基于马尔可夫链模型的异常入侵检测方法研究

【摘要】： 在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立异常检测模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”和如何做出具体决策。马尔可夫链模型是应用在异常入侵检测的重要的统计分析方法之一,目前在这方面的研究很多,但是或多或少存在不同程度的缺陷。 本文综述了入侵检测技术,详细介绍了异常入侵检测、系统调用、特权进程等本文所需的相关内容。然后对目前已有的基于马尔可夫链模型的异常入侵检测方法进行深入研究,发现:在异常入侵检测中,单步马尔可夫链模型较简单,并且对于系统调用序列其并不能严格成立,尤其是在滑动窗口选取比较大的情况下;多步马尔可夫链模型,在存储和计算两方面都较大;隐马尔可夫链模型的参数计算复杂,而且随着数据的更新,参数也需要更新、计算。因此,本文提出了一种基于马尔可夫链模型的异常入侵检测的新方法,并利用新墨西哥大学提供的数据对其进行实验和结果分析。 本文提出的基于马尔可夫链模型的异常入侵检测方法,首先,建立马尔可夫链模型;其次,在模型基础之上对检测的数据进行分析检测:利用单步马尔可夫链两种不同的序列分析检测方法对检测数据计算产生两种概率序列,然后对概率序列使用滑动窗口分析方法,对分割的每个概率序列利用特殊公式进行计算产生判定值;最后,分析这两种判定值曲线,利用判定值对正常数据和异常数据进行判定;同时,通过对判定值的分析,设置合理的阈值,利用阈值再次对正常数据和异常数据进行判定。 本文通过对参数进行分析和选取,实验得到了较理想的结果,并且对多种判定方法进行了对比分析。