基于Web客戶端行為的統(tǒng)計異常檢測方法研究.pdf

1、隨著網(wǎng)絡技術的日益發(fā)展，網(wǎng)絡安全機制的研究越來越被重視。隨著入侵檢測技術的研究越來越廣泛，未知網(wǎng)絡攻擊的異常檢測技術并沒有得到廣泛研究。由于Web應用技術的迅速發(fā)展，基于誤用檢測的入侵檢測技術已經(jīng)不能滿足現(xiàn)有的網(wǎng)絡安全機制，隨著Web應用中B/S(瀏覽器/服務器)架構的廣泛流行，同時現(xiàn)有網(wǎng)絡攻擊手段變得多樣化，大量的客戶端的未知網(wǎng)絡攻擊開始涌現(xiàn)。因此，本文研究了基于Web客戶端行為的統(tǒng)計異常檢測系統(tǒng)。
　　 首先采用基于統(tǒng)計分析

2、的技術設計了用戶預處理模塊，在預處理模塊中過濾掉大部分的正常用戶的HTTP請求序列，將少量的可能存在異常的Web用戶的HTTP請求序列交給Web用戶行為判斷模塊處理；在用戶行為判斷模塊首先采集正常用戶的HTTP請求序列，采用隱半馬爾科夫模型(HsMM)建立正常Web用戶的訪問行為，其次基于建立的正常用戶行為模型對可能存在異常的Web用戶的HTTP請求序列進行實時檢測。在異常檢測系統(tǒng)改進上，由于HsMM模型訓練算法(Baum-Welch)

3、對初始參數(shù)敏感的缺陷，在基于HsMM的異常檢測系統(tǒng)基礎上采用GA進行初始參數(shù)的優(yōu)化處理，首先采集不同時間點的Web用戶的HTTP請求序列，其次采用GA對不同時間點的HTTP請求序列初始參數(shù)進行全局優(yōu)化，接著采用HsMM前向和后向算法對全局優(yōu)化的初始參數(shù)進行重估處理，最后，在全局優(yōu)化和重估的初始參數(shù)條件下采用HsMM前向算法建立正常Web用戶訪問行為。最終通過建立的正常Web用戶的訪問行為來檢測實時到達的Web用戶的HTTP請求序列。