基于大数据和机器学习的Web异常参数检测系统Demo实现

FB客服

发布于 2018-02-24 15:19:10

2.6K0

发布于 2018-02-24 15:19:10

文章被收录于专栏：FreeBuf

前言

如何在网络安全领域利用数据科学解决安全问题一直是一个火热的话题，讨论算法和实现的文章也不少。前段时间看到楚安的文章《数据科学在Web威胁感知中的应用》，其中提到如何用隐马尔可夫模型(HMM)建立web参数模型，检测注入类的web攻击。获益匪浅，遂尝试用python实现该算法，并尝试在大数据环境下的部署应用。

算法一般过程

隐马尔可夫模型是一个统计模型，可以利用这个模型解决三类基本问题：

学习问题：给定观察序列，学习出模型参数评估问题：已知模型参数，评估出观察序列出现在这个模型下的概率解码问题：已知模型参数和给出的观察序列，求出可能性最大的隐藏状态序列

这里我们是要解决前两类问题，使用白样本数据学习出模型和参数基线，计算检测数据在该模型下出现的可能性，如果得分低于基线就可以认为这个参数异常，产出告警。算法可分为训练过程和检测过程，算法本身我这里不在细说，这里重点讲一下参数的抽取和泛化。

参数的抽取

对http请求数据进行拆解，提取如下参数，这部分的难点在于如何正确的识别编码方式并解码：

GET、POST、Cookie请求参数 GET、POST、Cookie参数名本身请求的URL路径 http请求头，如Content_type、Content-Length(对应strust2-045)

参数泛化

需要将参数值泛化为规律性的观测经验，并取字符的unicode数值作为观察序列，泛化的方法如下：

大小写英文字母泛化为”A”，对应的unicode数值为65 数字泛化为”N”，对应的unicode数值为78 中文或中文字符泛化为“C”，对应的unicode数值为67 特殊字符和其他字符集的编码不作泛化，直接取unicode数值参数值为空的取0

系统架构

在训练过程中要使用尽可能多的历史数据进行训练，这显然是一个批(batch)计算过程；在检测过程中我们希望能够实时的检测数据，及时的发现攻击，这是一个流(streaming)计算过程。典型的批+流式框架如Cisco的Opensoc使用开源大数据架构，kafka作为消息总线，Storm进行实时计算，Hadoop存储数据和批量计算。但是这样的架构有一个缺点，我们需要维护Storm和MapReduce两套不同的代码。考虑到学习成本，使用Spark作为统一的数据处理引擎，即可以实现批处理，也可以使用spark streaming实现近实时的计算。

系统架构如上图，需要在spark上运行三个任务，sparkstreaming将kafka中的数据实时的存入hdfs；训练算法定期加载批量数据进行模型训练，并将模型参数保存到Hdfs；检测算法加载模型，检测实时数据，并将告警保存到ES。

Spark简介

Apache Spark是一个快速通用的大数据计算框架，由Scala语言实现，同时提供Java、python、R语言的API接口。相比于Hadoop的Mapreduce,Spark可以实现在内存中计算，具有更高的计算速度，并且spark streaming提供流数据计算框架，以类似批处理的方式处理流数据。

RDD

RDD是Spark中抽象的数据结构类型，是一个弹性分布式数据集，数据在Spark中被表示为RDD。RDD提供丰富的API接口，实现对数据的操作，如map、flatmap、reduce、filter、groupby等等。

DStream

DStream(离散数据流)是Spark Streaming中的数据结构类型，它是由特定时间间隔内的数据RDD构成，可以实现与RDD的互操作，Dstream也提供与RDD类似的API接口。

DataFrame

DataFrame是spark中结构化的数据集，类似于数据库的表，可以理解为内存中的分布式表，提供了丰富的类SQL操作接口。

数据采集与存储

获取http请求数据通常有两种方式，第一种从web应用中采集日志，使用logstash从日志文件中提取日志并泛化，写入Kafka(可参见兜哥文章)；第二种可以从网络流量中抓包提取http信息。我这里使用第二种，用python结合Tcpflow采集http数据，在数据量不大的情况下可稳定运行。

数据采集

与Tcpdump以包单位保存数据不同，Tcpflow是以流为单位保存数据内容，分析http数据使用tcpflow会更便捷。Tcpflow在linux下可以监控网卡流量，将tcp流保存到文件中，因此可以用python的pyinotify模块监控流文件，当流文件写入结束后提取http数据，写入Kafka，Python实现的过程如下图。