-
题名基于应用层协议关键词序列的应用层异常检测方法
被引量:7
- 1
-
-
作者
谢柏林
余顺争
-
机构
中山大学电子与通信工程系
-
出处
《计算机研究与发展》
EI
CSCD
北大核心
2011年第1期159-168,共10页
-
基金
国家自然科学基金-广东联合基金重点项目(U0735002)
国家自然科学基金项目(6097014661070154)
国家"八六三"高技术研究发展计划基金项目(2007AA01Z449)
-
文摘
提出一种基于应用层协议关键词序列的应用层异常检测方法.它用应用层协议关键词和关键词之间的时间间隔构成观测序列,用隐半马尔可夫模型来刻画正常用户在使用每种应用层协议时的行为.该方法可分为模型训练和异常检测两个阶段:在模型训练阶段,利用前后向算法训练得到正常用户在使用每种应用层协议时其行为的隐半马尔可夫模型;在异常检测阶段,在线统计每个观测序列相对于模型的平均对数或然概率,当发现某个用户在使用某种应用层协议的过程中其行为出现异常时,采取调整该用户数据流的优先级或者带宽的方式来对该用户的异常行为进行控制,从而可以自动纠正用户的异常行为.使用包括DARPA测试数据集在内的一些数据对该方法进行了验证.实验结果表明该方法能很好地描述正常用户在使用应用层协议时的行为,并且在检测用户异常行为时具有很高的检测率和很低的误报率.
-
关键词
应用层异常检测
应用层协议关键词序列
隐半马尔可夫模型
平均对数或然概率
异常行为
-
Keywords
application layer anomaly detection
application layer protocols' keyword sequences
hidden semi-Markov model
average log likelihood
anomalous behavior
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于关键事件序列的应用层异常检测机制
被引量:1
- 2
-
-
作者
谢柏林
余顺争
-
机构
中山大学电子与通信工程系
-
出处
《小型微型计算机系统》
CSCD
北大核心
2010年第2期249-253,共5页
-
基金
国家"八六三"高技术研究发展计划项目(2007AA01Z449)资助
国家自然科学基金-广东联合基金重点项目(U0735002)资助
-
文摘
目前网络攻击越来越多地发生在应用层,而传统的网络防护技术主要针对网络层、传输层的防护.虽然目前有些网络防护技术可以检测出一些应用层攻击,但这些技术主要针对应用层一些已知攻击的防范,对于应用层未知攻击或新出现的攻击就显得无能为力.理论上而言,应用层异常检测能识别应用层上的所有攻击,因此应用层异常检测的研究就显得十分重要.本文在分析了应用层异常检测研究现状的基础上,提出一种基于关键事件序列的应用层异常检测机制,该机制是通过跟踪用户的应用层协议行为来发现用户的应用层异常操作,从而达到识别应用层攻击的目的.
-
关键词
应用层
应用层异常检测
应用跟踪
网络安全
-
Keywords
application level
application level anomaly detection
application tracking
network security
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名应用层异常检测模型
- 3
-
-
作者
胡志敏
王红纪
-
机构
湘潭大学信息工程学院
湖南城建职业技术学院信息工程系
漯河职业技术学院计算机工程系
-
出处
《计算机工程与科学》
CSCD
北大核心
2010年第7期35-37,41,共4页
-
基金
湖南省教育厅资助科研项目(08D030
07D018)
-
文摘
目前的应用层异常检测方法多是针对某一种应用层攻击而设计的,通用性较差。本文基于人体免疫系统T细胞识别自体和非自体的原理,设计了基于否定选择的应用层异常检测通用模型,研究了实现否定选择应用层的关键技术。仿真实验表明,该模型能够有效地检测网络服务器的应用层的异常访问,具有广泛的应用前景和推广价值。
-
关键词
网络攻击
应用层异常检测模型
免疫系统
否定选择算法
自体
非自体
-
Keywords
network attack
application level anomaly detection model
immune system
negative selected algorithm
self
nonself
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
TP18
[自动化与计算机技术—控制理论与控制工程]
-
