田新广1,2, 段洣毅1,2, 孙春来1, 李文法2
TIAN Xing-uang1, 2, DUAN Mi-yi1, 2, SUN Chun-lai1, LI Wen-fa 2
摘要: 异常检测是目前网络入侵检测领域研究的热点内容。提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓。HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低。在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则。同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测。该方法已应用于实际入侵检测系统,并表现出良好的检测性能。