基于网络的隐马尔可夫异常检测技术研究

【摘要】：入侵检测技术是计算机安全技术的一个重要成份。目前,滥用检测技术较为成熟,而异常检测技术仍处于研究阶段,对异常检测技术的研究已成为计算机安全技术领域的一个重要方向。 本文从HMM 的基本思想、概念出发,建立了基于网络的HMM 异常检测原型。对原型在实际应用环境中产生的问题,提出了对观测对象(数据包头部)进行分段的改进办法,进而建立了具有可操作性的HMM 异常检测模型。在观测对象的概率计算方面,引入了滑动窗口的概念,解决了概率值过小的问题。对模型的训练,给出了模型训练算法、矩阵B的更新算法。 本文最后以IP、TCP 的固定头部为观测对象,给出了一个模型测试程序,并通过实验及对实验结果的分析验证了模型训练算法、矩阵B 的更新算法以及遗忘因子R 与模型遗忘速度之间关系的正确性,验证了模型的异常检测功能。