CAJ | 학술논문

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.提出一种新的用户伪装攻击检测方法.该方法针对伪装攻击用户行为的多变性和审计数据shell命令的相关性,利用特殊的多阶齐次narkov链模型对合法用户的正常行为进行建模,并通过双重阶梯式归并shell命令来确定状态,提高了用户行为轮廓描述的准确性和检测系统的泛化能力,并大幅度减少了存储成本.检测阶段根据实时性需求,采用运算量小的、仅依赖于状态转移概率的分类值计算方法,并通过加窗平滑处理分类值序列得到判决值,进而对被监测用户的行为进行判决.实验表明,同现有的典型检测方法相比,该方法在虚警概率相同的情况下大幅度提高了检测概率,并有效减少了系统计算开销,特别适用于在线检测.
위장공격시지비수권용호통과위장성합법용호래획득방문관건수거혹경고층방문권한적행위.제출일충신적용호위장공격검측방법.해방법침대위장공격용호행위적다변성화심계수거shell명령적상관성,이용특수적다계제차narkov련모형대합법용호적정상행위진행건모,병통과쌍중계제식귀병shell명령래학정상태,제고료용호행위륜곽묘술적준학성화검측계통적범화능력,병대폭도감소료존저성본.검측계단근거실시성수구,채용운산량소적、부의뢰우상태전이개솔적분류치계산방법,병통과가창평활처리분류치서렬득도판결치,진이대피감측용호적행위진행판결.실험표명,동현유적전형검측방법상비,해방법재허경개솔상동적정황하대폭도제고료검측개솔,병유효감소료계통계산개소,특별괄용우재선검측.