CAJ | 학술논문

提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统.该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本.在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案.实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法.
제출일충신적기우리산시간Markov련모형적용호행위이상검측방법,주요용우이shell명령위심계수거적입침검측계통.해방법재훈련계단충분고필료용호행위복잡다변적특점화심계수거적단시상관성,장shell명령서렬작위기본수거처리단원,의거기출현빈솔이용계제식적수거귀병방법래학정Markov련적상태,동현유방법상비제고료용호행위륜곽묘술적준학성화대용호행위변화적괄응성,병차대폭도감소료상태개수,절약료존저성본.재검측계단,침대검측실시성화준학도수구,통과계산상태서렬적출현개솔분석용호행위이상정도,병제공료기우고정창장도화가변창장도적량충균치려조처리급행위판결방안.실험표명,해방법구유흔고적검측성능,기가조작성야우우동류방법.