文献类型：期刊文章

作　　者：田新广[1,2] 孙春来[1] 段洣毅[1]

机构地区：[1]北京交通大学计算技术研究所 [2]国防科技大学电子科学与工程学院长沙410073

出　　处：《电子与信息学报》

基　　金：国家863高技术研究发展基金(863-307-7-5);北京首信集团科研基金(050203)资助课题

年　　份：2007

卷　　号：29

期　　号：11

起止页码：2580-2584

语　　种：中文

收录情况：BDHX、BDHX2004、CSA、CSA-PROQEUST、CSCD、CSCD2011_2012、EI、IC、JST、RCCSE、SCOPUS、WOS、ZGKJHX、核心刊

摘　　要：异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。

关 键 词：入侵检测 SHELL命令 MARKOV链 异常检测 行为轮廓  

分 类 号：TP393.08]