欢迎来到天天文库
浏览记录
ID:43490171
大小:249.60 KB
页数:4页
时间:2019-10-08
《基于机器学习的用户行为异常检测模型》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、基于机器学习的用户行为异常检测模型田新广"!&孙春来"段洣毅"钱小军"邱志明&"$北京交通大学计算技术研究所!北京"888&#%&$海军装备研究院博士后工作站!北京"8889-%:;<)50&=5)*65*>?)*>@"!-7AB<摘要针对()*+,等人提出的用户行为异常检测模型的不足!提出了一种新的123异常检测模型"该模型改进了用户行为模式和行为轮廓的表示方式!采用了新的相似度赋值方法!在对相似度流进行平滑时引入了’可变窗长度(的概念!并联合采用多个判决门限对用户行为进行判决"基于4*56用户./+00命令数据的实验表明
2、!该文提出的检测模型具有更高的检测性能"关键词入侵检测异常检测行为模式机器学习相似度文章编号$""!%&’’$%$!""!%"#%8"8";8-文献标识码(中图分类号,C-#-!"#$%"&’(")*%+,$-$.-/"("&01$23$456/"21351$7"(89.4/($:$92(/(;?!@???H5(;A>(B4>(%9/C>9(D/+/E/9(=/9"F>(E/>G4/)/(;"$D+.+)EA/1*.=5=?=+BFGB,+A/*B0B>I!J+5K5*>L5)B=B*>4*5
3、M+E.5=I!J+5K5*>"888&#%&$CB.=NBA=BE)0OBEP5*>3=)=5B*BFQ)MI:R?5H<+*=SA)N+"8889-%IJ1-29.-&S*)*B<)0IN+=+A=5B*5*)=+NTI()*+,5.TE5+F0I5*=EBN?A+N7,/+*)*+U)*B<)0IN+=+A=5B*5.HE+.+*=+N7,/+4、>=/=BE+HE+.+*=)M)05N?.+E).T+/)M5BEH)==+E*.)*N?.+.N+=+A=5B*!=/+.T+/)M5BEH)==+E*.TI.+R?+*A+<)=A/5*><+=/BN)*N+M)0?)=+.=/+.5<50)E5=5+.BF=/+ABEE+.HB*N5*>AB<<)*N.+R?+*A+.5、=B=/+N5A=5B*)E5+.7,/+=UB5*)=+NTI?./)./5>/+EN+=+A=5B*H+EFBE<)*A+7K$+L"271&5*=E?.5B*N+=+A=5B*!)*B<)0IN+=+A=5B*!T+/)M5BEH)==+E*!<)A/5*+0+)E*5*>!.5<50)E5=I<+).?E+"引言命令序列表示用户行为模式!建立多个样本序列库来描述6、网络网络入侵检测技术主要有两种基本类型!即异常检测和误中合法用户的正常行为轮廓!检测时以长度可变的命令序列为用检测"目前!异常检测是入侵检测研究的主要方向$"!!%!这种检单位进行相似度赋值!并利用加窗滤噪后的相似度对用户行为测技术建立系统或用户的正常行为模式!通过被监测系统或用进行判决"利用4*56用户./+00命令数据进行的实验表明!新户的实际行为模式和正常模式之间的比较和匹配来检测入侵!的检测模型具有很高的检测性能和较强的可操作性"其特点是不需要过多的有关系统缺陷的知识!具有较强的适应性!并且能够检测出未知的入侵模式"7、虚警概率高是目前限制&基于机器学习的定长命令序列检测模型异常检测应用的主要因素"异常检测的关键问题在于正常行为&7"机器学习基本原理模式的建立以及如何利用正常行为模式对当前行为进行比较机器学习是人工智能的一个新的分支!它通过对人类认知和判断"机理的研究!借助机器$计算机系统%建立各种学习模型!赋予国内外已经开展了神经网络#机器学习等智能技术在异常机器学习的能力!在此基础上构建具有特定应用的面向任务的检测中的应用研究$"!&!’%!研究目标主要是提高检测系统的准确学习系统"一个机器学习系统主要由学习单元#知识库#执行单性#实时8、性#高效性以及自适应性!其中一些研究成果在检测性元组成!其中学习单元利用外界信息源提供的信息来建立知识能和可操作性上已接近或达到了实用化水平"本文首先介绍了库并对其做出改进$增加新知识或重新组织已有知识%!执行单()*+,等人提出的基于机器学习的用户行为异常检测模型$"!-%!元利用知识库
4、>=/=BE+HE+.+*=)M)05N?.+E).T+/)M5BEH)==+E*.)*N?.+.N+=+A=5B*!=/+.T+/)M5BEH)==+E*.TI.+R?+*A+<)=A/5*><+=/BN)*N+M)0?)=+.=/+.5<50)E5=5+.BF=/+ABEE+.HB*N5*>AB<<)*N.+R?+*A+.
5、=B=/+N5A=5B*)E5+.7,/+=UB5*)=+NTI?./)./5>/+EN+=+A=5B*H+EFBE<)*A+7K$+L"271&5*=E?.5B*N+=+A=5B*!)*B<)0IN+=+A=5B*!T+/)M5BEH)==+E*!<)A/5*+0+)E*5*>!.5<50)E5=I<+).?E+"引言命令序列表示用户行为模式!建立多个样本序列库来描述
6、网络网络入侵检测技术主要有两种基本类型!即异常检测和误中合法用户的正常行为轮廓!检测时以长度可变的命令序列为用检测"目前!异常检测是入侵检测研究的主要方向$"!!%!这种检单位进行相似度赋值!并利用加窗滤噪后的相似度对用户行为测技术建立系统或用户的正常行为模式!通过被监测系统或用进行判决"利用4*56用户./+00命令数据进行的实验表明!新户的实际行为模式和正常模式之间的比较和匹配来检测入侵!的检测模型具有很高的检测性能和较强的可操作性"其特点是不需要过多的有关系统缺陷的知识!具有较强的适应性!并且能够检测出未知的入侵模式"
7、虚警概率高是目前限制&基于机器学习的定长命令序列检测模型异常检测应用的主要因素"异常检测的关键问题在于正常行为&7"机器学习基本原理模式的建立以及如何利用正常行为模式对当前行为进行比较机器学习是人工智能的一个新的分支!它通过对人类认知和判断"机理的研究!借助机器$计算机系统%建立各种学习模型!赋予国内外已经开展了神经网络#机器学习等智能技术在异常机器学习的能力!在此基础上构建具有特定应用的面向任务的检测中的应用研究$"!&!’%!研究目标主要是提高检测系统的准确学习系统"一个机器学习系统主要由学习单元#知识库#执行单性#实时
8、性#高效性以及自适应性!其中一些研究成果在检测性元组成!其中学习单元利用外界信息源提供的信息来建立知识能和可操作性上已接近或达到了实用化水平"本文首先介绍了库并对其做出改进$增加新知识或重新组织已有知识%!执行单()*+,等人提出的基于机器学习的用户行为异常检测模型$"!-%!元利用知识库
此文档下载收益归作者所有
