基于隐马尔可夫模型的系统脆弱性检测(1)(2)
2015-06-12 02:06
导读:图1 基于HMM的入侵检测系统 审计数据预处理器负责将原始审计记录转变为分析引擎可以接受的标准格式。过滤器负责决定哪些审计事件是适合系统的、哪些
图1 基于HMM的入侵检测系统 审计数据预处理器负责将原始审计记录转变为分析引擎可以接受的标准格式。过滤器负责决定哪些审计事件是适合系统的、哪些审计数据字段对系统分析来说是充分有用的。基于HMM 的分类器负责对过滤后的数据进行分类,产生检测结果。 整个系统的工作过程分为两个阶段:训练阶段和检测阶段。在训练阶段,根据已知的正常审计数据和异常审计数据来训练分类器,并得出相应的参数。在检测阶段,预处理器将审计数据转换成标准格式,再通过过滤器得到充分有用的数据,然后通过基于HMM 的分类器进行分类,从而区分出正常行为和入侵行为。4 隐马尔可夫模型 马尔可夫模型是一个离散时域有限状态自动机,隐马尔可夫模型(HMM)是指这一马尔可夫模型的内部状态外界不可见,外界只能看到各个时刻的输出值。[4]隐马尔可夫模型本质上是一种双重随机过程有限状态自动机,其中的双重随机过程是指满足Markov分布的状态转换Markov 链以及每一状态的观察输出概率密度函数,共两个随机过程。 设Xi是一个随机变量,它表示时刻t 系统的状态,其中t=0,1,2,…。用HMM 建模系统正常行为特征需做出如下两个假设:P(Xi 1=it 1|X/t=it,Xi-1=it-1,…,x0=i0)=P(Xi 1=it 1|Xt=it (1)P(Xi 1=it 1|Xt=it)=P(Xi 1=j|Xt=i)=Pij (2) 对每个t 和所有的状态都成立。其中Pij表示系统在时刻t处于状态的条件下,在时刻t 1处于状态j的概率。等式(1)说明在时刻t 1 系统状态的概率分布只与时刻t 时的状态有关,而与时刻t以前的状态无关。等式(2)说明由时刻t 到时刻t 1的状态转移与时间无关。 如果系统有有限数目的状态:1,2…,s,则HMM可以用转移概率矩阵P和初始概率分布Q来定义:
(3)
(4) 其中qi是系统在时刻0时处于状态i的概率,并且:
(5) 给定状态序列Xt-k,...,Xt在时刻t-k,...,t出现的联合概率表示为:P(Xt-k,…,Xt)=
(6) 训练数据提供了在时刻t=0,1,...N-1时刻状态X0,X1,X2,...XN-1的观察值,HMM的转移概率矩阵和初始概率分布通过学习训练数据来得到。由训练数据计算转移概率矩阵和初始概率分布如下:Pij=Nij/Ni (7) qi=Ni/N (8) 其中Nij表示Xt在状态i、Xt 1在状态j的观察值对(Xt,Xt 1)的数目,Nt表示Xt在状态i、Xt 1在任何状态的观察值对(Xt,Xt 1)的数目,Ni表示Xt在状态i的数目,N表示观察值总数。共2页: 1 [2] 下一页 论文出处(作者):
(科教作文网http://zw.ΝsΕAc.Com编辑整理)
区分物态变化的科学探究
Windows 2000 中DHCP用户定义类别选项配置及其应用
