共查询到20条相似文献,搜索用时 109 毫秒
1.
针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。 相似文献
2.
3.
一种改进的IDS异常检测模型 总被引:19,自引:0,他引:19
基于机器学习的异常检测是目前IDS研究的一个重要方向.该文对一种基于机器学习的用户行为异常检测模型进行了描述,在此基础上提出一种改进的检测模型.该模型利用多种长度不同的shell命令序列表示用户行为模式,建立多个样本序列库来描述合法用户的行为轮廓,并在检测中采用了以shell命令为单位进行相似度赋值的方法.文中对两种模型的特点和性能做了对比分析,并介绍了利用UNIX用户shell命令数据进行的实验.实验结果表明,在虚警概率相同的情况下改进的模型具有更高的检测概率. 相似文献
4.
在入侵检测中对用户进行聚类,可以改善安全分析的效率,有助于发现潜在非法用户.在聚类中提出按照访问兴趣对用户进行聚类分析,在用户访问兴趣度量中综合考虑网页内容和浏览路径因素.在聚类分析中,依据访问兴趣定义提出新的相似度计算方法.利用传递闭包法对用户进行聚类.算法可以提高用户聚类的准确性,试验结果表明该算法是有效的. 相似文献
5.
基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。 相似文献
6.
引入访问模式描述用户访问数据库系统的主要行为特征,利用从数据库审计记录中挖掘的最大访问模式来检测数据库系统的异常行为.基于FP-tree结构,提出了一种最大访问模式挖掘算法MMAP.基于数据库系统中关系之间的外键依赖提出了一种关系距离约束,进一步减少挖掘算法的搜索空间.基于MMAP算法建立了一个检测模型,测试表明该模型能有效地检测数据库系统的异常行为. 相似文献
7.
程舒通 《计算机技术与发展》2007,17(9):18-20
用户在访问Web站点时会碰到很多问题,主要原因是Web站点对用户需求缺乏适应性。为了提高Web用户的服务质量和用户的满意度,在用户访问网站点击流形成频繁序列模式的基础上,提出基于距离函数的聚类分析以及基于时间相似度函数的二次聚类分析算法。该算法可以求取频繁序列的相关性和反映用户对网页的兴趣的相似度,对下一步改善Web站点的结构及存在形式使站点达到更好的效果起先导作用。 相似文献
8.
一种基于模糊综合评判的入侵异常检测方法 总被引:18,自引:0,他引:18
目前国际上已实现的大多数入侵检测系统是基于滥用检测技术的,异常检测技术还不太成熟,尤其是基于网络的异常检测技术,如何提高其准确性、效拿和可用性是研究的难点.提出了一种面向网络的异常检测算法FJADA,该算法借鉴了模糊数学的理论,应用模糊综合评判工具来评价网络连接的“异常度”,从而确定该连接是否“入侵”行为.实验证明,该方法能检测出未知的入侵方式,而且准确性较高. 相似文献
9.
10.
针对传统协同过滤推荐算法推荐精度低及冷启动的问题,提出了一种基于动态社会行为和用户背景的协同推荐方法。作为用户标注行为的结果,变化的标签体现了用户行为的动态性。该方法首先根据动态社会化标签得出用户的动态兴趣偏好相似度,然后根据用户背景信息计算出用户相似度,最后计算基于时间权重的用户评分相似度,并集成上述3个相似度找出最近邻居集,以为目标用户提供更加准确的个性化推荐。实验结果证明,该方法不仅能较好地解决数据稀疏和冷启动的问题,还能有效提高推荐算法的精确度。 相似文献
11.
12.
针对目前网络入侵检测现状,提出了将聚类算法应用到异常入侵检测中,并对K-means算法进行了改进。实验采用KDD Cup1999的测试数据,结果表明该方法是有效的。 相似文献
13.
14.
基于序列模式挖掘的入侵检测技术研究 总被引:4,自引:1,他引:4
提出了一种基于数据挖掘的智能化入侵检测技术.其思想是通过将网络审计数据转化为时序数据库,对其进行序列模式挖掘以提炼出用户行为模式,并由此进行异常检测.在挖掘过程中,本文提出了一种新的挖掘松散的间断序列模式的算法. 相似文献
15.
杨种学 《计算机工程与设计》2006,27(17):3291-3294
运用数据挖掘方法进行入侵检测已经成为网络安全领域的一个重要研究方向。提出一种动态聚类的数据挖掘方法进行异常入侵检测,该方法将不同用户行为的特征动态聚集,根据各个子的类支持度与预设的检测阈值比较来区分正常与异常。由于动态聚类算法在每次聚类过程中都检验归类的合理性,因此获得很好的聚类效果。实时检测试验得到了较高的检测率和较低的误报率。 相似文献
16.
通常,更新数据库中一个数据项之前可能读或者写一些数据项,更新一个数据项后,可能也有一些数据项被更新。依据数据之间的这种依赖关系,本文提出一种用户任务级别 的数据依赖挖掘算法,从数据库日志中挖掘出用户任务事务中存在的数据依赖关系。如果在检测阶段发现同一用户任务中有事务与挖掘出的数据依赖关系不符合,则可判断此
此用户任务中有异常活动出现。 相似文献
此用户任务中有异常活动出现。 相似文献
17.
18.
基于数据挖掘和本体的实时入侵检测系统 总被引:2,自引:3,他引:2
通过分析现有入侵检测技术,提出了一种建立入侵检测系统的新方法。该方法结合误用检测技术和异常检测技术,利用数据挖掘能高效地从大量的审计数据中挖掘出代表行为特征的频繁模式和本体可以对对象的本质进行描述的特点,并加入相似度以判断是否发生入侵,同时决定是否更新规则本体库。经分析该系统可以有效地提高检测的效率。 相似文献
19.
神经模糊入侵检测系统的研究 总被引:11,自引:1,他引:10
当前大多数入侵检测系统都是misuse detection,均不能检测已知攻击的变种,而少数基于用户行为的异常检测系统不仅会侵犯合法用户的隐私权,而且不能发现不良用户通过慢慢改变其行为躲过检测的欺骗行为。文章提出了一种新的基于进程行为的神经模糊入侵检测系统,有效地解决了上述问题,极大地提高了入侵检测系统的性能。 相似文献
20.
基于孤立点检测的入侵检测方法研究 总被引:3,自引:0,他引:3
本文提出了一种基于孤立点检测的核聚类入侵检测方法。方法的基本思想是首先将输入空间中的样本映射到高维特征空间中,并通过重新定义特征空间中数据点到聚类之间的距离来生成聚类,并根据正常类比例N来确定异常数据类别,然后再用于真实数据的检测。该方法具有更快的收敛速度以及更为准确的聚类,并且不需要用人工的或其他的方法来对训练集进行分类。实验采用了KDD99的测试数据,结果表明,该方法能够比较有效的检测入侵行为。 相似文献