改进的TLS指纹增强用户行为安全分析能力
发布时间:2021-11-06 18:43
随着攻防对抗的升级,用户行为分析与网络安全的结合逐渐进入了研究者的视野。用户行为分析技术可以做到在被成功攻击前识别不可信用户,遏制入侵,达到主动防御的效果。当前在Web安全中用户行为分析所使用的数据源主要是应用层HTTP维度的数据,这不足以确定用户身份,容易造成漏报。在安全性和隐私性更好的HTTPS技术被大规模应用的情况下,文中提出了基于n-gram和Simhash的改进的TLS指纹数据,该方法提高了现有TLS(Transport Layer Security)指纹的容错性。将该指纹应用到用户行为分析中可提高用户身份判定的准确率。对比实验使用卷积神经网络对从真实环境中得到的指纹数据和日志型用户行为数据进行建模分析。结果表明,改进的TLS指纹数据可以更有效地识别用户和黑客,将准确率提高了4.2%。进一步的分析表明,通过改进的TLS指纹关联用户行为和时间轴回溯,还能在一定程度上对黑客进行追踪溯源,从而为安全事件调查提供情报上下文。
【文章来源】:计算机科学. 2020,47(03)北大核心CSCD
【文章页数】:5 页
【部分图文】:
数据采集架构
算法1 基于2-gram提取特征的Simhash化TLS指纹提取算法将多个软件程序的TLS指纹通过算法1进行计算后,得到每项之间的相似距离,如表2所列。
使用深度卷积神经网络进行用户行为分析的模型如图3所示。输入数据分为两个分支,分支一是图1中OpenResty的后3个部分得到的行为数据(LogData),其中包括时间戳、请求方法、请求参数、HTTP Referrer头、HTTP User-Agent头、Cookie头、访问的URI、使用的协议、Host头、来源IP、返回状态码;分支二是图1中JA3模块得到的TLS指纹(TLS FP)。对于LogData,首先进行字符级ASCII码转码得到数值型数据;然后,将其输入字符级嵌入层进行嵌入映射操作,得到字符嵌入矩阵;随后将字符嵌入矩阵送入卷积层,采用64个大小为3×3、步长为2的卷积核进行卷积特征提取,同时进行最大池化,并将卷积层的输出送入全连接层。分支二中,TLS指纹经过算法1进行提取特征和Simhash计算,从而得到Simhash值,然后进入一个全连接层进行神经网络化,并在全连接层后与分支一的全连接层输出进行连接操作来融合两部分数据,然后再进行一次全连接层处理,最后将全连接层输出给Softmax分类器进行分类判别,从而得到检测结果。4.2 实验结果
本文编号:3480334
【文章来源】:计算机科学. 2020,47(03)北大核心CSCD
【文章页数】:5 页
【部分图文】:
数据采集架构
算法1 基于2-gram提取特征的Simhash化TLS指纹提取算法将多个软件程序的TLS指纹通过算法1进行计算后,得到每项之间的相似距离,如表2所列。
使用深度卷积神经网络进行用户行为分析的模型如图3所示。输入数据分为两个分支,分支一是图1中OpenResty的后3个部分得到的行为数据(LogData),其中包括时间戳、请求方法、请求参数、HTTP Referrer头、HTTP User-Agent头、Cookie头、访问的URI、使用的协议、Host头、来源IP、返回状态码;分支二是图1中JA3模块得到的TLS指纹(TLS FP)。对于LogData,首先进行字符级ASCII码转码得到数值型数据;然后,将其输入字符级嵌入层进行嵌入映射操作,得到字符嵌入矩阵;随后将字符嵌入矩阵送入卷积层,采用64个大小为3×3、步长为2的卷积核进行卷积特征提取,同时进行最大池化,并将卷积层的输出送入全连接层。分支二中,TLS指纹经过算法1进行提取特征和Simhash计算,从而得到Simhash值,然后进入一个全连接层进行神经网络化,并在全连接层后与分支一的全连接层输出进行连接操作来融合两部分数据,然后再进行一次全连接层处理,最后将全连接层输出给Softmax分类器进行分类判别,从而得到检测结果。4.2 实验结果
本文编号:3480334
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3480334.html
最近更新
教材专著
