基于Shell命令和共生矩阵的用户行为异常检测方法

被引：19

作者：

李超 ^{[1
]}

田新广 ^{[2
]}

肖喜 ^{[3
]}

段洣毅 ^{[1
,2
]}

机构：

[1] 北京航空航天大学计算机学院

[2] 中国科学院计算技术研究所

[3] 中国科学院信息安全国家重点实验室

来源：

计算机研究与发展 | 2012年 / 49卷 / 09期

关键词：

入侵检测; 异常检测; shell命令; 共生矩阵; 用户行为;

D O I：

暂无

中图分类号：

TP393.08 [];

学科分类号：

摘要：

用户行为异常检测是当前网络安全领域研究的热点内容.提出一种新的基于共生矩阵的用户行为异常检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的入侵检测系统.该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的时序相关属性,依据shell命令的出现频率并利用阶梯式的数据归并方法来确定事件,然后构建模型矩阵来刻画用户的正常行为.在检测阶段,首先为每一个当前事件序列构建一个部分正则化共生矩阵,然后根据矩阵2范数计算这些矩阵与模型矩阵的距离,得到距离流,最后通过平滑滤噪处理距离流来判决用户行为.在Purdue大学实验数据和SEA实验数据上的两组实验结果表明,该方法具有很高的检测性能,其可操作性也优于同类方法.

引用

页码：1982 / 1990

页数：9

共 6 条

[1]

基于shell命令和多重行为模式挖掘的用户伪装攻击检测 [J].

田新广 ;

段洣毅 ;

程学旗 .

计算机学报, 2010, 33 (04) :697-705

[2]

A Method for Anomaly Detection of User Behaviors Based on Machine Learning [J].

TIAN Xinguang GAO Lizhi SUN Chunlai DUAN Miyi ZHANG EryangSchool of Electronic Science and Engineering National University of Defense Technology Changsha PR ChinaDepartment of Electronic Engineering Tsinghua University Beijing PR ChinaResearch Institute of Beijing Capitel Group Corporation Beijing PR ChinaInstitute of Computing Technology Beijing Jiaotong University Beijing PR China .

The Journal of China Universities of Posts and Telecommunications, 2006, (02) :61-65+78

[3]

一种改进的IDS异常检测模型 [J].