毕设准备.docVIP

  1. 1、本文档共7页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
毕设准备

毕设准备 一:我研究的课题为“基于智能手机的伪装者检测” 二:基本思路:每个用户在使用手机键盘时,都有他个人的规律。我们可以根据这个规律性来判断手机是否为机主本人在使用。 三:实验操作数据:训练阶段:搜集用户本人几天来敲击键盘产生的序列,建模。 检测阶段:收集这个用户的敲击键盘序列,然后就将这个序列输入到上面训练的模型C中,C将会输出一个值V。设定一个阈值T,如果V=T,则是原用户本人,如果VT,则为其他人。 四:android开发环境。 简介:android是Google于2007年11月5日宣布的基于Linux平台的开源手机操作系统,该平台由操作系统、中间件、用户界面和应用软件组成,号称是首个为移动终端打造的真正开放和完整的移动软件。 开发环境:安装JDK 1.6+,ECLIPSE,SDK 1.6+,ADT插件 五:几种最近研究的实现算法: 针对PC机的入侵检测的研究已经很成熟了,而且已经得到了普遍的应用。所以我们可以借鉴这些成型的算法,从而把他们应用于手机操作系统。 1.基于序列模式挖掘 训练: 设正常行为训练数据为R=(S1,S2,…,Sr); 设定义的短序列长度的集合为C={l(1),l(2),…,l(W)}; 用S1,S2,…,Sw表示由R生成的短序列长度分别为l(1),l(2),…,l(W)的W个短序列流。对于每个短序列流含有若干个相同长度的短序列。 计算对于每个序列流中短序列的支持度。支持度=某短序列出现次数/序列流中所有短序列的个数。 设置最小支持度,要求min支持度(S1) min支持度(S2)……. min支持度(Sw); 读取正常行为训练数据,根据支持度构造序列库:L={L(1),L(2),…,L(W)} 检测: 注意可以根据正常行为序列判定虚警概率,设定适当的窗口长度,判决门限的设置。 每个短序列都与序列库中的序列模式匹配,看是否存在相同序列。用0/1表示。求m每个短序列流结果之和,设为Sj. 为提高判定的准确性,采用滑动窗口机制,求所有短序列流的判决值,从而选出最终判决值,判决值=1/e* Sj.(e为滑动窗口大小)。最终判决值与判决门限进行比较(或设置多个判决门限,每个序列流对应的判决值与其判决门限进行比较,只要有一个小于判决门限的就是异常),从而判断是否异常。 这是一个需要不断改进的过程。 分析数据:实验结果包括:虚警率,检测概率和试验时间,根据这三项参数来判断方法的可行性。(注意可以根据正常行为序列判定虚警概率,) 难点:判决值,判决门限,滑动窗口大小等参数的选取,这些直接影响检测效率。(交叉验证或过等量迭代逼近的方法确定判决门限) 2.STIDE算法 STIDE算法针对异常行为的突发性特点,定义了在局部范围内反映异常行为的方法。算法首先以固定长度值的滑动窗口对正常行为序列进行扫描,将生成的一系列短序列存储到正常行为库中。对于未知行为的待测序列,采用同样的方法对其进行短序列划分,如果待测序列长度较短,可以直接将其生成的短序列与正常行为库中的短序列作比较,记录不匹配次数,比上序列长度求得异常率。如果待测序列长度不定或较长,算法记录待测序列与模式库内序列的海明距离(两个码字的对应比特取值不同的比特数称为这两个码字的海明距离)的最小值,当max(dmin)超过阈值时,判定异常发生。STIDE算法有相对较高的检测率和较低的误报率,并且计算成本低于HMM等方法。STIDE算法虽然计算成本比其他算法偏低,但实际应用中的成本仍然偏高。基于该算法并有一定简化的Process Homeostasis系统,应用程序的内核陷入时间增长了40%,成本相当高。 STIDE方法具有低虚警率和高检测率的特点,但问题是用于训练的窗口长度必须已知。而且STIDE方法有盲区,以致不能有效地检测出某些攻击 。 3. ripper算法 建立规则库阶段: 用一个固定长度的滑动窗口扫描正常(normal)的跟踪,产生唯一的系统调用序列表,每一个调用序列后增加一个类标签,其值为normal,这个表称为正常表.再扫描带有非正常(abnormal)的跟踪,也产生一个唯一的系统调用序列表,此表中的系统调用序列如果不能与正常表中的系统调用序列匹配,则增加类标签值为“abnormal”,反之为“normal”, RIPPER算法经过上述形式的输入,可以产生规则,从而组成规则库. 异常入侵检测阶段:用跟踪得到的系统调用序列与规则库中的规则进行匹配,如果满足为正常序列,否则为异常序列.当异常序列的数目达到所设阈值时,则判定为非法使用者。 数据挖掘(训练阶段):从预处理过的数据中提取用户行为特征或规则等,再对所得的规则进行归并更新,建立起规则库. 入侵检测(检测阶段):依据规则库的规则对当前用户的行为进行检测,根据得到的结果采取不同的应付手段.异常入侵

文档评论(0)

zw4044 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档