公开(公告)号：CN101702720A

公开(公告)日：2010-05-05

申请号：CN200910235890.3

申请日：2009-10-28

Applicant: 中国科学院计算技术研究所

Inventor： 田新广 ,  程学旗 ,  刘悦 ,  许洪波 ,  段洣毅

IPC: H04L29/06 ,  H04L9/00

Abstract: 本发明提供一种伪装攻击检测中的模型训练方法，包括：由合法用户正常行为的训练数据中的shell命令短序列生成多个具有不同长度的shell命令短序列流；一个所述shell命令短序列流包括有具有某一特定长度的shell命令短序列，所述长度为所述shell命令短序列中所含shell命令符号的个数；在各个shell命令短序列流中计算所含shell命令短序列在所在短序列流中的支持度；将shell命令短序列的支持度大小与所在shell命令短序列流的最小支持度参数进行比较，去除各个shell命令短序列流中支持度小于最小支持度参数的shell命令短序列，从而得到用于描述合法用户正常行为的序列库。本发明具有适应性广、稳定性高、容错能力强、检测准确度较高的优点。

公开(公告)号：CN101702720B

公开(公告)日：2012-09-05

申请号：CN200910235890.3

申请日：2009-10-28

Applicant: 中国科学院计算技术研究所

Inventor： 田新广 ,  程学旗 ,  刘悦 ,  许洪波 ,  段洣毅

IPC: H04L29/06 ,  H04L9/00

Abstract: 本发明提供一种伪装攻击检测中的模型训练方法，包括：由合法用户正常行为的训练数据中的shell命令短序列生成多个具有不同长度的shell命令短序列流；一个所述shell命令短序列流包括有具有某一特定长度的shell命令短序列，所述长度为所述shell命令短序列中所含shell命令符号的个数；在各个shell命令短序列流中计算所含shell命令短序列在所在短序列流中的支持度；将shell命令短序列的支持度大小与所在shell命令短序列流的最小支持度参数进行比较，去除各个shell命令短序列流中支持度小于最小支持度参数的shell命令短序列，从而得到用于描述合法用户正常行为的序列库。本发明具有适应性广、稳定性高、容错能力强、检测准确度较高的优点。