共查询到20条相似文献,搜索用时 0 毫秒
1.
用户行为异常检测是当前网络安全领域研究的热点内容.提出一种新的基于共生矩阵的用户行为异常检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的入侵检测系统.该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的时序相关属性,依据shell命令的出现频率并利用阶梯式的数据归并方法来确定事件,然后构建模型矩阵来刻画用户的正常行为.在检测阶段,首先为每一个当前事件序列构建一个部分正则化共生矩阵,然后根据矩阵2范数计算这些矩阵与模型矩阵的距离,得到距离流,最后通过平滑滤噪处理距离流来判决用户行为.在Purdue大学实验数据和SEA实验数据上的两组实验结果表明,该方法具有很高的检测性能,其可操作性也优于同类方法. 相似文献
2.
提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。 相似文献
3.
在Linux系统中如何使普通的用户具有超级用户的能力?这一功能可通过编写自己的内核模块来实现。1Linux内核模块的编写方法 (1)什么是内核模块 内核模块(LKMs)就是可卸载的内核模块(LoadableKernel Modules)。这些模块本来是Linux系统用于扩展其功能的。使用LKMs的优点有:内核模块可以被动态加载,而且不需要重新编译内核。由于这些优点,LKMs常常被特殊的设备(或者文件系统)等使用。 (2)内核模块的构成 每个LKM至少由两个基本的函数组成: nit inL贝odule(… 相似文献
4.
上一篇文章讲了shell的基本概念和shell编程的基本语法,接下来以bash为例向大家介绍shell程序设计的高级部分:shell编程的流程控制、调试方法及shell程序的运行方法,顺便也向大家介绍一下bash的内部命令。四、shell程序设计的流程控制和其他高级程序设计语言一样,shell提供了用来控制程序执行流程的命令,包括条件分支和循环结构,用户可以用这些命令建立非常复杂的程序。与传统的语言不同的是,shell用于指定条件值的不是布尔表达式而是命令和字符串。1.test测试命令test命令用于检查某个条件是否成立,它可以进行数值、字符和文件三个… 相似文献
5.
数据挖掘技术是目前国际上的研究热点,入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷.文中把数据挖掘中的序列模式方法应用于入侵检测系统,摒弃了以前入侵检测方法需要根据专家经验建立攻击模式库的不足,具有较强的灵活性,能检测出未知的攻击手段.为了比较用户在正常情况下所形成历史模式和从包含异常行为的检测数据中挖掘出的当前模式,文中还设计了相似度函数.最后给出了具体实验步骤,并针对9个Unix用户的实验结果证明了该方法的可行性. 相似文献
6.
用马尔科夫链对序列数据进行分析时,其预报准确率对于序列演变的异常与否相当敏感,而Linux进程可由一系列的系统调用序列来表征。据此,该文用马尔科夫链对Linux进程的系统调用序列进行行为模式提取并作异常检测。同时,还考虑了序列的顺序关系,使得模式有了合理的解释。 相似文献
7.
讨论了现有方法的缺点,提出了一种基于系统调用序列的检测程序异常行为的新方法,并与其他方法进行了对比和实验。 相似文献
8.
用户行为异常检测模型 总被引:2,自引:1,他引:1
从系统安全的角度出发,将异常检测技术用于用户行为分析领域,建立了一个异常检测原型模型UBAD(User Behavior Abnormality Detection)。利用关联规则算法FP-growth,对系统中的反映用户行为特征的数据进行深入挖掘,得到每个用户的行为模式, 将当前模式与正常历史模式进行对比可以判断用户行为是否异常。 相似文献
9.
基于shell命令和多重行为模式挖掘的用户伪装攻击检测 总被引:3,自引:0,他引:3
伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能. 相似文献
10.
文章从HMM的基本思想、概念出发,建立了以捕获的网络数据包为观测对象的HMM异常检测原型。对原型中存在的可见符号集太大的问题,提出了对观测对象进行分段的改进办法,进而建立了具有可操作性的HMM异常检测模型。在观测对象的概率计算方面,引入了滑动窗口的概念,解决了概率值过小的问题。对模型的训练,给出了模型训练算法、矩阵B的更新公式。 相似文献
11.
为解决常规的网络通信异常检测方法存在的异常检测延时过高问题,实现网络通信异常实时检测,基于关联规则设计一种新的网络通信异常检测方法。首先,提取网络通信异常参数判断异常行为特征值;其次,基于关联规则构建网络通信异常检测模型挖掘网络通信异常数据;最后,进行网络通信异常检测。实验结果表明,设计的网络通信异常关联规则检测方法的异常检测延时较低,检测效果较好,有一定的应用价值,可作为后续网络通信维护的参考。 相似文献
12.
基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。 相似文献
13.
现代计算机系统在稳定性和安全方面存在许多问题,大部分是由于异常的程序行为所导致,主机入侵检测系统能有效的检测程序异常活动.通过对Linux2.4内核的研究,以内核补丁的形式设计与实现了一个原型系统NUMEN,该系统采用前向序列对方法对系统调用序列进行分析,当检测到进程行为异常时,它将延迟该进程发起的系统调用请求,如果异常的出现是由于安全违规活动而引起的,NUMEN在破坏发生之前阻止攻击活动,确保系统的安全性. 相似文献
14.
一种基于置信度的异常检测模型与设计 总被引:3,自引:3,他引:0
入侵检测系统一直以来都是多层安全体系架构不可或缺的一部分。异常检测试图判定程序当前行为与已建立的正常的运行模式是否发生较大偏移来判断入侵的发生,能有效地识别未知的入侵模式,具有较高的检测率。传统的检测方式通常将结果判定为真或假,并由于各种因素的影响而产生了伪肯定和伪否定。通过将网络行为的可能攻击程度描述为连续量,并分析检测规则的置信度和网络行为的可能攻击程度之间存在的关系,以检测规则的置信度来判定是攻击行为的可能性,提出了一种基于置信度的异常检测模型。 相似文献
15.
16.
17.
18.
19.
提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。 相似文献
20.
基于序列模式的异常检测 总被引:1,自引:1,他引:1
数据挖掘技术是目前国际上的研究热点,入侵检测作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷。文中把数据挖掘中的序列模式方法应用于入侵检测系统,摒弃了以前入侵检测方法需要根据专家经验建立攻击模式库的不足,具有较强的灵活性,能检测出未知的攻击手段。为了比较用户在正常情况下所形成历史模式和从包含异常行为的检测数据中挖掘出的当前模式,文中还设计了相似度函数。最后给出了具体实验步骤,并针对9个Unix用户的实验结果证明了该方法的可行性。 相似文献