[发明专利]一种基于隐马尔科夫理论的BBS用户异常行为审计方法

权利要求书

1.一种基于隐马尔科夫理论的BBS用户异常行为审计方法，其特征在于：包括以下步骤：

步骤1：从数据库读取审计数据，得到待检测行为的观察值序列；

步骤2：从隐马尔科夫模型数据库读取经过训练的模型参数；

步骤3.利用Viterbi算法，通过观察值序列计算状态值序列，保存到数据库中；

步骤4.调用前向、后向算法，计算观察值序列出现的概率，并与预先设定的阈值比较， 低于阈值，进入步骤5，否则进入步骤6；

步骤5.低于阈值作为异常行为，产生告警；

步骤6.正常行为，隐马尔科夫模型参数修正，并存入隐马尔科夫模型的参数文件中；

步骤1所述的观察值序列，定义为用户每种操作在某一段时间内进行的次数；

步骤3所述的Viterbi算法采用取对数的方法将概率矩阵的值放大；

步骤3所述的状态值序列是指用户的行为频度；

步骤4所述的前向、后向算法，计算产生的结果作为Baum-Welch的调用参数，该参数采 用比例因子法进行放大和还原；

步骤4所述阈值采用均值方法求得，即通过多次出现该观察值的概率的均值求得， 观察值概率的确定，具体方法如下：

A.随机初始化观察值概率矩阵B，与设定好的初始状态概率向量π和状态转移概率矩阵 A共同构成初始模型参数λ；

B.调用Baum-Welch算法，对初始参数进行极大似然估计，得到新的模型参数

C.再将得到的作为初始参数，作为异常行为检测时的参数；

D.当对正常行为进行模型参数训练时，也以为初始参数，并逐步修正为

步骤6所述的隐马尔科夫模型参数修正的具体方法如下：

1)π：初始状态概率向量π＝(π₁，π₂，...，π_N)，其中π_i＝p(q₁＝S_i)，N＝4；

2)状态转移概率矩阵A

其中a_ij＝p[q_t+1＝S_j|q_i＝S_i]，1≤i，j≤N，需要保存的变量有状态的起点i，状态的终点 j及a_ij的值；

3)观察值概率矩阵B

其中b_j(k)＝p[O_k|q_t＝S_j]，1≤j≤N，1≤k≤T，需要保存的变量有状态的起点j，状 态终点k及b_j(k)的值；

根据Baum-Welch算法，由观察值序列O和选取的初始值模型λ＝(A，B，π)，重估公式求 得一组新参数则可以得到一个新的模型可以证明， 由重估公式得到的比λ在表现观察值序列O要好，则重复这个过程，逐 步改进模型的参数，直到收敛，也就是不再明显增大为止，此时的就是所求的模型。