一种攻击识别方法及其识别系统技术方案

本发明专利技术提供一种攻击识别方法及其识别系统，包括以下步骤：S1：获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；S3：获取一用户访问所述域名时采用该浏览路径的次数；S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。

An Attack Recognition Method and Its Recognition System

The invention provides an attack identification method and an identification system, which includes the following steps: S1: acquiring access log flow of a domain name, determining the browsing path rule of the domain name based on the browsing path information of each user when accessing the domain name, S2: calculating the browsing path rule of each user when accessing the domain name according to the browsing path rule. The probability of browsing path in the browsing path law is adopted; S3: the number of times a user uses the browsing path when accessing the domain name; S4: Based on the number and probability, the threat degree of the user accessing the domain name by the browsing path is determined.

【技术实现步骤摘要】
一种攻击识别方法及其识别系统
本专利技术涉及网络安全
，尤其涉及一种基于路径上下文信息的攻击识别方法及其识别系统。
技术介绍
目前主流的网络安全算法都是采用统计、正则匹配等方法，比如统计基于ip的pv信息、ua信息、报文大小信息、基于正则的waf算法等，然后根据某个时间窗口内的相应变量的统计信息与基准值的差异度来判断此次访问是否合法。现有的统计方法主要有如下缺点：1、容易丢失上下文信息，缺失威胁识别的关键特征；2、受噪声的干扰影响大，在极值或者突发情况(比如客户某个时间点做活动)会严重算法的准确率；3、阈值设定不灵活，无法良好应对用户规模和访问量动态变化的情况。因此，如何克服现有技术中存在的上述缺陷，成为本领域技术人员亟待解决的问题。
技术实现思路
本专利技术旨在解决现有网络安全算法中存在的特征维度不全、算法准确率下降的问题。为此，本专利技术首先提供了一种基于路径上下文信息的攻击识别方法。本专利技术提出的攻击识别方法包括以下步骤：S1：获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；S3：获取一用户访问所述域名时采用该浏览路径的次数；S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。根据本专利技术提出的攻击识别方法，步骤S1中基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括：S11：确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中；S12：确定包含一个或多个地址节点的浏览路径的最后地址节点。根据本专利技术提出的攻击识别方法，当满足下述条件中任一项时，确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中：一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值；一地址节点为关键节点；一地址节点的前一个地址节点为关键节点。根据本专利技术提出的攻击识别方法，确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项：一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值，则该地址节点为其所在浏览路径中的最后地址节点；一地址节点的前一个地址节点为关键节点，则该地址节点为其所在浏览路径中的最后地址节点；一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值，则该地址节点为所述浏览路径中的最后地址节点。根据本专利技术提出的攻击识别方法，根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括：其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率，uipi表示访问所述域名时采用该浏览路径的用户IP数量，uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量，n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。根据本专利技术提出的攻击识别方法，确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括：计算其中并且其中，w表示该用户采用该浏览路径访问所述域名的威胁指数，r表示该用户访问所述域名时采用该浏览路径的次数，q表示各用户访问所述域名时采用该浏览路径的概率，且a的取值范围为0-1；若所述威胁指数大于设定指数阈值，则确定该用户采用该浏览路径对所述域名的访问为威胁访问。本专利技术同时还提供一种攻击识别系统，包括：浏览路径规律模块：用于获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；概率模块：与所述浏览路径规律模块相连，用于根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；次数模块：用于获取一用户访问所述域名时采用该浏览路径的次数；威胁程度模块：与所述概率模块和所述次数模块相连，基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。根据本专利技术提出的攻击识别系统，所述浏览路径规律模块基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括：确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中；确定包含一个或多个地址节点的浏览路径的最后地址节点。根据本专利技术提出的攻击识别系统，当满足下述条件中任一项时，确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中：一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值；一地址节点为关键节点；一地址节点的前一个地址节点为关键节点。根据本专利技术提出的攻击识别系统，确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项：一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值，则该地址节点为其所在浏览路径中的最后地址节点；一地址节点的前一个地址节点为关键节点，则该地址节点为其所在浏览路径中的最后地址节点；一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值，则该地址节点为所述浏览路径中的最后地址节点。根据本专利技术提出的攻击识别系统，所述概率模块根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率的方法包括：其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率，uipi表示访问所述域名时采用该浏览路径的用户IP数量，uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量，n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。根据本专利技术提出的攻击识别系统，所述威胁程度模块确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括：计算其中并且其中，w表示该用户采用该浏览路径访问所述域名的威胁指数，r表示该用户访问所述域名时采用该浏览路径的次数，q表示各用户访问所述域名时采用该浏览路径的概率，且a的取值范围为0-1；若所述威胁指数大于设定指数阈值，则确定该用户采用该浏览路径对所述域名的访问为威胁访问。与现有技术相比，本专利技术具有以下有益效果：本专利技术提出的攻击识别方法及其攻击识别系统，通过利用路径的上下文信息，丰富了特征维度；利用访问路径的重复度和罕见度，大大提高识别准确率，在多个数据集达到100％准确率；并且本专利技术中获得的浏览路径规律benchmark能够随着访问日志流不断自动更新，自适应线上数据的变化，鲁棒性大大提高。参照附图来阅读对于示例性实施例的以下描述，本专利技术的其他特性特征和优点将变得清晰。附图说明并入到说明书中并且构成说明书的一部分的附图示出了本专利技术的实施例，并且与描述一起用于解释本专利技术的原理。在这些附图中，类似的附图标记用于表示类似的要素。下面描述中的附图是本专利技术的一些实施例，而不是全部实施例。对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，可以根据这些附图获得其他的附图。图1描绘了本专利技术中域名、URI节点和路径的关系示意图；图2为本专利技术的攻击识别方法的整体流程图；图3为本专利技术一具体实施例中对整体访问路径进行分割的流程图；图4为本专利技术的攻击本文档来自技高网...

【技术保护点】
1.一种攻击识别方法，其特征在于，包括以下步骤：S1：获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；S3：获取一用户访问所述域名时采用该浏览路径的次数；S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。

【技术特征摘要】
1.一种攻击识别方法，其特征在于，包括以下步骤：S1：获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；S3：获取一用户访问所述域名时采用该浏览路径的次数；S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。2.根据权利要求1所述的攻击识别方法，其特征在于，步骤S1中基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括：S11：确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中；S12：确定包含一个或多个地址节点的浏览路径的最后地址节点。3.根据权利要求2所述的攻击识别方法，其特征在于，当满足下述条件中任一项时，确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中：一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值；一地址节点为关键节点；一地址节点的前一个地址节点为关键节点。4.根据权利要求2所述的攻击识别方法，其特征在于，确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项：一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值，则该地址节点为其所在浏览路径中的最后地址节点；一地址节点的前一个地址节点为关键节点，则该地址节点为其所在浏览路径中的最后地址节点；一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值，则该地址节点为所述浏览路径中的最后地址节点。5.根据权利要求1所述的攻击识别方法，其特征在于，根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括：其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率，uipi表示访问所述域名时采用该浏览路径的用户IP数量，uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量，n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。6.根据权利要求5所述的攻击识别方法，其特征在于，确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括：计算其中并且其中，w表示该用户采用该浏览路径访问所述域名的威胁指数，r表示该用户访问所述域名时采用该浏览路径的次数，q表示各用户访问所述域名时采用该浏览路径的概率，且a的取值范围为0-1；若所述威胁指数大于设定指数阈值，则确定该用户采用该浏览路径对所述域名的访问为威胁访问。7.一种攻击识别系统，其特征在于，包括：浏览路径规律模块：用于获...

【专利技术属性】
技术研发人员：夏俊海，刘鑫琪，陈喆，丛磊，
申请(专利权)人：北京数安鑫云信息技术有限公司，
类型：发明
国别省市：北京,11