基于隐马尔可夫模型的滑窗宽度可变异常检测【摘要】隐马尔可夫模型是一种实现异常入侵检测的重要方法已有的研究方法主要是利用系统调用建立系统正常模型比较>>基于模糊滑窗隐马尔可夫模型的入侵检测研究基于隐马尔可夫模型的语音激活检测算法马尔可夫及隐马尔可夫模型在数据挖掘中的应用基于OpenCL的隐马尔可夫模型的GPU并行实现基于连续隐马尔可夫模型的旋律检索算法研究基于隐马尔可夫模型的物流企业客户违约风险评估基于隐马尔可夫模型的人脸识别研究与实现隐马尔可夫模型下基于SIFT特征的局部遮挡目标识别基于多模板隐马尔可夫模型的文本信息抽取算法基于隐马尔可夫模型的维吾尔语连续语音识别系统基于马尔可夫模型和支持向量机的JPEG图像隐写分析基于改进隐马尔可夫模型的网络动态风险评估一种基于隐马尔可夫模型的协议识别技术基于混合二阶隐马尔可夫模型的基因结构预测基于隐马尔科夫模型的资源滥用行为检测研究一种基于隐马尔可夫模型的儿童行为识别系统的研究基于灰色-马尔可夫改进的预测模型基于马尔可夫的软件可信评估模型研究HMM(隐马尔可夫模型)及其应用基于Multi－streamCombined隐马尔柯夫模型源端检测DDoS攻击常见问题解答当前所在位置：中提供的程序。实验数据来自新墨西哥州大学计算机科学系的StephanieForrest教授等人他们记录了系统正常运行与遭受入侵时Sendmail守护进程的系统调用数据。共有46个不同的系统调用即有n=46个状态。使用Baum-Welch算法对得到的数据进行处理这样就得到了系统正常运行时的行为模型。采用10条序列作为测试样本其中5条为系统正常时Sendmail进程的系统调用序列其余5条为系统遭受入侵时Sendmail进程的系统调用序列。用训练得到的系统正常模型来检测这10条测试序列得到结果。实验结果如图4所示。图4中横坐标是滑动窗口宽度纵坐标是进程系统调用序列的平均信息熵虚线为异常进程实线为正常进程。从实验结果可以看出当采用传统算法取μ=11、w=4时会误判正常进程1为异常进程误判异常进程2、3为正常进程。只有取滑动窗口宽度w≥8时才能正确识别所有进程。一个实时检测系统在正常运行时会处理大量的观察序列对所有进程序列采用这样较长的滑动窗口宽度会明显增加计算量。采用窗口可变的检测算法取μ1=8μ2=14M=10=2则在w=4时大部分进程全部识别完成。但因为进程1、2、3的平均信息熵在之间所以需要增加滑动窗口宽度来判断它们是否异常。在w=6时进程1、2识别完成。在w=8时识别出进程3为异常进程。这样就在保证准确率的同时减小了检测的计算量。计算机系统在正常工作时会产生大量重复的系统调用采用文章提出的算法可以显著提高检测系统的实时性。实验中在训练模型相同的情况下与μ=11、w=8的固定滑动窗口宽度的算法相比文章提出的检测算法运行时间仅约为其一半。需要注意的是如果异常进程的平均信息熵小于或正常进程的平均信息熵大于则无论采用哪种检测方法都将产生误判。但相对于固定滑动窗口以为阈值文章提出的算法增大了容差范围因此提高了检测的准确率。此外异常检测系统自动设置参数μ1、μ2、M、的方法需要进一步研究。5结束语文章首先介绍了隐马尔可夫模型的表示在此基础上介绍了入侵检测系统正常模型的训练方法。利用平均信息熵的概念对观察序列进行检测并改进了原先固定滑动窗口宽度的检测算法提出了逐步增加滑动窗口宽度来减小计算量的方法。最后通过仿真实验表明文章改进的检测算法相对于原来固定滑动窗口宽度的算法在保证准确率不降低的前提下减小了检测的计算量提升了检测系统的实时性。参考文献[1]BaceRMellP.IntrusionDetectionSystems[J].NationalInstituteofStandard&TechnologyElsevierLtd20012：70-74Vol.1.[2]HoqueMSMukitMABikasMAN.AnImplementationOfIntrusionDetectionSystemUsingGeneticAlgorithm[J].InternationalJournalofNetworkSecurity&ItsApplicationsVolume4Number2pages109-1202012（2）.[3]王强蒋天发.分布式入侵检测系统模型研究[J].计算机工程200708：154-156.