基于shell命令和Markov链模型的用户行为异常检测

被引:14
作者
田新广
孙春来
段洣毅
机构
[1] 北京交通大学计算技术研究所
关键词
入侵检测; shell命令; Markov链; 异常检测; 行为轮廓;
D O I
暂无
中图分类号
TP393.08 [];
学科分类号
摘要
异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。
引用
收藏
页码:2580 / 2584
页数:5
相关论文
共 7 条
[1]
基于主机的入侵检测方法研究.[D].田新广.国防科学技术大学.2005, 03
[2]
新的基于机器学习的入侵检测方法 [J].
田新广 ;
高立志 ;
张尔扬 .
通信学报, 2006, (06) :108-114
[3]
一种改进的IDS异常检测模型 [J].
孙宏伟 ;
田新广 ;
李学春 ;
张尔扬 .
计算机学报, 2003, (11) :1450-1455
[4]
基于模式挖掘的用户行为异常检测 [J].
连一峰 ;
戴英侠 ;
王航 .
计算机学报, 2002, (03) :325-330
[5]
An empirical study of two approaches to sequence learning for anomaly detection [J].
Lane, T ;
Brodley, CE .
MACHINE LEARNING, 2003, 51 (01) :73-107
[6]
Computer intrusion: Detecting masquerades [J].
Schonlau, M ;
DuMouchel, W ;
Ju, WH ;
Karr, AF ;
Theus, M ;
Vardi, Y .
STATISTICAL SCIENCE, 2001, 16 (01) :58-74
[7]
Temporal sequence learning and data reduction for anomaly detection.[J].Terran Lane;Carla E. Brodley.ACM Transactions on Information and System Security (TISSEC).1999, 3