基于主机的入侵检测方法研究

论文题目: 基于主机的入侵检测方法研究

论文类型: 博士论文

论文专业: 信息与通信工程

作者: 田新广

导师: 张尔扬

关键词: 入侵检测,主机,异常检测,命令,用户,机器学习,隐马尔可夫模型,马儿可夫链,系统调用,程序,数据挖掘,马尔可夫过程

文献来源: 国防科学技术大学

发表年度: 2005

论文摘要: 入侵检测是一种用于检测计算机网络系统中入侵行为的网络信息安全技术。本文针对入侵检测技术的发展趋势和应用需求,研究了两类基于主机的入侵检测方法,分别是以shell命令为审计数据的用户行为异常检测方法和以系统调用为审计数据的程序行为异常检测方法。文中的研究工作和创新点主要包括: (1) 研究了入侵检测系统的标准体系结构与功能、审计数据及其产生机制、数据分析与响应机制,对现有的一些入侵检测方法进行了分析和对比。 (2) 提出一种基于机器学习的用户行为异常检测方法,并在该方法的基础上设计实现了一个用户行为异常检测系统。同Lane T等人提出的检测方法相比,该方法改进了对用户行为模式和行为轮廓的表示方式,采用了新的相似度计算(赋值)方法,在对相似度流进行加窗滤噪的过程中引入了“可变窗长度”的概念,并可以联合采用多个判决门限对被监测用户的行为进行判决,从而提高了用户行为轮廓表示中的准确性和灵活性,增强了检测性能的稳定性和检测的实时性。 (3) 研究了隐马尔可夫模型(HMM)在用户行为异常检测中的应用,提出一种新的基于HMM的检测方法。该方法利用特殊的HMM描述合法用户的行为轮廓,将HMM的状态与用户行为模式的种类联系在一起,并引入一个附加状态;HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch算法相比,大大缩短了训练时间;检测时,采用了基于状态序列出现概率的判决准则。实验表明,该方法具有很高的检测准确度。 (4) 针对现有检测方法在序列存储方面的不足,研究了一种基于马尔可夫链模型的用户行为异常检测方法。该方法考虑了shell命令序列的频率分布和序列之间的相关性,其主要优点是需要存储的shell命令序列较少,训练的复杂度比较低。该方法的缺点是容错能力和泛化能力相对较弱,它主要适用于训练数据较为充分的检测环境。 (5) 提出两种基于数据挖掘的程序行为异常检测方法,并以这两种方法为基础设计了一个程序行为异常检测系统。这两种方法均利用数据挖掘技术中的序列模式描述一个程序的正常行为,根据序列的支持度(support)或可信度(confidence)在训练数据中提取正常序列,检测中通过序列比较对攻击行为进行识别。实验表明,同目前被广泛关注的典型检测方法(Forrest等人提出的检测方法)相比,这两种检测方法分别在数据存储和检测准确度方面具有优势。 (6) 研究了马尔可夫过程在程序行为异常检测中的应用,提出两种新的检测方法。这两种方法分别用一阶和多阶马尔可夫过程对程序的正常行为进行建模,将程序运行时所产生的系统调用视为马尔可夫过程的状态,并通过状态转移概率描述系统调用之间的时序相关性。这两种方法均有较高的检测准确度,其中基于一阶马尔可夫过程模型的检测方法对主机资源(包括存储、计算资源)的占用较少,已被应用于实际系统。

论文目录:

摘要

Abstract

第一章 绪论

§1．1 研究背景与意义

§1．2 本文的内容安排及主要创新点

第二章 网络信息安全与入侵检测

§2．1 网络信息安全概述

§2．2 入侵检测概述

§2．3 攻击分析

第三章 入侵检测系统与入侵检测方法

§3．1 入侵检测系统

§3．2 入侵检测方法

§3．3 评价入侵检测系统性能的指标

§3．4 几种典型的入侵检测系统

第四章 基于机器学习的用户行为异常检测

§4．1 现有的几种用户行为异常检测方法

§4．2 机器学习概述

§4．3 一种新的基于机器学习的用户行为异常检测方法

§4．4 一种基于机器学习的用户行为异常检测系统

§4．5 实验设计与结果分析

§4．6 小结

第五章 基于隐马尔可夫模型的用户行为异常检测

§5．1 现有的几种基于HMM的主机型入侵检测方法

§5．2 HMM简介

§5．3 一种新的基于HMM的用户行为异常检测方法

§5．4 实验设计及结果分析

§5．5 小结

第六章 基于马尔可夫链模型的用户行为异常检测

§6．1 现有的一种基于马尔可夫链模型的主机型入侵检测方法

§6．2 马尔可夫链简介

§6．3 基于马尔可夫链模型的用户行为异常检测方法

§6．4 实验设计与结果分析

§6．5 小结

第七章 基于数据挖掘的程序行为异常检测

§7．1 一些相关的研究工作

§7．2 数据挖掘技术

§7．3 两种基于数据挖掘的程序行为异常检测方法

§7．4 一种基于数据挖掘的程序行为异常检测系统

§7．5 实验设计与结果分析

§7．6 小结

第八章 基于马尔可夫过程模型的程序行为异常检测

§8．1 基于一阶马尔可夫过程模型的程序行为异常检测

§8．2 基于多阶马尔可夫过程模型的程序行为异常检测

§8．3 实验设计与结果分析

§8．4 小结

第九章 总结与展望

致谢

参考文献

附录

附录A 文献[41]的检测方法的实验程序

附录B 文献[44]的检测方法的实验程序

附录C 作者提出的基于机器学习的检测方法的实验程序(一)

附录D 作者提出的基于机器学习的检测方法的实验程序(二)

附录E 基于HMM的用户行为异常检测方法的实验程序

附录F 基于马尔可夫链模型的用户行为异常检测方法的实验程序

附录G Forrest等人提出的程序行为异常检测方法的实验程序

附录H 基于定长序列模式的程序行为异常检测方法的实验程序

附录I 基于多种长度的序列模式的程序行为异常检测方法的实验程序

附录J 基于一阶马尔可夫过程模型的程序行为异常检测方法的实验程序

附录K 基于五阶马尔可夫过程模型的程序行为异常检测方法的实验程序

攻读博士学位期间发明的专利及撰写的主要论文

发布时间: 2005-11-07

参考文献

• [1].基于特权进程行为的入侵检测方法研究[D]. 苏璞睿.中国科学院研究生院（软件研究所）2005
• [2].基于机器学习的入侵检测方法研究[D]. 尹清波.哈尔滨工程大学2007
• [3].基于数据挖掘的入侵检测方法及系统研究[D]. 齐建东.中国农业大学2003
• [4].基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D]. 邬书跃.中南大学2012
• [5].基于先进计算的智能入侵检测系统研究[D]. 李玉萍.中国地震局地球物理研究所2012

标签：入侵检测论文;  主机论文;  异常检测论文;  命令论文;  用户论文;  机器学习论文;  隐马尔可夫模型论文;  马儿可夫链论文;  系统调用论文;  程序论文;  数据挖掘论文;  马尔可夫过程论文;