采用shell命令和隐Markov模型进行网络用户行为异常检测

作     者：田新广 段洣毅 孙春来 李文法 TIAN Xin-guang;DUAN Mi-yi;SUN Chun-lai;LI Wen-fa

作者机构：北京交通大学计算技术研究所北京100029 中国科学院计算技术研究所北京100080 

出 版 物：《应用科学学报》 (Journal of Applied Sciences)

年 卷 期：2008年第26卷第2期

页      面：175-181页

核心收录：

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家“973”重点基础研究发展计划(No.2004CB318109) 国家“863”高技术研究发展计划(No.2006AA01Z452) 国家242信息安全计划(No.2005C39)资助项目 

主　　题：入侵检测 隐Markov模型 异常检测 shell命令 

摘      要：异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓.HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低.在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则.同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.