資源描述:
《基于支持向量機(jī)的用戶行為異常檢測(cè)方法研究》由會(huì)員上傳分享,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1�、工學(xué)碩士學(xué)位論文基于支持向量機(jī)的用戶行為異常檢測(cè)方法研究陳秀月哈爾濱工業(yè)大學(xué)2007年12月國(guó)內(nèi)圖書(shū)分類號(hào):TP391.43國(guó)際圖書(shū)分類號(hào):621.38工學(xué)碩士學(xué)位論文基于支持向量機(jī)的用戶行為異常檢測(cè)方法研究碩士研究生:陳秀月導(dǎo)師:丁宇新副教授申請(qǐng)學(xué)位:工學(xué)碩士學(xué)科�����、專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)所在單位:深圳研究生院答辯日期:2007年12月授予學(xué)位單位:哈爾濱工業(yè)大學(xué)ClassifiedIndex:TP391.43U.D.C:621.38DissertationfortheMasterDegreeofEngineeringANOMALYDETECTIONFORUSERBEHAVIOURBASE
2�����、DONSVMCandidate:ChenXiuyueSupervisor:AssociateProf.DingYuxinAcademicDegreeAppliedfor:MasterofEngineeringSpeciality:ComputerScienceandTechnologyAffiliation:ShenzhenGraduateSchoolDateofDefence:December,2007Degree-Conferring-Institution:HarbinInstituteofTechnology哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文摘要異常檢測(cè)作為入侵檢測(cè)的一個(gè)分支�,越來(lái)越受
3�����、到人們的重視。大部分入侵檢測(cè)系統(tǒng)對(duì)于內(nèi)部攻擊的檢測(cè)效率很低�����。內(nèi)部攻擊者比外部攻擊者會(huì)對(duì)系統(tǒng)造成更大破壞�,而且其行為更難捕捉。對(duì)用戶的行為建模是一種有效的檢測(cè)惡意攻擊的方法���。隨著假冒入侵行為的出現(xiàn)��,任何新的異常行為模式都應(yīng)該通過(guò)用戶命令行數(shù)據(jù)被觀察到���,越早發(fā)現(xiàn)越好�����。盡管利用UNIX用戶命令行數(shù)據(jù)的異常檢測(cè)技術(shù)在很久前就被認(rèn)為是彌補(bǔ)誤用檢測(cè)和使用程序數(shù)據(jù)的異常檢測(cè)技術(shù)缺陷的有力途徑���。但由于其低精確率和相對(duì)過(guò)高的誤警率�����,遲遲沒(méi)有得到廣泛應(yīng)用�����。在本文中�����,我們論證了機(jī)器學(xué)習(xí)領(lǐng)域的一種方法SVM(支持向量機(jī))是一種更有效的用戶行為異常檢測(cè)方法�。論文首先分析了入侵檢測(cè)技術(shù)��。著重分析異常檢測(cè)的發(fā)展和目前待
4���、解決的難題�����。分析了UNIX系統(tǒng)shell命令的特點(diǎn)及支持向量機(jī)分類方法的相關(guān)理論。深入分析了支持向量機(jī)理論應(yīng)用于異常檢測(cè)系統(tǒng)中的可行性��,簡(jiǎn)要介紹了與本文相關(guān)的其它用戶行為檢測(cè)的研究�����,指出其中的可取之外與不足。然后,為提高基于SVM組合多類分類器的性能���,本文提出了一種基于One-ClassSVM對(duì)正常用戶行為進(jìn)行建模的方法,通過(guò)UNIX用戶命令序列來(lái)區(qū)分正常用戶行為和假冒正常用戶的入侵者行為或者正常用戶的誤用行為���。從每個(gè)用戶中選取一些shell命令行數(shù)據(jù)作為訓(xùn)練數(shù)據(jù),剩余的用于和非本用戶的數(shù)據(jù)混合進(jìn)行測(cè)試�。然后���,我們通過(guò)不同的特征提取方法得到的不同的輸入數(shù)據(jù)進(jìn)行實(shí)驗(yàn)�����。接著詳細(xì)設(shè)計(jì)了從用戶sh
5���、ell命令中提取特征的過(guò)程���,通過(guò)多組對(duì)比實(shí)驗(yàn)發(fā)現(xiàn)更適合用戶行為特征分類的特征提取方法。并通過(guò)對(duì)shell命令行反復(fù)實(shí)驗(yàn)和詳細(xì)研究UNIX系統(tǒng)shell命令的特點(diǎn)����,把命令流中的原符號(hào)按照用戶行為的特點(diǎn)歸并同類,通過(guò)這一措施使原來(lái)1936維的高維特征向量最終降為135維的特征向量數(shù)據(jù)。提高了用戶行為分類的效率�。得出了通過(guò)分類來(lái)降維的方法���,同時(shí)產(chǎn)生了用于UNIX用戶行為特征提取的基本可參考方案�。當(dāng)發(fā)現(xiàn)每個(gè)用戶的行為模型都對(duì)其它用戶行為有很高的誤接收率時(shí)�,我們引入了會(huì)話內(nèi)的投票機(jī)制來(lái)消除這一不足�,并使實(shí)驗(yàn)整體的正確檢測(cè)率大-I-哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文幅度提高��,與以往其它方法的實(shí)驗(yàn)相比得到更
6�����、令人滿意的結(jié)果。然后�����,通過(guò)使用不同參數(shù)的提取特征的方法得到特征向量作為實(shí)驗(yàn)數(shù)據(jù)重復(fù)對(duì)比實(shí)驗(yàn)��,通過(guò)對(duì)實(shí)驗(yàn)結(jié)果的分析,做出對(duì)不同特征提取方法的評(píng)價(jià)��。關(guān)鍵詞異常檢測(cè);支持向量機(jī);shell命令行-II-哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文AbstractAsaninportantbranchofintrusiondetection,anomalydetectionsaregettingmoreandmoreattentions.Mostintrusiondetectionsystemsareineffectiveindetectingattacksmountedbyinsiders.Insidersc
7��、ancausemoredamage,andhardertocatchthanoutsiders.Profilinguserbehaviorsisaneffectiveapproachfordetectinghostileattackstoacomputersystem.Withtheappearanceofamasquerader,forexample,anynewanomalousbehaviorspatternmay
