摘要: 随着“互联网+”概念的发展和“大数据”时代的到来，Web服务越发广泛且规模越来越大，同时也出现了多种新的攻击手段。传统基于规则和特征的Web安全技术是永远在追着敌人跑，无法检测未知威胁，因此亟需更为高级的检测手段。行为安全分析作为一种以机器学... 展开 随着“互联网+”概念的发展和“大数据”时代的到来，Web服务越发广泛且规模越来越大，同时也出现了多种新的攻击手段。传统基于规则和特征的Web安全技术是永远在追着敌人跑，无法检测未知威胁，因此亟需更为高级的检测手段。行为安全分析作为一种以机器学习为核心的高级威胁发现技术，显示出了比传统安全手段更好的检测性能，正得到越来越高的关注。本文对Web页面浏览行为进行安全分析研究，提出一种混合行为分析技术，实现异常检测、遏制入侵和主动防御，并通过行为关联分析为安全事件调查提供情报上下文。本文主要工作和创新点如下： 1.针对浏览行为数据维度不足的问题，在服务端日志数据的基础上引入了前端埋点数据和TLS指纹数据，更全面的描述用户的浏览行为。分析了现有TLS指纹数据的应用，针对其宽容度低的问题，提出了基于2-gram和局部敏感哈希的指纹增强方法。 2.针对行为模式异常检测误报率高的问题，提出一种混合页面浏览行为安全分析方法。将行为分析技术分为行为模式分析和行为内容分析，首先使用隐马尔科夫模型学习正常用户的行为模式得到正常行为基线，判断行为模式与正常行为的偏离程度进行异常检测；接着结合深度卷积神经网络实现对行为内容的威胁检测模型；最后利用增强的TLS指纹将这两种模型融合，通过关联T分钟内的历史决策数据共同决策识别威胁。 3.提出使用增强的TLS指纹关联分析发现使用分布式代理的黑客行为，对黑客进行追踪溯源，在安全事件调查时提供可视化关联分析结果，提高人工分析的效率。通过模拟实验以及对真实环境部署中得到的数据集进行测试，证实可以真实有效的发现黑客变换IP的多阶段攻击行为。 4.使用OpenResty、TensorFlow、Flask、数据库和HTML等一系列技术完成了混合行为分析系统原型的设计和实现。通过对比实验，验证了混合行为分析方法相对于单独使用类HMM模型的行为分析异常检测方法有更高的查准率和查全率以及更低的误报率。对比实验结果也表明卷积神经网络对比LSTM网络更适合于浏览行为内容威胁检测。 收起