基于用戶行為的異常檢測(cè)系統(tǒng)研究與實(shí)現(xiàn).pdf

1、網(wǎng)絡(luò)在為用戶帶來(lái)便利的同時(shí)，也帶來(lái)了惡意入侵的風(fēng)險(xiǎn)，由此產(chǎn)生以入侵檢測(cè)技術(shù)為主的主動(dòng)防護(hù)技術(shù)。本文從分析計(jì)算機(jī)用戶的角度出發(fā)，以用戶行為為研究對(duì)象，分析審計(jì)數(shù)據(jù)的具體特征，為用戶行為建模，并結(jié)合機(jī)器學(xué)習(xí)的統(tǒng)計(jì)方差算法和最近鄰算法，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)基于用戶行為的異常檢測(cè)系統(tǒng)。本論文的具體工作如下：
　　 ·調(diào)研和分析入侵檢測(cè)技術(shù)、攻擊技術(shù)、用戶行為及模型、統(tǒng)計(jì)分析方法和基于實(shí)例學(xué)習(xí)的相關(guān)知識(shí)。
　　 ·以計(jì)算機(jī)用戶為研究對(duì)象

2、，分析用戶行為及其檢測(cè)屬性，針對(duì)用戶傳輸行為建模。
　　 ·以用戶傳輸行為中的檢測(cè)屬性IP地址和Service為核心，提出服務(wù)特征分析的概念，對(duì)審計(jì)數(shù)據(jù)進(jìn)行預(yù)處理，減小審計(jì)數(shù)據(jù)的規(guī)模，并使審計(jì)數(shù)據(jù)更加規(guī)整。
　　 ·針對(duì)統(tǒng)計(jì)方差算法，提出加權(quán)因子來(lái)調(diào)整可信區(qū)間的大小，從而在虛警率基本相持的情況下，提高檢測(cè)率。另外，引入最近鄰算法對(duì)攻擊行為分類，并使用統(tǒng)計(jì)方差算法來(lái)減小需要計(jì)算的已存儲(chǔ)實(shí)例數(shù)目。
　　 ·基于提出的

3、異常檢測(cè)算法和異常檢測(cè)模型，本文開(kāi)發(fā)實(shí)現(xiàn)了一個(gè)基于用戶行為的異常檢測(cè)系統(tǒng) ADSUB，并使用國(guó)際通用的入侵檢測(cè)評(píng)價(jià)數(shù)據(jù)集KDDCUP99進(jìn)行實(shí)驗(yàn)，來(lái)驗(yàn)證系統(tǒng)效果。我們首先選取部分用戶記錄作為先驗(yàn)數(shù)據(jù)，并使用統(tǒng)計(jì)方差算法分別計(jì)算正常用戶行為記錄和不同攻擊類型記錄的均值和閾值，形成正常/異常用戶行為輪廓，然后再取部分用戶行為記錄作為待檢測(cè)數(shù)據(jù)，將待檢測(cè)用戶記錄與正常記錄的閾值比較，分析是否異常，如果異常，則結(jié)合不同攻擊類型記錄的均值、閾值以