基于Web客戶端行為的統(tǒng)計(jì)異常檢測方法研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，網(wǎng)絡(luò)安全機(jī)制的研究越來越被重視。隨著入侵檢測技術(shù)的研究越來越廣泛，未知網(wǎng)絡(luò)攻擊的異常檢測技術(shù)并沒有得到廣泛研究。由于Web應(yīng)用技術(shù)的迅速發(fā)展，基于誤用檢測的入侵檢測技術(shù)已經(jīng)不能滿足現(xiàn)有的網(wǎng)絡(luò)安全機(jī)制，隨著Web應(yīng)用中B/S(瀏覽器/服務(wù)器)架構(gòu)的廣泛流行，同時(shí)現(xiàn)有網(wǎng)絡(luò)攻擊手段變得多樣化，大量的客戶端的未知網(wǎng)絡(luò)攻擊開始涌現(xiàn)。因此，本文研究了基于Web客戶端行為的統(tǒng)計(jì)異常檢測系統(tǒng)。
　　 首先采用基于統(tǒng)計(jì)分析

2、的技術(shù)設(shè)計(jì)了用戶預(yù)處理模塊，在預(yù)處理模塊中過濾掉大部分的正常用戶的HTTP請求序列，將少量的可能存在異常的Web用戶的HTTP請求序列交給Web用戶行為判斷模塊處理；在用戶行為判斷模塊首先采集正常用戶的HTTP請求序列，采用隱半馬爾科夫模型(HsMM)建立正常Web用戶的訪問行為，其次基于建立的正常用戶行為模型對可能存在異常的Web用戶的HTTP請求序列進(jìn)行實(shí)時(shí)檢測。在異常檢測系統(tǒng)改進(jìn)上，由于HsMM模型訓(xùn)練算法(Baum-Welch)

3、對初始參數(shù)敏感的缺陷，在基于HsMM的異常檢測系統(tǒng)基礎(chǔ)上采用GA進(jìn)行初始參數(shù)的優(yōu)化處理，首先采集不同時(shí)間點(diǎn)的Web用戶的HTTP請求序列，其次采用GA對不同時(shí)間點(diǎn)的HTTP請求序列初始參數(shù)進(jìn)行全局優(yōu)化，接著采用HsMM前向和后向算法對全局優(yōu)化的初始參數(shù)進(jìn)行重估處理，最后，在全局優(yōu)化和重估的初始參數(shù)條件下采用HsMM前向算法建立正常Web用戶訪問行為。最終通過建立的正常Web用戶的訪問行為來檢測實(shí)時(shí)到達(dá)的Web用戶的HTTP請求序列。