Markov-Modulated泊松过程模型在用户行为识别中的应用

Markov-Modulated泊松过程模型在用户行为识别中的应用杨峰贾春福南开大学信息技术科学学院2005年8月23日关于MMPPMarkovmodulated泊松过程（MMPP）非齐次Poisson过程，其强度变量服从马氏过程一个双重随机过程：表现观测值特征的非齐次泊松过程表现该泊松过程密度变化转移特征的时间连续的马氏过程Markov-Modulated泊松过程模型描述令{Xt}是一个连续时间的马氏过程，状态空间为S=(1,…,k)，且{Xt}有无穷小转移概率矩阵Q={qij}。令λ=(λ1,…,λk)，{N(t)}为非齐次泊松过程，强度函数为{λ(X(t))}，即给定{λ(X(t))}，{N(t)}为泊松分布。这样的过程称为Markov-Modulated泊松过程MMPP模型算法（转化为隐马氏模型）令τ0=0，τk为{N(t)}中第k个事件发生的时间，令Xk=X(τk)，Yk=τk-τ(k-1)，则可以认为{(Xk,Yk)}为隐马氏模型。所以，可以利用转化的离散隐马氏模型通过估计{X(t)}的跳点处的状态来估计过程{X(t)}。令为过程{X(t)}的第k次跳跃时间，则是离散时间的时齐的马氏链，其转移概率矩阵为其中是{Xt}的Q--矩阵，并有{Xt}在状态i的逗留时间服从指数分布.所以，MMPP模型可简化为由此，我们把MMPP模型转化为离散时间的隐马氏模型，即可利用隐马氏模型中常用的算法求解相关参数。k{()}kX()(1)ijijijiPpqq()ijQq1111()(,,,,,,)kkkkQqqqq隐马氏模型（HMM）双重随机过程：马氏链，描述模型中本质的状态的转移描述状态和观察值之间对应关系的过程特点：相关算法（前向算法、后向算法）隐马氏模型（HMM）中利用前向算法和后向算法，可以得到P(Y=y|Φ)应用：通过计算观测序列P(Y=y|Φ)的值判断序列的正常程度。MMPP模型参数估计重估计算法MMPP模型应用用户鼠标行为识别用户鼠标行为服从MMPP过程，通过计算用户鼠标行为序列的P(Y=y|Φ)，来区分非法用户。数据来源:测试过程中正常数据与异常数据各取前五个的P(Y=y|Φ)值(给定参数下序列出现的概率),以便直观感受正常数据与异常数据的差别程度.N为每组数据的观测值数，K是状态数。结果:正常序列的概率值集中在E的负210次方左右,异常序列的概率值集中在E的负240次方左右,具有较好的区分度.ROC曲线分析:识别率在0.87的情况下,误报率为0.04.识别率在0.92的情况下,误报率为0.18.模型具有比较好的ROC曲线.结论及进一步的工作MMPP模型对于基于鼠标点击的点过程的行为识别具有很好的准确度。由于本文讨论的算法是基于前向后向算法的，因此意味着它的较低的复杂度能够应用到实际系统中来。本文是尝试性的工作，进一步我们将继续研究用户的特定行为模式和鼠标行为的关系，进而研究用户的网络鼠标行为的特征，即用户在访问网络时的鼠标行为特征，并应用到实际的入侵检测系统中来。谢谢！