欢迎来到天天文库
浏览记录
ID:29847491
大小:888.50 KB
页数:11页
时间:2018-12-24
《基于shell命令和多重行为模式挖掘的用户伪装攻击检测》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、·11·基于shell命令和多重行为模式挖掘的用户伪装攻击检测田新广段洣毅程学旗(中国科学院计算技术研究所网络科学与技术重点实验室北京100190)摘要伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为。近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用。文中提出一种新的用户伪装攻击检测方法。同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用
2、户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度。文中提出的方法已应用于实际检测系统,并表现出良好的检测性能。关键词网络安全;伪装攻击;入侵检测;shell命令;异常检测中图分类号:TP393Masqueradedetectionbasedonshellcommand
3、sandmultiplebehaviorpatternminingTIANXin-Guang,DUANMi-Yi,CHENGXue-Qi(KeyLaboratoryofNetworkScienceandTechnology,InstituteofComputingTechnology,ChineseAcademyofSciences,Beijing100190)AbstractMasqueradeattacksareattemptsbyunauthorizeduserstogainaccesstoconfidentialda
4、taorgreateraccessprivileges,whilepretendingtobelegitimateusers.Masqueradedetectionisnowoneofthemajorconcernsofsystemsecurityresearch.Thispaperproposesanovelmethodtodistinguishlegitimateusersfrommasqueradersbasedonshellcommandsandmultiplebehaviorpatternmining.Inthem
5、ethod,behavioralpatternsoflegitimateusersarecharacterizedbyshellcommandsequencesofdifferentlengths,andhierarchicalsequencesupportsareemployedtoconstructthenormalbehaviorprofilesoflegitimateusers,whichimprovestheprecisionandadaptabilityofuserprofiling.Inthedetection
6、stage,amodelbasedonmultiplesequencepatternparallelminingandmultiplethresholdjointdecisionisusedtodeterminewhetherthemonitoreduser’sbehaviorisnormaloranomalous.Themodelgivesattentiontobothdetectionaccuracyandcomputationalefficiency,andisespeciallyapplicableforon-lin
7、edetection.Ourstudyempiricallydemonstratedthepromisingperformanceofthemethod,andithassucceededingettingapplicationinpracticalhost-basedintrusiondetectionsystems.Keywordsnetworksecurity;masqueradeattack;intrusiondetection;shellcommand;anomalydetection本课题得到国家“八六三”高技术
8、研究发展计划项目基金(2006AA01Z452)、国家242信息安全计划项目基金(2005C39)和国家“九七三”重点基础研究发展规划项目(2004CB318109)资助。田新广,男,1976年生,博士后,副研究员,中国计算机学会高级会员(计算机安全专业委员会委员),主要研究方向为网络安全
此文档下载收益归作者所有