基于隱半馬爾可夫模型的入侵檢測(cè)技術(shù)研究.pdf

1、入侵檢測(cè)是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中入侵行為的網(wǎng)絡(luò)信息安全技術(shù)。本文針對(duì)入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)和應(yīng)用需求，研究?jī)煞N典型的入侵檢測(cè)方法，分別是基于網(wǎng)絡(luò)數(shù)據(jù)包的誤用檢測(cè)方法和基于審計(jì)數(shù)據(jù)的異常檢測(cè)技術(shù)。首先研究了入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)結(jié)構(gòu)與功能、入侵檢測(cè)數(shù)據(jù)源及其產(chǎn)生機(jī)制等，對(duì)現(xiàn)有的一些入侵檢測(cè)方法進(jìn)行了分析與總結(jié)。針對(duì)實(shí)際系統(tǒng)不能完全滿(mǎn)足Markov條件，在此基礎(chǔ)上建立的模型和檢測(cè)算法性能不理想的情況，提出一種基于HMM模型的網(wǎng)絡(luò)入侵誤用檢

2、測(cè)方法。通過(guò)HMM模型來(lái)刻畫(huà)和模擬攻擊模式，將判斷待檢測(cè)行為屬于哪種已知攻擊的問(wèn)題歸結(jié)為模式的匹配問(wèn)題，實(shí)現(xiàn)了對(duì)已知攻擊類(lèi)型的檢測(cè)和分類(lèi)。針對(duì)U2R和R2L類(lèi)攻擊的高度隱蔽性和極大危害性以及HMM模型在應(yīng)用過(guò)程中存在的無(wú)法描述狀態(tài)駐留、模型學(xué)習(xí)復(fù)雜度偏高、模型對(duì)審計(jì)數(shù)據(jù)的規(guī)律性轉(zhuǎn)移很難精確模擬等問(wèn)題，在HMM模型的基礎(chǔ)上進(jìn)行改進(jìn)，提出主要針對(duì)U2R和R2L類(lèi)攻擊的基于HsMM模型的主機(jī)型入侵異常檢測(cè)系統(tǒng)。在訓(xùn)練時(shí)間增加不多的情況下，提高