大數(shù)據(jù)時代,信息安全成為人們高度重視的問題。當(dāng)下的互聯(lián)網(wǎng)環(huán)境復(fù)雜多變,網(wǎng)絡(luò)攻擊事件頻頻發(fā)生,入侵檢測系統(tǒng)的重要性日益體現(xiàn)。對于互聯(lián)網(wǎng)用戶的入侵行為,目前主流的用戶行為異常檢測技術(shù)所采用的審計數(shù)據(jù)來自系統(tǒng)或應(yīng)用層面,丟失了很多用戶層面的有效信息,且審計數(shù)據(jù)的獲取大多采用人工采集的方式,開發(fā)和維護成本高。因此,本文設(shè)計了一套通用的用戶行為異常檢測系統(tǒng),自動化采集用戶在Web端的操作行為作為審計數(shù)據(jù),通過為用戶建立正常行為輪廓的方式來識別行為異常。首先,本文調(diào)研了異常檢測的相關(guān)技術(shù),結(jié)合入侵檢測系統(tǒng)需要滿足的功能需求,設(shè)計了一套完整的用戶行為異常檢測系統(tǒng)框架,并對框架中各個模塊進行了詳細的設(shè)計,包括用戶行為數(shù)據(jù)的采集,數(shù)據(jù)的接收和預(yù)處理,數(shù)據(jù)的存儲、訓(xùn)練和檢測,以及檢測結(jié)果的查詢與展示。其中用戶行為數(shù)據(jù)的采集與APM系統(tǒng)結(jié)合,以自動埋點的方式獲取用戶在Web端的操作行為。隨后,本文設(shè)計了基于用戶行為序列和用戶行為習(xí)慣的機器學(xué)習(xí)算法,前者核心思想是挖掘用戶的行為序列模式,建立正常行為輪廓,通過比較當(dāng)前行為與正常行為輪廓的相似度來判斷是否異常。后者統(tǒng)計用戶歷史操作中點擊頻率的均值和標(biāo)準(zhǔn)差,根據(jù)3... 

【文章來源】：浙江大學(xué)浙江省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：76 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖２．５?ＡＳＭ時序圖??１５??

觸發(fā)學(xué)習(xí)模塊對該用戶的最新歷史數(shù)據(jù)進行訓(xùn)練并建立正常行為輪廓，再進行當(dāng)??前行為的異常檢測。最后，結(jié)果輸出模塊通過寫文件的方式記錄檢測結(jié)果，并通??過郵件方式對異常行為發(fā)出預(yù)警。系統(tǒng)整體架構(gòu)如圖３．１所示。??數(shù)據(jù)采集模塊｜??｜?轟｜?ＺｅｒｏＭＱ?ＰＵＳＨ???ｊ．??＊?１１—．．．．?接收模塊?ｌ，，？．■…．．．＾）＊?ｆ?Ｋａｆｋａ?ｆ?ｊ??ＺＭＺＴｉ?Ｊ?????ｊ－，??用戶操作行為?｜??原始數(shù)據(jù)?ＰＵＬＬ??ｈｍ?ｊ???空??學(xué)習(xí)模塊??預(yù)煙模塊??正常行為輪廓１—?????｜?Ｊ?［ｊ金澱數(shù)據(jù)及正常行為輪廓??檢測模塊Ｉ?〉結(jié)果輸出模塊??圖３．１系統(tǒng)整體架構(gòu)圖??１９??

據(jù)接收模塊。數(shù)據(jù)接收模塊接收到數(shù)據(jù)以后，會將原始數(shù)據(jù)落地存儲系統(tǒng)，并將??本系統(tǒng)用到的部分數(shù)據(jù)發(fā)送至Ｋａｆｋａ，以供預(yù)處理模塊獲取數(shù)據(jù)進行預(yù)處理。發(fā)??送方式都采用請求響應(yīng)模型（如圖３．２所示），客戶端發(fā)起請求，等待服務(wù)端給??出響應(yīng)，與傳統(tǒng)的ＢＳＤ套接字［２９］模型類似。??Ｃｌｉｅｎｔ??ＲＥＱ??Ｈｅｌｌｏ?Ｗｏｒｌｄ??ｒ?１?－??ＲＥＰ??Ｓｅｒｖｅｒ??圖３．２請求響應(yīng)模型??數(shù)據(jù)接收模塊使用了?Ｚｅｒ〇ＭＱ［３（）］和ＫａｌＷ３１?］兩種消息隊列，消息隊列（Ｍｅｓｓａｇｅ??Ｑｕｅｕｅ）是在多個不同應(yīng)用之間實現(xiàn)相互通信的一種異步傳輸模式［３２］。消息隊列??２０??

【參考文獻】：
期刊論文
[1]綜合安全審計技術(shù)設(shè)計與應(yīng)用[J]. 杜海風(fēng).  廣播電視信息. 2016(05)
[2]基于鼠標(biāo)行為的電子商務(wù)中用戶異常行為檢測[J]. 馬磊.  電腦知識與技術(shù). 2016(02)
[3]基于模式挖掘的用戶行為異常檢測算法[J]. 宋海濤,韋大偉,湯光明,孫怡峰.  小型微型計算機系統(tǒng). 2016(02)
[4]基于改進遺傳算法和隱Markov模型的協(xié)議異常檢測方法[J]. 邱衛(wèi),楊英杰,汪永偉,常德顯.  計算機應(yīng)用研究. 2016(04)
[5]一種基于選擇性協(xié)同學(xué)習(xí)的網(wǎng)絡(luò)用戶異常行為檢測方法[J]. 陸悠,李偉,羅軍舟,蔣健,夏怒.  計算機學(xué)報. 2014(01)
[6]基于誤用檢測與異常行為檢測的整合模型[J]. 謝紅,劉人杰,陳純鍇.  重慶郵電大學(xué)學(xué)報(自然科學(xué)版). 2012(01)
[7]入侵檢測技術(shù)研究綜述[J]. 楊群,蔡樂才,歐陽民子,陳艷.  網(wǎng)絡(luò)安全技術(shù)與應(yīng)用. 2008(09)
[8]基于神經(jīng)網(wǎng)絡(luò)的入侵檢測研究[J]. 李鋼.  孝感學(xué)院學(xué)報. 2008(03)
[9]基于JMS的消息隊列中間件的研究與實現(xiàn)[J]. 朱方娥,曹寶香.  計算機技術(shù)與發(fā)展. 2008(05)
[10]異常檢測技術(shù)研究綜述[J]. 金文進,楊武.  軟件導(dǎo)刊. 2008(01)

博士論文
[1]基于機器學(xué)習(xí)的入侵檢測方法研究[D]. 尹清波.哈爾濱工程大學(xué) 2007

碩士論文
[1]一種分布式文件系統(tǒng)的設(shè)計與實現(xiàn)[D]. 白鋮.電子科技大學(xué) 2015



本文編號：3364135