Web服務由于其高度可用性和便利性,已經(jīng)成為越來越多信息服務的主要提供方式。Web應用規(guī)模的快速增長帶來便利的同時,數(shù)據(jù)和用戶信息也成為不法分子獲利的目標。如何做好安全防護,保障網(wǎng)絡和系統(tǒng)的運行穩(wěn)定,成為服務提供者和安全公司必須解決的問題。入侵檢測技術在服務運行過程中通過主動的旁路分析實現(xiàn)對網(wǎng)絡攻擊行為的實時檢測,成為當前Web應用的主要防護手段之一。廣泛使用的誤用檢測技術在當前大規(guī)模數(shù)據(jù)環(huán)境下已經(jīng)無法滿足性能需求,并且隨著攻擊手段的日益豐富,規(guī)則的維護難度急劇增大。應用機器學習算法進行異常檢測具有識別未知攻擊的優(yōu)勢,逐漸成為很多安全解決方案的一部分。本文的研究內容從Web應用中的異常HTTP請求流量檢測和Webshell樣本識別兩個問題展開,具體工作如下:1.由于白名單的存在和規(guī)則庫不完整,現(xiàn)有的規(guī)則過濾只能得到標簽準確的異常訓練數(shù)據(jù),本文采用PU學習方法檢測異常HTTP請求。針對高帶寬網(wǎng)絡環(huán)境下流量數(shù)據(jù)包采集的性能瓶頸,設計應用DPDK的旁路數(shù)據(jù)采集模塊,實現(xiàn)零拷貝數(shù)據(jù)抓包。在數(shù)據(jù)包捕獲的性能測試中,10G帶寬環(huán)境下DPDK可以捕獲全量數(shù)據(jù)包。異常檢測通過集成算法Bagging優(yōu)化... 

【文章來源】：中國科學技術大學安徽省 211工程院校 985工程院校

【文章頁數(shù)】：72 頁

【學位級別】：碩士

【部分圖文】：

圖２．１不同方式ＸＳＳ攻擊獲取用戶Ｃｏｏｋｉｅ過程??表２．１?ＸＳＳ攻擊惡意關鍵字??惡

??１．兩階段策略??第一種兩階段策略（ｔｗｏ－ｓｔａｇｅ?ｓｔｒａｔｅｇｙ）如圖２．２所示，是在問題解決的第一??階段從無標記樣本集１７中提取出可靠的負類樣本ｉＷ（Ｒｄｉａｂｌｅ?Ｎｅｇａｔｉｖｅｓ），并劃??分出剩余樣本集Ｑ，這一階段解決了無標記樣本的標簽問題，第二階段以上劃分??的數(shù)據(jù)集中訓練監(jiān)督或半監(jiān)督算法模型實現(xiàn)分類。??正類樣本?負類樣本??第一階段?：Ｑ?第二階段??騎——＾??ｕ?１１?＼?Ｍ?ｙ??議?廣基于Ｐ、ＲＮ和Ｑ??＞?１１１?＾?，Ｔ？ＸＴ?訓練得到最終??Ｑ＝Ｕ＿ＲＮ?分類器??－１?ｒｎ??ｐ?ｐ?僅基于Ｐ、ＲＮ訓??練得到分類器??＼??圖２．２?ＰＵ學習兩階段策略??１３??

池化函數(shù)用附近輸出的統(tǒng)計量替換某個位置的輸出，降低數(shù)據(jù)的維度，逐步縮??小表示空間的大小，降低網(wǎng)絡的參數(shù)和計算量，也可以控制過擬合。非線性單元??ＲｅＬＵ輸出為／⑵＝ｍａｘ（０，ｘ），其目的是在我們的ＣｏｎｖＮｅｔ中引入非線性。??２．４．２循環(huán)神經(jīng)網(wǎng)絡??循環(huán)神經(jīng)網(wǎng)絡ＲＮＮ是用于處理序列預測問題重要模型，其背后的想法是利??用順序信息，是將前一步的輸出作為當前步驟的輸入的一部分進行計算的神經(jīng)??網(wǎng)絡模型。在傳統(tǒng)的神經(jīng)網(wǎng)絡中，所有輸入和輸出彼此獨立，但是在預測下一個??狀態(tài)的情況時，就必須根據(jù)之前的狀態(tài)進行預測，＿網(wǎng)絡中的記憶單元可以??記住到目前為止已經(jīng)計算內容的所有信息，使得可以準確地預測接下來的內容。??６?〇．－ｉ?°，＋；??Ａ?４?｜?Ａ??ｖ?Ｖ?Ｖ?Ｖ??ｔ?＾?個?ｖｖ?ｔ?＾?個?ｖｖ，??ｕ?ｕ?ｕ?ｕ??


本文編號：3041434