基于shell命令和多重行为模式挖掘的用户伪装攻击检测 被引量：20

1

作者 田新广 段洣毅 程学旗 《计算机学报》 EI CSCD 北大核心 2010年第4期697-705,共9页

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练... 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能. 展开更多

关键词 网络安全 伪装攻击 入侵检测 shell命令 异常检测

下载PDF 职称材料

基于Shell命令和共生矩阵的用户行为异常检测方法 被引量：10

2

作者 李超 田新广 +1 位作者 肖喜 段洣毅 《计算机研究与发展》 EI CSCD 北大核心 2012年第9期1982-1990,共9页

用户行为异常检测是当前网络安全领域研究的热点内容.提出一种新的基于共生矩阵的用户行为异常检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的入侵检测系统.该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据... 用户行为异常检测是当前网络安全领域研究的热点内容.提出一种新的基于共生矩阵的用户行为异常检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的入侵检测系统.该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的时序相关属性,依据shell命令的出现频率并利用阶梯式的数据归并方法来确定事件,然后构建模型矩阵来刻画用户的正常行为.在检测阶段,首先为每一个当前事件序列构建一个部分正则化共生矩阵,然后根据矩阵2范数计算这些矩阵与模型矩阵的距离,得到距离流,最后通过平滑滤噪处理距离流来判决用户行为.在Purdue大学实验数据和SEA实验数据上的两组实验结果表明,该方法具有很高的检测性能,其可操作性也优于同类方法. 展开更多

关键词 入侵检测 异常检测 shell命令 共生矩阵 用户行为

下载PDF 职称材料

基于shell命令和Markov链模型的用户行为异常检测 被引量：8

3

作者 田新广 孙春来 段洣毅 《电子与信息学报》 EI CSCD 北大核心 2007年第11期2580-2584,共5页

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系... 异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 展开更多

关键词 入侵检测 shell命令 MARKOV链 异常检测 行为轮廓

下载PDF 职称材料

一种新的基于Markov链模型的用户行为异常检测方法 被引量：7

4

作者 邬书跃 田新广 +1 位作者 高立志 张尔扬 《信号处理》 CSCD 北大核心 2006年第3期440-444,共5页

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出... 提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 展开更多

关键词 入侵检测 MARKOV链 异常检测 shell命令

下载PDF 职称材料

基于命令紧密度的用户伪装入侵检测方法 被引量：9

5

作者 王秀利 王永吉 《电子学报》 EI CAS CSCD 北大核心 2014年第6期1225-1229,共5页

根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从... 根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵.如果待检测的命令块对于该用户来说表现出紧密度过低,则判断为异常.实验表明该方法计算量小,检测效果好,而且具有很高的实时性. 展开更多

关键词 异常检测 伪装检测 命令紧密度 主机

下载PDF 职称材料

基于shell命令和Markov链模型的用户伪装攻击检测 被引量：6

6

作者 肖喜 田新广 +1 位作者 翟起滨 叶润国 《通信学报》 EI CSCD 北大核心 2011年第3期98-105,共8页

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有... 提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。 展开更多

关键词 网络安全 伪装攻击 入侵检测 shell命令 异常检测 MARKOV链

下载PDF 职称材料

基于Shell命令和多阶Markov链模型的用户伪装攻击检测 被引量：6

7

作者 肖喜 翟起滨 +2 位作者 田新广 陈小娟 叶润国 《电子学报》 EI CAS CSCD 北大核心 2011年第5期1199-1204,共6页

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户... 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的准确性和检测系统的泛化能力,并大幅度减少了存储成本.检测阶段根据实时性需求,采用运算量小的、仅依赖于状态转移概率的分类值计算方法,并通过加窗平滑处理分类值序列得到判决值,进而对被监测用户的行为进行判决.实验表明,同现有的典型检测方法相比,该方法在虚警概率相同的情况下大幅度提高了检测概率,并有效减少了系统计算开销,特别适用于在线检测. 展开更多

关键词 网络安全 伪装攻击 入侵检测 shell命令 异常检测 多阶Markov链

下载PDF 职称材料

A Method for Anomaly Detection of User Behaviors Based on Machine Learning 被引量：4

8

作者 TIAN Xin-guang GAO Li-zhi +2 位作者 SUN Chun-lai DUAN Mi-yi ZHANG Er-yang 《The Journal of China Universities of Posts and Telecommunications》 EI CSCD 2006年第2期61-65,78,共6页

This paper presents a new anomaly detection method based on machine learning. Applicable to host-based intrusion detection .systems, this method uses shell commands as audit data. The method employs shell command sequ... This paper presents a new anomaly detection method based on machine learning. Applicable to host-based intrusion detection .systems, this method uses shell commands as audit data. The method employs shell command sequences of different lengths to characterize behavioral patterns of a network user, and constructs multiple sequence libraries to represent the user＇s normal behavior profile. In the detection stage, the behavioral patterns in the audit data are mined by a sequence-matching algorithm, and the similarities between the mined patterns and the historical profile are evaluated. These similarities are then smoothed with sliding windows, and the smoothed similarities are used to determine whether the monitored user＇s behaviors are normal or anomalous. The results of our experience show the method can achieve higher detection accuracy and .shorter detection time than the instance-based method presented by Lane T. The method has been successfully applied in practical host-based intrusion detection systems. 展开更多

关键词 intrusion detection machine learning anomaly detection shell command

原文传递

基于Linux Shell命令的用户异常操作检测方法研究 被引量：4

9

作者 吴驰 帅俊岚 +1 位作者 龙涛 于俊清 《信息网络安全》 CSCD 北大核心 2021年第5期31-38,共8页

针对数据中心安全需求,文章研究并设计了基于规则和基于命令序列的两种异常操作检测方法,在此基础上实现了基于Linux Shell命令的异常操作检测系统。基于规则的异常操作检测方法通过设计规则库匹配算法对被监测用户执行的Shell命令进行... 针对数据中心安全需求,文章研究并设计了基于规则和基于命令序列的两种异常操作检测方法,在此基础上实现了基于Linux Shell命令的异常操作检测系统。基于规则的异常操作检测方法通过设计规则库匹配算法对被监测用户执行的Shell命令进行检测。基于命令序列的异常操作检测方法以合法用户历史命令序列为训练集构建用户行为特征库,使用异常命令序列检测算法判定被监测用户操作是否存在异常。实验结果表明,在高校数据中心环境中,基于规则的异常操作检测方法有较高的检测效率,基于命令序列的异常操作检测方法有较高的检测准确率,能够满足数据中心对用户执行Shell命令的异常检测需求。 展开更多

关键词 Linux shell 异常检测 规则库 命令序列

下载PDF 职称材料

基于BiLSTM和Attention的命令序列检测方法 被引量：3

10

作者 牟宸洲 薛质 施勇 《通信技术》 2019年第12期3016-3020,共5页

主机入侵检测一直是当前网络空间安全的研究热点,因此提出了一种基于双向长短期记忆网络的shell命令序列检测方法,通过审计用户输入的shell命令,发现如目录遍历攻击、大量读取、删除文件等恶意行为。该方法考虑到用户输入存在多样性、... 主机入侵检测一直是当前网络空间安全的研究热点,因此提出了一种基于双向长短期记忆网络的shell命令序列检测方法,通过审计用户输入的shell命令,发现如目录遍历攻击、大量读取、删除文件等恶意行为。该方法考虑到用户输入存在多样性、上下文关联性以及时序性,利用长短期记忆网络和Attention注意力机制处理序列化数据的优势,分类正常行为和恶意行为。基于SEA数据集构建的数据集的实验表明,该方法具有很高的检测能力和泛化能力。 展开更多

关键词 shell命令 入侵检测 用户行为 BiLSTM Attention机制

下载PDF 职称材料

基于Shell命令和DTMC模型的用户行为异常检测新方法 被引量：2

11

作者 肖喜 翟起滨 +1 位作者 田新广 陈小娟 《计算机科学》 CSCD 北大核心 2011年第11期54-58,82,共6页

提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据... 提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。 展开更多

关键词 网络安全 入侵检测 shell命令 异常检测 离散时间Markov链

下载PDF 职称材料

面向Unix和Linux平台的网络用户伪装入侵检测 被引量：2

12

作者 田新广 程学旗 +2 位作者 陈小娟 段洣毅 许洪波 《计算机科学与探索》 CSCD 2010年第6期500-510,共11页

基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及... 基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。 展开更多

关键词 伪装攻击 入侵检测 shell命令 数据挖掘 异常检测

下载PDF 职称材料

Anomaly detection of user behavior based on DTMC with states of variable-length sequences 被引量：1

13

作者 XIAO Xi XIA Shu-tao +1 位作者 TIAN Xin-guang ZHAI Qi-bin 《The Journal of China Universities of Posts and Telecommunications》 EI CSCD 2011年第6期106-115,共10页

In anomaly detection, a challenge is how to model a user＇s dynamic behavior. Many previous works represent the user behavior based on fixed-length models. To overcome their shortcoming, we propose a novel method base... In anomaly detection, a challenge is how to model a user＇s dynamic behavior. Many previous works represent the user behavior based on fixed-length models. To overcome their shortcoming, we propose a novel method based on discrete-time Markov chains （DTMC） with states of variable-length sequences. The method firstly generates multiple shell command streams of different lengths and combines them into the library of general sequences. Then the states are defined according to variable-length behavioral patterns of a valid user, which improves the precision and adaptability of user profiling. Subsequently the transition probability matrix is created. In order to reduce computational complexity, the classification values are determined only by the transition probabilities, then smoothed with sliding windows, and finally used to discriminate between normal and abnormal behavior. Two empirical evaluations on datasets from Purdue University and AT＆T Shannon Lab show that the proposed method can achieve higher detection accuracy and require less memory than the other traditional methods. 展开更多

关键词 intrusion detection anomaly detection shell command discrete-time Markov chain （DTMC）

原文传递

采用shell命令和隐Markov模型进行网络用户行为异常检测 被引量：1

14

作者 田新广 段洣毅 +1 位作者 孙春来 李文法 《应用科学学报》 CAS CSCD 北大核心 2008年第2期175-181,共7页

异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常... 异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓.HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低.在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则.同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能. 展开更多

关键词 入侵检测 隐MARKOV模型 异常检测 shell命令

下载PDF 职称材料

用Shell函数实现定时关机 被引量：1

15

作者 赵哲 《科技情报开发与经济》 2008年第28期144-145,共2页

介绍了Shell函数和Windows命令,以VB.NET为语言基础,使用Shell函数,结合Windows命令实现了定时关机。

关键词 VB.NET shell函数 WINDOWS命令 定时关机

下载PDF 职称材料

Genie Shell for uC/OS-Ⅱ的设计与实现

16

作者 严丽平 宋凯 甘岚 《计算机工程与设计》 CSCD 北大核心 2009年第6期1407-1409,共3页

为解决嵌入式实时操作系统uC/OS-Ⅱ缺少命令解释器,人机交互不便的问题提出了为uC/OS-Ⅱ设计Shell的思想。在介绍了硬件平台的基础上,给出了Shell的总体工作流程,详细描述了其串口函数及主任务的实现过程,并以绘图命令为例介绍了Shell... 为解决嵌入式实时操作系统uC/OS-Ⅱ缺少命令解释器,人机交互不便的问题提出了为uC/OS-Ⅱ设计Shell的思想。在介绍了硬件平台的基础上,给出了Shell的总体工作流程,详细描述了其串口函数及主任务的实现过程,并以绘图命令为例介绍了Shell中命令的实现及扩展方法。测试表明其运行稳定,较好的完成了uC/OS-Ⅱ的人机交互工作,并具有良好的可移植性和可扩展性。 展开更多

关键词 嵌入式 命令行解释器 微控制器操作系统 命令 接口

下载PDF 职称材料

Qutenix加载运行ELF文件研究与实现

17

作者 曲波 《南京晓庄学院学报》 2012年第3期101-105,共5页

文章分析了ELF文件的基本结构,以及在Qutenix中加载运行ELF可执行文件的实现方法及技术要点.内容包括识别ELF格式、加载环境变量及命令行参数、加载可执行文件代码、重载LDT描述符、加载可执行文件入口地址、创建与安装ELF格式Shell命... 文章分析了ELF文件的基本结构,以及在Qutenix中加载运行ELF可执行文件的实现方法及技术要点.内容包括识别ELF格式、加载环境变量及命令行参数、加载可执行文件代码、重载LDT描述符、加载可执行文件入口地址、创建与安装ELF格式Shell命令文件等.文章以一个实例演示Qutenix兼容运行a.out和ELF两种格式可执行文件的结果. 展开更多

关键词 教学操作系统 ELF格式 Qutenix 可执行文件 shell命令

下载PDF 职称材料

用户与XENIX标准Shell接口程序的设计

18

作者 杨晓红 《山东科学》 CAS 1997年第1期4-5,11,共3页

本文介绍了一种由作者开发的Ｘｅｎｉｘ用户界面程序——ＬＳＨ，它具有历史命令记忆、浏览、编辑等功能，完善了Ｘｅｎｉｘ操作系统标准Ｓｈｅｌ的不足，提供了Ｘｅｎｉｘ环境下的一个友好、实用、方便的用户界面。

关键词 shell 用户界面 XENIX系统 用户接口 程序设计

下载PDF 职称材料

网格环境下GridShell技术研究

19

作者 王纪平 桂小林 《微电子学与计算机》 CSCD 北大核心 2005年第4期19-22,共4页

为了方便传统的类UNIX系统用户使用网格,论文基于shell的基本思想,提出了网格环境下的一种命令行解释工具——GridShell,它支持类似于UNIX操作系统中的大部分命令行命令,并增加了Grid系统必需的一些命令,如greg负责网格用户与资源登记、... 为了方便传统的类UNIX系统用户使用网格,论文基于shell的基本思想,提出了网格环境下的一种命令行解释工具——GridShell,它支持类似于UNIX操作系统中的大部分命令行命令,并增加了Grid系统必需的一些命令,如greg负责网格用户与资源登记、gappRun负责应用程序在网格中的执行。在我们的实验网格GridWader上完成了GridShell的实现,并应用GridShell进行了网格资源共享和并行计算的试验。 展开更多

关键词 shell 命令行 Gridshell 资源共享 网格计算

下载PDF 职称材料

COMMAND.COM模拟程序SHELL

20

作者 王辰 《电脑编程技巧与维护》 1994年第1期5-6,共2页

本栏目以目前我国应用面广、发展潜力大的操作系统如DOS、Windows、PWIN、Unix以及大型的应用系统，各种建立在DOS及Windows项目之上的汉字系统如UCDOS、SuperDOS、CCDOS、2.13等为基础，介绍这些系统的新功能、新特性，以及利用这些功... 本栏目以目前我国应用面广、发展潜力大的操作系统如DOS、Windows、PWIN、Unix以及大型的应用系统，各种建立在DOS及Windows项目之上的汉字系统如UCDOS、SuperDOS、CCDOS、2.13等为基础，介绍这些系统的新功能、新特性，以及利用这些功能和特性进行开发，应用的技术和技巧，随着软平台功能的日臻全面与完善，用户要提供的实用编程方法与技术充分利用起来，需要精心地研究和长期的荼。软平台这一栏目将国内乃至国外计算机应用界人士的经验与精华汇集起来，使读者能通过这一栏目充分了解软平台发展的最新技术，从而在软平台上的开发应用工程更加得心应手。在此创刊号里，我们选用了COMMAND.COM摸拟程序SHELL、DIR命令的妙用等四篇文章。尊敬的广大读者朋友们：我们诚恳地期望着大家将你最真诚、最宝贵的意见、指正和建议填写于征询卡里，或写信给我们。谢谢！对几位作者致以敬意和感谢。欢迎赐稿。 展开更多

关键词 shell 模拟程序 command.COM 应用系统 计算机应用 应用工程 发展潜力 卡里 WORD 卫气

下载PDF 职称材料