基于機(jī)器學(xué)習(xí)的Web安全檢測(cè)方法研究.pdf

1、近年來(lái),隨著Web(萬(wàn)維網(wǎng))應(yīng)用的快速發(fā)展和其本身不受防火墻限制的優(yōu)勢(shì),越來(lái)越多的傳統(tǒng)的應(yīng)用都轉(zhuǎn)成了Web的應(yīng)用形式。Web的普及,也帶來(lái)了針對(duì)Web的攻擊的爆發(fā)。入侵檢測(cè)是防御攻擊的主要手段,但傳統(tǒng)的誤用檢測(cè)的將每一種攻擊的特征手動(dòng)編碼成規(guī)則并逐一檢測(cè),難以應(yīng)對(duì)快速增長(zhǎng)的攻擊類(lèi)型,已經(jīng)顯露出明顯的弊端;建立正常的行為模式,將偏離正常模式的行為視為攻擊的異常檢測(cè)研究思路逐漸顯示出優(yōu)勢(shì),也越來(lái)越受到重視。這種方法認(rèn)為異常的攻擊行為和正常的

2、訪問(wèn)行為在行為模式上具有較大差異,正常的行為模式也較為固定和容易學(xué)習(xí)。這種方法常采用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘中的模型和算法來(lái)建立正常行為模式的模型和檢測(cè)方法,這種方法優(yōu)點(diǎn)在于可以有效的應(yīng)對(duì)新的未知攻擊方式。本文據(jù)此思路,對(duì)基于機(jī)器學(xué)習(xí)的Web入侵檢測(cè)進(jìn)行了多方面的研究。
　　 本文提出了一種基于隱馬爾科夫模型的語(yǔ)法檢測(cè)模型。隱馬爾科夫模型適合用于正則語(yǔ)法的描述,用隱馬爾科夫模型表示的語(yǔ)法模型采用語(yǔ)法模型對(duì)樣本的匹配程度作為區(qū)別正常和異

3、常行為的度量標(biāo)準(zhǔn),可以有效地學(xué)習(xí)正常的訪問(wèn)行為。算法結(jié)合貝葉斯最大后驗(yàn)概率的原則,給出了模型泛化的最優(yōu)標(biāo)準(zhǔn),使得語(yǔ)法模型不僅可以識(shí)別訓(xùn)練集中的樣本,還可以識(shí)別與訓(xùn)練集中樣本相似的其它正常樣本。
　　 隱馬爾科夫模型的語(yǔ)法檢測(cè)模型具有很高的模型復(fù)雜度,導(dǎo)致學(xué)習(xí)和檢測(cè)過(guò)程中也具有很高的計(jì)算復(fù)雜度。針對(duì)該問(wèn)題,本文提出了一種以DFA(確定有限狀態(tài)機(jī))代替隱馬爾科夫模型的檢測(cè)方法。這種方法大大簡(jiǎn)化了語(yǔ)法結(jié)構(gòu),也簡(jiǎn)化了語(yǔ)法的學(xué)習(xí)、泛化過(guò)程

4、。另外,包括隱馬爾科夫模型在內(nèi)的很多檢測(cè)模型都需要額外的分類(lèi)策略輔助完成對(duì)樣本的最終檢測(cè),而DFA的結(jié)構(gòu)既是語(yǔ)法描述結(jié)構(gòu),也是一個(gè)高效的分類(lèi)器,可以獨(dú)自完成檢測(cè)分類(lèi),簡(jiǎn)化了檢測(cè)機(jī)制。實(shí)驗(yàn)證明,這種模型不但可以簡(jiǎn)化學(xué)習(xí)檢測(cè)過(guò)程,提高實(shí)用價(jià)值,同時(shí)能夠很好的保持語(yǔ)法模型的檢測(cè)性能。
　　 本文對(duì)基于語(yǔ)法的檢測(cè)模型做了一個(gè)總結(jié)和比較。對(duì)主要的語(yǔ)法模型從系統(tǒng)復(fù)雜度、訓(xùn)練/檢測(cè)特性、模型相互的內(nèi)在聯(lián)系等各個(gè)方面做了系統(tǒng)的分析,并在實(shí)驗(yàn)中給

5、出了驗(yàn)證。
　　 本文基于異常訪問(wèn)樣本只占總訪問(wèn)量一小部分的規(guī)律且正常樣本具有較好聚類(lèi)特性的特點(diǎn),提出了一種基于聚類(lèi)的無(wú)監(jiān)督學(xué)習(xí)檢測(cè)方法。這種方法免除了繁雜的訓(xùn)練樣本的準(zhǔn)備工作,直接在混有正常和異常樣本的樣本集合中通過(guò)聚類(lèi)將樣本集分為正常和異常的兩類(lèi)。算法還給出了基于最小誤差原則的聚類(lèi)停止標(biāo)準(zhǔn)。實(shí)驗(yàn)結(jié)果表明這種方法能達(dá)到很好的檢測(cè)效果。
　　 由于異常的攻擊類(lèi)型、形式多樣,層出不窮,單一種類(lèi)的檢測(cè)模型無(wú)法有效地檢測(cè)實(shí)際中