共查询到18条相似文献,搜索用时 328 毫秒
1.
基于模糊滑窗隐马尔可夫模型的入侵检测研究 总被引:1,自引:0,他引:1
针对传统基于隐马尔可夫模型(HMM)入侵检测中普遍存在误报与漏报过高的问题,提出了一种基于模糊窗口隐马尔可夫模型(FWHMM)的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度,通过将状态的随机转移转变为模糊随机转移,提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。 相似文献
2.
基于隐马尔可夫模型的网络入侵检测方法 总被引:1,自引:0,他引:1
介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值. 相似文献
3.
提出了一种多方法集成的异常入侵检测系统,运用隐马尔可夫模型、统计方法和基于规则的方法,测量系统调用序列、资源使用率、文件访问权限的正常行为,并将其集成,实验表明此系统具有很好的性能。 相似文献
4.
基于隐马尔可夫模型的异常检测 总被引:4,自引:1,他引:4
首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测 相似文献
5.
入侵检测系统的可信问题 总被引:17,自引:0,他引:17
首先讨论了当前入侵检测系统存在的信任危机的原因,并得出结论:若希望入侵检测系统的报警可信概率超过50%,必须使虚警率低于入侵发生的先验概率.接着论述了在异常检测系统和滥用检测系统中产生虚警的原因.最后结合研发的AIIDs系统讨论了抑制虚警可能采取的方法,重点讨论了用隐马尔可夫模型过滤系统调用数据以增加相对条件熵的方法和根据入侵的定义以及来自免疫系统机理的启发,建立了协同信号机制而遏制虚警的方法. 相似文献
6.
7.
Ad hoe网络由于采用无线信道、有限的电源和带宽、分布式控制等,会比有线网络更易受到入侵攻击.通常的入侵检测技术具有检测能力单一、缺乏对抗新入侵方式的能力等缺陷.在分布式入侵检测系统(IDS)的基础上,提出一种针对移动节点网络行为的异常检测机制.基于多层综合的观测值序列,采用隐半马尔可夫模型(HSMM)建立描述网络中合法节点正常行为的检测模型,继而对网络中的正常与异常行为进行判断与识别.实验表明,此方法能针对现有多种入侵方式进行有效的检测. 相似文献
8.
基于隐马尔可夫模型的入侵检测系统 总被引:5,自引:1,他引:4
首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。 相似文献
9.
提出了一种基于隐马尔可夫模型的入侵场景构建方法,实现自动地从大量低级的入侵检测告警信息中构建出更高层次的入侵场景的目的。为了简化处理过程,对数据流采用两次抽象描述和一次回溯处理过程完成对入侵场景的构建,在DARPA2000测试数据集上的实验表明该方法是有效的。 相似文献
10.
11.
A program-based anomaly intrusion detection scheme using multiple detection engines and fuzzy inference 总被引:1,自引:0,他引:1
Xuan Dau Hoang Jiankun Hu Peter Bertok 《Journal of Network and Computer Applications》2009,32(6):1219-1228
In this paper, a hybrid anomaly intrusion detection scheme using program system calls is proposed. In this scheme, a hidden Markov model (HMM) detection engine and a normal database detection engine have been combined to utilise their respective advantages. A fuzzy-based inference mechanism is used to infer a soft boundary between anomalous and normal behaviour, which is otherwise very difficult to determine when they overlap or are very close. To address the challenging issue of high cost in HMM training, an incremental HMM training with optimal initialization of HMM parameters is suggested. Experimental results show that the proposed fuzzy-based detection scheme can reduce false positive alarms by 48%, compared to the single normal database detection scheme. Our HMM incremental training with the optimal initialization produced a significant improvement in terms of training time and storage as well. The HMM training time was reduced by four times and the memory requirement was also reduced significantly. 相似文献
12.
13.
14.
15.
提出基于HSMM模型的主机型入侵检测系统框架。以BSM审计数据作为数据源,提取正常主机行为的特权流系统调用序列,利用HSMM模型对正常主机行为进行建模,然后将当前主机行为与之比较,判定当前主机行为是否异常。选取特权流变化事件作为研究对象以缩短建模时间,同时滤去了过多的无用信息,一定程度上提高了检测效率。实验结果表明,提出的HSMM方法比HMM优越,同时该方法建模的系统不仅节省训练时间,而且在提高检测率的同时可以降低误报率。 相似文献
16.
计算机系统入侵检测的隐马尔可夫模型 总被引:32,自引:0,他引:32
入侵检测技术作为计算机安全技术的一个重要组成部分,现在受到越来越广泛的关注,首先建立了一个计算机系统运行状况的隐马尔可夫模型(HMM),然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法,以及该模型的训练算法。这个算法的优点是准确率高,算法简单,占用的存储空间很小,适合用于在计算机系统上进行实时检测。 相似文献
17.
针对室外环境下光照亮度变化、阴影和树木遮挡等问题,对利用隐马尔可夫模型进行视频异常事件检测的影响,提出基于独立分量分析(ICA)和HP(Hodrick-Prescott)滤波器的隐马尔可夫模型视频异常事件检测方法。该方法首先利用ICA构造正常视频的特征子空间,将图像序列投影到特征子空间上得到投影序列,实现数据降维;然后利用HP滤波器滤除投影序列中环境变化引起的趋势分量;最终克服不利的环境因素,有效改善隐马尔可夫模型的视频异常事件检测性能。机动车辆禁行路段视频的检测实验表明,该方法能够在复杂的室外环境下较好地检测出异常事件。 相似文献
18.
隐马尔可夫模型(HMM)已经被证明是一个对系统正常行为建模的好工具,但是它的Baum-Welch训练算法效率不高,训练过程需要很大的计算机资源,在实际的入侵检测中效率是不高的.本文提出了一个高效的用多观察序列来训练HMM的训练方案,我们的实验结果显示我们的训练方法能比传统的训练方法节省60%的时间. 相似文献