技术报告-基于机器学习的批量网页篡改检测方法研究

《技术报告-基于机器学习的批量网页篡改检测方法研究》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、报告人赖清楠基于机器学习的批量网页篡改检测方法研究目录Contents一、研究背景二、网页篡改检测方法三、性能分析及优化四、总结近年来，随着互联网的普及，网站已成为政府、学校、企业等组织机构信息发布和传播的重要途径，网站安全成为网络安全的重要领域。CNCERT监测发现，2015年我国境内近2.5万个网站被篡改高效、准确、具有良好扩展性的网页篡改检测方法是应对网页篡改问题的有效途径。以北京大学所有注册网站为研究对象，通过抓取网站首页面的所有历史信息，对抓取数据进行分类建立对应的检测规则，综合判断网页是否存在篡改。一、研究背景二、网页篡改检测方法二、网页篡改检测方法检测器设计；两个重

2、要的参数：检测数据集窗口大小；判别器阈值二、网页篡改检测方法检测器检测特征是否需要训练树形结构检测器树结构、节点种类是文本聚类检测器正文文本是特征数量检测器代码行数、链接数量图片数量、文件大小是JC检测器JS、CSS文件相似度否图片检测器相似度、关键字识别否篡改特征检测器含有敏感关键字、图片数量为0部分长度为0、不含任何标签否三、性能分析及优化使用根据真实的网页篡改案例进行设定的篡改集合进行篡改实验确定参数。在实验中，以误报率和漏报率作为评测实验结果的指标。在选定结果判别器阈值为2的情况下，不同检测数据集窗口长度W下网页篡改检测的误报率和漏报率如图。三、性能分析及优化

3、在选定检测数据集窗口为11的情况下，不同结果判别器阈值网页篡改检测的误报率和漏报率如图。最终本文选定的判别器阈值为2，检测数据集窗口大小为11。三、性能分析及优化系统运行时间分析，网页抓取时间情况，网页抓取、训练、检测花费时间分布，抓取平均耗时1.22s，训练平均耗时5.61s，检测平均耗时1.24s。三、性能分析及优化可检测网页数，系统对于检测的网页数仅仅受限于运行环境的硬件影响，当检测网页达到一定数量时，可以通过增加系统资源，甚至使用多台机器进行篡改检测。检测时间间隔，如何在发生篡改后及时地通过检测发出报警，是篡改检测一个非常关键性的因素，理论上某个网页的检测时间间隔只要大于

4、该网页的抓取时间和检测时间之和即可，但是检测间隔太小会造成系统资源的浪费，本文将检测间隔设为30分钟。检测参数的定制化，可以为不同的网页设定不同的检测参数，比如有些网页动态更新比较频繁，可以提高训练的频率，比如在检测若干次之后自发进行一次训练；静态网站，可以适当提高检测频率，将30分钟缩短至20分钟，甚至10分钟。检测器的调整，根据黑客常用的一些篡改手段，可以随时修改或者增加系统的检测器的数量以及各个检测器的检测特征。四、总结提出了一种基于机器学习的批量网页篡改检测方法，不需要对网站服务器做任何形式的修改，只需提供网页的URL，通过抓取网页的相关资源，根据历史信息进行训练，最后综

5、合多个检测器的检测结果来判定网页是否发生篡改。方法对于检测的网页在数量上没有限制，检测时间间隔可以根据需要在合理的范围内调整，经过初步的实验验证，在检测数据集窗口为11，判别器阈值为2的情况下误报率为1.183%，漏报率为0.878%。Thankyou