CN109150819B - 一种攻击识别方法及其识别系统 - Google Patents

一种攻击识别方法及其识别系统 Download PDF

Info

Publication number
CN109150819B
CN109150819B CN201810036310.7A CN201810036310A CN109150819B CN 109150819 B CN109150819 B CN 109150819B CN 201810036310 A CN201810036310 A CN 201810036310A CN 109150819 B CN109150819 B CN 109150819B
Authority
CN
China
Prior art keywords
browse path
domain name
access
path
addressed nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810036310.7A
Other languages
English (en)
Other versions
CN109150819A (zh
Inventor
夏俊海
刘鑫琪
陈哲
丛磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Shuan Xin Yun Information Technology Co Ltd
Original Assignee
Beijing Shuan Xin Yun Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Shuan Xin Yun Information Technology Co Ltd filed Critical Beijing Shuan Xin Yun Information Technology Co Ltd
Priority to CN201810036310.7A priority Critical patent/CN109150819B/zh
Publication of CN109150819A publication Critical patent/CN109150819A/zh
Application granted granted Critical
Publication of CN109150819B publication Critical patent/CN109150819B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种攻击识别方法及其识别系统,包括以下步骤:S1:获取一域名的访问日志流,基于所述访问日志流各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;S2:根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;S3:获取一用户访问所述域名时采用该浏览路径的次数;S4:基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。

Description

一种攻击识别方法及其识别系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于路径上下文信息的攻击识别方法及其识别系统。
背景技术
目前主流的网络安全算法都是采用统计、正则匹配等方法,比如统计基于ip的pv信息、ua信息、报文大小信息、基于正则的waf算法等,然后根据某个时间窗口内的相应变量的统计信息与基准值的差异度来判断此次访问是否合法。现有的统计方法主要有如下缺点:
1、容易丢失上下文信息,缺失威胁识别的关键特征;
2、受噪声的干扰影响大,在极值或者突发情况(比如客户某个时间点做活动)会严重算法的准确率;
3、阈值设定不灵活,无法良好应对用户规模和访问量动态变化的情况。
因此,如何克服现有技术中存在的上述缺陷,成为本领域技术人员亟待解决的问题。
发明内容
本发明旨在解决现有网络安全算法中存在的特征维度不全、算法准确率下降的问题。为此,本发明首先提供了一种基于路径上下文信息的攻击识别方法。
本发明提出的攻击识别方法包括以下步骤:
S1:获取一域名的访问日志流,基于所述访问日志流各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;
S2:根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;
S3:获取一用户访问所述域名时采用该浏览路径的次数;
S4:基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。
根据本发明提出的攻击识别方法,步骤S1中基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括:
S11:确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中;
S12:确定包含一个或多个地址节点的浏览路径的最后地址节点。
根据本发明提出的攻击识别方法,当满足下述条件中任一项时,确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值;
一地址节点为关键节点;
一地址节点的前一个地址节点为关键节点。
根据本发明提出的攻击识别方法,确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值,则该地址节点为其所在浏览路径中的最后地址节点;
一地址节点的前一个地址节点为关键节点,则该地址节点为其所在浏览路径中的最后地址节点;
一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值,则该地址节点为所述浏览路径中的最后地址节点。
根据本发明提出的攻击识别方法,根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括:
其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率,uipi表示访问所述域名时采用该浏览路径的用户IP数量,uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量,n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。
根据本发明提出的攻击识别方法,确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括:
计算其中
并且其中,w表示该用户采用该浏览路径访问所述域名的威胁指数,r表示该用户访问所述域名时采用该浏览路径的次数,q表示各用户访问所述域名时采用该浏览路径的概率,且a的取值范围为0-1;若所述威胁指数大于设定指数阈值,则确定该用户采用该浏览路径对所述域名的访问为威胁访问。
本发明同时还提供一种攻击识别系统,包括:
浏览路径规律模块:用于获取一域名的访问日志流,基于所述访问日志流各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;
概率模块:与所述浏览路径规律模块相连,用于根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;
次数模块:用于获取一用户访问所述域名时采用该浏览路径的次数;
威胁程度模块:与所述概率模块和所述次数模块相连,基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。
根据本发明提出的攻击识别系统,所述浏览路径规律模块基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括:
确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中;
确定包含一个或多个地址节点的浏览路径的最后地址节点。
根据本发明提出的攻击识别系统,当满足下述条件中任一项时,确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值;
一地址节点为关键节点;
一地址节点的前一个地址节点为关键节点。
根据本发明提出的攻击识别系统,确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值,则该地址节点为其所在浏览路径中的最后地址节点;
一地址节点的前一个地址节点为关键节点,则该地址节点为其所在浏览路径中的最后地址节点;
一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值,则该地址节点为所述浏览路径中的最后地址节点。
根据本发明提出的攻击识别系统,所述概率模块根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率的方法包括:
其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率,uipi表示访问所述域名时采用该浏览路径的用户IP数量,uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量,n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。
根据本发明提出的攻击识别系统,所述威胁程度模块确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括:
计算其中
并且其中,w表示该用户采用该浏览路径访问所述域名的威胁指数,r表示该用户访问所述域名时采用该浏览路径的次数,q表示各用户访问所述域名时采用该浏览路径的概率,且a的取值范围为0-1;若所述威胁指数大于设定指数阈值,则确定该用户采用该浏览路径对所述域名的访问为威胁访问。
与现有技术相比,本发明具有以下有益效果:
本发明提出的攻击识别方法及其攻击识别系统,通过利用路径的上下文信息,丰富了特征维度;利用访问路径的重复度和罕见度,大大提高识别准确率,在多个数据集达到100%准确率;并且本发明中获得的浏览路径规律benchmark能够随着访问日志流不断自动更新,自适应线上数据的变化,鲁棒性大大提高。
参照附图来阅读对于示例性实施例的以下描述,本发明的其他特性特征和优点将变得清晰。
附图说明
并入到说明书中并且构成说明书的一部分的附图示出了本发明的实施例,并且与描述一起用于解释本发明的原理。在这些附图中,类似的附图标记用于表示类似的要素。下面描述中的附图是本发明的一些实施例,而不是全部实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他的附图。
图1描绘了本发明中域名、URI节点和路径的关系示意图;
图2为本发明的攻击识别方法的整体流程图;
图3为本发明一具体实施例中对整体访问路径进行分割的流程图;
图4为本发明的攻击识别系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为了判断一个web请求是否为恶意访问,首先需要清楚网站域名和URI节点、路径之间的关系,请参阅图1。通常,一个域名下包含多个URI链接,本发明将每一个URI链接视为一个节点,因此一个域名下可包含多个URI节点。而路径通俗来说就是用户访问不同网页的顺序,对于某个特定网页,用户可能会通过不同的浏览顺序进入,也就是说同一个节点对应多条不同的路径。图1详细描述了本发明路径模型的关系,即一个域名下包含多个URI节点,每一个URI节点对应多条路径。
在图1所示路径模型的基础上,本发明提出了一种攻击识别方法,如图2所示,包括以下步骤:
S1:获取一域名的访问日志流,基于所述访问日志流各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;
S2:根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;
S3:获取一用户访问所述域名时采用该浏览路径的次数;
S4:基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。
其中,根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括:
其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率,uipi表示访问所述域名时采用该浏览路径的用户IP数量,uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量,n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。
确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括:
计算其中
并且其中,w表示该用户采用该浏览路径访问所述域名的威胁指数,r表示该用户访问所述域名时采用该浏览路径的次数,q表示各用户访问所述域名时采用该浏览路径的概率,且a的取值范围为0-1;若所述威胁指数大于设定指数阈值,则确定该用户采用该浏览路径对所述域名的访问为威胁访问。
本发明步骤S1中的浏览路径规律是基于去掉了静态资源的日志流进行统计的。由于web访问的固有特性,包含比如.jpg图片资源以及js脚本等内容在内的静态资源呈现出短时高频的特点,系统在一秒钟之内可能加载很多这种静态资源,每一条都是一条日志,这样大量的无规则日志会导致算法计算不出规律性。所以本发明将这类静态资源视为干扰项进行去除。通常一个web访问不会仅仅包含静态资源一个元素,所以可以根据除静态资源以外的信息进行计算。
根据本发明提供的攻击识别方法,其中步骤S1包括以下过程:
S11:确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中;
S12:确定包含一个或多个地址节点的浏览路径的最后地址节点。
根据本发明提供的攻击识别方法,其中,当满足下述条件中任一项时,确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值;
一地址节点为关键节点;
一地址节点的前一个地址节点为关键节点。
本发明中所述的地址节点指的是访问域名下某一资源或者某一页面时的地址,例如URI地址节点。
具体的,本发明是通过节点流量I的大小来确定URI节点是否为关键节点(keynode):
I=pv×uip
上式中pv代表页面浏览量,uip代表访问的IP数量。当I大于一定阈值时,则视为关键节点。也可根据计算出的流量I按照从大到小的顺序对节点进行排序,按照实际需要将前K个节点作为关键节点。
根据本发明提供的攻击识别方法,其中,确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值,则该地址节点为其所在浏览路径中的最后地址节点;
一地址节点的前一个地址节点为关键节点,则该地址节点为其所在浏览路径中的最后地址节点;
一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值,则该地址节点为所述浏览路径中的最后地址节点。
在一具体实施例中,本发明统计访问规律的步骤如下所示:
S120:接收日志流中的一条日志,将所述日志中的URI节点作为当前节点;
S121:判断当前URI节点与上一个URI节点的间隔时间是否超过第一阈值:若是,记录当前URI节点并输出一条访问路径,清空内存;若否,执行步骤S122;
S122:判断当前URI节点是否为关键节点:若是,记录当前URI节点并转至步骤S124;若否,转至步骤S123;
S123:判断上一个URI节点是否为关键节点:若是,记录当前URI节点并输出一条访问路径,清空内存;若否,转至步骤S124;
S124:判断记录的节点个数是否超过第二阈值:若是,记录当前URI节点并输出一条访问路径,清空内存,转至步骤S120;若否,不记录当前URI节点,转至步骤120。
图3描绘了本发明一具体实施例中对整体访问路径进行分割的流程图。如图3所示,本发明规定每条访问路径的长度维持在L之内,来保存某个用户按时间顺序访问的节点,即一条访问路径中记录的节点个数不超过L个。当长度超过L的时候,弹出最早的节点,保持长度维持在L。首先,如果前后两个节点的访问时间间隔超过一定阈值比如30s,则记录当前节点,当前访问路径结束,即将队列里的路径输出保存至数据库,清空队列重新统计;如果当前节点是keynode,那么将当前节点计入访问路径,继续对下一节点进行判断统计,直至访问路径的长度达到L;如果当前节点不是keynode,考察当前访问路径里最后一个节点是否是keynode:如果是,则记录当前节点,并将当前访问路径输出,清空队列重新统计;否则,将当前节点加入队尾。反复进行这一过程,到了一定日志量,就能统计出反应某域名下的浏览路径规律,称为benchmark。
接下来进行路径识别的过程如下:
统计某用户在短时间窗口W时间内的路径上下文信息(路径切分方法和benchmark保持一致)。比如某用户访问了一条路径i,并且该路径的重复次数为r,则根据benchmark的记录,该路径i的稀有度q的计算公式如下:
上式中uipi代表访问路径i的IP数量,k表示终止于路径i的最后节点的路径,n代表终止于路径i的最后节点的所有路径条数。
那么该用户此次访问的威胁程度w用以下公式表示:
其中r代表用户访问第i条访问路径的重复次数;a表示取值为0-1的抑制系数。
在本发明一具体实施例中,规定当w的阈值大于0.8时,视为威胁访问;否则属于正常访问。
根据本发明的另一方面,还提出了一种基于路径上下文的攻击识别系统,包括:
浏览路径规律模块:用于获取一域名的访问日志流,基于所述访问日志流各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;
概率模块:与所述浏览路径规律模块相连,用于根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;
次数模块:用于获取一用户访问所述域名时采用该浏览路径的次数;
威胁程度模块:与所述概率模块和所述次数模块相连,基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。
根据本发明提出的攻击识别系统,所述浏览路径规律模块基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括:
确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中;
确定包含一个或多个地址节点的浏览路径的最后地址节点。
根据本发明提出的攻击识别系统,其中,当满足下述条件中任一项时,确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值;
一地址节点为关键节点;
一地址节点的前一个地址节点为关键节点。
根据本发明提出的攻击识别系统,其中,确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值,则该地址节点为其所在浏览路径中的最后地址节点;
一地址节点的前一个地址节点为关键节点,则该地址节点为其所在浏览路径中的最后地址节点;
一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值,则该地址节点为所述浏览路径中的最后地址节点。
根据本发明提出的攻击识别系统,其中,所述概率模块根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率的方法包括:
其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率,uipi表示访问所述域名时采用该浏览路径的用户IP数量,uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量,n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。
根据本发明提出的攻击识别系统,其中,所述威胁程度模块确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括:
计算其中
并且其中,w表示该用户采用该浏览路径访问所述域名的威胁指数,r表示该用户访问所述域名时采用该浏览路径的次数,q表示各用户访问所述域名时采用该浏览路径的概率,且a的取值范围为0-1;若所述威胁指数大于设定指数阈值,则确定该用户采用该浏览路径对所述域名的访问为威胁访问。
综上所述,本发明提出的攻击识别方法及其攻击识别系统,通过利用路径的上下文信息,丰富了特征维度;利用访问路径的重复度和罕见度,大大提高识别准确率,在多个数据集达到100%准确率;并且本发明中获得的浏览路径规律benchmark能够随着访问日志流不断自动更新,自适应线上数据的变化,鲁棒性大大提高。
上面描述的内容可以单独地或者以各种方式组合起来实施,而这些变型方式都在本发明的保护范围之内。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种攻击识别方法,其特征在于,包括以下步骤:
S1:获取一域名的访问日志流,基于去掉了静态资源的访问日志流获取各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;
S2:根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;
S3:获取一用户访问所述域名时采用该浏览路径的次数;
S4:基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。
2.根据权利要求1所述的攻击识别方法,其特征在于,步骤S1中基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括:
S11:确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中;
S12:确定包含一个或多个地址节点的浏览路径的最后地址节点,
其中,当满足下述条件中任一项时,确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值;
一地址节点为关键节点;
一地址节点的前一个地址节点为关键节点,
其中,通过以下方式之一确定关键节点:
将节点流量I大于指定阈值的节点确定为关键节点;
将流量I按照从大到小的顺序对节点进行排序,将前K个节点确定为关键节点,
其中,I=pv×uip,pv代表页面浏览量,uip代表访问的IP数量。
3.根据权利要求2所述的攻击识别方法,其特征在于,确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值,则该地址节点为其所在浏览路径中的最后地址节点;
一地址节点的前一个地址节点为关键节点,则该地址节点为其所在浏览路径中的最后地址节点;
一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值,则该地址节点为所述浏览路径中的最后地址节点。
4.根据权利要求1所述的攻击识别方法,其特征在于,根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括:
其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率,uipi表示访问所述域名时采用该浏览路径的用户IP数量,uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量,n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。
5.根据权利要求4所述的攻击识别方法,其特征在于,确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括:
计算其中
并且其中,w表示该用户采用该浏览路径访问所述域名的威胁指数,r表示该用户访问所述域名时采用该浏览路径的次数,q表示各用户访问所述域名时采用该浏览路径的概率,且a的取值范围为0-1;若所述威胁指数大于设定指数阈值,则确定该用户采用该浏览路径对所述域名的访问为威胁访问。
6.一种攻击识别系统,其特征在于,包括:
浏览路径规律模块:用于获取一域名的访问日志流,基于去掉了静态资源的访问日志流获取各用户在访问所述域名时的浏览路径信息,并基于所述浏览路径信息确定该域名的浏览路径规律;
概率模块:与所述浏览路径规律模块相连,用于根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率;
次数模块:用于获取一用户访问所述域名时采用该浏览路径的次数;
威胁程度模块:与所述概率模块和所述次数模块相连,基于所述次数和所述概率,确定所述用户采用所述浏览路径访问所述域名的威胁程度。
7.根据权利要求6所述的攻击识别系统,其特征在于,所述浏览路径规律模块基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括:
确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中;
确定包含一个或多个地址节点的浏览路径的最后地址节点,
其中,当满足下述条件中任一项时,确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值;
一地址节点为关键节点;
一地址节点的前一个地址节点为关键节点,
其中,通过以下方式之一确定关键节点:
将节点流量I大于指定阈值的节点确定为关键节点;
将流量I按照从大到小的顺序对节点进行排序,将前K个节点确定为关键节点,
其中,I=pv×uip,pv代表页面浏览量,uip代表访问的IP数量。
8.根据权利要求7所述的攻击识别系统,其特征在于,确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项:
一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值,则该地址节点为其所在浏览路径中的最后地址节点;
一地址节点的前一个地址节点为关键节点,则该地址节点为其所在浏览路径中的最后地址节点;
一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值,则该地址节点为所述浏览路径中的最后地址节点。
9.根据权利要求6所述的攻击识别系统,其特征在于,所述概率模块根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率的方法包括:
其中qi表示各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率,uipi表示访问所述域名时采用该浏览路径的用户IP数量,uipk表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的用户IP数量,n表示访问所述域名时采用的浏览路径与该浏览路径具有相同最后地址节点的路径数量。
10.根据权利要求9所述的攻击识别系统,其特征在于,所述威胁程度模块确定该用户采用该浏览路径访问所述域名的威胁程度的方法包括:
计算其中
并且其中,w表示该用户采用该浏览路径访问所述域名的威胁指数,r表示该用户访问所述域名时采用该浏览路径的次数,q表示各用户访问所述域名时采用该浏览路径的概率,且a的取值范围为0-1;若所述威胁指数大于设定指数阈值,则确定该用户采用该浏览路径对所述域名的访问为威胁访问。
CN201810036310.7A 2018-01-15 2018-01-15 一种攻击识别方法及其识别系统 Active CN109150819B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810036310.7A CN109150819B (zh) 2018-01-15 2018-01-15 一种攻击识别方法及其识别系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810036310.7A CN109150819B (zh) 2018-01-15 2018-01-15 一种攻击识别方法及其识别系统

Publications (2)

Publication Number Publication Date
CN109150819A CN109150819A (zh) 2019-01-04
CN109150819B true CN109150819B (zh) 2019-06-11

Family

ID=64801611

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810036310.7A Active CN109150819B (zh) 2018-01-15 2018-01-15 一种攻击识别方法及其识别系统

Country Status (1)

Country Link
CN (1) CN109150819B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111464480A (zh) * 2019-01-18 2020-07-28 华为技术有限公司 一种访问请求处理方法及装置
CN113381963B (zh) * 2020-02-25 2024-01-02 深信服科技股份有限公司 一种域名检测方法、装置和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102916935A (zh) * 2011-08-04 2013-02-06 深圳华强电子交易网络有限公司 一种网站内容防抓取的方法
CN105871734A (zh) * 2015-01-22 2016-08-17 阿里巴巴集团控股有限公司 获取本地域名系统流量分布信息的方法和装置
CN107306259A (zh) * 2016-04-22 2017-10-31 腾讯科技(深圳)有限公司 网页页面访问中的攻击检测方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105141573B (zh) * 2015-06-11 2018-12-04 杭州安恒信息技术有限公司 一种基于web访问合规性审计的安全防护方法和系统
CN105704260B (zh) * 2016-04-14 2019-05-21 上海牙木通讯技术有限公司 一种互联网流量来源去向的分析方法
CN105915555B (zh) * 2016-06-29 2020-02-18 北京奇虎科技有限公司 网络异常行为的检测方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102916935A (zh) * 2011-08-04 2013-02-06 深圳华强电子交易网络有限公司 一种网站内容防抓取的方法
CN105871734A (zh) * 2015-01-22 2016-08-17 阿里巴巴集团控股有限公司 获取本地域名系统流量分布信息的方法和装置
CN107306259A (zh) * 2016-04-22 2017-10-31 腾讯科技(深圳)有限公司 网页页面访问中的攻击检测方法和装置

Also Published As

Publication number Publication date
CN109150819A (zh) 2019-01-04

Similar Documents

Publication Publication Date Title
CN104426713B (zh) 网络站点访问效果数据的监测方法和装置
CN103731284B (zh) 关联多个网络帐号的方法和系统
TWI738721B (zh) 任務調度方法和裝置
CN111782692B (zh) 一种频率控制方法及装置
CN112016030B (zh) 消息推送的方法、装置、服务器和计算机存储介质
CN108366012B (zh) 一种社交关系建立方法、装置及电子设备
CN110932933B (zh) 网络状况监测方法、计算设备及计算机存储介质
CN113726783B (zh) 异常ip地址识别方法、装置、电子设备及可读存储介质
CN109766394A (zh) 度量平台数据查询方法及装置、可读存储介质及终端
CN111143158A (zh) 一种监控数据实时存储方法、系统、电子设备及存储介质
CN109150819B (zh) 一种攻击识别方法及其识别系统
CN104184601B (zh) 用户在线时长的获取方法及装置
CN111984495A (zh) 一种大数据监控方法、装置和存储介质
CN111381988A (zh) 一种请求限速方法、装置、电子设备及存储介质
WO2016165542A1 (zh) 缓存命中率分析的方法及设备
CN107741949A (zh) 积分方法、装置、存储介质和处理器
CN103595747A (zh) 用户信息推荐方法和系统
CN107239542A (zh) 一种数据统计方法、装置、服务器及存储介质
CN112131005B (zh) 一种资源调整策略确定方法和装置
WO2017000592A1 (zh) 数据处理方法、装置及系统
CN109818921A (zh) 一种网站接口非正常流量的分析方法及装置
CN103916463B (zh) 一种网络访问统计分析方法及系统
CN113657635B (zh) 一种预测通信用户流失的方法及电子设备
CN114417200A (zh) 网络数据的采集方法、装置及电子设备
Liu et al. Defense against malicious URL spreading in micro‐blog network with hub nodes

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB03 Change of inventor or designer information
CB03 Change of inventor or designer information

Inventor after: Xia Junhai

Inventor after: Liu Xinqi

Inventor after: Chen Zhe

Inventor after: Cong Lei

Inventor before: Xia Junhai

Inventor before: Liu Xinqi

Inventor before: Chen Zhe

Inventor before: Cong Lei

GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40001417

Country of ref document: HK