返回
多维进程行为评估模型建立和最优化方法

多维进程行为评估模型建立和最优化方法

ID:5999332

大小:40.50 KB

页数:15页

时间:2017-12-30

多维进程行为评估模型建立和最优化方法_第1页
多维进程行为评估模型建立和最优化方法_第2页
多维进程行为评估模型建立和最优化方法_第3页
多维进程行为评估模型建立和最优化方法_第4页
多维进程行为评估模型建立和最优化方法_第5页
资源描述:

《多维进程行为评估模型建立和最优化方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、多维进程行为评估模型建立和最优化方法  摘要:针对目前进程行为评估模型所存在的模型优化问题和模型选取问题,定义进程行为,采用隐马尔可夫模型(HMM)来描述进程行为。讨论了准确率与误报率的关系,提出多维进程行为评估模型,以弥补单一进程行为评估模型的不足,基于布尔运算对多维进程行为评估模型进行融合,提高了评估性能。并基于代价决策树理论,给出了选取最优进程行为评估模型的目标函数,用于在融合后的多维进程行为评估模型上选择最优进程行为评估模型。最后,对所提出的多维进程行为评估模型的性能进行了测试,并与传统的STIDE和HMM方法进行了比较,结果证明了其有效性和优越性。

2、关键词:进程行为;异常检测;多维进程行为评估模型;布尔运算;代价决策树;最优进程行为评估模型中图分类号:TP309文献标志码:A0引言15在信息技术飞速发展的同时,其安全性也遭受着不同程度的威胁。恶意攻击、木马、病毒肆虐,作为其攻击目标的进程,也是信息系统中各项任务和操作的承担者和执行者。在信息系统中,进程作为现实世界中用户的延伸,根据用户的指令执行各项任务。当它遭到恶意的破坏后,就会违背用户的意愿,执行非法操作,进而导致系统崩溃和信息泄漏等严重后果。为防止此种后果的出现,必须能够发现进程是否在执行非法操作,即进程行为是否正常。1996年,Forrest等[

3、1]通过实验证实,对于正常运行的进程,其行为序列是稳定的、呈规律性的,而当进程被攻击后,行为序列中会出现一些不常见的短序列。这项发现可以用于区别进程的正常行为与异常行为。基于此发现,Forrest等首先提出TIDE(TImeDelayEmbedding)方法列举现在训练数据中所有唯一的、固定长度为K的短序列来构造进程正常行为轮廓的数据库。文献[2]中论证了局部区域的不配数目有时也能够较好地表征异常行为,进而提出了改进的STIDE(SequenceTImeDelayEmbedding)方法。Wagner等[3]考虑了进程行为序列的出现概率,提出了带频率门限的S

4、TIDE方法,即tSTIDE。在上述基于固定长度短序列的建模方法基础上,Debar等[4]首次提出采用变长序列作为行为模式。Eskin等[5]提出了基于变长时间窗的方法提取变长序列,Wespi等[6]引入寻找DNA序列中不定长模式的思想,采用Teiresias算法发现进程行为的变长模式,变长模式兼顾长序列带来的精度以及短序列带来的计算有效性。15基于进程当前行为只与前一时刻行为有关的假设,文献[7]引入马尔可夫链,从状态转移的角度来描述进程行为。Lee等[8]将数据挖掘引入进程行为建模,利用改进的RIPPER算法挖掘进程行为的规则以建立进程行为评估模型;用改

5、进的Apriori算法从训练序列中挖掘模式,建立模型来评估进程。Marceau[9]、Gent等[10]和Ghosh等[11]借助神经网络的自组织和自学习能力,使用一种再生的神经网络来学习进程行为轨迹中的时间序列来描述进程行为。然而,现有研究存在如下两个问题:1)关于进程行为评估的研究大多是对进程行为建模方法(如STIDE、Markov、数据挖掘等)的研究,很少对所建模型进行优化;2)单纯地比较其准确率与误报率的优劣,没有对准确率与误报率的关系进行讨论,以及给出最优进程行为评估模型的选取方法。鉴于此,本文定义了进程行为,并基于隐马尔可夫模型(HiddenMa

6、rkovModel,HMM)来描述进程行为。本文的工作包括:基于布尔运算构建了多维进程行为评估模型,以弥补单一进程行为评估模型的不足,提高了评估性能;基于代价决策树理论给出了选取最优进程行为评估模型的目标函数,用于在融合后的多维进程行为评估模型上选择最优进程行为评估模型。151进程行为的定义1.1进程行为的定义文献[12]将进程的行为定义为“主体施用一个服务于一个客体,称为一个行为,行为是由主体、客体、行为体、行为输入、行为输出、行为状态和行为属性等组成的。”然而,这种定义方式并没有考虑到进程行为对于进程状态的影响,而进程的行为也是在某种进程状态下产生的,以

7、及行为的时间信息也能够区别两个不同行为。因此,本文引入状态转移及行为时间信息,对进程行为作如下扩展:ProBehav={action=sapplies(f)to(obj):S→S′

8、t}其中:s表示行为的主体,f表示施用函数,obj表示行为的客体,S表示进程状态,S→S′表示状态的迁移,t表示时间域。进程行为评估模型可理解为:在生命周期任意一时间点上,主体期望对客体施加的操作并由此引起的进程状态迁移。1.2进程行为的层次划分进程的行为可以在不同层次上进行描述,如用户行为、应用程序行为、系统调用和机器码。按层次从高到低可分为:用户行为、应用程序行为、操作系统行

9、为和计算机行为,如图1所示。用户行为指用户对操作系统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。