共查询到18条相似文献,搜索用时 187 毫秒
1.
基于隐马尔可夫模型的异常检测 总被引:4,自引:1,他引:4
首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测 相似文献
2.
针对入侵检测中普遍存在误报与漏报过高的问题,本文提出一种新的基于隐马尔可夫模型的系统入侵检测方法。该方法以程序正常执行过程中产生的系统调用序列为研究对象,首先建立计算机运行状况的隐马尔可夫模型,然后在此模型的基础上提出一个用于计算机系统实时异常检测的算法。实验证明,用这种方法建模的系统在不影响检测率的情况下,比传统的数据建设模节省存储空间,并且准确率高。 相似文献
3.
基于隐马尔可夫模型的入侵检测系统 总被引:4,自引:1,他引:4
首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。 相似文献
4.
在计算机安全领域,特别是网络安全领域,对计算机系统进行脆弱性检测十分重要,其最终目的就是要指导系统管理员在"提供服务"和"保证安全"这两者之间找到平衡。本文首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。 相似文献
5.
基于线性预测与马尔可夫模型的入侵检测技术研究 总被引:13,自引:0,他引:13
入侵检测技术是现代计算机系统安全技术中的重要组成部分.该文提出了基于线性预测与马尔可夫模型相结合的入侵检测方法.首先提取特权进程的行为特征,引入时间序列分析技术——用线性预测技术对特权进程产生的系统调用序列提取特征向量来建立正常特征库,并在此基础上建立了马尔可夫模型.由马尔可夫模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况.然后,利用马尔可夫信源熵与条件熵进行参数选取,对模型进行优化,进一步提高了检测率.实验表明该算法准确率高、实时性强、占用系统资源少. 相似文献
6.
基于静态马尔可夫链模型的实时异常检测 总被引:7,自引:0,他引:7
马尔可夫链模型可以用来描述系统的正常行为模式,文中提出了一种基于静态马尔可夫链的异常检测方法,在此基础上进行了算法实现。实验结果表明该方法实现简单,准确率较高,可适用于不同环境下的实时检测。 相似文献
7.
提出一种用于语音识别的性别鉴定的算法,算法融合基音频率鉴定法和隐马尔可夫模型(HMM)鉴定法的混合算法.循环幅度差函数用于检测基音频率,HMM鉴定法建立男女两个HMM,用Viterbi算法将输入语音匹配到这两个模型,用匹配结果鉴定性别,基于这两种方法设计了一个线性分类器,在TIMIT、HTIMIT和南方口音语料库上采用1s长的语音片段进行测试,达到98.54%的正确率.将该算法应用于连续语音识别前端,较大提高了识别精度. 相似文献
8.
基于 HMM的分布式拒绝服务攻击检测方法 总被引:6,自引:0,他引:6
在分布式拒绝服务(DDoS)攻击时,网络中数据包的统计特征会显示出异常.检测这种异常是一项重要的任务.一些检测方法基于数据包速率的假设,然而这种假设在一些情况下是不合理的.另一些方法基于IP地址和数据报长度的统计特征,但这些方法在IP地址欺骗攻击时检测率急剧下降.提出了一种基于隐马尔可夫模型(HMM)的DDoS异常检测方法.该方法集成了4种不同的检测模型以对付不同类型的攻击.通过从数据包中提取TCP标志位,UDP端口和ICMP类型及代码等属性信息建立相应的TCP,UDP和ICMP的隐马尔可夫模型,用于描述正常情况下网络数据包序列的统计特征.然后用它来检测网络数据包序列,判断是否有DDoS攻击.实验结果显示该方法与其他同类方法相比通用性更好、检测率更高. 相似文献
9.
基于隐马尔可夫模型的多频率线跟踪算法的若干改进 总被引:3,自引:0,他引:3
提出了基于隐马尔可夫模型(HMM)的多频率线跟踪算法的若干改进措施,着重于减少计算复杂性、提高算法的实时性,其中包括减少信号幅实时估计的计算量和减少双频率线跟踪算法的计算量,计算机仿真表明了这些算法的有效性。 相似文献
10.
提出了基于奇异值特征和隐马尔可夫模型(HMM)的人脸检测方法,首先提出了基于奇异值特征和隐马尔可夫模型的正面端正人脸检测方法;然后将该算法扩展到检测任意旋转角度的人脸,其中正向端正人脸检测算法是通过隐马尔可夫模型来识别人脸/非人脸的奇异值特征,从而达到人脸检测的目的;扩展算法首无计算当前位置子图象窗口的奇异值特征向量,然后利用识别各个旋转角度人脸的HMM模型对之进行分类,以得到该子图象窗口的旋转角度,再经过旋正,重新再与识别正面端正人脸的HMM模型对, 此确定该子图象窗口是否为人脸,通过对一个由51幅集体照片组成的图象集进行测试,其中,正面端正人脸检测率为85.1%,而任意旋转角度的人脸检测率只有72.2%。 相似文献
11.
12.
针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。 相似文献
13.
14.
基于混合马尔科夫树模型的ICS异常检测算法 总被引:1,自引:0,他引:1
针对工业控制系统中现有异常检测算法在语义攻击检测方面存在的不足,提出一种基于混合马尔科夫树模型的异常检测算法,充分利用工业控制系统的阶段性和周期性特征,构建系统正常运行时的行为模型|混合马尔科夫树.该模型包含合法的状态事件、合法的状态转移、正常的概率分布以及正常的转移时间间隔等4种信息,基于动态自适应的方法增强状态事件的关联度并引入时间间隔信息以实现对复杂语义攻击的检测,语义建模时设计一种剪枝策略以去除模型中的低频事件、低转移事件以及冗余节点,当被检测行为使得模型的以上4种信息产生的偏差超过阈值时,判定该行为异常.最后,基于OMNeT++网络仿真环境构建一个简化的污水处理系统对本文算法进行功能性验证,并利用真实物理测试床的数据集对算法的检测准确度进行性能验证.验证结果表明,本文算法能有效消除人机交互和常规诊断等操作带来的噪声影响,对复杂语义攻击具有较高的检出率,且能识别传统的非语义攻击. 相似文献
15.
针对现有基于隐Markov模型的协议异常检测方法中存在的训练样本不足问题和初始参数敏感问题,提出一种基于改进遗传算法和隐Markov模型的协议异常检测新方法。首先,采用局部竞争选择策略、算术交叉算子和自适应非均匀变异算子改进遗传算法,避免传统遗传算法在收敛过程中的“早熟”和“停滞”问题;然后,利用改进的遗传算法优化隐Markov模型的初始参数,解决模型对初始参数敏感的问题;最后,以协议关键词和关键词时间间隔作为训练观测值,细粒度的描述协议行为,扩大模型的训练样本空间。在DARPA 1999数据集上的实验结果表明,该方法具有很高的检测率和较低的误报率。 相似文献
16.
17.
提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好. 相似文献
18.
入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率. 相似文献