資源描述:
《試析基于unix shell命令的用戶行為異常檢測的研究》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、碩士學(xué)位論文(工程碩士)基于UNIXshell命令的用戶行為異常檢測的研究ANOMALYUSERBEHAVIOURDETECTIONBASEDONUNIXSHELLCOMMANDS彭小蘭哈爾濱工業(yè)大學(xué)2009年12月國內(nèi)圖書分類號(hào):TP39學(xué)校代碼:10213國際圖書分類號(hào):600密級(jí):公開工程碩士學(xué)位論文↑【宋體小2號(hào)字】基于UNIXshell命令的用戶行為異常檢測的研究↑【碩士研究生:彭小蘭導(dǎo)師:丁宇新副教授副導(dǎo)師:袁華強(qiáng)教授申請學(xué)位:工程碩士工程領(lǐng)域:計(jì)算機(jī)科學(xué)與技術(shù)所在單位:東莞理工學(xué)院答辯日期:2009年12月授予學(xué)位單位:哈爾濱工業(yè)大學(xué)Class
2、ifiedIndex:TP39【TimesNewRoman小4字】U.D.C:600【TimesNewRoman小4字】DissertationfortheMaster’sDegreeofEngineering↑ANOMALYUSERBEHAVIOURDETECTIONBASEDONUNIXSHELLCOMMANDS↑【TimesNewRoman2號(hào)字加粗,題目太長時(shí)可用小2號(hào)字】Candidate:PengXiaolanSupervisor:Prof.DingYuxinAssociateSupervisor:Prof.YuanHuaqiangAcademi
3、cDegreeAppliedfor:MasterofEngineeringSpeciality:ComputerScienceandTechnologyAffiliation:DongguanUniversityofTechnologyDateofDefence:December,2009Degree-Conferring-Institution:HarbinInstituteofTechnology哈爾濱工業(yè)大學(xué)工程碩士學(xué)位論文摘要隨著網(wǎng)絡(luò)的快速發(fā)展,人們在使用網(wǎng)絡(luò)提供的各種服務(wù)和信息的同時(shí)也面臨著日益增加的網(wǎng)絡(luò)入侵的困擾,網(wǎng)絡(luò)安全成為迫切需要解決的問題之
4、一。異常檢測是目前入侵檢測系統(tǒng)研究的主要方向。這種檢測技術(shù)建立系統(tǒng)或用戶的正常行為模式,通過對(duì)被監(jiān)測系統(tǒng)或用戶的實(shí)際行為模式和正常模式之間的比較和匹配來檢測入侵。大部分入侵檢測系統(tǒng)對(duì)于內(nèi)部攻擊的檢測效率很低。內(nèi)部攻擊者比外部攻擊者會(huì)對(duì)系統(tǒng)造成更大破壞,而且其行為更難捕捉。對(duì)用戶的行為建模是一種有效的檢測惡意攻擊的方法。隨著假冒入侵行為的出現(xiàn),任何新的異常行為模式都應(yīng)該通過用戶命令行數(shù)據(jù)被觀察到,發(fā)現(xiàn)越早越好。論文首先分析了入侵檢測技術(shù),著重分析異常檢測的發(fā)展和目前待解決的難題。異常檢測的一個(gè)關(guān)鍵問題就是如何判斷哪類數(shù)據(jù)特征是異常檢測的關(guān)鍵特征。對(duì)于UNIX命
5、令行數(shù)據(jù),基本包含兩大類數(shù)據(jù)特征,一類是數(shù)據(jù)的時(shí)序特征,即數(shù)據(jù)出現(xiàn)的先后次序,我們稱之為動(dòng)態(tài)特征;另一特征是數(shù)據(jù)的分布特征,如某數(shù)據(jù)出現(xiàn)的頻率,這種特征我們稱之為靜態(tài)特征。本文的研究目的是對(duì)這兩種數(shù)據(jù)特征進(jìn)行比較,觀察這兩種特征在異常檢測中所起的不同作用,為識(shí)別模型的選擇提供依據(jù)。論文介紹了UNIX系統(tǒng)shell命令、隱馬爾可夫模型及交叉熵的相關(guān)理論。深入分析了隱馬爾可夫模型中的全連結(jié)、左到右及交叉熵理論應(yīng)用于異常檢測系統(tǒng)中的可行性,簡單介紹了與本文相關(guān)的其它用戶行為異常檢測的研究,指出其中的可取之處與不足。然后,為驗(yàn)證交叉熵模型優(yōu)于隱馬爾可夫模型的兩種模型
6、,我們通過UNIX用戶命令序列來區(qū)分正常用戶行為和假冒正常用戶的入侵者行為或者正常用戶的誤用行為。從每個(gè)用戶中選取其shell命令行數(shù)據(jù)的三分之一作為訓(xùn)練數(shù)據(jù),另外三分之一的數(shù)據(jù)和非本用戶的一些數(shù)據(jù)作為測試數(shù)據(jù),通過改變模型的參數(shù)(包括隱狀態(tài)數(shù)和序列長度)進(jìn)行實(shí)驗(yàn)。接著詳細(xì)設(shè)計(jì)了系統(tǒng)框架,通過多組對(duì)比實(shí)驗(yàn)發(fā)現(xiàn)更適合用戶行為的異常檢測方法。通過改變各種模型的隱狀態(tài)數(shù)和序列長度,在實(shí)驗(yàn)條件完全相同的情況下,通過實(shí)驗(yàn),我們最終發(fā)現(xiàn):交叉熵學(xué)習(xí)模型的識(shí)別效果要優(yōu)于隱馬爾可夫模型,并且交叉熵具有模型簡單,訓(xùn)練快速的特點(diǎn)。關(guān)鍵詞:異常檢測;隱馬爾可夫模型;交叉熵;she
7、ll命令行-I-哈爾濱工業(yè)大學(xué)工程碩士學(xué)位論文AbstractWiththerapiddevelopmentofinternet,peopleenjoyallkindsofservicesandinformationprovidedbyinternet,butatthesametimetherearemoreandmoreworryabouttheinternetintrusion.Thenetworksafetybecomesoneofquestionscryingforresolution.Nowadaysanomalydetectionisthemai
8、nresearchdirectionofintrus