基于馬爾柯夫鏈的入侵檢測方法研究.pdf

1、入侵檢測技術(shù)是現(xiàn)代計(jì)算機(jī)系統(tǒng)安全技術(shù)中的重要組成部分,并且是當(dāng)前的研究熱點(diǎn).目前,絕二大多數(shù)入侵行為都通過攻擊特權(quán)進(jìn)程來破壞計(jì)算機(jī)系統(tǒng)的安全性.特權(quán)進(jìn)程通常完成特定的、有限的行為,所以其行為在時(shí)間上和空間上比其他用戶程序要更穩(wěn)定.一定的系統(tǒng)調(diào)用排列應(yīng)對(duì)應(yīng)一定的程序功能,即程序行為的局部規(guī)律性應(yīng)很強(qiáng).并且入侵行為應(yīng)具有某種功能行為特性,即系統(tǒng)調(diào)用序列應(yīng)具有特定順序排列.對(duì)每一個(gè)系統(tǒng)調(diào)用賦予一個(gè)數(shù)值,則可以將系統(tǒng)調(diào)用序列看作是一個(gè)時(shí)間序列.

2、因此,可以用數(shù)字信號(hào)處理與時(shí)間序列分析的方法來處理,對(duì)入侵和正常兩種信號(hào)進(jìn)行分類.這樣,可以從短系統(tǒng)調(diào)用序列所要完成具體功能的確定性來提取局部特征;通過對(duì)進(jìn)程的運(yùn)行過程進(jìn)行觀察,利用隨機(jī)過程的知識(shí)建立隨機(jī)模型來描述系統(tǒng)調(diào)用序列(進(jìn)程)的整體行為.本文提出了基于線性預(yù)測與馬爾科夫模型相結(jié)合的入侵檢測方法.首先提取特權(quán)進(jìn)程的行為特征,引入時(shí)間序列分析技術(shù)——用線性預(yù)測技術(shù)對(duì)特權(quán)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用序列提取特征向量來建立正常特征庫,并在此基礎(chǔ)上