CN114338236A - 一种防火墙入侵数据分析方法及装置 - Google Patents
一种防火墙入侵数据分析方法及装置 Download PDFInfo
- Publication number
- CN114338236A CN114338236A CN202210188955.9A CN202210188955A CN114338236A CN 114338236 A CN114338236 A CN 114338236A CN 202210188955 A CN202210188955 A CN 202210188955A CN 114338236 A CN114338236 A CN 114338236A
- Authority
- CN
- China
- Prior art keywords
- state transition
- firewall
- data
- transition diagram
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明提供一种防火墙入侵数据分析方法及装置,包括初始化阶段:通过防火墙收集历史用户访问数据;将访问数据组织成状态转移图;筛选出转移次数小于第一阈值的转移边;根据筛选出转移次数小于第一阈值的转移边修改内网系统;运行阶段:以时间T为移动窗口,通过防火墙收集用户访问数据;将时间窗口T内的用户访问数据形成运行期状态转移图;将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。本发明可解决普通防火墙无法检测黑客动态入侵的技术问题。
Description
技术领域
本发明涉及网络技术领域,并且更具体地,涉及一种防火墙入侵数据分析方法及装置。
背景技术
近年来,随着大数据、移动互联网、云计算等新兴技术的发展,计算机网络已成为信息化建设的支撑性基础设施。但是,随着网络规模爆发式地增长,内部网络也面临越来越多的外部威胁,因此多数网络用户会选择使用防火墙来减少外部入侵。
但是,目前防火墙技术以静态防御为主,常见的如包过滤防火墙、基于规则的防火墙等,其基本原理都是基于既定的预设配置文件,将不满足规则的数据拦截下来,但这类防火墙只能抵御自动化攻击,如ddos攻击、暴力破解攻击等,并且由于采用了逐包过滤的策略,效率非常低;同时,对于非法用户的非法访问 则无法检测,如通过SQl注入、目录遍历等手段入侵系统后,其访问数据看起来和正常用户类似,目前的防火墙难以发现此类入侵。
发明内容
为了解决目前防火墙无法检测非法访问的技术问题,本申请提供一种防火墙入侵数据分析方法和装置。
根据本发明的一个方面,提供一种防火墙入侵数据分析方法,其特征在于包括如下步骤:初始化阶段:步骤S100,通过防火墙收集历史用户访问数据;步骤S102,将访问数据组织成状态转移图;步骤S104,筛选出转移次数小于第一阈值的转移边;步骤S106,根据筛选出转移次数小于第一阈值的转移边修改内网系统;步骤S108,重复运行步骤S100至步骤S106,直到获得的状态转移图中无转移次数小于第一阈值的转移边,并将此时的状态转移图确定为初始状态转移图;运行阶段:步骤S200,以时间T为移动窗口,通过防火墙收集用户访问数据;步骤S202,将时间窗口T内的用户访问数据形成运行期状态转移图;步骤S204,将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。
进一步地,步骤S100与步骤S102之间还包括:步骤S101,将步骤S100收集的用户访问数据按照目标地址进行聚类;步骤S200与步骤S202之间还包括:步骤S201,将步骤S200收集的用户访问数据按照目标地址进行聚类。
进一步地,步骤S100与步骤S102之间还包括:步骤S101,将步骤S100收集的用户访问数据按照用户类型进行聚类;步骤S200与步骤S202之间还包括:步骤S201,将步骤S200收集的用户访问数据按照用户类型进行聚类。
进一步地:所述防火墙为应用层防火墙或网络层防火墙。
根据本发明的一个方面,提供一种防火墙入侵数据分析装置,包括如下模块:初始化模块:数据收集模块,用于通过防火墙收集历史用户访问数据;状态转移图生成模块,用于将访问数据组织成状态转移图筛选模块,用于筛选出转移次数小于第一阈值的转移边;修改模块,用于根据筛选出转移次数小于第一阈值的转移边修改内网系统;重复运行模块,重复依次运行前述模块,直到获得的状态转移图中无转移次数小于第一阈值的转移边,并将此时的状态转移图确定为初始状态转移图;运行模块:运行数据收集模块,以时间T为移动窗口,通过防火墙收集用户访问数据;运行数据状态转移图生成模块,用于将时间窗口T内的用户访问数据形成状态转移图;入侵分析模块,用于将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。
进一步地,数据收集模块与状态转移图生成模块之间还包括:聚类模块,用于将数据收集模块收集的用户访问数据按照目标地址进行聚类;运行数据收集模块与运行数据状态转移图生成模块之间还包括:运行数据聚类模块,用于将运行数据收集模块收集的用户访问数据按照目标地址进行聚类。
进一步地,数据收集模块与状态转移图生成模块之间还包括:聚类模块,用于将数据收集模块收集的用户访问数据按照用户类型进行聚类;运行数据收集模块与运行数据状态转移图生成模块之间还包括:运行数据聚类模块,用于将运行数据收集模块收集的用户访问数据按照用户类型进行聚类。
进一步地,所述防火墙为应用层防火墙或网络层防火墙。
本发明提供的技术方案中,通过对网络历史数据地的分析,获取网络访问规律,对网络进行优化,减少误差数据,在运行阶段识别出异常的访问数据,从而确定网络是否被入侵。
附图说明
图1,为本申请状态转移图示例一;
图2,为本申请状态转移图示例二。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“ 实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“ 一”、“ 一个”、“ 一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“ 包括”、“ 包含”、“ 具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“ 连接”、“ 相连”、“ 耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“ 多个”是指两个或两个以上。“ 和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“ A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“ /”一般表示前后关联对象是一种“ 或”的关系。本申请所涉及的术语“ 第一”、“ 第二”、“ 第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
在本发明的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“安装”、“相连”、“连接”等应做广义理解。例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例一
本实施例一提供了一种防火墙入侵数据分析方法,具体包括初始化阶段以及运行阶段:
在初始化阶段中:
步骤S100,通过防火墙收集历史用户访问数据;
此处的防火墙可以是应用层防火墙,也可以是网络层防火。
以应用层防火墙为例,应用层防火墙可以直接获取用户访问内网的应用级别的数据。如用户访问某校园网络的OA系统,则防火墙收集用户的id以及访问地址信息www.xxxx.edu.cn/stu/oa,上述的用户id可以是用户连接至内网时,如VPN系统分配的用户名或者session ID,当然也可以是其它形式的ID,只要是能够表示独立用户即可,本申请不做过多限制。 该用户随后通过OA系统中的链接访问了课程表www.xxxx.edu.cn/stu/oa/course以及收费系统www.xxxx.edu.cn/stu/oa/cost,则防火墙一并记录相应的地址以及跳转过程。以上述跳转为例,可以在数据库中记录如表1所示的跳转表:
表1
ID | 源地址 | 跳转地址 | 时间 |
Usrer1 | Oa | course | 2021120102031 |
Usrer1 | Oa | cost | 2021120102035 |
上述表中oa、couser、cost仅为方便表述所做的示例,数据库表中存储的字段只要能够表示相应的地址即可。在一种较优的其实方式中,为了方便记录,相应的地址可以以唯一ID表示,每次有新的地址就使用一个新的ID,并建立相应的数据表将ID与地址进行关联,如表2所示:
表2
地址 | 地址ID |
www.xxxx.edu.cn/stu/oa | 5317 |
www.xxxx.edu.cn/stu/oa/course | 5318 |
则相应的跳转表中可只记录地址ID。
以网络层防火墙为例,网络层防火墙只能记录网络层的IP数据以及端口。还是以用户访问校园网络为例,源地址a.b.c.d:8506访问首先访问了内网中的e.f.g.a:443,然后又访问b.e.d.f:80,则可以认为用户从e.f.g.a:443跳转至b.e.d.f:80,则防火墙一并记录相应的地址以及跳转过程。
与应用层防火墙类似,网络层防火墙可以建立类似的跳转表,只需要将网址更换为IP地址及端口即可。
步骤S102,将访问数据组织成状态转移图;
在收集到一定量的访问数据后,即可进行下一步处理,具体数据量,本申请不做限定,当然为了系统的准确性,数据越多越好。
本申请所述的转移是指在连续的时间线上,用户从一个访问地址跳转至另一个访问地址,如用户从e.f.g.a:443跳转至b.e.d.f:80,则表示从e.f.g.a:443转移至b.e.d.f:80,在状态转移图上的表现将为表示e.f.g.a:443的节点指向表示b.e.d.f:80的节点的连线加一,即转移次数加一。
以访问OA系统为例,将数据库中存储的转移数据组织成如图1所示的形式,其中转移边的数值为数据库转移的次数,如图1中所示,OA至course的转移次数为32,表示从OA系统转移至课程系统的次数为35;OA至cost的转移次数为50表示从OA系统转移至Cost系统的次数为50。
本申请所述的“转移图”只是为了形象地说明转移状态,并不一定是在系统中将图形画出,通常是以数据结构的形式表示,如树形结构、数据表等,本领域技术人员能够实现的任何转移图数据结构都可,本申请不做进一步限定。
步骤S104,筛选出转移次数小于第一阈值的转移边;
内网系统中,正常的访问链接通过一段时间的运行通常是会有一定数量的访问量的,如前述步骤中,学生通常会通过OA系统访问课程或交费系统,经过一段时间后就会在数据中积累一定数据的转移数据,在转移图中表现出来就是转移数值较大,因此,此类转移次数转多的转移状态可以看成是正常的跳转访问。
但是,系统中时常会出现一些漏洞,如在系统开发过程中,学生的OA系统中的某个不易察觉的页面中遗留了一个可以直接访问教师系统的链接,此类链接在系统由于隐藏较深,在系统开发测试过程种难以发现,此类跳转在数据库系统中的表现为没有记录,或者及少数的记录。如果有记录,则可以将转移次数小于一定阈值的记录筛选出来,以备后续处理。筛选出来的结果可以通过各种现有技术手段呈现给用户,如在系统界面呈现、给用户发邮件等,只要能让用户接收到相关信息即可,本申请不做具体限定。
以图2为例,其中从OA系统跳转至Teacher系统的次数是2次,假定第一阈值设置为5,则OA至Teacher的转移边为筛选出的转移边。
步骤S106,根据筛选出转移次数小于第一阈值的转移边修改内网系统。
转移次数小于第一阈值可能出现两种情况,第一种就是如上述步骤中所述的存在漏洞,此转移就不应该存在,对于此种情况直接将相关链接删除,则后续用户无法再访问,就不会再存在此种状态转移。第二种情况是链接是正常的,但可能在较深入的页面中,此类链接是正常链接,但是由于隐藏太深,用户不易发现,因此可以将此类链接修改至上层页面中,以便用户访问。例如系统中存在成绩查询系统的接口,但该接口在OA系统的三级页面中,不易察觉,少有同学会通过OA系统进行跳转,而是直接输入相应的地址访问。但成绩查询接口是一种常用接口,因此可以将该接口修改至首页中,则后继的主要访问量会是从OA系统与成绩查询系统之间的状态转移。
以图2的状态转移为例,当识别到OA与teacher的状态转移过少时,经系统管理员查看发现是OA系统中的一个子页面中有teacher系统的跳转链接,则将此跳转链接删除。
步骤S108,重复运行步骤S100至步骤S106,直到获得的状态转移图中无转移次数小于第一阈值的转移边,并将此时的状态转移图确定为初始状态转移图。
在修改内网系统后,为了获得稳定的数据,需要将再次进行数据测试,一直到获得的状态转移图中无转移次数小于第一阈值的情况,从而获得初始状态转移图,此时整个系统已处理稳定的状态,初始状态转移图可以作为后续网络状态判断的依据。
通过初始化阶段,在收集一定量的访问数据后,用户根据初始化的结果提示,可以对内网系统进行修改,去除网络中已存在的问题,避免已存在的问题在后续的具体运行过程中对系统造成误差。
系统初始化后即可进入运行阶段:
步骤S200,以时间T为移动窗口,通过防火墙收集用户访问数据;
时间窗口T为用户设定值,可以以天计,例如1天、7天或30天。以7天为例,第一次检测中可以取2021年05月01日至2021年05月07日的数据,在第二天的检测中测移动7天的窗口一天时间,则检测时期为2021年05月02日至2021年05月08日,以此类推。很虽然,时间窗口T设置得越小,检测越灵敏,但误差也会越大,时间窗口T设置得越大,检测越迟钝,但误检率也会越低。
与初始时收集数据类似,将时间窗口内的用户访问数据存储于系统数据库中,具体实现可参考步骤102的描述,在此不再重复。
步骤S202,将时间窗口T内的用户访问数据成状态转移图。
同样的,与初始化时类似,本领域技术人员可参考步骤S102进行实现,在此不再重复。
步骤S204,将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。
由于正常访问的用户通常是按照内部网络的软件或网页导航进行依次跳转的,因此正常访问都是有规律可循的,如前述示例中的OA系统的,同时由于在初始化阶段去除了转移量小的状态,因此正常访问的通常都会落入初始化的状态转移图。经过一段时间后状态图的总体趋势是应该与初始状态转移图相似的。
当系统被入侵时,黑客通常以非法手段获取系统权限,如SQL注入、跨站脚本攻击、目录遍历等手段进入系统,其不是按照正常的软件或网页界面的导航操作,相关操作通过防火墙里显示出的状态转移就是杂乱无章的。
为了确定哪些状态转移是杂乱的,可以将运行期状态转移图与初始状态转移图进行对比,由于两种状态转移图的时间维度不同,在比较前可以进行统一时间维度,如按统一的时间进行比例放大缩小等,或对二者进行归一化操作,具体方案本领域技术人员可根据现有技术方案进行选择。
在进行具体比较时,可能出现两个情况,一种为运行期状态转移图新出现状态转移边,只要新出现的都可认为偏差无穷大,当黑客采用非法手段入侵系统时是极容易出现此种情况的;第二种是与初始状态转移图存在差异,计算出差异比例后即可进行判断,第二阈值可采用比例,如百分之十,也就是当运行期状态转移图与初始状态转移图中某种状态转移量大于百分之十时认为此状态转移可能存在异常。
当确定出异常的状态转移后,即可确定相应的访问过程为可疑入侵访问,系统管理员即可通过系统日志获取相应的访问记录,进入具体的入侵定位以及漏洞修复。具体的入侵定位以及漏洞修复手段可使用现有技术中的任何可行手段,本申请不做限定。
实施例二
基于实施例一,实施例二在步骤S100与S102之间还包括步骤S101。
步骤S101,将步骤S100收集的用户访问数据按照目标地址进行聚类。
根据网站等网络内容的组织结构可知,同类型的访问通常会在同类型的地址之间进行转移,以校园网为例,学生通常只会访问学生系统,而老师通常只会访问老师系统;如果发现有从学生系统与老师系统之间的跳转,在状态图上表现的的即为少数在不同聚类之间的跳转,则可能是系统被入侵,因此对目标地址进行聚类后可以更清晰地检查出非正常的状态转移。
步骤S200与步骤S202之间还包括步骤S201。
步骤S201,将步骤S200收集的用户访问数据按照目标地址进行聚类。
实施例二其余内容均与实施例一相同,在此不再重复描述。
实施例三
基于实施例一,实施例二在步骤S100与S102之间还包括步骤S101。
步骤S101,将步骤S100收集的用户访问数据按照用户类型进行聚类。
根据用户的访问习惯以及用户权限可知,同类型的用户通常只能在其权限内进行状态转移,如学生只能在学生可访问的网络中转移,而老师通常只会在老师可以访问的网络中转移; 如果发现不同用户聚类之间进行,如学生用户的状态跳转至老师聚类,则可能是系统被入侵,在状态图上的表现则是为少数在学生与老师聚类之间的状态转移,因此对用户类型进行聚类后可以更清晰地检查出非正常的状态转移。
步骤S200与步骤S202之间还包括步骤S201。
步骤S201,将步骤S200收集的用户访问数据按照用户类型进行聚类。
实施例三其余内容均与实施例一相同,在此不再重复描述。
实施例四
本实施例一提供了一种防火墙入侵数据分析装置,具体包括初始化模块:
以及运行模块:
在初始化模块中:
数据收集模块,用于通过防火墙收集历史用户访问数据;
此处的防火墙可以是应用层防火墙,也可以是网络层防火。
以应用层防火墙为例,应用层防火墙可以直接获取用户访问内网的应用级别的数据。如用户访问某校园网络的OA系统,则防火墙收集用户的id以及访问地址信息www.xxxx.edu.cn/stu/oa,上述的用户id可以是用户连接至内网时,如VPN系统分配的用户名或者session ID,当然也可以是其它形式的ID,只要是能够表示独立用户即可,本申请不做过多限制。 该用户随后通过OA系统中的链接访问了课程表www.xxxx.edu.cn/stu/oa/course以及收费系统www.xxxx.edu.cn/stu/oa/cost,则防火墙一并记录相应的地址以及跳转过程。以上述跳转为例,可以在数据库中记录如表3所示的跳转表:
表3
ID | 源地址 | 跳转地址 | 时间 |
Usrer1 | Oa | course | 2021120102031 |
Usrer1 | Oa | cost | 2021120102035 |
上述表中oa、couser、cost仅为方便表述所做的示例,数据库表中存储的字段只要能够表示相应的地址即可。在一种较优的其实方式中,为了方便记录,相应的地址可以以唯一ID表示,每次有新的地址就使用一个新的ID,并建立相应的数据表将ID与地址进行关联,如表4所示:
表4
地址 | 地址ID |
www.xxxx.edu.cn/stu/oa | 5317 |
www.xxxx.edu.cn/stu/oa/course | 5318 |
则相应的跳转表中可只记录地址ID。
以网络层防火墙为例,网络层防火墙只能记录网络层的IP数据以及端口。还是以用户访问校园网络为例,源地址a.b.c.d:8506访问首先访问了内网中的e.f.g.a:443,然后又访问b.e.d.f:80,则可以认为用户从e.f.g.a:443跳转至b.e.d.f:80,则防火墙一并记录相应的地址以及跳转过程。
与应用层防火墙类似,网络层防火墙可以建立类似的跳转表,只需要将网址更换为IP地址及端口即可。
状态转移图生成模块,用于将访问数据组织成状态转移图;
在收集到一定量的访问数据后,即可进行下一步处理,具体数据量,本申请不做限定,当然为了系统的准确性,数据越多越好。
本申请所述的转移是指在连续的时间线上,用户从一个访问地址跳转至另一个访问地址,如用户从e.f.g.a:443跳转至b.e.d.f:80,则表示从e.f.g.a:443转移至b.e.d.f:80,在状态转移图上的表现将为表示e.f.g.a:443的节点指向表示b.e.d.f:80的节点的连线加一,即转移次数加一。
以访问OA系统为例,将数据库中存储的转移数据组织成如图1所示的形式,其中转移边的数值为数据库转移的次数,如图1中所示,OA至course的转移次数为32,表示从OA系统转移至课程系统的次数为35;OA至cost的转移次数为50表示从OA系统转移至Cost系统的次数为50。
本申请所述的“转移图”只是为了形象地说明转移状态,并不一定是在系统中将图形画出,通常是以数据结构的形式表示,如树形结构、数据表等,本领域技术人员能够实现的任何转移图数据结构都可,本申请不做进一步限定。
筛选模块,用于筛选出转移次数小于第一阈值的转移边;
内网系统中,正常的访问链接通过一段时间的运行通常是会有一定数量的访问量的,如前述步骤中,学生通常会通过OA系统访问课程或交费系统,经过一段时间后就会在数据中积累一定数据的转移数据,在转移图中表现出来就是转移数值较大,因此,此类转移次数转多的转移状态可以看成是正常的跳转访问。
但是,系统中时常会出现一些漏洞,如在系统开发过程中,学生的OA系统中的某个不易察觉的页面中遗留了一个可以直接访问教师系统的链接,此类链接在系统由于隐藏较深,在系统开发测试过程种难以发现,此类跳转在数据库系统中的表现为没有记录,或者及少数的记录。如果有记录,则可以将转移次数小于一定阈值的记录筛选出来,以备后续处理。筛选出来的结果可以通过各种现有技术手段呈现给用户,如在系统界面呈现、给用户发邮件等,只要能让用户接收到相关信息即可,本申请不做具体限定。
以图2为例,其中从OA系统跳转至Teacher系统的次数是2次,假定第一阈值设置为5,则OA至Teacher的转移边为筛选出的转移边。
修改模块,用于根据筛选出转移次数小于第一阈值的转移边修改内网系统。
转移次数小于第一阈值可能出现两种情况,第一种就是如上述步骤中所述的存在漏洞,此转移就不应该存在,对于此种情况直接将相关链接删除,则后续用户无法再访问,就不会再存在此种状态转移。第二种情况是链接是正常的,但可能在较深入的页面中,此类链接是正常链接,但是由于隐藏太深,用户不易发现,因此可以将此类链接修改至上层页面中,以便用户访问。例如系统中存在成绩查询系统的接口,但该接口在OA系统的三级页面中,不易察觉,少有同学会通过OA系统进行跳转,而是直接输入相应的地址访问。但成绩查询接口是一种常用接口,因此可以将该接口修改至首页中,则后继的主要访问量会是从OA系统与成绩查询系统之间的状态转移。
以图2的状态转移为例,当识别到OA与teacher的状态转移过少时,经系统管理员查看发现是OA系统中的一个子页面中有teacher系统的跳转链接,则将此跳转链接删除。
重复运行模块,重复依次运行前述模块,直到获得的状态转移图中无转移次数小于第一阈值的转移边,并将此时的状态转移图确定为初始状态转移图。
在修改内网系统后,为了获得稳定的数据,需要将再次进行数据测试,一直到获得的状态转移图中无转移次数小于第一阈值的情况,从而获得初始状态转移图,此时整个系统已处理稳定的状态,初始状态转移图可以作为后续网络状态判断的依据。
通过初始化阶段,在收集一定量的访问数据后,用户根据初始化的结果提示,可以对内网系统进行修改,去除网络中已存在的问题,避免已存在的问题在后续的具体运行过程中对系统造成误差。
运行模块:
运行数据收集模块,以时间T为移动窗口,通过防火墙收集用户访问数据;
时间窗口T为用户设定值,可以以天计,例如1天、7天或30天。以7天为例,第一次检测中可以取2021年05月01日至2021年05月07日的数据,在第二天的检测中测移动7天的窗口一天时间,则检测时期为2021年05月02日至2021年05月08日,以此类推。很虽然,时间窗口T设置得越小,检测越灵敏,但误差也会越大,时间窗口T设置得越大,检测越迟钝,但误检率也会越低。
与初始时收集数据类似,将时间窗口内的用户访问数据存储于系统数据库中,具体实现可参考步骤102的描述,在此不再重复。
运行数据状态转移图生成模块,将时间窗口T内的用户访问数据成状态转移图。
同样的,与初始化时类似,本领域技术人员可参考步骤S102进行实现,在此不再重复。
入侵分析模块,将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。
由于正常访问的用户通常是按照内部网络的软件或网页导航进行依次跳转的,因此正常访问都是有规律可循的,如前述示例中的OA系统的,同时由于在初始化阶段去除了转移量小的状态,因此正常访问的通常都会落入初始化的状态转移图。经过一段时间后状态图的总体趋势是应该与初始状态转移图相似的。
当系统被入侵时,黑客通常以非法手段获取系统权限,如SQL注入、跨站脚本攻击、目录遍历等手段进入系统,其不是按照正常的软件或网页界面的导航操作,相关操作通过防火墙里显示出的状态转移就是杂乱无章的。
为了确定哪些状态转移是杂乱的,可以将运行期状态转移图与初始状态转移图进行对比,由于两种状态转移图的时间维度不同,在比较前可以进行统一时间维度,如按统一的时间进行比例放大缩小等,或对二者进行归一化操作,具体方案本领域技术人员可根据现有技术方案进行选择。
在进行具体比较时,可能出现两个情况,一种为运行期状态转移图新出现状态转移边,只要新出现的都可认为偏差无穷大,当黑客采用非法手段入侵系统时是极容易出现此种情况的;第二种是与初始状态转移图存在差异,计算出差异比例后即可进行判断,第二阈值可采用比例,如百分之十,也就是当运行期状态转移图与初始状态转移图中某种状态转移量大于百分之十时认为此状态转移可能存在异常。
当确定出异常的状态转移后,即可确定相应的访问过程为可疑入侵访问,系统管理员即可通过系统日志获取相应的访问记录,进入具体的入侵定位以及漏洞修复。具体的入侵定位以及漏洞修复手段可使用现有技术中的任何可行手段,本申请不做限定。
实施例五
基于实施例四,实施例五在数据收集模块与状态转移图生成模块之间还包括:聚类模块。
聚类模块,用于将数据收集模块收集的用户访问数据按照目标地址进行聚类。
根据网站等网络内容的组织结构可知,同类型的访问通常会在同类型的地址之间进行转移,以校园网为例,学生通常只会访问学生系统,而老师通常只会访问老师系统;如果发现有从学生系统与老师系统之间的跳转,在状态图上表现的的即为少数在不同聚类之间的跳转,则可能是系统被入侵,因此对目标地址进行聚类后可以更清晰地检查出非正常的状态转移。
运行数据收集模块与运行数据状态转移图生成模块之间还包括:运行数据聚类模块。
运行数据聚类模块,用于将运行数据收集模块收集的用户访问数据按照目标地址进行聚类。
实施例五其余内容均与实施例四相同,在此不再重复描述。
实施例六
基于实施例四,实施例六在数据收集模块与状态转移图生成模块之间还包括:聚类模块。
聚类模块,用于将数据收集模块收集的用户访问数据按照用户类型进行聚类。
根据用户的访问习惯以及用户权限可知,同类型的用户通常只能在其权限内进行状态转移,如学生只能在学生可访问的网络中转移,而老师通常只会在老师可以访问的网络中转移; 如果发现不同用户聚类之间进行,如学生用户的状态跳转至老师聚类,则可能是系统被入侵,在状态图上的表现则是为少数在学生与老师聚类之间的状态转移,因此对用户类型进行聚类后可以更清晰地检查出非正常的状态转移。
运行数据收集模块与运行数据状态转移图生成模块之间还包括:运行数据聚类模块。
运行数据聚类模块,用于将运行数据收集模块收集的用户访问数据按照用户类型进行聚类。
实施例六其余内容均与实施例四相同,在此不再重复描述。
在本申请中,术语“ 多个”则指两个或两个以上,除非另有明确的限定。术语“ 安装”、“ 相连”、“ 连接”、“ 固定”等术语均应做广义理解,例如,“ 连接”可以是固定连接,也可以是可拆卸连接,或一体地连接;“ 相连”可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本申请中的具体含义。
在本说明书的描述中,术语“ 一个实施例”、“ 一些实施例”、“ 具体实施例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或实例。而且,描述的具体特征、结构、材料或特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种防火墙入侵数据分析方法,其特征在于包括如下步骤:
初始化阶段:
步骤S100,通过防火墙收集历史用户访问数据;
步骤S102,将访问数据组织成状态转移图;
步骤S104,筛选出转移次数小于第一阈值的转移边;
步骤S106,根据筛选出转移次数小于第一阈值的转移边修改内网系统;
步骤S108,重复运行步骤S100至步骤S106,直到获得的状态转移图中无转移次数小于第一阈值的转移边,并将此时的状态转移图确定为初始状态转移图;
运行阶段:
步骤S200,以时间T为移动窗口,通过防火墙收集用户访问数据;
步骤S202,将时间窗口T内的用户访问数据形成运行期状态转移图;
步骤S204,将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。
2.如权利要求1所述的一种防火墙入侵数据分析方法,其特征在于:
步骤S100与步骤S102之间还包括:
步骤S101,将步骤S100收集的用户访问数据按照目标地址进行聚类;
步骤S200与步骤S202之间还包括:
步骤S201,将步骤S200收集的用户访问数据按照目标地址进行聚类。
3.如权利要求1所述的一种防火墙入侵数据分析方法,其特征在于:
步骤S100与步骤S102之间还包括:
步骤S101,将步骤S100收集的用户访问数据按照用户类型进行聚类;
步骤S200与步骤S202之间还包括:
步骤S201,将步骤S200收集的用户访问数据按照用户类型进行聚类。
4.如权利要求1所述的一种防火墙入侵数据分析方法,其特征在于:
所述防火墙为应用层防火墙或网络层防火墙。
5.一种防火墙入侵数据分析装置,其特征在于包括如下模块:
初始化模块:
数据收集模块,用于通过防火墙收集历史用户访问数据;
状态转移图生成模块,用于将访问数据组织成状态转移图;
筛选模块,用于筛选出转移次数小于第一阈值的转移边;
修改模块,用于根据筛选出转移次数小于第一阈值的转移边修改内网系统;
重复运行模块,重复依次运行前述模块,直到获得的状态转移图中无转移次数小于第一阈值的转移边,并将此时的状态转移图确定为初始状态转移图;
运行模块:
运行数据收集模块,以时间T为移动窗口,通过防火墙收集用户访问数据;
运行数据状态转移图生成模块,用于将时间窗口T内的用户访问数据形成状态转移图;
入侵分析模块,用于将运行期状态转移图与初始状态转移图进行对比,获取偏差大于第二阈值的状态转移边,并将相应的访问数据确定为可疑入侵访问。
6.如权利要求5所述的一种防火墙入侵数据分析装置,其特征在于:
数据收集模块与状态转移图生成模块之间还包括:
聚类模块,用于将数据收集模块收集的用户访问数据按照目标地址进行聚类;
运行数据收集模块与运行数据状态转移图生成模块之间还包括:
运行数据聚类模块,用于将运行数据收集模块收集的用户访问数据按照目标地址进行聚类。
7.如权利要求5所述的一种防火墙入侵数据分析装置,其特征在于:
数据收集模块与状态转移图生成模块之间还包括:
聚类模块,用于将数据收集模块收集的用户访问数据按照用户类型进行聚类;
运行数据收集模块与运行数据状态转移图生成模块之间还包括:
运行数据聚类模块,用于将运行数据收集模块收集的用户访问数据按照用户类型进行聚类。
8.如权利要求5所述的一种防火墙入侵数据分析装置,其特征在于:
所述防火墙为应用层防火墙或网络层防火墙。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210188955.9A CN114338236B (zh) | 2022-03-01 | 2022-03-01 | 一种防火墙入侵数据分析方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210188955.9A CN114338236B (zh) | 2022-03-01 | 2022-03-01 | 一种防火墙入侵数据分析方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114338236A true CN114338236A (zh) | 2022-04-12 |
CN114338236B CN114338236B (zh) | 2022-05-13 |
Family
ID=81030748
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210188955.9A Active CN114338236B (zh) | 2022-03-01 | 2022-03-01 | 一种防火墙入侵数据分析方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114338236B (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001318787A (ja) * | 2000-05-08 | 2001-11-16 | Toshiba Corp | マイクロプロセッサ、これを用いたマルチタスク実行方法、およびマルチレッド実行方法 |
JP2012141909A (ja) * | 2011-01-06 | 2012-07-26 | Hitachi Ltd | 異常検知方法およびそれを用いた情報処理システム |
CN104378361A (zh) * | 2014-10-24 | 2015-02-25 | 苏州阔地网络科技有限公司 | 一种网络入侵检测方法及系统 |
EP2907291A2 (en) * | 2012-10-10 | 2015-08-19 | Telefonaktiebolaget L M Ericsson (publ) | Virtual firewall mobility |
WO2015176445A1 (zh) * | 2014-05-21 | 2015-11-26 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
CN105184157A (zh) * | 2015-07-07 | 2015-12-23 | 重庆邮电大学 | 一种基于分类计数器的确定有限状态机构造方法 |
CN108173814A (zh) * | 2017-12-08 | 2018-06-15 | 深信服科技股份有限公司 | 钓鱼网站检测方法、终端设备及存储介质 |
CN112269616A (zh) * | 2020-11-04 | 2021-01-26 | 杭州电魂网络科技股份有限公司 | 一种基于状态机的界面跳转和事件触发系统 |
CN113486352A (zh) * | 2021-06-23 | 2021-10-08 | 山东省计算中心(国家超级计算济南中心) | 一种面向工控网络的多模式攻击方式对工控系统状态影响的定量评估方法及系统 |
-
2022
- 2022-03-01 CN CN202210188955.9A patent/CN114338236B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001318787A (ja) * | 2000-05-08 | 2001-11-16 | Toshiba Corp | マイクロプロセッサ、これを用いたマルチタスク実行方法、およびマルチレッド実行方法 |
JP2012141909A (ja) * | 2011-01-06 | 2012-07-26 | Hitachi Ltd | 異常検知方法およびそれを用いた情報処理システム |
EP2907291A2 (en) * | 2012-10-10 | 2015-08-19 | Telefonaktiebolaget L M Ericsson (publ) | Virtual firewall mobility |
WO2015176445A1 (zh) * | 2014-05-21 | 2015-11-26 | 成都达信通通讯设备有限公司 | 移动终端预设联网地址防火墙隔离应用系统 |
CN104378361A (zh) * | 2014-10-24 | 2015-02-25 | 苏州阔地网络科技有限公司 | 一种网络入侵检测方法及系统 |
CN105184157A (zh) * | 2015-07-07 | 2015-12-23 | 重庆邮电大学 | 一种基于分类计数器的确定有限状态机构造方法 |
CN108173814A (zh) * | 2017-12-08 | 2018-06-15 | 深信服科技股份有限公司 | 钓鱼网站检测方法、终端设备及存储介质 |
CN112269616A (zh) * | 2020-11-04 | 2021-01-26 | 杭州电魂网络科技股份有限公司 | 一种基于状态机的界面跳转和事件触发系统 |
CN113486352A (zh) * | 2021-06-23 | 2021-10-08 | 山东省计算中心(国家超级计算济南中心) | 一种面向工控网络的多模式攻击方式对工控系统状态影响的定量评估方法及系统 |
Non-Patent Citations (7)
Title |
---|
任午令等: "基于攻击行为预测的网络防御策略", 《浙江大学学报(工学版)》 * |
张勇,冯玉才,李华阳: "基于状态转换分析的多用户系统入侵检测模型", 《网络安全技术与应用》 * |
徐小梅等: "一种混合入侵检测系统的设计与研究", 《兰州交通大学学报》 * |
肖?: "针对网络恶意攻击并行入侵的仿真设计", 《计算机仿真》 * |
董忠: "基于Snort系统的网络入侵检测模型的研究", 《自动化与仪器仪表》 * |
陈伟东等: "网络防御和不重复子串模式匹配算法研究实现", 《计算机技术与发展》 * |
马海云等: "IDS模型的设计与研究", 《自动化与仪器仪表》 * |
Also Published As
Publication number | Publication date |
---|---|
CN114338236B (zh) | 2022-05-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9641550B2 (en) | Network protection system and method | |
US10397273B1 (en) | Threat intelligence system | |
CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
Yen et al. | Beehive: Large-scale log analysis for detecting suspicious activity in enterprise networks | |
US8375452B2 (en) | Methods for user profiling for detecting insider threats based on internet search patterns and forensics of search keywords | |
CN106209488B (zh) | 用于检测网站攻击的方法和设备 | |
US20120084860A1 (en) | System and method for detection of domain-flux botnets and the like | |
Stevanovic et al. | On the ground truth problem of malicious DNS traffic analysis | |
KR20100075043A (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
US11269995B2 (en) | Chain of events representing an issue based on an enriched representation | |
Serketzis et al. | Actionable threat intelligence for digital forensics readiness | |
Singhal | Data warehousing and data mining techniques for cyber security | |
Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
Lagraa et al. | Deep mining port scans from darknet | |
DeCusatis et al. | A framework for open source intelligence penetration testing of virtual health care systems | |
CN114338236B (zh) | 一种防火墙入侵数据分析方法及装置 | |
WO2016173327A1 (zh) | 用于检测网站攻击的方法和设备 | |
CN117454376A (zh) | 工业互联网数据安全检测响应与溯源方法及装置 | |
Sabottke et al. | How to trick the Borg: threat models against manual and automated techniques for detecting network attacks | |
CN114500122B (zh) | 一种基于多源数据融合的特定网络行为分析方法和系统 | |
CN111371917B (zh) | 一种域名检测方法及系统 | |
Vishnu et al. | Identifying key strategies for reconnaissance in cybersecurity | |
Bian et al. | Characterizing network traffic behaviour using granule‐based association rule mining | |
Karlzen et al. | Automatic incident response solutions: a review of proposed solutions’ input and output | |
Gujral et al. | Design and Implementation of a Quantitative Network Health Monitoring and Recovery System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |