%0 Journal Article
%T 基于shell命令和dtmc模型的用户行为异常检测新方法
%A 肖喜
%A 翟起滨
%A 田新广
%A 陈小娟？
%J 计算机科学
%D 2011
%X 提出一种新的基于离散时间markov链模型的用户行为异常检测方法，主要用于以shell命令为审计数据的入侵检测系统。该方法在训练阶段充分考虑了用户行为复杂多变的特点和审计数据的短时相关性，将shell命令序列作为基本数据处理单元，依据其出现频率利用阶梯式的数据归并方法来确定markov链的状态，同现有方法相比提高了用户行为轮廓描述的准确性和对用户行为变化的适应性，并且大幅度减少了状态个数，节约了存储成本。在检测阶段，针对检测实时性和准确度需求，通过计算状态序列的出现概率分析用户行为异常程度，并提供了基于固定窗长度和可变窗长度的两种均值滤噪处理及行为判决方案。实验表明，该方法具有很高的检测性能，其可操作性也优于同类方法。
%K 网络安全
%K 入侵检测
%K shell命令
%K 异常检测
%K 离散时间markov链
%U http://www.jsjkx.com/jsjkx/ch/reader/view_abstract.aspx?file_no=111112&flag=1