大數(shù)據(jù)時(shí)代,信息安全成為人們高度重視的問題。當(dāng)下的互聯(lián)網(wǎng)環(huán)境復(fù)雜多變,網(wǎng)絡(luò)攻擊事件頻頻發(fā)生,入侵檢測(cè)系統(tǒng)的重要性日益體現(xiàn)。對(duì)于互聯(lián)網(wǎng)用戶的入侵行為,目前主流的用戶行為異常檢測(cè)技術(shù)所采用的審計(jì)數(shù)據(jù)來自系統(tǒng)或應(yīng)用層面,丟失了很多用戶層面的有效信息,且審計(jì)數(shù)據(jù)的獲取大多采用人工采集的方式,開發(fā)和維護(hù)成本高。因此,本文設(shè)計(jì)了一套通用的用戶行為異常檢測(cè)系統(tǒng),自動(dòng)化采集用戶在Web端的操作行為作為審計(jì)數(shù)據(jù),通過為用戶建立正常行為輪廓的方式來識(shí)別行為異常。首先,本文調(diào)研了異常檢測(cè)的相關(guān)技術(shù),結(jié)合入侵檢測(cè)系統(tǒng)需要滿足的功能需求,設(shè)計(jì)了一套完整的用戶行為異常檢測(cè)系統(tǒng)框架,并對(duì)框架中各個(gè)模塊進(jìn)行了詳細(xì)的設(shè)計(jì),包括用戶行為數(shù)據(jù)的采集,數(shù)據(jù)的接收和預(yù)處理,數(shù)據(jù)的存儲(chǔ)、訓(xùn)練和檢測(cè),以及檢測(cè)結(jié)果的查詢與展示。其中用戶行為數(shù)據(jù)的采集與APM系統(tǒng)結(jié)合,以自動(dòng)埋點(diǎn)的方式獲取用戶在Web端的操作行為。隨后,本文設(shè)計(jì)了基于用戶行為序列和用戶行為習(xí)慣的機(jī)器學(xué)習(xí)算法,前者核心思想是挖掘用戶的行為序列模式,建立正常行為輪廓,通過比較當(dāng)前行為與正常行為輪廓的相似度來判斷是否異常。后者統(tǒng)計(jì)用戶歷史操作中點(diǎn)擊頻率的均值和標(biāo)準(zhǔn)差,根據(jù)3... 

【文章來源】：浙江大學(xué)浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖２．５?ＡＳＭ時(shí)序圖??１５??

觸發(fā)學(xué)習(xí)模塊對(duì)該用戶的最新歷史數(shù)據(jù)進(jìn)行訓(xùn)練并建立正常行為輪廓，再進(jìn)行當(dāng)??前行為的異常檢測(cè)。最后，結(jié)果輸出模塊通過寫文件的方式記錄檢測(cè)結(jié)果，并通??過郵件方式對(duì)異常行為發(fā)出預(yù)警。系統(tǒng)整體架構(gòu)如圖３．１所示。??數(shù)據(jù)采集模塊｜??｜?轟｜?ＺｅｒｏＭＱ?ＰＵＳＨ???ｊ．??＊?１１—．．．．?接收模塊?ｌ，，？．■…．．．＾）＊?ｆ?Ｋａｆｋａ?ｆ?ｊ??ＺＭＺＴｉ?Ｊ?????ｊ－，??用戶操作行為?｜??原始數(shù)據(jù)?ＰＵＬＬ??ｈｍ?ｊ???空??學(xué)習(xí)模塊??預(yù)煙模塊??正常行為輪廓１—?????｜?Ｊ?［ｊ金澱數(shù)據(jù)及正常行為輪廓??檢測(cè)模塊Ｉ?〉結(jié)果輸出模塊??圖３．１系統(tǒng)整體架構(gòu)圖??１９??

據(jù)接收模塊。數(shù)據(jù)接收模塊接收到數(shù)據(jù)以后，會(huì)將原始數(shù)據(jù)落地存儲(chǔ)系統(tǒng)，并將??本系統(tǒng)用到的部分?jǐn)?shù)據(jù)發(fā)送至Ｋａｆｋａ，以供預(yù)處理模塊獲取數(shù)據(jù)進(jìn)行預(yù)處理。發(fā)??送方式都采用請(qǐng)求響應(yīng)模型（如圖３．２所示），客戶端發(fā)起請(qǐng)求，等待服務(wù)端給??出響應(yīng)，與傳統(tǒng)的ＢＳＤ套接字［２９］模型類似。??Ｃｌｉｅｎｔ??ＲＥＱ??Ｈｅｌｌｏ?Ｗｏｒｌｄ??ｒ?１?－??ＲＥＰ??Ｓｅｒｖｅｒ??圖３．２請(qǐng)求響應(yīng)模型??數(shù)據(jù)接收模塊使用了?Ｚｅｒ〇ＭＱ［３（）］和ＫａｌＷ３１?］兩種消息隊(duì)列，消息隊(duì)列（Ｍｅｓｓａｇｅ??Ｑｕｅｕｅ）是在多個(gè)不同應(yīng)用之間實(shí)現(xiàn)相互通信的一種異步傳輸模式［３２］。消息隊(duì)列??２０??

【參考文獻(xiàn)】：
期刊論文
[1]綜合安全審計(jì)技術(shù)設(shè)計(jì)與應(yīng)用[J]. 杜海風(fēng).  廣播電視信息. 2016(05)
[2]基于鼠標(biāo)行為的電子商務(wù)中用戶異常行為檢測(cè)[J]. 馬磊.  電腦知識(shí)與技術(shù). 2016(02)
[3]基于模式挖掘的用戶行為異常檢測(cè)算法[J]. 宋海濤,韋大偉,湯光明,孫怡峰.  小型微型計(jì)算機(jī)系統(tǒng). 2016(02)
[4]基于改進(jìn)遺傳算法和隱Markov模型的協(xié)議異常檢測(cè)方法[J]. 邱衛(wèi),楊英杰,汪永偉,常德顯.  計(jì)算機(jī)應(yīng)用研究. 2016(04)
[5]一種基于選擇性協(xié)同學(xué)習(xí)的網(wǎng)絡(luò)用戶異常行為檢測(cè)方法[J]. 陸悠,李偉,羅軍舟,蔣健,夏怒.  計(jì)算機(jī)學(xué)報(bào). 2014(01)
[6]基于誤用檢測(cè)與異常行為檢測(cè)的整合模型[J]. 謝紅,劉人杰,陳純鍇.  重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版). 2012(01)
[7]入侵檢測(cè)技術(shù)研究綜述[J]. 楊群,蔡樂才,歐陽民子,陳艷.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2008(09)
[8]基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)研究[J]. 李鋼.  孝感學(xué)院學(xué)報(bào). 2008(03)
[9]基于JMS的消息隊(duì)列中間件的研究與實(shí)現(xiàn)[J]. 朱方娥,曹寶香.  計(jì)算機(jī)技術(shù)與發(fā)展. 2008(05)
[10]異常檢測(cè)技術(shù)研究綜述[J]. 金文進(jìn),楊武.  軟件導(dǎo)刊. 2008(01)

博士論文
[1]基于機(jī)器學(xué)習(xí)的入侵檢測(cè)方法研究[D]. 尹清波.哈爾濱工程大學(xué) 2007

碩士論文
[1]一種分布式文件系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D]. 白鋮.電子科技大學(xué) 2015



本文編號(hào)：3364135