文档介绍:东南大学硕士学位论文基于用户行为的异常检测系统研究与实现姓名:孟杰申请学位级别:硕士专业:计算机应用技术指导教师:夏勤;吴国新 20090927 摘要摘要网络在为用户带来便利的同时,也带来了恶意入侵的风险,由此产生以入侵检测技术为主的主动防护技术。本文从分析计算机用户的角度出发,以用户行为为研究对象,分析审计数据的具体特征,为用户行为建模,并结合机器学习的统计方差算法和最近邻算法,设计实现了一个基于用户行为的异常检测系统。本论文的具体工作如下: 调研和分析入侵检测技术、攻击技术、用户行为及模型、统计分析方法和基于实例学习的相关知识。以计算机用户为研究对象,分析用户行为及其检测属性,针对用户传输行为建模。以用户传输行为中的检测属性口地址和Service为核心,提出服务特征分析的概念,对审计数据进行预处理,减小审计数据的规模,并使审计数据更加规整。针对统计方差算法,提出加权因子来调整可信区间的大小,从而在虚警率基本相持的情况下,提高检测率。另外,引入最近邻算法对攻击行为分类,并使用统计方差算法来减小需要计算的已存储实例数目。基于提出的异常检测算法和异常检测模型,本文开发实现了一个基于用户行为的异常检测系统 ADSUB,,来验证系统效果。我们首先选取部分用户记录作为先验数据,并使用统计方差算法分别计算正常用户行为记录和不同攻击类型记录的均值和阈值,形成正常屏常用户行为轮廓,然后再取部分用户行为记录作为待检测数据,将待检测用户记录与正常记录的阈值比较,分析是否异常,如果异常,则结合不同攻击类型记录的均值、阈值以及最近邻算法,判断异常属于哪种攻击。本论文通过用户行为和检测属性的分析来规整审计数据,通过统计方差算法和最近邻算法来提高检测性能,并以此为基础开发实现了一个高效的基于用户行为的异常检测系统ADSUB。关键词:入侵检测,用户行为,服务特征分析,统计,最近邻分类号:TP393 东南大学硕士学位论文 Abstract Internc:tbrings agreat convenience forpeople as well as themalicious all active defending technology,Intrusion Detection, paper researches theuser'S behavior and the concrete characteristics ofaudit data intheviewpoint ofanalyzing puter thepaper adopts andimproves thestatisticsvariance modeland thenearest neighbor thepaper established ananomaly detection model based onuser’sbehavior,also implemented allactualanomaly main research work ofthe paper asfollows: Investigateandanalyze theknowledge ofintrusiondetection,malicious attack,USer’Sbehavior,USer model,statistics andCase-basedlearning. ●Take research puter USel"S,analyze theuser’S behavior andcharacteristic,and propose amodel based onusertransmissionbehavior. ●Propose theconcept ofservice characteristic analysis based on口address and service ofdetecting attributesinuser theauditdataandreduce thenumber ofauditdata to make reasonable. ●Put forward amethod based on theweight factortomake themodel ofstatisticsvariance beRerand improve theperformance without increasing th