欢迎来到天天文库
浏览记录
ID:46621665
大小:1.65 MB
页数:5页
时间:2019-11-26
《基于条件随机场的异常协议行为检测方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、第33卷第6期计算机应用研究Vol.33No.62016年6月ApplicationResearchofComputersJun.2016*基于条件随机场的异常协议行为检测方法刘帅,杨英杰,常德显(解放军信息工程大学密码工程学院,郑州450001)摘要:针对现有异常应用协议行为检测主要针对某种特定应用,缺乏通用性的问题,提出一种基于条件随机场的异常应用协议行为检测方法,从网络数据流中提取应用协议关键字及其时间间隔作为状态特征,同时考虑关键字的频率分布特征,应用条件随机场模型对协议行为进行建模,将偏离模型的协议行为判定为异常。相比于传统的
2、基于隐马尔可夫模型建模方法,该方法不必对特征量作严格的独立性假设,具有能够融合多特征的优势。实验结果表明,该方法在检测协议异常时准确率高、误报率低。关键词:条件随机场;异常协议行为检测;异常检测;协议关键字;协议行为中图分类号:TP393.08文献标志码:A文章编号:1001-3695(2016)06-1867-04doi:10.3969/j.issn.1001-3695.2016.06.059ProtocolanomalybehaviordetectionbasedonCRFLiuShuai,YangYingjie,ChangDexi
3、an(CollegeofCryptographyEngineering,PLAInformationEngineeringUniversity,Zhengzhou450001,China)Abstract:Aimingattheproblemthatthetraditionalprotocolanomalybehaviordetectionisdesignedforspecificprotocolorapplicationandisnotinterchangeable,thispaperproposedaconditionalrandom
4、field(CRF)basedprotocolanomalybehaviordetectionalgorithm.Itextractedapplicationprotocolkeywordsandtheirintervalsfromnetworkdatastreamasstatefeature,thentookintoaccountthefrequentdistributionofkeywords,finallymodeledapplicationbehaviorbasedonCRFanddeter-minedthebehaviordev
5、iatedfromthemodeltobeabnormal.ComparedtothetraditionalmodelbasedonhiddenMarkovmode-lingmethod,thismethoddoesnothavetomakethefeaturequantitystrictindependenceassumptionandhasmulti-featureinte-grationadvantages.Experimentalresultsshowthattheproposedmethodcandetecttheabnorma
6、lapplicationbehaviorwithhighaccuracyandlowfalsealarmrate.Keywords:CRF;protocolanomalybehaviordetection;anomalydetection;protocolkeywords;protocolbehavior输入,从而对正常协议行为进行建模,检测协议行为异常。同0引言时,他们又提出一种同时考虑数据包的状态转移特性和频率特[5]性的异常协议行为检测方法。现有的异常协议行为检测方法主要分为两种,一种是基于可见目前的异常协议行为检测技术大多都基于数
7、据流的有限状态机的异常协议行为检测,一种是基于马尔可夫模型的传输层或网络层特征进行分析,而大多数应用层攻击的网络数异常协议行为检测。基于有限状态机的异常协议行为检测方据流与正常数据流在网络层和传输层无明显区别,故流量行为法是通过对协议内状态进行建模,运用协议状态之间的转换描分析技术很难检测到这类异常。目前国内外学者提出了一些述正常行为,所有不符合这些状态转换的就是异常行为。如有效的应用层异常检测方法,这些方法都是从应用层角度识别[1]Yoo根据TCP状态图建立了状态机校验模型,从而检测协议网络异常,但其中大部分都是针对某种具体应用进行异常
8、检测[2]异常;高磊等人提出一种基于Petri网的异常协议行为检测的,如HTTP木马检测,通性的应用层异常检测方法比较少。模型,在TCP协议砖头盖转移图的基础上,规定了每个状态下在本文的研究中
此文档下载收益归作者所有