《電子技術應用》
您所在的位置:首頁 > 其他 > 設計應用 > 基于SVM和Word2Vec的Web應用入侵檢測系統(tǒng)
基于SVM和Word2Vec的Web應用入侵檢測系統(tǒng)
網絡安全與數據治理 2期
凌仕勇1,龔錦紅2
(1.華東交通大學 網絡信息中心,江西 南昌330013; 2.華東交通大學 電氣與自動化工程學院,江西 南昌330013)
摘要: 高校應用系統(tǒng)中的Web日志數據是系統(tǒng)運維、安全分析的重要來源。針對數據中心產生的Web日志進行研究,同時考慮GET和POST請求的所有數據,采用Word2Vec構造特征向量,利用支持向量機進行模型構建。并基于MapReduce并行計算模型,給出了一種異常入侵檢測算法,構建了一套基于Web日志的安全分析平臺。系統(tǒng)運行結果表明,該平臺可以有效地發(fā)現校園網中的異常入侵,檢索效率高,能有效提高運維效率和異常排查速度。
中圖分類號: TP391
文獻標識碼: A、
DOI: 10.20044/j.csdg.2097-1788.2022.02.003
引用格式: 凌仕勇,龔錦紅. 基于SVM和Word2Vec的Web應用入侵檢測系統(tǒng)[J].網絡安全與數據治理,2022,41(2):13-19.
Intrusion detection system of Web application based on SVM and Word2Vec
Ling Shiyong1,Gong Jinhong2
(1.Network Information Center,East China Jiaotong University,Nanchang 330013,China; 2.School of Electrical and Automation Engineering,East China Jiaotong University,Nanchang 330013,China)
Abstract: The Web log data in the university application system is an important source of system operation and security analysis. This paper mainly studies the Web log generated by the data center, with considering all data for both GET and POST requests,constructs the feature vector with Word2Vec, and builds the model with support vector machine. Based on MapReduce parallel computing model, an anomaly intrusion detection algorithm is proposed, and a security analysis platform based on Web log is constructed. The system operation results show that the platform can effectively find abnormal intrusion in the campus network, with high retrieval efficiency, and can effectively improve the operation and maintenance efficiency and abnormal troubleshooting speed.
Key words : Support Vector Machine(SVM);Word2Vec;MapReduce;intrusion detection

0 引言

隨著高校信息化的發(fā)展,高校應用系統(tǒng)中積累了大量的師生、教學、科研、管理方面的業(yè)務數據。而隨著各業(yè)務系統(tǒng)的對外訪問,網絡安全問題日趨嚴重。目前,校園網安全運維主要是通過網絡安全產品如防火墻、IDS、IPS等設備來實現,總體效果不佳,一個重要的原因是忽視了日志在校園網管理中的作用。校園網中的網絡產品、服務器、應用系統(tǒng)等軟硬件運行過程中產生大量的日志,記錄了系統(tǒng)運行,使用者、攻擊者的訪問行為,可以通過對這些日志的綜合分析和處理,有效解決校園網運行中遇到的安全問題。

Web入侵檢測是針對Web應用的一種入侵檢測技術,通過對Web應用的請求分析,檢測和識別Web攻擊行為。在已有研究中,周勇祿[1]使用Web日志中動態(tài)頁面的參數值長度、字符分布等數據,建立了基于統(tǒng)一異常的檢測模型。Estevez-Tapiador等[2]對日志URL進行了劃分,對應到馬爾科夫模型的不同狀態(tài),使用狀態(tài)轉移矩陣,根據模型達到終態(tài)的概率判斷日志的合法性。Le[3]將Web入侵的URL根據不同部分進行切割,包括域名、路徑、參數等,并對每個部分進行選定特征的提取。Ma[4]等人提取入侵URL中的host等特征,以此進行Web應用入侵威脅檢測。Kolar[5]等人則采用詞袋模型解決Web威脅入侵的檢測問題。

高校信息系統(tǒng)一般分散部署在各個服務器中,導致所產生的日志也比較分散。高凱[6]研究了大數據環(huán)境下,采用分布式數據流的四個子系統(tǒng):數據采集子系統(tǒng)、消息處理子系統(tǒng)、流式計算子系統(tǒng)和數據存儲子系統(tǒng),進行用戶大規(guī)模日志安全分析。陳付梅等[7-9]介紹了大規(guī)模系統(tǒng)的日志模式提煉算法的優(yōu)化方法。上述研究從不同角度構建了針對Web應用的入侵檢測模型或系統(tǒng),但主要是通過對URL的分析,提取基于文本的統(tǒng)計特征,從而構建分析模型,而沒有考慮到POST請求體的數據,且在對文本數據的特征向量構建上,主要以統(tǒng)計特征為主,較少考慮到文本本身的詞匯特性。本文主要針對數據中心產生的Web日志進行研究,采用Word2Vec構造特征向量,利用支持向量機進行模型訓練,并基于MapReduce并行計算模型,給出了一種海量數據異常入侵檢測算法。通過此系統(tǒng)對日志事件進行并行挖掘分析,可以很好地發(fā)現安全攻擊事件,得出平臺整體的安全態(tài)勢,為數據中心正常運轉提供安全保障。




本文詳細內容請下載:http://theprogrammingfactory.com/resource/share/2000004853




作者信息:

凌仕勇1,龔錦紅2

(1.華東交通大學 網絡信息中心,江西 南昌330013;

2.華東交通大學 電氣與自動化工程學院,江西 南昌330013)


微信圖片_20210517164139.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。