一种新的基于Markov链模型的用户行为异常检测方法

作     者：邬书跃 田新广 高立志 张尔扬 Wu Shuyue;Tian Xinguang;Gao Lizhi;Zhang Eryang

作者机构：湖南科技大学信息与电气工程学院湘潭411201 国防科技大学电子科学与工程学院长沙410073 

出 版 物：《信号处理》 (Journal of Signal Processing)

年 卷 期：2006年第22卷第3期

页      面：440-444页

核心收录：

学科分类：0839[工学-网络空间安全] 08[工学] 

基　　金：国家863高技术研究发展基金资助项目(No.863-307-7-5)北京首信集团科研基金资助项目(No.011025) 

主　　题：入侵检测 Markov链 异常检测 shell命令 

摘      要：提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。