基于隐马尔科夫模型的用户行为异常检测方法

提出了一种基于HMM的用户行为异常检测的新方法,用shell命令序列作为审计数据,但在数据预处理、用户行为轮廓的表示方面与现有方法不同。仿真实验结果表明,本方法的检测效率和实时性相对较高,在检测准确率方面也有较大优势。     

基于HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务(DDoS)攻击时,网络中数据包的统计特征会显示出异常.检测这种异常是一项重要的任务.一些检测方法基于数据包速率的假设,然而这种假设在一些情况下是不合理的.另一些方法基于IP地址和数据报长度的统计特征,但这些方法在IP地址欺骗攻击时检测率急剧下降.提出了一种基于隐马尔可夫模型(HMM)的DDoS异常检测方法.该方法集成了4种不同的检测模型以对付不同类型的攻击.通过从数据包中提取TCP标志位,UDP端口和ICMP类型及代码等属性信息建立相应的TCP,UDP和ICMP 的隐马尔可夫模型,用于描述正常情况下网络数据包序列的统计特征.然后用它来检测网络数据包序列,判断是否有DDoS攻击.实验结果显示该方法与其他同类方法相比通用性更好、检测率更高.     

基于半监督学习的行为建模与异常检测

提出了一种基于半监督学习的行为建模与异常检测方法.该算法包括以下几个主要步骤:(1) 通过基于动态时间归整(DTW)的谱聚类方法获取适量的正常行为样本,对正常行为的隐马尔可夫模型(HMM)进行初始化;(2) 通过迭代学习的方法在大样本下进一步训练这些隐马尔可夫模型参数;(3) 以监督的方式,利用最大后验(MAP)自适应方法估计异常行为的隐马尔可夫模型参数;(4) 建立行为的隐马尔可夫拓扑结构模型,用于异常检测.该方法的主要特点是:能够自动地选择正常行为模式的种类和样本以建立正常行为模型;能够在较少样本的情     

无线自组织网络中多层综合的节点行为异常检测方法

Ad hoe网络由于采用无线信道、有限的电源和带宽、分布式控制等,会比有线网络更易受到入侵攻击.通常的入侵检测技术具有检测能力单一、缺乏对抗新入侵方式的能力等缺陷.在分布式入侵检测系统(IDS)的基础上,提出一种针对移动节点网络行为的异常检测机制.基于多层综合的观测值序列,采用隐半马尔可夫模型(HSMM)建立描述网络中合法节点正常行为的检测模型,继而对网络中的正常与异常行为进行判断与识别.实验表明,此方法能针对现有多种入侵方式进行有效的检测.     

基于应用层协议关键词序列的应用层异常检测方法

提出一种基于应用层协议关键词序列的应用层异常检测方法.它用应用层协议关键词和关键词之间的时间间隔构成观测序列,用隐半马尔可夫模型来刻画正常用户在使用每种应用层协议时的行为.该方法可分为模型训练和异常检测两个阶段:在模型训练阶段,利用前后向算法训练得到正常用户在使用每种应用层协议时其行为的隐半马尔可夫模型;在异常检测阶段,在线统计每个观测序列相对于模型的平均对数或然概率,当发现某个用户在使用某种应用层协议的过程中其行为出现异常时,采取调整该用户数据流的优先级或者带宽的方式来对该用户的异常行为进行控制,从而可以自动纠正用户的异常行为.使用包括DARPA测试数据集在内的一些数据对该方法进行了验证.实验结果表明该方法能很好地描述正常用户在使用应用层协议时的行为,并且在检测用户异常行为时具有很高的检测率和很低的误报率.     

基于HMM监控视频的异常事件检测

针对智能监控系统中的行为分析与识别,将隐马尔可夫模型（Hidden Markov model,HMM）应用到智能视频监控系统的异常事件检测中。首先应用背景差法将运动目标提取出来。其次将运动目标的形状、颜色和帧间变化度等特征编码,生成特征向量。训 练时将特征向量送入HMM训练得到隐马尔可夫模型需要的参数[WTHX]A和B[WTBZ],检测时将特征向量送入HMM检测系统检测是否有异常事件发生。最后的实验结果表明,该方法能快速有效地检测监控视频中的异常事件的发生。     

基于HMM的数据库异常检测方法

随着数据库系统在企业的普遍使用,以及数据库的作用日益重要,数据库的安全问题也随之变得更加严峻。探讨了数据库系统的安全问题,阐述了数据库异常检测系统的重要性,详细研究了隐马尔可夫(HMM)模型,介绍了HMM模型的参数估计的方法。运用HMM模型对数据库系统的事件序列进行建模,以数据库系统日志作为训练集,建立正常状态下的用户行为轮廓,并以当前用户事件的最大似然概率与正常用户行为轮廓的偏离程度来检测异常。     

基于网络的HMM异常检测方法研究

文章从HMM的基本思想、概念出发,建立了以捕获的网络数据包为观测对象的HMM异常检测原型。对原型中存在的可见符号集太大的问题,提出了对观测对象进行分段的改进办法,进而建立了具有可操作性的HMM异常检测模型。在观测对象的概率计算方面,引入了滑动窗口的概念,解决了概率值过小的问题。对模型的训练,给出了模型训练算法、矩阵B的更新公式。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

基于隐半马尔可夫模型的SWIM应用层DDoS攻击的检测方法

针对广域信息管理（SWIM）系统受到应用层分布式拒绝服务（DDoS）攻击的问题，提出了一种基于隐半马尔可夫模型（HSMM）的SWIM应用层DDoS攻击的检测方法。首先采用改进后的前向后向算法，利用HSMM建立动态异常检测模型动态地追踪正常SWIM用户的浏览行为；然后通过学习和预测正常SWIM用户行为得出正常检测区间；最后选取访问包的大小和请求时间间隔为特征进行建模，并训练模型进行异常检测。实验结果表明，所提方法在攻击1和攻击2情况下检测率分别为99.95%和91.89%，与快速前向后向算法构建的HSMM相比，检测率提升了0.9%。测试结果表明所提方法可以有效地检测SWIM系统应用层DDoS攻击。     

基于网页浏览日志的用户行为分析

随着问答社区信息的长期积累,越来越多的过时信息充斥在其中并被搜索引擎检索,给信息需求者带来不便。用户的网页浏览日志中隐性地包含用户的行为习惯,通过分析得到这些信息对判断网页信息时效性有着重要意义。文中提出针对网页浏览日志的查询过程划分方法,并在划分的基础之上对大量真实用户的浏览行为习惯做了统计分析。结果显示,用户查询一次信息平均浏览8.05个页面,用时6.28分钟,有将近1/3的查询在交替并发中进行,另外用户对于网站站内搜索的依赖较高。从浏览日志数据集中选取了一个社区网站的浏览记录来进行初步的网页信息时效性分析,结果表明造成用户不满意的原因主要是查询相关度不高,而过时信息只是其中一小部分。     

基于机器学习的用户行为异常检测模型

针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于隐马尔科夫模型的网络爬虫检测算法仿真

在网站的建设与维护中,为了提升服务器效率,加强安全保密性等原因需要区分普通用户和网络爬虫程序。但是一些不完善或恶意的设计使得针对爬虫程序的检测变得困难,这些爬虫程序不仅加重网站的负担,也危害了网络的安全。为了解决这一问题,本文提出一种利用行为模式进行检测的技术,采用隐马尔科夫模型描述行为模式,并使用Matlab仿真实现高精度的检测效果。结果表明,利用隐马尔科夫模型的检测技术可以实现高精确度和低错误率的网络爬虫检测。      

多协议交叉的HMM协议异常检测算法

随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

IDS系统中基于向量空间模型的异常检测

入侵检测系统是目前重要的网络安全产品之一,其检测技术主要为滥用检测和异常检测两种。目前,滥用检测技术已经相对成熟,而异常检测还存在大量问题难以解决。针对这一问题,提出了一个判别系统主体行为是否异常的自动分类器模型,并介绍其实现的关键技术。