收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

基于主机的入侵检测方法研究

田新广  
【摘要】:入侵检测是一种用于检测计算机网络系统中入侵行为的网络信息安全技术。本文针对入侵检测技术的发展趋势和应用需求,研究了两类基于主机的入侵检测方法,分别是以shell命令为审计数据的用户行为异常检测方法和以系统调用为审计数据的程序行为异常检测方法。文中的研究工作和创新点主要包括: (1) 研究了入侵检测系统的标准体系结构与功能、审计数据及其产生机制、数据分析与响应机制,对现有的一些入侵检测方法进行了分析和对比。 (2) 提出一种基于机器学习的用户行为异常检测方法,并在该方法的基础上设计实现了一个用户行为异常检测系统。同Lane T等人提出的检测方法相比,该方法改进了对用户行为模式和行为轮廓的表示方式,采用了新的相似度计算(赋值)方法,在对相似度流进行加窗滤噪的过程中引入了“可变窗长度”的概念,并可以联合采用多个判决门限对被监测用户的行为进行判决,从而提高了用户行为轮廓表示中的准确性和灵活性,增强了检测性能的稳定性和检测的实时性。 (3) 研究了隐马尔可夫模型(HMM)在用户行为异常检测中的应用,提出一种新的基于HMM的检测方法。该方法利用特殊的HMM描述合法用户的行为轮廓,将HMM的状态与用户行为模式的种类联系在一起,并引入一个附加状态;HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch算法相比,大大缩短了训练时间;检测时,采用了基于状态序列出现概率的判决准则。实验表明,该方法具有很高的检测准确度。 (4) 针对现有检测方法在序列存储方面的不足,研究了一种基于马尔可夫链模型的用户行为异常检测方法。该方法考虑了shell命令序列的频率分布和序列之间的相关性,其主要优点是需要存储的shell命令序列较少,训练的复杂度比较低。该方法的缺点是容错能力和泛化能力相对较弱,它主要适用于训练数据较为充分的检测环境。 (5) 提出两种基于数据挖掘的程序行为异常检测方法,并以这两种方法为基础设计了一个程序行为异常检测系统。这两种方法均利用数据挖掘技术中的序列模式描述一个程序的正常行为,根据序列的支持度(support)或可信度(confidence)在训练数据中提取正常序列,检测中通过序列比较对攻击行为进行识别。实验表明,同目前被广泛关注的典型检测方法(Forrest等人提出的检测方法)相比,这两种检测方法分别在数据存储和检测准确度方面具有优势。 (6) 研究了马尔可夫过程在程序行为异常检测中的应用,提出两种新的检测方法。这两种方法分别用一阶和多阶马尔可夫过程对程序的正常行为进行建模,将程序运行时所产生的系统调用视为马尔可夫过程的状态,并通过状态转移概率描述系统调用之间的时序相关性。这两种方法均有较高的检测准确度,其中基于一阶马尔可夫过程模型的检测方法对主机资源(包括存储、计算资源)的占用较少,已被应用于实际系统。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 郭春霞;续欣;苗青;王玉华;;入侵检测系统发展与研究[J];通信与广播电视;2005年01期
2 黄悦;;入侵检测方案的研究[J];科技信息;2009年24期
3 姚丽娟;;网络入侵检测技术综述[J];软件导刊;2010年06期
4 陈海;丁邦旭;王炜立;;基于神经网络LMBP算法的入侵检测方法[J];计算机应用与软件;2007年08期
5 单来成;单来祥;;网络盾牌——入侵检测技术[J];计算机教育;2004年12期
6 闵娟娟;程明;;可入侵容忍的分布式协同入侵检测系统[J];科技信息(科学教研);2007年15期
7 王加民;闫仁武;绳英英;李佳;;基于数据挖掘的入侵检测技术研究[J];科学技术与工程;2008年08期
8 周新秋;王丽娜;;高校办公网入侵检测系统研究[J];电脑知识与技术(学术交流);2006年32期
9 雷冠军;;网络入侵检测技术现状及发展趋势[J];湖北函授大学学报;2011年06期
10 唐菀;马杰;曾广平;;评测智能化入侵检测方法的样本库分析[J];中南民族大学学报(自然科学版);2010年02期
11 侯明霞;;网络入侵检测技术的研究学习[J];电脑知识与技术;2010年25期
12 罗光春;卢显良;薛丽军;;一种运用限幅自相似性的新型DDoS入侵检测机制[J];计算机科学;2004年03期
13 吴建新;入侵检测技术概述[J];电脑知识与技术;2005年30期
14 邓广慧;唐贤瑛;夏卓群;;基于FCM和RBF网络的入侵检测研究[J];电脑与信息技术;2006年01期
15 李士勇;梁家荣;唐志刚;;基于粗糙—遗传算法的入侵检测方法研究[J];现代计算机;2006年09期
16 石云;陈蜀宇;;入侵检测技术现状与发展趋势[J];六盘水师范高等专科学校学报;2007年06期
17 李波;;基于聚类分析的网络入侵检测方法研究[J];科技致富向导;2008年22期
18 朱桂宏;王刚;;基于数据流的网络入侵检测研究[J];计算机技术与发展;2009年03期
19 廖娟;龙全圣;;基于某高校校园网安防策略[J];今日科苑;2010年04期
20 刘小明;熊涛;;基于数据挖掘的入侵检测技术研究综述[J];现代计算机(专业版);2010年04期
中国重要会议论文全文数据库 前10条
1 陈晓阳;谢敏;;USB主机嵌入式化的应用和发展[A];广西计算机学会——2004年学术年会论文集[C];2004年
2 于宏伟;戈明媚;王秋良;;DRX1—“魔卡”在临床中的应用[A];2010中华医学会影像技术分会第十八次全国学术大会论文集[C];2010年
3 吕艳慧;吴培明;;半实物仿真主机的微型化技术研究[A];仿真计算机与软件、仿真方法与建模学术交流会论文集[C];2004年
4 毛俐旻;王晓程;;基于Multi-SVM的网络入侵检测技术研究[A];全国计算机安全学术交流会论文集(第二十三卷)[C];2008年
5 张应辉;饶云波;;最小差异度聚类在异常入侵检测中的应用[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
6 林仁生;;改变冷水出水温度对主机运行能耗及影响空气处理效果的分析[A];全国暖通空调制冷2000年学术年会论文集[C];2000年
7 张满怀;;两类基于异常的网络入侵检测方法的比较[A];2007中国科协年会——通信与信息发展高层论坛论文集[C];2007年
8 董晓梅;郭晓淳;王丽娜;于戈;申德荣;王国仁;;基于关联规则数据挖掘的数据库系统入侵检测方法[A];第十九届全国数据库学术会议论文集(研究报告篇)[C];2002年
9 范瑛;;改进蚁群算法结合BP网络用于入侵检测[A];中国运筹学会模糊信息与模糊工程分会第五届学术年会论文集[C];2010年
10 陈鑫;梁海洁;廖腾峰;;基于TSVM分类器和混合型特征选择方法的入侵检测研究[A];2010年全国开放式分布与并行计算机学术会议论文集[C];2010年
中国博士学位论文全文数据库 前10条
1 邬书跃;基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D];中南大学;2012年
2 田新广;基于主机的入侵检测方法研究[D];国防科学技术大学;2005年
3 张金荣;无线传感器网络能效与安全研究[D];重庆大学;2008年
4 王斌斌;僵尸网络检测方法研究[D];华中科技大学;2010年
5 张桂玲;基于软计算理论的入侵检测技术研究[D];天津大学;2006年
6 尹清波;基于机器学习的入侵检测方法研究[D];哈尔滨工程大学;2007年
7 唐贤伦;混沌粒子群优化算法理论及应用研究[D];重庆大学;2007年
8 唐贤伦;混沌粒子群优化算法理论及应用[D];重庆大学;2007年
9 段丹青;入侵检测算法及关键技术研究[D];中南大学;2007年
10 杨智君;入侵检测关键技术在大型科学仪器工作状态监测系统中的研究与应用[D];吉林大学;2006年
中国硕士学位论文全文数据库 前10条
1 温钰;IPv6下基于移动代理的入侵检测系统研究[D];西安科技大学;2008年
2 王勇华;基于状态转换的网络入侵检测系统的研究与实现[D];广东工业大学;2007年
3 杨帆;移动自组网协同异常检测研究[D];太原理工大学;2007年
4 张璠;基于分布式入侵检测的抗攻击问题研究[D];长沙理工大学;2008年
5 冯伟伦;基于人工免疫的入侵检测系统的研究与改进[D];暨南大学;2007年
6 龙泉;基于分布式入侵检测系统研究[D];武汉理工大学;2005年
7 章登科;基于人工免疫系统的检测器生成算法研究[D];华南师范大学;2007年
8 史兴娜;基于免疫机制的Multi-Agent入侵检测系统[D];太原理工大学;2007年
9 杨红;基于选择性集成的入侵检测系统的研究与实现[D];江苏大学;2005年
10 阎明;基于系统调用和上下文的异常检测技术研究[D];哈尔滨工程大学;2009年
中国重要报纸全文数据库 前10条
1 傅焕贵;工人技师胜洋专家[N];中国船舶报;2006年
2 闫凯;主机选购指南[N];中国电子报;2004年
3 赵奇峰;VPN老树开新花[N];中国计算机报;2002年
4 ;计算机供电系统故障导致的黑屏[N];财会信报;2005年
5 特约记者 蒋建新;中船澄西交付重点改装船“巴库”号[N];中国船舶报;2008年
6 薛恒明;数控功能部件对主机发展至关重要(下)[N];中国机电日报;2002年
7 杨浩;最后的战役[N];中国电脑教育报;2003年
8 斯伯丁;图解WLAN安全[N];电脑报;2004年
9 项红;防伪税控主机共享系统[N];中国税务报;2003年
10 ;风险评估让安全尽在掌握[N];计算机世界;2001年
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978