基于支持向量機(jī)的用戶行為異常檢測(cè)方法研究.pdf

1、異常檢測(cè)作為入侵檢測(cè)的一個(gè)分支，越來越受到人們的重視。大部分入侵檢測(cè)系統(tǒng)對(duì)于內(nèi)部攻擊的檢測(cè)效率很低。內(nèi)部攻擊者比外部攻擊者會(huì)對(duì)系統(tǒng)造成更大破壞，而且其行為更難捕捉。對(duì)用戶的行為建模是一種有效的檢測(cè)惡意攻擊的方法。隨著假冒入侵行為的出現(xiàn)，任何新的異常行為模式都應(yīng)該通過用戶命令行數(shù)據(jù)被觀察到，越早發(fā)現(xiàn)越好。
　　盡管利用UNIX用戶命令行數(shù)據(jù)的異常檢測(cè)技術(shù)在很久前就被認(rèn)為是彌補(bǔ)誤用檢測(cè)和使用程序數(shù)據(jù)的異常檢測(cè)技術(shù)缺陷的有力途徑。但由于

2、其低精確率和相對(duì)過高的誤警率，遲遲沒有得到廣泛應(yīng)用。在本文中，我們論證了機(jī)器學(xué)習(xí)領(lǐng)域的一種方法SVM（支持向量機(jī)）是一種更有效的用戶行為異常檢測(cè)方法。
　　論文首先分析了入侵檢測(cè)技術(shù)。著重分析異常檢測(cè)的發(fā)展和目前待解決的難題。分析了UNIX系統(tǒng)shell命令的特點(diǎn)及支持向量機(jī)分類方法的相關(guān)理論。深入分析了支持向量機(jī)理論應(yīng)用于異常檢測(cè)系統(tǒng)中的可行性，簡(jiǎn)要介紹了與本文相關(guān)的其它用戶行為檢測(cè)的研究，指出其中的可取之外與不足。
　　

3、然后，為提高基于SVM組合多類分類器的性能，本文提出了一種基于One-ClassSVM對(duì)正常用戶行為進(jìn)行建模的方法，通過UNIX用戶命令序列來區(qū)分正常用戶行為和假冒正常用戶的入侵者行為或者正常用戶的誤用行為。從每個(gè)用戶中選取一些shell命令行數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)，剩余的用于和非本用戶的數(shù)據(jù)混合進(jìn)行測(cè)試。然后，我們通過不同的特征提取方法得到的不同的輸入數(shù)據(jù)進(jìn)行實(shí)驗(yàn)。
　　接著詳細(xì)設(shè)計(jì)了從用戶shell命令中提取特征的過程，通過多組對(duì)比

4、實(shí)驗(yàn)發(fā)現(xiàn)更適合用戶行為特征分類的特征提取方法。并通過對(duì)shell命令行反復(fù)實(shí)驗(yàn)和詳細(xì)研究UNIX系統(tǒng)shell命令的特點(diǎn)，把命令流中的原符號(hào)按照用戶行為的特點(diǎn)歸并同類，通過這一措施使原來1936維的高維特征向量最終降為135維的特征向量數(shù)據(jù)。提高了用戶行為分類的效率。得出了通過分類來降維的方法，同時(shí)產(chǎn)生了用于UNIX用戶行為特征提取的基本可參考方案。
　　當(dāng)發(fā)現(xiàn)每個(gè)用戶的行為模型都對(duì)其它用戶行為有很高的誤接收率時(shí)，我們引入了會(huì)話內(nèi)