資源描述:
《web應用入侵異常檢測新技術(shù)研究》由會員上傳分享,免費在線閱讀����,更多相關(guān)內(nèi)容在學術(shù)論文-天天文庫。
1��、華中科技大學博士學位論文Web應用入侵異常檢測新技術(shù)研究姓名:王曉鋒申請學位級別:博士專業(yè):計算機系統(tǒng)結(jié)構(gòu)指導教師:周敬利20071109華中科技大學博士學位論文摘要入侵檢測是計算機網(wǎng)絡(luò)安全體系的重要環(huán)節(jié)���。根據(jù)檢測原理的不同�����,入侵檢測系統(tǒng)可分為誤用檢測和異常檢測���。誤用檢測對已知的入侵行為建模�,能夠準確識別出已知入侵�����。異常檢測根據(jù)目標系統(tǒng)的正常行為輪廓特征訓練出正常行為模型��,如果檢測到當前行為偏離了正常行為模型���,則認為系統(tǒng)遭到入侵��。異常檢測適應性較好��,具備檢測未知入侵的能力�。傳統(tǒng)的基于主機或網(wǎng)絡(luò)的異常檢測系
2��、統(tǒng)效率低下���,難以達到實用的要求���,其原因是多方面的:檢測目標選擇不當��,檢測數(shù)據(jù)源缺乏針對性;缺乏有效的訓練數(shù)據(jù)凈化算法�����,難以獲得純凈的訓練數(shù)據(jù)集���;正常行為模型訓練困難��,模型的描述能力不足�����;檢測算法開銷太大�����,無法應用于實時的在線檢測�����。為此�����,以Web系統(tǒng)作為目標平臺���,提出一種新的基于應用的異常檢測技術(shù)�,涵蓋了Web系統(tǒng)漏洞分析與分類����、檢測數(shù)據(jù)源的選取與評估、數(shù)據(jù)模型的抽象與凈化����、檢測模型的訓練與優(yōu)化等多方面的內(nèi)容。在分析大量Web應用入侵實例的基礎(chǔ)上提出了一種新的Web漏洞分類機制�,Web系統(tǒng)漏洞分類研究對于選
3、取檢測數(shù)據(jù)源以及建立訓練數(shù)據(jù)集具有重要的指導意義���。異常檢測的基本假設(shè)是入侵會導致系統(tǒng)行為異常�,檢測數(shù)據(jù)源的選取與評估必須以能夠涵蓋系統(tǒng)異常行為為標準���。詳細分析Web系統(tǒng)行為��,將描述系統(tǒng)行為的原始檢測數(shù)據(jù)源以記錄為單位抽象為單元事件和復合事件�,以事件序列作為檢測數(shù)據(jù)集的統(tǒng)一格式����,這種統(tǒng)一格式稱為數(shù)據(jù)模型。在得到事件序列后����,異常檢測簡化為事件的異常分析:訓練得到描述系統(tǒng)正常行為輪廓的正常行為模型,將正常行為模型稱為檢測模型��;以檢測模型為基準���,采用適當?shù)臋z測算法評估待測事件子序列相對于基準的偏離���,這種偏離的量化
4、稱為異常分值���;當異常分值超過指定閾值時即認為在該子序列中發(fā)生異常����,異常的事件子序列描述了入侵行為���。采用PWM短序列模式匹配算法和關(guān)聯(lián)規(guī)則匹配算法對HTTP連接記錄序列等5種事件序列進行異常分析�,評估了各種事件序列對應的檢測數(shù)據(jù)源針對各類Web應用入侵的檢測敏感性���。檢測模型的質(zhì)量直接決定了檢測效率�。以單元事件序列和復合事件序列作為數(shù)據(jù)模型,詳細介紹了事件流程圖�、模糊命題規(guī)則庫以及模糊關(guān)聯(lián)規(guī)則庫等檢測模型的訓練和優(yōu)化過程,并提出了基于各檢測模型的多種檢測算法���。I華中科技大學博士學位論文對于單元事件序列����,提出了
5�����、基于間隙型變長頻繁短序列(GV-Gram)模式的異常檢測方法�����。在詳細分析程序過程調(diào)用序列的結(jié)構(gòu)特征的基礎(chǔ)上��,定義了GV-Gram模式��,涵蓋了程序流程中順序�����、選擇和循環(huán)三種基本結(jié)構(gòu)�。為了挖掘出GV-Gram模式庫��,以TEIRESIAS算法為基礎(chǔ)�,提出了新的帶冗余控制的GV-Gram模式生成算法����。事件流程圖是GV-Gram模式庫的圖形化表達形式���,能夠精確描述程序行為����。與已經(jīng)提出的一些頻繁短序列模式匹配算法相比���,采用事件流程圖作為檢測模型的異常檢測算法在模型規(guī)?�?刂?����、檢測效率以及檢測開銷等方面具有明顯優(yōu)勢���。對于
6、復合事件序列的凈化�����,提出了基于偏離的孤立事件挖掘方法。首先�����,該方法整合了連續(xù)���、離散和復合離散三種復合事件屬性�����,通過補償連續(xù)值屬性和離散值屬性之間數(shù)值上的差異�,提供了復合事件之間距離的統(tǒng)一計算公式���。其次����,提出了用于構(gòu)造異常集的中心偏離優(yōu)先異常集增長算法����,將異常集中的事件從復合事件序列中剔除,得到相對純凈的訓練數(shù)據(jù)集。復合事件序列的異常檢測采用了模糊命題規(guī)則庫和模糊關(guān)聯(lián)規(guī)則庫作為檢測模型���。復合事件的連續(xù)值屬性離散化是規(guī)則挖掘的前提條件���,引入模糊邏輯的目的是消除離散化過程中的邊界銳化效應。在屬性模糊化過程中��,隸
7�����、屬度函數(shù)參數(shù)的優(yōu)化采用了遺傳算法���。在離線檢測策略中,海量檢測數(shù)據(jù)的傳送采用零拷貝優(yōu)化技術(shù)���,降低了傳送開銷�。模糊命題規(guī)則庫的實質(zhì)是模糊決策樹�����。為了訓練得到模糊決策樹�����,提出了局部動態(tài)最優(yōu)模糊決策樹生長算法,算法采用貪心策略�����,確保每個連續(xù)值屬性在作為分類節(jié)點時����,其屬性模糊化后的隸屬度函數(shù)參數(shù)都是局部最優(yōu)的。利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析技術(shù)挖掘出模糊關(guān)聯(lián)規(guī)則庫:首先對經(jīng)典的Apriori算法加以改造�,結(jié)合模糊邏輯提出了頻繁模糊項集挖掘算法,然后將算法輸出的頻繁模糊項集轉(zhuǎn)化為模糊關(guān)聯(lián)規(guī)則庫�。對于復合事件序列的異常檢測,
8�����、綜合分析了規(guī)則庫相似度檢測等多種檢測算法�����,從訓練開銷����、檢測開銷和檢測效率等方面對各算法進行了對比實驗����。其中����,兩種新的基于模糊決策樹和模糊關(guān)聯(lián)規(guī)則庫的算法具有較好的綜合性能。關(guān)鍵詞:Web應用網(wǎng)絡(luò)安全入侵檢測異常檢測模糊邏輯數(shù)據(jù)挖掘遺傳算法II華中科技大學博士學位論文AbstractIntrusiondetectionplaysanimportantroleincomputernetworksecuritysystem.Acco
