基于shell命令和Markov链模型的用户伪装攻击检测.pdf

第32卷第3期 通信学报 、，b1．32No．3 2011年3月 JoumalonCommunications March201l 基于shell命令和Markov链模型的用户伪装攻击检测 肖喜‘，田新广2，翟起滨1，叶润国3 (1．中闺科学院研究生院信息安全困家蘑点实验审，北京100049； 2．中国科学院计算技术研究所网络科学与技术重点实验窜，北京100190；3．北京启明星辰信息安全技术有限公司，北京100193) 摘要：提出一种新的基于shell命令的用户伪装攻击检测方法。该方法在训练阶段充分考虑_r用户行为的多变 性和伪装攻击的特点，采用平稳的齐次Markov链对合法用广，的IE常行为迸iJ：建模，根据shell命令的出现频率进 行阶梯式数据归并来划分状态，同现钉的Markov链方法相比大幅度减少了状态个数和转移概率矩阵的存储量， 提高了泛化能力。针对检测实时性需求和shell命令操作的短时相关性，采用r基f频率优先的状态匹配方法， 并通过对状态短序列的出现概率进行加窗平滑滤噪处理来计算判决值，能够有效减少系统计算开销，降低误报率。 实验表明，该方法具有很高的检测准确率和较强的可操作性，特别适用于在线检测。 关键词：网络安全：伪装攻击；入侵检测；shell命令；异常检测；Markov链 中图分类号：TP393 文献标识码：B detectionbasedonshellcommands Masquerade and chainmodels Markov XIAO Xil，TIAN Xin．guan92，ZHAIQi—binl，YERun．gu03 (1．SVateKeyLaboratory 100049，China； 100190,China； Venuslech 3．Beijing CompanyLtd，Beijiing100193，China) Abstract：Anovelmethodfor attackdemctionbasedonshellcommandswas the masquerade proposed．Attraining stage， the ofusers’behaviorandthefeatureof attackwere considered．andhomo— variability masquerade thoroughly stationary Markovchainswere to thenormalusers’behavior．Theshellcommandswere geneous employedprofile gradationally into sets totheir andthenstateswereconstructed mergedmultip