Intrusion detection based on system calls and homogeneous Markov chains 被引量：8

1

作者 Tian Xinguang Duan Miyi +1 位作者 Sun Chunlai Li Wenfa 《Journal of Systems Engineering and Electronics》 SCIE EI CSCD 2008年第3期598-605,共8页

A novel method for detecting anomalous program behavior is presented, which is applicable to hostbased intrusion detection systems that monitor system call activities. The method constructs a homogeneous Markov chain ... A novel method for detecting anomalous program behavior is presented, which is applicable to hostbased intrusion detection systems that monitor system call activities. The method constructs a homogeneous Markov chain model to characterize the normal behavior of a privileged program, and associates the states of the Markov chain with the unique system calls in the training data. At the detection stage, the probabilities that the Markov chain model supports the system call sequences generated by the program are computed. A low probability indicates an anomalous sequence that may result from intrusive activities. Then a decision rule based on the number of anomalous sequences in a locality frame is adopted to classify the program＇s behavior. The method gives attention to both computational efficiency and detection accuracy, and is especially suitable for on-line detection. It has been applied to practical host-based intrusion detection systems. 展开更多

关键词 intrusion detection markov chain anomaly detection system call.

在线阅读 下载PDF 职称材料

基于Markov Chain的协议异常检测模型 被引量：6

2

作者 李娜 秦拯 +1 位作者 张大方 陈蜀宇 《计算机科学》 CSCD 北大核心 2004年第10期66-68,95,共4页

本文介绍了基于Markov链的协议异常检测模型,此外,通过对MIT Lincoln实验室1999评估数据的分析,证明此模型的正确性和有效性。

关键词 异常检测模型 协议 正确性 数据 markov链 MIT 证明 实验室 有效性

在线阅读 下载PDF 职称材料

基于系统调用和齐次Markov链模型的程序行为异常检测 被引量：19

3

作者 田新广 高立志 +1 位作者 孙春来 张尔扬 《计算机研究与发展》 EI CSCD 北大核心 2007年第9期1538-1544,共7页

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用... 异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能. 展开更多

关键词 入侵检测 markov链 异常检测 程序行为 系统调用

在线阅读 下载PDF 职称材料

系统调用序列的Markov模型及其在异常检测中的应用 被引量：13

4

作者 谭小彬 王卫平 +1 位作者 奚宏生 殷保群 《计算机工程》 CAS CSCD 北大核心 2002年第12期189-191,265,共4页

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法。文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监... 建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法。文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。 展开更多

关键词 系统调用序列 markov模型 异常检测 入侵检测 计算机系统 信息安全

在线阅读 下载PDF 职称材料

基于改进遗传算法和隐Markov模型的协议异常检测方法 被引量：10

5

作者 邱卫 杨英杰 +1 位作者 汪永伟 常德显 《计算机应用研究》 CSCD 北大核心 2016年第4期1164-1168,共5页

针对现有基于隐Markov模型的协议异常检测方法中存在的训练样本不足和初始参数敏感问题,提出一种基于改进遗传算法和隐Markov模型的协议异常检测新方法。首先,采用局部竞争选择策略、算术交叉算子和自适应非均匀变异算子改进遗传算法,... 针对现有基于隐Markov模型的协议异常检测方法中存在的训练样本不足和初始参数敏感问题,提出一种基于改进遗传算法和隐Markov模型的协议异常检测新方法。首先,采用局部竞争选择策略、算术交叉算子和自适应非均匀变异算子改进遗传算法,避免传统遗传算法在收敛过程中的早熟和停滞问题;然后,利用改进的遗传算法优化隐Markov模型的初始参数,解决模型对初始参数敏感的问题;最后,以协议关键词和关键词时间间隔作为训练观测值,细粒度地描述协议行为,扩大模型的训练样本空间。在DARPA 1999数据集上的实验结果表明,该方法具有很高的检测率和较低的误报率。 展开更多

关键词 入侵检测 协议异常 遗传算法 隐markov模型 参数优化

在线阅读 下载PDF 职称材料

一种新的基于Markov链模型的用户行为异常检测方法 被引量：7

6

作者 邬书跃 田新广 +1 位作者 高立志 张尔扬 《信号处理》 CSCD 北大核心 2006年第3期440-444,共5页

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出... 提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 展开更多

关键词 入侵检测 markov链 异常检测 SHELL命令

在线阅读 下载PDF 职称材料

基于Shell命令和多阶Markov链模型的用户伪装攻击检测 被引量：6

7

作者 肖喜 翟起滨 +2 位作者 田新广 陈小娟 叶润国 《电子学报》 EI CAS CSCD 北大核心 2011年第5期1199-1204,共6页

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户... 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次Markov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的准确性和检测系统的泛化能力,并大幅度减少了存储成本.检测阶段根据实时性需求,采用运算量小的、仅依赖于状态转移概率的分类值计算方法,并通过加窗平滑处理分类值序列得到判决值,进而对被监测用户的行为进行判决.实验表明,同现有的典型检测方法相比,该方法在虚警概率相同的情况下大幅度提高了检测概率,并有效减少了系统计算开销,特别适用于在线检测. 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测 多阶markov链

在线阅读 下载PDF 职称材料

基于shell命令和Markov链模型的用户行为异常检测 被引量：8

8

作者 田新广 孙春来 段洣毅 《电子与信息学报》 EI CSCD 北大核心 2007年第11期2580-2584,共5页

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系... 异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 展开更多

关键词 入侵检测 SHELL命令 markov链 异常检测 行为轮廓

在线阅读 下载PDF 职称材料

基于shell命令和Markov链模型的用户伪装攻击检测 被引量：6

9

作者 肖喜 田新广 +1 位作者 翟起滨 叶润国 《通信学报》 EI CSCD 北大核心 2011年第3期98-105,共8页

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有... 提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。 展开更多

关键词 网络安全 伪装攻击 入侵检测 SHELL命令 异常检测 markov链

在线阅读 下载PDF 职称材料

基于Markov特征的油气管道泄漏检测与定位方法 被引量：16

10

作者 刘金海 臧东 汪刚 《仪器仪表学报》 EI CAS CSCD 北大核心 2017年第4期944-951,共8页

针对传统的基于压力信号的管道泄漏检测方法误报率和漏报率偏高,同时定位误差较大的缺点,设计了一种基于Markov特征的管道泄漏检测与定位方法。首先,将管道压力数据构造为Markov链的形式,并提取其动态特征;然后,将所提取的特征应用于Ney... 针对传统的基于压力信号的管道泄漏检测方法误报率和漏报率偏高,同时定位误差较大的缺点,设计了一种基于Markov特征的管道泄漏检测与定位方法。首先,将管道压力数据构造为Markov链的形式,并提取其动态特征;然后,将所提取的特征应用于Neyman-Pearson异常检测方法之中,检测全部压力数据样本的状态,并对检测到的异常样本进行同源信号匹配,修正检测结果;最后,将相似性定位方法与连续小波定位方法结合,确定管道首末两端响应压力变化的时间差,并根据管道长度和压力波传输速度等信息,对泄漏源定位。所提方法能应用于小泄漏和缓慢泄漏的检测与定位,易于实现,误报率与漏报率显著降低,定位精度提高。通过对历史数据的分析,验证了所提方法的可行性和有效性。 展开更多

关键词 油气管道 markov链 Neyman-Pearson异常检测 相似性定位 连续小波定位

在线阅读 下载PDF 职称材料

采用shell命令和隐Markov模型进行网络用户行为异常检测 被引量：1

11

作者 田新广 段洣毅 +1 位作者 孙春来 李文法 《应用科学学报》 CAS CSCD 北大核心 2008年第2期175-181,共7页

异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常... 异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓.HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低.在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则.同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能. 展开更多

关键词 入侵检测 隐markov模型 异常检测 SHELL命令

在线阅读 下载PDF 职称材料

Markov链模型在异常检测上的应用研究 被引量：1

12

作者 钱权 蔡庆生 安景琦 《中国科学技术大学学报》 CAS CSCD 北大核心 2003年第2期232-236,共5页

Markov链模型作为一种统计分析方法是异常检测的重要分析手段 ,论文分别从单步、多步Markov链和基于Markov链的序列预测三个方面 ,研究了Markov链模型在异常检测检测上的应用 .实验表明 ,该方法在不需要任何攻击领域知识的情况下 ,能很... Markov链模型作为一种统计分析方法是异常检测的重要分析手段 ,论文分别从单步、多步Markov链和基于Markov链的序列预测三个方面 ,研究了Markov链模型在异常检测检测上的应用 .实验表明 ,该方法在不需要任何攻击领域知识的情况下 ,能很好检测出SendMail系统调用的异常行为 . 展开更多

关键词 入侵检测系统 网络安全 异常检测 markov链模型 序列预测 系统调用

在线阅读 下载PDF 职称材料

模糊窗口Markov链在IDS中的应用

13

作者 赵文刚 钟乐海 +2 位作者 张娅 杨金 邹海洋 《计算机应用》 CSCD 北大核心 2008年第6期1398-1400,1403,共4页

针对传统的基于静态M arkov模型的前提假设(t+1时刻系统状态的转移概率分布只与t时刻的状态有关,与t时刻以前的状态无关)带来较大误差的不足,提出了一种新的窗口M arkov链方法,并且在窗口M arkov模型中引入模糊度量。实验验证该模型对... 针对传统的基于静态M arkov模型的前提假设(t+1时刻系统状态的转移概率分布只与t时刻的状态有关,与t时刻以前的状态无关)带来较大误差的不足,提出了一种新的窗口M arkov链方法,并且在窗口M arkov模型中引入模糊度量。实验验证该模型对正常行为和异常行为具有很好的区分度,且计算快捷,适用于实时检测。 展开更多

关键词 异常检测 markov链 系统调用 模糊

在线阅读 下载PDF 职称材料

基于隐Markov模型的协议异常检测 被引量：7

14

作者 赵静 黄厚宽 田盛丰 《计算机研究与发展》 EI CSCD 北大核心 2010年第4期621-627,共7页

入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型... 入侵检测是网络安全领域的研究热点,协议异常检测更是入侵检测领域的研究难点.提出一种新的基于隐Markov模型(HMM)的协议异常检测模型.这种方法对数据包的标志位进行量化,得到的数字序列作为HMM的输入,从而对网络的正常行为建模.该模型能够区分攻击和正常网络数据.模型的训练和检测使用DARPA1999年的数据集,实验结果验证了所建立模型的准确性,同现有的基于Markov链(Markov chain)的检测方法相比,提出的方法具有较高的检测率. 展开更多

关键词 入侵检测 异常检测 协议异常检测 隐markov模型 markov链

在线阅读 下载PDF 职称材料

计算机系统入侵检测的隐马尔可夫模型 被引量：46

15

作者 谭小彬 王卫平 +1 位作者 奚宏生 殷保群 《计算机研究与发展》 EI CSCD 北大核心 2003年第2期245-250,共6页

入侵检测技术作为计算机安全技术的一个重要组成部分 ,现在受到越来越广泛地关注 首先建立了一个计算机系统运行状况的隐马尔可夫模型 (HMM) ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,以及该模型的训练算法 ... 入侵检测技术作为计算机安全技术的一个重要组成部分 ,现在受到越来越广泛地关注 首先建立了一个计算机系统运行状况的隐马尔可夫模型 (HMM) ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,以及该模型的训练算法 这个算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 。 展开更多

关键词 计算机系统 入侵检测 隐马尔可夫模型 异常检测 隐马尔可夫模型 信息安全 计算机安全

在线阅读 下载PDF 职称材料

Chi-square Distance在协议异常检测中的应用 被引量：5

16

作者 秦拯 李娜 +1 位作者 张大方 邹建军 《湖南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2005年第4期99-103,共5页

针对JuanM提出的一种基于马尔可夫链的随机协议异常检测模型和评估方法存在的不足进行改进.改进后的模型增加了一些必要的状态,初始概率和转换概率更加精确.实验表明,将Chi-SquareDistance和马尔可夫链方法相结合来检测协议异常,可克服... 针对JuanM提出的一种基于马尔可夫链的随机协议异常检测模型和评估方法存在的不足进行改进.改进后的模型增加了一些必要的状态,初始概率和转换概率更加精确.实验表明,将Chi-SquareDistance和马尔可夫链方法相结合来检测协议异常,可克服原方法的不足,能有效检测到SYNFlooding攻击. 展开更多

关键词 入侵检测 协议异常检测 马尔可夫链 马尔可夫过程

在线阅读 下载PDF 职称材料

基于隐马尔可夫模型的程序行为异常检测 被引量：16

17

作者 张响亮 王伟 管晓宏 《西安交通大学学报》 EI CAS CSCD 北大核心 2005年第10期1056-1059,共4页

针对入侵检测中普遍存在误报与漏报过高的问题,提出了一种基于隐马尔可夫模型的程序行为异常检测新方法.该方法以程序正常执行过程中产生的系统调用序列为研究对象,建立计算机的正常程序行为模型.在入侵检测时,先对测试的系统调用数据... 针对入侵检测中普遍存在误报与漏报过高的问题,提出了一种基于隐马尔可夫模型的程序行为异常检测新方法.该方法以程序正常执行过程中产生的系统调用序列为研究对象,建立计算机的正常程序行为模型.在入侵检测时,先对测试的系统调用数据用滑动窗口划分得到短序列,再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率,如果系统调用短序列的输出概率低于给定阈值,则将该短序列标定为“不匹配”,如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值,该模型就认为此程序行为异常.实验结果表明,与Forrest和Lee的方法相比,所提方法的检测率的最大提高率可达590%. 展开更多

关键词 入侵检测 隐马尔可夫模型 异常检测 系统调用

在线阅读 下载PDF 职称材料

一个两层马尔可夫链异常入侵检测模型(英文) 被引量：7

18

作者 徐明 陈纯 应晶 《软件学报》 EI CSCD 北大核心 2005年第2期276-285,共10页

在现有的单层马尔科夫链异常检测模型基础上,提出一种崭新的两层模型.将性质上有较大差异的两个过程,不同的请求和同一请求内的系统调用序列,分为两层,分别用不同的马尔可夫链来处理.两层结构可以更准确地刻画被保护服务进程的动态行为... 在现有的单层马尔科夫链异常检测模型基础上,提出一种崭新的两层模型.将性质上有较大差异的两个过程,不同的请求和同一请求内的系统调用序列,分为两层,分别用不同的马尔可夫链来处理.两层结构可以更准确地刻画被保护服务进程的动态行为,因而能较大地提高异常的识别率,降低误警报率.而且异常检测出的异常将被限制在相应的异常真正发生的请求区内.检测模型适合于针对特权进程(特别是基于请求?反应型的特权进程)的异常入侵检测. 展开更多

关键词 马尔可夫链 系统调用 请求 异常检测 入侵检测

在线阅读 下载PDF 职称材料

基于隐马尔可夫模型的异常检测 被引量：10

19

作者 谭小彬 王卫平 +1 位作者 奚宏生 殷保群 《小型微型计算机系统》 CSCD 北大核心 2004年第8期1546-1549,共4页

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 ... 首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 。 展开更多

关键词 入侵检测 异常检测 隐马尔可夫模型(HMM) 信息熵

在线阅读 下载PDF 职称材料

基于网络事件和深度协议分析的入侵检测研究 被引量：14

20

作者 朱映映 吴锦锋 明仲 《通信学报》 EI CSCD 北大核心 2011年第8期171-178,共8页

针对制约NIDS(基于网络的入侵检测系统)的问题,提出了基于网络事件和深度协议分析的入侵检测模型MIDM,实现了对入侵的分析与综合。扩展了ABNF范式形式化定义网络事件,基于所提出模型重新实现了入侵检测系统。实验证明与当前主流NIDS相比... 针对制约NIDS(基于网络的入侵检测系统)的问题,提出了基于网络事件和深度协议分析的入侵检测模型MIDM,实现了对入侵的分析与综合。扩展了ABNF范式形式化定义网络事件,基于所提出模型重新实现了入侵检测系统。实验证明与当前主流NIDS相比,新模型有效降低了误检率和特征库冗余;具有随网络流量和特征库快速增长,而CPU占用率维持低水平增长的特性,能更好地适应高速网络环境;同时还具有一定的特征泛化和检测未知入侵的能力。 展开更多

关键词 入侵检测 协议分析 模式匹配 异常检测 高速网络

在线阅读 下载PDF 职称材料