共查询到10条相似文献,搜索用时 15 毫秒
1.
2.
入侵检测综述(三) 总被引:3,自引:0,他引:3
连一峰 《网络安全技术与应用》2003,(3):47-49
异常检测 异常检测是目前入侵检测技术的主要研究方向,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式。异常检测的关键问题在于正常使用模式的建立以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。模式(Profiles)通常使用一组系统的度量(metrics)来定义。所谓度量,则是系统/用户行为在特定方面的衡量标准,每个度量都对应于一个门限值(threshold)或相关的变动范围。 异常检测基于这样一个假设:无论是程序的执行还是用户的行为,在系统特性上都呈现出紧密的相关性。例如,某些特权程序总是访问特定目录下的系统文件,程序员则经常编辑和编译C程序,这些带有强一致性的行为特征正是我们希望进行统计的行为模式。 对于异常检测系统来说,系统/用户的正常模式应该 相似文献
3.
4.
传统的异常检测方式利用模式库的方式收集所有已知的异常模式,对新的数据进行检测,该方法难以检测层出不穷的各种新的异常行为,同时由于异常行为数据难以获取,往往只能得到正常用户的行为信息。本文分析了针对卫星通信网的各种攻击行为和异常情况,利用正常的用户信令序列建立正常用户"轮廓",设计的基于信令序列异常检测模型能够在少量样本的情况下获得较高的检测精度,在仿真平台上验证了该模型具有较高的检测率和较低的虚警率。 相似文献
5.
针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。 相似文献
6.
信息被内部人员非法泄露、复制、篡改,会给政府、企业造成巨大的经济损失。为了防止信息被内部人员非法窃取,文章提出一种基于LSTM-Attention的内部威胁检测模型ITDBLA。首先,提取用户的行为序列、用户行为特征、角色行为特征和心理数据描述用户的日常活动;其次,使用长短期记忆网络和注意力机制学习用户的行为模式,并计算真实行为与预测行为之间的偏差;最后,使用多层感知机根据该偏差进行综合决策,从而识别异常行为。在CERT内部威胁数据集上进行实验,实验结果表明,ITDBLA模型的AUC分数达0.964,具有较强的学习用户活动模式和检测异常行为的能力。 相似文献
7.
5G边缘计算靠近用户侧提供服务,而边缘侧汇聚着用户的敏感信息,用户非法接入或合法用户自身的恶意行为威胁到整个边缘网络的安全。将机器学习算法应用于边缘计算架构,提出一种基于行为的用户异常检测方案。对用户行为进行建模,采用独热编码和互信息进行数据预处理和特征选择,并利用极限梯度提升算法训练一个多分类器分类识别进入园区的用户,根据识别结果与用户身份是否一致来判定用户是否异常。在此基础上,通过孤立森林算法对授权用户历史行为数据进行模型训练,从而检测可信任用户的行为是否异常,实现对小型固定园区内未授权用户的识别以及对授权用户异常行为的检测。实验结果表明,该方案可满足边缘计算场景的时间复杂度要求,并且能够有效区分不同用户,分类准确率达到0.953,而对异常行为样本的误报率仅为0.01。 相似文献
8.
基于序列模式挖掘的入侵检测技术研究 总被引:4,自引:1,他引:4
提出了一种基于数据挖掘的智能化入侵检测技术.其思想是通过将网络审计数据转化为时序数据库,对其进行序列模式挖掘以提炼出用户行为模式,并由此进行异常检测.在挖掘过程中,本文提出了一种新的挖掘松散的间断序列模式的算法. 相似文献
9.
目前,针对数据库系统内部攻击与威胁的检测方法较少,且已有的数据库异常检测方案存在代价开销高、检测准确率低等问题.为此,将密度聚类和集成学习融合,提出一种基于密度聚类和集成学习的数据库异常检测方法.利用OPTICS(Ordering Points To Identify the Clustering Structure)密度聚类算法对用户产生的数据库SQL操作日志进行聚类,通过对SQL语句中的各属性进行分析,提取用户的异常行为,形成先验知识;将Bagging、Boosting和Stacking进行组合,形成集成学习模型,以OPTICS聚类形成的先验知识为基础,并利用该集成学习模型对用户行为作进一步分析,并创建用户行为特征库.基于用户形成特征库,对用户行为进行检测.给出了方案的详细构建过程,包括数据预处理、训练、学习模型建立以及异常检测;利用相关实验数据进行测试,结果表明本方案能以较高的效率检测出数据库异常行为,并且在准确率方面优于同类方案. 相似文献