面向Unix和Linux平台的网络用户伪装入侵检测*

doi:10.3778/j.issn.1673-9418.2010.06.002

计算机科学与探索 ›› 2010, Vol. 4 ›› Issue (6): 500-510.DOI: 10.3778/j.issn.1673-9418.2010.06.002

面向Unix和Linux平台的网络用户伪装入侵检测*

田新广¹⁺, 程学旗¹, 陈小娟², 段洣毅¹, 许洪波¹

1. 中国科学院计算技术研究所网络科学与技术重点实验室, 北京 100190
2. 北京工商大学计算机与信息工程学院, 北京 100037

收稿日期:1900-01-01 修回日期:1900-01-01 出版日期:2010-06-18 发布日期:2010-06-18
通讯作者: 田新广

Masquerade Detection Towards Network Users on Unix and Linux Platforms*

TIAN Xinguang¹⁺, CHENG Xueqi¹, CHEN Xiaojuan², DUAN Miyi¹, XU Hongbo¹

1. Key Lab of Network Science and Technology, Institute of Computing Technology, CAS, Beijing 100190, China
2. College of Comp. and Info. Engineering, Beijing Technology and Business University, Beijing 100037, China

Received:1900-01-01 Revised:1900-01-01 Online:2010-06-18 Published:2010-06-18
Contact: TIAN Xinguang

摘要/Abstract

摘要：

基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法, 主要用于Unix 或Linux 平台上以shell 命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性, 利用多种长度不同的shell 命令短序列来描述用户行为模式, 并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模; 在检测阶段, 采用了基于变长序列匹配和判决值加权的检测方案, 通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析, 能够有效降低误报率, 增强了检测性能的稳定性。实验表明, 同目前典型的伪装入侵检测方法相比, 该方法在检测准确度和计算成本方面均具有较大优势, 特别适用于在线检测。

关键词: 伪装攻击, 入侵检测, shell命令, 数据挖掘, 异常检测

Abstract:

Host-based intrusion detection acts as one of the major directions of research in network security. This
paper presents a novel method for masquerade detection based on data mining and variable-length shell command
sequence matching, which is applicable to intrusion detection systems using shell commands as audit data on Unix
and Linux platforms. The method employs multiple command sequences to represent user behavior pattern, and
utilizes sequence supports defined in data mining technique to characterize the normal behavior profiles of legitimate
users. In the detection stage, a model based on variable-length shell command sequence matching and decision
value weighing is used to distinguish between legitimate users and masqueraders, while the particularity of audit
data and user behavior is taken into account. The performance of the method is tested by computer simulation, and
the results show it can achieve higher detection accuracy and efficiency than existing alternative methods.

Key words: masquerade attack, intrusion detection, shell command, data mining, anomaly detection

中图分类号:

TP393

田新广1+ , 程学旗1 , 陈小娟2 , 段洣毅1 , 许洪波1 . 面向Unix和Linux平台的网络用户伪装入侵检测*[J]. 计算机科学与探索, 2010, 4(6): 500-510.

TIAN Xinguang¹⁺, CHENG Xueqi¹, CHEN Xiaojuan², DUAN Miyi¹, XU Hongbo¹. Masquerade Detection Towards Network Users on Unix and Linux Platforms*[J]. Journal of Frontiers of Computer Science and Technology, 2010, 4(6): 500-510.

[1]	武晓栋, 刘敬浩, 金杰, 毛思平. 基于DT及PCA的DNN入侵检测模型[J]. 计算机科学与探索, 2021, 15(8): 1450-1458.
[2]	孙冬璞, 曲丽. 时间序列特征表示与相似性度量研究综述[J]. 计算机科学与探索, 2021, 15(2): 195-205.
[3]	王光耀, 王丽珍, 杨培忠, 陈红梅. 极小负co-location模式及有效的挖掘算法[J]. 计算机科学与探索, 2021, 15(2): 366-378.
[4]	王沐贤，丁小欧，王宏志，李建中. 基于相关性的多维时序数据异常溯源方法[J]. 计算机科学与探索, 2021, 15(11): 2142-2150.
[5]	孙伟, 张羽. 利用流挖掘和图挖掘的内网异常检测方法[J]. 计算机科学与探索, 2020, 14(7): 1154-1163.
[6]	杨杰，唐亚纯，谭道军，刘小兵. 多通道自编码器深度学习的入侵检测方法[J]. 计算机科学与探索, 2020, 14(12): 2050-2060.
[7]	储传鑫，王丽珍，周丽华，李旭阳. 恶性肿瘤与工业污染之间的模糊关系挖掘[J]. 计算机科学与探索, 2020, 14(12): 2061-2071.
[8]	徐超，詹天明. 基于低秩全变差正则化的高光谱异常检测方法[J]. 计算机科学与探索, 2020, 14(12): 2140-2149.
[9]	刘少钦，唐爽，赵俊峰，王亚沙，卓琳. 基于扩展主题模型的异常医疗处方检测方法[J]. 计算机科学与探索, 2020, 14(1): 30-39.
[10]	王素琴，吴子锐. 利用LSTM网络和课程关联分类的推荐模型[J]. 计算机科学与探索, 2019, 13(8): 1380-1389.
[11]	陈虹，陈建虎，肖成龙，万广雪，肖振久. 深度学习模型下多分类器的入侵检测方法[J]. 计算机科学与探索, 2019, 13(7): 1123-1133.
[12]	周凯文，杨智慧，马会心，何震瀛，荆一楠，王晓阳. 面向特定划分的主题模型的设计与实现[J]. 计算机科学与探索, 2018, 12(7): 1036-1046.
[13]	王毅，冯小年，钱铁云，朱辉，周静. 基于CNN和LSTM深度网络的伪装用户入侵检测[J]. 计算机科学与探索, 2018, 12(4): 575-585.
[14]	舒敏，刘华文，郑忠龙，徐晓丹. 结合局部敏感哈希和随机游走的异常检测算法[J]. 计算机科学与探索, 2018, 12(12): 1950-1960.
[15]	许欧阳，李光辉. 萤火虫优化和随机森林的WSN异常数据检测[J]. 计算机科学与探索, 2018, 12(10): 1633-1644.

面向Unix和Linux平台的网络用户伪装入侵检测*

Masquerade Detection Towards Network Users on Unix and Linux Platforms*

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics