Web端用户行为异常检测系统的设计与实现
发布时间:2021-08-26 11:12
大数据时代,信息安全成为人们高度重视的问题。当下的互联网环境复杂多变,网络攻击事件频频发生,入侵检测系统的重要性日益体现。对于互联网用户的入侵行为,目前主流的用户行为异常检测技术所采用的审计数据来自系统或应用层面,丢失了很多用户层面的有效信息,且审计数据的获取大多采用人工采集的方式,开发和维护成本高。因此,本文设计了一套通用的用户行为异常检测系统,自动化采集用户在Web端的操作行为作为审计数据,通过为用户建立正常行为轮廓的方式来识别行为异常。首先,本文调研了异常检测的相关技术,结合入侵检测系统需要满足的功能需求,设计了一套完整的用户行为异常检测系统框架,并对框架中各个模块进行了详细的设计,包括用户行为数据的采集,数据的接收和预处理,数据的存储、训练和检测,以及检测结果的查询与展示。其中用户行为数据的采集与APM系统结合,以自动埋点的方式获取用户在Web端的操作行为。随后,本文设计了基于用户行为序列和用户行为习惯的机器学习算法,前者核心思想是挖掘用户的行为序列模式,建立正常行为轮廓,通过比较当前行为与正常行为轮廓的相似度来判断是否异常。后者统计用户历史操作中点击频率的均值和标准差,根据3...
【文章来源】:浙江大学浙江省 211工程院校 985工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
图2.5?ASM时序图??15??
触发学习模块对该用户的最新历史数据进行训练并建立正常行为轮廓,再进行当??前行为的异常检测。最后,结果输出模块通过写文件的方式记录检测结果,并通??过邮件方式对异常行为发出预警。系统整体架构如图3.1所示。??数据采集模块|??|?轰|?ZeroMQ?PUSH???j.??*?11—....?接收模块?l,,?.■…...^)*?f?Kafka?f?j??ZMZTi?J?????j-,??用户操作行为?|??原始数据?PULL??hm?j???空??学习模块??预煙模块??正常行为轮廓1—?????|?J?[j金澱数据及正常行为轮廓??检测模块I?〉结果输出模块??图3.1系统整体架构图??19??
据接收模块。数据接收模块接收到数据以后,会将原始数据落地存储系统,并将??本系统用到的部分数据发送至Kafka,以供预处理模块获取数据进行预处理。发??送方式都采用请求响应模型(如图3.2所示),客户端发起请求,等待服务端给??出响应,与传统的BSD套接字[29]模型类似。??Client??REQ??Hello?World??r?1?-??REP??Server??图3.2请求响应模型??数据接收模块使用了?Zer〇MQ[3()]和KalW31?]两种消息队列,消息队列(Message??Queue)是在多个不同应用之间实现相互通信的一种异步传输模式[32]。消息队列??20??
【参考文献】:
期刊论文
[1]综合安全审计技术设计与应用[J]. 杜海风. 广播电视信息. 2016(05)
[2]基于鼠标行为的电子商务中用户异常行为检测[J]. 马磊. 电脑知识与技术. 2016(02)
[3]基于模式挖掘的用户行为异常检测算法[J]. 宋海涛,韦大伟,汤光明,孙怡峰. 小型微型计算机系统. 2016(02)
[4]基于改进遗传算法和隐Markov模型的协议异常检测方法[J]. 邱卫,杨英杰,汪永伟,常德显. 计算机应用研究. 2016(04)
[5]一种基于选择性协同学习的网络用户异常行为检测方法[J]. 陆悠,李伟,罗军舟,蒋健,夏怒. 计算机学报. 2014(01)
[6]基于误用检测与异常行为检测的整合模型[J]. 谢红,刘人杰,陈纯锴. 重庆邮电大学学报(自然科学版). 2012(01)
[7]入侵检测技术研究综述[J]. 杨群,蔡乐才,欧阳民子,陈艳. 网络安全技术与应用. 2008(09)
[8]基于神经网络的入侵检测研究[J]. 李钢. 孝感学院学报. 2008(03)
[9]基于JMS的消息队列中间件的研究与实现[J]. 朱方娥,曹宝香. 计算机技术与发展. 2008(05)
[10]异常检测技术研究综述[J]. 金文进,杨武. 软件导刊. 2008(01)
博士论文
[1]基于机器学习的入侵检测方法研究[D]. 尹清波.哈尔滨工程大学 2007
硕士论文
[1]一种分布式文件系统的设计与实现[D]. 白铖.电子科技大学 2015
本文编号:3364135
【文章来源】:浙江大学浙江省 211工程院校 985工程院校 教育部直属院校
【文章页数】:76 页
【学位级别】:硕士
【部分图文】:
图2.5?ASM时序图??15??
触发学习模块对该用户的最新历史数据进行训练并建立正常行为轮廓,再进行当??前行为的异常检测。最后,结果输出模块通过写文件的方式记录检测结果,并通??过邮件方式对异常行为发出预警。系统整体架构如图3.1所示。??数据采集模块|??|?轰|?ZeroMQ?PUSH???j.??*?11—....?接收模块?l,,?.■…...^)*?f?Kafka?f?j??ZMZTi?J?????j-,??用户操作行为?|??原始数据?PULL??hm?j???空??学习模块??预煙模块??正常行为轮廓1—?????|?J?[j金澱数据及正常行为轮廓??检测模块I?〉结果输出模块??图3.1系统整体架构图??19??
据接收模块。数据接收模块接收到数据以后,会将原始数据落地存储系统,并将??本系统用到的部分数据发送至Kafka,以供预处理模块获取数据进行预处理。发??送方式都采用请求响应模型(如图3.2所示),客户端发起请求,等待服务端给??出响应,与传统的BSD套接字[29]模型类似。??Client??REQ??Hello?World??r?1?-??REP??Server??图3.2请求响应模型??数据接收模块使用了?Zer〇MQ[3()]和KalW31?]两种消息队列,消息队列(Message??Queue)是在多个不同应用之间实现相互通信的一种异步传输模式[32]。消息队列??20??
【参考文献】:
期刊论文
[1]综合安全审计技术设计与应用[J]. 杜海风. 广播电视信息. 2016(05)
[2]基于鼠标行为的电子商务中用户异常行为检测[J]. 马磊. 电脑知识与技术. 2016(02)
[3]基于模式挖掘的用户行为异常检测算法[J]. 宋海涛,韦大伟,汤光明,孙怡峰. 小型微型计算机系统. 2016(02)
[4]基于改进遗传算法和隐Markov模型的协议异常检测方法[J]. 邱卫,杨英杰,汪永伟,常德显. 计算机应用研究. 2016(04)
[5]一种基于选择性协同学习的网络用户异常行为检测方法[J]. 陆悠,李伟,罗军舟,蒋健,夏怒. 计算机学报. 2014(01)
[6]基于误用检测与异常行为检测的整合模型[J]. 谢红,刘人杰,陈纯锴. 重庆邮电大学学报(自然科学版). 2012(01)
[7]入侵检测技术研究综述[J]. 杨群,蔡乐才,欧阳民子,陈艳. 网络安全技术与应用. 2008(09)
[8]基于神经网络的入侵检测研究[J]. 李钢. 孝感学院学报. 2008(03)
[9]基于JMS的消息队列中间件的研究与实现[J]. 朱方娥,曹宝香. 计算机技术与发展. 2008(05)
[10]异常检测技术研究综述[J]. 金文进,杨武. 软件导刊. 2008(01)
博士论文
[1]基于机器学习的入侵检测方法研究[D]. 尹清波.哈尔滨工程大学 2007
硕士论文
[1]一种分布式文件系统的设计与实现[D]. 白铖.电子科技大学 2015
本文编号:3364135
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3364135.html
