一种基于隐马尔可夫模型的入侵行为模式检测的方法技术

本发明专利技术公开了一种基于隐马尔可夫模型的入侵行为模式检测的方法，方法包括：首先获取计算机用户一系列的常规行为，明确计算机用户使用计算机时的state；将所述使用计算机时的state与对应具体的操作一一映射，记录每个使用计算机时的state的停留时间；将入侵行为进行分类，确定隐马尔可夫模型的state，选择login为隐马尔可夫模型的初始state；采用MD(Misuse Direction)IDS、AD(Anormaly Direction)IDS等方法的一种或者其组合来分析登陆state的可疑度；通过定义完隐马尔可夫模型的state后，获得训练样本数据，建立训练模型，将HMM准确的模型化一个正常用户的行为模式。阐述了入侵检测系统设计构架中AD‑IDS的原理，可使更多用户了解入侵检测系统的技术需求，通过本方案可以检测到普通用户或者root用户非法的行为模式。

【技术实现步骤摘要】

本专利技术属于入侵检测，特别是一种基于隐马尔可夫模型的入侵行为模式检测的方法。

技术介绍

1、现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高明的入侵手段要求入侵检测技术不断快速向前发展。

2、随着入侵检测系统的快速发展,越来越多先进技术和手段被应用到该领域中,当然任何一种算法或模型都有它的局限性,最好的办法是综合多种技术手段、多种角度、多种算法进行综合的分析,就像很多ids会采用md-ids结合ad-ids。本方法采用一种基于隐马尔可夫模型进行入侵行为模式分析的ad-ids形式。

3、入侵检测在misuse的检测存在很多缺点,第一、很难收集到已知入侵方式所需要的各种信息和数据，第二、它的最主要的问题是很难检测到新的或未知的入侵行为。所以，目前很多新研究已经把更多的精力放在anormaly检测上。

技术实现思路

1、本专利技术的目的是提供一种基于隐马尔可夫模型的入侵行为模式检测的方法，通过基于隐马尔可夫模型的方法可以检测到普通用户或者root用户非法的行为模式。...

【技术保护点】

1.一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，所述隐马尔可夫模型的state代表了计算机用户某个稳定状态的相关信息，从系统审计的角度出发,每个state的区别就在于执行的系统命令集的不同。

4.根据权利要求3所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，对于所有的入侵操作，其中部分为用在获得root登陆到本地计算机系统中，或者是...

【技术特征摘要】

1.一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，所述隐马尔可夫模型的state代表了计算机用户某个稳定状态的相关信息，从系统审计的角度出发,每个state的区别就在于执行的系统命令集的不同。

4.根据权利要求3所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，对于所有的入侵操作，其中部分为用在获得root登陆到本地计算机系统中，或者是从本地用户获得root(eg user to root)，或者直接远程登陆(remote to local)。

5.根据权利要求4所述的一种基于隐马尔可夫模型的入侵行为模式检测的方法，其特征在于，对于入侵操作是用在获得root登陆到本地计算机系统中、是从本地用户获得root(eg user to root)、直接远程登陆(remote to local)，将为修改root权限添加对应的state，其命名为user-to-root state，该状态记录...

【专利技术属性】
技术研发人员：潘劲松，
申请(专利权)人：深圳市网盾信息安全有限公司，
类型：发明
国别省市：