技術領域

本發明涉及計算機網絡安全領域，特別涉及偽裝攻擊檢測中的模型訓練方法和檢測方法。?

背景技術

偽裝攻擊是指非授權用戶通過偽裝成合法用戶來獲得訪問關鍵數據或更高層訪問權限的行為。近年來，偽裝攻擊在網絡信息安全事件中的比例不斷增長，成為對系統破壞最為嚴重的攻擊方式之一。目前，偽裝攻擊檢測在保障網絡信息安全中發揮著越來越大的作用。?

偽裝攻擊檢測是當前網絡安全領域研究的熱點。由于合法用戶的行為本身是變化的，且偽裝用戶的行為可能看起來是正常的，這種不確定性使得實現偽裝攻擊檢測比傳統的網絡攻擊檢測更為困難。目前的偽裝攻擊檢測方法和系統大多采用異常檢測技術，這種技術對合法用戶的正常行為進行建模，通過被監測用戶的實際行為與合法用戶正常行為之間的比較或匹配來檢測攻擊。采用異常檢測技術的偽裝攻擊檢測方法和系統的優點是不需要過多有關攻擊行為的先驗知識，且能夠檢測出未知的攻擊類型；但與此同時，此類偽裝攻擊檢測方法和系統也具有誤報率高、檢測效率難以滿足高速網絡實時檢測需求等問題，從而會降低檢測方法和系統的可用性。這也是影響此類偽裝攻擊檢測方法和系統實際應用的主要因素。此外，由于用戶行為的多變性，檢測所需的訓練數據往往不夠充分，這就要求檢測模型應當具有一定的容錯性、泛化能力以及對用戶行為變化的適應性。如何利用相對不夠充分的訓練數據來盡可能精確地描述用戶的正常行為輪廓，以及如何利用該正常行為輪廓進行偽裝攻擊檢測是當前主要的技術難點。?

目前，在以Unix或Linux平臺上shell命令為審計數據的用戶偽裝攻擊檢測方法中，基于神經網絡、支撐矢量機或隱馬爾可夫模型來描述用戶的正常行為輪廓是主流的做法。與一般的異常檢測方法相類似，此類方法存在的主要問題是對用戶行為變化缺乏適應性，檢測性能的穩定性和容錯能力不夠強，檢測準確度也有待提高。?

發明內容

本發明的目的是克服現有偽裝攻擊檢測方法對用戶行為變化缺乏適應性、檢測性能的穩定性和容錯能力不夠強、檢測準確度不高的缺陷，從而提供一種適應性廣、穩定性高、容錯能力強、檢測準確度較高的偽裝攻擊檢測方法。?

為了實現上述目的，本發明提供了一種偽裝攻擊檢測中的模型訓練方法，包括：?

步驟1)、由合法用戶正常行為的訓練數據中的shell命令短序列生成多個具有不同長度的shell命令短序列流；一個所述shell命令短序列流包括有具有某一特定長度的shell命令短序列，所述長度為所述shell命令短序列中所含shell命令符號的個數；?

步驟2)、在各個shell命令短序列流中計算所含shell命令短序列在所在短序列流中的支持度；?

步驟3)、將shell命令短序列的支持度大小與所在shell命令短序列流的最小支持度參數進行比較，去除各個shell命令短序列流中支持度小于最小支持度參數的shell命令短序列，從而得到用于描述合法用戶正常行為的序列庫。?

上述技術方案中，所述的步驟1)包括：?

步驟1-1)、設定滑動窗口的大小；?

步驟1-2)、利用所述滑動窗口在所述訓練數據的shell命令短序列中逐步截取shell命令符號，得到具有相同長度的shell命令短序列，組成所述的shell命令短序列流；?

步驟1-3)、改變滑動窗口的大小后重新執行步驟1-2)，直到滑動窗口的大小已經涵蓋所有shell命令短序列的長度。?

上述技術方案中，在所述的步驟2)中，對所述支持度的計算采用如下公式：?

support(S+i)=number(S+i)/(r-l(i)+1)]]>