基于模糊滑窗隐马尔可夫模型的入侵检测研究

针对传统基于隐马尔可夫模型（HMM）入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于模糊窗口隐马尔可夫模型（FWHMM）的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度，通过将状态的随机转移转变为模糊随机转移，提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。     

基于隐马尔可夫模型的网络入侵检测方法

介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值.     

集成化的异常入侵检测系统

提出了一种多方法集成的异常入侵检测系统,运用隐马尔可夫模型、统计方法和基于规则的方法,测量系统调用序列、资源使用率、文件访问权限的正常行为,并将其集成,实验表明此系统具有很好的性能。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

入侵检测系统的可信问题

首先讨论了当前入侵检测系统存在的信任危机的原因，并得出结论：若希望入侵检测系统的报警可信概率超过50％，必须使虚警率低于入侵发生的先验概率．接着论述了在异常检测系统和滥用检测系统中产生虚警的原因．最后结合研发的AIIDs系统讨论了抑制虚警可能采取的方法，重点讨论了用隐马尔可夫模型过滤系统调用数据以增加相对条件熵的方法和根据入侵的定义以及来自免疫系统机理的启发，建立了协同信号机制而遏制虚警的方法.     

基于两层隐马尔可夫模型的入侵检测方法*

在基于系统调用的入侵检测研究中,如何提取系统调用序列模式是一个重要问题.提出一种利用进程堆栈中的函数返回地址链信息来提取不定长模式的方法.同王福宏的不定长模式提取方法相比,该方法可以取得更完备的模式集.在此基础上,基于系统调用序列及其对应的不定长模式序列构建了一个两层隐马尔可夫模型来检测异常行为,与仅利用系统调用序列信息的经典隐马尔可夫方法相比,该方法可以取得更低的误报率和漏报率.     

无线自组织网络中多层综合的节点行为异常检测方法

Ad hoe网络由于采用无线信道、有限的电源和带宽、分布式控制等,会比有线网络更易受到入侵攻击.通常的入侵检测技术具有检测能力单一、缺乏对抗新入侵方式的能力等缺陷.在分布式入侵检测系统(IDS)的基础上,提出一种针对移动节点网络行为的异常检测机制.基于多层综合的观测值序列,采用隐半马尔可夫模型(HSMM)建立描述网络中合法节点正常行为的检测模型,继而对网络中的正常与异常行为进行判断与识别.实验表明,此方法能针对现有多种入侵方式进行有效的检测.     

基于隐马尔可夫模型的入侵检测系统

首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。     

基于隐马尔可夫模型的入侵场景构建

提出了一种基于隐马尔可夫模型的入侵场景构建方法,实现自动地从大量低级的入侵检测告警信息中构建出更高层次的入侵场景的目的。为了简化处理过程,对数据流采用两次抽象描述和一次回溯处理过程完成对入侵场景的构建,在DARPA2000测试数据集上的实验表明该方法是有效的。     

基于聚类的HMM算法及其在NIDS中的应用

本文提出根据正常-异常序列模式异常来定义紧急级别的新概念，将隐马尔可夫模型引入到网络入侵检测系统中检测正常-异常序列中的模式异常。并针对直接对检测数据进行HMM训练和检测。存在计算量很大的问题。提出了采用先聚类降低状态维数，然后采用HMM的方法进行NIDS检测的方法。实验证明其有效性。     

A program-based anomaly intrusion detection scheme using multiple detection engines and fuzzy inference

In this paper, a hybrid anomaly intrusion detection scheme using program system calls is proposed. In this scheme, a hidden Markov model (HMM) detection engine and a normal database detection engine have been combined to utilise their respective advantages. A fuzzy-based inference mechanism is used to infer a soft boundary between anomalous and normal behaviour, which is otherwise very difficult to determine when they overlap or are very close. To address the challenging issue of high cost in HMM training, an incremental HMM training with optimal initialization of HMM parameters is suggested. Experimental results show that the proposed fuzzy-based detection scheme can reduce false positive alarms by 48%, compared to the single normal database detection scheme. Our HMM incremental training with the optimal initialization produced a significant improvement in terms of training time and storage as well. The HMM training time was reduced by four times and the memory requirement was also reduced significantly.     

基于HMM和STIDE的异常入侵检测方法

入侵检测是对正在发生或已经发生的入侵行为的一种识别过程。异常检测是入侵检测的主要分析方法之一。该文在传统的使用单一入侵检测算法的基础上,提出一种基于HMM和STIDE复合算法的异常入侵检测方法。HMM和STIDE复合算法被用来区分未知的行为是合法操作还是一次入侵。实验证明该方法具有低虚警率和高检测率。     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

基于HMM监控视频的异常事件检测

针对智能监控系统中的行为分析与识别,将隐马尔可夫模型（Hidden Markov model,HMM）应用到智能视频监控系统的异常事件检测中。首先应用背景差法将运动目标提取出来。其次将运动目标的形状、颜色和帧间变化度等特征编码,生成特征向量。训 练时将特征向量送入HMM训练得到隐马尔可夫模型需要的参数[WTHX]A和B[WTBZ],检测时将特征向量送入HMM检测系统检测是否有异常事件发生。最后的实验结果表明,该方法能快速有效地检测监控视频中的异常事件的发生。     

主机型异常检测的隐半马尔可夫模型方法

提出基于HSMM模型的主机型入侵检测系统框架。以BSM审计数据作为数据源,提取正常主机行为的特权流系统调用序列,利用HSMM模型对正常主机行为进行建模,然后将当前主机行为与之比较,判定当前主机行为是否异常。选取特权流变化事件作为研究对象以缩短建模时间,同时滤去了过多的无用信息,一定程度上提高了检测效率。实验结果表明,提出的HSMM方法比HMM优越,同时该方法建模的系统不仅节省训练时间,而且在提高检测率的同时可以降低误报率。     

计算机系统入侵检测的隐马尔可夫模型

入侵检测技术作为计算机安全技术的一个重要组成部分，现在受到越来越广泛的关注，首先建立了一个计算机系统运行状况的隐马尔可夫模型（HMM），然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法，以及该模型的训练算法。这个算法的优点是准确率高，算法简单，占用的存储空间很小，适合用于在计算机系统上进行实时检测。     

面向特征的ICA和HP滤波实现视频异常事件检测

针对室外环境下光照亮度变化、阴影和树木遮挡等问题,对利用隐马尔可夫模型进行视频异常事件检测的影响,提出基于独立分量分析（ICA）和HP（Hodrick-Prescott）滤波器的隐马尔可夫模型视频异常事件检测方法。该方法首先利用ICA构造正常视频的特征子空间,将图像序列投影到特征子空间上得到投影序列,实现数据降维;然后利用HP滤波器滤除投影序列中环境变化引起的趋势分量;最终克服不利的环境因素,有效改善隐马尔可夫模型的视频异常事件检测性能。机动车辆禁行路段视频的检测实验表明,该方法能够在复杂的室外环境下较好地检测出异常事件。     

一种异常入侵检测中新的HMM训练方法

隐马尔可夫模型(HMM)已经被证明是一个对系统正常行为建模的好工具,但是它的Baum-Welch训练算法效率不高,训练过程需要很大的计算机资源,在实际的入侵检测中效率是不高的.本文提出了一个高效的用多观察序列来训练HMM的训练方案,我们的实验结果显示我们的训练方法能比传统的训练方法节省60%的时间.