互聯網中基于用戶行為的Web異常檢測系統研究

鄭黎黎，方菽蘭，許德鵬，張偉峰

(1.成都賽博思安科技有限公司，四川 成都 610000；2.四川鼎誠司法鑒定中心，四川 成都 610011)

0 引言

互聯網發展至今，各種網絡應用技術日趨完善，內容更是涵蓋生活的方方面面，人們工作生活也越來越依賴網絡。中國互聯網絡信息中心發布的第41次《中國互聯網絡發展狀況統計報告》顯示，截至2017年12月，中國網民規模達到7.72億人，互聯網普及率為55.8%，超過全球平均水平4.1個百分點。我國網民規模增長也日益穩定，互聯網行業持續穩健發展，互聯網已成為推動我國經濟社會發展的重要力量[1]。隨著互聯網應用規模的擴大，網絡安全問題越來越受到人們的重視。目前的網絡入侵檢測與防御設備如防火墻、IPS、IDS等設備大都使用基于規則的方式進行入侵檢測和攻擊防御，在面對未知威脅時表現乏力。針對上述問題，通過對網絡用戶的行為進行分析來檢測用戶和其行為是否異常的方法逐漸成為了網絡入侵防御方面的研究熱點。本文利用RC-HsMM算法和嵌套One-class SVM算法，設計出一種基于用戶行為的Web異常檢測系統。

1 基于用戶行為的Web異常檢測系統設計

1.1 用戶異常請求檢測模塊

對于用戶請求行為的異常檢測，模型采用速率異常檢測與基于HsMM的模式異常檢測相結合的異常檢測策略。用戶請求序列首先進行速率的異常檢測，一旦發現異常即可告警，進行用戶標記，之后將通過速率異常檢測算法輸出的數據輸入到基于改進HsMM算法構建的用戶訪問模式異常檢測模塊進行用戶訪問模式異常檢測，發現異常即可告警。

HsMM算法的實現采用Python的開源pyhsmm包，通過設定部分超參數來創建一個HsMM算法框架，之后使用訓練數據進行訓練從而得到模型參數。而對于駐留時間概率分布擬合的實現，模型采用了Python中的開源科學計算包scipy來實現。

1.2 用戶身份異常檢測模塊

對于用戶身份異常的檢測，模型使用兩層One-class SVM模型嵌套的檢測策略進行用戶身份異常檢測。首先，利用用戶瀏覽行為數據中的頁面行為數據來訓練One-class SVM算法得到頁面One-class SVM算法模型，利用該算法模型檢測頁面行為的異常程度得到頁面行為異常度。其次，將頁面行為異常度與會話行為數據一起作為會話One-class SVM算法模型的輸入，最后通過訓練與檢測得到最終的用戶身份異常檢測結果。

對于身份異常檢測，使用嵌套One-class SVM算法進行多方面的身份檢測。其關鍵的地方是2個算法的核函數的選擇，模型需要從數據集中訓練來判定選擇2個核函數的類型。One-class SVM算法是由scikit-learn中的OneClassSVM函數來實現的。

2 實驗與分析

2.1 評價標準

為了正確評價算法模型的優劣，本文引入了相關的評價指標(見表1)。其中，TP表示真實的類別為正常行為，算法評估結果為正常行為；FN表示真實的類別為正常行為，算法評估結果為異常行為；FP表示真實的類別為異常行為，算法評估結果為正常行為；TN真實的類別為異常行為，算法評估結果為異常行為。

表1 評價指標

評估算法模型的指標有準確率、召回率、F1值等。對于異常檢測模型，主要關注異常行為檢測是否準確與是否檢測完全，所以重點是對檢測準確率與漏檢率的考核。

檢測準確率ACC：

(1)

漏檢率FPR：

(2)

2.2 速率異常檢測算法測試

將S3、S4、S5三個數據集用于速率異常檢測算法的測試，三個數據集中主要包含有應用層DoS和暴力破解口令數據，分別計算速率異常檢測算法的準確率和漏檢率(見表2)。對于請求速率異常的檢測，算法模型的檢測率可以達到95%以上，漏檢率在7%左右。

表2 速率異常檢測算法評估

2.3 實驗分析

首先是對用戶請求行為的檢測，模型系統采用的請求速率異常檢測與HsMM算法相結合的RC-HsMM檢測算法，提高了HsMM算法自身對重復模式的檢測率，同時也增強了模型系統對用戶請求異常行為檢測的能力。從對比實驗結果可以看出，在用戶請求異常檢測方面，RC-HsMM算法相較其他比較的機器學習算法更適合本文提出的基于用戶行為的Web異常檢測模型。

對于用戶身份異常檢測，模型算法具有很好的檢測效果，但其前提是需要收集大量的用戶歷史數據用于訓練。此外，用戶的異常操作數據量越大，模型的檢測率就越高，漏檢率就越小。所以在實際應用中，需要對用戶的異常操作數據進行一定時間的收集才可以使用模型進行檢測。基于嵌套的One-class SVM算法比其他機器學習算法在基于用戶瀏覽行為的身份異常檢測方面更具優勢。

經過以上的實驗與對比實驗的結果分析，可以得出基于用戶行為的Web異常檢測模型系統具有很好的應用性與檢測效果。

3 結語

當今社會網絡安全技術發展迅速，網絡安全態勢依然嚴峻。本文研究基于用戶行為的Web異常檢測模型可以有效地檢測由用戶入侵產生的異常行為，然而，模型仍然存在著一些不足需要改進，在今后的工作中需要進一步優化。

1)在用戶請求異常檢測中，RC-HsMM模型輸入序列的長度是由用戶請求速率控制的會話切分策略決定的，其存在一定的延時且穩定性較差，需要進一步改進。

2)在用戶身份異常檢測過程中，用戶瀏覽行為與會話行為的特征相對較少。在今后的改進中，可進一步增加用戶瀏覽行為屬性。

3)在今后的研究中，可進一步對檢測出來的異常進行分類，從而確定異常用戶的目的。