CN110572402A - 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质 - Google Patents

Abstract

本发明公开了一种基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质，该方法定时提取网络流量中的互联网访问行为特征，并利用将提取的特征计算每个被访问的互联网网址是企业托管网站的概率，实现网站托管检测，以辅助企业安全技术人员进行判断。本方案深度结合企业的一般网络拓扑特点，基于网络流量分析互联网托管网站的访问行为特征，不依赖企业关键词库，无需对网络流量包的负载进行关键词匹配，运算效率高且准确率高。

Description

基于网络访问行为分析的互联网托管网站检测方法、系统和 可读存储介质

技术领域

本发明涉及网络安全领域，特别涉及一种基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质。

背景技术

企业的信息系统存储着企业敏感数据，若将企业信息系统部署在互联网服务器中，则其不受企业网络安全监管和保护，容易受黑客攻击，导致信息泄露甚至数据被篡改等恶劣影响。具有服务器设备及自主运维能力的大型企业通常禁止信息系统的互联网托管行为。

目前企业对互联网托管网站的监测技术手段比较单一，主要依靠从互联网爬取数据并进行分析。这种方式的准确性很大程度上取决于所爬取网络数据来源是否丰富，而越丰富的网络数据来源意味着越海量的数据，越海量的数据就需要规模越大的网络爬虫集群规模以及网络带宽来进行数据分析，这对于企业来说成本过高，性价比过低。另外，爬虫数据分析主要依靠关键词匹配等文本分析技术，难以为企业准确定制网站关键词特征库，例如国家电网公司的托管网站为了隐蔽自己可能并不会含有“电力”“电网”等关键词。

发明内容

本发明提出了一种基于网络访问行为分析的互联网托管网站检测方法，该方法定时提取网络流量中的互联网访问行为特征，并利用将提取的特征计算每个被访问的互联网网址是企业托管网站的概率，实现网站托管检测，以辅助企业安全技术人员进行判断。

一种基于网络访问行为分析的互联网托管网站检测方法，包括以下步骤：

步骤1：提取访问数据包；

从企业互联网出口处筛选出使用http或https协议的数据包，并从中提取每个数据包的位于企业内网的源IP、目的端口、位于互联网的host字段、访问路径path字段以及http方法与字符串；并且利用公司IP分配表查询源IP的所属下级机构代码；

步骤2：对提取的访问数据包中的信息进行统计与记录；

统计在设定的单位时间内每个互联网host的被访问数据，记录包括每个源IP的访问次数、源IP所属机构代码、访问路径path字段中是否包含“login”、“authen”以及“logon”关键字、http方法是否为“post”、host字符串是否仅包含数字；

访问路径path字段中包含“login”、“authen”以及“logon”中任一关键字表示该互联网host支持用户登录行为；

若host字符串仅包含数字，说明该网站未购买域名，托管网站倾向于不使用域名；

步骤3：提取host访问特征；

(1)归一化访问源IP熵：

其中，total_acce_times为当前host被访问的总次数，IP_acce_times_i为第i个源IP访问当前host的次数，IP_num是访问当前host的源IP总个数；

(2)归一化访问源所属下级机构熵：

其中，total_acce_times为当前host被访问的总次数，dep_acce_times_i为第i个源IP所属下级机构访问当前host的次数，dep_num是访问当前host的源IP所属下级机构总数；

(3)计算源IP访问次数的归一化RANK值：RANK/100；

对所有源IP按访问次数排序，访问次数小于K的源IP RANK值定为0，访问次数大于等于设定次数K的源IP按序平分为99个区段，源IP访问次数所在的区段即为该源IP访问次数的RANK值；

访问次数越多，RANK值相对越高，源IP访问次数的归一化RANK值，取值范围为[0,1)。

步骤4：计算每个被访问host为互联网托管的分值；

score＝(1-S_IP)*0.1+(1-S_dep)*0.15+(S_IP-S_dep)*0.15+num_url_flag*0.1+path_login_flag*0.2+post_method_flag*0.1+acce_times_rank*0.2

公式中各部分的权值是由该部分与host是否为互联网托管网站的相关性决定的；

其中，score为最终计算的被访问的host为互联网托管网站的分值，取值为[0,1]；S_IP为归一化访问源IP熵；S_dep为归一化访问源IP所属下级机构熵；num_url_flag表示host字符串是否仅包含数字标签，取值为0或1；path_login_flag表示path中是否包含“login/authen/logon”关键字标签，取值为0或1；post_method_flag表示对互联网Host的请求中是否包含POST方法标签，取值为0或1；acce_times_rank是源IP访问次数的归一化RANK值，取值为{0,0.01,0.02......0.99}；

步骤5：将在设定的单位时间内SCORE值排在前20位的被访问的host，判定为host疑似互联网托管。

score值越高的互联网Host越有可能是公司的互联网托管网站，公司的安全管理员可以此为依据，重点核查具有较高score值的网址，根据网站中的内容是否与公司业务相关或是否存储了公司相关数据来获得最终判断。

进一步地，K取值为4。

4为经验值，为了排除大量偶然访问请求对RANK值的影响。

一种基于网络访问行为分析的互联网托管网站检测系统，包括：

公司出口流量探针，用于从企业互联网出口处筛选出使用http或https协议的数据包，并从中提取每个数据包的位于企业内网的源IP、目的端口、位于互联网的host字段、访问路径path字段以及http方法与字符串；并且利用公司IP分配表查询源IP的所属下级机构代码；

访问统计单元，从公司出口流量探针服务器中获得访问数据进行统计；

访问特征提取单元，从访问统计单元中提取访问特征，所述访问特征包括：归一化访问源IP熵、归一化访问源所属下级机构熵以及源IP访问次数的归一化RANK值；

互联网托管网站分值计算单元，利用访问特征提取单元提取的访问特征，计算每个被访问host为互联网托管的分值，并找出在设定的单位时间内SCORE值排在前20位的被访问的host，给出host疑似互联网托管的检测结论。

进一步地，所述访问特征的计算公式如下：

(1)归一化访问源IP熵：

其中，total_acce_times为当前host被访问的总次数，IP_acce_times_i为第i个源IP访问当前host的次数，IP_num是访问当前host的源IP总个数；

(2)归一化访问源所属下级机构熵：

其中，total_acce_times为当前host被访问的总次数，dep_acce_times_i为第i个源IP所属下级机构访问当前host的次数，dep_num是访问当前host的源IP所属下级机构总数；

(3)计算源IP访问次数的归一化RANK值：RANK/100；

对所有源IP按访问次数排序，访问次数小于K的源IP RANK值定为0，访问次数大于等于设定次数K的源IP按序平分为99个区段，源IP访问次数所在的区段即为该源IP访问次数的RANK值。

进一步地，所述每个被访问host为互联网托管的分值按以下公式计算：

score＝(1-S_IP)*0.1+(1-S_dep)*0.15+(S_IP-S_dep)*0.15+num_url_flag*0.1+path_login_flag*0.2+post_method_flag*0.1+acce_times_rank*0.2。

此外，本发明还提供一种可读存储介质，包括计算机程序指令，所述计算机程序指令被处理终端执行时使所述处理终端执行上述一种基于网络访问行为分析的互联网托管网站检测方法。

有益效果

本发明公开了一种基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质，该方法定时提取网络流量中的互联网访问行为特征，并利用将提取的特征计算每个被访问的互联网网址是企业托管网站的概率，实现网站托管检测，以辅助企业安全技术人员进行判断。本方案深度结合企业的一般网络拓扑特点,基于网络流量分析互联网托管网站的访问行为特征,不依赖企业关键词库，无需对网络流量包的负载进行关键词匹配，运算效率高且准确率高。相较于现有技术中互联网托管网站检测主要依靠从互联网爬取数据并进行关键字匹配，全网爬虫这种方式非常消耗计算资源，而且难以为企业准确定制网站关键词特征库,检测准确性难以保证。本发明能够在消耗较少计算资源的前提下，辅助企业排查其是否存在互联网的托管网站,防止企业由于互联网托管发生数据泄漏。

附图说明

图1为本发明实例所述方法的流程示意图；

图2为本发明实施的基于网络访问行为分析的互联网托管网站检测系统示意图。

具体实施方式

下面将结合附图和实施例对本发明做进一步的说明。

图1是本发明实施的基于网络访问行为分析的互联网托管网站检测方法框架流程图。本方法首先从镜像的网络流量中过滤出http及https协议的数据包，再从访问数据包中提取包括源IP(位于企业内网)、目的端口、host字段(位于互联网)、访问路径(path字段)、http方法在内的信息。这些数据包信息将进一步聚合成指定指定时间内的访问行为统计信息，包括每个访问源IP的访问次数、源IP所在部门代码、http方法是否为‘post’等。将数据包信息及统计信息输入多个访问特征提取模块，获取归一化源IP熵、归一化源部门熵、以及源IP访问次数的归一化RANK值。最后，通过合理设置不同统计信息及访问特征的权重，综合加权计算得到。

一种基于网络访问行为分析的互联网托管网站检测方法，包括以下步骤：

步骤1：提取访问数据包；

从企业互联网出口处筛选出使用http或https协议的数据包，并从中提取每个数据包的位于企业内网的源IP、目的端口、位于互联网的host字段、访问路径path字段以及http方法与字符串；并且利用公司IP分配表查询源IP的所属下级机构代码；

步骤2：对提取的访问数据包中的信息进行统计与记录；

统计在设定的单位时间内每个互联网host的被访问数据，记录包括每个源IP的访问次数、源IP所属机构代码、访问路径path字段中是否包含“login”、“authen”以及“logon”关键字、http方法是否为“post”、host字符串是否仅包含数字；

访问路径path字段中包含“login”、“authen”以及“logon”中任一关键字表示该互联网host支持用户登录行为；

若host字符串仅包含数字，说明该网站未购买域名，托管网站倾向于不使用域名；

记录格式与示例如下表所示：

步骤3：提取host访问特征；

(1)归一化访问源IP熵：

其中，total_acce_times为当前host被访问的总次数，IP_acce_times_i为第i个源IP访问当前host的次数，IP_num是访问当前host的源IP总个数；

(2)归一化访问源所属下级机构熵：

其中，total_acce_times为当前host被访问的总次数，dep_acce_times_i为第i个源IP所属下级机构访问当前host的次数，dep_num是访问当前host的源IP所属下级机构总数；

(3)计算源IP访问次数的归一化RANK值：RANK/100；

对所有源IP按访问次数排序，访问次数小于K的源IP RANK值定为0，访问次数大于等于设定次数K的源IP按序平分为99个区段，源IP访问次数所在的区段即为该源IP访问次数的RANK值；

访问次数越多，RANK值相对越高，源IP访问次数的归一化RANK值，取值范围为[0,1)。

步骤4：计算每个被访问host为互联网托管的分值；

score＝(1-S_IP)*0.1+(1-S_dep)*0.15+(S_IP-S_dep)*0.15+num_url_flag*0.1+path_login_flag*0.2+post_method_flag*0.1+acce_times_rank*0.2

公式中各部分的权值是由该部分与host是否为互联网托管网站的相关性决定的；

其中，score为最终计算的被访问的host为互联网托管网站的分值，取值为[0,1]；S_IP为归一化访问源IP熵；S_dep为归一化访问源IP所属下级机构熵；num_url_flag表示host字符串是否仅包含数字标签，取值为0或1；path_login_flag表示path中是否包含“login/authen/logon”关键字标签，取值为0或1；post_method_flag表示对互联网Host的请求中是否包含POST方法标签，取值为0或1；acce_times_rank是源IP访问次数的归一化RANK值，取值为{0,0.01,0.02......0.99}；

步骤5：将在设定的单位时间内SCORE值排在前20位的被访问的host，判定为host疑似互联网托管。

score值越高的互联网Host越有可能是公司的互联网托管网站，公司的安全管理员可以此为依据，重点核查具有较高score值的网址，根据网站中的内容是否与公司业务相关或是否存储了公司相关数据来获得最终判断。

在本实例中，K取值为4，4为经验值，为了排除大量偶然访问请求对RANK值的影响。

基于本实例所述的检测方法，一种基于网络访问行为分析的互联网托管网站检测系统，包括：

公司出口流量探针，用于从企业互联网出口处筛选出使用http或https协议的数据包，并从中提取每个数据包的位于企业内网的源IP、目的端口、位于互联网的host字段、访问路径path字段以及http方法与字符串；并且利用公司IP分配表查询源IP的所属下级机构代码；

访问统计单元，从公司出口流量探针服务器中获得访问数据进行统计；

访问特征提取单元，从访问统计单元中提取访问特征，所述访问特征包括：归一化访问源IP熵、归一化访问源所属下级机构熵以及源IP访问次数的归一化RANK值；

互联网托管网站分值计算单元，利用访问特征提取单元提取的访问特征，计算每个被访问host为互联网托管的分值，并找出在设定的单位时间内SCORE值排在前20位的被访问的host，给出host疑似互联网托管的检测结论。

图2是本发明实施的基于网络访问行为分析的互联网托管网站检测工具部署示意图，本方法的访问数据包信息提取探针服务器部署于公司互联网出口处，镜像公司互联网访问流量并提取所需字段信息。探针服务器将提取的字段信息传回互联网托管网站检测服务器，检测服务器将完成访问信息统计聚合、访问特征提取、计算互联网托管网站概率等步骤。若公司具有多个互联网出口，此架构可支持多个探针服务器将信息传回检测服务器进行统一分析的功能。

应当理解，本发明各个实施例中的功能单元模块可以集中在一个处理单元中，也可以是各个单元模块单独物理存在，也可以是两个或两个以上的单元模块集成在一个单元模块中，可以采用硬件或软件的形式来实现。

本发明实施例还提供一种可读存储介质，包括计算机程序指令，所述计算机程序指令被处理终端执行时使所述处理终端执行所述矿物绝缘油老化的表征方法，其有益效果参见方法部分的有益效果，在此不再赘述。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims (6)

1.一种基于网络访问行为分析的互联网托管网站检测方法，其特征在于，包括以下步骤：

步骤1：提取访问数据包；

从企业互联网出口处筛选出使用http或https协议的数据包，并从中提取每个数据包的位于企业内网的源IP、目的端口、位于互联网的host字段、访问路径path字段以及http方法与字符串；并且利用公司IP分配表查询源IP的所属下级机构代码；

步骤2：对提取的访问数据包中的信息进行统计与记录；

统计在设定的单位时间内每个互联网host的被访问数据，记录包括每个源IP的访问次数、源IP所属机构代码、访问路径path字段中是否包含“login”、“authen”以及“logon”关键字、http方法是否为“post”、host字符串是否仅包含数字；

步骤3：提取host访问特征；

(1)归一化访问源IP熵：

其中，total_acce_times为当前host被访问的总次数，IP_acce_times_i为第i个源IP访问当前host的次数，IP_num是访问当前host的源IP总个数；

(2)归一化访问源所属下级机构熵：

其中，total_acce_times为当前host被访问的总次数，dep_acce_times_i为第i个源IP所属下级机构访问当前host的次数，dep_num是访问当前host的源IP所属下级机构总数；

(3)计算源IP访问次数的归一化RANK值：RANK/100；

对所有源IP按访问次数排序，访问次数小于K的源IP RANK值定为0，访问次数大于等于设定次数K的源IP按序平分为99个区段，源IP访问次数所在的区段即为该源IP访问次数的RANK值；

步骤4：计算每个被访问host为互联网托管的分值；

score＝(1-S_IP)*0.1+(1-S_dep)*0.15+(S_IP-S_dep)*0.15+num_url_flag*0.1+path_login_flag*0.2+post_method_flag*0.1+acce_times_rank*0.2

其中，score为最终计算的被访问的host为互联网托管网站的分值，取值为[0,1]；S_IP为归一化访问源IP熵；S_dep为归一化访问源IP所属下级机构熵；num_url_flag表示host字符串是否仅包含数字标签，取值为0或1；path_login_flag表示path中是否包含“login/authen/logon”关键字标签，取值为0或1；post_method_flag表示对互联网Host的请求中是否包含POST方法标签，取值为0或1；acce_times_rank是源IP访问次数的归一化RANK值，取值为{0,0.01,0.02......0.99}；

步骤5：将在设定的单位时间内SCORE值排在前20位的被访问的host，判定为host疑似互联网托管。

2.根据权利要求1所述的方法，其特征在于，K取值为4。

3.一种基于网络访问行为分析的互联网托管网站检测系统，包括：

公司出口流量探针，用于从企业互联网出口处筛选出使用http或https协议的数据包，并从中提取每个数据包的位于企业内网的源IP、目的端口、位于互联网的host字段、访问路径path字段以及http方法与字符串；并且利用公司IP分配表查询源IP的所属下级机构代码；

访问统计单元，从公司出口流量探针服务器中获得访问数据进行统计；

访问特征提取单元，从访问统计单元中提取访问特征，所述访问特征包括：归一化访问源IP熵、归一化访问源所属下级机构熵以及源IP访问次数的归一化RANK值；

互联网托管网站分值计算单元，利用访问特征提取单元提取的访问特征，计算每个被访问host为互联网托管的分值，并找出在设定的单位时间内SCORE值排在前20位的被访问的host，给出host疑似互联网托管的检测结论。

4.根据权利要求3所述的系统，其特征在于，所述访问特征的计算公式如下：

(1)归一化访问源IP熵：

其中，total_acce_times为当前host被访问的总次数，IP_acce_times_i为第i个源IP访问当前host的次数，IP_num是访问当前host的源IP总个数；

(2)归一化访问源所属下级机构熵：

其中，total_acce_times为当前host被访问的总次数，dep_acce_times_i为第i个源IP所属下级机构访问当前host的次数，dep_num是访问当前host的源IP所属下级机构总数；

(3)计算源IP访问次数的归一化RANK值：RANK/100；

对所有源IP按访问次数排序，访问次数小于K的源IP RANK值定为0，访问次数大于等于设定次数K的源IP按序平分为99个区段，源IP访问次数所在的区段即为该源IP访问次数的RANK值。

5.根据权利要求4所述的系统，其特征在于，所述每个被访问host为互联网托管的分值按以下公式计算：

score＝(1-S_IP)*0.1+(1-S_dep)*0.15+(S_IP-S_dep)*0.15+num_url_flag*0.1+path_login_flag*0.2+post_method_flag*0.1+acce_times_rank*0.2。

6.一种可读存储介质，包括计算机程序指令，其特征在于：所述计算机程序指令被处理终端执行时使所述处理终端执行权利要求1至2任一项所述的方法。