資源描述:
《基于unix+shell命令的用戶行為異常檢測(cè)的研究》由會(huì)員上傳分享����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1�、碩士學(xué)位論文(工程碩士)基于UNIXshell命令的用戶行為異常檢測(cè)的研究ANOMALYUSERBEHAVIOURDETECTIONBASEDONUNIXSHELLCOMMANDS彭小蘭哈爾濱工業(yè)大學(xué)2009年12月國(guó)內(nèi)圖書(shū)分類號(hào):TP39學(xué)校代碼:10213國(guó)際圖書(shū)分類號(hào):600密級(jí):公開(kāi)工程碩士學(xué)位論文↑【宋體小2號(hào)字】基于UNIXshell命令的用戶行為異常檢測(cè)的研究↑【碩士研究生:彭小蘭導(dǎo)師:丁宇新副教授副導(dǎo)師:袁華強(qiáng)教授申請(qǐng)學(xué)位:工程碩士工程領(lǐng)域:計(jì)算機(jī)科學(xué)與技術(shù)所在單位:東莞理工學(xué)院答辯日期:2009年12月授予學(xué)位
2、單位:哈爾濱工業(yè)大學(xué)ClassifiedIndex:TP39【TimesNewRoman小4字】U.D.C:600【TimesNewRoman小4字】DissertationfortheMaster’sDegreeofEngineering↑ANOMALYUSERBEHAVIOURDETECTIONBASEDONUNIXSHELLCOMMANDS↑【TimesNewRoman2號(hào)字加粗��,題目太長(zhǎng)時(shí)可用小2號(hào)字】Candidate:PengXiaolanSupervisor:Prof.DingYuxinAssociateSuper
3���、visor:Prof.YuanHuaqiangAcademicDegreeAppliedfor:MasterofEngineeringSpeciality:ComputerScienceandTechnologyAffiliation:DongguanUniversityofTechnologyDateofDefence:December,2009Degree-Conferring-Institution:HarbinInstituteofTechnology哈爾濱工業(yè)大學(xué)工程碩士學(xué)位論文摘要隨著網(wǎng)絡(luò)的快速發(fā)展�,人們?cè)谑褂镁W(wǎng)絡(luò)提
4���、供的各種服務(wù)和信息的同時(shí)也面臨著日益增加的網(wǎng)絡(luò)入侵的困擾�����,網(wǎng)絡(luò)安全成為迫切需要解決的問(wèn)題之一��。異常檢測(cè)是目前入侵檢測(cè)系統(tǒng)研究的主要方向�。這種檢測(cè)技術(shù)建立系統(tǒng)或用戶的正常行為模式,通過(guò)對(duì)被監(jiān)測(cè)系統(tǒng)或用戶的實(shí)際行為模式和正常模式之間的比較和匹配來(lái)檢測(cè)入侵�。大部分入侵檢測(cè)系統(tǒng)對(duì)于內(nèi)部攻擊的檢測(cè)效率很低�����。內(nèi)部攻擊者比外部攻擊者會(huì)對(duì)系統(tǒng)造成更大破壞���,而且其行為更難捕捉����。對(duì)用戶的行為建模是一種有效的檢測(cè)惡意攻擊的方法��。隨著假冒入侵行為的出現(xiàn)����,任何新的異常行為模式都應(yīng)該通過(guò)用戶命令行數(shù)據(jù)被觀察到,發(fā)現(xiàn)越早越好��。論文首先分析了入侵檢測(cè)技術(shù)�,著重
5、分析異常檢測(cè)的發(fā)展和目前待解決的難題����。異常檢測(cè)的一個(gè)關(guān)鍵問(wèn)題就是如何判斷哪類數(shù)據(jù)特征是異常檢測(cè)的關(guān)鍵特征。對(duì)于UNIX命令行數(shù)據(jù)�,基本包含兩大類數(shù)據(jù)特征���,一類是數(shù)據(jù)的時(shí)序特征,即數(shù)據(jù)出現(xiàn)的先后次序���,我們稱之為動(dòng)態(tài)特征���;另一特征是數(shù)據(jù)的分布特征,如某數(shù)據(jù)出現(xiàn)的頻率�,這種特征我們稱之為靜態(tài)特征。本文的研究目的是對(duì)這兩種數(shù)據(jù)特征進(jìn)行比較�,觀察這兩種特征在異常檢測(cè)中所起的不同作用,為識(shí)別模型的選擇提供依據(jù)���。論文介紹了UNIX系統(tǒng)shell命令���、隱馬爾可夫模型及交叉熵的相關(guān)理論。深入分析了隱馬爾可夫模型中的全連結(jié)��、左到右及交叉熵理論應(yīng)用于
6���、異常檢測(cè)系統(tǒng)中的可行性����,簡(jiǎn)單介紹了與本文相關(guān)的其它用戶行為異常檢測(cè)的研究,指出其中的可取之處與不足�����。然后���,為驗(yàn)證交叉熵模型優(yōu)于隱馬爾可夫模型的兩種模型,我們通過(guò)UNIX用戶命令序列來(lái)區(qū)分正常用戶行為和假冒正常用戶的入侵者行為或者正常用戶的誤用行為����。從每個(gè)用戶中選取其shell命令行數(shù)據(jù)的三分之一作為訓(xùn)練數(shù)據(jù),另外三分之一的數(shù)據(jù)和非本用戶的一些數(shù)據(jù)作為測(cè)試數(shù)據(jù)��,通過(guò)改變模型的參數(shù)(包括隱狀態(tài)數(shù)和序列長(zhǎng)度)進(jìn)行實(shí)驗(yàn)�。接著詳細(xì)設(shè)計(jì)了系統(tǒng)框架,通過(guò)多組對(duì)比實(shí)驗(yàn)發(fā)現(xiàn)更適合用戶行為的異常檢測(cè)方法����。通過(guò)改變各種模型的隱狀態(tài)數(shù)和序列長(zhǎng)度,在實(shí)驗(yàn)
7��、條件完全相同的情況下�����,通過(guò)實(shí)驗(yàn),我們最終發(fā)現(xiàn):交叉熵學(xué)習(xí)模型的識(shí)別效果要優(yōu)于隱馬爾可夫模型�����,并且交叉熵具有模型簡(jiǎn)單�,訓(xùn)練快速的特點(diǎn)。關(guān)鍵詞:異常檢測(cè)����;隱馬爾可夫模型;交叉熵��;shell命令行-I-哈爾濱工業(yè)大學(xué)工程碩士學(xué)位論文AbstractWiththerapiddevelopmentofinternet,peopleenjoyallkindsofservicesandinformationprovidedbyinternet,butatthesametimetherearemoreandmoreworryaboutthein
8���、ternetintrusion.Thenetworksafetybecomesoneofquestionscryingforresolution.Nowadaysanomalydetectionisthemainresearchdirectionofintrus
