为异常.实验表明该方法计算量小,检测效果好,而且具有很高的实时性.     

基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

基于进程行为的异常检测模型

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的准确性;该模型的检测算法针对入侵造成异常的局部性特点,采用了局部分析算法,降低了误报率.     

互联网用户异常行为检测

针对传统的入侵检测系统没有全面地对行为进行度量以及监测实时性不高,并且存在较高的误判率,缺乏动态适应性等问题,提出对互联网用户的网络行为进行异常分析,针对不同的应用场景采用基于向量空间和语义的行为异常检测的算法.方案充分考虑到不同网络环境的特点,可以根据不同环境制定可信度量策略.仿真实验表明,与传统的入侵检测方法相比,有较好的环境适应性和较低的误判率.     

基于混合Markov链的用户浏览预测模型

根据Web用户的浏览历史建立用户浏览预测模型是Web环境下实现个性化服务和开发各种浏览导航工具的关键。该文首先利用PLSA模型对Web用户进行用户聚类,然后建立基于用户类别的混合Markov链用户浏览预测模型,该模型更能准确地描述用户浏览特征。实验结果表明了该模型的优越性。     

基于数据挖掘的异常检测模型

提出了一种基于数据挖掘的异常检测模型，按此模型建成的系统具有可扩展性、自适应性和准确性等特点。另外，对模型的关键技术进行了详细的阐述，包括：数据预处理技术、数据挖掘算法、规则库建立和维护技术、决策等。     

Anomaly Detection of User Behavior Based on Shell Commands and Homogeneous Markov Chains

Behavior-based intrusion detection is currently an active research topic in the field of network security. This paper proposes a novel method for anomaly detection of user behavior, which is applicable to host-based intrusion detection systems using shell commands as audit data. The method employs a one-order homogeneous Markov chain model to characterize the normal behavior profile of a network user, and associates the states of the Markov chain with specific shell commands in the training data. The parameters of the Markov chain are estimated by a command matching algorithm which is compurationally efficient. At the detection stage, the occurrence probabilities of the state sequences are firstly computed, and then two alternative schemes could be used to distinguish between normal and anomalous behavior. The method gives attention to both computational efficiency and detection accuracy, and is especially suitable for online detection. Our study empirically demonstrated the promising performance of the method.     

A Method for Anomaly Detection of User Behaviors Based on Machine Learning

1Introduction Intrusiondetectiontechniquescanbecategorizedinto misusedetectionandanomalydetection.Misusedetec tionsystemsmodelattacksasspecificpatterns,anduse thepatternsofknownattackstoidentifyamatchedac tivityasanattackinstance.Anomalydetectionsystems u…     

一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

基于误用和异常技术相结合的入侵检测系统的设计与研究

目前,入侵检测系统(IDS) 的漏报率和误报率高一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS中。该文提出了基于统计的异常检测技术和基于模式匹配的误用检测技术相结合的IDS模型,减少了单纯使用某种入侵检测技术时的漏报率和误报率,从而提高系统的安全性。     

一种基于文件访问监控的主机异常入侵检测系统

本文通过对计算机系统行为的分析,提出了以文件系统作为监控对象,采用改进的PAD算法CSSPAD进行异常检测的思想,设计并实现了基于文件访问监控的主机异常入侵检测系统.通过大量实验证明该系统具有检测率高、误报率低、运行负荷小、具有在线检测能力等特点.     

基于随机分形与马尔可夫模型的网络流量异常检测方法

随着网络带宽的增加,加密技术的应用和IPv6设备的普及,基于网络数据包和网络协议分析的入侵检测技术不可避免的存在漏检率高且系统资源消耗大的问题.文章分析网络流量所具有随机性、自相似性和平稳性的特征,运用自相似性的随机分形和简化的马尔可夫模型的原理,提出了一种新的基于网络流量的异常检测方法.实验证明该方法能从宏观和微观上发现网络流量的异常情况,有效地提高异常检测率,并降低系统资源消耗.     

基于贝叶斯融合的时空流异常行为检测模型

针对直接利用卷积自编码网络未考虑视频时间信息的问题,该文提出基于贝叶斯融合的时空流异常行为检测模型。空间流模型采用卷积自编码网络对视频单帧进行重构,时间流模型采用卷积长短期记忆(LSTM)编码-解码网络对短期光流序列进行重构。接着,分别计算空间流模型和时间流模型下每帧的重构误差,设计自适应阈值对重构误差图进行二值化,并基于贝叶斯准则对空间流和时间流下的重构误差进行融合,得到融合重构误差图,并在此基础上进行异常行为判断。实验结果表明,该算法在UCSD和Avenue视频库上的检测效果优于现有异常检测算法。