[发明专利]一种基于HDP-HMM的行为序列的检测方法

权利要求书

1.一种基于HDP-HMM的行为序列的检测方法，包括以下步骤：

步骤一、首先对向服务器的HTTP请求的对象序列数据进行预处理，构建训练数据集和测试数据集；

步骤二、确定判决指标：由于用户行为模式具有多重复性、规律性和偶然性的性质，多数用户的正常行为具有相同或相似的操作，又因为隐藏状态轨迹是一个马尔可夫链，确定隐藏状态轨迹中的相邻状态的转移概率矩阵为π，因此定义该确定隐藏状态轨迹s的对数平均转移概率为然后以|η|作为行为模式判决指标；

步骤三、预先定义一个观测序列长度门限值Ω₀，当观测值序列长度达到门限值Ω₀时，计算对应的指标参数；

步骤四、对步骤一中的数据对象建立两个模型HDP-HMM1和HDP-HMM2，其中将HDP-HMM1用于描述合法用户的正常行为模式，对异常行为模式较为敏感；而HDP-HMM2用于描述入侵者或合法用户的异常行为模式，对正常行为模式较为敏感，在进行检测时，输入正常训练数据对HDP-HMM1模型参数进行训练、输入异常训练数据对HDP-HMM2模型参数进行训练；

步骤五、分别对两个模型输入检测数据由已训练的模型采样出最佳隐藏状态轨迹，由HDP-HMM1模型的状态转移概率得到该隐藏状态轨迹的对数平均转移概率η₁，由HDP-HMM2模型的状态转移概率得到该隐藏状态轨迹的对数平均转移概率η₂，然后分别取绝对值并与判决门限值ε₁和ε₂进行比较，当满足|η₁|＞ε₁且|η₂|≤ε₂时输出异常，否则视为正常；

所述HDP-HMM1和HDP-HMM2采用如下步骤建立：

S1、建立HDP-HMM模型，选取用户向服务器的HTTP请求的对象序列数据作为观测量来描述用户的行为；

S2、对数据进行预处理，并且将步骤S1中的对象序列数据分为训练数据和测试数据；

S3、将训练数据中所有HTTP请求序列的集合表示为y＝{y₁,...y_T}，其中T为自然数指定数值；

S4、对模型参数赋予一个初步估计的先验值S_p，然后采用Beam Sampling方法对HDP-HMM模型的参数进行训练：算法引入辅助变量u，通过判断划分出有限数目的隐藏状态，然后使用动态规划迭代计算出状态转移的条件概率，并采样出所有隐藏状态轨迹，假设其他变量已知，迭代地采样出辅助变量u，隐藏状态轨迹s，转移概率矩阵π，共享参数β和其他参数。

2.根据权利要求1所述的基于HDP-HMM的行为序列的检测方法，其特征在于，所述S4具体步骤如下：

S41、对辅助变量u采样：

S42、对隐藏状态轨迹s采样：因为在给出辅助变量u时，对于所有的t隐藏状态轨迹s仅在满足时的概率非零，而且因为截棍构造的性质，隐藏状态轨迹为有限数，因此利用动态规划来对隐藏状态轨迹进行采样，应用如下等式，利用动态规划来对隐藏状态轨迹s进行抽样：

S43、对参数π，β和其他参数采样。