共查询到10条相似文献,搜索用时 15 毫秒
1.
2.
在传统的网络安全审计系统中,需要由专家定义攻击特征来检测异常活动.由于攻击数据难以获取,往往只能得到正常用户的系统调用审计信息.设计了基于支持向量描述的单类分类器的安全审计模型,所有偏离正常模式的活动都被认为是入侵.通过对主机系统执行迹国际标准数据集的测试,只利用少量的训练样本,实验获得了对异常样本100%的检测率,而平均虚警率接近为0. 只利用正常样本建立了一个单分类器的异常检测模型,使得系统具有对新的异常行为的检测能力. 相似文献
3.
通过监控主机系统调用的执行,可以在很大程度上发现入侵行为。建立支持向量数据描述(SVDD)的异常检测模型,通过对正常状态应用程序系统调用轨迹进行训练,使偏离正常模式的活动都被认为是潜在的入侵。通过对IE进程系统调用轨迹的优化处理,只利用少量的训练样本,试验获得了对异常样本99%的检测率,而虚警率不到1%。 相似文献
4.
针对基于系统调用的异常入侵检测方法中较难抽取正常系统调用序列的特征库问题,提出将正常系统调用序列抽取出的子序列的频率特征转换为频率特征向量,并以此作为系统调用序列的局部和全局特征;为了保证对大规模数据集检测的准确率和速度,采用一类分类支持向量机(SVM)分类器进行学习建模,利用先前建立的特征库进行训练,建立入侵检测分类模型,最后对于待检测序列进行异常检测。在多个真实数据集上与已有的异常入侵检测方法进行比较实验,结果表明本文提出的方法的多个异常检测指标都都优于已有方法。 相似文献
5.
基于SVDD的网络安全审计模型研究 总被引:1,自引:0,他引:1
审计是入侵检测的基础,为入侵检测提供必要的分析数据.在传统的网络安全审计与入侵检测系统中,需要由人工来定义攻击特征以发现异常活动.但攻击特征数据难以获取,能够预知的往往只是正常用户正常使用的审计信息.提出并进一步分析了一种基于支持向量描述(SVDD)的安全审计模型,使用正常数据训练分类器,使偏离正常模式的活动都被认为是潜在的入侵.通过国际标准数据集MITLPR的优化处理,只利用少量的训练样本,试验获得了对异常样本100%的检测率,而平均虚警率接近为0. 相似文献
6.
7.
一种基于支持向量机的入侵检测模型 总被引:3,自引:1,他引:2
支持向量机(support vector machines)是一种建立在统计学习理论基础之上的机器学习方法。基于支持向量机在处理小样本、高维数及泛化能力强等方面的优势,该文提出了一种根据结构风险最小化原则基于支持向量机的入侵检测系统,首先简单介绍了入侵检测系统近来的发展状况和支持向量机的分类算法,然后给出以支持向量机分类算法为基础的入侵检测模型,以系统调用执行迹进行仿真实验,详细讨论了该模型的工作过程及核函数参数的选取对检测性能的影响。实验表明,该模型在先验知识较小的情况下,能够较好的检测出异常的入侵调用。 相似文献
8.
网络流量异常检测中分类器的提取与训练方法研究 总被引:2,自引:0,他引:2
随着网络安全领域研究的不断深入,研究者提出了各种类型的流量异常检测方法,基于分类的方法是其中很重要的一类.但是因为网络环境的多样性和动态变化性,在训练数据集上具有很高精度的检测系统实际部署时可能出现大量的误报.文中针对训练模型难于获取以及部署环境的动态变化性问题,对分类器的选择、使用和训练方法进行了研究.首先把网络流量数据投影到不同维度的Hash直方图上构建检测向量,在检测向量的基础上对比了各类分类器,选用能够处理高维数据、泛化能力强的SVDD进行异常检测;采用增减式在线训练算法对分类器进行不断训练,提高异常检测系统的精度并减少训练成本;最后采用多步关联检测算法优化检测精度,并在新增样本中剔除明显的异常样本,减少训练成本提高分类精度.通过大量的真实网络流量数据验证了上述方法具有较高的检准率和较低的误报率,并能够有效减少训练成本. 相似文献
9.
基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类.为此,引进LDA( Latent Dirichlet Allocation )文本挖掘模型构建新的入侵检测分类算法.该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测.针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率. 相似文献