10.3778/j.issn.1673-9418.2010.06.002
面向Unix和Linux平台的网络用户伪装入侵检测
基于主机的入侵检测是目前网络安全领域研究的热点内容.提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统.该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性.实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测.
伪装攻击、入侵检测、shell命令、数据挖掘、异常检测
4
TP393(计算技术、计算机技术)
The National High-Tech Research and Development Plan of China under Grant No.2006AA01Z452 国家高技术研究发展计划863;the National Information Security 242 Program of China under Grant No.2005C39国家242信息安全计划
2010-08-27(万方平台首次上网日期,不代表论文的发表时间)
共11页
500-510
