技術(shù)報(bào)告-基于機(jī)器學(xué)習(xí)的批量網(wǎng)頁篡改檢測方法研究

1、,報(bào)告人 賴清楠,,基于機(jī)器學(xué)習(xí)的批量網(wǎng)頁篡改檢測方法研究,,目錄 Contents,,,一、研究背景,二、網(wǎng)頁篡改檢測方法,三、性能分析及優(yōu)化,四、總結(jié),近年來，隨著互聯(lián)網(wǎng)的普及，網(wǎng)站已成為政府、學(xué)校、企業(yè)等組織機(jī)構(gòu)信息發(fā)布和傳播的重要途徑，網(wǎng)站安全成為網(wǎng)絡(luò)安全的重要領(lǐng)域。CNCERT

2、監(jiān)測發(fā)現(xiàn)，2015年我國境內(nèi)近2.5萬個(gè)網(wǎng)站被篡改高效、準(zhǔn)確、具有良好擴(kuò)展性的網(wǎng)頁篡改檢測方法是應(yīng)對網(wǎng)頁篡改問題的有效途徑。以北京大學(xué)所有注冊網(wǎng)站為研究對象，通過抓取網(wǎng)站首頁面的所有歷史信息，對抓取數(shù)據(jù)進(jìn)行分類建立對應(yīng)的檢測規(guī)則，綜合判斷網(wǎng)頁是否存在篡改。,,一、研究背景,,,,二、網(wǎng)頁篡改檢測方法,,,,二、網(wǎng)頁篡改檢測方法,,,,,檢測器設(shè)計(jì)；兩個(gè)重要的參數(shù)：檢測數(shù)據(jù)集窗口大??；判別器閾值,,,二、網(wǎng)頁篡改檢測方法,,,,三、性

3、能分析及優(yōu)化,,,使用根據(jù)真實(shí)的網(wǎng)頁篡改案例進(jìn)行設(shè)定的篡改集合進(jìn)行篡改實(shí)驗(yàn)確定參數(shù)。在實(shí)驗(yàn)中，以誤報(bào)率和漏報(bào)率作為評測實(shí)驗(yàn)結(jié)果的指標(biāo)。在選定結(jié)果判別器閾值為2的情況下，不同檢測數(shù)據(jù)集窗口長度W下網(wǎng)頁篡改檢測的誤報(bào)率和漏報(bào)率如圖。,,,三、性能分析及優(yōu)化,,,在選定檢測數(shù)據(jù)集窗口為11的情況下，不同結(jié)果判別器閾值網(wǎng)頁篡改檢測的誤報(bào)率和漏報(bào)率如圖。最終本文選定的判別器閾值為2，檢測數(shù)據(jù)集窗口大小為11。,,,,三、性能分析及優(yōu)化,,,系統(tǒng)運(yùn)

4、行時(shí)間分析，網(wǎng)頁抓取時(shí)間情況，網(wǎng)頁抓取、訓(xùn)練、檢測花費(fèi)時(shí)間分布，抓取平均耗時(shí)1.22s，訓(xùn)練平均耗時(shí)5.61s，檢測平均耗時(shí)1.24s。,,,,,三、性能分析及優(yōu)化,,,可檢測網(wǎng)頁數(shù)，系統(tǒng)對于檢測的網(wǎng)頁數(shù)僅僅受限于運(yùn)行環(huán)境的硬件影響，當(dāng)檢測網(wǎng)頁達(dá)到一定數(shù)量時(shí)，可以通過增加系統(tǒng)資源，甚至使用多臺機(jī)器進(jìn)行篡改檢測。檢測時(shí)間間隔，如何在發(fā)生篡改后及時(shí)地通過檢測發(fā)出報(bào)警，是篡改檢測一個(gè)非常關(guān)鍵性的因素，理論上某個(gè)網(wǎng)頁的檢測時(shí)間間隔只要大于該網(wǎng)

5、頁的抓取時(shí)間和檢測時(shí)間之和即可，但是檢測間隔太小會(huì)造成系統(tǒng)資源的浪費(fèi)，本文將檢測間隔設(shè)為30分鐘。檢測參數(shù)的定制化，可以為不同的網(wǎng)頁設(shè)定不同的檢測參數(shù)，比如有些網(wǎng)頁動(dòng)態(tài)更新比較頻繁，可以提高訓(xùn)練的頻率，比如在檢測若干次之后自發(fā)進(jìn)行一次訓(xùn)練；靜態(tài)網(wǎng)站，可以適當(dāng)提高檢測頻率，將30分鐘縮短至20分鐘，甚至10分鐘。檢測器的調(diào)整，根據(jù)黑客常用的一些篡改手段，可以隨時(shí)修改或者增加系統(tǒng)的檢測器的數(shù)量以及各個(gè)檢測器的檢測特征。,,,,,四、總結(jié)