论文部分内容阅读
异常检测作为入侵检测的一个分支,越来越受到人们的重视。大部分入侵检测系统对于内部攻击的检测效率很低。内部攻击者比外部攻击者会对系统造成更大破坏,而且其行为更难捕捉。对用户的行为建模是一种有效的检测恶意攻击的方法。随着假冒入侵行为的出现,任何新的异常行为模式都应该通过用户命令行数据被观察到,越早发现越好。 尽管利用UNIX用户命令行数据的异常检测技术在很久前就被认为是弥补误用检测和使用程序数据的异常检测技术缺陷的有力途径。但由于其低精确率和相对过高的误警率,迟迟没有得到广泛应用。在本文中,我们论证了机器学习领域的一种方法SVM(支持向量机)是一种更有效的用户行为异常检测方法。 论文首先分析了入侵检测技术。着重分析异常检测的发展和目前待解决的难题。分析了UNIX系统shell命令的特点及支持向量机分类方法的相关理论。深入分析了支持向量机理论应用于异常检测系统中的可行性,简要介绍了与本文相关的其它用户行为检测的研究,指出其中的可取之外与不足。 然后,为提高基于SVM组合多类分类器的性能,本文提出了一种基于One-ClassSVM对正常用户行为进行建模的方法,通过UNIX用户命令序列来区分正常用户行为和假冒正常用户的入侵者行为或者正常用户的误用行为。从每个用户中选取一些shell命令行数据作为训练数据,剩余的用于和非本用户的数据混合进行测试。然后,我们通过不同的特征提取方法得到的不同的输入数据进行实验。 接着详细设计了从用户shell命令中提取特征的过程,通过多组对比实验发现更适合用户行为特征分类的特征提取方法。并通过对shell命令行反复实验和详细研究UNIX系统shell命令的特点,把命令流中的原符号按照用户行为的特点归并同类,通过这一措施使原来1936维的高维特征向量最终降为135维的特征向量数据。提高了用户行为分类的效率。得出了通过分类来降维的方法,同时产生了用于UNIX用户行为特征提取的基本可参考方案。 当发现每个用户的行为模型都对其它用户行为有很高的误接收率时,我们引入了会话内的投票机制来消除这一不足,并使实验整体的正确检测率大幅度提高,与以往其它方法的实验相比得到更令人满意的结果。 然后,通过使用不同参数的提取特征的方法得到特征向量作为实验数据重复对比实验,通过对实验结果的分析,做出对不同特征提取方法的评价。