互聯(lián)網(wǎng)中基于用戶行為的Web異常檢測系統(tǒng)研究

鄭黎黎，方菽蘭，許德鵬，張偉峰

(1.成都賽博思安科技有限公司，四川 成都 610000；2.四川鼎誠司法鑒定中心，四川 成都 610011)

0 引言

互聯(lián)網(wǎng)發(fā)展至今，各種網(wǎng)絡應用技術日趨完善，內(nèi)容更是涵蓋生活的方方面面，人們工作生活也越來越依賴網(wǎng)絡。中國互聯(lián)網(wǎng)絡信息中心發(fā)布的第41次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2017年12月，中國網(wǎng)民規(guī)模達到7.72億人，互聯(lián)網(wǎng)普及率為55.8%，超過全球平均水平4.1個百分點。我國網(wǎng)民規(guī)模增長也日益穩(wěn)定，互聯(lián)網(wǎng)行業(yè)持續(xù)穩(wěn)健發(fā)展，互聯(lián)網(wǎng)已成為推動我國經(jīng)濟社會發(fā)展的重要力量[1]。隨著互聯(lián)網(wǎng)應用規(guī)模的擴大，網(wǎng)絡安全問題越來越受到人們的重視。目前的網(wǎng)絡入侵檢測與防御設備如防火墻、IPS、IDS等設備大都使用基于規(guī)則的方式進行入侵檢測和攻擊防御，在面對未知威脅時表現(xiàn)乏力。針對上述問題，通過對網(wǎng)絡用戶的行為進行分析來檢測用戶和其行為是否異常的方法逐漸成為了網(wǎng)絡入侵防御方面的研究熱點。本文利用RC-HsMM算法和嵌套One-class SVM算法，設計出一種基于用戶行為的Web異常檢測系統(tǒng)。

1 基于用戶行為的Web異常檢測系統(tǒng)設計

1.1 用戶異常請求檢測模塊

對于用戶請求行為的異常檢測，模型采用速率異常檢測與基于HsMM的模式異常檢測相結合的異常檢測策略。用戶請求序列首先進行速率的異常檢測，一旦發(fā)現(xiàn)異常即可告警，進行用戶標記，之后將通過速率異常檢測算法輸出的數(shù)據(jù)輸入到基于改進HsMM算法構建的用戶訪問模式異常檢測模塊進行用戶訪問模式異常檢測，發(fā)現(xiàn)異常即可告警。

HsMM算法的實現(xiàn)采用Python的開源pyhsmm包，通過設定部分超參數(shù)來創(chuàng)建一個HsMM算法框架，之后使用訓練數(shù)據(jù)進行訓練從而得到模型參數(shù)。而對于駐留時間概率分布擬合的實現(xiàn)，模型采用了Python中的開源科學計算包scipy來實現(xiàn)。

1.2 用戶身份異常檢測模塊

對于用戶身份異常的檢測，模型使用兩層One-class SVM模型嵌套的檢測策略進行用戶身份異常檢測。首先，利用用戶瀏覽行為數(shù)據(jù)中的頁面行為數(shù)據(jù)來訓練One-class SVM算法得到頁面One-class SVM算法模型，利用該算法模型檢測頁面行為的異常程度得到頁面行為異常度。其次，將頁面行為異常度與會話行為數(shù)據(jù)一起作為會話One-class SVM算法模型的輸入，最后通過訓練與檢測得到最終的用戶身份異常檢測結果。

對于身份異常檢測，使用嵌套One-class SVM算法進行多方面的身份檢測。其關鍵的地方是2個算法的核函數(shù)的選擇，模型需要從數(shù)據(jù)集中訓練來判定選擇2個核函數(shù)的類型。One-class SVM算法是由scikit-learn中的OneClassSVM函數(shù)來實現(xiàn)的。

2 實驗與分析

2.1 評價標準

為了正確評價算法模型的優(yōu)劣，本文引入了相關的評價指標(見表1)。其中，TP表示真實的類別為正常行為，算法評估結果為正常行為；FN表示真實的類別為正常行為，算法評估結果為異常行為；FP表示真實的類別為異常行為，算法評估結果為正常行為；TN真實的類別為異常行為，算法評估結果為異常行為。

表1 評價指標

評估算法模型的指標有準確率、召回率、F1值等。對于異常檢測模型，主要關注異常行為檢測是否準確與是否檢測完全，所以重點是對檢測準確率與漏檢率的考核。

檢測準確率ACC：

(1)

漏檢率FPR：

(2)

2.2 速率異常檢測算法測試

將S3、S4、S5三個數(shù)據(jù)集用于速率異常檢測算法的測試，三個數(shù)據(jù)集中主要包含有應用層DoS和暴力破解口令數(shù)據(jù)，分別計算速率異常檢測算法的準確率和漏檢率(見表2)。對于請求速率異常的檢測，算法模型的檢測率可以達到95%以上，漏檢率在7%左右。

表2 速率異常檢測算法評估

2.3 實驗分析

首先是對用戶請求行為的檢測，模型系統(tǒng)采用的請求速率異常檢測與HsMM算法相結合的RC-HsMM檢測算法，提高了HsMM算法自身對重復模式的檢測率，同時也增強了模型系統(tǒng)對用戶請求異常行為檢測的能力。從對比實驗結果可以看出，在用戶請求異常檢測方面，RC-HsMM算法相較其他比較的機器學習算法更適合本文提出的基于用戶行為的Web異常檢測模型。

對于用戶身份異常檢測，模型算法具有很好的檢測效果，但其前提是需要收集大量的用戶歷史數(shù)據(jù)用于訓練。此外，用戶的異常操作數(shù)據(jù)量越大，模型的檢測率就越高，漏檢率就越小。所以在實際應用中，需要對用戶的異常操作數(shù)據(jù)進行一定時間的收集才可以使用模型進行檢測?；谇短椎腛ne-class SVM算法比其他機器學習算法在基于用戶瀏覽行為的身份異常檢測方面更具優(yōu)勢。

經(jīng)過以上的實驗與對比實驗的結果分析，可以得出基于用戶行為的Web異常檢測模型系統(tǒng)具有很好的應用性與檢測效果。

3 結語

當今社會網(wǎng)絡安全技術發(fā)展迅速，網(wǎng)絡安全態(tài)勢依然嚴峻。本文研究基于用戶行為的Web異常檢測模型可以有效地檢測由用戶入侵產(chǎn)生的異常行為，然而，模型仍然存在著一些不足需要改進，在今后的工作中需要進一步優(yōu)化。

1)在用戶請求異常檢測中，RC-HsMM模型輸入序列的長度是由用戶請求速率控制的會話切分策略決定的，其存在一定的延時且穩(wěn)定性較差，需要進一步改進。

2)在用戶身份異常檢測過程中，用戶瀏覽行為與會話行為的特征相對較少。在今后的改進中，可進一步增加用戶瀏覽行為屬性。

3)在今后的研究中，可進一步對檢測出來的異常進行分類，從而確定異常用戶的目的。