一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

隐马尔可夫模型应用于入侵检测系统的研究

现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高明的入侵手段要求入侵检测技术不断快速向前发展。对于入侵检测的实现手段也要多样化。 本文提出了一种基于隐马尔可夫模型的异常检测新方法——隐马尔可夫状态时延序列嵌入法（HMMTide）。这种方法的主要思想是用HMM模型的隐含状态序列的局部模型，即隐马尔可夫状态短序列，实现对正常行为的特征的刻画。通过对被测行为产生的隐马尔科夫状态序列局部模式与已建立的正常模型进行比较实现异常检测。该方法具有从不完整的数据中进行异常分析的能力，减少了对系统资源的需求。对HMMTjde方法进行了仿真实验，实验结果表明采用HMM方法后，虚警率大大降低了，而且在构建正常行为特征库时，对数据完整性的要求也大大降低了。     

基于改进隐马尔可夫模型的网络攻击检测方法

提出了一种基于改进隐马尔可夫模型的网络攻击检测方法.正常的网络行为符合一定的语法规则,异常的行为会偏离正常的语法规则.通过对正常行为样本的学习得到的基于隐马尔可夫模型的语法可以根据网络行为和语法的符合程度有效地检测正常行为和攻击行为.在基于现实数据的实验测试中,得到了比较好的检测性能.     

基于隐马尔可夫模型的资源滥用行为检测方法研究

 针对信息系统中内部人员的资源滥用行为, 已有的检测方法要么不能有效检测新的资源滥用行为, 要么需要获得资源滥用行为的先验知识, 因而这些检测方法在应用中严重限. 本文提出了一种基于隐马尔可夫模型(HMM)的内部人员资源滥用行为检测方法. 该模型以信息系统的敏感文件夹作为模型的状态, 以用户的事务处理操作作为观测符号, 采用Baum-Welch算法确定模型参数; 基于该模型建立内部人员访问行为的HMM模型, 并用于资源滥用行为检测. 仿真结果表明了该检测方法的有效性.     

基于隐马尔可夫模型的多孔径SAR目标检测

穿透叶簇５的ＶＨＦ／ＵＨＦ超宽带（ＵＷＢ）ＳＡＲ具有相对带宽很宽，积累角大的特点，可同时获得距离、方位两个方向的高分辨能力，能用于探测叶簇隐蔽的军用车辆等人造目标而有着重要的军事应用价值。在多孔径ＳＡＲ成像的基础上，本文用隐马尔可夫模型对人造目标和叶簇等杂波建模，可有效地检测目标，实现一个ＡＴＲ系统的预筛选处理。     

基于shen命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统（IDS）研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法，该方法利用-阶齐次Markov链对网络系统中合法用户的正常行为进行建模，将Markov链的状态与用户执行的shell命令联系在一起，并引入一个附加状态；Markov链参数的计算中采用了运算量较小的命令匹配方法；在检测阶段，基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析，并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用，并表现出良好的检测性能。     

马尔可夫及隐马尔可夫模型的应用

通过对马尔可夫模型进行深入的分析的基础上对隐马尔科夫模型做了详细的讨论,对马尔科夫模型在语音识别、疾病分析等方面的应用做了介绍,同时针对隐马尔科夫模型在估值问题、解码问题和学习问题等经典问题上的应用做了研究。最后讨论了马尔科夫模型其隐马尔可夫模型的缺陷,并提出相关的改进建议。     

基于随机分形与马尔可夫模型的网络流量异常检测方法

随着网络带宽的增加,加密技术的应用和IPv6设备的普及,基于网络数据包和网络协议分析的入侵检测技术不可避免的存在漏检率高且系统资源消耗大的问题.文章分析网络流量所具有随机性、自相似性和平稳性的特征,运用自相似性的随机分形和简化的马尔可夫模型的原理,提出了一种新的基于网络流量的异常检测方法.实验证明该方法能从宏观和微观上发现网络流量的异常情况,有效地提高异常检测率,并降低系统资源消耗.     

基于shell命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于隐马尔可夫模型的风险评估方法

针对网络攻击场景下一段时间内信息系统面临的安全风险,文中提出一种基于隐马尔可夫模型的风险评估方法,将网络主机的漏洞建模为隐马尔可夫模型中的状态,将可能受到的攻击建模为隐马尔可夫模型中的观察值,求解一段时间内的成功攻击概率;根据攻击成功后产生的代价和成功攻击的概率,得到时间段内总风险度量值。该方法可从整体角度对网络攻击场景下一段时间内的信息安全风险进行量化评估。     

基于层次隐马尔科夫模型和变长语义模式的入侵检测方法

分析了定长系统调用短序列在入侵检测系统应用中的不足,利用进程堆栈中的函数调用返回地址信息,提出了一种变长短序列的语义模式切分方法,并根据这种变长语义模式之间的层次关系和状态转移特性提出了基于层次隐马尔科夫模型的入侵检测方法.实验结果表明,与传统的隐马尔科夫模型相比,基于层次隐马尔科夫模型的入侵检测方法具有更好的检测效果.     

基于shell命令和Markov链模型的用户伪装攻击检测

提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率。实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测。     

基于不同隐马尔科夫模型的图像识别方法

为了更详细地研究隐马尔科夫模型在图像识别中的应用,以指纹识别为例,纵向总结了几种基于隐马尔科夫模型的指纹图像识别算法,包括一维隐马尔科夫模型、伪二维隐马尔科夫模型、二维模型及一维模型组。分别从时间复杂度、识别精确度等方面总结出这四种隐马尔科夫模型在图像识别时的优缺点,得出不同待识别图像适合使用的识别模型的结论。     

Anomaly detection of user behavior based on DTMC with states of variable-length sequences

In anomaly detection,a challenge is how to model a user’s dynamic behavior.Many previous works represent the user behavior based on fixed-length models.To overcome their shortcoming,we propose a novel method based on discrete-time Markov chains(DTMC) with states of variable-length sequences.The method firstly generates multiple shell command streams of different lengths and combines them into the library of general sequences.Then the states are defined according to variable-length behavioral patterns of a valid user,which improves the precision and adaptability of user profiling.Subsequently the transition probability matrix is created.In order to reduce computational complexity,the classification values are determined only by the transition probabilities,then smoothed with sliding windows,and finally used to discriminate between normal and abnormal behavior.Two empirical evaluations on datasets from Purdue University and AT&T Shannon Lab show that the proposed method can achieve higher detection accuracy and require less memory than the other traditional methods.     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于隐马尔可夫模型的车牌自动识别技术

文中提出了一种车牌字符识别的新方法,用二维隐马尔可夫模型方法识别车牌中的汉字,用伪二维隐马尔可夫模型（P2D－HMM）方法识别车牌中的英文字符及阿拉伯数字。该算法适用于不同的字符大小、字符倾斜、污损等情况,抗噪声能力强。字符识别正确率达94％以上,满足实用技术的要求。     

一种基于黏性隐马尔可夫模型的多频带频谱感知方法

现有多频带频谱感知方法经常利用宽带频谱的稀疏性来实现检测,当频谱占用率较高时具有较差的性能。针对这一问题,提出了一种基于相邻频带状态的多频带频谱感知方法。首先,通过引入黏性因子,建立了多频带状态和观测值的黏性隐马尔可夫模型。接着,详细分析了黏性隐马尔可夫模型中参数的迭代更新方式。最后,通过估计各频段观测值的后验均值实现了多频带频谱感知。仿真结果表明,不管宽带频谱是否具有稀疏性,所提方法的检测性能都优于传统方法,且在虚警概率为0.1、频带平均占用率为50%、平均信噪比为?12 dB时能达到接近0.99的检测概率,比其他方法的检测概率提升了约30%。另外,所提方法的收敛速度快于已有方法,因此具有更低的计算复杂度。     

Study on user behavior profiling in insider threat detection

Behavior profiling technic using no-labeled historical data to build normal behavior model is an effective way to detect insider attackers. The state-of-the-art labeled profile methods extract features artificially and process data by simple statistical methods, whose incomplete behavior model lacks details. An automated feature extracting and full-detail behavior profiling method as well as a behavior sequence splitting and business state transition predicting way was proposed. Combining above two methods, an insider threats detection framework was established, which improved detection accuracy. Experimenting with CMU-CERT data set, AUC (area under curve) score was 0.88 and F1 score was 0.925. With the better performance, it can be used in detecting insider threats.