一种WEB数据流转追踪系统及方法技术方案

本发明专利技术公开了一种WEB数据流转追踪系统及方法，包括URL行为采集模块、URL文件关联模块、网络访问时效模块、数据标记模块、数字向量化模块、数据流转分析模块和威胁分析模块，所述URL行为采集模块的输出端分别控制连接URL文件关联模块和网络访问时效模块的输入端，本发明专利技术，通过威胁分析模块分析脚本文件的威胁程度值，降低了系统的威胁误报率，提高了系统的工作可靠性，通过流转状况模块便于定位异常的脚本文件，无需进行特征扫描查找，从而降低了查找识别威胁脚本文件的难度，提高了系统的实用性，通过威胁输出模块识别URL和文件之间非正常访问的URL地址和文件信息，便于对感染的脚本文件进行源头追踪，消除系统的安全隐患，提高了系统的安全性。高了系统的安全性。高了系统的安全性。

【技术实现步骤摘要】
一种WEB数据流转追踪系统及方法


[0001]本专利技术涉及WEB数据安全
，具体为一种WEB数据流转追踪系统及方法。

技术介绍

[0002]现有技术对WEB数据进行威胁分析方法有以下几种，第一是使用流量抓包方式对流量中特征信息进行扫描识别，发现有威胁的数据信息将对该数据进行预警，其次是使用文件特征信息对web容器中的脚本文件进行文件扫描，当发现文件中包含的文件内容符合内置的特征库中的特征信息将标记为威胁文件，现有的分析系统难以根据实际情况对脚本文件进行威胁评级分析，导致系统的威胁误报率增高，从而影响了系统的工作可靠性，同时系统不能对URL请求访问的脚本文件进行识别，查找异常脚本需要对数据库进行记录，消耗大量系统资源，从而增加了查找识别威胁脚本文件的难度，且无法对感染的脚本文件进行追踪，难以找到威胁的源头，难以消除系统的安全隐患，降低了系统的安全性，因此设计一种WEB数据流转追踪系统及方法是很有必要的。

技术实现思路

[0003]本专利技术的目的在于提供一种WEB数据流转追踪系统及方法，以解决上述
技术介绍
中提出的问题。
[0004]为实现上述目的，本专利技术提供如下技术方案：一种WEB数据流转追踪系统，包括URL行为采集模块、URL文件关联模块、网络访问时效模块、数据标记模块、数字向量化模块、数据流转分析模块和威胁分析模块，所述URL行为采集模块的输出端分别控制连接URL文件关联模块和网络访问时效模块的输入端，且URL文件关联模块和网络访问时效模块的输出端控制连接数据标记模块的输入端，数据标记模块的输出端控制连接数字向量化模块的输入端，且数字向量化模块的输出端分别控制连接数据流转分析模块和威胁分析模块的输入端，威胁分析模块的输入端分别控制连接URL行为采集模块和数据流转分析模块的输出端。
[0005]优选的，所述URL行为采集模块由文件信息采集模块、用户操作模块、操作启动模块、命令执行模块和行为库存储模块组成，文件信息采集模块、用户操作模块、操作启动模块和命令执行模块的输出端均与行为库存储模块的输入端控制连接，且用户操作模块的输出端控制连接操作启动模块的输入端，操作启动模块的输出端控制连接命令执行模块的输入端。
[0006]优选的，所述网络访问时效模块由第一生命周期模块、第二生命周期模块、第三生命周期模块和数据存储模块组成，第一生命周期模块和第二生命周期模块的输出端控制连接第三生命周期模块的输入端，且第三生命周期模块的输出端控制连接数据存储模块的输入端。
[0007]优选的，所述数据标记模块由脚本信息模块、脚本标记模块和后台存储模块组成，脚本信息模块的输出端控制连接脚本标记模块的输入端，且脚本标记模块的输出端控制连接后台存储模块的输入端。
[0008]优选的，所述数字向量化模块由周期计算模块、向量化处理模块和相似度比对模块组成，周期计算模块的输出端控制连接向量化处理模块的输入端，且向量化处理模块的输出端控制连接相似度比对模块的输入端。
[0009]优选的，所述数据流转分析模块由数据提取模块、矩阵余弦模块、矩阵行为库模块和流转状况模块组成，数据提取模块的输出端控制连接矩阵余弦模块的输入端，且矩阵余弦模块的输出端控制连接矩阵行为库模块的输入端，矩阵行为库模块的输出端控制控制连接流转状况模块的输入端。
[0010]优选的，所述威胁分析模块由异常评级模块、威胁筛选模块、威胁输出模块和预警处理模块组成，异常评级模块的输出端控制连接威胁筛选模块的输入端，且威胁筛选模块的输出端控制连接威胁输出模块的输入端，威胁输出模块的输出端控制连接预警处理模块的输入端。
[0011]一种WEB数据流转追踪方法，包括以下步骤：步骤一，关联处理；步骤二，行为库建立；步骤三，威胁处理；
[0012]其中上述步骤一中，由用户进行数据访问，随后由URL行为采集模块中的文件信息采集模块采集当前被访问请求的URL地址，由用户操作模块采集用户的操作数据，由操作启动模块接收用户的操作数据向命令执行模块发出操作指令，同时由操作启动模块采集操作的非自身文件信息，随后由命令执行模块接收操作指令并对操作进行执行操作，同时命令执行模块采集命令执行记录，然后分别由用户操作模块、操作启动模块、命令执行模块和文件信息采集模块将采集的用户操作数据、启动操作详情、命令执行记录和当前被访问请求的URL地址传输到行为库存储模块中进行存储，接着由URL文件关联模块将URL请求地址和被请求的脚本文件进行关联，由网络访问时效模块接收行为库存储模块中存储的数据，随后由第一生命周期模块对建立连接、发起请求和断开请求的操作时长进行记录，将其作为生命周期第一阶段，由第二生命周期模块记录在请求中对同一个URL地址进行操作的时长，并将其作为生命周期的第二阶段，之后由第一生命周期模块和第二生命周期模块分别将生命周期第一阶段和生命周期的第二阶段传输到第三生命周期模块中，由第三生命周期模块对以上生命周期第一阶段和生命周期的第二阶段进行平均时间差值处理，计算出当前被请求URL对应的当前的文件的生命周期，并将其作为第三生命周期，随后由数据存储模块对第一生命周期、第二生命周期和第三生命周期数据进行存储；
[0013]其中上述步骤二中，由数据标记模块接收被URL文件关联模块关联的URL请求地址和被请求的脚本文件，接着由脚本信息模块调取详细的脚本信息，然后由脚本标记模块对被请求的脚本文件进行标记处理，再由后台存储模块接收网络访问时效模块传输的第一生命周期、第二生命周期和第三生命周期，随后将第一生命周期、第二生命周期和第三生命周期纪录到对应的脚本文件进行存储，然后由数字向量化模块接收后台存储模块存储的数据信息，然后通过周期计算模块对一组生命周期数据进行计算处理得出多个周期值，随后将对个周期值传输到向量化处理模块中，由向量化处理模块进行数字向量化处理，之后将处理结果传输到相似度比对模块中，由相似度比对模块进行相似度计算，之后由数据流转分析模块中的数据提取模块从相似度比对模块提取对应的相似度数据，接着由矩阵余弦模块进行矩阵余弦相似度计算，可以得出被请求的URL的操作的行为值，然后再由矩阵行为库模块将行为值和URL信息相互关联，建立每个URL和关联对应文件的矩阵行为数据，并将每个
URL和关联对应文件的矩阵行为数据进行存储，之后由流转状况模块追踪每个URL的请求访问数据流转情况；
[0014]其中上述步骤三中，由威胁分析模块中的异常评级模块通过请求时间、频次、URL时效、URL活动以及越界访问计算出该文件和URL的威胁程度值，随后将计算结果传输到威胁筛选模块中，由威胁筛选模块筛选出异常的URL地址和文件，并将异常的URL地址和文件传输到威胁输出模块中，由威胁输出模块通过标记中的存放的URL标记信息关联出URL的流转记录，随后根据所有文件中的标记信息，可以识别该URL和文件之间非正常访问的URL地址和文件信息，再威胁输出模块向预警处理模块发出预警指令，然后由预警处理模块将非正常访问的URL地址和文件信息发送到用户界面进行威胁预警。
[0015]与现本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种WEB数据流转追踪系统，包括URL行为采集模块(1)、URL文件关联模块(2)、网络访问时效模块(3)、数据标记模块(4)、数字向量化模块(5)、数据流转分析模块(6)和威胁分析模块(7)，其特征在于：所述URL行为采集模块(1)的输出端分别控制连接URL文件关联模块(2)和网络访问时效模块(3)的输入端，且URL文件关联模块(2)和网络访问时效模块(3)的输出端控制连接数据标记模块(4)的输入端，数据标记模块(4)的输出端控制连接数字向量化模块(5)的输入端，且数字向量化模块(5)的输出端分别控制连接数据流转分析模块(6)和威胁分析模块(7)的输入端，威胁分析模块(7)的输入端分别控制连接URL行为采集模块(1)和数据流转分析模块(6)的输出端。2.根据权利要求1所述的一种WEB数据流转追踪系统，其特征在于：所述URL行为采集模块(1)由文件信息采集模块(11)、用户操作模块(12)、操作启动模块(13)、命令执行模块(14)和行为库存储模块(15)组成，文件信息采集模块(11)、用户操作模块(12)、操作启动模块(13)和命令执行模块(14)的输出端均与行为库存储模块(15)的输入端控制连接，且用户操作模块(12)的输出端控制连接操作启动模块(13)的输入端，操作启动模块(13)的输出端控制连接命令执行模块(14)的输入端。3.根据权利要求1所述的一种WEB数据流转追踪系统，其特征在于：所述网络访问时效模块(3)由第一生命周期模块(31)、第二生命周期模块(32)、第三生命周期模块(33)和数据存储模块(34)组成，第一生命周期模块(31)和第二生命周期模块(32)的输出端控制连接第三生命周期模块(33)的输入端，且第三生命周期模块(33)的输出端控制连接数据存储模块(34)的输入端。4.根据权利要求1所述的一种WEB数据流转追踪系统，其特征在于：所述数据标记模块(4)由脚本信息模块(41)、脚本标记模块(42)和后台存储模块(43)组成，脚本信息模块(41)的输出端控制连接脚本标记模块(42)的输入端，且脚本标记模块(42)的输出端控制连接后台存储模块(43)的输入端。5.根据权利要求1所述的一种WEB数据流转追踪系统，其特征在于：所述数字向量化模块(5)由周期计算模块(51)、向量化处理模块(52)和相似度比对模块(53)组成，周期计算模块(51)的输出端控制连接向量化处理模块(52)的输入端，且向量化处理模块(52)的输出端控制连接相似度比对模块(53)的输入端。6.根据权利要求1所述的一种WEB数据流转追踪系统，其特征在于：所述数据流转分析模块(6)由数据提取模块(61)、矩阵余弦模块(62)、矩阵行为库模块(63)和流转状况模块(64)组成，数据提取模块(61)的输出端控制连接矩阵余弦模块(62)的输入端，且矩阵余弦模块(62)的输出端控制连接矩阵行为库模块(63)的输入端，矩阵行为库模块(63)的输出端控制控制连接流转状况模块(64)的输入端。7.根据权利要求1所述的一种WEB数据流转追踪系统，其特征在于：所述威胁分析模块(7)由异常评级模块(71)、威胁筛选模块(72)、威胁输出模块(73)和预警处理模块(74)组成，异常评级模块(71)的输出端控制连接威胁筛选模块(72)的输入端，且威胁筛选模块(72)的输出端控制连接威胁输出模块(73)的输入端，威胁输出模块(73)的输出端控制连接预警处理模块(74)的输入端。8.一种WEB数据流转追踪方法，包括以下步骤：步骤一，关联处理；步骤二，行为库建立；步骤三，威胁处理；其特征在于：
其中上述步骤一中，由用户进行数...

【专利技术属性】
技术研发人员：杨凡，宋波，
申请(专利权)人：四川睿创风行科技有限公司，
类型：发明
国别省市：