基于機器學(xué)習(xí)的Web安全檢測方法研究.pdf

1、近年來,隨著Web(萬維網(wǎng))應(yīng)用的快速發(fā)展和其本身不受防火墻限制的優(yōu)勢,越來越多的傳統(tǒng)的應(yīng)用都轉(zhuǎn)成了Web的應(yīng)用形式。Web的普及,也帶來了針對Web的攻擊的爆發(fā)。入侵檢測是防御攻擊的主要手段,但傳統(tǒng)的誤用檢測的將每一種攻擊的特征手動編碼成規(guī)則并逐一檢測,難以應(yīng)對快速增長的攻擊類型,已經(jīng)顯露出明顯的弊端;建立正常的行為模式,將偏離正常模式的行為視為攻擊的異常檢測研究思路逐漸顯示出優(yōu)勢,也越來越受到重視。這種方法認為異常的攻擊行為和正常的

2、訪問行為在行為模式上具有較大差異,正常的行為模式也較為固定和容易學(xué)習(xí)。這種方法常采用機器學(xué)習(xí)和數(shù)據(jù)挖掘中的模型和算法來建立正常行為模式的模型和檢測方法,這種方法優(yōu)點在于可以有效的應(yīng)對新的未知攻擊方式。本文據(jù)此思路,對基于機器學(xué)習(xí)的Web入侵檢測進行了多方面的研究。
　　 本文提出了一種基于隱馬爾科夫模型的語法檢測模型。隱馬爾科夫模型適合用于正則語法的描述,用隱馬爾科夫模型表示的語法模型采用語法模型對樣本的匹配程度作為區(qū)別正常和異

3、常行為的度量標(biāo)準(zhǔn),可以有效地學(xué)習(xí)正常的訪問行為。算法結(jié)合貝葉斯最大后驗概率的原則,給出了模型泛化的最優(yōu)標(biāo)準(zhǔn),使得語法模型不僅可以識別訓(xùn)練集中的樣本,還可以識別與訓(xùn)練集中樣本相似的其它正常樣本。
　　 隱馬爾科夫模型的語法檢測模型具有很高的模型復(fù)雜度,導(dǎo)致學(xué)習(xí)和檢測過程中也具有很高的計算復(fù)雜度。針對該問題,本文提出了一種以DFA(確定有限狀態(tài)機)代替隱馬爾科夫模型的檢測方法。這種方法大大簡化了語法結(jié)構(gòu),也簡化了語法的學(xué)習(xí)、泛化過程

4、。另外,包括隱馬爾科夫模型在內(nèi)的很多檢測模型都需要額外的分類策略輔助完成對樣本的最終檢測,而DFA的結(jié)構(gòu)既是語法描述結(jié)構(gòu),也是一個高效的分類器,可以獨自完成檢測分類,簡化了檢測機制。實驗證明,這種模型不但可以簡化學(xué)習(xí)檢測過程,提高實用價值,同時能夠很好的保持語法模型的檢測性能。
　　 本文對基于語法的檢測模型做了一個總結(jié)和比較。對主要的語法模型從系統(tǒng)復(fù)雜度、訓(xùn)練/檢測特性、模型相互的內(nèi)在聯(lián)系等各個方面做了系統(tǒng)的分析,并在實驗中給

5、出了驗證。
　　 本文基于異常訪問樣本只占總訪問量一小部分的規(guī)律且正常樣本具有較好聚類特性的特點,提出了一種基于聚類的無監(jiān)督學(xué)習(xí)檢測方法。這種方法免除了繁雜的訓(xùn)練樣本的準(zhǔn)備工作,直接在混有正常和異常樣本的樣本集合中通過聚類將樣本集分為正常和異常的兩類。算法還給出了基于最小誤差原則的聚類停止標(biāo)準(zhǔn)。實驗結(jié)果表明這種方法能達到很好的檢測效果。
　　 由于異常的攻擊類型、形式多樣,層出不窮,單一種類的檢測模型無法有效地檢測實際中