湯雨歡，施 勇，薛 質(zhì)

（上海交通大學(xué) 電子信息與電氣工程學(xué)院，上海 200240）

0 引 言

信息安全領(lǐng)域的大部分研究集中在對(duì)受保護(hù)系統(tǒng)的入侵檢測(cè)[1]。在參與CERT（計(jì)算機(jī)應(yīng)急響應(yīng)小組）調(diào)查的組織中，46%表示由內(nèi)部攻擊造成的損害比外部攻擊更為嚴(yán)重[2]。內(nèi)部攻擊者可以分為偽裝者和叛徒兩類。試圖訪問受限信息的每個(gè)合法用戶都屬于叛徒，他們非常了解內(nèi)部組織架構(gòu)，故傾向于像合法用戶一樣行事。對(duì)叛徒部署如蜜罐或誘餌文件之類的陷阱，是最常見的檢測(cè)方法[3]。而偽裝者是未經(jīng)授權(quán)的外部用戶。他們以某種方式模擬授權(quán)用戶執(zhí)行惡意活動(dòng)，但偽裝者很有可能不完全了解該系統(tǒng)[4]。已有許多方法被提出用于偽裝檢測(cè)，他們大多使用[5]介紹的Schonlau數(shù)據(jù)集，而該數(shù)據(jù)集由用戶鍵入命令行的歷史記錄組成。Schonlau等人將6種不同的統(tǒng)計(jì)方法（uniqueness、Bayes one-step Markov、hybrid multistep Markov、compression和sequence-match等）應(yīng)用到這個(gè)公開數(shù)據(jù)集，目的是檢測(cè)偽裝用戶。但是，結(jié)果顯示檢測(cè)率很低（介于34.2%和69.3%之間），假陽性率在1.4%和6.7%之間。接著，Maxion[6]等人使用樸素貝葉斯模型來檢測(cè)偽裝。該模型的基本假設(shè)是命令的獨(dú)立性。雖然這個(gè)假設(shè)在偽裝情況下是不現(xiàn)實(shí)的，但樸素貝葉斯技術(shù)仍然比先前提到的6種技術(shù)提供了更好的結(jié)果。Coull等人[7]受生物信息學(xué)中匹配算法的啟發(fā)，提出了一種半全局比對(duì)技術(shù)。Kim和Cha[8]將“共同命令”和“投票引擎”概念應(yīng)用到支持向量機(jī)算法。Seo[9]等人研究了不同的SVM內(nèi)核組合，并證明了N-gram和String內(nèi)核配置優(yōu)于通用的RBF內(nèi)核。

以上這些方法中的基本假設(shè)是偽裝者的行為可能會(huì)偏離正常用戶的典型行為。任何給定技術(shù)的表現(xiàn)都是以誤報(bào)率（False Positive Rate）和命中率（Hit Rate）來衡量的。同一個(gè)算法，伴隨命中率的增加，誤報(bào)率通常也會(huì)增加。一項(xiàng)成功的技術(shù)將具有較高的檢測(cè)率（命中率）和較低的誤報(bào)率。

本文提出了一種集成機(jī)器學(xué)習(xí)和自然語言處理的方法。使用自然語言處理中的N-Gram方法，選擇合理N值對(duì)命令序列進(jìn)行分段，結(jié)合TF-IDF加權(quán)技術(shù)用于特征提取，然后分別使用隨機(jī)森林（Random Forest）分類器和多層感知器（MLP）對(duì)每個(gè)用戶根據(jù)其正常命令序列特征構(gòu)建模型檢測(cè)偽裝者。本文在Schonlau數(shù)據(jù)集上進(jìn)行實(shí)驗(yàn)，并將獲得的結(jié)果與現(xiàn)有研究方法的結(jié)果進(jìn)行比較。使用以誤報(bào)率（False Positive Rate）為橫軸、命中率（Hit Rate）為縱軸組成的ROC曲線分析實(shí)驗(yàn)結(jié)果。

1 檢測(cè)方案設(shè)計(jì)

1.1 偽裝檢測(cè)系統(tǒng)的體系結(jié)構(gòu)

圖1是UNIX系統(tǒng)中偽裝檢測(cè)系統(tǒng)的完整體系結(jié)構(gòu)圖。

圖1 偽裝檢測(cè)系統(tǒng)架構(gòu)

此方案中，系統(tǒng)架構(gòu)與審計(jì)數(shù)據(jù)庫中的源數(shù)據(jù)無關(guān)。審計(jì)數(shù)據(jù)可以是關(guān)于計(jì)算機(jī)系統(tǒng)的各種記錄，如文件訪問記錄、郵件收發(fā)記錄、資源使用情況、系統(tǒng)登錄記錄、網(wǎng)絡(luò)數(shù)據(jù)包、命令跟蹤和界面交互式事件等。

本研究專注于基于主機(jī)的IDS，通過分析用戶在UNIX環(huán)境中鍵入的命令行數(shù)據(jù)來執(zhí)行偽裝檢測(cè)?？梢允褂肬NIX的acct審計(jì)機(jī)制收集用戶的Shell命令。為了有效比較新方法的檢測(cè)精度與以前方法的檢測(cè)精度，本實(shí)驗(yàn)基于SEA[4]公共命令數(shù)據(jù)集。

由于工作內(nèi)容、輸入習(xí)慣以及對(duì)計(jì)算機(jī)系統(tǒng)的熟悉程度不同，每個(gè)用戶在發(fā)布命令時(shí)都表現(xiàn)出特定的特征，而用戶之間的這些差異使偽裝檢測(cè)成為可能。本文對(duì)每個(gè)用戶提取其歷史正常命令序列的特征，由此構(gòu)建模型后，將待檢測(cè)的命令序列與當(dāng)前用戶模型進(jìn)行比較，區(qū)分入侵者。因此，建立特征是學(xué)習(xí)算法的第一步，然后從每個(gè)用戶的命令序列中提取N-Gram頻率特征。

1.2 序列信息的特征提取

特征信息的提取是偽裝入侵檢測(cè)中最重要的部分。在基于UNIX命令的偽裝入侵檢測(cè)中，單個(gè)命令是能夠反映用戶活動(dòng)并具有一定含義的最小單元。然而，單一命令在表達(dá)用戶特征方面非常有限。本文使用SEA數(shù)據(jù)集的固有配置，即連續(xù)的100個(gè)命令作為一個(gè)命令塊，以便與其他先前的實(shí)驗(yàn)進(jìn)行公平比較。詞袋模型（Bag of Words）忽略了命令順序，只是單純統(tǒng)計(jì)命令塊中同一命令出現(xiàn)的次數(shù)。

為了減少偽裝檢測(cè)系統(tǒng)中的誤報(bào)數(shù)量，提取序列信息特征，同時(shí)考慮命令順序和出現(xiàn)頻率，用于訓(xùn)練準(zhǔn)確的用戶行為模型。命令序列可以是多個(gè)N-Gram序列的組合。N-Gram作為簡(jiǎn)單文本表示技術(shù)，將字符串轉(zhuǎn)換為固定長(zhǎng)度的高維特征向量，其中每個(gè)特征對(duì)應(yīng)于連續(xù)的子字符串，可以評(píng)估2個(gè)長(zhǎng)度相同或不同的字符串間的差異程度。它的關(guān)鍵優(yōu)勢(shì)在于，短語本身可以攜帶比單個(gè)元素更多的信息。因此，使用N-Gram作為特征的用戶行為的表達(dá)能力大于單個(gè)詞的表達(dá)能力。廣義的N-Gram是指長(zhǎng)字符序列中的N個(gè)字符片段，本文中即指N個(gè)連續(xù)的命令。這里只關(guān)心相鄰命令之間的關(guān)系，特別是在命令序列中出現(xiàn)多次的N-Gram片段之間的關(guān)系，顯示出用戶輸入命令的偏好，如圖2所示。一般，包含K個(gè)命令的命令序列包含K-N+1個(gè)N-Gram序列。

圖2 N-Gram對(duì)命令序列的分割

建立N-Gram特征的過程較為簡(jiǎn)單，只需要對(duì)每個(gè)用戶的審計(jì)數(shù)據(jù)分別進(jìn)行掃描，將具有大于K的頻率的N-Grams提取為用戶特征?？紤]到頻率低的N-gram特征更具有特異性，頻率高的N-Gram特征通用性高，應(yīng)將N值限制在一定的合理范圍內(nèi)，以提供更好的用戶區(qū)分性和出現(xiàn)在待檢測(cè)序列中的更大可能性。

1.3 使用TF-IDF計(jì)算N-Gram序列權(quán)重

在待檢測(cè)序列被分成一系列N-Gram序列組合后，必須為當(dāng)前用戶計(jì)算每個(gè)N-Gram序列的權(quán)重，以評(píng)估整個(gè)序列。

根據(jù)Unix環(huán)境下的命令輸入特性和異常檢測(cè)目的，權(quán)重計(jì)算應(yīng)符合以下條件。首先，應(yīng)該賦予用戶頻繁出現(xiàn)的命令序列更大的權(quán)重，因?yàn)檫@些命令代表了用戶經(jīng)常參與的某些特定行為。其次，為單個(gè)用戶頻繁出現(xiàn)但其他用戶很少使用的命令序列賦予更大的權(quán)重，因?yàn)檫@些命令對(duì)區(qū)分用戶非常有用。最后，每個(gè)用戶頻繁出現(xiàn)的基本操作命令應(yīng)該受到權(quán)重限制，因?yàn)檫@些命令通常會(huì)干擾檢測(cè)。

基于上述考慮，引入TF-IDF[10]模型計(jì)算每個(gè)命令序列特征的權(quán)重。TF-IDF作為一種數(shù)字統(tǒng)計(jì)量，旨在反映某個(gè)單詞對(duì)集合或語料庫中的文檔的重要性。

TF-IDF的值隨文檔出現(xiàn)在文檔中的次數(shù)成比例增加，并且被文檔中單詞的頻率所抵消，這有助于調(diào)整一些頻繁出現(xiàn)的單詞。

TF-IDF的計(jì)算公式如下：

詞頻tf(t,d )是指給定N-Gram序列在檢測(cè)當(dāng)前用戶時(shí)出現(xiàn)的次數(shù)，平滑后的逆文檔頻率idf(t)按式（2）計(jì)算：

其中，nd是用戶總數(shù)，df(t,d )是包含N-Gram序列t的用戶數(shù)量。逆文檔頻率idf(t)表示如果用戶使用該序列的頻率越低，則該序列的idf(t)越大，表明該序列具有更大的區(qū)分用戶的能力。

1.4 隨機(jī)森林（Random Forest）

由于具備良好的分類能力、可擴(kuò)展性強(qiáng)、易解釋性等特點(diǎn)，隨機(jī)森林方法[11]是最流行的集成方法之一。直觀上，隨機(jī)森林可視為多棵決策樹的集成，弱分類器決策樹通過集成得到魯棒性更強(qiáng)的分類器，具備更好的泛化誤差，不容易產(chǎn)生過擬合現(xiàn)象。

1.5 多層感知器（MLP）

多層感知器是一個(gè)典型的前饋人工神經(jīng)網(wǎng)絡(luò)[12]，前饋是指每一層的輸出都直接作為下一層的輸入。除輸入節(jié)點(diǎn)外，每個(gè)節(jié)點(diǎn)都是使用非線性激勵(lì)函數(shù)的神經(jīng)元。圖3解釋了3層MLP的概念，即輸入層、隱藏層和輸出層。多個(gè)隱藏層和非線性激勵(lì)函數(shù)的使用將多層感知器與線性感知器區(qū)別開來，具備了分類不線性可分?jǐn)?shù)據(jù)的能力。

圖3 包含一個(gè)隱藏層的多層感知器

2 實(shí)驗(yàn)結(jié)果分析

2.1 基于實(shí)驗(yàn)數(shù)據(jù)及配置

Schonlau等人[5]提出了偽裝者內(nèi)部攻擊的形式，收集并構(gòu)造了一套檢測(cè)偽裝入侵的數(shù)據(jù)集。該數(shù)據(jù)集憑借公開性和廣泛使用性，已成為偽裝入侵檢測(cè)領(lǐng)域事實(shí)上的標(biāo)準(zhǔn)。他們共收集了70個(gè)用戶的UNIX命令歷史記錄，從中隨機(jī)選擇50個(gè)組成數(shù)據(jù)集的用戶，其他20名用戶則被用作偽裝者。50個(gè)用戶中的每個(gè)用戶的前5 000個(gè)命令都保持不變，這些沒有任何異常的“干凈塊”被用作訓(xùn)練數(shù)據(jù)，之后的10 000個(gè)命令構(gòu)成針對(duì)入侵進(jìn)行測(cè)試的測(cè)試數(shù)據(jù)；其余20個(gè)用戶的命令被隨機(jī)插入到50個(gè)用戶的測(cè)試數(shù)據(jù)中，由此將50個(gè)用戶的命令替換為未在數(shù)據(jù)集中表示的20個(gè)用戶的命令。

數(shù)據(jù)集以塊為單位進(jìn)行分組，一個(gè)數(shù)據(jù)塊即由100個(gè)命令組成。目標(biāo)是準(zhǔn)確地檢測(cè)“臟塊”并將它們分類為偽裝塊。按照慣例，基于這些配置的實(shí)驗(yàn)被稱為Schonlau et al（SEA）實(shí)驗(yàn)。

Maxion和Townsend[6]使用Schonlau數(shù)據(jù)集中相同的數(shù)據(jù)進(jìn)行了另一項(xiàng)實(shí)驗(yàn)。他們分析了不同配置下的數(shù)據(jù)，稱為1 vs 49配置。其中，前5 000個(gè)命令用于構(gòu)建模型，并且使用其余49個(gè)用戶輸入的前5 000個(gè)命令作為測(cè)試數(shù)據(jù)。

本文實(shí)驗(yàn)基于SEA配置方法，為每個(gè)用戶建立偽裝入侵檢測(cè)模型。每個(gè)用戶的訓(xùn)練數(shù)據(jù)由作為正例的50個(gè)自身命令塊和作為負(fù)例的50×49個(gè)來自其他用戶的命令塊構(gòu)成，測(cè)試數(shù)據(jù)為100個(gè)命令塊，其中包含0到24個(gè)偽裝塊。

2.2 實(shí)驗(yàn)結(jié)果評(píng)估與比較

將實(shí)驗(yàn)結(jié)果與同樣使用Schonlau數(shù)據(jù)集的其他文獻(xiàn)方法進(jìn)行公平對(duì)比。

2.2.1 基于ROC曲線的性能對(duì)比

受試者工作特征曲線（Receiver Operating Characteristic，ROC）[13]是反映檢測(cè)命中率和誤報(bào)率連續(xù)變量的綜合指標(biāo)。根據(jù)不同閾值下的檢測(cè)命中率（Hit Rate）和誤報(bào)率（False Alarm Rate）繪制接收機(jī)工作特性曲線，通常用于評(píng)估不同方法偽裝入侵檢測(cè)的整體性能。

寬松的決策閾值可以獲得更高的檢測(cè)命中率，但帶來了更高的誤報(bào)率。曲線上的每個(gè)點(diǎn)都表示命中率和誤報(bào)率之間的特定折衷?？拷鼒D左上角的點(diǎn)是最合適的，因?yàn)樗鼈儽硎靖呙新屎拖鄳?yīng)低的誤報(bào)率。對(duì)于SEA數(shù)據(jù)配置而言，每個(gè)用戶包含0～24個(gè)偽裝數(shù)據(jù)塊，50個(gè)用戶共存在231個(gè)可能錯(cuò)過的警報(bào)。

圖4展示了本文提出的基于命令序列的隨機(jī)森林（Random Forest）和多層感知器（MLP）算法與先前各種方法的疊加結(jié)果。曲線本身顯示的是隨著決策閾值在其范圍內(nèi)逐步提升應(yīng)用于2種算法的結(jié)果。

分析圖4中2種分類器的ROC曲線，命中率在0～0.5時(shí)，隨機(jī)森林算法的誤報(bào)率略低于多層感知器；而命中率在0.5～1時(shí)，多層感知器的誤報(bào)率明顯低于隨機(jī)森林算法，且多層感知器ROC曲線下方的面積AUC（Area Under the Curve）大于隨機(jī)森林。AUC用于描述模型的整體性能，在類別比例相差很大的情況下，依然是很好的度量手段。它可以作為判斷這2種分類預(yù)測(cè)模型優(yōu)劣的標(biāo)準(zhǔn)，說明多層感知器分類器的整體表現(xiàn)優(yōu)于隨機(jī)森林分類器。

從與現(xiàn)有方法的疊加可以看出，除了使用更新算法的樸素貝葉斯分類器和使用Adaboost-決策樹樁的效果優(yōu)于本文算法，其他方法的檢測(cè)性能均劣于本文算法。

而使用更新算法的樸素貝葉斯使用的測(cè)試方案與本文并不相同，因?yàn)楦逻^程是一個(gè)額外的部分，在復(fù)雜性和處理時(shí)間增加的情況下，需要比平常更多的訓(xùn)練數(shù)據(jù)。在與不使用更新算法的樸素貝葉斯分類器比較時(shí)，本文的2種算法效果都明顯更優(yōu)。

2.2.2 基于代價(jià)函數(shù)的性能對(duì)比

盡管偽裝入侵檢測(cè)器的性能可以根據(jù)其最大化命中率的能力和限制誤報(bào)率的能力來判斷，但是ROC曲線作為傳統(tǒng)方法，這有時(shí)會(huì)過于簡(jiǎn)單并缺乏針對(duì)性。因?yàn)樵趯?shí)際應(yīng)用中通常對(duì)誤報(bào)率或漏報(bào)率（Missing Alarm Rate）有不同的傾向，而人們關(guān)心的是漏報(bào)率和誤報(bào)率之間的權(quán)衡。因此，可以使用Maxion和Townsend[6]提出代價(jià)函數(shù)的概念評(píng)估每種檢測(cè)方法的總體性能。代價(jià)函數(shù)表示漏報(bào)率和誤報(bào)率的總和，定義如下：

代價(jià)=α*漏報(bào)率+β*誤報(bào)率 （5）

參數(shù)α和β用于決定衡量成本時(shí)漏報(bào)率和誤報(bào)率兩者的比重。在大多數(shù)真實(shí)的入侵檢測(cè)應(yīng)用中，漏報(bào)被視為比誤報(bào)更嚴(yán)重的錯(cuò)誤。入侵可能會(huì)對(duì)系統(tǒng)造成嚴(yán)重影響，然而許多誤報(bào)可以額外進(jìn)行分析。在這個(gè)數(shù)據(jù)集中，偽裝樣本遠(yuǎn)遠(yuǎn)少于正常樣本，誤報(bào)對(duì)分類模型的總體準(zhǔn)確性影響要比漏報(bào)更大。因此，將誤報(bào)的成本設(shè)置為漏報(bào)的6倍，即使用如下代價(jià)函數(shù)：

表1列出了對(duì)不同檢測(cè)方法根據(jù)代價(jià)函數(shù)值計(jì)算的由小到大的排列結(jié)果，誤報(bào)成本是漏報(bào)的6倍。由于使用更新算法的測(cè)試方案與本文及其他方法的的測(cè)試方案并不相同，我們排除了圖3中參與比較的采用更新算法的樸素貝葉斯，將不使用更新算法的各類方法進(jìn)行比較。由表1可知，本文提出的2種方法分別位列第1、第2位，在現(xiàn)有方法中獲得了最低的入侵代價(jià)。

表1 不同文獻(xiàn)方法關(guān)于代價(jià)函數(shù)的比較

2.2.3 參數(shù)N的取值對(duì)準(zhǔn)確性的影響

為了評(píng)估N-Gram中參數(shù)N的取值對(duì)檢測(cè)精度的影響，圖5顯示了改變N值時(shí)ROC曲線的變化。

此處，圖5中1-gram意味著特征中只存在1-gram特征，而2-gram意味著特征中只存在2-gram特征，1,2-gram表示同時(shí)考慮了1-gram特征和2-gram特征。圖5表明，單純使用1-gram特征的效果優(yōu)于單純使用2-gram特征，說明1-gram特征出現(xiàn)在待檢測(cè)命令序列中的可能性較高。事實(shí)上，不少已有檢測(cè)方法中使用的詞袋法（Bag of Words）就是單純使用1-gram特征，亦能取得較好效果。圖5還表明，聯(lián)合使用1-gram和2-gram特征的效果均優(yōu)于單獨(dú)使用，能更具體和詳細(xì)地表達(dá)用戶特征。因此，在一定范圍內(nèi)將不同長(zhǎng)度的N-Gram特征聯(lián)合使用，對(duì)于提高偽裝檢測(cè)的準(zhǔn)確性非常有用。然而，若繼續(xù)增加N值，即將更多不同長(zhǎng)度的N-Gram特征聯(lián)合使用，檢測(cè)精度不會(huì)再顯著增加。由于3-gram特征出現(xiàn)在要檢測(cè)的命令序列中的可能性較低，再提取更多特征需要更多的附加計(jì)算時(shí)間，卻對(duì)檢測(cè)性能幾乎沒有改善，所以僅靠提高N的值來提高檢測(cè)精度的效果是有限的。本研究中，另N值為3，即聯(lián)合使用1-gram、2-gram和3-gram特征。

圖5 參數(shù)N對(duì)隨機(jī)森林算法的影響

2.2.4 TF-IDF加權(quán)技術(shù)對(duì)準(zhǔn)確性的影響

圖6利用ROC曲線反映出多層感知器算法在使用TF-IDF和不使用TF-IDF情況下檢測(cè)精度的巨大差異。分別以相同的命中率（71.35%）截取2條曲線上的點(diǎn)，使用TF-IDF的多層感知器算法以（3.0%）的低誤報(bào)率展示出優(yōu)異性能，而未使用TF-IDF的多層感知器算法則達(dá)到了（8.1%）的高誤報(bào)率。

圖6 TF-IDF加權(quán)技術(shù)對(duì)多層感知器算法的影響

3 結(jié) 語

本文提出的2種偽裝入侵檢測(cè)模型在訓(xùn)練數(shù)據(jù)量較小的情況下，仍能在檢測(cè)命中率和誤報(bào)率之間獲得良好的折衷，體現(xiàn)出準(zhǔn)確性高的特點(diǎn)。此外，在經(jīng)過短時(shí)間學(xué)習(xí)后，它們能快速建立模型，發(fā)現(xiàn)入侵行為，體現(xiàn)出檢測(cè)效率高的特點(diǎn)。依據(jù)代價(jià)函數(shù)的評(píng)估標(biāo)準(zhǔn)，本文2種方法的代價(jià)均遠(yuǎn)小于其他方法，多層感知器比隨機(jī)森林的代價(jià)更小。

參考文獻(xiàn)：

[1] 王永全.入侵檢測(cè)系統(tǒng)(IDS)的研究現(xiàn)狀和展望[J].通信技術(shù) ,2008,41(11)：139-143.

[2] WANG Yong-quan.Research Status and Prospects of IDS[J].Communications Technology,2008,41(11)：139-143.

[3] Salem M B,Stolfo S J.Decoy Document Deployment for Effective Masquerade Attack Detection[C].Detection of Intrusions and Malware, and Vulnerability Assessment,International Conference,2011：35-54.

[4] Salem M B,Hershkop S,Stolfo S J.A Survey of Insider Attack Detection Research[J].In Advances in Information Security,2008(39)：69-90.

[5] Schonlau M,Dumouchel W,Ju W H,et al.Computer Intrusion：Detecting Masquerades[J].Statistical Science,2001,16(01)：58-74.

[6] Maxion R A,Townsend T N.Masquerade Detection Using Truncated Command Lines[C].International Conference on Dependable Systems and Networks,IEEE Computer Society,2002：219-228.

[7] Coull S,Branch J,Szymanski B,et al.Intrusion Detection：A Bioinformatics Approach[C].Computer Security Applications Conference,2003：24-33.

[8] Kim H S,Cha S D.Empirical Evaluation of SVM-based Masquerade Detection Using UNIX Commands[J].Computers & Security,2005,24(02)：160-168.

[9] Seo J,Cha S.Masquerade Detection Based on SVM and Sequence-based User Commands Profile[C].ACM Symposium on Information,Computer and Communications Security ACM,2007：398-400.

[10] Jones K S.A Statistical Interpretation of Term Specificity and Its Application in Retrieval[J].Journal of Documentat ion,1972,28(01)：493-502.

[11] Breiman L.Random Forests[J].Machine Learning,2001,45(01)：5-32.

[12] White B W.Principles of Neurodynamics：Perceptrons and the Theory of Brain Mechanisms,by Frank Rosenblatt[M].Spartan Books,1962.

[13] Fawcett T.An Introduction to ROC Analysis[J].Pattern Recognition Letters,2006,27(08)：861-874.

[14] Sen S.Using Instance-weighted Naive Bayes for Adapting Concept Drift in Masquerade Detection[J].International Journal of Information Security,2014,13(06)：583-590.

[15] Huang L,Stamp M.Masquerade Detection Using Profile Hidden Markov Models[J].Computers &Security,2011,30(08)：732-747.

[16] Ke W,Stolfo S J.One-Class Training for Masquerade Detection[C].IEEE Conference Data Mining Workshop on Data Mining for Computer Security,2003.

[17] Ju W H,Vardi Y.A Hybrid High-Order Markov Chain Model for Computer Intrusion Detection[J].Journal of Computational & Graphical Statistics,2001,10(02)：277-295.

[18] Coull S,Branch J,Szymanski B,et al.Intrusion Detection：A Bioinformatics Approach[C].Computer Security Applications Conference,2003：24-33.

[19] Dumouchel W.Computer Intrusion Detection Based on Bayes Factors for Comparing Command Transition Probabilities[R].Washington DC：National Institute of Statistical Sciences,1999

[20] Jian Z,Shirai H,Takahashi I,et al.Masquerade Detection by Boosting Decision Stumps Using UNIX Commands[J].Computers & Security,2007,26(04)：311-318.

[21] Davison B D,Hirsh H.Predicting Sequences of User Actions[J].Predicting the Future Ai Appreaches to Timeseries Analysis,1998：5-12.

[22] Kim H S,Cha S D.Empirical Evaluation of SVM-based Masquerade Detection Using UNIX Commands[J].Computers & Security,2005,24(02)：160-168.

[23] Dash S K,Reddy K S,Pujari A K.Episode Based Masquerade Detection[C].International Conference on Information Systems Security,2005：251-262.

[24] Salem M B,Stolfo S J.Modeling User Search Behavior for Masquerade Detection[C].Recent Advances in Intrusion Detection,International Symposium,2010：181-200.