基于shell命令和Markov链模型的用户行为异常检测被引量：8

Anomaly Detection of User Behaviors Based on Shell Commands and Markov Chain Models

下载PDF

导出

摘要异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。 Anomaly detection acts as one of the important directions of research on Intrusion Detection Systems（IDSs）.This paper presents a new method for anomaly detection of user behaviors based on shell commands and Markov chain models. The method constructs a one-order Markov chain model to represent the normal behavior profile of a network user, and associates shell commands with the states of the Markov chain. The parameters of the Markov chain model are estimated by a command matching algorithm which is computationally efficient. At the detection stage, the probabilities of the state sequences of the Markov chain is firstly computed, and two different schemes can be used to determine whether the monitored user＇s behaviors are normal or anomalous while the particularity of user behaviors is taken into account. The application of the method in practical intrusion detection systems shows that it can achieve high detection performance.

作者田新广孙春来段洣毅

机构地区北京交通大学计算技术研究所国防科技大学电子科学与工程学院长沙

出处《电子与信息学报》 EI CSCD 北大核心 2007年第11期2580-2584,共5页 Journal of Electronics & Information Technology

基金国家863高技术研究发展基金(863-307-7-5) 北京首信集团科研基金(050203)资助课题

关键词入侵检测 SHELL命令 MARKOV链异常检测行为轮廓 Intrusion detection Shell command Markov chain Anomaly detection Behavior profile

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献12

1Lane T and Carla E B. An empirical study of two approaches to sequence learning for anomaly detection. Machine Learning, 2003, 51(1): 73-107.
2Ye N, Zhang Y, and Borror C M. Robustness of the Markov chain model for cyber attack detection. IEEE Trans. on Reliability, 2003, 52(3): 122-138.
3Lane T. Machine learning techniques for the computer security domain of anomaly detection [Ph.D.Thesis]. Purdue University, 2000.
4Mukkamala S, Sung A H, and Abraham A. Intrusion detection using an ensemble of intelligent paradigms. Journal of Network and Computer Application, 2005, 28(2): 167-182.
5连一峰,戴英侠,王航.基于模式挖掘的用户行为异常检测[J].计算机学报,2002,25(3):325-330. 被引量：84
6Yan Qiao, Xie Wei-Xin, and Yang Bin, et al.. An anomaly intrusion detection method based on HMM. Electronics Letters, 2002, 38(13): 663-664.
7Warrender C, Forrest S, and Pearlmutter B. Detecting intrusions using system calls: alternative data models. Proc. of The 1999 IEEE Symposium on Security and Privacy, Oakland, CA, USA, 1999: 133-145.
8Maxion R A and Townsend T N. Masquerade detection using truncated command lines. Proc. of International Conference on Dependable Systems and Networks, Washington, DC, USA, 2002: 219-228.
9Lane T and Brodley C E. Temporal sequence learning and data reduction for anomaly detection. ACM Trans. on Information and System Security, 1999, 2(3): 295-331.
10Schonlau M and DuMouchel W, et al.. Computer intrusion: Detecting masquerades. Statistical Science, 2001, 16(1): 58-74.

二级参考文献22

1[1]Lee Wenke, Stolfo S J. Data mining approaches for intrusion detection. In: Proc the 7th USENIX Security Symposium, San Antonio, TX, 1998
2[2]Lee Wenke, Stolfo S J, Mok K W. A data mining framework for building intrusion detection models. In: Proc the 1999 IEEE Symposium on Security and Privacy, Berkely, California, 1999. 120-132
3[3]Lee Wenke. A data mining framework for constructing features and models for intrusion detection systems[Ph D dissertation]. Columbia University, 1999
4[4]Paxson Vern. Bro: A system for detecting network intruders in real-time. In: Proc the 7th USENIX Security Symposium, San Antonio, TX, 1998
5[5]Agrawal Rakesh, Srikant Ramakrishnan. Fast algorithms for mining association rules. In: Proc the 20th International Conference on Very Large Databases, Santiago, Chile, 1994
6[6]Agrawal Rakesh, Srikant Ramakrishnan. Mining sequential patterns. IBM Almaden Research Center, San Jose, California:Research Report RJ 9910, 1994
7[7]Chen M, Han J, Yu P. Data mining: An overview from database perspective. IEEE Trans Knowledge and Data Engineeing, 1996,8(6):866-883
8Lane T,Brodley C E. An application of machine learning to anomaly detection. In:Proceedings of the 20th National Informa-tion Systems Security Conference,Baltimore Marylard, USA, 1997.366～377
9Kosoresow A P,Hofmeyr S A. A shape of self for UNIX processes. IEEE Software,1997,14(5):35～42
10Lee W,Stolfo S J. Data mining approaches for intrusion detection. In:Proceedings of the 7th USENIX Security Symposium,San Antonio, Texas, USA, 1998. 66～72

共引文献104

1刘玉葆,蔡嘉荣,印鉴,黄志兰.基于最大访问模式挖掘的数据库异常行为检测[J].计算机研究与发展,2006,43(z3):271-275.
2赵军民,张芳芳.入侵检测系统研究[J].光盘技术,2008(1):33-35.
3陈雅娴,袁津生,郭敏哲.基于行为异常的Symbian蠕虫病毒检测方法[J].计算机系统应用,2008,17(11):49-52. 被引量：5
4胡笑蕾,胡华平,宋世杰.数据挖掘算法在入侵检测系统中的应用[J].计算机应用研究,2004,21(7):88-90. 被引量：7
5马传香,李庆华,蒋盛益.基于异常检测的模糊行为序列挖掘算法研究[J].计算机应用研究,2005,22(1):44-46.
6袁占亭,冯涛,杨鹏.分布式入侵检测系统和防火墙技术结合的研究与实现[J].兰州理工大学学报,2005,31(1):90-92. 被引量：1
7连一峰.分布式入侵检测系统的协作交互研究[J].中国科学院研究生院学报,2005,22(2):202-209. 被引量：4
8谢沙天,方跃春.高密度海量存储器的现实探讨[J].中国科技信息,2005(5):77-77.
9杨天奇.一种基于反馈神经网络的异常检测方法[J].计算机应用,2005,25(4):844-845. 被引量：1
10张巍.基于数据挖掘技术的智能化入侵检测模型[J].计算机工程,2005,31(8):134-136. 被引量：2

同被引文献56

1金然,魏强,王清贤.基于分支序列距离的恶意代码分类[J].计算机研究与发展,2007,44(z2):52-57. 被引量：4
2业宁,李威,梁作鹏,董逸生.一种Web用户行为聚类算法[J].小型微型计算机系统,2004,25(7):1364-1367. 被引量：20
3尹清波,张汝波,李雪耀,王慧强.基于动态马尔科夫模型的入侵检测技术研究[J].电子学报,2004,32(11):1785-1788. 被引量：9
4刘鞭箭,陈相宁,李明久,赵宁.视频会议系统的安全分析与措施[J].武汉理工大学学报（信息与管理工程版）,2005,27(3):5-8. 被引量：1
5邬书跃,田新广,高立志,张尔扬.一种新的基于Markov链模型的用户行为异常检测方法[J].信号处理,2006,22(3):440-444. 被引量：7
6田新广,高立志,张尔扬.新的基于机器学习的入侵检测方法[J].通信学报,2006,27(6):108-114. 被引量：15
7张成虎,岳鑫,乐晖.基于聚类方法的客户交易行为模式识别[J].计算机工程与应用,2007,43(10):195-198. 被引量：3
8卢鋆,吴忠望,王宇,卢昱.基于kNN算法的异常行为检测方法研究[J].计算机工程,2007,33(7):133-134. 被引量：11
9邬书跃,田新广.基于隐马尔可夫模型的用户行为异常检测新方法[J].通信学报,2007,28(4):38-43. 被引量：20
10Bajcsy R, Kesidis G, Levitt K. Cyber Defense Technology Networking and Evaluation[J]. Communications of the ACM, 2004, 47 (03): 58-61.

引证文献8

1苏景志,田新广.军工行业信息系统安全风险分析与评估[J].信息安全与通信保密,2010,7(1):64-66. 被引量：1
2孙晓妍,祝跃飞,黄茜,郭宁.基于交互行为的恶意代码检测研究[J].计算机应用,2010,30(6):1489-1492.
3刘臻,鲁学亮.基于校园网的可信任视频会议系统的研究[J].中国电化教育,2011(7):127-130. 被引量：7
4申利民,李峰,孙鹏飞,牛景春.开放企业计算环境下基于信任的行为检测模型[J].计算机集成制造系统,2013,19(1):217-223.
5韩忠明,张晨,李斌.基于Markov模型的异常用户检测[J].计算机仿真,2014,31(6):316-320. 被引量：3
6韩忠明,张晨,李斌,莫倩.基于行为模式的社会网络用户谱聚类算法[J].小型微型计算机系统,2014,35(10):2290-2295. 被引量：1
7杨宏宇,孟令现.Hadoop云平台用户动态访问控制模型[J].通信学报,2017,38(9):9-17. 被引量：9
8王毅,冯小年,钱铁云,朱辉,周静.基于CNN和LSTM深度网络的伪装用户入侵检测[J].计算机科学与探索,2018,12(4):575-585. 被引量：20

二级引证文献40

1彦逸,施勇,薛质.基于传统匿名网的通道优化[J].信息安全与通信保密,2012,10(1):89-90.
2祁志敏,刘亦格.基于会议电视系统远程教育模式的比较优势分析[J].吉林师范大学学报（自然科学版）,2013,34(3):143-145. 被引量：1
3王聪,刘美岩,谌探.高校视频会议的交互式应用与实践案例[J].现代教育技术,2013,23(10):76-81. 被引量：6
4刘治纲,肖庆汇,丁雪非,罗尉平.软件定义网络用户动态访问控制模型仿真[J].计算机仿真,2019,36(1):308-311. 被引量：9
5罗来俊,朱永文,何敏.基于网络的教育资源共享技术研究[J].赤峰学院学报（自然科学版）,2014,30(16):15-17. 被引量：2
6沈楠,李可强.基于移动终端的视频会议系统在远程教育中的应用[J].计算机光盘软件与应用,2014,17(14):125-126. 被引量：1
7刁庆.基于问题的对话式教学及其在幼儿教育中的运用[J].科教导刊（电子版）,2014(25):48-48.
8吴强.“虚拟工厂”在职业教育校企合作中的应用[J].当代教育理论与实践,2015,7(8):144-146. 被引量：7
9徐彭娜,林志兴,林劼,江育娥.基于马尔科夫模型的就餐人数预测[J].计算机系统应用,2017,26(4):212-217. 被引量：3
10林志兴.高校贫困学生辅助评价的研究[J].计算机系统应用,2017,26(6):249-253.

1田新广,高立志,孙春来,张尔扬.基于系统调用和齐次Markov链模型的程序行为异常检测[J].计算机研究与发展,2007,44(9):1538-1544. 被引量：19
2彭小兰,丁宇新.基于交叉熵的用户行为异常检测[J].东莞理工学院学报,2009,16(5):73-77. 被引量：1
3邬书跃,田新广,高立志,张尔扬.一种新的基于Markov链模型的用户行为异常检测方法[J].信号处理,2006,22(3):440-444. 被引量：7
4赖英旭,刘静,王一沛.基于隐马尔科夫模型的用户行为异常检测方法[J].电子技术应用,2011,37(7):156-158. 被引量：3
5江伟,陈龙,王国胤.用户行为异常检测在安全审计系统中的应用[J].计算机应用,2006,26(7):1637-1639. 被引量：13
6连一峰,戴英侠,王航.基于模式挖掘的用户行为异常检测[J].计算机学报,2002,25(3):325-330. 被引量：84
7宁爱平,张雪英.人工蜂群算法的收敛性分析[J].控制与决策,2013,28(10):1554-1558. 被引量：56
8骆剑平,李霞,陈泯融.混合蛙跳算法的Markov模型及其收敛性分析[J].电子学报,2010,38(12):2875-2880. 被引量：42
9孙明谦,胡昌振,危胜军.基于支持向量机的Web用户行为异常检测方法[J].微计算机信息,2010,26(18):1-3.
10田新广,高立志,李学春,张尔扬.一种基于隐马尔可夫模型的IDS异常检测新方法[J].信号处理,2003,19(5):420-424. 被引量：6

电子与信息学报

2007年第11期

浏览历史

内容加载中请稍等...

基于shell命令和Markov链模型的用户行为异常检测被引量：8

参考文献12

二级参考文献22

共引文献104

同被引文献56

引证文献8

二级引证文献40

相关作者

相关机构

相关主题

浏览历史

基于shell命令和Markov链模型的用户行为异常检测 被引量：8

参考文献12

二级参考文献22

共引文献104

同被引文献56

引证文献8

二级引证文献40

相关作者

相关机构

相关主题

浏览历史

基于shell命令和Markov链模型的用户行为异常检测被引量：8