基于隐马尔可夫模型的ids程序行为异常检测.doc
约5页DOC格式手机打开展开
基于隐马尔可夫模型的ids程序行为异常检测,基于隐马尔可夫模型的ids程序行为异常检测7300多字摘要:提出一种新的基于隐马尔可夫模型的程序行为异常检测方法,此方法利用系统调用序列,并基于隐马尔可夫模型来描述程序行为,根据程序行为模式的出现频率对其进行分类,并将行为模式类型同隐马尔可夫模型的状态联系在一起。由于各状态对应的观测值集合互不相交,模型训练中采用了运算...
内容介绍
此文档由会员 xiaowei 发布
基于隐马尔可夫模型的IDS程序行为异常检测
7300多字
摘 要:提出一种新的基于隐马尔可夫模型的程序行为异常检测方法,此方法利用系统调用序列,并基于隐马尔可夫模型来描述程序行为,根据程序行为模式的出现频率对其进行分类,并将行为模式类型同隐马尔可夫模型的状态联系在一起。由于各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch算法相比,训练时间有较大幅度的降低。考虑到模型中状态的特殊含义以及程序行为的特点,将加窗平滑后的状态序列出现概率作为判决依据。实验表明,此方法具有很高的检测准确性,其检测效率也优于同类方法。
关键词:入侵检测系统;异常检测;隐马尔可夫模型;系统调用
中图分类号:TP18;TP393.08 文献标识码:A
Anomaly Detection of Program Behaviors for IDS Based on Hidden Markov Models
Abstract: A new method for anomaly detection of program behaviors based on hidden Markov models is presented. The method uses system calls to represent the behavior profiles of programs based on hidden Markov models. The behavior patterns of programs are classified according to their frequency distributions, and the states of the hidden Markov models are associated with the classes of the behavior patterns. Because the collections of observations corresponding to different states are mutually disjoint, the models can be trained with a sequence matching algorithm which requires lower computational complexity and less computation time than the classical Baum-Welch algorithm. A decision rule based on the probabilities of short state sequences is adopted while the particularity of the model states is......
异常检测是目前IDS(入侵检测系统)研究的一个主要方向,这种检测方法建立系统或用户的正常行为模式库,通过被监测系统或用户的实际行为模式和正常模式之间的比较和匹配来检测入侵,其特点是不需要过多有关系统缺陷的知识,具有较强的适应性,能够检测出未知入侵,但存在虚警概率高的缺点。
国内外对基于系统调用和shell命令等主机数据的异常检测方法已经有了较长时间的研究,其中隐马尔可夫模型(HMM)方法是一个重要的研究方向。新墨西哥大学的Warrender C等人利用系统调用数据,进行了针对程序行为的异常检测研究和实验[2];其方法是对每种程序(如sendmail、lpr)建立一个HMM,采用Baum-Welch算法训练模型,并利用先验知识对模型参数进行初始化。普渡大学的Lane T利用UNIX用户的shell命令数据,进行了针对用户行为的异常检测[3];其方法是用单个HMM描述正常用户的行为轮廓,模型的训练中同样采用了Baum-Welch算法,检测时利用近似的前向后向算法并根据贝叶斯准则对用户行为进行判决。以上两种方法是HMM在分类问题中的典型用法,在训练数据充足的情况下能够获得比较高的检测准确率,但是,模型的训练和工作中所需要的运算量很大,检测的实时性不高,这在很大程度上限制了它们的应用。
本文提出一种新的基于HMM的程序行为异常检测方法,此方法根据行为模式的出现频率对其进行分类,用HMM的状态来代表不同种类的行为模式,并引入一个附加状态;采用序列匹配方法对模型进行训练,与传统方法相比较大程度地减小了训练时间;根据模型和程序行为的特点,采用了基于状态序列出现概率的判决准则。实验表明,此方法具有很高的检测准确率和较强的可操作性......
参考文献:
[1] Rabiner L R,Juang B H. An Introduction to Hidden Markov Models[J]. IEEE ASSP Magazine,1986(1):4-16.
[2] Warrender C,Forrest S,Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models[A].Proc th
7300多字
摘 要:提出一种新的基于隐马尔可夫模型的程序行为异常检测方法,此方法利用系统调用序列,并基于隐马尔可夫模型来描述程序行为,根据程序行为模式的出现频率对其进行分类,并将行为模式类型同隐马尔可夫模型的状态联系在一起。由于各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch算法相比,训练时间有较大幅度的降低。考虑到模型中状态的特殊含义以及程序行为的特点,将加窗平滑后的状态序列出现概率作为判决依据。实验表明,此方法具有很高的检测准确性,其检测效率也优于同类方法。
关键词:入侵检测系统;异常检测;隐马尔可夫模型;系统调用
中图分类号:TP18;TP393.08 文献标识码:A
Anomaly Detection of Program Behaviors for IDS Based on Hidden Markov Models
Abstract: A new method for anomaly detection of program behaviors based on hidden Markov models is presented. The method uses system calls to represent the behavior profiles of programs based on hidden Markov models. The behavior patterns of programs are classified according to their frequency distributions, and the states of the hidden Markov models are associated with the classes of the behavior patterns. Because the collections of observations corresponding to different states are mutually disjoint, the models can be trained with a sequence matching algorithm which requires lower computational complexity and less computation time than the classical Baum-Welch algorithm. A decision rule based on the probabilities of short state sequences is adopted while the particularity of the model states is......
异常检测是目前IDS(入侵检测系统)研究的一个主要方向,这种检测方法建立系统或用户的正常行为模式库,通过被监测系统或用户的实际行为模式和正常模式之间的比较和匹配来检测入侵,其特点是不需要过多有关系统缺陷的知识,具有较强的适应性,能够检测出未知入侵,但存在虚警概率高的缺点。
国内外对基于系统调用和shell命令等主机数据的异常检测方法已经有了较长时间的研究,其中隐马尔可夫模型(HMM)方法是一个重要的研究方向。新墨西哥大学的Warrender C等人利用系统调用数据,进行了针对程序行为的异常检测研究和实验[2];其方法是对每种程序(如sendmail、lpr)建立一个HMM,采用Baum-Welch算法训练模型,并利用先验知识对模型参数进行初始化。普渡大学的Lane T利用UNIX用户的shell命令数据,进行了针对用户行为的异常检测[3];其方法是用单个HMM描述正常用户的行为轮廓,模型的训练中同样采用了Baum-Welch算法,检测时利用近似的前向后向算法并根据贝叶斯准则对用户行为进行判决。以上两种方法是HMM在分类问题中的典型用法,在训练数据充足的情况下能够获得比较高的检测准确率,但是,模型的训练和工作中所需要的运算量很大,检测的实时性不高,这在很大程度上限制了它们的应用。
本文提出一种新的基于HMM的程序行为异常检测方法,此方法根据行为模式的出现频率对其进行分类,用HMM的状态来代表不同种类的行为模式,并引入一个附加状态;采用序列匹配方法对模型进行训练,与传统方法相比较大程度地减小了训练时间;根据模型和程序行为的特点,采用了基于状态序列出现概率的判决准则。实验表明,此方法具有很高的检测准确率和较强的可操作性......
参考文献:
[1] Rabiner L R,Juang B H. An Introduction to Hidden Markov Models[J]. IEEE ASSP Magazine,1986(1):4-16.
[2] Warrender C,Forrest S,Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models[A].Proc th