基于隱馬爾可夫模型的IDS程序行為異常檢測
7300多字

摘 要：提出一種新的基于隱馬爾可夫模型的程序行為異常檢測方法，此方法利用系統(tǒng)調(diào)用序列，并基于隱馬爾可夫模型來描述程序行為，根據(jù)程序行為模式的出現(xiàn)頻率對(duì)其進(jìn)行分類，并將行為模式類型同隱馬爾可夫模型的狀態(tài)聯(lián)系在一起。由于各狀態(tài)對(duì)應(yīng)的觀測值集合互不相交，模型訓(xùn)練中采用了運(yùn)算量較小的序列匹配方法，與傳統(tǒng)的Baum-Welch算法相比，訓(xùn)練時(shí)間有較大幅度的降低?？紤]到模型中狀態(tài)的特殊含義以及程序行為的特點(diǎn)，將加窗平滑后的狀態(tài)序列出現(xiàn)概率作為判決依據(jù)。實(shí)驗(yàn)表明，此方法具有很高的檢測準(zhǔn)確性，其檢測效率也優(yōu)于同類方法。
關(guān)鍵詞：入侵檢測系統(tǒng)；異常檢測；隱馬爾可夫模型；系統(tǒng)調(diào)用
中圖分類號(hào)：TP18；TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A


Anomaly Detection of Program Behaviors for IDS Based on Hidden Markov Models

Abstract： A new method for anomaly detection of program behaviors based on hidden Markov models is presented. The method uses system calls to represent the behavior profiles of programs based on hidden Markov models. The behavior patterns of programs are classified according to their frequency distributions, and the states of the hidden Markov models are associated with the classes of the behavior patterns. Because the collections of observations corresponding to different states are mutually disjoint, the models can be trained with a sequence matching algorithm which requires lower computational complexity and less computation time than the classical Baum-Welch algorithm. A decision rule based on the probabilities of short state sequences is adopted while the particularity of the model states is......

異常檢測是目前IDS（入侵檢測系統(tǒng)）研究的一個(gè)主要方向，這種檢測方法建立系統(tǒng)或用戶的正常行為模式庫，通過被監(jiān)測系統(tǒng)或用戶的實(shí)際行為模式和正常模式之間的比較和匹配來檢測入侵，其特點(diǎn)是不需要過多有關(guān)系統(tǒng)缺陷的知識(shí)，具有較強(qiáng)的適應(yīng)性，能夠檢測出未知入侵，但存在虛警概率高的缺點(diǎn)。
國內(nèi)外對(duì)基于系統(tǒng)調(diào)用和shell命令等主機(jī)數(shù)據(jù)的異常檢測方法已經(jīng)有了較長時(shí)間的研究，其中隱馬爾可夫模型（HMM）方法是一個(gè)重要的研究方向。新墨西哥大學(xué)的Warrender C等人利用系統(tǒng)調(diào)用數(shù)據(jù)，進(jìn)行了針對(duì)程序行為的異常檢測研究和實(shí)驗(yàn)[2]；其方法是對(duì)每種程序（如sendmail、lpr）建立一個(gè)HMM，采用Baum-Welch算法訓(xùn)練模型，并利用先驗(yàn)知識(shí)對(duì)模型參數(shù)進(jìn)行初始化。普渡大學(xué)的Lane T利用UNIX用戶的shell命令數(shù)據(jù)，進(jìn)行了針對(duì)用戶行為的異常檢測[3]；其方法是用單個(gè)HMM描述正常用戶的行為輪廓，模型的訓(xùn)練中同樣采用了Baum-Welch算法，檢測時(shí)利用近似的前向后向算法并根據(jù)貝葉斯準(zhǔn)則對(duì)用戶行為進(jìn)行判決。以上兩種方法是HMM在分類問題中的典型用法，在訓(xùn)練數(shù)據(jù)充足的情況下能夠獲得比較高的檢測準(zhǔn)確率，但是，模型的訓(xùn)練和工作中所需要的運(yùn)算量很大，檢測的實(shí)時(shí)性不高，這在很大程度上限制了它們的應(yīng)用。
本文提出一種新的基于HMM的程序行為異常檢測方法，此方法根據(jù)行為模式的出現(xiàn)頻率對(duì)其進(jìn)行分類，用HMM的狀態(tài)來代表不同種類的行為模式，并引入一個(gè)附加狀態(tài)；采用序列匹配方法對(duì)模型進(jìn)行訓(xùn)練，與傳統(tǒng)方法相比較大程度地減小了訓(xùn)練時(shí)間；根據(jù)模型和程序行為的特點(diǎn)，采用了基于狀態(tài)序列出現(xiàn)概率的判決準(zhǔn)則。實(shí)驗(yàn)表明，此方法具有很高的檢測準(zhǔn)確率和較強(qiáng)的可操作性......

參考文獻(xiàn)：
[1] Rabiner L R，Juang B H. An Introduction to Hidden Markov Models[J]. IEEE ASSP Magazine，1986(1)：4-16.
[2] Warrender C，F(xiàn)orrest S，Pearlmutter B. Detecting Intrusions Using System Calls: Alternative Data Models[A].Proc th