基于最大访问模式挖掘的数据库异常行为检测

引入访问模式描述用户访问数据库系统的主要行为特征,利用从数据库审计记录中挖掘的最大访问模式来检测数据库系统的异常行为.基于FP-tree结构,提出了一种最大访问模式挖掘算法MMAP.基于数据库系统中关系之间的外键依赖提出了一种关系距离约束,进一步减少挖掘算法的搜索空间.基于MMAP算法建立了一个检测模型,测试表明该模型能有效地检测数据库系统的异常行为.     

一种基于粗糙集理论的数据库入侵检测模型

提出了一种可以检测数据库管理系统中异常事务入侵检测模型.该模型运用粗糙集理论从用户历史会话中提取用户正常行为轮廓,并利用散列算法来加速SQL模板的匹配,既可以有效检测异常事务,又可以避免因为一两次误用而把无辜的用户误认为是恶意攻击者.对模型的性能做了测试和分析.     

基于隐马尔科夫模型的用户行为异常检测方法

提出了一种基于HMM的用户行为异常检测的新方法,用shell命令序列作为审计数据,但在数据预处理、用户行为轮廓的表示方面与现有方法不同。仿真实验结果表明,本方法的检测效率和实时性相对较高,在检测准确率方面也有较大优势。     

融合密度聚类与集成学习的数据库异常检测

目前,针对数据库系统内部攻击与威胁的检测方法较少,且已有的数据库异常检测方案存在代价开销高、检测准确率低等问题.为此,将密度聚类和集成学习融合,提出一种基于密度聚类和集成学习的数据库异常检测方法.利用OPTICS(Ordering Points To Identify the Clustering Structure)密度聚类算法对用户产生的数据库SQL操作日志进行聚类,通过对SQL语句中的各属性进行分析,提取用户的异常行为,形成先验知识;将Bagging、Boosting和Stacking进行组合,形成集成学习模型,以OPTICS聚类形成的先验知识为基础,并利用该集成学习模型对用户行为作进一步分析,并创建用户行为特征库.基于用户形成特征库,对用户行为进行检测.给出了方案的详细构建过程,包括数据预处理、训练、学习模型建立以及异常检测;利用相关实验数据进行测试,结果表明本方案能以较高的效率检测出数据库异常行为,并且在准确率方面优于同类方案.     

一种数据库入侵检测模型的研究

提出了一种数据库入侵检测模型,利用该模型对数据库审计信息进行挖掘,以发现代表合法用户典型行为的用户轮廓。利用用户轮廓可以发现用户的误用行为。     

基于通信信令序列的卫星通信网异常检测研究

传统的异常检测方式利用模式库的方式收集所有已知的异常模式,对新的数据进行检测,该方法难以检测层出不穷的各种新的异常行为,同时由于异常行为数据难以获取,往往只能得到正常用户的行为信息。本文分析了针对卫星通信网的各种攻击行为和异常情况,利用正常的用户信令序列建立正常用户"轮廓",设计的基于信令序列异常检测模型能够在少量样本的情况下获得较高的检测精度,在仿真平台上验证了该模型具有较高的检测率和较低的虚警率。     

基于K-means和naive Bayes的数据库用户行为异常检测研究

针对数据库用户行为异常导致数据库泄露问题,提出了一种基于K-means和naive Bayes算法的数据库用户异常检测方法。首先,利用数据库历史审计日志中用户的查询语句与查询结果,采用K-means聚类方法得到用户的分组;然后,使用naive Bayes分类算法构造用户异常检测模型。与单独使用naive Bayes分类法构造的模型相比,在数据预处理时其精简了用户行为轮廓的表示方法,降低了计算冗余,减少了81%的训练时间;利用K-means聚类方法得到用户组别,使检测的精确率提高了7.06%,◢F◣▼1▽值提高了3.33%。实验证明,所提方法大幅降低了训练时间,取得了良好的检测效果。     

基于改进隐马尔可夫模型的系统调用异常检测

针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性.     

基于HMM监控视频的异常事件检测

针对智能监控系统中的行为分析与识别,将隐马尔可夫模型（Hidden Markov model,HMM）应用到智能视频监控系统的异常事件检测中。首先应用背景差法将运动目标提取出来。其次将运动目标的形状、颜色和帧间变化度等特征编码,生成特征向量。训 练时将特征向量送入HMM训练得到隐马尔可夫模型需要的参数[WTHX]A和B[WTBZ],检测时将特征向量送入HMM检测系统检测是否有异常事件发生。最后的实验结果表明,该方法能快速有效地检测监控视频中的异常事件的发生。     

基于Improved-HMM的进程行为异常检测

针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。     

基于隐马尔可夫模型的内部威胁检测方法

提出了一种基于隐马尔可夫模型的内部威胁检测方法.针对隐马尔可夫模型评估问题的解法在实际应用中存在利用滑动窗口将观测事件序列经过放大处理导致误报率偏高的缺陷,在Windows平台上设计并实现了一个基于系统调用的内部威胁检测原型系统,利用截获Windows Native API的方法,通过程序行为的正常轮廓库来检测程序异常行为模式.实验结果表明,新方法以程序的内在运行状态作为处理对象,正常轮廓库较小,克服了传统评估方法因P(O|λ)值太小而无法有效区分正常与异常的问题,检测性能更好.     

交通异常事件HMM特征建模及免疫克隆优化分类

针对交通视频事件描述的观测数据与判别状态的非直接关联性,以高速公路上车辆之间的相对速度、距离、位置作为观测物理量,定义异常事件的危险程度作为检测状态,利用隐马尔科夫学习算法,建立了事件特征描述模型(HMM);针对HMM事件分类界面的非线性问题,利用免疫克隆浓度聚类算法(ICCCA)对事件进行异常/正常优化分类,克服了直接利用HMM阈值分类的方法局限,以及传统分类方法约束条件多,容易陷入局部最小的缺点,能够准确快速地得到全局优化分类结果.采用30段正常视频和70段撞车视频进行测试,比较了HMM阈值、神经网络算法、SVM算法对撞车事件的ROC曲线和计算复杂度,表明所提方法对于高速公路撞车事件优于其他分类算法.     

主机型异常检测的隐半马尔可夫模型方法

提出基于HSMM模型的主机型入侵检测系统框架。以BSM审计数据作为数据源,提取正常主机行为的特权流系统调用序列,利用HSMM模型对正常主机行为进行建模,然后将当前主机行为与之比较,判定当前主机行为是否异常。选取特权流变化事件作为研究对象以缩短建模时间,同时滤去了过多的无用信息,一定程度上提高了检测效率。实验结果表明,提出的HSMM方法比HMM优越,同时该方法建模的系统不仅节省训练时间,而且在提高检测率的同时可以降低误报率。     

基于机器学习的用户行为异常检测模型

针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。     

HIS系统财务数据库异常检测技术及应用

当前，医院信息系统(HIS)已成为医院信息化建设的重要内容，但HIS与财务数据库的接入仍然采用传统的方式，导致财务重要数据存在一定的安全隐患。为了有效消除用户异常行为对医院财务数据库所构成的安全隐患，设计一种财务数据库异常检测技术。通过调取财务数据库运行日志中的用户查询内容及相应结果，采用k-means聚类算法进行用户分组，采用Navie Bayes算法构建异常检测模型。应用测试结果表明，与传统的用户行为轮廓算法相比，所提出的算法准确率提高了7.06个百分点，综合F₁值提高了3.33个百分点，此外，在大幅度缩减计算量的基础上模型训练时间缩短了81%,极大地提高了财务数据的安全性。     

可视化密度场模型及其在入侵检测中的应用

随着Internet的飞速发展，Web应用系统在电子政务与电子商务中得到广泛应用，安全问题随之产生．入侵检测是保障Web应用系统安全的重要手段之一，利用可视化技术辅助安全专家创建轮廓有助于提高正常行为轮廓的准确程度，进而提高入侵检测性能．然而，传统基于散乱点的可视化模型对大样本数据的显示效果较差，在Internet环境中应用受限．本文针对传统模型的缺陷，提出了基于密度场的可视化模型及其相关算法，为安全专家提供更丰富的可视信息，以便安全专家能更准确地创建正常用户行为轮廓．本文还通过实验对两种可视化模型的显示效果进行了对比．     

自适应的Web攻击异常检测方法

针对传统建模容易引入不可信样本的问题,提出了一种自适应建立基于Web攻击异常检测模型的方法。依据样本中Request-URL的结构特征对样本集进行分类,并利用样本的各属性来构造样本分类子集的离散性函数,其中离散程度值将作为识别正常行为集的依据;在此基础上,使用改进的隐马尔可夫模型(HMM)算法对正常行为样本集进行建模,并利用HMM合并的方法实现检测模型的动态更新。实验结果表明,所提方法建立的模型能够有效地识别出Web攻击请求,并降低检测的误报率。     

基于旁路监听的数据库安全审计系统

通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计,并实现了数据库操作行为的安全检测。     

基于隐Markov模型的协议异常检测

入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率.     

基于聚类的HMM算法及其在NIDS中的应用

本文提出根据正常-异常序列模式异常来定义紧急级别的新概念，将隐马尔可夫模型引入到网络入侵检测系统中检测正常-异常序列中的模式异常。并针对直接对检测数据进行HMM训练和检测。存在计算量很大的问题。提出了采用先聚类降低状态维数，然后采用HMM的方法进行NIDS检测的方法。实验证明其有效性。