-
题名基于应用层协议关键词序列的应用层异常检测方法
被引量:7
- 1
-
-
作者
谢柏林
余顺争
-
机构
中山大学电子与通信工程系
-
出处
《计算机研究与发展》
EI
CSCD
北大核心
2011年第1期159-168,共10页
-
基金
国家自然科学基金-广东联合基金重点项目(U0735002)
国家自然科学基金项目(6097014661070154)
国家"八六三"高技术研究发展计划基金项目(2007AA01Z449)
-
文摘
提出一种基于应用层协议关键词序列的应用层异常检测方法.它用应用层协议关键词和关键词之间的时间间隔构成观测序列,用隐半马尔可夫模型来刻画正常用户在使用每种应用层协议时的行为.该方法可分为模型训练和异常检测两个阶段:在模型训练阶段,利用前后向算法训练得到正常用户在使用每种应用层协议时其行为的隐半马尔可夫模型;在异常检测阶段,在线统计每个观测序列相对于模型的平均对数或然概率,当发现某个用户在使用某种应用层协议的过程中其行为出现异常时,采取调整该用户数据流的优先级或者带宽的方式来对该用户的异常行为进行控制,从而可以自动纠正用户的异常行为.使用包括DARPA测试数据集在内的一些数据对该方法进行了验证.实验结果表明该方法能很好地描述正常用户在使用应用层协议时的行为,并且在检测用户异常行为时具有很高的检测率和很低的误报率.
-
关键词
应用层异常检测
应用层协议关键词序列
隐半马尔可夫模型
平均对数或然概率
异常行为
-
Keywords
application layer anomaly detection
application layer protocols' keyword sequences
hidden semi-Markov model
average log likelihood
anomalous behavior
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于协议语义序列的应用层交互行为异常检测
被引量:2
- 2
-
-
作者
石旺
杨英杰
唐慧林
董丽鹏
-
机构
解放军信息工程大学
-
出处
《计算机应用研究》
CSCD
北大核心
2015年第10期3060-3064,共5页
-
基金
国家"973"计划资助项目(2011CB311801)
河南省科技创新人才计划资助项目(114200510001)
-
文摘
为了有效检测出应用层异常交互行为,提出了一种基于协议语义序列的检测方法。首先利用协议语义序列对应用层交互行为进行描述,并对存在的异常交互情形进行分析;然后提出基于协议语义序列的异常检测方法,利用报文的方向和时序关系构建出标准语义序列集,并获取正常行为特征,根据异常交互情形定义检测规则,利用序列比对和决策树算法实现了对应用层交互行为的异常检测。实验结果表明,该方法具有较高的检测率和较低的误报率。
-
关键词
应用层交互行为
协议语义序列
检测规则
序列比对
异常检测
-
Keywords
application layer interactive behavior
protocol semantics sequences
detection rules
sequence comparison
abnormal detection
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于HMM的应用层DoS攻击检测方法
被引量:3
- 3
-
-
作者
谢柏林
蒋盛益
张倩生
韩德志
-
机构
广东外语外贸大学思科信息学院
上海海事大学信息工程学院
-
出处
《计算机应用研究》
CSCD
北大核心
2013年第11期3393-3395,3399,共4页
-
基金
国家自然科学基金资助项目(61202271
61070154)
+2 种基金
广东省自然科学基金资助项目(S2012040007184)
国家教育部人文社会科学研究青年基金资助项目(12YJCZH281)
广州市哲学社会科学规划项目(2012GJ31)
-
文摘
为了能快速有效地识别出应用层DoS攻击,提出一种基于HMM的应用层DoS攻击检测方法。该方法以应用层协议关键词和关键词之间的时间间隔作为输入,采用隐马尔可夫模型来快速检测应用层DoS攻击。实验结果表明,该方法对应用层上的多种DoS攻击都具有很高的检测率和较低的误报率。
-
关键词
拒绝服务攻击
应用层
协议关键词
隐马尔可夫模型
-
Keywords
DoS attack application-layer protocol's keywords hidden Markov model(HMM)
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
