[发明专利]一种基于隐马尔科夫理论的BBS用户异常行为审计方法

说明书

技术领域

本发明属于计算机和信息安全技术领域，特别涉及一种基于隐马尔科夫理论的BBS用户 异常行为审计方法。

背景技术

BBS的英文全称是Bulletin Board System，翻译为中文就是“电子公告板”。

目前BBS系统能够把各种共享资源提供给各种各样的用户，所有人都可以在注册帐号后 浏览系统中的文章，共享系统中的文件。目前，国内除了提供公众的BBS外，还提供包括各 种商业用途的BBS服务站。BBS提供了诸如讨论区、信件区、聊天区、文件共享区等多种工 作栏目，也可以根据BBS站的站长或用户自己的需要主持和开辟新的BBS栏目。

但是，当前各类BBS系统中，往往只关心网络上传输的数据的安全性和访问过程中的身 份安全性，对用户使用了哪些信息、资源、使用的时间、以及如何使用(执行何种操作)无 法以书面的方式提供证据，导致管理员在事故发生后无法进行原因查找、分析和责任鉴定。

发明内容

本发明的目的时为了克服现有技术的不足之处，提出一种基于马尔科夫理论的BBS用户 异常行为审计方法。

基于隐马尔科夫模型(HMM)的审计跟踪处理具体实现步骤如下，如图1所示：

步骤1：从数据库读取审计数据，得到待检测行为的观察值序列；

步骤2：从隐马尔科夫模型数据库读取经过训练的模型参数；

步骤3.利用Viterbi算法，通过观察值序列计算状态值序列，保存到数据库中；

步骤4.调用前向、后向算法，计算观察值序列出现的概率，并与预先设定的阈值比较， 低于阈值，进入步骤5，否则进入步骤6；

步骤5.低于阈值作为异常行为，产生告警；

步骤6.正常行为，隐马尔科夫模型参数修正，并存入隐马尔科夫模型的参数文件中。

步骤1所述的观察值序列是指BBS用户的行为，在BBS中主要的用户行为如下：阅读文 章，发表文章，修改文章，删除文章，娱乐，收发邮件，，删除用户、禁止用户发表文章、仲 裁、审计和隐身。由于删除用户、禁止用户发表文章、仲裁、审计和隐身是具有一定权限的 用户才可以执行的，属于特殊行为，统一归为其他。确定的观察值序列为{阅读文章，发表文 章，修改文章，删除文章，娱乐，收发邮件，其他}。

确定好的观察值序列，需要使用量化的信息表述。本发明方法观察值序列量化的信息定 义为：用户每种操作在某一段时间内进行的次数。即观察值序列O(i，t)∈{O_1.t，…，O_7.t}，这里t 代表的是一段时间，可以取一星期的时间，而i代表的是不同操作，这里其取值为1≤i≤7。

步骤2所述的隐马尔科夫模型，初始参数设置如下：

a)观察值序列{阅读文章，发表文章，修改文章，删除文章，聊天，收发邮件，其他}；

b)状态数目{经常，有时，很少，从不}；

c)初始状态概率向量(π)的确定。由于是初次确定这些参数，在数据量还不是很大 的情况下，可以认为各种状态间以等概率转移。π＝(π₁，π₂，...，π_N)，其中π_i＝p(q₁＝S_i)， 由于状态S_i只有经常，有时，很少，从不这样四种状态，即N＝4，所以有

π₁＝π₂＝π₃＝π₄＝1/4。

d)状态转移概率(A)的确定：采用等概率转移进行初始设定，即状态转移概率矩阵中 所有的值均为1/4。

e)观察值概率(B)的确定，具体步骤如下：

A.随机初始化观察值概率矩阵B，与设定好的初始状态概率向量π和状态转移概率矩阵 A共同构成初始模型参数λ；

B.调用Baum-Welch算法，对初始参数进行极大似然估计，得到新的模型参数其中 Baum-Welch是一种公知算法；

C.再将得到的作为初始参数，作为异常行为检测时的参数；

D.当对正常行为进行模型参数训练时，也以为初始参数，并逐步修正为λ；