基于機器學習的用戶行為異常檢測模型

《基于機器學習的用戶行為異常檢測模型》由會員上傳分享，免費在線閱讀，更多相關內(nèi)容在行業(yè)資料-天天文庫。

1、基于機器學習的用戶行為異常檢測模型田新廣"!&孫春來"段洣毅"錢小軍"邱志明&"$北京交通大學計算技術研究所!北京"888&#%&$海軍裝備研究院博士后工作站!北京"8889-%:;<)50&=5)*65*>?)*>@"!-7AB<摘要針對()*+,等人提出的用戶行為異常檢測模型的不足!提出了一種新的123異常檢測模型"該模型改進了用戶行為模式和行為輪廓的表示方式!采用了新的相似度賦值方法!在對相似度流進行平滑時引入了’可變窗長度(的概念!并聯(lián)合采用多個判決門限對用戶行為進行判決"基于4*56用戶./+00命令數(shù)據(jù)的實驗表明

2、!該文提出的檢測模型具有更高的檢測性能"關鍵詞入侵檢測異常檢測行為模式機器學習相似度文章編號$""!%&’’$%$!""!%"#%8"8";8-文獻標識碼(中圖分類號,C-#-!"#$%"&’(")*%+,$-$.-/"("&01$23$456/"21351$7"(89.4/($:$92(/(;?!@???H5(;A>(B4>(%9/C>9(D/+/E/9(=/9"F>(E/>G4/)/(;"$D+.+)EA/1*.=5=?=+BFGB,+A/*B0B>I!J+5K5*>L5)B=B*>4*5

3、M+E.5=I!J+5K5*>"888&#%&$CB.=NBA=BE)0OBEP5*>3=)=5B*BFQ)MI:R?5H<+*=SA)N+"8889-%IJ1-29.-&S*)*B<)0IN+=+A=5B*5*)=+NTI()*+,5.TE5+F0I5*=EBN?A+N7,/+*)*+U)*B<)0IN+=+A=5B*5.HE+.+*=+N7,/+

4、>=/=BE+HE+.+*=)M)05N?.+E).T+/)M5BEH)==+E*.)*N?.+.N+=+A=5B*!=/+.T+/)M5BEH)==+E*.TI.+R?+*A+<)=A/5*><+=/BN)*N+M)0?)=+.=/+.5<50)E5=5+.BF=/+ABEE+.HB*N5*>AB<<)*N.+R?+*A+.

5、=B=/+N5A=5B*)E5+.7,/+=UB5*)=+NTI?./)./5>/+EN+=+A=5B*H+EFBE<)*A+7K$+L"271&5*=E?.5B*N+=+A=5B*!)*B<)0IN+=+A=5B*!T+/)M5BEH)==+E*!<)A/5*+0+)E*5*>!.5<50)E5=I<+).?E+"引言命令序列表示用戶行為模式!建立多個樣本序列庫來描述

6、網(wǎng)絡網(wǎng)絡入侵檢測技術主要有兩種基本類型!即異常檢測和誤中合法用戶的正常行為輪廓!檢測時以長度可變的命令序列為用檢測"目前!異常檢測是入侵檢測研究的主要方向$"!!%!這種檢單位進行相似度賦值!并利用加窗濾噪后的相似度對用戶行為測技術建立系統(tǒng)或用戶的正常行為模式!通過被監(jiān)測系統(tǒng)或用進行判決"利用4*56用戶./+00命令數(shù)據(jù)進行的實驗表明!新戶的實際行為模式和正常模式之間的比較和匹配來檢測入侵!的檢測模型具有很高的檢測性能和較強的可操作性"其特點是不需要過多的有關系統(tǒng)缺陷的知識!具有較強的適應性!并且能夠檢測出未知的入侵模式"

7、虛警概率高是目前限制&基于機器學習的定長命令序列檢測模型異常檢測應用的主要因素"異常檢測的關鍵問題在于正常行為&7"機器學習基本原理模式的建立以及如何利用正常行為模式對當前行為進行比較機器學習是人工智能的一個新的分支!它通過對人類認知和判斷"機理的研究!借助機器$計算機系統(tǒng)%建立各種學習模型!賦予國內(nèi)外已經(jīng)開展了神經(jīng)網(wǎng)絡#機器學習等智能技術在異常機器學習的能力!在此基礎上構建具有特定應用的面向任務的檢測中的應用研究$"!&!’%!研究目標主要是提高檢測系統(tǒng)的準確學習系統(tǒng)"一個機器學習系統(tǒng)主要由學習單元#知識庫#執(zhí)行單性#實時

8、性#高效性以及自適應性!其中一些研究成果在檢測性元組成!其中學習單元利用外界信息源提供的信息來建立知識能和可操作性上已接近或達到了實用化水平"本文首先介紹了庫并對其做出改進$增加新知識或重新組織已有知識%!執(zhí)行單()*+,等人提出的基于機器學習的用戶行為異常檢測模型$"!-%!元利用知識庫