基于隐马尔可夫模型的入侵检测方法

IntrusionDetectionMethodBasedonHiddenMarkovModel

作者：赵婧(西京学院控制工程学院)；魏彬(武警工程大学电子技术系)；罗鹏(武警工程大学电子技术系)；杨晓元(武警工程大学电子技术系)

Author：ZhaoJing(SchoolofControlEng.,XijingUniv.)；WeiBin(Eng.Univ.ofCAPF)；LuoPeng(Eng.Univ.ofCAPF)；YangXiaoyuan(Eng.Univ.ofCAPF)

收稿日期：2015-09-22 年卷（期）页码：2016,48(1):106-110

期刊名称：工程科学与技术

Journal Name：Advanced Engineering Sciences

关键字：入侵检测；隐马尔可夫模型；系统调用序列

Key words：intrusiondetection;hiddenMarkovmodel;systemcallsequence

基金项目：陕西省教育厅科研计划资助项目（15JK2187）；西京学院科研基金资助项目（XJ140115）；武警工程大学基础研究基金资助项目（WJY201518）

中文摘要

针对当前网络安全事件频发以及异常检测方法大多集中在对系统调用数据的建模研究上等问题，提出一种基于隐马尔可夫模型的入侵检测方法。该算法基于系统调用和函数返回地址链的联合信息来建立主机进程的隐马尔可夫模型。此外，针对常用训练方法存在的不足，设计了一种快速算法用以训练模型的各个参数。实验结果表明：基于系统调用和函数返回地址链的联合信息的引入能够有效区分进程的正常行为和异常行为,大幅度降低训练时间,取得了良好的运算效果。

英文摘要

〗In order to solve the problem that network security incidents occurred frequently and anomaly detection methods are mostly focused on the modeling of the system call data,an intrusion detection method based on hidden Markov model was proposed.Joint information of system calls and function return address chain was used to establish the host process of hidden Markov model.In addition,a fast algorithm was designed to train the parameters of the model.The experimental results showed that the introduction of joint information of system calls and function return address chain could effectively distinguish between normal behavior and abnormal behavior of the process,and significantly reduce the operation time.

【关闭】

论文摘要

基于隐马尔可夫模型的入侵检测方法

IntrusionDetectionMethodBasedonHiddenMarkovModel