计算机科学与探索
計算機科學與探索
계산궤과학여탐색
JOURNAL OF FRONTIERS OF COMPUTER SCIENCE & TECHNOLOGY
2010年
6期
500-510
,共11页
田新广%程学旗%陈小娟%段洣毅%许洪波
田新廣%程學旂%陳小娟%段洣毅%許洪波
전신엄%정학기%진소연%단미의%허홍파
伪装攻击%入侵检测%shell命令%数据挖掘%异常检测
偽裝攻擊%入侵檢測%shell命令%數據挖掘%異常檢測
위장공격%입침검측%shell명령%수거알굴%이상검측
基于主机的入侵检测是目前网络安全领域研究的热点内容.提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统.该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性.实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测.
基于主機的入侵檢測是目前網絡安全領域研究的熱點內容.提齣瞭一種基于數據挖掘和變長序列匹配的用戶偽裝入侵檢測方法,主要用于Unix或Linux平檯上以shell命令為審計數據的主機型入侵檢測繫統.該方法針對用戶行為複雜多變的特點以及審計數據的短時相關性,利用多種長度不同的shell命令短序列來描述用戶行為模式,併基于數據挖掘技術中的序列支持度在用戶界麵層對網絡閤法用戶的正常行為進行建模;在檢測階段,採用瞭基于變長序列匹配和判決值加權的檢測方案,通過單調遞增相似度函數賦值和加窗平滑濾譟對被鑑測用戶噹前行為的異常程度進行精確分析,能夠有效降低誤報率,增彊瞭檢測性能的穩定性.實驗錶明,同目前典型的偽裝入侵檢測方法相比,該方法在檢測準確度和計算成本方麵均具有較大優勢,特彆適用于在線檢測.
기우주궤적입침검측시목전망락안전영역연구적열점내용.제출료일충기우수거알굴화변장서렬필배적용호위장입침검측방법,주요용우Unix혹Linux평태상이shell명령위심계수거적주궤형입침검측계통.해방법침대용호행위복잡다변적특점이급심계수거적단시상관성,이용다충장도불동적shell명령단서렬래묘술용호행위모식,병기우수거알굴기술중적서렬지지도재용호계면층대망락합법용호적정상행위진행건모;재검측계단,채용료기우변장서렬필배화판결치가권적검측방안,통과단조체증상사도함수부치화가창평활려조대피감측용호당전행위적이상정도진행정학분석,능구유효강저오보솔,증강료검측성능적은정성.실험표명,동목전전형적위장입침검측방법상비,해방법재검측준학도화계산성본방면균구유교대우세,특별괄용우재선검측.
