基于shell命令的伪装攻击检测研究

   姓    名：  肖喜       学科专业： 信息安全

      研究方向： 入侵检测    指导教师： 翟起滨 教授

摘   要

 伪装攻击（masquerade attack）是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为。伪装攻击检测已成为当前网络安全领域研究的热点内容。

 本文研究了基于Unix平台shell命令的伪装攻击检测方法，我们充分考虑到用户行为的多变性和伪装攻击的特点，从用户行为变化的不同方式出发，提出了立体式伪装攻击检测新方法:

 （1）对行为比较有规律的用户，提出基于一阶马尔科夫链模型的伪装攻击检测新方法。新方法采用阶梯式归并数据的方法划分状态，状态对应的shell命令序列范畴扩大，增强了检测系统的泛化能力和容错能力，提高了检测准确率，减少了存储成本。新方法利用频率优先的方法匹配状态，降低了计算成本。

 （2）对行为复杂且时变性不强的用户，提出基于多阶马尔科夫链模型的伪装攻击检测方法。每个shell命令不仅与它前面一个shell命令有关，还会与它之前的多个shell命令相关。多阶马尔科夫链模型考虑了shell命令的多相关性，更符合行为复杂且时变性不强用户实际操作shell命令的特点，因此该方法增强了对用户行为的描述能力。

 （3）对行为变化频繁的用户，提出基于状态长度可变的马尔科夫链模型的伪装攻击检测方法。马尔科夫链状态对应的shell命令序列的长度可变，克服了固定长度模型只用长度相同的shell命令序列刻画用户行为的单一性，增强了对不同类型用户行为变化的适应性，提高了系统的检测性能。

 （4）对行为模式隐蔽的用户，提出基于正则化共生矩阵的伪装攻击检测方法。该方法利用阶梯式数据归并方法定义事件，大幅度减少了事件数目，从而减少了由高维矩阵带来的储存量。检测时与传统方法不一样，一种方法计算事件短序列的关联概率，另一种则利用矩阵范数定义距离来描述行为之间的相异程度。这类方法的计算复杂度得到了显著降低。

 我们的实验结果表明，与其它相关方法相比，这些新方法提高了检测准确率，同时在存储需求和计算成本上具有优势，改善了检测系统的整体性能。