收藏本站
收藏 | 手机打开
二维码
手机客户端打开本文

Web应用入侵异常检测新技术研究

王晓锋  
【摘要】: 入侵检测是计算机网络安全体系的重要环节。根据检测原理的不同,入侵检测系统可分为误用检测和异常检测。误用检测对已知的入侵行为建模,能够准确识别出已知入侵。异常检测根据目标系统的正常行为轮廓特征训练出正常行为模型,如果检测到当前行为偏离了正常行为模型,则认为系统遭到入侵。异常检测适应性较好,具备检测未知入侵的能力。 传统的基于主机或网络的异常检测系统效率低下,难以达到实用的要求,其原因是多方面的:检测目标选择不当,检测数据源缺乏针对性;缺乏有效的训练数据净化算法,难以获得纯净的训练数据集;正常行为模型训练困难,模型的描述能力不足;检测算法开销太大,无法应用于实时的在线检测。为此,以Web系统作为目标平台,提出一种新的基于应用的异常检测技术,涵盖了Web系统漏洞分析与分类、检测数据源的选取与评估、数据模型的抽象与净化、检测模型的训练与优化等多方面的内容。 在分析大量Web应用入侵实例的基础上提出了一种新的Web漏洞分类机制,Web系统漏洞分类研究对于选取检测数据源以及建立训练数据集具有重要的指导意义。 异常检测的基本假设是入侵会导致系统行为异常,检测数据源的选取与评估必须以能够涵盖系统异常行为为标准。详细分析Web系统行为,将描述系统行为的原始检测数据源以记录为单位抽象为单元事件和复合事件,以事件序列作为检测数据集的统一格式,这种统一格式称为数据模型。在得到事件序列后,异常检测简化为事件的异常分析:训练得到描述系统正常行为轮廓的正常行为模型,将正常行为模型称为检测模型;以检测模型为基准,采用适当的检测算法评估待测事件子序列相对于基准的偏离,这种偏离的量化称为异常分值;当异常分值超过指定阈值时即认为在该子序列中发生异常,异常的事件子序列描述了入侵行为。采用PWM短序列模式匹配算法和关联规则匹配算法对HTTP连接记录序列等5种事件序列进行异常分析,评估了各种事件序列对应的检测数据源针对各类Web应用入侵的检测敏感性。 检测模型的质量直接决定了检测效率。以单元事件序列和复合事件序列作为数据模型,详细介绍了事件流程图、模糊命题规则库以及模糊关联规则库等检测模型的训练和优化过程,并提出了基于各检测模型的多种检测算法。 对于单元事件序列,提出了基于间隙型变长频繁短序列(GV-Gram)模式的异常检测方法。在详细分析程序过程调用序列的结构特征的基础上,定义了GV-Gram模式,涵盖了程序流程中顺序、选择和循环三种基本结构。为了挖掘出GV-Gram模式库,以TEIRESIAS算法为基础,提出了新的带冗余控制的GV-Gram模式生成算法。事件流程图是GV-Gram模式库的图形化表达形式,能够精确描述程序行为。与已经提出的一些频繁短序列模式匹配算法相比,采用事件流程图作为检测模型的异常检测算法在模型规模控制、检测效率以及检测开销等方面具有明显优势。 对于复合事件序列的净化,提出了基于偏离的孤立事件挖掘方法。首先,该方法整合了连续、离散和复合离散三种复合事件属性,通过补偿连续值属性和离散值属性之间数值上的差异,提供了复合事件之间距离的统一计算公式。其次,提出了用于构造异常集的中心偏离优先异常集增长算法,将异常集中的事件从复合事件序列中剔除,得到相对纯净的训练数据集。 复合事件序列的异常检测采用了模糊命题规则库和模糊关联规则库作为检测模型。复合事件的连续值属性离散化是规则挖掘的前提条件,引入模糊逻辑的目的是消除离散化过程中的边界锐化效应。在属性模糊化过程中,隶属度函数参数的优化采用了遗传算法。在离线检测策略中,海量检测数据的传送采用零拷贝优化技术,降低了传送开销。 模糊命题规则库的实质是模糊决策树。为了训练得到模糊决策树,提出了局部动态最优模糊决策树生长算法,算法采用贪心策略,确保每个连续值属性在作为分类节点时,其属性模糊化后的隶属度函数参数都是局部最优的。利用数据挖掘中的关联分析技术挖掘出模糊关联规则库:首先对经典的Apriori算法加以改造,结合模糊逻辑提出了频繁模糊项集挖掘算法,然后将算法输出的频繁模糊项集转化为模糊关联规则库。 对于复合事件序列的异常检测,综合分析了规则库相似度检测等多种检测算法,从训练开销、检测开销和检测效率等方面对各算法进行了对比实验。其中,两种新的基于模糊决策树和模糊关联规则库的算法具有较好的综合性能。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 王兴家;汪晓惠;赵超;;基于神经网络的混沌时序数据失真检测方法研究[J];重庆交通大学学报(自然科学版);2007年06期
2 潘洪涛,王凤先,刘振鹏;计算机免疫系统GECISM中的检测阈值自适应调整[J];河北大学学报(自然科学版);2005年01期
3 李钊年;坏数据检测阈值的改进及其应用[J];青海大学学报(自然科学版);2002年01期
4 谢剑锋,杜建洪;一种提高数字水印检测性能的算法研究[J];信号处理;2004年03期
5 彭静;;数字水印算法检测标准的研究[J];电子科技大学学报;2007年03期
6 张悦;舒华忠;;基于共轭对称列率复数哈达玛变换的水印算法[J];东南大学学报(自然科学版);2011年02期
7 杨雅辉;杜克明;;全网异常流量簇的检测与确定机制[J];计算机研究与发展;2009年11期
8 王红星;马杰;张铁英;;无线光通信脉冲间隔调制最优检测阈值研究[J];舰船电子工程;2008年08期
9 刘立;张东;;微弱方波信号检测阈值判定的级数分析方法[J];河北大学学报(自然科学版);2011年02期
10 曹云刚,刘闯;从AVHRR到MODIS的雪盖制图研究进展[J];地理与地理信息科学;2005年05期
11 罗宏文;马驷良;徐中宇;;基于统计的显微图像边缘检测阈值分析方法[J];吉林大学学报(理学版);2006年03期
12 李军;韩志刚;陈洪滨;赵增亮;吴宏议;;静止气象卫星遥感探测华北平原秋季大雾研究[J];遥感技术与应用;2011年02期
13 许江湖;张明敏;胡金华;;混响背景下基于自动删除算法的恒虚警检测器[J];电子与信息学报;2007年03期
14 叶建兵;谭沈阳;张学华;;一种基于双边假设检验的Contourlet域乘性水印盲检测算法[J];包装工程;2011年11期
15 徐本连;董学平;王执铨;;基于SNF的一种检测和跟踪性能优化方法[J];火力与指挥控制;2006年08期
16 韦虎;张丽艳;刘胜兰;张辉;;三角网格曲面角点的鲁棒性检测算法[J];计算机辅助设计与图形学学报;2009年11期
17 吴庆涛;邵志清;钱夕元;;基于网络连接分析的DDoS攻击检测模型[J];计算机工程;2006年10期
18 简涛;何友;苏峰;平殿发;顾新锋;;非高斯背景下基于动态阈值的距离扩展目标检测器[J];电子学报;2011年01期
19 俞晓明;许洪波;;基于假设流量的Deltoid算法阈值设定[J];计算机工程;2008年13期
20 王桂婷;王幼亮;焦李成;;自适应空间邻域分析和瑞利-高斯分布的多时相遥感影像变化检测[J];遥感学报;2009年04期
中国重要会议论文全文数据库 前8条
1 余朔望;;音频水印相关检测的可靠性研究[A];2008年中国西部青年通信学术会议论文集[C];2008年
2 姜学钧;杨会军;惠莲;杨宁;;人工耳蜗植入患者电诱发镫骨肌反射的阈值及其临床意义[A];中华医学会第十次全国耳鼻咽喉-头颈外科学术会议论文汇编(上)[C];2007年
3 康健;张旭明;胡仲翔;张甲英;;基于CCD的齿轮测量系统的图像预处理研究[A];2005年中国机械工程学会年会论文集[C];2005年
4 刘中勇;曾小娜;朱道中;房红莹;蒋启荣;吴志强;罗满林;;猪瘟病毒RT-LAMP快速检测方法的建立[A];中国畜牧兽医学会家畜传染病学分会第七届全国会员代表大会暨第十三次学术研讨会论文集(上册)[C];2009年
5 吴立珍;曾迎生;;一种新的高抗干扰超声波相关测距算法[A];无线传感器网及网络信息处理技术——2006年通信理论与信号处理年会论文集[C];2006年
6 谢有富;陈辉;黎庆梅;梁达荣;;瘢痕水泡液TGF-β的变化及意义[A];第八届全国烧伤外科学年会论文汇编[C];2007年
7 李巍;张西臣;李建华;李淑红;宫鹏涛;刁玉梅;李春雨;苏利波;吴康;;PCR-RFLP对隐孢子虫进行种间鉴别诊断[A];中国畜牧兽医学会家畜寄生虫学分会第六次代表大会暨第十次学术研讨会论文集[C];2009年
8 曾立波;陈连康;胡小龙;张玉荣;张润生;曹芳琦;骆华;;胶体金法吗啡-甲基苯丙胺二合一免疫层析试剂盒的研制[A];公共安全中的化学问题研究进展(第二卷)[C];2011年
中国博士学位论文全文数据库 前10条
1 王光伟;基于非对称逆布局模型的目标识别方法研究[D];华中科技大学;2012年
2 刘新文;基于神经核团放电的脑组织立体定位技术研究[D];南京航空航天大学;2006年
3 孙丽玲;异步电动机故障检测与诊断方法研究[D];华北电力大学(河北);2007年
4 叶翔;适应对猫外膝体细胞反应特性的影响[D];中国科学技术大学;2009年
5 徐鹏景;弱视和肝豆状核变性患者视觉认知功能损害机制的噪音与模型分析研究[D];中国科学技术大学;2007年
6 刘洋;多模态MRI影像在矿难创伤后应激障碍研究中的应用[D];第四军医大学;2012年
7 曹刘娟;面向二维数字矢量地图的无损数字水印技术研究[D];哈尔滨工程大学;2013年
8 梁华;多摄像机视频监控中运动目标检测与跟踪[D];国防科学技术大学;2009年
9 夏正敏;基于分形的网络流量分析及异常检测技术研究[D];上海交通大学;2012年
10 陈加荣;组织工程关节软骨再生修复的在体无创监测方法研究[D];第三军医大学;2013年
中国硕士学位论文全文数据库 前10条
1 郭晓慧;复杂场景下视频监控系统中多目标检测的研究与实现[D];北京邮电大学;2013年
2 侯志敏;基于奇异函数和曲线拟合的边缘检测方法研究[D];华中科技大学;2006年
3 宋光华;基于压缩感知的迭代支集检测在磁共振成像中的应用研究[D];吉林大学;2013年
4 白月林;异步电动机故障检测系统研究[D];华北电力大学(河北);2006年
5 黄煜;基于脑电的脑—计算机接口在线异步系统研究[D];电子科技大学;2010年
6 李谨言;基于非线性理论的低信噪比信号检测技术研究[D];哈尔滨工业大学;2011年
7 宋丹;数字下变频器中自动增益控制电路的设计与实现[D];电子科技大学;2006年
8 陈毅;航空发动机控制系统传感器故障诊断研究[D];南京航空航天大学;2007年
9 郭晋;固定场景下的智能视频监控系统研究与实现[D];国防科学技术大学;2008年
10 张琦;基于统计模型的SAR图像车辆目标检测方法研究[D];国防科学技术大学;2005年
中国重要报纸全文数据库 前1条
1 彭家泽;鲜味剂在食品工业中的应用[N];中国食品质量报;2003年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978