基于改进HMM的程序行为异常检测方法

doi:10.3969/j.issn.1671-1122.2016.09.022

信息网络安全 ›› 2016, Vol. 16 ›› Issue (9): 108-112.doi: 10.3969/j.issn.1671-1122.2016.09.022

基于改进HMM的程序行为异常检测方法

吴鑫(), 严岳松, 刘晓然

海军指挥学院,江苏南京 211800

收稿日期:2016-07-25 出版日期:2016-09-20 发布日期:2020-05-13
作者简介:
作者简介：吴鑫（1992—）,男,陕西,硕士研究生,主要研究方向为信息安全理论与技术;严岳松（1985—）,男,江苏,讲师,硕士,主要研究方向为信息安全;刘晓然（1964—）,男,江苏,教授,博士,主要研究方向为信息安全。

Program Behavior Anomaly Detection Method Based on Improved HMM

Xin WU(), Yuesong YAN, Xiaoran LIU

Naval Command College, Nanjing Jiangsu 211800, China

Received:2016-07-25 Online:2016-09-20 Published:2020-05-13

摘要/Abstract

摘要：

程序行为的异常检测是网络异常检测中的重要部分,针对传统隐马尔科夫模型中状态转移概率及观测值概率仅与前一状态有关的不足,而导致误报率高、检测效率低的问题。文章提出一种改进的基于隐马尔科夫模型的检测方法,该方法重点是利用系统调用局部规律性来建模;同时为了减少模型训练时间,该模型采用更为简单快捷的参数重估方法。最后,通过仿真实验,与传统HMM模型和二阶HMM做横向对比,证明了该模型的实用性。

关键词: 程序行为, 异常检测, 隐马尔科夫模型

Abstract:

Anomaly detection of program behavior is an important part of network anomaly detection. In traditional HMM, the probability of transition and the probability of the observed value is only related to the previous state, which leads to high false alarm rate and low detection rate. In this paper an improved 2HMM detection method is proposed, which is based on local regularity of the system calls. And in order to reduce the training time, the model uses a more simple parameter estimation algorithm. Finally, through the experiment, compared with the traditional HMM and traditional 2HMM,the superiority of the model is proved.

Key words: program behavior, anomaly detection, HMM

中图分类号:

TP309

吴鑫, 严岳松, 刘晓然. 基于改进HMM的程序行为异常检测方法[J]. 信息网络安全, 2016, 16(9): 108-112.

Xin WU, Yuesong YAN, Xiaoran LIU. Program Behavior Anomaly Detection Method Based on Improved HMM[J]. Netinfo Security, 2016, 16(9): 108-112.

图/表 4

参考文献 14

[1]	HOFMEYR S A,FORREST S,SOMAYAJI A.Intrusion Detection Using Sequence of System Calls[J].Journal of Computer Security,1998,6(3),151-180.
[2]	WARRENDER C,FORREST S,PEARLMUTTER B.Detecting Intrusions using System Calls: Alternative Data Models[C]//IEEE. 1999 IEEE Symposium on Security and Privacy,May 9-12, 1999,Oakland,CA.NJ:IEEE,1999:133-145.
[3]	党小超,马峻,郝占军.基于Improved-HMM的进程行为异常检测[J].计算机工程与设计,2011,32(4):1264-1267.
[4]	赵婧,魏彬,罗鹏,等.基于隐马尔科夫模型的入侵检测方法[J].四川大学学报,2016,48(1),106-110.
[5]	董玲,张宏莉,叶麟.基于系统调用序列分析入侵检测的层次化模型[J].智能计算机与应用,2014,4(4):13-16.
[6]	王琼,倪桂强,潘志松,等.基于改进隐马尔科夫模型的系统调用异常检测[J].数据采集与处理,2009,24(4):508-513.
[7]	郑海洋. 系统调用在主机入侵检测中的研究与应用[D].广州:广东工业大学,2011.
[8]	杨连群,温晋英,刘树发,等. 一种改进的图分割算法在用户行为异常检测中的应用[J]. 信息网络安全,2016(6):35-40.
[9]	郭彦明,陈黎飞,郭躬德.DNA序列的二阶隐马尔科夫模型分类[J].计算机系统应用,2015,24(9):22-28.
[10]	汤健,孙春来,毛克峰,等. 基于主元分析和互信息维数约简策略的网络入侵异常检测[J]. 信息网络安全,2015(9):78-83.
[11]	陈军霞,刘紫玉.基于Baum-Welch算法HMM模型的孤词算法研究[J].河北科技大学学报,2015,36(1):52-57.
[12]	钟锐. 基于隐马尔科夫模型的入侵检测系统研究[D].南昌:江西理工大学,2010.
[13]	吴晓平,周舟,李洪成. Spark框架下基于无指导学习环境的网络流量异常检测研究与实现[J]. 信息网络安全,2016(6):1-7.
[14]	UNM.University of New Mexico’s Computer Immune Systems Project[EB/OL]. ,2016-1-15.

[1]	顾兆军, 任怡彤, 刘春波, 王志. 基于一致性预测算法的内网日志检测模型[J]. 信息网络安全, 2020, 20(3): 45-50.
[2]	王伟, 沈旭东. 基于实例的迁移时间序列异常检测算法研究[J]. 信息网络安全, 2019, 19(3): 11-18.
[3]	杨威超, 郭渊博, 钟雅, 甄帅辉. 基于设备型号分类和BP神经网络的物联网流量异常检测[J]. 信息网络安全, 2019, 19(12): 53-63.
[4]	朱海麒, 姜峰. 人工智能时代面向运维数据的异常检测技术研究与分析[J]. 信息网络安全, 2019, 19(11): 24-35.
[5]	邓海莲, 刘宇靖, 葛一漩, 苏金树. 域间路由异常检测技术研究[J]. 信息网络安全, 2019, 19(11): 63-70.
[6]	李巍, 狄晓晓, 王迪, 李云春. 基于子图的服务器网络行为建模及异常检测方法研究[J]. 信息网络安全, 2018, 18(2): 1-9.
[7]	何利, 姚元辉. 基于上下文聚类的云虚拟机异常检测与识别策略[J]. 信息网络安全, 2018, 18(12): 54-65.
[8]	赵刚, 姚兴仁. 基于用户画像的异常行为检测模型[J]. 信息网络安全, 2017, 17(7): 18-24.
[9]	杨连群, 温晋英, 刘树发, 王峰. 一种改进的图分割算法在用户行为异常检测中的应用[J]. 信息网络安全, 2016, 16(6): 35-40.
[10]	何明亮, 陈泽茂, 左进. 基于多窗口机制的聚类异常检测算法[J]. 信息网络安全, 2016, 16(11): 33-39.
[11]	刘汝隽, 辛阳. 网络安全数据可视分析系统的设计与实现[J]. 信息网络安全, 2016, 16(11): 40-44.
[12]	汤健, 孙春来, 毛克峰, 贾美英. 基于主元分析和互信息维数约简策略的网络入侵异常检测[J]. 信息网络安全, 2015, 15(9): 78-83.
[13]	李凌云, 敖吉, 乔治, 李剑. 基于微博的安全事件实时监测框架研究[J]. 信息网络安全, 2015, 15(1): 16-23.
[14]	陆嘉琪. 用户异常行为检测技术在社交媒体等级保护实施中的应用[J]. , 2013, 13(Z): 0-0.
[15]	傅建明;李鹏伟;李晶雯. 敏感信息输入安全技术探究[J]. , 2013, 13(3): 0-0.

基于改进HMM的程序行为异常检测方法

Program Behavior Anomaly Detection Method Based on Improved HMM

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 14

相关文章 15

编辑推荐

Metrics

本文评价