返回
基于命令紧密度的用户伪装入侵检测方法-论文.pdf

基于命令紧密度的用户伪装入侵检测方法-论文.pdf

ID:57974985

大小:339.26 KB

页数:5页

时间:2020-04-18

基于命令紧密度的用户伪装入侵检测方法-论文.pdf_第1页
基于命令紧密度的用户伪装入侵检测方法-论文.pdf_第2页
基于命令紧密度的用户伪装入侵检测方法-论文.pdf_第3页
基于命令紧密度的用户伪装入侵检测方法-论文.pdf_第4页
基于命令紧密度的用户伪装入侵检测方法-论文.pdf_第5页
资源描述:

《基于命令紧密度的用户伪装入侵检测方法-论文.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第6期电子学报Vo1.42No.62014年6月ACrAEIJE(rR0NICASINICAJun.2014基于命令紧密度的用户伪装入侵检测方法王秀利,王永吉(1.中央财经大学信息学院,北京100081;2.中国科学院软件研究所,北京10ol9o)摘要:根据Unix系统中用户的历史命令序列,提出一种基于命令紧密度模型的用户伪装入侵检测方法.该方法从命令组合的角度抽取用户的行为模式.用户经常组合使用的命令,表现出关系紧密;不常被一起使用的命令,表现出关系疏远.通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵.如果待检测的命令块对于

2、该用户来说表现出紧密度过低,则判断为异常.实验表明该方法计算量小,检测效果好,而且具有很高的实时性.关键词:异常检测;伪装检测;命令紧密度;shell;主机中图分类号:TP393.08文献标识码:A文章编号:0372—2112(2014)06—1225—05电子学报URL:http://www.ejouma1.org.enDOI:10.3969/j.issn.0372—2112.2014.06.029MasqueraderDetectionBasedonCommandClosenessModeWANGXiu—li,WANGYongj

3、i(1.SchoolofhCo.,~ion,CentralUniversofFinatweandEconomics,Beijing100081,China2.InstituteofSoft-re,ChineseAcademyofSciences,Beifing10o19O,Ch/na)Abstract:AccordingtothehistoryofcommandsequenceinUnixsystem,allapproachtomasqueraderdetectionbasedontheclosenessmodelofcommand

4、wasproposed.ThebehaviorpatternsofuserⅥ,eextractedfromtheviewofcommandcombinations.Thosecommandscombinedfrequentlybytl,~.rsshowedcloserelationship,andothercommandsexhibitedloosemlatiomhip.Corn—mandclosenessmatrixWasgeneratedbytheslidingwindowfromthesequenceofco~ds.Ifthe

5、commandblocktobedetectedexhibitedalowclosenessfortheuser,itWasjudgedasabnorma1.Expefinmntalresultsshowthatasimplecalculation,anaccuratedetection,andahighlevelofreal-timeCanbeachievedbyusingtheproposedapproach.Keywords:anomalydetection;masqueraderdetection;commandclosen

6、ess;shell;host.I古低,则判断为异常.工I再伪装入侵检测多采用异常检测技术.根据其建模算2命令紧密度法不同,可分为基于信息熵_2'3J、文本挖掘_4J、隐马尔可夫2.1基本原理模~5,63、朴素贝叶斯7,8]、序列和生物信息lL9,、支持向量shell命令序列反映了用户操作计算机的行为习惯.机[11,12]的检测方法等.基于shell命令的入侵检测也得到比如写c或c++代码的用户会经常使用gcc,make,gdb了较多研究,文献[1]提出基于多重行为模式并行挖掘和等命令.经常组合使用的命令,共现次数多,表现出关系多门限

7、联合判决的检测模型.文献[13],lJ用特殊的多阶齐紧密;不常被一起使用的命令,共现次数少,表现出关系次Uarkov链模型对合法用户的正常行为进行建模.文献疏远.假设伪装用户的活动和合法用户不同,它们组合[14]提出基于共生矩阵的用户行为异常检测方法.命令的方式也不同.如果一个命令块中命令之间的关系本文提出一种基于命令紧密度模型的伪装入侵检表现疏远,那么,它很可能是伪装用户.本文根据这一特测方法,使用类Unix平台上的shell命令作为原始审计征,设计检测算法.数据,从命令组合的角度抽取用户的行为模式.通过滑2.2命令紧密度模型动窗

8、口方法从历史命令序列中生成紧密度矩阵代表用两个命令的共现程度称为紧密度.本文提出一种基户的行为模式,如果待检测的命令块表现出紧密度过于滑动窗口的方法度量命令之间的紧密度.收稿13期:2013-0715;修回日期:2013—12-09;

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。