面向Unix和Linux平台的网络用户伪装入侵检测被引量：2

Masquerade Detection towards Network Users on Unix and Linux Platforms

下载PDF

导出

摘要基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。 Host-based intrusion detection acts as one of the major directions of research in network security. This paper presents a novel method for masquerade detection based on data mining and variable-length shell command sequence matching, which is applicable to intrusion detection systems using shell commands as audit data on Unix and Linux platforms. The method employs multiple command sequences to represent user behavior pattern, and utilizes sequence supports defined in data mining technique to characterize the normal behavior profiles of legiti- mate users. In the detection stage, a model based on variable-length shell command sequence matching and decision value weighing is used to distinguish between legitimate users and masqueraders, while the particularity of audit data and user behavior is taken into account. The performance of the method is tested by computer simulation, and the results show it can achieve higher detection accuracy and efficiency than existing alternative methods.

作者田新广程学旗陈小娟段洣毅许洪波

机构地区中国科学院计算技术研究所网络科学与技术重点实验室北京工商大学计算机与信息工程学院

出处《计算机科学与探索》 CSCD 2010年第6期500-510,共11页 Journal of Frontiers of Computer Science and Technology

基金国家高技术研究发展计划(863)No.2006AA01Z452 国家242信息安全计划No.2005C39~~

关键词伪装攻击入侵检测 SHELL命令数据挖掘异常检测 masquerade attack intrusion detection shell command data mining anomaly detection

分类号 TP393 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献17

1TIAN Xinguang,DUAN Miyi,LI Wenfa,SUN Chunlai.Anomaly Detection of User Behavior Based on Shell Commands and Homogeneous Markov Chains[J].Chinese Journal of Electronics,2008,17(2):231-236. 被引量：12
2Tian Xinguang,Duan Miyi,Sun Chunlai,Li Wenfa.Intrusion detection based on system calls and homogeneous Markov chains[J].Journal of Systems Engineering and Electronics,2008,19(3):598-605. 被引量：8
3Kim H S, Cha S D. Empirical evaluation of SVM-based masquerade detection using UNIX commands[J]. Computers and Security, 2005, 24(2): 160-168.
4Gao D, Retier M K, Song D. Behavioral distance measurement using hidden Markov models[C]//Proceedings of the Conference on Recent Advanced in Intrusion Detection, Hamburg, Germany, Sep, 2006: 19-40.
5Mukkamala S, Sung A H, Abraham A. Intrusion detection using an ensemble of intelligent paradigms[J]. Joumal of Network and Computer Application, 2005, 28(2): 167-182.
6Lane T, Carla E B. An empirical study of two approaches to sequence learning for anomaly detection[J]. Machine Learning, 2003, 51(1): 73-107.
7Chaoji V, Hoonlor A, Szymanski B K. Recursive data mining for author and role identification[C]//Proceedings of the 3rd Annual Information Assurance Workshop ASIA'08, Albany, NY, June, 2008: 53-62.
8Szymanski B K, Zhang Y Q. Recursive data mining for masquerade detection and author identification[C]//Proceedings of the 5th IEEE System, Man and Cybernetics Information Assurance Workshop, West Point, NY, June, 2004:424-431.
9Schonlau M, Mouchel W. Computer intrusion: Detecting masquerades[J]. Statistical Science, 2001, 16(1): 58-74.
10Maxion R A, Townsend T N. Masquerade detection using truncated command lines[C]//Proceedings of the International Conference on Dependable Systems and Networks, Washington, DC, USA, 2002: 219-228.

二级参考文献58

1唐焕文,张立卫,王雪华.一类约束不可微优化问题的极大熵方法[J].计算数学,1993,15(3):268-275. 被引量：75
2唐焕文,张立卫.凸规划的极大熵方法[J].科学通报,1994,39(8):682-684. 被引量：49
3李兴斯.一类不可微优化问题的有效解法[J].中国科学（A辑）,1994,24(4):371-377. 被引量：137
4YANG Geng,RONG Chun-ming,PENG Lei.A Novel Approach for Redirecting Module in Honeypot Systems[J].The Journal of China Universities of Posts and Telecommunications,2005,12(3):58-62. 被引量：2
5田新广,高立志,张尔扬.新的基于机器学习的入侵检测方法[J].通信学报,2006,27(6):108-114. 被引量：15
6陈友,程学旗,李洋,戴磊.基于特征选择的轻量级入侵检测系统[J].软件学报,2007,18(7):1639-1651. 被引量：78
7Verwoerd T, Hunt R. Intrusion detection techniques and approaches.Computer Communication, 2002, 25(15):1356- 1365.
8Lee W, Dong X. Information-theoretic measures for anomaly detection. Proc. of the IEEE Symposium on Security and Privacy, Oakland, USA, 2001: 130-134.
9Ye N, Emran S M, Chen Q, et al. Multivariate statistical analysis of audit trails for host-based intrusion detection. IEEE Trans. on Computers, 2002, 51(7): 810-820.
10Tian X G, Gao L Z, Sun C L, et al. A method for anomaly detection of user behaviors based on machine learning. The Journal of China Universities of Posts and Telecommunications, 2006, 13(2):61-65.

共引文献79

1田新广,段洣毅,孙春来,李文法.采用shell命令和隐Markov模型进行网络用户行为异常检测[J].应用科学学报,2008,26(2):175-181. 被引量：1
2林好,蒋外文,王新颖,陈海鹏.基于神经网络的IDS网络行为学习算法[J].吉林大学学报（信息科学版）,2008,26(2):213-217.
3王建军,罗可,赵志学.基于数据挖掘的SNORT网络入侵检测系统[J].计算机工程与应用,2009,45(1):121-123. 被引量：2
4杨宏宇,李春林.采用FA和SVDFRM的SVM入侵检测分类模型[J].电子科技大学学报,2009,38(2):240-244. 被引量：1
5Tian Xinguang,Duan Miyi,Sun Chunlai,Liu Xin.Detecting network intrusions by data mining and variable-length sequence pattern matching[J].Journal of Systems Engineering and Electronics,2009,20(2):405-411. 被引量：2
6田新广,程学旗,段洣毅,廖睿,刘悦.基于双向核实机制的移动通信终端防伪验证[J].吉林大学学报（信息科学版）,2009,27(4):366-370.
7苏景志,田新广.军工行业信息系统安全风险分析与评估[J].信息安全与通信保密,2010,7(1):64-66. 被引量：1
8魏小涛,黄厚宽,田盛丰.在线自适应网络异常检测系统模型与算法[J].计算机研究与发展,2010,47(3):485-492. 被引量：10
9田新广,段洣毅,程学旗.基于shell命令和多重行为模式挖掘的用户伪装攻击检测[J].计算机学报,2010,33(4):697-705. 被引量：20
10肖立中,刘云翔.适合于入侵检测的分步特征选择算法[J].计算机工程与应用,2010,46(11):81-84. 被引量：5

同被引文献9

1王景中,陈骏铭.基于Snort的网络安全管理平台入侵检测技术研究[J].北方工业大学学报,2008,20(3):11-14. 被引量：4
2黄铁,张奋.基于隐马尔可夫模型的内部威胁检测方法[J].计算机工程与设计,2010,31(5):965-968. 被引量：9
3陈恳.浅析Unix系统的安全问题[J].黑龙江科技信息,2011(14):93-93. 被引量：1
4郑世明,苗壮,宋自林,高志年.WEKA环境下基于模糊理论的聚类算法[J].解放军理工大学学报（自然科学版）,2012,13(1):22-26. 被引量：15
5陈远,周朴雄.Linux下主机入侵检测系统的研究[J].计算机系统应用,2002,11(4):24-27. 被引量：3
6林志兴,林劼.基于PSA模型的用户伪装攻击检测技术[J].三明学院学报,2014,31(6):36-40. 被引量：1
7胡海峰,周改云,刘云霞.基于过往入侵特征分析潜在网络威胁检测仿真[J].计算机仿真,2016,33(2):322-325. 被引量：16
8文雨,王伟平,孟丹.面向内部威胁检测的用户跨域行为模式挖掘[J].计算机学报,2016,39(8):1555-1569. 被引量：16
9杨光,马建刚,于爱民,孟丹.内部威胁检测研究[J].信息安全学报,2016,1(3):21-36. 被引量：14

引证文献2

1张旭阳,文政颖.Solaris系统入侵检测研究[J].网络安全技术与应用,2011(11):16-17.
2郭晓明,孙丹.基于朴素贝叶斯理论的内部威胁检测方法[J].计算机与现代化,2017(7):101-106. 被引量：4

二级引证文献4

1吴良秋.浅析网络内部威胁[J].计算机时代,2019,0(6):41-45. 被引量：2
2黄群惠,李劲,杨晨.基于手肘法的聚类算法的内部威胁检测方法[J].湖北民族学院学报（自然科学版）,2019,37(3):331-335. 被引量：1
3陈明帅,吴克河.基于shell命令的内部攻击检测[J].计算机与现代化,2021(1):56-60. 被引量：1
4孙丹,饶兰香,施炜利,孟莎莎,胡少文,胡必伟,应嵩.基于混合N-Gram模型和XGBoost算法的内部威胁检测方法[J].计算机与现代化,2022(8):99-105. 被引量：1

1刘文怡,薛质,王轶骏.基于网络流统计数据的伪装入侵检测[J].计算机工程,2014,40(7):78-81. 被引量：4
2梁春林,彭凌西.基于免疫遗传的伪装入侵检测[J].计算机工程与设计,2010,31(23):4968-4970. 被引量：2
3曾剑平,郭东辉.一种基于HMM和遗传算法的伪装入侵检测方法[J].小型微型计算机系统,2007,28(7):1210-1215. 被引量：2
4王秀利.基于K最近邻文本分类的伪装入侵检测[J].小型微型计算机系统,2014,35(12):2650-2654. 被引量：3
5林志兴,林劼.基于PSA模型的用户伪装攻击检测技术[J].三明学院学报,2014,31(6):36-40. 被引量：1
6解佳金,张颖,陈万雨.关注交换机版本[J].网络安全和信息化,2016,0(5):136-138.
7彭其华.基于显态伪装集合监测的计算机安全访问[J].科技通报,2014,30(4):146-148.
8潘建荣.对数值大小的比较方法[J].高中生之友（高考版）,2014(4):32-32.
9重剑.过期数字签名也能骗过安全软件[J].电脑爱好者,2016,0(24):76-76.
10王肖,赵相福.基于模型诊断的候选空间单调性研究[J].计算机集成制造系统,2013,19(12):3043-3048.

计算机科学与探索

2010年第6期

浏览历史

内容加载中请稍等...

面向Unix和Linux平台的网络用户伪装入侵检测被引量：2

参考文献17

二级参考文献58

共引文献79

同被引文献9

引证文献2

二级引证文献4

相关作者

相关机构

相关主题

浏览历史

面向Unix和Linux平台的网络用户伪装入侵检测 被引量：2

参考文献17

二级参考文献58

共引文献79

同被引文献9

引证文献2

二级引证文献4

相关作者

相关机构

相关主题

浏览历史

面向Unix和Linux平台的网络用户伪装入侵检测被引量：2