摘要：根据Unix系统中用户的历史命令序列，提出一种基于命令紧密度模型的用户伪装入侵检测方法。该方法从命令组合的角度抽取用户的行为模式。用户经常组合使用的命令，表现出关系紧密；不常被一起使用的命令，表现出关系疏远。通过滑动窗口方法从用户的历史命令序列中生成紧密度矩阵。如果待检测的命令块对于该用户来说表现出紧密度过低，则判断为异常。实验表明该方法计算量小，检测效果好，而且具有很高的实时性。

关键词：异常检测 伪装检测 命令紧密度 主机 

单位：中央财经大学信息学院; 北京100081; 中国科学院软件研究所; 北京100190