【技术实现步骤摘要】
一种基于多源数据融合的特定网络行为分析方法和系统
[0001]本专利技术属于网络空间安全领域,尤其涉及一种基于多源数据融合的特定网络行为分析方法和系统。
技术介绍
[0002]目前,网络攻击手段层出不穷,黑客通过系统、软件、服务等漏洞,非法入侵局域网络植入“病毒”,操纵被入侵的电脑、服务器进行分布式拒绝服务攻击、虚拟币挖矿或者用于网络爬虫代理。基于此,网络安全人员需要对局域网中的异常流量进行监测,对特定网站的访问情况进行预警,以及时发现并解决各类风险隐患。
[0003]在现有针对上网设备的网络行为分析中,主要通过特征分析、关联分析、预测分类等方式,利用上网设备访问网站的时间点、驻留时长、点击内容、浏览顺序等数据,挖掘该设备的行为偏好,为精准商业营销提供数据支撑。上述方法是利用设备访问网站时产生的行为日志记录,传输至后台服务器后,进行数据挖掘技术,以分析相关情况,该数据仅可被网站的建站方获取。
[0004]在网络安全领域中,网络安全人员同样亟需一种能够在不干扰内部网络设备正常访问外部网站情况下,发现其是否被黑客操纵劫持的方法。
技术实现思路
[0005]专利技术目的:本专利技术所要解决的技术问题是针对现有技术的不足,提供一种基于多源数据融合的特定网络行为分析方法和系统。
[0006]为实现上述目的,第一方面提供一种基于多源数据融合的特定网络行为分析方法,该方法包括以下步骤。
[0007]步骤1,数据采集:采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特 ...
【技术保护点】
【技术特征摘要】
1.一种基于多源数据融合的特定网络行为分析方法,其特征在于,包括以下步骤:步骤1,数据采集:采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据;对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库;步骤2,聚合关联:将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录;步骤3,行为分析:针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备。2.根据权利要求1所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述步骤1包括:步骤1a,聚合域名数据:在域名解析流量数据中提取域名、源IP地址、目的IP地址和访问时间,以访问时间为维度进行时段聚合处理,构建域名时段解析记录,所述域名时段解析记录包括域名、源IP地址、目的IP地址、访问时段和访问次数;步骤1b,建立IP基础资源库:在IP基础资源数据中,提取IP地址和设备号,构建IP基础资源库;步骤1c,建立特定网络行为域名库:所述特定网络行为包括设备被劫持后用于分布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据在内共计K类行为,K ≥ 3,在网络搜索引擎中使用行为关键词爬取网站,结合局域网中历史访问行为日志,汇总筛选各类域名信息,所述域名信息包括被劫持后访问网站域名、虚拟货币挖矿平台域名、被爬取的网站域名,记第k类特定网络行为的总域名数量为L
k
,其中1 ≤ k ≤ K;最终构建包括特定网络行为和域名在内的特定网络行为域名库。3.根据权利要求2所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述步骤2包括:步骤2a,筛选获得特定网络行为域名记录:将特定网络行为域名库中的域名字段与域名时段解析记录中的域名字段进行关联处理,筛选并组合成特定网络行为域名记录,所述特定网络行为域名记录包括目标域名、特定网络行为、源IP地址、目的IP地址、访问时段和访问次数;步骤2b,构建特定网络行为设备访问记录:将特定网络行为域名记录中的源IP地址与IP基础资源库中的IP地址进行关联处理,构建特定网络行为设备访问记录,所述特定网络行为设备访问记录包括目标域名、特定网络行为、源IP地址、设备号、目的IP地址、访问时段和访问次数。4.根据权利要求3所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述步骤3包括:步骤3a,构建设备行为记录:针对特定网络行为设备访问记录,在某一时间范围内,以设备号进行分组聚合,筛选并组合成设备行为记录,所述设备行为记录包括设备号、特定网络行为、目标域名和访问次数;步骤3b,综合预警分析:通过设备行为记录数据,统计该时间范围内第k类访问行为的总设备数量M
k
和总访问次N
k
;设定该时间范围内第k类特定网络行为的总设备预警参数
和总访问次数预警参数,当或时,说明该特定网络行为达到预警处置警戒线,网络安全人员需要进行关注并分析。5.根据权利要求4所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述重点设备的筛选过程如下:通过统计设备行为记录数据,记第k类特定网络行...
【专利技术属性】
技术研发人员:嵇程,许海滨,邢欣,蔡冰,王广帧,
申请(专利权)人:国家计算机网络与信息安全管理中心江苏分中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。