● 内容详情
主机异常入侵检测是入侵检测系统中不可取或缺的一部分。它通常根据主机的审计数据建立一个系统的正常模型,然后将系统当前活动与这个正常模型进行比较,如果发现了超过设定阈值的差异,则表示有入侵行为发生。本文选择系统调用作为审计数据,针对目前主机异常入侵检测技术中主要存在的检测率低、虚警率高、实时性差的问题,在主机异常检测方法上做了几点新的尝试。隐马尔可夫模型可以很好的揭示系统调用之间的统计规律从而建立系统的正常行为模型,然而训练隐马尔可夫模型需要耗费大量的时间,针对这一缺点,本文提出了一种新的隐马尔可夫模型训练方法,该方法基于系统调用的局部规律性,在重估公式中引入序列的频率特性,采用压缩后的系统调用序列增量训练隐马尔可夫模型,得到系统的正常行为轮廓用于异常检测。主机异常检测过程中,入侵行为和正常行为的界限很难准确设定,尖锐的检测阈值会导致产生大量虚警和漏报。本文在分析和研究模糊理论的基础上,针对阈值确定的问题,提出了两种基于模糊理论的主机异常检测方法。这两种方法分别是基于一型模糊系统的主机异常检测方法和基于区间值二型模糊系统的主机异常检测方法。本文在主机入侵检测评估权威数据集CERT synthethic sendmail data 上对所提的方法进行了验证,实验结果表明采用新的隐马尔可夫训练方法的主机异常检测方法在没有降低入侵检测能力的情况下大幅节省了训练时间,基于模糊理论的主机异常检测方法可以较好的处理阈值确定的尖锐边界问题,对入侵具有较高的检测率、正确报警率和较低的虚警率。