基于SVM和Word2Vec的Web应用入侵检测系统
作者简介
凌 仕 勇 男,硕 士,副 教 授,主 要 研 究 方 向 大 数 据、信 息 安 全。龚 锦 红 女,硕 士,讲 师,主 要 研 究 方 向 自 动 化、智 能 技 术。
《基于SVM和Word2Vec的Web应用入侵检测系统》一文发表于《》期刊2022年第2期。
高校应用系统中的Web日志数据是系统运维、安全分析的重要来源。针对数据中心产生的Web日志进行研究,同时考虑GET和POST请求的所有数据,采用Word2Vec构造特征向量,利用支持向量机进行模型构建。并基于MapReduce并行计算模型,给出了一种异常入侵检测算法,构建了一套基于Web日志的安全分析平台。系统运行结果表明,该平台可以有效地发现校园网中的异常入侵,检索效率高,能有效提高运维效率和异常排查速度。
支持向量机(Support Vector Machine,SVM)是结合向量机和统计学习理论的机器学习方法,其基于结构风险最小化原则,通过寻找一个满足分类要求的超平面,使得在确保分类精度的同时,在该超平面两侧的边界超平面达到最大化间隔。除了进行线性分类之外,SVM还可以使用多项式、径向基、Sigmoid等核函数将原空间的数据映射到高纬特征空间,然后在高纬特征空间进行线性分类模型训练,从而有效实现非线性分类。在本次研究中,采用多种渠道获取训练和测试所需要的数据。(1)分别从GitHub和CISC-2010中提取正常和异常的数据,并去除请求主机头信息和冗余信息。(2)通过网络信息中心的态势感知安全系统,获取被标记为异常的数据。考虑到异常标注的准确性,本文对此数据进行了人工筛查,并对重复数据进行了处理。(3)通过校园门户前置Nginx代理获取Web日志数据。总体训练数据包含8种类型,分别为SQL注入、XSS、命令执行、路径遍历、远程文件包含、缓冲区溢出、参数篡改、正常数据。总体搜集的训练集数据量为50 929条,测试数据集数量为30 000条。校园网Web日志数据对业务系统安全运维至关重要,本文针对数据中心产生的Web日志,在比较多种样本特征提取基础上,采用Word2Vec构造样本特征向量,并利用支持向量机训练出模型。在此基础上,基于MapReduce并行计算模型,提出了一种同时兼顾GET请求参数值和POST请求参数值的异常入侵检测算法,并构建了一整套包括数据采集、数据分发与传递、安全分析、数据存储与可视化呈现的校园网Web安全分析平台,能较好地检测到系统访问状态,发现异常访问行为,并通过对访问数据的分析,找出系统可能存在的漏洞,为系统安全正常运维提供良好的基础。本系统目前仅采集部分Web日志数据,下一步将着力集成更多的业务系统数据,并将服务器系统日志、交换机和安全设备日志进行数据集成,结合多个数据源的数据进行联动分析,通过一系列攻击模式挖掘算法,做好校园网安全实时监控和风险预警。
2022年7月,国内首本兼备网络安全和数据治理双领域的学术性期刊《》(刊号 CN10-1863/TP 正式创刊出版。该刊由中国电子主管,华北计算机系统工程研究所主办,清华大学-中国电子数据治理工程联合研究院和中国电子数字办协办。该刊聚焦网络空间安全和数据治理前沿领域最新科研动态,密切关注政产学研用各环节在网络强国和数字中国建设过程中跨学科学术成果,坚持技术与应用、产品与研发、产业与市场相结合,服务国家网络空间安全和数据治理工程建设。《》由中国电子首席科学家、中国工程院院士方滨兴担任主编,中国电子第六研究所所长张尼和清华大学公共管理学院教授、长江学者特聘教授、清华中国电子数据治理工程研究院院长孟庆国担任副主编,数十名院士和知名专家组成专家编辑委员会。该期刊将主动开展理论研究,聚焦学术生态资源,拓展网络安全和数据治理领域基础研究,打造一流学术成果交流展示窗口;充分发挥学界专家力量,组织高水平学术会议,组织出版学术专著;坚持理论与实践相结合,服务国家网络空间安全和数据治理工程建设。
