一种基于多源数据融合的特定网络行为分析方法和系统技术方案

本发明专利技术公开了一种基于多源数据融合的特定网络行为分析方法和系统，首先，在局域网流量中采集域名解析数据，同时获取固定IP基础资源信息，并搜集特定网络行为域名情况，建立三张数据表；接着，将三张表进行关联融合，获得特定网络行为下的设备访问记录；最后，以设备号为主数据，统计某时间段内对目标网络地址的访问行为情况，根据统计结果建立综合预警模型，筛选出存在相关行为的重点设备，并对特定网络行为域名情况进行迭代更新。该发明专利技术由局域网域名解析数据、IP基础资源数据和特定网络行为域名数据关联融合成设备行为记录数据，进而实现在单位内部网络被“黑客”劫持情况下的综合行为预警和重点设备筛选功能。为预警和重点设备筛选功能。为预警和重点设备筛选功能。

【技术实现步骤摘要】
一种基于多源数据融合的特定网络行为分析方法和系统


[0001]本专利技术属于网络空间安全领域，尤其涉及一种基于多源数据融合的特定网络行为分析方法和系统。

技术介绍

[0002]目前，网络攻击手段层出不穷，黑客通过系统、软件、服务等漏洞，非法入侵局域网络植入“病毒”，操纵被入侵的电脑、服务器进行分布式拒绝服务攻击、虚拟币挖矿或者用于网络爬虫代理。基于此，网络安全人员需要对局域网中的异常流量进行监测，对特定网站的访问情况进行预警，以及时发现并解决各类风险隐患。
[0003]在现有针对上网设备的网络行为分析中，主要通过特征分析、关联分析、预测分类等方式，利用上网设备访问网站的时间点、驻留时长、点击内容、浏览顺序等数据，挖掘该设备的行为偏好，为精准商业营销提供数据支撑。上述方法是利用设备访问网站时产生的行为日志记录，传输至后台服务器后，进行数据挖掘技术，以分析相关情况，该数据仅可被网站的建站方获取。
[0004]在网络安全领域中，网络安全人员同样亟需一种能够在不干扰内部网络设备正常访问外部网站情况下，发现其是否被黑客操纵劫持的方法。

技术实现思路

[0005]专利技术目的：本专利技术所要解决的技术问题是针对现有技术的不足，提供一种基于多源数据融合的特定网络行为分析方法和系统。
[0006]为实现上述目的，第一方面提供一种基于多源数据融合的特定网络行为分析方法，该方法包括以下步骤。
[0007]步骤1，数据采集：采集多源数据，所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据；对多源数据进行预处理，获得域名时段解析记录、IP基础资源库和特定网络行为域名库。
[0008]步骤2，聚合关联：将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合，获得特定网络行为设备访问记录。
[0009]步骤3，行为分析：针对特定网络行为设备访问记录，以设备号为主数据，统计某时间段内设备的特定网络行为情况，进行综合预警分析，并筛选出重点设备。
[0010]在一种可能的实现方式中，所述步骤1包括步骤1a，聚合域名数据：在域名解析流量数据中提取域名、源IP地址、目的IP地址和访问时间，以访问时间为维度进行时段聚合处理，构建域名时段解析记录，所述域名时段解析记录包括域名、源IP地址、目的IP地址、访问时段和访问次数。
[0011]步骤1b，建立IP基础资源库：在IP基础资源数据中，提取IP地址和设备号，构建IP基础资源库。
[0012]步骤1c，建立特定网络行为域名库：所述特定网络行为包括设备被劫持后用于分
布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据在内共计K类行为，K ≥ 3，在网络搜索引擎中使用行为关键词爬取网站，结合局域网中历史访问行为日志，汇总筛选各类域名信息，所述域名信息包括被劫持后访问网站域名、虚拟货币挖矿平台域名、被爬取的网站域名，记第k类特定网络行为的总域名数量为L
k
，其中1 ≤ k ≤ K；最终构建包括特定网络行为和域名在内的特定网络行为域名库。
[0013]在一种可能的实现方式中，所述步骤2包括步骤2a，筛选获得特定网络行为域名记录：将特定网络行为域名库中的域名字段与域名时段解析记录中的域名字段进行关联处理，筛选并组合成特定网络行为域名记录，所述特定网络行为域名记录包括目标域名、特定网络行为、源IP地址、目的IP地址、访问时段和访问次数。
[0014]步骤2b，构建特定网络行为设备访问记录：将特定网络行为域名记录中的源IP地址与IP基础资源库中的IP地址进行关联处理，构建特定网络行为设备访问记录，所述特定网络行为设备访问记录包括目标域名、特定网络行为、源IP地址、设备号、目的IP地址、访问时段和访问次数。
[0015]在一种可能的实现方式中，所述步骤3包括：步骤3a，构建设备行为记录：针对特定网络行为设备访问记录，在某一时间范围内，以设备号进行分组聚合，筛选并组合成设备行为记录，所述设备行为记录包括设备号、特定网络行为、目标域名和访问次数。
[0016]步骤3b，综合预警分析：通过设备行为记录数据，统计该时间范围内第k类访问行为的总设备数量M
k
和总访问次N
k
；设定该时间范围内第k类特定网络行为的总设备预警参数和总访问次数预警参数，当或时，说明该特定网络行为达到预警处置警戒线，网络安全人员需要进行关注并分析。
[0017]在一种可能的实现方式中，所述重点设备的筛选过程如下。
[0018]通过统计设备行为记录数据，记第k类特定网络行为中第i个设备已访问的域名数量为个，访问的次数为次，其中1 ≤ i ≤ M
k
；设定第k类特定网络行为的设备访问域名数量预警参数和平均访问次数预警参数；当第i个设备的访问域名数量或者平均访问次数超过预警值，满足或时，即为重点设备，需要采取处置措施。
[0019]在一种可能的实现方式中，所述步骤3还包括特定网络行为域名库迭代：针对第k类特定网络行为筛选出来的重点设备，在域名时段解析记录中检索其目的IP地址的历史访问记录，与特定网络行为域名库中L
k
个域名进行对比和筛选，记录新发现的第k类特定网络行为域名Q
k
个，Q
k
≥0，将其添加至特定网络行为域名库中，更新后的特定网络行为域名库中，第k类特定网络行为的总域名数量记为，即，实现特定网络行为域名库的迭代与更新。
[0020]在一种可能的实现方式中，步骤3b中第k类特定网络行为的总设备预警参数、总访问次数预警参数、设备访问域名数量预警参数和和平均访问次数预警参数，根据监测设备总量、实际访问行为次数和网安人员的监测力度进行设置和调整；记网络设备总量为H，H ≥ 1，以单月为时间范围段构建设备行为记录时，设置，
，，。
[0021]第二方面提供了一种基于多源数据融合的特定网络行为分析系统，包括多源数据采集模块、预处理模块、聚合关联模块和行为分析模块。
[0022]所述多源数据采集模块，用于采集多源数据，所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据。
[0023]所述预处理模块，用于对多源数据进行预处理，获得域名时段解析记录、IP基础资源库和特定网络行为域名库。
[0024]所述聚合关联模块，用于将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合，获得特定网络行为设备访问记录。
[0025]所述行为分析模块，用于针对特定网络行为设备访问记录，以设备号为主数据，统计某时间段内设备的特定网络行为情况，进行综合预警分析，并筛选出重点设备。
[0026]在一种可能的实现方式中，所述行为分析模块包括综合预警分析单元和重点设备筛选单元。
[0027]所述综合预警分析单元，用于构建设备行为记录，根据设备行为记录统计每个特定网络行为的总域名数量、总设备数量和总访问次数，并以此判断对应特定网络行为是否达到预本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于多源数据融合的特定网络行为分析方法，其特征在于，包括以下步骤：步骤1，数据采集：采集多源数据，所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据；对多源数据进行预处理，获得域名时段解析记录、IP基础资源库和特定网络行为域名库；步骤2，聚合关联：将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合，获得特定网络行为设备访问记录；步骤3，行为分析：针对特定网络行为设备访问记录，以设备号为主数据，统计某时间段内设备的特定网络行为情况，进行综合预警分析，并筛选出重点设备。2.根据权利要求1所述的一种基于多源数据融合的特定网络行为分析方法，其特征在于，所述步骤1包括：步骤1a，聚合域名数据：在域名解析流量数据中提取域名、源IP地址、目的IP地址和访问时间，以访问时间为维度进行时段聚合处理，构建域名时段解析记录，所述域名时段解析记录包括域名、源IP地址、目的IP地址、访问时段和访问次数；步骤1b，建立IP基础资源库：在IP基础资源数据中，提取IP地址和设备号，构建IP基础资源库；步骤1c，建立特定网络行为域名库：所述特定网络行为包括设备被劫持后用于分布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据在内共计K类行为，K ≥ 3，在网络搜索引擎中使用行为关键词爬取网站，结合局域网中历史访问行为日志，汇总筛选各类域名信息，所述域名信息包括被劫持后访问网站域名、虚拟货币挖矿平台域名、被爬取的网站域名，记第k类特定网络行为的总域名数量为L
k
，其中1 ≤ k ≤ K；最终构建包括特定网络行为和域名在内的特定网络行为域名库。3.根据权利要求2所述的一种基于多源数据融合的特定网络行为分析方法，其特征在于，所述步骤2包括：步骤2a，筛选获得特定网络行为域名记录：将特定网络行为域名库中的域名字段与域名时段解析记录中的域名字段进行关联处理，筛选并组合成特定网络行为域名记录，所述特定网络行为域名记录包括目标域名、特定网络行为、源IP地址、目的IP地址、访问时段和访问次数；步骤2b，构建特定网络行为设备访问记录：将特定网络行为域名记录中的源IP地址与IP基础资源库中的IP地址进行关联处理，构建特定网络行为设备访问记录，所述特定网络行为设备访问记录包括目标域名、特定网络行为、源IP地址、设备号、目的IP地址、访问时段和访问次数。4.根据权利要求3所述的一种基于多源数据融合的特定网络行为分析方法，其特征在于，所述步骤3包括：步骤3a，构建设备行为记录：针对特定网络行为设备访问记录，在某一时间范围内，以设备号进行分组聚合，筛选并组合成设备行为记录，所述设备行为记录包括设备号、特定网络行为、目标域名和访问次数；步骤3b，综合预警分析：通过设备行为记录数据，统计该时间范围内第k类访问行为的总设备数量M
k
和总访问次N
k
；设定该时间范围内第k类特定网络行为的总设备预警参数
和总访问次数预警参数，当或时，说明该特定网络行为达到预警处置警戒线，网络安全人员需要进行关注并分析。5.根据权利要求4所述的一种基于多源数据融合的特定网络行为分析方法，其特征在于，所述重点设备的筛选过程如下：通过统计设备行为记录数据，记第k类特定网络行...

【专利技术属性】
技术研发人员：嵇程，许海滨，邢欣，蔡冰，王广帧，
申请(专利权)人：国家计算机网络与信息安全管理中心江苏分中心，
类型：发明
国别省市：