目标项目分析是基于用户评分矩阵的稀疏性原理和托攻击行为的群体性特征而提出的一种托攻击检测方法。即在混合有正常概貌和托攻击概貌的评分矩阵中,找出托攻击的目标项目,并将在此目标项目上评分的用户标记为托攻击概貌。此方法基于下述两个假设。
(1)正常用户概貌和托攻击用户概貌数量相当
目标项目分析方法首先找出托攻击的攻击意图,然后根据托攻击意图找出被攻击的项目ID。通过计算所有项目中被评为最高分或最低分的次数,选取计数最大的作为候选目标项目,当这个数目大于一定值并且评分比例比其他评分比例高时,这个项目被标记为目标项目。这要求正常用户概貌和托攻击用户概貌数量相当,如果正常用户概貌比托攻击用户概貌大得多,将可能选取错误的目标项目或者检测结果中将过多的正常概貌误判为托攻击概貌。
(2)评分矩阵稀疏
在评分矩阵比较稀疏时,将在目标项目上评分最高分或最低分的概貌标记为托攻击概貌。如果评分矩阵不够稀疏,检测结果中呈现假正的概貌就会较多,这将影响托攻击检测的精度。
图3.3 TIA托攻击检测模块结构图(www.xing528.com)
由于恶意用户注入的托攻击概貌都对目标项目评了最高分或最低分,并且攻击概貌中填充项目与真实概貌中填充项目的评分之间存在差异,因此真实概貌特征与攻击概貌特征的概貌属性值存在差异。基于这个性质,本书提出了目标项目的识别方法TIA,首先将被攻击的项目IT找出,攻击概貌应该都在IT上评分,所以找出所有在IT评分的概貌,假如是推攻击,那么所有在IT上评分为最高分的概貌都标记为攻击概貌;如果是核攻击,那么将所有在IT上评分为最低分的概貌都标记为攻击概貌。目标项目分析的关键就是正确地找出被攻击项目IT。TIA托攻击检测包括主模块、初始化模块、目标项目分析模块、检索攻击用户模块、攻击意图识别模块等几个模块,TIA托攻击检测模块结构如图3.3所示。
①主模块:该模块用来协调其他几个模块之间的关系。
②初始化模块:该模块主要用于根据用户概貌属性统计信息的分布,初步将攻击用户与正常用户分开,得到疑似托攻击用户集合。
③目标项目分析模块:该模块的输入用户—项目评分矩阵,输出是受到托攻击的目标项目ID和攻击意图。
④攻击意图识别模块:该模块用于识别攻击意图。
⑤检索攻击用户模块:该模块的输入是目标项目ID,输出是攻击用户概貌列表。在该模块中,根据事先设定好的阈值,将托攻击概貌识别出来。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
