基于隱馬爾科夫模型的異常檢測研究.pdf

1、在異常檢測技術中，采用系統(tǒng)調用作為訓練數據的方法目前受到了廣泛的關注，其基本思想是通過分析系統(tǒng)調用是否出現異常來判斷整個計算機系統(tǒng)是否出現異常。具體過程是先對正常的系統(tǒng)調用序列建模，構造正常行為模型，然后將檢測的系統(tǒng)調用序列與正常模型相對比，如果偏離正常模型過大就認為發(fā)生異常。
　　 基于系統(tǒng)調用序列的異常檢測的關鍵是如何對正常系統(tǒng)調用序列進行建模，構造足夠精確的正常模型。在Forrest將系統(tǒng)調用引入異常檢測的最初，提出了短序

2、列建模模型TIDE，隨后又提出了STIDE，t-STIDE等改進型的方法，這些都屬于定長短序列模型。在后來的研究中，又陸續(xù)有人提出使用變長模型建模、數據挖掘建模、神經網絡建模以及狀態(tài)轉移概率建模等等多種構造正常模型的方法。其中狀態(tài)轉移概率建模方法中的隱馬爾科夫模型方法以其準確的模型構造和良好的檢測效果成為了研究的主要方向和熱點。
　　 但對于隱馬爾科夫模型在系統(tǒng)調用的異常檢測中的應用來說，還存在一些值得探討和研究的問題。本文就這

3、些問題進行了以下一些研究和論證的工作:
　　 一是關于在系統(tǒng)調用序列建模過程中隱馬爾科夫模型的隱含狀態(tài)數的確定問題。隱含狀態(tài)數是隱馬爾科夫模型訓練過程中一個很重要的參數，直接影響到模型的精確性。但這個參數在系統(tǒng)調用序列的異常檢測應用中該如何確定目前沒有統(tǒng)一而明確的意見。本文提出以程序狀態(tài)數作為隱含狀態(tài)數的值來進行隱馬爾科夫模型的訓練，假設在此參數條件下訓練得到的隱馬爾科夫模型是最精確的，偏離這個狀態(tài)數值的模型都會降低精確度，而且

4、這個數值應當大于系統(tǒng)調用序列的唯一系統(tǒng)調用數，并通過實驗來驗證。
　　 二是隱馬爾科夫模型訓練過程中時間效率的問題。這個問題很大程度上制約了模型在異常檢測中的應用，我們提出通過訓練之前對模型初始參數矩陣的約束，來達到提高訓練的時間效率。通過實驗可以發(fā)現，這種方法的確有效提高了訓練的時間效率。
　　 三是關于隱馬爾科夫模型應用于異常檢測時的在線檢測問題。在探討了隱馬爾科夫模型的正常模型的訓練過程之后，本文對如何將隱馬爾科夫

5、模型在異常檢測應用中進行在線檢測做了相關的研究。只有實現了在線檢測，才有應用于實際的可能，因此對在線檢測的研究也是十分必要的。
　　 本文對于隱馬爾科夫模型的異常檢測做了相關的研究，為異常檢測的發(fā)展做出了自己的努力和探索。異常檢測作為入侵檢測的重要發(fā)展方向，是十分值得做進一步研究工作的。但是因為本人資質和時間有限，僅對隱馬爾科夫模型在異常檢測中的應用做了一點工作。這對于將異常檢測應用于實際這個目標來說還是遠遠不夠的，今后，需要更