论文部分内容阅读
在Web技术不断发展的同时随之而来的安全问题也日益增加,针对Web应用的入侵行为造成了严重的财产损失。用户在访问互联网页面的同时,会留下大量的Web日志,这些日志记录了大量的正常和异常用户的访问痕迹,挖掘这些日志可以从中得到很多有用的特征信息,有助于更好的实现入侵检测。本文探讨现有入侵检测模型的不足,结合误用和异常检测技术设计了一个基于Web日志的自适应混合入侵检测模型。具体研究内容如下:(1)针对几种常见的Web攻击类型进行分析并使用正则表达式构建误用检测规则库。同时考虑到误用检测规则库维护更新的工作量巨大,提出可以使用Apriori算法来实现规则库的自适应扩充,同时改进Apriori算法的频繁项发现过程以提高算法的执行效率。(2)研究并改进基于隐马尔科夫模型(Hidden Markov Model,HMM)的异常检测。首先使用2-Gram模型和集合间等价关系改进HMM模型的泛化过程,其次改进HMM模型的学习算法,修改状态转移概率分布的计算方法,进一步提升模型的检测能力。另一方面由于基于隐马尔科夫的异常检测模型只是针对请求参数的异常检测,相对于基于Web日志所有特征的分类模型来说是一种粗检测模型。于是,对Web日志进行了特征提取工作,并对比几种常见的分类算法的所构建异常检测模型的检测性能,选出最适合本文数据场景的分类算法。(3)最终构建了一个基于Web日志的自适应的混合入侵检测模型,该模型综合了误用和异常检测技术,并借助关联分析算法自适应提取新型异常中的特征规则以补充误用检测规则库。实验结果表明整个混合入侵检测模型可以在低误报率(0.25%)的同时维持高检测率(97.62%),并不断自学习异常日志以提取新的规则,有较强的自适应能力,自适应后检测率高达99.14%,误报率为0.08%。