基于機器學習的Web安全檢測方法研究.pdf

1、近年來,隨著Web(萬維網)應用的快速發(fā)展和其本身不受防火墻限制的優(yōu)勢,越來越多的傳統(tǒng)的應用都轉成了Web的應用形式。Web的普及,也帶來了針對Web的攻擊的爆發(fā)。入侵檢測是防御攻擊的主要手段,但傳統(tǒng)的誤用檢測的將每一種攻擊的特征手動編碼成規(guī)則并逐一檢測,難以應對快速增長的攻擊類型,已經顯露出明顯的弊端;建立正常的行為模式,將偏離正常模式的行為視為攻擊的異常檢測研究思路逐漸顯示出優(yōu)勢,也越來越受到重視。這種方法認為異常的攻擊行為和正常的

2、訪問行為在行為模式上具有較大差異,正常的行為模式也較為固定和容易學習。這種方法常采用機器學習和數據挖掘中的模型和算法來建立正常行為模式的模型和檢測方法,這種方法優(yōu)點在于可以有效的應對新的未知攻擊方式。本文據此思路,對基于機器學習的Web入侵檢測進行了多方面的研究。
　　 本文提出了一種基于隱馬爾科夫模型的語法檢測模型。隱馬爾科夫模型適合用于正則語法的描述,用隱馬爾科夫模型表示的語法模型采用語法模型對樣本的匹配程度作為區(qū)別正常和異

3、常行為的度量標準,可以有效地學習正常的訪問行為。算法結合貝葉斯最大后驗概率的原則,給出了模型泛化的最優(yōu)標準,使得語法模型不僅可以識別訓練集中的樣本,還可以識別與訓練集中樣本相似的其它正常樣本。
　　 隱馬爾科夫模型的語法檢測模型具有很高的模型復雜度,導致學習和檢測過程中也具有很高的計算復雜度。針對該問題,本文提出了一種以DFA(確定有限狀態(tài)機)代替隱馬爾科夫模型的檢測方法。這種方法大大簡化了語法結構,也簡化了語法的學習、泛化過程

4、。另外,包括隱馬爾科夫模型在內的很多檢測模型都需要額外的分類策略輔助完成對樣本的最終檢測,而DFA的結構既是語法描述結構,也是一個高效的分類器,可以獨自完成檢測分類,簡化了檢測機制。實驗證明,這種模型不但可以簡化學習檢測過程,提高實用價值,同時能夠很好的保持語法模型的檢測性能。
　　 本文對基于語法的檢測模型做了一個總結和比較。對主要的語法模型從系統(tǒng)復雜度、訓練/檢測特性、模型相互的內在聯(lián)系等各個方面做了系統(tǒng)的分析,并在實驗中給

5、出了驗證。
　　 本文基于異常訪問樣本只占總訪問量一小部分的規(guī)律且正常樣本具有較好聚類特性的特點,提出了一種基于聚類的無監(jiān)督學習檢測方法。這種方法免除了繁雜的訓練樣本的準備工作,直接在混有正常和異常樣本的樣本集合中通過聚類將樣本集分為正常和異常的兩類。算法還給出了基于最小誤差原則的聚類停止標準。實驗結果表明這種方法能達到很好的檢測效果。
　　 由于異常的攻擊類型、形式多樣,層出不窮,單一種類的檢測模型無法有效地檢測實際中