基于SVDD的网络安全审计模型研究

审计是入侵检测的基础,为入侵检测提供必要的分析数据.在传统的网络安全审计与入侵检测系统中,需要由人工来定义攻击特征以发现异常活动.但攻击特征数据难以获取,能够预知的往往只是正常用户正常使用的审计信息.提出并进一步分析了一种基于支持向量描述(SVDD)的安全审计模型,使用正常数据训练分类器,使偏离正常模式的活动都被认为是潜在的入侵.通过国际标准数据集MIT LPR的优化处理,只利用少量的训练样本,试验获得了对异常样本100%的检测率,而平均虚警率接近为0.

带野值的单类分类器在安全审计中的应用

单类分类器是当前模式识别领域的一个研究热点。带野值的单类分类器是在单类分类器的基础上,通过引入少量珍贵的异常样本(野值),以加强分类器的性能。该模型适用于处理正类样本数目远多于反类样本的两类数据类别不平衡问题。提出了将带野值的支持向量描述方法应用于安全审计数据分析中,并通过实验证实了该方法对异常样本更为敏感,具有良好的应用潜力。

安全审计中频率敏感的异常检测算法

传统使用系统调用序列的异常检测算法主要关注切分的长度,忽略了各个系统调用序列的发生频率对整个检测结果的重要性。该文提出一种对序列发生频率敏感的基于支持向量描述异常检测算法,利用发生频率定义样本的重要性,使分类器更加倾向于这些重要的样本。采用国际标准数据集进行测试,讨论了核参数对分类结果的影响。实验结果表明,与传统检测模型相比,基于序列发生频率的检测模型具有较低的误警率。