×
亚历山大·塔塔科夫斯基。;罗佐夫斯基(Boris L.Rozovskii)。;鲁道夫·B·布拉泽克。;金红忠(Kim,Hongjoong)

通过顺序转换点方法检测信息系统中的入侵。 (英语) Zbl 1248.94032号

统计方法。 第3期,第3期,第252-293页(2006年).
总结:开发了用于检测多通道传感器系统变化的顺序多图检测程序。对于变化前后分布的完整信息,检测算法表示基于似然比的Page累积和(CUSUM)测试的多通道泛化,该测试适用于可能包含相关和非平稳观测值的一般随机模型。有许多潜在的应用领域需要考虑多通道推广和通用统计模型。在本文中,我们这样做的主要动机是网络安全:快速异常检测,用于早期检测计算机网络中导致网络流量变化的攻击。此外,这种应用鼓励开发非参数多通道检测测试,该测试不使用精确的变化前(合法)和变化后(攻击)流量模型。提出的非参数方法可以有效地用于检测各种攻击,如拒绝服务攻击、基于蠕虫的攻击、端口扫描和中间人攻击。此外,我们提出了一种基于二进制量化数据的多通道CUSUM过程;事实证明,在某些情况下,此过程比前两个算法更有效。所有提出的检测算法都基于变点检测理论。它们利用测试统计的阈值来实现固定的假警报率,同时允许“尽快”检测统计模型中的变化。给出了检测过程性能分析的理论框架,以及泊松示例的蒙特卡罗模拟结果和检测实际洪水攻击的结果。

引用于12评论
引用于35文件

MSC公司:

94甲13 信息与通信理论中的探测理论
68M10个 计算机系统中的网络设计和通信
90B18号机组 运筹学中的通信网络
第60页 统计学在工程和工业中的应用;控制图
94A40型 信息与通信理论中的信道模型(包括量子)

关键词:

变点检测;顺序试验;多通道信息系统;快速检测;佩奇的测试;累计总和;入侵检测;拒绝服务
PDF格式BibTeX公司 XML格式引用
\textit{A.G.Tartakovsky}等人,《统计方法》。3,第3号,252--293(2006;Zbl 1248.94032)
全文: 内政部

参考文献:

[1] 马萨诸塞州巴斯维尔。;尼基福罗夫,I.V.,《突变检测:理论与应用》(1993),普伦蒂斯·霍尔:普伦蒂斯霍尔-恩格尔伍德悬崖·Zbl 1407.62012年
[2] 伯恩斯坦,D.J。;Schenk,E.,Linux内核SYN cookies防火墙项目
[3] R.Blaíek,H.Kim,B.Rozovskii,A.Tartakovsky,《通过自适应顺序和批量顺序变化点检测方法检测“拒绝服务”攻击的新方法》,摘自:Proc。第二届IEEE系统、人与控制论信息保证年度研讨会,西点军校,纽约州,2001年;R.Blaíek,H.Kim,B.Rozovskii,A.Tartakovsky,《通过自适应顺序和批量顺序变化点检测方法检测“拒绝服务”攻击的新方法》,摘自:Proc。第二届IEEE系统、人和控制论信息保证年度研讨会,纽约西点军校,2001年
[4] R.Blaíek,H.Kim,B.Rozovskii,A.Tartakovsky,《计算机网络中入侵的最快速顺序检测》,收录于:Interface 20032003;R.Blaíek,H.Kim,B.Rozovskii,A.Tartakovsky,《计算机网络中入侵的最快速顺序检测》,收录于:Interface 20032003
[5] Brodsky,B.E。;Darkhovsky,B.S.,变点问题中的非参数方法(1993),Kluwer:Kluwer-Dordrecht·Zbl 0779.62031号
[6] CERT,TCP SYN洪水和IP欺骗攻击,CERT咨询CA-96.211996;CERT,TCP SYN洪水和IP欺骗攻击,CERT咨询CA-96.211996
[7] Check Point软件技术有限公司,SynDefender
[8] Chow,Y.S。;Lai,T.L.,关于样本和尾部分布的一些单侧定理及其在最后一次和边界交叉的最大超额中的应用,Trans。阿默尔。数学。Soc.,208,51-72(1975年)·Zbl 0335.60021号
[9] Debar,H。;Dacier,M。;Wespi,A.,《入侵检测系统分类》,计算。净值。,3085-822(1999年)
[10] Dragalin,V.P.,最快检测问题中广义CUSUM程序的最优性,随机过程的统计与控制,斯特克罗夫数学研究所学报,202,4,107-120(1994)·Zbl 0839.62072号
[11] V.P.Dragalin,检测分布变化的自适应程序,摘自:Proc。第四届乌尔兹堡-美亚统计大会,1996年,第87-103页;V.P.Dragalin,检测分布变化的自适应程序,摘自:Proc。第四届乌尔兹堡-美亚统计大会,1996年,第87-103页
[12] Dragalin,V。;塔塔科夫斯基,A。;Veeravalli,V.,多假设序贯概率比检验,第1部分:渐近最优性,IEEE Trans。《信息论》,45,7,2448-2461(1999)·Zbl 1131.62313号
[13] Dragalin,V。;塔塔科夫斯基,A。;Veeravalli,V.,多假设序贯概率比检验,第2部分:预期样本量的准确渐近展开,IEEE Trans。《信息论》,46,4,1366-1383(2000)·Zbl 1059.62581号
[14] Escalmilla,T.,《入侵检测:防火墙之外的网络安全》(1998),威利出版社:威利纽约
[15] 羽毛,F。;Maxon,R.,使用异常特征匹配在以太网中进行故障检测,ACM Sigcomm,23(1993)
[16] Fuh,C.D.,SPRT和CUSUM在隐马尔可夫模型中的应用,Ann.Statist。,31, 942-977 (2003) ·Zbl 1036.60005号
[17] Fuh,C.D.,隐马尔可夫模型中最优变化点检测的渐近操作特性,Ann.Statist。,32, 2305-2339 (2004) ·Zbl 1073.60047号
[18] L.Garber,《拒绝服务攻击撕裂互联网》,《计算机》(2000);L.Garber,拒绝服务攻击撕裂互联网,计算机(2000)
[19] 霍金斯博士。;Olwell,D.H.,《累积和图表和质量改进图表》(1998),Springer:Springer NY·Zbl 0990.62537号
[20] Healy,J.D.,多元CUSUM程序注释,技术计量学,29,409-412(1987)
[21] Hsu,P.L。;Robbins,H.,《完全收敛与大数定律》,Proc。国家。阿卡德。科学。美国,33,25-31(1947)·Zbl 0030.20101号
[22] Kent,S.,《关于入侵信息系统的审判》,IEEE规范。,37, 12, 52-56 (2000)
[23] Khan,R.A.,检测多组分过程的概率变化,序列分析。,14, 4, 375-388 (1995) ·Zbl 0838.62067号
[24] 赖,T.L.,质量控制和动力系统中的顺序变化点检测,J.R.Statist。Soc.B,57,4,613-658(1995)·Zbl 0832.62072号
[25] Lai,T.L.,随机系统参数变化的信息界和快速检测,IEEE Trans。Inf.理论,442917-2929(1998)·Zbl 0955.62084号
[26] J.Lemon,《用SYN缓存抵御SYN淹没DOS攻击》,摘自:Proc。USENIX BSDCon 2002年,2002年,第89-97页;J.Lemon,《用SYN缓存抵御SYN淹没DOS攻击》,摘自:Proc。USENIX BSDCon 2002年,2002年,第89-97页
[27] Lorden,G.,《应对分布变化的程序》,《数学年鉴》。统计人员。,42 (1971), 1897-1908 ·Zbl 0255.62067号
[28] 穆斯塔基德斯,G.V.,检测分布变化的最佳停止时间,《统计年鉴》。,14, 1379-1387 (1986) ·Zbl 0612.62116号
[29] Netscreen 100防火墙设备
[30] Page,E.S.,《连续检查计划》,《生物特征》,41,100-115(1954)·Zbl 0056.38002号
[31] Pollak,M.,《分布变化的最佳检测》,《统计年鉴》。,13, 206-227 (1985) ·Zbl 0573.62074号
[32] B.Rozovskii,A.Tartakovsky,R.Blaíek,H.Kim,《通过自适应顺序和批处理顺序变化点检测方法检测计算机网络中入侵的新方法》,IEEE Trans。《信号处理》(2006年出版);B.Rozovskii,A.Tartakovsky,R.Blaíek,H.Kim,《通过自适应顺序和批处理顺序变化点检测方法检测计算机网络中入侵的新方法》,IEEE Trans。信号处理(2006年出版)·Zbl 1373.68144号
[33] Shiryaev,A.N.,《最快检测问题中的最佳方法》,理论问题。申请。,8, 22-46 (1963) ·Zbl 0213.43804号
[34] Shiryaev,A.N.,《最优停车规则》(1978年),Springer-Verlag:Springer-Verlag纽约·Zbl 0391.60002号
[35] Siegmund,D.,《序列分析:测试和置信区间》(1985),Springer-Verlag:Springer-Verlag纽约·Zbl 0573.62071号
[36] Tartakovsky,A.G.,《信息系统理论中的顺序方法》(1991),《斯维亚兹电台:莫斯科斯维亚茨电台》(俄语)·Zbl 0780.62062号
[37] Tartakovsky,A.G.,检测多通道系统变化的广义内曼-皮尔逊检验的效率,Probl。信息传输。,28, 341-350 (1992) ·Zbl 0801.62068号
[38] Tartakovsky,A.G.,《用于无序检测、随机过程统计和控制的渐近极小极大多替代序列规则》,《Steklov数学研究所学报》,202,4,229-236(1994)·Zbl 0839.62073号
[39] Tartakovsky,A.G.,CUSUM和Shiryaev检测非齐次高斯过程变化程序的渐近性质,数学。统计方法。,4,4389-404(1995年)·Zbl 0852.62070号
[40] A.G.Tartakovsky,某些变化点检测程序的扩展渐近最优性,预打印和技术报告PTR-CAMS-98.12.4,南加州大学应用数学科学中心,1998年;A.G.Tartakovsky,某些变化点检测程序的扩展渐近最优性,预打印和技术报告PTR-CAMS-98.12.4,南加州大学应用数学科学中心,1998年
[41] Tartakovsky,A.G.,《某些多假设序贯检验的渐近最优性:非身份验证案例》,统计推断Stoch。工艺。,1, 3, 265-295 (1998) ·Zbl 0943.62080号
[42] A.G.Tartakovsky,虚警概率约束下多图CUSUM测试的渐近性能,收录于:44TH IEEE Conf.on Decision and Control and ECC05,2005年12月12-15日,西班牙塞维利亚;A.G.Tartakovsky,虚警概率约束下多图CUSUM测试的渐近性能,收录于:44TH IEEE Conf.on Decision and Control and ECC05,2005年12月12-15日,西班牙塞维利亚
[43] 塔塔科夫斯基,A.G。;Ivanova,I.A.,检测分布变化的一些序列规则的比较,Probl。Inf.Transm公司。,28, 117-124 (1992) ·Zbl 0792.62070号
[44] A.G.Tartakovsky,K.Shah,B.L.Rozovskii,用于快速入侵检测的非参数多图CUSUM测试,摘自:Proc。联合统计会议,2005年8月7日至11日,明尼阿波利斯,明尼苏达州;A.G.Tartakovsky,K.Shah,B.L.Rozovskii,用于快速入侵检测的非参数多图表CUSUM测试,在:Proc。2005年8月7日至11日在明尼阿波利斯举行的联合统计会议
[45] 塔塔科夫斯基,A.G。;Veeravalli,V.,《带应用程序的多通道和分布式系统中的变化点检测》(Mukhopadhyay,N.;Datta,S.;Chattopadhyayy,S.,《顺序方法的应用》(2004),Marcel Dekker,Inc.:Marcel Delkker,Inc,New York),339-370·Zbl 1082.62068号
[46] 塔塔科夫斯基,A.G。;Veeravalli,V.,最快变化检测的一般渐近贝叶斯理论,理论概率。申请。,49, 3, 538-582 (2004) ·Zbl 1131.62314号
[47] H.Wang,D.Zhang,K.G.Shin,《检测SYN洪水攻击》,载于《2002年信息通信会议录》,IEEE计算机与通信协会第21届联合年会,第3卷,2002年,第1530-1539页;H.Wang,D.Zhang,K.G.Shin,检测SYN洪水攻击,摘自:《2002年信息通信会议录》,IEEE计算机与通信协会第21届联合年会,第3卷,2002年,第1530-1539页
[48] Woodroof,M.,序列分析中的非线性更新理论(1982),SIAM:SIAM Philadelphia·Zbl 0487.62062号
[49] Yakir,B.,当观测值形成具有有限状态空间的马尔可夫链时,对分布变化的最佳检测,(Carlstein,E.;Muller,H.;Siegmund,D.,change-Point Problems(1994),Inst.Math。统计师:Inst.Math。Statist Hayward,加利福尼亚州),346-358·Zbl 1163.62340号
此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。