基于shell命令和多重行为模式挖掘的用户伪装攻击检测 被引量：20

1

作者 田新广 段洣毅 程学旗 《计算机学报》 EI CSCD 北大核心 2010年第4期697-705,共9页

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练... 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能. 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测

下载PDF 职称材料

基于Shell命令和多阶Markov链模型的用户伪装攻击检测 被引量：6

2

作者 肖喜 翟起滨 +2 位作者 田新广 陈小娟 叶润国 《电子学报》 EI CAS CSCD 北大核心 2011年第5期1199-1204,共6页

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户... 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的准确性和检测系统的泛化能力,并大幅度减少了存储成本.检测阶段根据实时性需求,采用运算量小的、仅依赖于状态转移概率的分类值计算方法,并通过加窗平滑处理分类值序列得到判决值,进而对被监测用户的行为进行判决.实验表明,同现有的典型检测方法相比,该方法在虚警概率相同的情况下大幅度提高了检测概率,并有效减少了系统计算开销,特别适用于在线检测. 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测 多阶Markov链

下载PDF 职称材料

基于shell命令和Markov链模型的用户伪装攻击检测 被引量：6

3

作者 肖喜 田新广 +1 位作者 翟起滨 叶润国 《通信学报》 EI CSCD 北大核心 2011年第3期98-105,共8页

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有... 提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测 MARKOV链

下载PDF 职称材料

基于区间值2型模糊集的伪装入侵检测算法 被引量：6

4

作者 曾剑平 郭东辉 《电子学报》 EI CAS CSCD 北大核心 2008年第4期777-780,共4页

由于正常用户的行为本身是变化的,且伪装用户的行为可能看起来是正常的,这种不确定性使得现有的伪装检测算法很难正确判断用户身份的真实性,从而限制了现有算法的实际应用推广.本文合理地选择用户的行为特征,并建立相应的用户可信度计... 由于正常用户的行为本身是变化的,且伪装用户的行为可能看起来是正常的,这种不确定性使得现有的伪装检测算法很难正确判断用户身份的真实性,从而限制了现有算法的实际应用推广.本文合理地选择用户的行为特征,并建立相应的用户可信度计算方法,采用区间值模糊集对多个特征进行可信度综合计算得到用户的最终可信度,将该值与设定的阈值比较从而判断用户是否属于伪装.理论分析及实验结果显示,与普通模糊计算相比,区间值模糊计算能有效表示及处理伪装检测中的不确定性,因而能得到比较理想的检测效果. 展开更多

关键词 伪装检测 区间值模糊集 不确定性 可信度

下载PDF 职称材料

面向Unix和Linux平台的网络用户伪装入侵检测 被引量：2

5

作者 田新广 程学旗 +2 位作者 陈小娟 段洣毅 许洪波 《计算机科学与探索》 CSCD 2010年第6期500-510,共11页

基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及... 基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。 展开更多

关键词 伪装攻击 入侵检测 SHELL命令 数据挖掘 异常检测

下载PDF 职称材料

支持联动的局域网主机隔离系统的设计和实现 被引量：1

6

作者 黄爱蓉 向郑涛 +1 位作者 陈宇峰 董亚波 《计算机工程与设计》 CSCD 北大核心 2009年第18期4163-4166,4171,共5页

面对越来越严重的网络安全问题,以隔断恶意主机的危害为目的,分析了目前恶意主机隔离方法的不足,提出并实现了一种支持联动的局域网主机隔离系统。该隔离系统通过与管理端和已授权的检测设备联动,得到要隔离的恶意主机IP,采用ARP伪装技... 面对越来越严重的网络安全问题,以隔断恶意主机的危害为目的,分析了目前恶意主机隔离方法的不足,提出并实现了一种支持联动的局域网主机隔离系统。该隔离系统通过与管理端和已授权的检测设备联动,得到要隔离的恶意主机IP,采用ARP伪装技术,阻断恶意主机与网关的通信,阻止危害向外扩散,从而达到隔离恶意主机的目的。实验结果表明,该系统隔离效果好,对局域网影响小。 展开更多

关键词 恶意主机 联动 ARP伪装 主机隔离 检测设备

下载PDF 职称材料

Masquerade Detection Using Support Vector Machine

7

作者 YANG Min WANG Li-na +1 位作者 ZHANG Huan-guo CHEN Wei 《Wuhan University Journal of Natural Sciences》 EI CAS 2005年第1期103-106,共4页

A new method using support vector data description (SVDD) to distinguishlegitimate users from mas-queradcrs based on UNIX user command sequences is proposed Sliding windowsare used to get low detection delay. Experime... A new method using support vector data description (SVDD) to distinguishlegitimate users from mas-queradcrs based on UNIX user command sequences is proposed Sliding windowsare used to get low detection delay. Experiments demonstrate that the detection effect usingenriched sequences is better than that of using truncated sequences. As a SVDD profile is composedof a small amount of support vectors, our SVDD-based method can achieve computation and storageadvantage when the detection performance issimilar to existing method. 展开更多

关键词 computer security intrusion detection masquerade detection user profiling support vector machine

下载PDF 职称材料

频繁情节挖掘算法在伪装检测中的应用

8

作者 于枫 高德远 王敏 《计算机工程与应用》 CSCD 北大核心 2009年第3期205-206,209,共3页

伪装攻击就是未授权用户通过伪装成合法用户来获得访问关键数据或更高层访问的权限。长久以来,检测伪装攻击在保障系统的网络安全中发挥着巨大的作用。首先讨论了一个用于评价伪装攻击检测算法有效性的方程,而后描述了频繁情节算法在检... 伪装攻击就是未授权用户通过伪装成合法用户来获得访问关键数据或更高层访问的权限。长久以来,检测伪装攻击在保障系统的网络安全中发挥着巨大的作用。首先讨论了一个用于评价伪装攻击检测算法有效性的方程,而后描述了频繁情节算法在检测伪装攻击中的应用,最后,采用SEA数据集对该算法进行了评估。结果证明频繁情节算法在检测伪装攻击时是行之有效的。 展开更多

关键词 频繁情节 入侵检测 伪装攻击检测

下载PDF 职称材料

基于用户命令序列的伪装入侵检测 被引量：6

9

作者 汤雨欢 施勇 薛质 《通信技术》 2018年第5期1148-1153,共6页

伪装入侵是指攻击者冒充合法用户的身份并恶意使用该用户权限,这对信息系统安全构成了严重威胁。通过分析用户的行为,学习并构建正常用户的行为模式进行伪装检测,旨在识别异常行为并确定入侵者。在现有研究的基础上,设计了新的基于命令... 伪装入侵是指攻击者冒充合法用户的身份并恶意使用该用户权限,这对信息系统安全构成了严重威胁。通过分析用户的行为,学习并构建正常用户的行为模式进行伪装检测,旨在识别异常行为并确定入侵者。在现有研究的基础上,设计了新的基于命令序列的多层感知器(MLP)和随机森林(Random Forest)伪装入侵检测模型。实验结果表明,提出的两种方法在检测精度和检测代价上皆取得了较好结果。 展开更多

关键词 伪装入侵检测 用户行为建模 多层感知器 随机森林 分类算法

下载PDF 职称材料

一种基于HMM和遗传算法的伪装入侵检测方法 被引量：2

10

作者 曾剑平 郭东辉 《小型微型计算机系统》 CSCD 北大核心 2007年第7期1210-1215,共6页

针对目前伪装入侵检测算法在确定序列的滑动窗口长度中存在的主要问题,以及使得检测阈值的计算更加容易、精确,本文提出了一个新的伪装入侵检测算法-MDAA,它使用HMM(Hidden Markov Model)模型表示正常用户行为,通过计算模型的条件熵确... 针对目前伪装入侵检测算法在确定序列的滑动窗口长度中存在的主要问题,以及使得检测阈值的计算更加容易、精确,本文提出了一个新的伪装入侵检测算法-MDAA,它使用HMM(Hidden Markov Model)模型表示正常用户行为,通过计算模型的条件熵确定滑动窗口长度.实现了滑动窗口长度随不同的用户模型而自动变化,达到自适应参数调整的目的.采用遗传算法计算子序列相对用户模型的最大和最小似然值,从而将滑动窗口分割到的子序列转换成便于决策的量.在一个真实的伪装检测数据集上进行了实验,结果表明该方法能得到较好的性能,并且更能适应不同用户的伪装检测. 展开更多

关键词 HMM 伪装入侵检测 遗传算法

下载PDF 职称材料

基于命令紧密度的用户伪装入侵检测方法 被引量：9

11

作者 王秀利 王永吉 《电子学报》 EI CAS CSCD 北大核心 2014年第6期1225-1229,共5页

根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从... 根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵.如果待检测的命令块对于该用户来说表现出紧密度过低,则判断为异常.实验表明该方法计算量小,检测效果好,而且具有很高的实时性. 展开更多

关键词 异常检测 伪装检测 命令紧密度 主机

下载PDF 职称材料

在线社交网络中用户伪装攻击检测方法研究 被引量：2

12

作者 高东伟 《科学技术与工程》 北大核心 2017年第7期194-198,共5页

当前用户伪装攻击检测方法无法适应动态环境,实时性不高;且需要准确的先验知识,检测精度较低。提出一种新的在线社交网络中用户伪装攻击检测方法,介绍了k最邻近节点(KNN)算法的基本思想,给出KNN算法的实现过程。分析了用户伪装攻击检测... 当前用户伪装攻击检测方法无法适应动态环境,实时性不高;且需要准确的先验知识,检测精度较低。提出一种新的在线社交网络中用户伪装攻击检测方法,介绍了k最邻近节点(KNN)算法的基本思想,给出KNN算法的实现过程。分析了用户伪装攻击检测与分类的关系,确定在线社交网络中用户伪装攻击检测就是对被检测的未知行为进行分类的过程。针对用户行为,将训练集中正常用户行为的邻居进行排列,通过和k相似的邻居的分类标签对新用户行为类别进行判断,从而实现用户伪装攻击检测。实验结果表明,所提方法不仅检测精度高,而且开销小。 展开更多

关键词 在线社交网络 用户伪装攻击 检测

下载PDF 职称材料