10.3969/j.issn.1000-436X.2011.03.013
基于shell命令和Markov链模型的用户伪装攻击检测
提出一种新的基于shell命令的用户伪装攻击检测方法.该方法在训练阶段充分考虑了用户行为的多变性和伪装攻击的特点,采用平稳的齐次Markov链对合法用户的正常行为进行建模,根据shell命令的出现频率进行阶梯式数据归并来划分状态,同现有的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量,提高了泛化能力.针对检测实时性需求和shell命令操作的短时相关性,采用了基于频率优先的状态匹配方法,并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值,能够有效减少系统计算开销,降低误报率.实验表明,该方法具有很高的检测准确率和较强的可操作性,特别适用于在线检测.
网络安全、伪装攻击、入侵检测、shell命令、异常检测、Markov链
32
TP393(计算技术、计算机技术)
国家高技术研究发展计划"863"计划基金资助项目2006AA01Z452;国家242信息安全计划基金资助项目2005C39
2011-05-25(万方平台首次上网日期,不代表论文的发表时间)
共8页
98-105
