返回
基于隐马尔可夫模型的系统脆弱性检测(1)

基于隐马尔可夫模型的系统脆弱性检测(1)

ID:22916050

大小:49.50 KB

页数:5页

时间:2018-11-01

基于隐马尔可夫模型的系统脆弱性检测(1)_第1页
基于隐马尔可夫模型的系统脆弱性检测(1)_第2页
基于隐马尔可夫模型的系统脆弱性检测(1)_第3页
基于隐马尔可夫模型的系统脆弱性检测(1)_第4页
基于隐马尔可夫模型的系统脆弱性检测(1)_第5页
资源描述:

《基于隐马尔可夫模型的系统脆弱性检测(1)》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于隐马尔可夫模型的系统脆弱性检测(1)摘 要 在计算机安全领域,特别是网络安全领域,对计算机系统进行脆弱性检测十分重要,其最终目的就是要指导系统管理员在“提供服务”和“保证安全”这两者之间找到平衡。本文首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所

2、有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。关键字入侵检测;隐马尔可夫模型(HMM);特权流; 系统安全;网络安全;脆弱性1引言计算机网络的出现使得独立的计算机能够相互进行通信,提高了工作效率。然而,人们在享受网络带来的种种方便、快捷服务的同时,也不得不面临来自网络的种种威胁——黑客入侵、计算机病毒和拒绝服务攻击等等。早在主机终端时代,黑客攻击就已经出现,当时黑客的主要攻击对象还主要是针对单个主机。而计算机病毒也不是网络出现后的新鲜产物,在独立的PC时代

3、它已经开始通过各种途径传播。然而网络为上面两种攻击提供了更多的攻击对象、更新的攻击方式,从而也使得它们危害性更大。近年来,随着互联网的迅速发展,黑客、病毒攻击事件越来越多。按照检测方法,入侵检测可以分为两类:误用检测和异常检测。(1)误用检测:收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。(2)异常检测:首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测需要已知入侵的行为模式,所以不能检

4、测未知的入侵。异常检测则可以检测未知的入侵。基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。文章提出了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS),它是一种异常检测技术。因此,不仅可以检测已知的入侵,而且还可以检测未知的入侵。更重要的是,它通过仅仅考虑基于攻击域知识的特权流事件来大大缩短建模时间并提高检测性能。因此,更加适合用于在计算机系统上进行实时检测。2计算机脆弱性在研究计算机脆弱性的过程中,对于“计算机脆弱性”(putervulnera

5、bility)这个词组的精确定义争论很大,下面是众多被广泛认可的定义中的两个。1)1996年Bishop和Bailey给出的关于“计算机脆弱性”的定义[1]:“计算机系统是由一系列描述构成计算机系统的实体的当前配置的状态(states)组成,系统通过应用状态变换(statetransitions)(即改变系统状态)实现计算。从给定的初始状态使用一组状态变换可以到达的所有状态最终分为由安全策略定义的两类状态:已授权的(authorized)或者未授权的(unauthorized)。”“脆弱(vulnera

6、ble)状态是指能够使用已授权的状态变换到达未授权状态的已授权状态。受损(promised)状态是指通过上述方法到达的状态。攻击(attack)是指以受损状态结束的已授权状态变换的顺序。由定义可得,攻击开始于脆弱状态。”“脆弱性(vulnerability)是指脆弱状态区别于非脆弱状态的特征。广义地讲,脆弱性可以是很多脆弱状态的特征;狭义地讲,脆弱性可以只是一个脆弱状态的特征……”2)LongleyD.,ShainM.,CaelliM的分类器三部分组成,如图1所示。图1基于HMM的入侵检测系统审计数据预

7、处理器负责将原始审计记录转变为分析引擎可以接受的标准格式。过滤器负责决定哪些审计事件是适合系统的、哪些审计数据字段对系统分析来说是充分有用的。基于HMM的分类器负责对过滤后的数据进行分类,产生检测结果。整个系统的工作过程分为两个阶段:训练阶段和检测阶段。在训练阶段,根据已知的正常审计数据和异常审计数据来训练分类器,并得出相应的参数。在检测阶段,预处理器将审计数据转换成标准格式,再通过过滤器得到充分有用的数据,然后通过基于HMM的分类器进行分类,从而区分出正常行为和入侵行为。4隐马尔可夫模型马尔可夫模型是

8、一个离散时域有限状态自动机,隐马尔可夫模型(HMM)是指这一马尔可夫模型的内部状态外界不可见,外界只能看到各个时刻的输出值。[4]隐马尔可夫模型本质上是一种双重随机过程有限状态自动机,其中的双重随机过程是指满足Markov分布的状态转换Markov链以及每一状态的观察输出概率密度函数,共两个随机过程。设Xi是一个随机变量,它表示时刻t系统的状态,其中t=0,1,2,…。用HMM建模系统正常行为特征需做出如下两个假设:P(Xi1=it1

9、X/

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。