基于馬爾可夫鏈模型的異常入侵檢測(cè)方法研究.pdf

1、在異常檢測(cè)中,觀察到的不是已知的入侵行為,而是所研究的通信過程中的異?，F(xiàn)象,它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。在建立異常檢測(cè)模型之前,首先必須建立統(tǒng)計(jì)概率模型,明確所觀察對(duì)象的正常情況,然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！焙腿绾巫龀鼍唧w決策。馬爾可夫鏈模型是應(yīng)用在異常入侵檢測(cè)的重要的統(tǒng)計(jì)分析方法之一,目前在這方面的研究很多,但是或多或少存在不同程度的缺陷。
　　本文綜述了入侵檢測(cè)技術(shù),詳細(xì)介紹了異常入侵檢測(cè)、系統(tǒng)調(diào)

2、用、特權(quán)進(jìn)程等本文所需的相關(guān)內(nèi)容。然后對(duì)目前已有的基于馬爾可夫鏈模型的異常入侵檢測(cè)方法進(jìn)行深入研究,發(fā)現(xiàn):在異常入侵檢測(cè)中,單步馬爾可夫鏈模型較簡(jiǎn)單,并且對(duì)于系統(tǒng)調(diào)用序列其并不能嚴(yán)格成立,尤其是在滑動(dòng)窗口選取比較大的情況下;多步馬爾可夫鏈模型,在存儲(chǔ)和計(jì)算兩方面都較大;隱馬爾可夫鏈模型的參數(shù)計(jì)算復(fù)雜,而且隨著數(shù)據(jù)的更新,參數(shù)也需要更新、計(jì)算。因此,本文提出了一種基于馬爾可夫鏈模型的異常入侵檢測(cè)的新方法,并利用新墨西哥大學(xué)提供的數(shù)據(jù)對(duì)其進(jìn)

3、行實(shí)驗(yàn)和結(jié)果分析。
　　本文提出的基于馬爾可夫鏈模型的異常入侵檢測(cè)方法,首先,建立馬爾可夫鏈模型;其次,在模型基礎(chǔ)之上對(duì)檢測(cè)的數(shù)據(jù)進(jìn)行分析檢測(cè):利用單步馬爾可夫鏈兩種不同的序列分析檢測(cè)方法對(duì)檢測(cè)數(shù)據(jù)計(jì)算產(chǎn)生兩種概率序列,然后對(duì)概率序列使用滑動(dòng)窗口分析方法,對(duì)分割的每個(gè)概率序列利用特殊公式進(jìn)行計(jì)算產(chǎn)生判定值;最后,分析這兩種判定值曲線,利用判定值對(duì)正常數(shù)據(jù)和異常數(shù)據(jù)進(jìn)行判定;同時(shí),通過對(duì)判定值的分析,設(shè)置合理的閾值,利用閾值再次對(duì)正