共查询到19条相似文献,搜索用时 125 毫秒
1.
提出一种利用动态提取进程堆栈中的信息来寻找不定长模式的方法。该方法以进程中产生系统调用的函数返回地址链作为提取不定长模式的依据,根据函数的结构关系对模式集进行精简,得到一组不定长模式集。在此基础上,以不定长模式作为基本单位构建了一个马尔可夫链模型来检测异常行为。实验结果表明,该方法的检测性能要优于传统的不定长模式方法和一阶马尔可夫链模型方法,能够获得更高的检测率和更低的误报率。 相似文献
2.
3.
龚媛媛 《计算机工程与应用》2012,48(28):123-126,134
无线Ad Hoc网络因其高度动态的拓扑、无线链路、无固定基础设施的支持等一些特性使得它与其他网络相比是非常脆弱的。现有针对有线网络开发的IDS很难适用于这种网络。提出一种称为ZBIDS(Zone-Based Intrusion Detection System)的入侵检测系统,该系统采用两级层次化结构,属于分布式IDS。ZBIDS系统通过基于马尔可夫链的分类器来检测具有序列化特征的入侵。仿真结果表明,基于马尔可夫链的分类器具有较好的入侵检测性能。 相似文献
4.
5.
探讨了隐式马尔可夫链在基因发现中的应用。提出了一个基于GHMM(泛化的隐式马尔可夫链)的基因发现系统的简化的模型,论述了用该模型和扩展的Viterbi算法发现基因的方法,介绍了用于描述编码区和非编码区及信号的模型和实现。 相似文献
6.
基于隐马尔可夫模型的网络入侵检测方法 总被引:1,自引:0,他引:1
介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值. 相似文献
7.
基于小波隐马尔科夫模型的控制过程异常数据检测方法 总被引:1,自引:0,他引:1
针对小波异常信号检测原理的局限性,提出了适用于过程数据的基于小波隐马尔可夫模型(W-HMM)的异常数据检测方法.首先在一定尺度下对检测信号进行分解,将频率组分不同于其他大部分信号的信号作为异常信号;然后通过计算待检测信号的小波系数与正常信号小波系数的相似概率,并利用求取隐马尔可夫模型(HMM)最优状态链的Viterbi算法对数据进行最终判断;最后通过数值验证和应用表明了所提出的检测算法的有效性和实用性. 相似文献
8.
Stephaine Forrest等提出进程行为可由系统调用短序列表征。本文介绍了马尔可夫链的状态转移概率原理,基于转移概率给出了系统调用与进程正常行为的相关性度量,以此来检测进程异常行为。试验结果表明,此方法可行。 相似文献
9.
本文利用(1)中的马尔可夫链,用FORTRAN语言设计了股票价格上扬,下跌平均时间的计算程序,利用马尔可夫决策,实现了股票买进卖出最佳策略的实用程序。 相似文献
10.
基于模糊滑窗隐马尔可夫模型的入侵检测研究 总被引:1,自引:0,他引:1
针对传统基于隐马尔可夫模型(HMM)入侵检测中普遍存在误报与漏报过高的问题,提出了一种基于模糊窗口隐马尔可夫模型(FWHMM)的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度,通过将状态的随机转移转变为模糊随机转移,提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。 相似文献
11.
计算机系统入侵检测的隐马尔可夫模型 总被引:32,自引:0,他引:32
入侵检测技术作为计算机安全技术的一个重要组成部分,现在受到越来越广泛的关注,首先建立了一个计算机系统运行状况的隐马尔可夫模型(HMM),然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法,以及该模型的训练算法。这个算法的优点是准确率高,算法简单,占用的存储空间很小,适合用于在计算机系统上进行实时检测。 相似文献
12.
13.
14.
基于线性预测与马尔可夫模型的入侵检测技术研究 总被引:13,自引:0,他引:13
入侵检测技术是现代计算机系统安全技术中的重要组成部分.该文提出了基于线性预测与马尔可夫模型相结合的入侵检测方法.首先提取特权进程的行为特征,引入时间序列分析技术——用线性预测技术对特权进程产生的系统调用序列提取特征向量来建立正常特征库,并在此基础上建立了马尔可夫模型.由马尔可夫模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况.然后,利用马尔可夫信源熵与条件熵进行参数选取,对模型进行优化,进一步提高了检测率.实验表明该算法准确率高、实时性强、占用系统资源少. 相似文献
15.
基于系统调用和齐次Markov链模型的程序行为异常检测 总被引:7,自引:0,他引:7
异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能. 相似文献
16.
提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。 相似文献
17.
提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。 相似文献
18.
19.
一种无线自组网的跨层异常入侵检测模型 总被引:1,自引:0,他引:1
提出一种Ad Hoc网络的跨层异常入侵检测模型.在MAC层、路由层和应用层分别运用朴素贝叶斯分类算法、Markov链构建算法和关联规则挖掘算法.本地汇总模块汇总本地三层子系统的检测结果,并加权平均后输出;全局汇总模块汇总邻节点检测结果并加权计算最终结果送响应模块.对模型和算法进行多种典型攻击测试实验,结果表明模型具有较高的检测率,并能有效降低误警率. 相似文献