基于機(jī)器學(xué)習(xí)的Web安全檢測(cè)方法研究.pdf

1、近年來,隨著Web(萬維網(wǎng))應(yīng)用的快速發(fā)展和其本身不受防火墻限制的優(yōu)勢(shì),越來越多的傳統(tǒng)的應(yīng)用都轉(zhuǎn)成了Web的應(yīng)用形式。Web的普及,也帶來了針對(duì)Web的攻擊的爆發(fā)。入侵檢測(cè)是防御攻擊的主要手段,但傳統(tǒng)的誤用檢測(cè)的將每一種攻擊的特征手動(dòng)編碼成規(guī)則并逐一檢測(cè),難以應(yīng)對(duì)快速增長(zhǎng)的攻擊類型,已經(jīng)顯露出明顯的弊端;建立正常的行為模式,將偏離正常模式的行為視為攻擊的異常檢測(cè)研究思路逐漸顯示出優(yōu)勢(shì),也越來越受到重視。這種方法認(rèn)為異常的攻擊行為和正常的

2、訪問行為在行為模式上具有較大差異,正常的行為模式也較為固定和容易學(xué)習(xí)。這種方法常采用機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘中的模型和算法來建立正常行為模式的模型和檢測(cè)方法,這種方法優(yōu)點(diǎn)在于可以有效的應(yīng)對(duì)新的未知攻擊方式。本文據(jù)此思路,對(duì)基于機(jī)器學(xué)習(xí)的Web入侵檢測(cè)進(jìn)行了多方面的研究。
　　 本文提出了一種基于隱馬爾科夫模型的語法檢測(cè)模型。隱馬爾科夫模型適合用于正則語法的描述,用隱馬爾科夫模型表示的語法模型采用語法模型對(duì)樣本的匹配程度作為區(qū)別正常和異

3、常行為的度量標(biāo)準(zhǔn),可以有效地學(xué)習(xí)正常的訪問行為。算法結(jié)合貝葉斯最大后驗(yàn)概率的原則,給出了模型泛化的最優(yōu)標(biāo)準(zhǔn),使得語法模型不僅可以識(shí)別訓(xùn)練集中的樣本,還可以識(shí)別與訓(xùn)練集中樣本相似的其它正常樣本。
　　 隱馬爾科夫模型的語法檢測(cè)模型具有很高的模型復(fù)雜度,導(dǎo)致學(xué)習(xí)和檢測(cè)過程中也具有很高的計(jì)算復(fù)雜度。針對(duì)該問題,本文提出了一種以DFA(確定有限狀態(tài)機(jī))代替隱馬爾科夫模型的檢測(cè)方法。這種方法大大簡(jiǎn)化了語法結(jié)構(gòu),也簡(jiǎn)化了語法的學(xué)習(xí)、泛化過程

4、。另外,包括隱馬爾科夫模型在內(nèi)的很多檢測(cè)模型都需要額外的分類策略輔助完成對(duì)樣本的最終檢測(cè),而DFA的結(jié)構(gòu)既是語法描述結(jié)構(gòu),也是一個(gè)高效的分類器,可以獨(dú)自完成檢測(cè)分類,簡(jiǎn)化了檢測(cè)機(jī)制。實(shí)驗(yàn)證明,這種模型不但可以簡(jiǎn)化學(xué)習(xí)檢測(cè)過程,提高實(shí)用價(jià)值,同時(shí)能夠很好的保持語法模型的檢測(cè)性能。
　　 本文對(duì)基于語法的檢測(cè)模型做了一個(gè)總結(jié)和比較。對(duì)主要的語法模型從系統(tǒng)復(fù)雜度、訓(xùn)練/檢測(cè)特性、模型相互的內(nèi)在聯(lián)系等各個(gè)方面做了系統(tǒng)的分析,并在實(shí)驗(yàn)中給

5、出了驗(yàn)證。
　　 本文基于異常訪問樣本只占總訪問量一小部分的規(guī)律且正常樣本具有較好聚類特性的特點(diǎn),提出了一種基于聚類的無監(jiān)督學(xué)習(xí)檢測(cè)方法。這種方法免除了繁雜的訓(xùn)練樣本的準(zhǔn)備工作,直接在混有正常和異常樣本的樣本集合中通過聚類將樣本集分為正常和異常的兩類。算法還給出了基于最小誤差原則的聚類停止標(biāo)準(zhǔn)。實(shí)驗(yàn)結(jié)果表明這種方法能達(dá)到很好的檢測(cè)效果。
　　 由于異常的攻擊類型、形式多樣,層出不窮,單一種類的檢測(cè)模型無法有效地檢測(cè)實(shí)際中