33、基于情节的伪装攻击检测技术解析

基于情节的伪装攻击检测技术解析

在当今数字化的时代，网络安全问题日益严峻，其中伪装攻击是一种常见且具有威胁性的攻击方式。伪装攻击者试图模仿合法用户的行为，以获取系统的访问权限或进行恶意操作。为了有效检测这种攻击，研究人员提出了各种技术。本文将详细介绍一种基于情节的伪装攻击检测技术，包括其原理、现有方法、数据集以及具体的算法实现。

1. 伪装攻击检测概述

伪装攻击的检测依赖于用户签名，即从合法用户收集的命令序列。其基本假设是，该签名能够捕捉用户命令序列中的可检测模式。通过将当前用户会话与用户签名进行比较，如果命令序列与签名匹配良好，则认为是合法用户；反之，如果匹配不佳，则可能是伪装攻击者。然而，当伪装者完美模仿原始用户的行为时，检测变得困难，而且合法用户的行为发生变化时，也可能被误判为伪装者，从而产生烦人的误报。

近年来提出的大多数伪装攻击检测技术依赖于截断或丰富的命令行。虽然单个命令在确定用户的合法或可疑行为中被认为起着重要作用，但实际上用户的操作通常是一组相关命令的组合，而不是孤立的命令。例如， dvips 和 gview 可以被视为一对相互关联的命令，自然会一起出现。因此，仅基于单个命令来识别用户是否为伪装者虽然在一定程度上可行，但可能会产生许多误报。相比之下，基于情节的检测技术更为自然，因为它可以更好地捕捉用户操作的上下文信息。

2. 现有伪装攻击检测技术

• Bayes 1 - Step Markov ：基于命令之间的单步转移，确定观察到的转移概率与历史概率的一致性。
• Hybrid