【技术实现步骤摘要】
一种网络入侵场景分析处理方法、系统、终端及存储介质
本申请涉及网络安全
,尤其是涉及一种网络入侵场景分析处理方法、系统、终端及存储介质。
技术介绍
入侵检测作为一种网络安全技术能够检测网络中出现的入侵行为,使网络管理人员及时发现网络入侵和攻击并采取相应的处理措施。入侵检测可以分为异常检测和标识检测两类。异常检测是基于一个主体(比如用户或者系统)的正常行为,任何不同于正常行为的行为都被认为是入侵。标识检测基于已知的入侵和系统易受攻击性的特征,也称之为标签。任何和标签匹配的行为都被视为入侵。异常检测和标识检测都有其局限性。由于正常行为很难被描述,异常检测有很高的虚假告警率。至于标识检测,其基于已知攻击的特征检测攻击,并将数据包和标签匹配。如果匹配成功,将报告一个攻击,否则将不报告。因此标识检测将不能检测一些未知攻击。由此可知,入侵检测仍然面对很多挑战,首先,当前的IDS更多是关注低级的攻击和异常,并各自报告告警,对隐藏其后攻击的入侵场景之间的逻辑关系不予关心,结果安全人员只能依赖自己描述出这些告警之...
【技术保护点】
1.一种网络入侵场景分析处理方法,其特征在于,包括:/n获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包;/n根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景;/n针对不同入侵场景的用户访问信息进行特征提取及特征分类,识别不同入侵场景的恶意脚本信息;/n将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径;/n将所述攻击者的攻击路径进行阻断。/n
【技术特征摘要】
1.一种网络入侵场景分析处理方法,其特征在于,包括:
获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包;
根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景;
针对不同入侵场景的用户访问信息进行特征提取及特征分类,识别不同入侵场景的恶意脚本信息;
将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径;
将所述攻击者的攻击路径进行阻断。
2.根据权利要求1所述的网络入侵场景分析处理方法,其特征在于,获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包,包括:
获取待检测网络地址的访问日志和网络流量;
解析所述访问日志和网络流量,获取解析结果;以及
从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包;
其中,所述用户访问信息包括源地址、访问时间、访问请求、访问Referer、访问User-agent、访问方法、返回状态及请求主机名;所述流量数据包包括:请求信息、返回状态;流量数据包包括:请求信息、返回状态。
3.根据权利要求1所述的网络入侵场景分析处理方法,其特征在于,根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景,包括:
通过对用户访问信息包括源地址、目的地址、访问时间、访问请求、访问Referer、访问User-agent、访问方法、返回状态及请求主机名进行SAE规则匹配,通过跨设备提出相关字段信息,识别不同的安全入侵场景;
通过流量数据包中请求信息、返回状态,基于IDS检测规则和AIWAF检测规则,对网络中的流量进行首轮入侵检测,通过SAE规则匹配检测后的信息,实现再次深层次安全分析,识别不同的安全入侵场景。
4.根据权利要求1所述的网络入侵场景分析处理方法,其特征在于,针对不同入侵场景的网络访问信息进行特征提取及特征分类,识别不同入侵场景的恶意脚本信息,包括:
将不同入侵场景的网络访问信息进行解码、样本转向量,得到WebShell访问样本;
利用预设的CNN模型对W...
【专利技术属性】
技术研发人员:王广清,
申请(专利权)人:北京市燃气集团有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。