落实报告人赖清楠.pptVIP

报告人 赖清楠 基于机器学习的批量网页 篡改检测方法研究 目录 Contents 一、研究背景 二、网页篡改检测方法 三、性能分析及优化 四、总结 近年来，随着互联网的普及，网站已成为政府、学校、企业等组织机构信息发布和传播的重要途径，网站安全成为网络安全的重要领域。 CNCERT监测发现，2015年我国境内近2.5万个网站被篡改 高效、准确、具有良好扩展性的网页篡改检测方法是应对网页篡改问题的有效途径。 以北京大学所有注册网站为研究对象，通过抓取网站首页面的所有历史信息，对抓取数据进行分类建立对应的检测规则，综合判断网页是否存在篡改。 一、研究背景 二、网页篡改检测方法 二、网页篡改检测方法 检测器设计；两个重要的参数：检测数据集窗口大小；判别器阈值 二、网页篡改检测方法 检测器 检测特征 是否需要训练 树形结构检测器 树结构、节点种类 是 文本聚类检测器 正文文本 是 特征数量检测器 代码行数、链接数量 图片数量、文件大小 是 JC检测器 JS、CSS文件相似度 否 图片检测器 相似度、关键字识别 否 篡改特征检测器 含有敏感关键字、图片数量为0 body部分长度为0、不含任何标签 否 三、性能分析及优化 使用根据真实的网页篡改案例进行设定的篡改集合进行篡改实验确定参数。在实验中，以误报率和漏报率作为评测实验结果的指标。在选定结果判别器阈值为2的情况下，不同检测数据集窗口长度W下网页篡改检测的误报率和漏报率如图。 三、性能分析及优化 在选定检测数据集窗口为11的情况下，不同结果判别器阈值网页篡改检测的误报率和漏报率如图。最终本文选定的判别器阈值为2，检测数据集窗口大小为11。 三、性能分析及优化 系统运行时间分析，网页抓取时间情况，网页抓取、训练、检测花费时间分布，抓取平均耗时1.22s，训练平均耗时5.61s，检测平均耗时1.24s。 三、性能分析及优化 可检测网页数，系统对于检测的网页数仅仅受限于运行环境的硬件影响，当检测网页达到一定数量时，可以通过增加系统资源，甚至使用多台机器进行篡改检测。 检测时间间隔，如何在发生篡改后及时地通过检测发出报警，是篡改检测一个非常关键性的因素，理论上某个网页的检测时间间隔只要大于该网页的抓取时间和检测时间之和即可，但是检测间隔太小会造成系统资源的浪费，本文将检测间隔设为30分钟。 检测参数的定制化，可以为不同的网页设定不同的检测参数，比如有些网页动态更新比较频繁，可以提高训练的频率，比如在检测若干次之后自发进行一次训练；静态网站，可以适当提高检测频率，将30分钟缩短至20分钟，甚至10分钟。 检测器的调整，根据黑客常用的一些篡改手段，可以随时修改或者增加系统的检测器的数量以及各个检测器的检测特征。 四、总结 提出了一种基于机器学习的批量网页篡改检测方法，不需要对网站服务器做任何形式的修改，只需提供网页的URL，通过抓取网页的相关资源，根据历史信息进行训练，最后综合多个检测器的检测结果来判定网页是否发生篡改。 方法对于检测的网页在数量上没有限制，检测时间间隔可以根据需要在合理的范围内调整，经过初步的实验验证，在检测数据集窗口为11，判别器阈值为2的情况下误报率为1.183%，漏报率为0.878%。 Thank you