共查询到20条相似文献,搜索用时 187 毫秒
1.
引入访问模式描述用户访问数据库系统的主要行为特征,利用从数据库审计记录中挖掘的最大访问模式来检测数据库系统的异常行为.基于FP-tree结构,提出了一种最大访问模式挖掘算法MMAP.基于数据库系统中关系之间的外键依赖提出了一种关系距离约束,进一步减少挖掘算法的搜索空间.基于MMAP算法建立了一个检测模型,测试表明该模型能有效地检测数据库系统的异常行为. 相似文献
2.
3.
4.
目前,针对数据库系统内部攻击与威胁的检测方法较少,且已有的数据库异常检测方案存在代价开销高、检测准确率低等问题.为此,将密度聚类和集成学习融合,提出一种基于密度聚类和集成学习的数据库异常检测方法.利用OPTICS(Ordering Points To Identify the Clustering Structure)密度聚类算法对用户产生的数据库SQL操作日志进行聚类,通过对SQL语句中的各属性进行分析,提取用户的异常行为,形成先验知识;将Bagging、Boosting和Stacking进行组合,形成集成学习模型,以OPTICS聚类形成的先验知识为基础,并利用该集成学习模型对用户行为作进一步分析,并创建用户行为特征库.基于用户形成特征库,对用户行为进行检测.给出了方案的详细构建过程,包括数据预处理、训练、学习模型建立以及异常检测;利用相关实验数据进行测试,结果表明本方案能以较高的效率检测出数据库异常行为,并且在准确率方面优于同类方案. 相似文献
5.
提出了一种数据库入侵检测模型,利用该模型对数据库审计信息进行挖掘,以发现代表合法用户典型行为的用户轮廓。利用用户轮廓可以发现用户的误用行为。 相似文献
6.
传统的异常检测方式利用模式库的方式收集所有已知的异常模式,对新的数据进行检测,该方法难以检测层出不穷的各种新的异常行为,同时由于异常行为数据难以获取,往往只能得到正常用户的行为信息。本文分析了针对卫星通信网的各种攻击行为和异常情况,利用正常的用户信令序列建立正常用户"轮廓",设计的基于信令序列异常检测模型能够在少量样本的情况下获得较高的检测精度,在仿真平台上验证了该模型具有较高的检测率和较低的虚警率。 相似文献
7.
针对数据库用户行为异常导致数据库泄露问题,提出了一种基于K-means和naive Bayes算法的数据库用户异常检测方法。首先,利用数据库历史审计日志中用户的查询语句与查询结果,采用K-means聚类方法得到用户的分组;然后,使用naive Bayes分类算法构造用户异常检测模型。与单独使用naive Bayes分类法构造的模型相比,在数据预处理时其精简了用户行为轮廓的表示方法,降低了计算冗余,减少了81%的训练时间;利用K-means聚类方法得到用户组别,使检测的精确率提高了7.06%,◢F◣▼1▽值提高了3.33%。实验证明,所提方法大幅降低了训练时间,取得了良好的检测效果。 相似文献
8.
基于改进隐马尔可夫模型的系统调用异常检测 总被引:1,自引:0,他引:1
针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性. 相似文献
9.
10.
针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。 相似文献
11.
提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好. 相似文献
12.
针对交通视频事件描述的观测数据与判别状态的非直接关联性,以高速公路上车辆之间的相对速度、距离、位置作为观测物理量,定义异常事件的危险程度作为检测状态,利用隐马尔科夫学习算法,建立了事件特征描述模型(HMM);针对HMM事件分类界面的非线性问题,利用免疫克隆浓度聚类算法(ICCCA)对事件进行异常/正常优化分类,克服了直接利用HMM阈值分类的方法局限,以及传统分类方法约束条件多,容易陷入局部最小的缺点,能够准确快速地得到全局优化分类结果.采用30段正常视频和70段撞车视频进行测试,比较了HMM阈值、神经网络算法、SVM算法对撞车事件的ROC曲线和计算复杂度,表明所提方法对于高速公路撞车事件优于其他分类算法. 相似文献
13.
提出基于HSMM模型的主机型入侵检测系统框架。以BSM审计数据作为数据源,提取正常主机行为的特权流系统调用序列,利用HSMM模型对正常主机行为进行建模,然后将当前主机行为与之比较,判定当前主机行为是否异常。选取特权流变化事件作为研究对象以缩短建模时间,同时滤去了过多的无用信息,一定程度上提高了检测效率。实验结果表明,提出的HSMM方法比HMM优越,同时该方法建模的系统不仅节省训练时间,而且在提高检测率的同时可以降低误报率。 相似文献
14.
针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。 相似文献
15.
当前,医院信息系统(HIS)已成为医院信息化建设的重要内容,但HIS与财务数据库的接入仍然采用传统的方式,导致财务重要数据存在一定的安全隐患。为了有效消除用户异常行为对医院财务数据库所构成的安全隐患,设计一种财务数据库异常检测技术。通过调取财务数据库运行日志中的用户查询内容及相应结果,采用k-means聚类算法进行用户分组,采用Navie Bayes算法构建异常检测模型。应用测试结果表明,与传统的用户行为轮廓算法相比,所提出的算法准确率提高了7.06个百分点,综合F1值提高了3.33个百分点,此外,在大幅度缩减计算量的基础上模型训练时间缩短了81%,极大地提高了财务数据的安全性。 相似文献
16.
随着Internet的飞速发展,Web应用系统在电子政务与电子商务中得到广泛应用,安全问题随之产生.入侵检测是保障Web应用系统安全的重要手段之一,利用可视化技术辅助安全专家创建轮廓有助于提高正常行为轮廓的准确程度,进而提高入侵检测性能.然而,传统基于散乱点的可视化模型对大样本数据的显示效果较差,在Internet环境中应用受限.本文针对传统模型的缺陷,提出了基于密度场的可视化模型及其相关算法,为安全专家提供更丰富的可视信息,以便安全专家能更准确地创建正常用户行为轮廓.本文还通过实验对两种可视化模型的显示效果进行了对比. 相似文献
17.
18.
通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计,并实现了数据库操作行为的安全检测。 相似文献
19.
入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率. 相似文献