收藏本站
《国防科学技术大学》 2005年
收藏 | 手机打开
二维码
手机客户端打开本文

基于主机的入侵检测方法研究

田新广  
【摘要】:入侵检测是一种用于检测计算机网络系统中入侵行为的网络信息安全技术。本文针对入侵检测技术的发展趋势和应用需求,研究了两类基于主机的入侵检测方法,分别是以shell命令为审计数据的用户行为异常检测方法和以系统调用为审计数据的程序行为异常检测方法。文中的研究工作和创新点主要包括: (1) 研究了入侵检测系统的标准体系结构与功能、审计数据及其产生机制、数据分析与响应机制,对现有的一些入侵检测方法进行了分析和对比。 (2) 提出一种基于机器学习的用户行为异常检测方法,并在该方法的基础上设计实现了一个用户行为异常检测系统。同Lane T等人提出的检测方法相比,该方法改进了对用户行为模式和行为轮廓的表示方式,采用了新的相似度计算(赋值)方法,在对相似度流进行加窗滤噪的过程中引入了“可变窗长度”的概念,并可以联合采用多个判决门限对被监测用户的行为进行判决,从而提高了用户行为轮廓表示中的准确性和灵活性,增强了检测性能的稳定性和检测的实时性。 (3) 研究了隐马尔可夫模型(HMM)在用户行为异常检测中的应用,提出一种新的基于HMM的检测方法。该方法利用特殊的HMM描述合法用户的行为轮廓,将HMM的状态与用户行为模式的种类联系在一起,并引入一个附加状态;HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch算法相比,大大缩短了训练时间;检测时,采用了基于状态序列出现概率的判决准则。实验表明,该方法具有很高的检测准确度。 (4) 针对现有检测方法在序列存储方面的不足,研究了一种基于马尔可夫链模型的用户行为异常检测方法。该方法考虑了shell命令序列的频率分布和序列之间的相关性,其主要优点是需要存储的shell命令序列较少,训练的复杂度比较低。该方法的缺点是容错能力和泛化能力相对较弱,它主要适用于训练数据较为充分的检测环境。 (5) 提出两种基于数据挖掘的程序行为异常检测方法,并以这两种方法为基础设计了一个程序行为异常检测系统。这两种方法均利用数据挖掘技术中的序列模式描述一个程序的正常行为,根据序列的支持度(support)或可信度(confidence)在训练数据中提取正常序列,检测中通过序列比较对攻击行为进行识别。实验表明,同目前被广泛关注的典型检测方法(Forrest等人提出的检测方法)相比,这两种检测方法分别在数据存储和检测准确度方面具有优势。 (6) 研究了马尔可夫过程在程序行为异常检测中的应用,提出两种新的检测方法。这两种方法分别用一阶和多阶马尔可夫过程对程序的正常行为进行建模,将程序运行时所产生的系统调用视为马尔可夫过程的状态,并通过状态转移概率描述系统调用之间的时序相关性。这两种方法均有较高的检测准确度,其中基于一阶马尔可夫过程模型的检测方法对主机资源(包括存储、计算资源)的占用较少,已被应用于实际系统。
【学位授予单位】:国防科学技术大学
【学位级别】:博士
【学位授予年份】:2005
【分类号】:TP393.08

【引证文献】
中国期刊全文数据库 前10条
1 肖喜;翟起滨;田新广;陈小娟;叶润国;;基于Shell命令和多阶Markov链模型的用户伪装攻击检测[J];电子学报;2011年05期
2 田新广;孙春来;段洣毅;;基于shell命令和Markov链模型的用户行为异常检测[J];电子与信息学报;2007年11期
3 周倜;张剑;王小非;冯力;;基于进程和文件行为的主机安全态势评估模型[J];华中科技大学学报(自然科学版);2010年10期
4 田新广;邱志明;孙春来;李文法;段洣毅;;基于硬件分区和IP报文还原的网络隔离与信息交换[J];计算机科学;2008年02期
5 肖喜;翟起滨;田新广;陈小娟;;基于Shell命令和DTMC模型的用户行为异常检测新方法[J];计算机科学;2011年11期
6 苏景志;田新广;;军工行业信息系统安全风险分析与评估[J];信息安全与通信保密;2010年01期
7 邬书跃;田新广;;基于隐马尔可夫模型的用户行为异常检测新方法[J];通信学报;2007年04期
8 肖喜;田新广;翟起滨;叶润国;;基于shell命令和Markov链模型的用户伪装攻击检测[J];通信学报;2011年03期
9 林英;张雁;欧阳佳;;日志检测技术在计算机取证中的应用[J];计算机技术与发展;2010年06期
10 田新广;程学旗;段洣毅;孙春来;马维新;;科研信息系统:加强风险评估 应对安全威胁[J];信息网络安全;2009年12期
中国博士学位论文全文数据库 前4条
1 马琳茹;网络安全告警信息处理技术研究[D];国防科学技术大学;2007年
2 王增权;基于移动Agent的协同式后入侵检测技术研究[D];哈尔滨工程大学;2008年
3 潘剑锋;主机恶意代码检测系统的设计与实现[D];中国科学技术大学;2009年
4 邬书跃;基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D];中南大学;2012年
中国硕士学位论文全文数据库 前10条
1 陈佩剑;基于信任度量机制的入侵检测系统研究与实现[D];国防科学技术大学;2011年
2 孟庆媛;基于信誉度的网络访问管理研究[D];山东科技大学;2011年
3 卜明玮;基于T-S模型模糊神经网络的入侵检测方法研究[D];哈尔滨理工大学;2007年
4 孟宪苹;基于序列模式挖掘的入侵检测系统的研究与实现[D];南京航空航天大学;2008年
5 阎明;基于系统调用和上下文的异常检测技术研究[D];哈尔滨工程大学;2009年
6 陆逵;Snort入侵检测系统分析与改进[D];华北电力大学(北京);2009年
7 喻坤;基于层次式网络流量特征汇聚的攻击分类研究[D];华中科技大学;2008年
8 张鹏;局域网中数据采集与协议分析的研究和实现[D];东北大学 ;2009年
9 李静;基于蜜罐日志分析的主动防御研究和实现[D];上海交通大学;2009年
10 吕永芳;基于Petri网的入侵检测模型设计与研究[D];江苏科技大学;2012年
【参考文献】
中国期刊全文数据库 前4条
1 刘海峰 ,卿斯汉 ,蒙杨 ,刘文清;一种基于审计的入侵检测模型及其实现机制[J];电子学报;2002年08期
2 孙宏伟,田新广,邹涛,张尔扬;基于隐马尔可夫模型的IDS程序行为异常检测[J];国防科技大学学报;2003年05期
3 连一峰,戴英侠,王航;基于模式挖掘的用户行为异常检测[J];计算机学报;2002年03期
4 孙宏伟,田新广,李学春,张尔扬;一种改进的IDS异常检测模型[J];计算机学报;2003年11期
【共引文献】
中国期刊全文数据库 前10条
1 杨兴江;智能入侵检测系统的研究[J];阿坝师范高等专科学校学报;2004年02期
2 张世海,刘晓燕,欧进萍;高层结构智能选型知识发现及方法比较[J];四川建筑科学研究;2005年05期
3 潘洁珠;半结构化数据及其数据模型[J];安徽教育学院学报;2003年06期
4 冯运仿;;入侵检测系统误警问题的研究进展[J];安防科技;2007年06期
5 陆霞;;基于入侵管理技术的网络应急响应体系[J];安防科技;2007年11期
6 赵鹏,倪志伟,贾瑞玉;基于数据挖掘技术的范例库维护[J];安徽大学学报(自然科学版);2003年02期
7 梁佩佩,杨丽萍;基于模糊关系数据库的聚类算法研究[J];安徽职业技术学院学报;2004年01期
8 章曙光;耿焕同;;一种改进的基于聚类的范例添加删除维护模型[J];安徽建筑工业学院学报(自然科学版);2006年01期
9 李永森;潘若愚;李传军;;公共设施选址优化研究[J];安徽建筑工业学院学报(自然科学版);2009年06期
10 李红梅;贺小扬;王雪冬;;粗糙集理论在农业知识发现中的应用研究[J];安徽农业科学;2008年06期
中国重要会议论文全文数据库 前10条
1 章曙光;;基于CBR的电力负荷预测系统的研究与实现[A];2005年“数字安徽”博士科技论坛论文集[C];2005年
2 杨阳;陈宗海;张海涛;;复杂系统仿真的前端智能化综述[A];'2003系统仿真技术及其应用学术交流会论文集[C];2003年
3 查星云;;一种钢铁企业金属损耗平衡分析方法[A];全国冶金自动化信息网2012年年会论文集[C];2012年
4 高倩;吴仁彪;刘家学;;一种基于自适应幂变换的HRRP-ATR方法[A];第十一届全国信号处理学术年会(CCSP-2003)论文集[C];2003年
5 汤广富;马春实;刘欢;付强;;模糊聚类快速实用方法[A];第十四届全国信号处理学术年会(CCSP-2009)论文集[C];2009年
6 由立真;穆志纯;;基于GHSOM网络预测客户欺诈行为[A];2006北京地区高校研究生学术交流会——通信与信息技术会议论文集(上)[C];2006年
7 张敏;陆向艳;周敏;潘林琳;农冬冬;王彬彬;陈晓江;;数据挖掘在智能题库系统中的应用[A];广西计算机学会2004年学术年会论文集[C];2004年
8 韦艳艳;李陶深;;基于Stacking框架的学习机制研究[A];广西计算机学会2004年学术年会论文集[C];2004年
9 崔保胜;;三层结构的证券公司计算机局域网络设计与实现[A];广西计算机学会2006年年会论文集[C];2006年
10 令狐大智;李陶深;;一种面向混合数据的自反馈模糊聚类分析算法[A];广西计算机学会2007年年会论文集[C];2007年
中国博士学位论文全文数据库 前10条
1 王杰;基于人工智能的乒乓球比赛技战术诊断与评估研究[D];上海体育学院;2010年
2 牟向伟;模糊语义个性化推荐系统在电子政务中的应用研究[D];大连海事大学;2010年
3 全惠敏;电能质量相关信号的S变换检测算法及应用研究[D];湖南大学;2010年
4 高山;蛋白质点突变效果预测与突变数据库研究[D];南开大学;2010年
5 甘良志;核学习算法与集成方法研究[D];浙江大学;2010年
6 曹葵康;支持向量机加速方法及应用研究[D];浙江大学;2010年
7 戴小鹏;知识网格及其在农业生物灾害预警中关键技术研究[D];湖南农业大学;2010年
8 林龙信;仿生水下机器人的增强学习控制方法研究[D];国防科学技术大学;2010年
9 陈进;高光谱图像分类方法研究[D];国防科学技术大学;2010年
10 陶勇;知识辅助的SAR图像目标特性分析与识别研究[D];国防科学技术大学;2010年
中国硕士学位论文全文数据库 前10条
1 李金华;基于SVM的多类文本分类研究[D];山东科技大学;2010年
2 吴香庭;基于遗传算法的K-means聚类方法的研究[D];山东科技大学;2010年
3 蒲锰;非侵入式矿井提升机PLC电控系统实时故障诊断方法的研究[D];山东科技大学;2010年
4 韩晓峰;高斯混合模型及在探测网络社区结构中的应用[D];山东科技大学;2010年
5 杨勇;基于SOA的浙江永康某小家电企业应用系统集成平台开发与应用[D];浙江理工大学;2010年
6 李朋勇;基于全矢高阶谱的故障诊断方法及其应用研究[D];郑州大学;2010年
7 王利明;一种基于PMIPv6的智能辅助高效切换方案[D];郑州大学;2010年
8 张晓冬;基于全矢谱的智能诊断技术研究[D];郑州大学;2010年
9 左维松;规则和统计相结合的篇章情感倾向性分析研究[D];郑州大学;2010年
10 曹彦;基于支持向量机的特征选择及其集成方法的研究[D];郑州大学;2010年
【同被引文献】
中国期刊全文数据库 前10条
1 薛开平,洪佩琳,李津生;防火墙与入侵检测系统的自动协同[J];安徽电子信息职业技术学院学报;2005年02期
2 危胜军;胡昌振;高秀峰;;基于学习Petri网的网络入侵检测方法[J];兵工学报;2006年02期
3 演克武;张磊;孙强;;决策树分类法中ID3算法在航空市场客户价值细分中的应用[J];商业研究;2008年03期
4 吕秀琴;吴凡;;多尺度空间对象拓扑相似关系的表达与计算[J];测绘信息与工程;2006年02期
5 刘全利;浅议网络安全[J];重庆商学院学报;1999年01期
6 盛权为;马俊;;基于Linux平台的GTK图形界面编程[J];长沙医学院学报;2005年02期
7 史志才,毛玉萃,刘继峰;网络信息安全技术[J];大连大学学报;2003年04期
8 侯婕;;计算机数据库入侵检测技术探析[J];电脑编程技巧与维护;2010年12期
9 龚俭 ,梅海彬 ,丁勇 ,魏德昊;多特征关联的入侵事件冗余消除[J];东南大学学报(自然科学版);2005年03期
10 林永和;;网络入侵检测系统NIDS的Snort工具的研究[J];电脑知识与技术;2006年11期
中国重要会议论文全文数据库 前1条
1 李永胜;苑津莎;张铁峰;;网络信息安全与防范技术的研究[A];电工理论与新技术学术年会论文集[C];2005年
中国博士学位论文全文数据库 前10条
1 王金林;基于混沌时间序列和SVM的入侵检测系统研究[D];天津大学;2010年
2 杨宏宇;网络入侵检测技术的研究[D];天津大学;2003年
3 向继东;基于数据挖掘的自适应入侵检测建模研究[D];武汉大学;2004年
4 郭陟;可视化入侵检测研究[D];清华大学;2004年
5 苏璞睿;基于特权进程行为的入侵检测方法研究[D];中国科学院研究生院(软件研究所);2005年
6 高翔;网络安全检测关键技术研究[D];西北工业大学;2004年
7 蒋卫华;智能网络入侵检测与安全防护技术研究[D];西北工业大学;2003年
8 张义荣;基于机器学习的入侵检测技术研究[D];国防科学技术大学;2005年
9 朱永宣;基于模式识别的入侵检测关键技术研究[D];北京邮电大学;2006年
10 金舒;入侵检测系统性能提高新技术研究[D];南京理工大学;2006年
中国硕士学位论文全文数据库 前10条
1 唐微;网络信息提取系统关键技术研究[D];大连理工大学;2009年
2 杨晖泽;基于动态克隆选择的自适应免疫入侵检测器优化[D];太原理工大学;2011年
3 陈小平;网络安全与身份认证技术的研究与实现[D];西北工业大学;2003年
4 张富斌;智能入侵检测技术研究[D];西安电子科技大学;2004年
5 巫晓明;Linux下Capabilities安全机制的分析与改进[D];解放军信息工程大学;2004年
6 陈振国;基于智能计算的入侵检测方法研究[D];西安电子科技大学;2005年
7 吴瑞龙;一种基于有色Petri网模型的安全协议检测技术的研究[D];广西大学;2005年
8 李塞峰;Linux平台下基于状态迁移分析技术的入侵检测系统[D];新疆大学;2005年
9 鲁杰;基于主机的入侵检测方法研究[D];北京工业大学;2005年
10 肖潇;基于主机用户行为的入侵检测技术研究[D];中南大学;2005年
【二级引证文献】
中国期刊全文数据库 前10条
1 王菲飞;;浅析智能手机恶意代码的检测与防护技术[J];保密科学技术;2012年04期
2 宋国琴;郭元辉;;一种改进的基于数据挖掘的网络入侵算法[J];电脑开发与应用;2012年05期
3 曲萍;;一种新的基于数据挖掘技术的异常入侵检测系统研究[J];电子技术应用;2010年08期
4 赖英旭;刘静;王一沛;;基于隐马尔科夫模型的用户行为异常检测方法[J];电子技术应用;2011年07期
5 王杰;;移动智能终端的信息安全[J];计算机光盘软件与应用;2012年03期
6 刘明;高玉琢;;一种基于Snort规则和神经网络的混合入侵检测模型[J];广西大学学报(自然科学版);2011年S1期
7 姜燕;;计算机取证中日志分析技术综述[J];电子设计工程;2013年06期
8 肖喜;翟起滨;田新广;陈小娟;;基于Shell命令和DTMC模型的用户行为异常检测新方法[J];计算机科学;2011年11期
9 赵文刚;钟乐海;张娅;杨金;邹海洋;;模糊窗口Markov链在IDS中的应用[J];计算机应用;2008年06期
10 孙晓妍;祝跃飞;黄茜;郭宁;;基于交互行为的恶意代码检测研究[J];计算机应用;2010年06期
中国博士学位论文全文数据库 前6条
1 杨晓峰;基于机器学习的Web安全检测方法研究[D];南京理工大学;2011年
2 王蛟;基于行为的P2P流量及异常流量检测技术研究[D];北京邮电大学;2008年
3 龙文;无线移动环境下信息安全综合管理系统关键技术研究[D];北京邮电大学;2009年
4 王桢珍;基于智能规划的信息安全风险过程建模与评估方法[D];国防科学技术大学;2009年
5 周倜;海战场电磁态势生成若干关键技术研究[D];哈尔滨工程大学;2013年
6 刘积芬;网络入侵检测关键技术研究[D];东华大学;2013年
中国硕士学位论文全文数据库 前10条
1 兰波;校园局域网入侵检测技术研究[D];中国海洋大学;2009年
2 张光华;动态分布式网络入侵模式研究[D];电子科技大学;2010年
3 韩付平;信息化环境下的电子审计证据采集与使用研究[D];太原理工大学;2011年
4 刘世杰;基于孤立系数的孤立点检测研究[D];中南大学;2011年
5 赵琦;入侵检测系统报警融合关键技术研究[D];云南大学;2011年
6 谭振;网络流量异常实时检测系统的设计与实现[D];山东大学;2011年
7 付思源;基于统一可扩展固件接口的恶意代码防范系统研究[D];上海交通大学;2011年
8 王红;基于行为的协同检测与防护模型[D];燕山大学;2012年
9 粱兴开;基于脚本安全的防御技术研究[D];杭州电子科技大学;2012年
10 张群羚;恶意代码检测系统的设计与测试[D];北京邮电大学;2012年
【二级参考文献】
中国期刊全文数据库 前1条
1 赵海波,李建华,杨宇航;网络入侵智能化实时检测系统[J];上海交通大学学报;1999年01期
【相似文献】
中国期刊全文数据库 前10条
1 邬书跃;田新广;;基于隐马尔可夫模型的用户行为异常检测新方法[J];通信学报;2007年04期
2 邓安远;;基于机器学习方法的入侵检测技术的研究[J];计算机科学;2008年01期
3 侯明霞;;网络入侵检测技术的研究学习[J];电脑知识与技术;2010年25期
4 杨学俊;李建良;;入侵检测技术研究[J];网络安全技术与应用;2008年09期
5 高子茜;林晓燕;于棣维;;略谈入侵检测技术[J];硅谷;2009年17期
6 郭爱章;王新刚;姜雪松;;隐马尔可夫模型应用于入侵检测系统的研究[J];信息技术与信息化;2007年06期
7 孙彦;李永忠;罗军生;;基于HMM和STIDE的异常入侵检测方法[J];计算机工程;2008年03期
8 蒋璐;朱参世;宁小娟;;基于模糊评判法的入侵检测模型研究[J];微计算机信息;2008年15期
9 史西兵;王浩鸣;;隐马尔可夫模型解决信息抽取问题的仿真研究[J];计算机仿真;2010年05期
10 田新广,高立志,李学春,张尔扬;一种基于隐马尔可夫模型的IDS异常检测新方法[J];信号处理;2003年05期
中国重要会议论文全文数据库 前10条
1 徐礼胜;李乃民;王宽全;张冬雨;耿斌;姜晓睿;陈超海;罗贵存;;机器学习在中医计算机诊断识别系统中的应用思考[A];第一届全国中西医结合诊断学术会议论文选集[C];2006年
2 李月伦;常宝宝;;基于最大间隔马尔可夫网模型的汉语分词方法[A];中国计算机语言学研究前沿进展(2007-2009)[C];2009年
3 谢世朋;胡茂林;;基于局部仿射区域对稀疏纹理分类的研究[A];第一届建立和谐人机环境联合学术会议(HHME2005)论文集[C];2005年
4 夏诏杰;郭力;李晓霞;;化学主题网络爬虫的研究[A];第十届全国计算(机)化学学术会议论文摘要集[C];2009年
5 张郴;;基于神经网络集成的旅游需求预测模型[A];中国地理学会百年庆典学术论文摘要集[C];2009年
6 杜晓凤;丁友东;;FloatBag选择性神经网络集成及其在人脸检测中的应用[A];第十二届全国信号处理学术年会(CCSP-2005)论文集[C];2005年
7 杨磊;黎志成;胡斌;;基于人工神经网络的调度规则确定专家系统[A];第七届计算机模拟与信息技术学术会议论文集[C];1999年
8 吴宪祥;于培松;万旻;倪伟;郭宝龙;;RoboCup中智能体的参数优化和学习[A];马斯特杯2003年中国机器人大赛及研讨会论文集[C];2003年
9 张燕;张付志;;跨系统个性化服务方法和用户模型研究[A];第三届和谐人机环境联合学术会议(HHME2007)论文集[C];2007年
10 陈时敏;韩心慧;;基于机器学习的网页木马识别方法研究[A];第26次全国计算机安全学术交流会论文集[C];2011年
中国重要报纸全文数据库 前10条
1 傅焕贵;工人技师胜洋专家[N];中国船舶报;2006年
2 闫凯;主机选购指南[N];中国电子报;2004年
3 赵奇峰;VPN老树开新花[N];中国计算机报;2002年
4 ;计算机供电系统故障导致的黑屏[N];财会信报;2005年
5 项红;防伪税控主机共享系统[N];中国税务报;2003年
6 ;风险评估让安全尽在掌握[N];计算机世界;2001年
7 王永利 刘欣;“三大动力”挺进巴西[N];哈尔滨日报;2007年
8 本报记者 唐红阳 通讯员 林寒;80家主机企业与200个小巨人周末配套[N];湖南经济报;2006年
9 本报记者 边歆;异常检测是阻止蠕虫攻击的最好方法?[N];网络世界;2006年
10 ;任天堂Wii满周岁 后来居上战群雄[N];电子资讯时报;2007年
中国博士学位论文全文数据库 前10条
1 田新广;基于主机的入侵检测方法研究[D];国防科学技术大学;2005年
2 李战春;入侵检测中的机器学习方法及其应用研究[D];华中科技大学;2007年
3 邬书跃;基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D];中南大学;2012年
4 何斌;基于可拓逻辑的机器学习理论与方法[D];华南理工大学;2005年
5 王国胜;支持向量机的理论与算法研究[D];北京邮电大学;2008年
6 胡崇海;基于图的半监督机器学习[D];浙江大学;2008年
7 刘长安;基于实例归纳的工艺规划方法及集成CAPP系统研究[D];山东大学;2003年
8 李忠伟;支持向量机学习算法研究[D];哈尔滨工程大学;2006年
9 钟志;基于异常行为辨识的智能监控技术研究[D];上海交通大学;2008年
10 易勇;计算机辅助诗词创作中的风格辨析及联语应对研究[D];重庆大学;2005年
中国硕士学位论文全文数据库 前10条
1 向光;基于机器学习和数据挖掘的入侵检测技术研究[D];东北大学;2005年
2 金飞蔡;基于移动agent技术的入侵检测系统的设计与实现[D];电子科技大学;2004年
3 朱义鑫;基于网络的隐马尔可夫异常检测技术研究[D];新疆大学;2005年
4 韦相和;Ad Hoc网络入侵检测的若干关键技术研究[D];南京理工大学;2008年
5 李亮;基于策略的主机入侵检测技术研究及其在涉密内网中的应用[D];中国工程物理研究院;2005年
6 孙诚;内部威胁检测技术研究[D];国防科学技术大学;2008年
7 胡永钢;序列联配的算法比较与机器学习在其中的应用研究[D];江南大学;2005年
8 阎明;基于系统调用和上下文的异常检测技术研究[D];哈尔滨工程大学;2009年
9 刘波;基于隐马尔可夫模型的系统调用异常检测系统[D];兰州大学;2006年
10 王琦;基于异常检测的蠕虫检测系统模型设计[D];南京师范大学;2006年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026