基于Shell命令和DTMC模型的用户行为异常检测新方法

作     者：肖喜 翟起滨 田新广 陈小娟 XIAO Xi;ZHAI Qi-bin;TIAN Xin-guang;CHEN Xiao-juan

作者机构：中国科学院研究生院信息安全国家重点实验室北京100049 清华大学深圳研究生院深圳518055 中国科学院计算技术研究所网络科学与技术重点实验室北京100190 北京工商大学计算机与信息工程学院北京100037 

出 版 物：《计算机科学》 (Computer Science)

年 卷 期：2011年第38卷第11期

页      面：54-58,82页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 

基　　金：国家"863"高技术研究发展计划基金项目(2006AA01Z452) 国家242信息安全计划基金项目(2005C39)资助 

主　　题：网络安全 入侵检测 shell命令 异常检测 离散时间Markov链 

摘      要：提出一种新的基于离散时间Markov链模型的用户行为异常检测方法,主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性,将shell命令序列作为基本数据处理单元,依据其出现频率利用阶梯式的数据归并方法来确定Markov链的状态,同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性,并且大幅度减少了状态个数,节约了存储成本。在检测阶段,针对检测实时性和准确度需求,通过计算状态序列的出现概率分析用户行为异常程度,并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明,该方法具有很高的检测性能,其可操作性也优于同类方法。