尊敬的各位读者:
根据当前疫情防控要求,我馆部分原文传递服务可能会有延期,无法在24小时内提供,给您带来的不便敬请谅解!
国家工程技术图书馆
2022年11月29日
摘要: 随着“互联网+”概念的发展和“大数据”时代的到来,Web服务越发广泛且规模越来越大,同时也出现了多种新的攻击手段。传统基于规则和特征的Web安全技术是永远在追着敌人跑,无法检测未知威胁,因此亟需更为高级的检测手段。行为安全分析作为一种以机器学... 展开 随着“互联网+”概念的发展和“大数据”时代的到来,Web服务越发广泛且规模越来越大,同时也出现了多种新的攻击手段。传统基于规则和特征的Web安全技术是永远在追着敌人跑,无法检测未知威胁,因此亟需更为高级的检测手段。行为安全分析作为一种以机器学习为核心的高级威胁发现技术,显示出了比传统安全手段更好的检测性能,正得到越来越高的关注。本文对Web页面浏览行为进行安全分析研究,提出一种混合行为分析技术,实现异常检测、遏制入侵和主动防御,并通过行为关联分析为安全事件调查提供情报上下文。本文主要工作和创新点如下: 1.针对浏览行为数据维度不足的问题,在服务端日志数据的基础上引入了前端埋点数据和TLS指纹数据,更全面的描述用户的浏览行为。分析了现有TLS指纹数据的应用,针对其宽容度低的问题,提出了基于2-gram和局部敏感哈希的指纹增强方法。 2.针对行为模式异常检测误报率高的问题,提出一种混合页面浏览行为安全分析方法。将行为分析技术分为行为模式分析和行为内容分析,首先使用隐马尔科夫模型学习正常用户的行为模式得到正常行为基线,判断行为模式与正常行为的偏离程度进行异常检测;接着结合深度卷积神经网络实现对行为内容的威胁检测模型;最后利用增强的TLS指纹将这两种模型融合,通过关联T分钟内的历史决策数据共同决策识别威胁。 3.提出使用增强的TLS指纹关联分析发现使用分布式代理的黑客行为,对黑客进行追踪溯源,在安全事件调查时提供可视化关联分析结果,提高人工分析的效率。通过模拟实验以及对真实环境部署中得到的数据集进行测试,证实可以真实有效的发现黑客变换IP的多阶段攻击行为。 4.使用OpenResty、TensorFlow、Flask、数据库和HTML等一系列技术完成了混合行为分析系统原型的设计和实现。通过对比实验,验证了混合行为分析方法相对于单独使用类HMM模型的行为分析异常检测方法有更高的查准率和查全率以及更低的误报率。对比实验结果也表明卷积神经网络对比LSTM网络更适合于浏览行为内容威胁检测。 收起
系统维护,暂停服务。
根据《著作权法》“合理使用”原则,您当前的文献传递请求已超限。
如您有科学或教学任务亟需,需我馆提供文献传递服务,可由单位单位签署《图书馆馆际互借协议》说明情况,我馆将根据馆际互借的原则,为您提供更优质的服务。
《图书馆馆际互借协议》扫描件请发送至service@istic.ac.cn邮箱,《图书馆馆际互借协议》模板详见附件。
根据《著作权法》规定, NETL仅提供少量文献资源原文复制件,用户在使用过程中须遵循“合理使用”原则。
您当日的文献传递请求已超限。