基于Web资源聚类分析的异常行为检测
本文针对大型活动网站的入侵检测,提出一种基于隐半马尔可夫模型(HSMM)的Web资源聚类方法,与传统的基于 Web 页面内容的聚类不同,该方法仅需要用户的 HTTP 请求序列,而不需要网站和页面的相关信息;利用该模型,我们得到用户对各个 Web 资源子集的访问特征,我们进一步引入逻辑行为来描述这种用户访问特征,并通过分析用户的逻辑行为实现异常访问行为的检测。文章详细介绍了模型建立的理论依据和方法,推导出模型参数的估计算法,及一种快速的模型参数实时更新算法。并指出了如何把该模型应用于实际的网络环境。最后使用 World Cup 1998 实际采集的数据验证了模型的有效性。结果表明该方法不但可以很好地实现用户行为分类,而且可以有效识别出异常的用户行为,从而起到入侵检测的作用。
聚类分析 用户行为 异常检测 隐半马尔可夫模型 Web资源
谢逸 余顺争
中山大学电子与通信工程系, 广州510275
国内会议
武汉
中文
2005-10-13(万方平台首次上网日期,不代表论文的发表时间)