發(fā)布時間：2020-05-25 12:25

【摘要】：身份盜用是指攻擊者使用各種手段盜取或騙取用戶身份憑證,并使用合法憑證在網絡中移動,以入侵更多的計算機并實施修改權限、篡改配置信息、盜取數據等惡意行為。由于此類行為中攻擊者所使用的憑證和合法憑證并無二致,傳統(tǒng)的訪問控制與授權系統(tǒng)難以有效阻止攻擊者對網絡信息資源非法使用和盜取,傳統(tǒng)入侵檢測系統(tǒng)也難以有效發(fā)現(xiàn)。如何解決身份盜用攻擊造成的網絡安全問題,是學術界關注的重點之一,經過長期的研究發(fā)現(xiàn),從用戶行為入手可以有效解決該問題。近些年,研究人員從用戶的認證行為和操作行為兩方面提出一些頗有效果的檢測方法,但這些方案仍存在較多問題:1)基于認證行為的檢測,由于認證行為數據中包含的字段信息較少,只分析行為本身難以提取具有代表性的特征,導致檢測召回率較低;2)基于操作行為的檢測,由于現(xiàn)有方法多是通過提取操作種類、操作次數等特征進行檢測,忽略了操作行為之間的序列關系,難以完整刻畫用戶操作行為輪廓,導致檢測準確率較低;3)現(xiàn)有檢測方法沒有將認證行為和操作行為進行融合,無法對用戶進行全面檢測,導致漏報率和誤報率較高。針對上述的問題,本文以用戶入網時的認證行為和其后的操作行為數據為基礎,以充分發(fā)掘攻擊者與正常用戶行為差異為目標,在前人研究基礎上對身份盜用攻擊檢測方法進行研究改進,取得的研究成果如下:1.針對問題一,以攻擊者與正常用戶認證行為差異為研究對象挖掘特性,提出一種基于Word2vec和密度聚類的異常認證行為檢測方法。在現(xiàn)有公開數據集中結合用戶行為特點,挖掘攻擊者與合法用戶在認證時間、認證計算機等方面的差異,提取能夠代表兩者行為差異的多個特征,然后設計概率公式將文本數據中的差異轉換成數值形式,并使用Word2vec計算概率構建特征向量,最后基于密度聚類算法對特征向量進行聚類,從而檢測出異常認證行為。實驗證明該檢測方法有較高的召回率。2.針對問題二,通過研究用戶操作行為之間的序列關系,以及攻擊者與正常用戶行為模式的偏差,提出一種基于LSTM的異常操作行為檢測方法。該方法通過分析行為間的序列關系,定義了行為模式的基本形式,并挖掘攻擊者與正常用戶在行為模式中的差異。在此基礎上,將原始數據處理為一種既可以表現(xiàn)行為差異,又可以描述行為模式序列性的特征數據,然后使用LSTM網絡對特征數據進行學習,對下一行為進行預測,最終通過計算實際行為與預測行為的概率差檢測異常操作行為。實驗證明該檢測方法明顯優(yōu)于前人方法。3.針對問題三,本文提出一種基于多行為的身份盜用檢測系統(tǒng),在該系統(tǒng)中集成了上述兩種檢測方法共同檢測身份盜用攻擊。該系統(tǒng)主要包括數據采集模塊、數據存儲模塊、數據處理模塊、檢測模塊和報警模塊。在檢測模塊中采用攻擊特征匹配和行為檢測兩種檢測方式,綜合多種行為模型檢測身份盜用行為。實驗證明該系統(tǒng)可以迅速、精確的檢測身份盜用行為。除了上述研究成果,本文還提出使用認證圖評估網絡遭受身份盜用攻擊風險的方法,以及評估用戶憑證對于該攻擊脆弱性的方法。通過分析用戶與計算機之間的認證關系,分別為網絡和用戶建立不同結構的認證圖,通過研究兩種認證圖中最大連通子圖、密度及平均路徑長度等屬性,從連通性、密集程度和攻擊實施難度等多個角度,分別評估網絡風險和憑證脆弱性,找到相對安全的網絡狀態(tài)和容易被攻擊者利用的憑證,有助于對這些憑證加強保護,從而提高網絡防范,降低攻擊危害。
【圖文】：

圖 3.1 認證時間分布（client）：在日常工作生活中，，每個用戶都有常用的認證客因或特殊目的，使用的客戶端與用戶常用的存在明顯差異中，某用戶使用客戶端的情況，其中由方框標記的是攻擊者使，將客戶端特征處理為 | , 1 ,2,... nP client user n N，N 表示戶user 使用客戶端nclient 的概率。

圖 3.1 認證時間分布2. 客戶端（client）：在日常工作生活中，每個用戶都有常用的認證客戶端，而攻擊于地理原因或特殊目的，使用的客戶端與用戶常用的存在明顯差異，如圖 3.2 是L 數據集中，某用戶使用客戶端的情況，其中由方框標記的是攻擊者使用的客戶端。這一差異，將客戶端特征處理為 | , 1 ,2,... nP client user n N，N 表示客戶端的數量式表示用戶user 使用客戶端nclient 的概率。
【學位授予單位】：戰(zhàn)略支援部隊信息工程大學
【學位級別】：碩士
【學位授予年份】：2018
【分類號】：TP393.08

【參考文獻】

相關期刊論文 前8條

1 余淼;胡占義;;高階馬爾科夫隨機場及其在場景理解中的應用[J];自動化學報;2015年07期

2 肖喜;翟起濱;田新廣;陳小娟;葉潤國;;基于Shell命令和多階Markov鏈模型的用戶偽裝攻擊檢測[J];電子學報;2011年05期

3 肖喜;田新廣;翟起濱;葉潤國;;基于shell命令和Markov鏈模型的用戶偽裝攻擊檢測[J];通信學報;2011年03期

4 孫吉貴;劉杰;趙連宇;;聚類算法研究[J];軟件學報;2008年01期

5 張永錚;方濱興;遲悅;云曉春;;網絡風險評估中網絡節(jié)點關聯(lián)性的研究[J];計算機學報;2007年02期

6 卿斯?jié)h ,蔣建春 ,馬恒太 ,文偉平 ,劉雪飛;入侵檢測技術研究綜述[J];通信學報;2004年07期

7 唐懿芳,鐘達夫,嚴小衛(wèi);基于聚類模式的數據清洗技術[J];計算機應用;2004年05期

8 連一峰,戴英俠,王航;基于模式挖掘的用戶行為異常檢測[J];計算機學報;2002年03期

相關碩士學位論文 前5條

1 張沖;基于Attention-Based LSTM模型的文本分類技術的研究[D];南京大學;2016年

2 劉文怡;基于多重行為的偽裝入侵檢測系統(tǒng)[D];上海交通大學;2014年

3 王賀福;統(tǒng)計語言模型應用與研究[D];復旦大學;2012年

4 劉曉博;基于層次聚類的入侵檢測算法研究[D];吉林大學;2010年

5 董富強;網絡用戶行為分析研究及其應用[D];西安電子科技大學;2005年

本文編號：2680150