随着攻防对抗的升级,用户行为分析与网络安全的结合逐渐进入了研究者的视野。用户行为分析技术可以做到在被成功攻击前识别不可信用户,遏制入侵,达到主动防御的效果。当前在Web安全中用户行为分析所使用的数据源主要是应用层HTTP维度的数据,这不足以确定用户身份,容易造成漏报。在安全性和隐私性更好的HTTPS技术被大规模应用的情况下,文中提出了基于n-gram和Simhash的改进的TLS指纹数据,该方法提高了现有TLS(Transport Layer Security)指纹的容错性。将该指纹应用到用户行为分析中可提高用户身份判定的准确率。对比实验使用卷积神经网络对从真实环境中得到的指纹数据和日志型用户行为数据进行建模分析。结果表明,改进的TLS指纹数据可以更有效地识别用户和黑客,将准确率提高了4.2%。进一步的分析表明,通过改进的TLS指纹关联用户行为和时间轴回溯,还能在一定程度上对黑客进行追踪溯源,从而为安全事件调查提供情报上下文。

• 单位
  西安电子科技大学