基于隐马尔可夫模型的入侵检测方法
基于隐马尔可夫模型的网络入侵检测
基于隐马尔可夫模型的网络入侵检测潘秋羽(西安工程大学计算机科学学院,陕西西安 710048)摘 要:随着互联网科技的进一步革命,在它给我们带来大量便利的同时,其引发的安全问题也一直让众多用户感到头疼。
基于此,考虑到隐马模型(Hidden Markov Model,HMM)具有的模型理论透彻、算法成熟、分类器学习性能高等优点,很多学者都曾研究过基于HMM的主机入侵检测。
常规的方法是以系统调用作为模型观测值,以程序中出现的系统调用总数作为模型状态数。
但由于训练分类器的观测序列过长会导致模型参数不易收敛等问题。
文章将提出一种基于数据为特征的网络入侵检测方式。
关键词:入侵检测;异常检测;数据特征;隐马尔可夫模型中图分类号:TP393.08文献标识码:ANetwork intrusion detection based on hidden markov modelP an Qiuyu(C ol le ge of Co mput e r Sc ie nc e , X i'an P olyt ec hni c University, ShaanxiX i'an 710048)Abstract: With the further revolution,the Internet technologies bring us more convenience,as well as some problems bothering users all the time so that considering the HMM has numerous advantages,a lots of scholars have studyed the host intrusion detection based on HMM.The conventional measure is that viewing system calls as observed values and regarding the number of system calls existing in the processes the number of model's status.The model's parameters are hard to converge due to the long observed value sequence so that the article illustrates a measure of network intrusion detection based on the data feature's analyses.Key words: intrusion detection; anomaly detection; data feature; hidden markov model1 引言网络入侵检测作为一种重要的网络安全防卫系统,主要是通过对计算机用户的某些行为信息进行分析来检测出对网络的入侵。
使用隐马尔科夫模型进行网络攻击检测的技术指南
隐马尔科夫模型(Hidden Markov Model, HMM)是一种常用于序列数据建模的概率图模型,其在语音识别、自然语言处理等领域有着广泛的应用。
近年来,隐马尔科夫模型在网络安全领域也开始得到应用,特别是在网络攻击检测方面,其表现出了很好的潜力。
本文将介绍使用隐马尔科夫模型进行网络攻击检测的技术指南。
一、隐马尔科夫模型简介隐马尔科夫模型是由马尔科夫链和观测序列组成的统计模型。
在隐马尔科夫模型中,系统状态是不可见的隐变量,而只能通过系统的观测序列来进行推测。
在网络攻击检测中,攻击行为往往是隐蔽的,难以直接观测到,因此使用隐马尔科夫模型来建模网络流量数据,识别潜在的攻击行为是非常合适的。
二、网络攻击行为建模在使用隐马尔科夫模型进行网络攻击检测时,首先需要对网络攻击行为进行建模。
不同类型的网络攻击会表现出不同的行为特征,例如DDoS攻击会导致大量的异常流量,而恶意软件传输数据时会表现出特定的数据包格式等。
通过分析已知的网络攻击数据,可以提取出攻击行为的特征,进而建立隐马尔科夫模型的观测状态。
三、网络流量数据预处理在构建隐马尔科夫模型之前,需要对网络流量数据进行预处理。
这包括数据清洗、特征提取和归一化等步骤。
数据清洗可以去除异常数据,特征提取可以从原始数据中提取出攻击行为的特征,而归一化可以使不同特征之间的取值范围一致,便于模型的训练和推断。
四、隐马尔科夫模型的训练隐马尔科夫模型的训练包括两个关键步骤:参数估计和模型优化。
参数估计是指利用已有的网络流量数据,根据最大似然估计等方法,估计模型的转移概率和观测概率。
模型优化则是通过训练数据不断调整模型参数,使得模型在给定观测序列下的似然度最大化。
五、网络攻击检测与模型推断在隐马尔科夫模型训练完成后,可以利用该模型进行网络攻击检测。
给定一个新的网络流量观测序列,通过隐马尔科夫模型的推断算法,可以计算出该观测序列在模型下的似然度。
若似然度低于设定的阈值,则可以判断该观测序列中存在网络攻击行为。
一种基于隐马尔可夫链的网络入侵检测研究
3 n r t n[stt , aj gA rnui n s oa ts nvri , aj g 10 6, hn ) .If mai ntue N ni eoa tsadA t nui U ie t N ni 20 1 C i o o i n c r c s y n a
Ab ta t JAY N P o oe a b oma n a in mo eigmeh d a e n HMM ,u e te Ba m —w lh a- sr c :I I rp s n a n r liv so d l to sb sd o n s h u ec l
一
种 基 于 隐 马 尔可 夫 链 的 网络 入 侵 检 测研 究
徐 洪 丽 , 钱 旭 刘 绍 翰 。 ,
2 11; 7 0 8 20 1 10 6)
(. 1 山东农业大学 信息科学与工程学院 , 山东泰安 2 中国矿业大学 机电学 院, . 北京
10 8 ; .南京航空航天大学信息学院 , 003 3 南京
g rt o d e r o d l o i e tf h ta k r n e to oi hm fHi d n Ma k v Mo e t d n i t e a tc e  ̄i tn i n,gv n ag rt b u he c lu a in o y i e lo i hms a o t t ac l to fP
Ke o d : id nm ro o e; a m—w l ; bet efnt n b oma it s nd t t n yw r s H d e ak v m dl b u ec o j i u c o ;an r l nr i e ci h cv i u o e o
to aa s t.Th y tm s tse n e fr nc n l ss.a d c mp r d wih te s o ts se in d t e s e s se wa e td a d p ro ma e a a y i n oபைடு நூலகம்a e t h n r y t m.
基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法_李金铃
Abstract :T he packet field of w ireless lo cal area netw o rk ( WLAN ) medium acce ss cont ro l ( MAC ) lay er is taken fo r t he analy tical object o f de tecting intrusio n . A n int rusio n detection method o f WLAN M AC laye r is proposed based on the hidden M arkov mo del( H MM ) . A t hree lay ers f rame including console , server and agent s is given ; t he data of W LAN M AC layer is used to mo del t he H MM ; then t he normal data of WLAN is used t o t rain t he H MM and to memo rialize the norm al action o f WLAN . An int rusi on wi ll be det ected w hen the occuring probabilit y of a packet da ta o r a sequence o f packe t dat a i s sm aller t han a given threshold . Experim ent al result s show that the proposed method has low f alse posi tive rat e and missi ng repo rt rate w hen de tect ing the know n at tacks on W LAN MAC layers , and also detects unknow n at tacks . Keywords : w ireless local area ne tw ork ; intrusion detection ; hidden Ma rkov mo del 无线局域网( WL AN) 是计算机网络和 无线通 信技术相结合的产物 , 它避免了有线网络线缆对用 户的束缚 , 具有强有力的市场竞争力 , 发展迅速 , 但 同时也带来了很多的安全隐患 . 由于传输介质的公 开性 , 所以 WL AN 更容易受到攻击 , 不但会受到与 有线网络相同的 TCP/ IP 攻击 , 而且还会受到针对
使用隐马尔科夫模型进行网络攻击检测的技术指南(七)
隐马尔科夫模型(Hidden Markov Model, HMM)是一种常用于序列建模和预测的统计模型。
在网络安全领域,HMM被广泛应用于网络攻击检测和异常行为识别。
本文将介绍如何使用HMM进行网络攻击检测,并提供一份技术指南。
一、HMM简介HMM是一种基于状态转移的动态随机过程模型,它假设系统中存在不可观测的隐藏状态,而这些隐藏状态的转移和表现是可以被观测到的。
在网络攻击检测中,可以将网络流量视作一个随时间变化的序列,而HMM可以用来建模这个序列的状态转移和观测行为。
二、数据预处理在使用HMM进行网络攻击检测之前,首先需要进行数据预处理。
这包括数据收集、清洗和标记。
数据收集可以通过网络流量监测设备或软件来获取,而数据清洗则是指对收集到的数据进行去噪和去冗余处理。
最后,需要对清洗后的数据进行标记,将正常流量和攻击流量进行区分,以便后续的建模和训练。
三、模型建立建立HMM模型的关键是确定隐藏状态、状态转移概率和观测概率。
在网络攻击检测中,隐藏状态可以表示系统的安全状态,例如正常状态和受攻击状态。
状态转移概率表示系统从一个状态转移到另一个状态的概率,而观测概率则表示在每个状态下观测到不同行为的概率。
四、模型训练一旦建立了HMM模型的结构,接下来需要对模型进行训练。
训练过程包括估计模型的参数和调整模型的拓扑结构。
参数估计可以通过最大似然估计、Baum-Welch算法或EM算法来实现。
在训练过程中,需要使用已标记的数据来进行监督学习,以便模型能够准确地捕捉到正常和攻击行为的特征。
五、模型评估训练好的HMM模型需要进行评估,以验证其在网络攻击检测方面的性能。
评估过程可以通过交叉验证或留出法来进行。
在评估过程中,需要使用未见过的数据来进行测试,以便真实地反映模型的泛化能力和准确性。
六、实时检测一旦模型训练和评估完成,就可以将其应用于实时网络攻击检测中。
在实时检测过程中,需要输入实时的网络流量数据,然后利用训练好的模型来进行状态推断和异常行为识别。
使用隐马尔科夫模型进行网络攻击检测的技术指南(九)
隐马尔科夫模型(Hidden Markov Model, HMM)是一种在时间序列数据建模中广泛使用的统计模型。
它在许多领域都有应用,包括语音识别、自然语言处理、生物信息学等。
在网络安全领域,HMM也可以被用来进行网络攻击检测。
本文将介绍如何使用HMM进行网络攻击检测,并提供一些实用的技术指南。
HMM是一种统计模型,用来描述观测数据的概率分布。
它包括一个隐藏的马尔科夫链,以及一个与马尔科夫链相关联的观测序列。
在网络攻击检测中,可以将网络流量数据视为观测序列,而将网络攻击模式视为隐藏的马尔科夫链。
通过训练HMM模型,可以学习到正常的网络流量模式,并能够检测出异常的网络流量,从而识别出潜在的网络攻击。
在使用HMM进行网络攻击检测时,有几个关键的步骤是需要注意的。
首先是数据的预处理。
网络流量数据可能会包含大量的噪音,需要对数据进行清洗和预处理,以去除无关的信息,并提取出有用的特征。
其次是模型的训练。
在训练HMM模型时,需要准备标记好的训练数据,以及选择合适的模型参数和训练算法。
最后是模型的评估和调优。
训练好的模型需要进行评估,以验证其性能,并进行调优以提高检测准确率和降低误报率。
除了上述的基本步骤之外,还有一些技术指南可以帮助提高使用HMM进行网络攻击检测的效果。
首先是特征选择。
在网络流量数据中,可以选择不同的特征来描述网络流量的模式,比如数据包的大小、到达时间间隔等。
选择合适的特征可以提高模型的检测性能。
其次是模型的结构。
HMM模型的结构包括隐藏状态的个数、转移概率矩阵等,合理选择模型的结构可以提高模型的表达能力和泛化能力。
最后是模型的实时性。
在网络攻击检测中,需要及时地识别出网络攻击,因此模型的实时性也是一个重要的考量因素。
可以通过改进模型的算法和优化模型的参数来提高模型的实时性。
总的来说,HMM模型作为一种统计模型,在网络攻击检测中具有一定的潜力。
通过合理地选择特征、优化模型结构和提高模型的实时性,可以提高HMM模型在网络攻击检测中的效果。
基于隐马尔可夫模型的入侵检测方法
基于隐马尔可夫模型的入侵检测方法
赵婧;魏彬;罗鹏;杨晓元
【期刊名称】《四川大学学报(工程科学版)》
【年(卷),期】2016(048)001
【摘要】针对当前网络安全事件频发以及异常检测方法大多集中在对系统调用数据的建模研究上等问题,提出一种基于隐马尔可夫模型的入侵检测方法.该算法基于系统调用和函数返回地址链的联合信息来建立主机进程的隐马尔可夫模型.此外,针对常用训练方法存在的不足,设计了一种快速算法用以训练模型的各个参数.实验结果表明:基于系统调用和函数返回地址链的联合信息的引入能够有效区分进程的正常行为和异常行为,大幅度降低训练时间,取得了良好的运算效果.
【总页数】5页(P106-110)
【作者】赵婧;魏彬;罗鹏;杨晓元
【作者单位】西京学院控制工程学院,陕西西安710123;武警工程大学电子技术系,陕西西安710086;武警工程大学电子技术系,陕西西安710086;武警工程大学电子技术系,陕西西安710086
【正文语种】中文
【中图分类】TP393.08;TP183
【相关文献】
1.基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法 [J], 李金铃;周颢;赵保华
2.基于隐马尔可夫模型的网络入侵检测方法 [J], 杜旭;凌捷;罗雄昌
3.基于两层隐马尔可夫模型的入侵检测方法 [J], 周星;彭勤科;王静波
4.基于隐马尔可夫的系统入侵检测方法 [J], 睢丹;姚亚辉
5.基于隐马尔可夫模型的CTCS无线通信系统入侵检测分析 [J], 谢雨飞;田启川因版权原因,仅展示原文概要,查看原文内容请购买。
基于隐马尔科夫模型的电信网络入侵检测方法
P o, =ep - ( zl x ( ,, , ) f … 0) 2
Байду номын сангаас
结语
那 么, 最优 状态 估计 问 题也 就是
。,, … , ∞ I , l
结 果等 同于
认 为是 一个 正常 行为 。对于 门 限, 在还 没有 找到 一个 理论 上最 优的值 , 现 在本 文 的实验 中, 是通 过 设置 不 同 的值来 进 行 比较 得 到一 系 列的检 测 值 。 都
3 2 实验结 果 通过 实验 , 以看到 本文所 提 出的 H M B 检测 模型对 检 测未知 的新 型攻 可 M—P 击有较 好的效果。 表 1 常进程 的检 测 结果 正
H M B 检 测 攻数 i 百努 比 0的 百分 比 f隰 正常 率 N-P 的 1
i 02 2 15 07 5 87 O 6 , 09 .9
确 保在 每个 时刻 , 出一 个合 适 的状 态序 列使 得得 到相 应观 测 序列 的概 率 最 找 大 。通过这 种方 法, 以找到 一个 最好 的状 态序 列与观 测序 列相 匹配 , 以下 可 如 所 示
应用 技术
●I
基 于 隐 马 尔 科 夫 模 型 的 电信 网 络 入 侵 检 测 方 法
肖 隽 ’
(. 南大 学信 息工 程学 院 1江 江苏 无锡 24 2 : 2 宜 兴 电信 分 公司 江 苏 1 12 . 无锡 24 0 ) 12 0
[ 摘 要 ] 针对 电信 网络 中常用 异 常检测 算法 都 是用 单一 的方法 , 分布式 防火 墙通 过 硬判 决来 进行检 测 的所 带来 的缺 点, 文提 出 了一种 结合 隐 马尔科 夫 即 本 模 型和神 经 网络 (M — P 的入侵检 测技 术 。该模 型是 一种 双层 的 随机过 程, 过两 层 的随机 过程 , 以提炼 出一 些 比较重 要 的特征 和特 性 。然 后对这 些特 征和 HMB) 通 可 特 性, 使用 神 经 网络来 进行 软判 决, 病 实验表 明该方 法可 以提 高 电信 闷 络入 侵检 测 的性 能 。 [ 关键词 ] 分布式 防火 墙 电信 网络 :a k v 神 经 网络 入 侵检 测 Mro 中图 分类 号 :P 9 . 8 T3 30 文 献标 识码 : A 文章编 号 :0 9 9 4 ( 0 0 1 ~ 3 9 O 10 1X 2 1)2 00 l
基于改进隐马尔可夫模型的网络攻击检测方法
c n o mi g d g e s A i nfc n l mp o e e f r a c sa h e e e l a at ssc mp e t t e n may o f r n e r e . sg iia t i r v d p r o y m n e wa c v d i r a t e t o a d wi o ra o l i n d r h h
( 京理 工 大学 计算 机 系 ,江 苏 南 京 20 9 ) 南 10 4
摘
要 :提 出了一种基于改进 隐马尔可夫模 型的网络攻击检测 方法 。正常 的网络行 为符 合一定的语法规则 ,异常
的行 为会 偏离正常 的语法规 则 。通过对 正常行为样本 的学 习得到 的基于 隐马尔可夫模型 的语法可 以根据 网络行为 和语法 的符合 程度有效地检测 正常行为和攻击行 为 。在基 于现 实数据 的实验测试 中 ,得到 了比较好 的检测性能 。 关键词 :网络 安全; 网络攻击 ;入侵检测 ;隐马尔可夫模 型;语法推断 中图分类号 :T 3 3 P9 文献标识码 :B 文章 编号:1 0 —3 X(0 00 0 50 0 04 6 2 1)30 9 —7
1 引言
网络 服 务 器需 要被 互 联 网上 的任何 人访 问 ,大 量 的 网络应 用 服 务 的开 发者对 安 全 意识 的缺 失 ,致 使 网络服 务 存在 大量 的漏 洞 ,网络 服 务器 也 成 了黑 客 攻击 的主 要 目标 。最 新 的 C VE漏洞 趋势 报告 I显 l J
( e at n o p tr c n e N nigUnv r t f c n e n eh oo y N nig 10 4 C ia D pr me t f m ue i c , a j ies y i c dT c n lg , a j 0 9 , hn ) oC S e n i oSe a n2
基于隐马尔可夫模型的网络入侵检测方法
i 0,, , T为 时 问 长 度 = 1 … T一1 初 始 概 率矢 量 : 如 ( ) 。 2式
()( s{ 一X =,= ( m X s Ⅳ, PX += X , s P X +=sl ) : , )
Vm, N 则 X具有 马尔可夫属性 。我们主要讨论 当 k 时 , k =1
观察值集合 :
() 3 () 4
统, 采用一种基于 隐马尔可夫模型 的异常检测技术 , 进行 了实 并 验, 结果 表 明, 方法 能有 效 地提 高检 测效 率 , 善 系统 的误 该 改
报率 。
V={ , , , 一1 0 1… M } l l M =
状态 的转 移概 率 : ( ) 。 A如 1 式 观察值概率矩 阵 :
Mo esa e e t b i e . h o g h ee t n o e d t a k g s t e d t cin r s l o e s se i o ti e . e e p r n a aa i d — d l r sa l h d T ru h t e d tc i ft aa p c a e ,h ee t e u t ft y tm s b a n d Th x e i s o h o h me tld t i n c tst a h smeh d c n i rv e a o l ee t n r t f c iey a d i au b e t n r so ee t n ae t i t o a mp o e t n may d tc i a e ef t l n sv l a l o i t in d tci . h t h o e v u o Ke wo d y rs Hid n Ma k v I t s n d t cin An may d tcin d e r o nr i e e t u o o o l ee t o
使用隐马尔科夫模型进行网络攻击检测的技术指南(六)
使用隐马尔科夫模型进行网络攻击检测的技术指南随着互联网的普及和发展,网络攻击也日益猖獗,给网络安全带来了巨大的挑战。
为了有效地防范网络攻击,研究人员和安全专家不断探索和应用各种技术手段。
其中,隐马尔科夫模型(Hidden Markov Model,HMM)作为一种强大的统计模型,在网络安全领域得到了广泛的应用。
本文将探讨使用隐马尔科夫模型进行网络攻击检测的技术指南。
一、隐马尔科夫模型简介隐马尔科夫模型是一种描述动态系统的数学模型,它由一个状态序列和一个观测序列组成。
在隐马尔科夫模型中,系统的状态是不可见的,只能通过观测序列来推测。
隐马尔科夫模型在序列数据的建模和分析中具有很强的能力,因此在网络攻击检测中具有很大的潜力。
二、隐马尔科夫模型在网络攻击检测中的应用隐马尔科夫模型在网络攻击检测中的应用主要体现在两个方面:模式识别和异常检测。
在模式识别方面,隐马尔科夫模型可以用来建模正常的网络流量模式,对比实时的网络流量数据,从而及时发现异常行为。
在异常检测方面,隐马尔科夫模型可以利用历史数据训练出模型,然后用来检测实时数据中的异常行为。
三、构建隐马尔科夫模型的关键步骤构建隐马尔科夫模型用于网络攻击检测的关键步骤包括:选择观测序列、确定状态空间、选择模型参数、训练模型和应用模型。
首先,需要选择适当的观测序列,即网络数据中用来进行分析和建模的特征。
其次,确定状态空间,即描述系统可能处于的各种状态。
接着,选择模型参数,包括状态转移概率和观测概率。
然后,利用历史数据对模型进行训练。
最后,将训练好的模型应用到实际的网络流量数据中,进行网络攻击检测。
四、隐马尔科夫模型的优势和局限隐马尔科夫模型在网络攻击检测中具有一些优势,如对序列数据具有很强的建模能力,能够发现一些隐蔽性较强的网络攻击行为。
但是,隐马尔科夫模型也存在一些局限性,如对数据的要求较高,需要大量的训练数据来建立准确的模型,并且对模型参数的选择和调整也需要一定的专业知识。
基于隐马尔科夫模型的入侵检测系统研究
第一次握手 : 客户端发送一个 S N位为 1 T P连接请求数据包至服务器 , Y 的 C 客户端进人 S N S N Y — E D状
态;
第 二次 握手 : 务 器在 接 收到 客户 端 发来 的 S N请 求包 后 , 过发 送 S N位 与 A K位 均 为 1的 T P 服 Y 通 Y C C
() 2
∑ (卢( ) )
y()=尸 g (t=s 1 , )= i 0a
‘ 3
()的含义是在给定隐马尔科夫模 型 A与观察值序列 0的前提下 , i 在时刻 t 的状态为 S 的概率 , 根据 定 义将 (√ i )和 ()进行 合并 后 , 出( ) i 得 4 式
( )=∑o )  ̄ , t (
() 4
() b 利用前 面定 义 的变量 (,) i 和 () 即可 得 出状 态 转移 矩 阵 A的优化 算法 , i, 具体 推 导算法 如下 式
A 一 P D l V ( s ) 一 —
: :
T -1
∑y 一∑ ∑ ( ) +() ) ( ( D )
应答包给客户端 , 回应客户端的请求. 服务器进入 S N R C Y — E V状态 ; 第三次握手 : 客户端在接收到来 自于服务器 的 A K的应答包后 , C 客户端发送 S N位为 0 A K位为 1 Y 、C 的 T P应答包给服务器 , C 此时服务器与客户端都进入 了 E T B IH D状态 , S A LS E 三次握手完成 ;
第3 期
钟
锐
基于隐马尔科夫模型的人侵检测系统研究
6 1
概率 , 同时还需要对服务器与客户端的状态转移概率进行描述. 马尔科夫模型只能用于描述事件的状态转移
基于隐马尔科夫模型和神经网络的入侵检测研究
基于隐马尔科夫模型和神经网络的入侵检测研究闫新娟;谭敏生;严亚周;吕明娥【期刊名称】《计算机应用与软件》【年(卷),期】2012(29)2【摘要】针对目前的基于隐马尔科夫模型的入侵检测和基于神经网络入侵检测各自的不足之处,提出一种基于隐马尔科夫模型和神经网络的混合入侵检测方法.主要是从网络协议的角度入手,把TCP数据包作为分析对象,给出一种确定观察值的方法,把隐马尔科夫模型的输出作为神经网络的输入,神经网络的输出是最终的结果.最后通过实验证明了此混合入侵检测方法比单独使用隐马尔科夫模型或者是单独使用神经网络的检测方法有更低的误报率和漏报率.%Based on the disadvantages of intrusion detections based on Hidden Markov model and on neural network respectively, this paper proposed a hybrid of intrusion detection with the combination of the above two ways. It commences from the point of view of network protocol and takes TCP data packet as the analytic object, gives a kind of method of observation determination, the output of hidden Markov model is used as the input of neural network, and the neural network output is our final result. At last the experiments revealed that this hybrid intrusion detection method reaches a lower false alarm rate and missing rate than the method using either hidden Markov model or neural network alone.【总页数】4页(P294-297)【作者】闫新娟;谭敏生;严亚周;吕明娥【作者单位】南华大学湖南衡阳421002;南华大学湖南衡阳421002;湖南工学院湖南衡阳421002;湖南工学院湖南衡阳421002【正文语种】中文【中图分类】TP393【相关文献】1.基于隐马尔科夫模型的入侵检测系统研究 [J], 钟锐2.基于隐马尔科夫模型的无线传感网络入侵检测系统设计与性能分析 [J], 邓小明3.基于层次隐马尔科夫模型和变长语义模式的入侵检测方法 [J], 段雪涛;贾春福;刘春波4.基于隐马尔科夫模型的资源滥用行为检测研究 [J], 章文明; 王以群5.基于隐马尔科夫模型的无线传感网络入侵检测系统设计与性能分析 [J], 邓小明因版权原因,仅展示原文概要,查看原文内容请购买。
一种基于隐马尔可夫链的网络入侵检测研究
山东农业大学学报(自然科学版),2008,39(2):648-652Journal of Shandong Agricultural University (Natural Science ) 一种基于隐马尔可夫链的网络入侵检测研究徐洪丽13,钱 旭2,刘绍翰3(1.山东农业大学信息科学与工程学院,山东泰安 271018;2.中国矿业大学机电学院,北京 100083;3.南京航空航天大学信息学院,南京210016)摘要:提出了一种基于HMM 的网络异常入侵建模方法,使用隐马尔可夫模型中的Bau m -welch 算法识别攻击者攻击意图,给出了计算P (O |λ)和阈值的算法。
仿真实验数据基于林肯实验室提供的入侵检测数据集,对系统进行了测试与性能分析,并与Snort 系统比较,具有一定的应用价值。
关键词:隐马尔可夫;Bau m -welch 算法;阈 值;异常检测中图分类号:T N914 文献标识码:A 文章编号:1000-2324(2008)04-0648-05收稿日期:2006-07-27作者简介:徐洪丽(1976-),女,硕士,助教,研究方向为计算机应用。
3通讯作者:Author for corres pondence .E -mail:XHLmail ool@.THE RESEARCH ABO UT NET WO RK I NTRUS I O N D ETECT I O N BASED O N THE H MMXU Hong -li 1,Q I A N Xu 2,L I U Shao -han3(1.I nfor mati on I nstitute ,Shandong Agricultural University,Taian 271018,China;2.School of Mechanical Electr onic &I nfor mati on Engineering,China University ofM ining &Technol ogy,Beijing 100083China;3.I nf or mati on I nstitute ,Nanjing Aer onautics and A str onautics University,Nanjing 210016,China )Abstract:J I A YI N Pr opose an abnor mal invasi on modeling methods based on H MM ,use the Baum -welch al 2gorithm of H idden Markov Model t o identify the attacker’s intenti on,given algorith m s about the calculati on of P (O |λ)and the threshold value .The experi m ental data is p r ovided by the L incoln Laborat ory intrusi on detec 2ti on data sets .The syste m was tested and perf or mance analysis,and compared with the snort syste m.Key words:H idden markov model;bau m -welch;objective functi on;abnor mal intrusi on detecti on0前言异常检测(基于统计的入侵检测)技术是目前入侵检测系统(I D S,intrusi on detecti on syste m )研究的主要方向,异常入侵检测假设任何一种行为都能由于其偏离正常或者所期望的系统和用户的活动规律而被检测出来,因此这种检测技术建立系统或用户的正常行为模式,通过被监测系统或用户的实际行为模式和正常模式之间的比较和匹配来检测入侵[1],其特点是不需要过多有关系统缺陷的知识,具有较强的适应性,并且能够检测出未知的入侵模式。
基于隐马尔可夫模型的网络入侵检测
基于隐马尔可夫模型的网络入侵检测
潘秋羽
【期刊名称】《信息安全与技术》
【年(卷),期】2018(009)004
【摘要】随着互联网科技的进一步革命,在它给我们带来大量便利的同时,其引发的安全问题也一直让众多用户感到头疼.基于此,考虑到隐马模型(Hidden Markov Model,HMM)具有的模型理论透彻、算法成熟、分类器学习性能高等优点,很多学者都曾研究过基于HMM的主机入侵检测.常规的方法是以系统调用作为模型观测值,以程序中出现的系统调用总数作为模型状态数.但由于训练分类器的观测序列过长会导致模型参数不易收敛等问题.文章将提出一种基于数据为特征的网络入侵检测方式.
【总页数】4页(P65-68)
【作者】潘秋羽
【作者单位】西安工程大学计算机科学学院,陕西西安 710048
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.一种基于隐马尔可夫链的网络入侵检测研究 [J], 徐洪丽;钱旭;刘绍翰
2.基于隐马尔可夫模型的双链马尔可夫模型 [J], 陈琦;吾拉木江·艾则孜;申建新;胡锡健
3.基于高斯混合-隐马尔可夫模型的速差转向履带车辆横向控制驾驶员模型 [J], 王博洋;龚建伟;高天云;陈慧岩;席军强
4.基于隐马尔可夫模型的网络入侵检测方法 [J], 杜旭;凌捷;罗雄昌
5.基于隐马尔可夫模型的网络入侵检测 [J], 潘秋羽;
因版权原因,仅展示原文概要,查看原文内容请购买。
隐马尔可夫模型应用于入侵检测系统的研究
本文提 出了一种基 于 隐马 尔可夫模 型 的异 常检 测新 方 法—— 隐马 尔可夫 状 态时 延序 列嵌 入 法 ( MMTd ) H ie 。这种方 法的主要思想是用 H MM模 型的隐含状 态序 列的局部模型 , 即隐马 尔可 夫状 态短序 列, 实现对正常行 为的特征的刻画。通过对被 测行 为产生 的隐马 尔科 夫状 态序 列局部模 式与 已建立的 正常模 型进行 比较 实现异常检测。该方法具有从 不完整 的数 据 中进行 异常 分析 的 能力, 少了对 系统 减 资源的需求。对 HMMTd ie方法进行 了仿真实验 , 实验 结果表 明采 用 HMM 方法后 , 虚警率 大大降低 了, 而且在 构建正常行 为特征库 时, 对数据 完整性的要求也 大大降低 了。
蹬 鼷 入侵 异常 隐马尔 模型 翻圈 检测 检测 可夫 状态 序列
A b t a t No d y h ntu in ee to y tm i a i ge t h le g s, i i h sr c wa a s t e i r so s d tc in s se s f cng r a c al n e n wh c mo e a r r nd mo e
郭 爱章 ’ 王新刚 姜雪松
JA ING X e—sn u og
G, A (0 —za g WA n—g , 检 统 临 大 战, 越复 的 机网 统, 越 明的 侵手 要 入 在 侵 测系 面 着巨 挑 越来 杂 计算 络系 越来 高 入 段 求 侵检
c mpi ae o u e e w r y tm d w s ritu in me n q i st ei t s n d tci n tc nq e t v o l t d c mp trn t o k s s c e a ie r so a sr u r nr i ee t h i u mo e n n e e h u o o e o f r a d r p d y n t i s me tt a h dv r i c t n o w r a il ,a d i n t s u r n o r c ie sf ai . e i o
基于改进隐马尔可夫模型的无线通信网络入侵检测方法
基于改进隐马尔可夫模型的无线通信网络入侵检测方法
赵齐
【期刊名称】《长江信息通信》
【年(卷),期】2024(37)2
【摘要】传统的入侵检测方法对网络环境复杂性和数据流特征的变化容易受到影响,导致效果不佳。
文章提出了一种基于改进隐马尔可夫模型的无线通信网络入侵检测方法。
引入异常状态转移概率矩阵和动态阈值策略,从而提高入侵检测的准确性和鲁棒性。
另外,本文还针对现有模型在处理大量数据时的计算复杂度问题,提出了分组渐进压缩的方法,有效提高检测效率。
分析实验结果可知,所提出的方法在无线通信网络中具有较好的入侵检测效果,能够有效地识别恶意攻击并降低误报率。
【总页数】3页(P56-58)
【作者】赵齐
【作者单位】郑州西亚斯学院数字技术产业学院
【正文语种】中文
【中图分类】TP378
【相关文献】
1.基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法
2.基于隐马尔科夫模型的无线传感网络入侵检测系统设计与性能分析
3.基于隐马尔可夫模型的CTCS无线通信系统入侵检测分析
4.基于隐马尔可夫模型的无线传感网络入侵检测系统
因版权原因,仅展示原文概要,查看原文内容请购买。
基于隐马尔可夫的系统入侵检测方法.kdh
邮局订阅号:82-946360元/年技术创新信息安全《PLC技术应用200例》您的论文得到两院院士关注1引言入侵检测技术是通过对计算机系统中的一些行为信息进行分析来检测出对系统的入侵。
入侵检测系统作为一种重要的网络安全防卫系统,现已成为计算机与网络安全研究的热点。
按照检测方法,入侵检测可以分为两类:误用检测(misusedetection)和异常检测(anomalydetection)。
(1)误用检测:收集非正常操作的作为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
(2)异常检测:先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测需要已知入侵的行为模式,所以不能检测未知的入侵。
异常检测则可以检测未知的入侵。
基于异常检测的入侵检测首先要构建用户正常行为的统计模型,然后将当前行为与正常行为特征相比较来检测入侵。
大部分基于主机的入侵检测系统,都是通过以系统调用作为研究对象来建立正常的程序行为模型,从而实现入侵检测的。
这些方法包括短序列匹配、数据挖掘、非负矩阵分解、主成分分析等。
隐马尔可夫模型(HMM)可以跟踪系统调用中隐含的状态转移特性,因此利用它会有较好的检测效果。
但是传统的基于HMM的入侵检测方法需分别计算每个系统调用的输出概率和状态转移概率,在实际的运行环境中,计算量比较大,本文通过计算系统调用的短序列输出概率,提出一种基于HMM的入侵检测新方法,通过实验可以发现此算法需要的空间小,算法简单,检测的准确率比较高,检测效果有大幅度提高。
2隐马尔可夫模型系统结构及概述2.1隐马尔可夫模型系统基于的入侵检测系统主要有审计数据预处理、过滤器和基于HMM的分类器三部分组成,如下图所示:审计数据预处理器负责将原始审计记录转变为分析引擎可以接受的标准格式。
过滤器负责决定哪些审计事件是适合系统的、哪些审计数据字段对系统分析来说是充分有用的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于隐马尔可夫模型的入侵检测方法赵婧,魏彬,罗鹏摘要:针对当前网络安全事件频发以及异常检测方法大多集中在对系统调用数据的建模研究上等问题,提出一种基于隐马尔可夫模型的入侵检测方法。
该算法基于系统调用和函数返回地址链的联合信息来建立主机进程的隐马尔可夫模型。
此外,针对常用训练方法存在的不足,设计了一种快速算法用以训练模型的各个参数。
实验结果表明:基于系统调用和函数返回地址链的联合信息的引入能够有效区分进程的正常行为和异常行为,大幅度降低训练时间,取得了良好的运算效果。
关键词:入侵检测;隐马尔可夫模型;系统调用序列入侵检测作为一种网络安全防卫技术,可以有效地发现来自外部或内部的非法入侵,因此针对入侵检测算法的研究具有重要的理论和很强的实际应用价值。
基于动态调用序列对系统的入侵行为进行发掘是入侵检测领域主要的检测方法之一。
自Forrest在1996年首次提出使用系统调用进行异常检测的思路和方法以来,有很多基于此的改进算法被提出。
文献提出一种基于频率特征向量的系统调用入侵检测方法,将正常系统调用序列抽取出的子序列的频率特征转换为频率特征向量。
文献提出基于枚举序列、隐马尔科夫2种方法建立系统行为的层次化模型。
然而,这类方法在误报率以及漏报率方面仍与实际需求有着一定的差距。
此外,由于隐马尔可夫模型(hiddenmarkovmodel,HMM)是一种描述离散时间内观察数据非常强大的统计工具,因此在基于主机的入侵检测研究中,HMM方法是目前重要的研究方向之一。
美国新墨西哥大学的Warrender等首次于1999年在IEEESymposiumonSecurityandPrivacy 会议上提出将HMM应用于基于系统调用的入侵检测中。
2002年,Qiao等提出使用HMM对系统调用序列进行建模,利用TIDE方法划分状态序列的短序列,建立正常数据的状态短序列库来进行检测。
2003年,Cho等提出用HMM对关键的系统调用序列进行建模。
文献设计了一种双层HMM模型进行入侵检测,而其中所用到的训练方法存在局部最优以及时间效率较低等问题限制了其在实际中的应用。
文献依据在网络数据包中发现的频繁情节,设计了基于HMM的误用检测模型。
文献设计了一种基于节点生长马氏距离K均值和HMM的网络入侵检测方法。
近些年,针对此方面的研究热度依然不减。
然而,从目前的研究情况看,虽然基于隐马尔可夫模型的入侵检测技术能取得较好的检测效果,但是也存在着如下几个问题:1)基于HMM的入侵检测技术主要集中在对主机的命令序列或者系统调用序列进行建模,单一的数据源提供的信息较少,因此检测效果仍然不够理想。
2)在线学习问题,隐马尔可夫模型的建立需要消耗大量的时间和空间对参数进行调整学习,这导致了HMM难以得到有效的利用。
综上所述,为克服现有模型算法所存在的问题,提出一种新的基于系统调用和进程堆栈信息的HMM入侵检测方法,该方法的主要思想是将系统调用和函数返回地址信息作为检测数据源,并利用HMM来构建主机特权进程的正常行为模型。
其次,针对经典模型训练法存在局部最优且算法的复杂度较高等问题,设计一个更为简单的训练算法来计算HMM的参数,进而提升算法效率。
最后,设计了附加观察值和附加状态等参数,用以消除非完备的数据以及零概率对模型的影响。
1、隐马尔可夫模型马尔可夫模型中的每个状态都与一个具体的观察事件相互对应,但实际问题可能会比Markov链模型所描述的情况更复杂,人们所能观察到的事件一般情况下并不是与状态完全一致对应的,而是通过概率相联系,这样的模型称为HMM。
HMM是由马尔可夫过程扩充改变而形成的一种随机模型算法,它的基本理论是由数学家Baum在20世纪60年代后期建立起来的。
该方法最早在20世纪70年代应用于语音处理领域,而在20世纪80年代逐渐广泛应用于文本处理等各个领域中。
20世纪90年代初以来,HMM及其各种推广形式开始被用于图像信号处理以及视频信号处理等领域。
HMM的状态不能够直接观察到,而是可以通过观测向量序列得到,每个观测向量都是由概率密度分布表现为不同的状态,因此其是具有一定状态数的隐马尔科夫链和显示随机函数集。
而其在应用过程中需要解决3个基本问题:对于给定的一个观察序列O={O1,O2,…,OT}和一个HMM参数λ=(π,A,B),有:1)评估问题,2)解码问题,3)训练问题。
2、基于HMM入侵检测方法2.1模型的参数定义系统调用和函数返回地址反映了程序执行时系统内核层的服务行为。
系统调用信息是进程对资源的请求,它从一定程度上反映了进程行为的变化过程。
而层层嵌套的函数返回地址则反映了系统调用对内核资源请求的过程。
把函数返回地址的序列称为函数调用链,它代表了一个系统调用产生时完整的函数调用的路径。
假设函数f()是函数main()的一个子函数且被main()调用,且函数f()直接调用某个系统调用,则该调用对应的一条函数链为A={a1,a2},其中,a1为函数main()的返回地址,a2为函数f()的返回地址。
系统调用与函数调用链的联合信息能够比仅仅使用系统调用信息更加有效、精确地描述进程的行为,因此,采用系统调用和函数调用链来构建正常进程的隐马尔可夫模型。
HMM是一种双重随机过程,能够有效地刻画离散事件之间的转移特性。
传统的基于HMM的入侵检测方法中,系统调用是HMM的观察符号,HMM的观察序列是程序运行时的系统调用序列,而隐状态是不可见的。
隐状态在模型中没有具体的意义,一般选择不同类型系统调用的个数作为HMM中隐状态的个数。
在提出的HMM方法中,系统调用作为HMM的隐状态,而系统调用产生时对应的函数调用链作为HMM的观察值。
那么,隐马尔可夫模型的参数可以定义如下:1)N,模型的隐状态个数。
定义隐状态集合为S={S1,S2,…,SN},qt为t时刻HMM 所处的状态。
对于某个特权进程,模型的隐状态集合即为进程所有可能出现的不同类型的系统调用组成的集合,该集合中系统调用的个数即为隐状态的个数。
2)M,模型的观察值个数。
定义观察值集合为V={v1,v2,…,vM},Ot为t时刻HMM输出的观察值。
对于某个特权进程,模型的观察值集合即为进程所有可能出现的不同的函数调用链组成的集合,该集合中函数链的个数即为观察值个数。
3)状态转移概率矩阵A={aij},其中,aij=P(qt+1=Sj|qt=Si),1i,j N,表示当前状态(系统调用)为Sj且下一个状态(系统调用)为Si的概率值。
该状态转移矩阵描述了系统调用之间的一步转移概率。
4)输出概率矩阵B={bj(k)},其中,bj(k)=P(Ot=vk|qt=Sj),1j N,1k M,表示当前状态(系调用)为Sj时,对应的观察值(函数调用链)为vk的概率值。
如果概率值为0,则表示进程执行时,进程不可能通过执行函数路径vk得到当前系统调用Sj。
5)初始概率矩阵π={πi},其中,πi=P(q1=Si),1i N,表示在初始时刻处于状态(系统调用)Si的概率值。
根据上面的参数定义,可以得到关于进程系统调用和堆栈信息的隐马尔可夫模型λ=(π,A,B)。
2.2模型的训练隐马尔可夫模型的训练算法是基于HMM的入侵检测应用的关键问题。
经典的训练方法Baum-Welch算法是一种迭代算法,它利用前向后向概率来解决参数估计问题。
但是BW算法是一种局部最优算法而且算法的复杂度较高,需要消耗大量的时间进行训练,这些缺点影响了HMM的检测效果和实用性。
在提出的方法中,系统调用是作为模型的状态出现的,它对于整个模型是可见的。
因此,可以利用一个更为简单的训练算法来计算HMM的参数。
给定某个特权进程的一条系统调用序列和相应的函数调用链序列对HMM进行训练。
假设进程的函数调用链序列为O={O1,O2,…,OT},系统调用序列为Q={q1,q2,…qT},其中,Ot为进程执行系统调用qt时对应执行的函数调用链。
HMM模型λ=(π,A,B)的各参数可由如下公式计算得到:aij=NijNi*(1)πi=NiNto(2)bj(k)=MjkMj*(3)其中:Nij为训练进程中当前时刻t的状态qt为Si,下一时刻t+1的状态qt+1为Sj的个数;Ni*为训练进程中当前时刻的t状态qt为Si,下一时刻t+1的状态qt+1为S={S1,S2,…,SN}中任一系统调用的个数;Ni 为训练进程中当前时刻t的状态qt为系统调用Si的个数;Nto为训练进程中系统调用的总个数;Mjk为训练进程中当前时刻t的状态qt为系统调用Sj时,观察符号Ot为函数调用链Vk 的个数;Mj*为训练进程中当前时刻t的状态qt为系统调用Sj时,观察符号Ot为V={v1,v2,…,vM}中任一函数调用链的个数。
由于完备的训练数据是很难获得的,因此在实际检测中有可能出现之前在训练数据集中未曾学习到的系统调用或者函数调用链;另外当服务进程遭受入侵时,也会产生一系列未曾在训练数据中出现过的系统调用或函数调用链。
考虑到以上因素,引入一个附加观察值vM+1和附加状态SN+1来表示这些没有出现过的观察值和状态。
在隐马尔可夫模型中,参数定义如下:πSN+1=10-6,aSN+1Sj=aSiSN+1=10-6,bj(VM+1)=10-6,i N,1j M。
为了避免检测时出现概率值为零的情况,在状态转移矩阵A和初始概率分布π中为零者,也赋予一个固定的小概率值10-6。
2.3异常检测基于正常程序行为的HMM训练完成以后,在实验中,以每个进程作为研究对象,检测某个进程是否正常。
因此,给定一组包含系统调用和函数调用链的数据,首先按照进程号对它们进行分组,然后将每个进程产生的系统调用和函数调用链作为一组进行检测。
在实际的异常检测中,长度为L的滑动窗用以对上述数据进行分割,其中步距为1。
利用正常数据训练得到的HMM参数模型λ=(π,A,B),对于给定的一条函数调用链序列X={Ot-L+1,…,Ot}(该函数链对应的系统调用序列为Y={qt-L+1,…,qt}),可以按如下公式计算它出现的概率:P(X|λ)=πqt-L+1bqt-L+1(Ot-L+1)Πt-1i=t-L+1aqiqi+1bqi+1(Oi+1)(4)此外,文中将异常度δ定义为如下的形式:δ=NNCNTS(5)其中:NNC为不匹配短序列数,定义为输出概率小于初始设定阈值数目;NTS为测试进程中的总的短序列数。
在实验中将求得的异常度与实验中不断调整得到的阈值δh进行比较,如果异常度大于该阈值,就认为产生此测试序列的进程可能为异常;否则认为是正常。
3、实验结果与分析3.1实验数据实验数据由在RedhatLinux7.2上跟踪Ftp和SambaHttpd特权进程所获得,并将其分为训练以及测试2个部分。