隐马尔可夫模型系统调用序列异常检测研究

摘要

基于主机系统调用序列的入侵检测技术，是针对主机系统调用数据进行监测的一种安全技术。由于主机系统调用序列反映了系统内核的行为特征，有利于对于系统自身特征的提取和针对系统自身的监测，从而可以不考虑用户差别，从系统自身行为的合法性和破坏性上鉴别入侵行为，有效地控制和监管特权程序的使用，辨别滥用职权的发生。所以，开展基于主机系统调用序列的入侵检测技术的研究是非常有意义和十分必要的。 本文从入侵检测系统的基本概念着手，对入侵检测的基本模型、入侵检测的分类以及入侵检测的检测方法作了详细的介绍。通过对基于主机系统调用序列的入侵检测系统模型的研究，采用隐马尔可夫模型(HiddenMarkovModels，HMM)的机器学习方法对程序行为进行学习，从而达到检测入侵的目的。它具有以下特点：检测精度高、特征库小、可以用较少的训练数据得到近似完备的正常模式库。 但是，隐Markov模型(离散HMM)的参数估计问题，是HMM应用的关键问题。经典的Baum-Welch算法是基于最陡梯度下降的局部优化算法，对初始条件具有较高的依赖性并且容易陷入局部最优解中。如果初始模型选取不当，解的质量有可能很差。为了进一步提高模型训练的有效性，本文提出了一种基于遗传算法的模型训练方法，与已有的方法相比，解决了对初始值敏感的问题，并且具有更高稳定性和准确性，因此是一种很有实用价值的新方法。

目录

文摘

英文文摘

第一章绪论

1.1课题背景

1.2 入侵检测技术简介

1.2.1什么是入侵检测系统

1.2.2入侵检测系统的分类

1.3侵检测系统的发展趋势

1.4基于HMM的免疫系统

1.4.1短序列模型

1.4.2 Markov模型

1.4.3其他研究

1.5课题研究的意义和组织结构安排

第二章基于主机系统调用序列的入侵检测模型

2.1系统调用概述

2.1.1系统调用的基本概念

2.1.2系统调用和C函数库的关系

2.1.3系统调用的工作流程

2.2缓冲区溢出攻击的基本原理

2.3基于系统调用序列的入侵检测模型基本原理

2.4已有的入侵检测模型

2.4.1枚举序列模型

2.4.2基于频率的模型

2.4.3基于数据挖掘的模型

2.4.4基于有限状态机的模型

2.4.5其它模型

2.5小结

第三章隐马尔可夫模型的数学基础

3.1马尔可夫性与马尔可夫链

3.1.1定义

3.1.2性质

3.2隐马尔可夫模型原理

3.3模型描述

3.4模型的基本类型

3.4.1各态经历

3.4.2左右型

3.5 HMM模型的基本问题

3.6 HMM模型问题的求解

3.7小结

第四章基于HMM的主机入侵检测

4.1熵理论

4.2假设

4.3 HMM模型的建立

4.4模型的训练

4.5检测

4.6 HMM算法的优缺点

4.6.1优点

4.6.2缺点

4.7小结

第五章改进工作

5.1遗传算法

5.1.1遗传算法的研究背景

5.1.2遗传算法的基本原理

5.1.3遗传算法的特点

5.2应用遗传算法解决HMM的训练问题

5.2.1遗传算法的核心要素

5.2.2参数编码

5.2.3初始群体设定

5.2.4适值函数的设计

5.2.5遗传操作设计

5.2.6控制参数设定

5.3实验设计与实施

5.3.1构建正常和异常行为模式库

5.3.2实验设计

5.3.3异常行为检测

5.3.4结果

5.4小结

总结

参考文献

致谢

攻读硕士学位期间发表的论文