基于馬爾可夫鏈模型的異常入侵檢測方法研究.pdf

1、在異常檢測中,觀察到的不是已知的入侵行為,而是所研究的通信過程中的異?，F(xiàn)象,它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立異常檢測模型之前,首先必須建立統(tǒng)計概率模型,明確所觀察對象的正常情況,然后決定在何種程度上將一個行為標為“異?！焙腿绾巫龀鼍唧w決策。馬爾可夫鏈模型是應用在異常入侵檢測的重要的統(tǒng)計分析方法之一,目前在這方面的研究很多,但是或多或少存在不同程度的缺陷。
　　本文綜述了入侵檢測技術,詳細介紹了異常入侵檢測、系統(tǒng)調(diào)

2、用、特權進程等本文所需的相關內(nèi)容。然后對目前已有的基于馬爾可夫鏈模型的異常入侵檢測方法進行深入研究,發(fā)現(xiàn):在異常入侵檢測中,單步馬爾可夫鏈模型較簡單,并且對于系統(tǒng)調(diào)用序列其并不能嚴格成立,尤其是在滑動窗口選取比較大的情況下;多步馬爾可夫鏈模型,在存儲和計算兩方面都較大;隱馬爾可夫鏈模型的參數(shù)計算復雜,而且隨著數(shù)據(jù)的更新,參數(shù)也需要更新、計算。因此,本文提出了一種基于馬爾可夫鏈模型的異常入侵檢測的新方法,并利用新墨西哥大學提供的數(shù)據(jù)對其進

3、行實驗和結(jié)果分析。
　　本文提出的基于馬爾可夫鏈模型的異常入侵檢測方法,首先,建立馬爾可夫鏈模型;其次,在模型基礎之上對檢測的數(shù)據(jù)進行分析檢測:利用單步馬爾可夫鏈兩種不同的序列分析檢測方法對檢測數(shù)據(jù)計算產(chǎn)生兩種概率序列,然后對概率序列使用滑動窗口分析方法,對分割的每個概率序列利用特殊公式進行計算產(chǎn)生判定值;最后,分析這兩種判定值曲線,利用判定值對正常數(shù)據(jù)和異常數(shù)據(jù)進行判定;同時,通過對判定值的分析,設置合理的閾值,利用閾值再次對正