[发明专利]伪装攻击检测中的模型训练方法和检测方法

说明书

技术领域

本发明涉及计算机网络安全领域，特别涉及伪装攻击检测中的模型训练方法和检测方法。 

背景技术

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为。近年来，伪装攻击在网络信息安全事件中的比例不断增长，成为对系统破坏最为严重的攻击方式之一。目前，伪装攻击检测在保障网络信息安全中发挥着越来越大的作用。 

伪装攻击检测是当前网络安全领域研究的热点。由于合法用户的行为本身是变化的，且伪装用户的行为可能看起来是正常的，这种不确定性使得实现伪装攻击检测比传统的网络攻击检测更为困难。目前的伪装攻击检测方法和系统大多采用异常检测技术，这种技术对合法用户的正常行为进行建模，通过被监测用户的实际行为与合法用户正常行为之间的比较或匹配来检测攻击。采用异常检测技术的伪装攻击检测方法和系统的优点是不需要过多有关攻击行为的先验知识，且能够检测出未知的攻击类型；但与此同时，此类伪装攻击检测方法和系统也具有误报率高、检测效率难以满足高速网络实时检测需求等问题，从而会降低检测方法和系统的可用性。这也是影响此类伪装攻击检测方法和系统实际应用的主要因素。此外，由于用户行为的多变性，检测所需的训练数据往往不够充分，这就要求检测模型应当具有一定的容错性、泛化能力以及对用户行为变化的适应性。如何利用相对不够充分的训练数据来尽可能精确地描述用户的正常行为轮廓，以及如何利用该正常行为轮廓进行伪装攻击检测是当前主要的技术难点。 

目前，在以Unix或Linux平台上shell命令为审计数据的用户伪装攻击检测方法中，基于神经网络、支撑矢量机或隐马尔可夫模型来描述用户的正常行为轮廓是主流的做法。与一般的异常检测方法相类似，此类方法存在的主要问题是对用户行为变化缺乏适应性，检测性能的稳定性和容错能力不够强，检测准确度也有待提高。 

发明内容

本发明的目的是克服现有伪装攻击检测方法对用户行为变化缺乏适应性、检测性能的稳定性和容错能力不够强、检测准确度不高的缺陷，从而提供一种适应性广、稳定性高、容错能力强、检测准确度较高的伪装攻击检测方法。 

为了实现上述目的，本发明提供了一种伪装攻击检测中的模型训练方法，包括： 

步骤1)、由合法用户正常行为的训练数据中的shell命令短序列生成多个具有不同长度的shell命令短序列流；一个所述shell命令短序列流包括有具有某一特定长度的shell命令短序列，所述长度为所述shell命令短序列中所含shell命令符号的个数； 

步骤2)、在各个shell命令短序列流中计算所含shell命令短序列在所在短序列流中的支持度； 

步骤3)、将shell命令短序列的支持度大小与所在shell命令短序列流的最小支持度参数进行比较，去除各个shell命令短序列流中支持度小于最小支持度参数的shell命令短序列，从而得到用于描述合法用户正常行为的序列库。 

上述技术方案中，所述的步骤1)包括： 

步骤1-1)、设定滑动窗口的大小； 

步骤1-2)、利用所述滑动窗口在所述训练数据的shell命令短序列中逐步截取shell命令符号，得到具有相同长度的shell命令短序列，组成所述的shell命令短序列流； 

步骤1-3)、改变滑动窗口的大小后重新执行步骤1-2)，直到滑动窗口的大小已经涵盖所有shell命令短序列的长度。 

上述技术方案中，在所述的步骤2)中，对所述支持度的计算采用如下公式： 

support(S+i)=number(S+i)/(r-l(i)+1)]]>