Web應(yīng)用入侵異常檢測(cè)新技術(shù)研究.pdf

1、入侵檢測(cè)是計(jì)算機(jī)網(wǎng)絡(luò)安全體系的重要環(huán)節(jié)。根據(jù)檢測(cè)原理的不同，入侵檢測(cè)系統(tǒng)可分為誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)對(duì)已知的入侵行為建模，能夠準(zhǔn)確識(shí)別出已知入侵。異常檢測(cè)根據(jù)目標(biāo)系統(tǒng)的正常行為輪廓特征訓(xùn)練出正常行為模型，如果檢測(cè)到當(dāng)前行為偏離了正常行為模型，則認(rèn)為系統(tǒng)遭到入侵。異常檢測(cè)適應(yīng)性較好，具備檢測(cè)未知入侵的能力。
　　 傳統(tǒng)的基于主機(jī)或網(wǎng)絡(luò)的異常檢測(cè)系統(tǒng)效率低下，難以達(dá)到實(shí)用的要求，其原因是多方面的：檢測(cè)目標(biāo)選擇不當(dāng)，檢測(cè)數(shù)據(jù)源缺

2、乏針對(duì)性；缺乏有效的訓(xùn)練數(shù)據(jù)凈化算法，難以獲得純凈的訓(xùn)練數(shù)據(jù)集；正常行為模型訓(xùn)練困難，模型的描述能力不足；檢測(cè)算法開(kāi)銷太大，無(wú)法應(yīng)用于實(shí)時(shí)的在線檢測(cè)。為此，以Web系統(tǒng)作為目標(biāo)平臺(tái)，提出一種新的基于應(yīng)用的異常檢測(cè)技術(shù)，涵蓋了Web系統(tǒng)漏洞分析與分類、檢測(cè)數(shù)據(jù)源的選取與評(píng)估、數(shù)據(jù)模型的抽象與凈化、檢測(cè)模型的訓(xùn)練與優(yōu)化等多方面的內(nèi)容。
　　 在分析大量Web 應(yīng)用入侵實(shí)例的基礎(chǔ)上提出了一種新的Web 漏洞分類機(jī)制，Web系統(tǒng)漏洞分類

3、研究對(duì)于選取檢測(cè)數(shù)據(jù)源以及建立訓(xùn)練數(shù)據(jù)集具有重要的指導(dǎo)意義。
　　 異常檢測(cè)的基本假設(shè)是入侵會(huì)導(dǎo)致系統(tǒng)行為異常，檢測(cè)數(shù)據(jù)源的選取與評(píng)估必須以能夠涵蓋系統(tǒng)異常行為為標(biāo)準(zhǔn)。詳細(xì)分析Web系統(tǒng)行為，將描述系統(tǒng)行為的原始檢測(cè)數(shù)據(jù)源以記錄為單位抽象為單元事件和復(fù)合事件，以事件序列作為檢測(cè)數(shù)據(jù)集的統(tǒng)一格式，這種統(tǒng)一格式稱為數(shù)據(jù)模型。在得到事件序列后，異常檢測(cè)簡(jiǎn)化為事件的異常分析：訓(xùn)練得到描述系統(tǒng)正常行為輪廓的正常行為模型，將正常行為模型稱為

4、檢測(cè)模型；以檢測(cè)模型為基準(zhǔn)，采用適當(dāng)?shù)臋z測(cè)算法評(píng)估待測(cè)事件子序列相對(duì)于基準(zhǔn)的偏離，這種偏離的量化稱為異常分值；當(dāng)異常分值超過(guò)指定閾值時(shí)即認(rèn)為在該子序列中發(fā)生異常，異常的事件子序列描述了入侵行為。采用PWM 短序列模式匹配算法和關(guān)聯(lián)規(guī)則匹配算法對(duì)HTTP 連接記錄序列等5種事件序列進(jìn)行異常分析，評(píng)估了各種事件序列對(duì)應(yīng)的檢測(cè)數(shù)據(jù)源針對(duì)各類Web 應(yīng)用入侵的檢測(cè)敏感性。
　　 檢測(cè)模型的質(zhì)量直接決定了檢測(cè)效率。以單元事件序列和復(fù)合事件

5、序列作為數(shù)據(jù)模型，詳細(xì)介紹了事件流程圖、模糊命題規(guī)則庫(kù)以及模糊關(guān)聯(lián)規(guī)則庫(kù)等檢測(cè)模型的訓(xùn)練和優(yōu)化過(guò)程，并提出了基于各檢測(cè)模型的多種檢測(cè)算法。對(duì)于單元事件序列，提出了基于間隙型變長(zhǎng)頻繁短序列(GV-Gram)模式的異常檢測(cè)方法。在詳細(xì)分析程序過(guò)程調(diào)用序列的結(jié)構(gòu)特征的基礎(chǔ)上，定義了GV-Gram模式，涵蓋了程序流程中順序、選擇和循環(huán)三種基本結(jié)構(gòu)。為了挖掘出GV-Gram 模式庫(kù)，以TEIRESIAS 算法為基礎(chǔ)，提出了新的帶冗余控制的GV-G

6、ram 模式生成算法。事件流程圖是GV-Gram 模式庫(kù)的圖形化表達(dá)形式，能夠精確描述程序行為。與已經(jīng)提出的一些頻繁短序列模式匹配算法相比，采用事件流程圖作為檢測(cè)模型的異常檢測(cè)算法在模型規(guī)?？刂?、檢測(cè)效率以及檢測(cè)開(kāi)銷等方面具有明顯優(yōu)勢(shì)。
　　 對(duì)于復(fù)合事件序列的凈化，提出了基于偏離的孤立事件挖掘方法。首先，該方法整合了連續(xù)、離散和復(fù)合離散三種復(fù)合事件屬性，通過(guò)補(bǔ)償連續(xù)值屬性和離散值屬性之間數(shù)值上的差異，提供了復(fù)合事件之間距離的統(tǒng)

7、一計(jì)算公式。其次，提出了用于構(gòu)造異常集的中心偏離優(yōu)先異常集增長(zhǎng)算法，將異常集中的事件從復(fù)合事件序列中剔除，得到相對(duì)純凈的訓(xùn)練數(shù)據(jù)集。
　　 復(fù)合事件序列的異常檢測(cè)采用了模糊命題規(guī)則庫(kù)和模糊關(guān)聯(lián)規(guī)則庫(kù)作為檢測(cè)模型。復(fù)合事件的連續(xù)值屬性離散化是規(guī)則挖掘的前提條件，引入模糊邏輯的目的是消除離散化過(guò)程中的邊界銳化效應(yīng)。在屬性模糊化過(guò)程中，隸屬度函數(shù)參數(shù)的優(yōu)化采用了遺傳算法。在離線檢測(cè)策略中，海量檢測(cè)數(shù)據(jù)的傳送采用零拷貝優(yōu)化技術(shù)，降低了傳

8、送開(kāi)銷。
　　 模糊命題規(guī)則庫(kù)的實(shí)質(zhì)是模糊決策樹(shù)。為了訓(xùn)練得到模糊決策樹(shù)，提出了局部動(dòng)態(tài)最優(yōu)模糊決策樹(shù)生長(zhǎng)算法，算法采用貪心策略，確保每個(gè)連續(xù)值屬性在作為分類節(jié)點(diǎn)時(shí)，其屬性模糊化后的隸屬度函數(shù)參數(shù)都是局部最優(yōu)的。利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析技術(shù)挖掘出模糊關(guān)聯(lián)規(guī)則庫(kù)：首先對(duì)經(jīng)典的Apriori 算法加以改造，結(jié)合模糊邏輯提出了頻繁模糊項(xiàng)集挖掘算法，然后將算法輸出的頻繁模糊項(xiàng)集轉(zhuǎn)化為模糊關(guān)聯(lián)規(guī)則庫(kù)。
　　 對(duì)于復(fù)合事件序列的異常