【出 处】：《 计算机仿真 》 CSCD 2014年第31卷第6期 316-320页,共5页

【作 者】： 韩忠明 ; 张晨 ; 李斌

【摘 要】 在入侵检测的研究中，异常检测已逐步成为了入侵检测研究的主要方向。为提高检测效率，提出一种基于Markov模型的行为模式一聚类（BMC）的用户行为异常检测方法，采用一阶Markov模型对多用户计算机系统中用户的正常行为进行建模，学习Markov模型参数时采用命令匹配方法。在检测阶段，通过计算状态序列出现的概率得到概率序列，并对其进行加窗和处理得到判决值序列。BMC采用KNN方法对判决值序列进行聚类，以聚类结果来对用户行为进行异常检测与分析，发现系统中潜在的入侵用户及入侵用户群组。实验结果表明BMC不仅能够判别单用户的异常入侵行为，更能够有效识别多用户计算机系统中的异常用户行为。