首页 | 定制论文 | 外文翻译 | 我要投稿 | 在线支付 | 购买帮助 | 论文发表 | 联系QQ:5739126
您现在的位置:网站首页答辩论文计算机毕业设计计算机论文计算机网络论文

一种基于隐马尔可夫模型的IDS异常检测新方法

  • 简介:(页数:6字数:6071)摘 要:提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为审计数据的入侵检测系统。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐...
    • 请与管理员联系购买资料 QQ:5739126
  • 论文简介
  • 相关论文
  • 论文下载

(页数:6字数:6071)摘 要:提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为审计数据的入侵检测系统。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用Unix平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。
关键词:入侵检测;隐马尔可夫模型;异常检测;序列匹配
A New Anomaly Detection Method Based on Hidden Markov Models for IDS

Abstract: A new anomaly detection method based on hidden Markov models is presented for Intrusion Detection Systems with shell commands or system calls as audit data. The method constructs specific hidden Markov models to represent the behavior profiles of users or programs, and associates the classes of behavior patterns with the states of the models. Because the collections of observations corresponding to different states are mutually disjoint, the parameters of the models can be estimated by a sequence matching algorithm which is much simpler than the classical Baum-Welch algorithm. This reduces the computational complexity to a great extent. A decision rule based on the probabilities of short state sequences is adopted while the particularity of the states is taken into account. The performance of the method is tested by computer simulation with Unix users’ shell command data. The results show it maintains higher detection accuracy and practicability than other alternative approaches.
Key words: intrusion detection; hidden Markov model; anomaly detection; sequence matching
1 引言
网络入侵检测技术主要有两种类型,即误用检测和异常检测。异常检测是目前IDS(入侵检测系统)研究的主要方向,其优点是不需要过多关于系统缺陷的知识,具有较强的适应性,并且能够检测出未知入侵,但它存在虚警概率高的缺点。异常检测的关键问题是如何建立系统或用户的正常行为模式(库)以及如何利用该模式(库)对当前行为进行比较和判断。
国内外已经开展了神经网络、数据挖掘、机器学习等技术在异常检测中的应用研究,研究目标主要是提高检测系统的准确性、实时性、高效性以及自适应性。本文提出一种新的基于隐马尔可夫模型(HMM)的异常检测方法,它在建模、HMM训练以及判决准则的选取等方面与现有的HMM方法均有较大不同。实验表明,此方法具有很高的检测准确率和较强的可操作性。
2 现有的两种HMM方法
IDS的输入数据主要有两类,分别是主机数据和网络数据。在基于系统调用和shell命令等主机数据的异常检测研究中,HMM方法是一个重要的研究方向。新墨西哥大学的Warrender C等人
基于系统调用数据,进行了针对程序行为的异常检测[2]。其方法是对每种程序(如sendmail、login)的正常行为建立一个HMM,将程序所用的互不相同的系统调用个数作为HMM的状态数,采用Baum-Welch算法训练模型,并利用先验知识对模型参数进行初始化;检测时对数据流中的每个系统调用分别作一次判决。普渡大学的Lane T则基于Unix平台上的shell命令数据,进行了针对用户行为的异常检测研究和实验[1]。其方法是用单个HMM代表一个合法用户的行为轮廓,通过反复实验来确定HMM的最佳状态个数;模型的训练中同样采用了Baum-Welch算法。检测时,利用近似的前向后向算法并根据贝叶斯准则对用户行为进行判别。

目录:

1 引言
2 现有的两种HMM方法
3 一种新的基于HMM的异常检测方法
4 实验设计及结果分析
5 结束语

查看评论 已有0位网友发表了看法
  • 验证码:

热门关键词

最新论文

随机论文