CN114500122B - 一种基于多源数据融合的特定网络行为分析方法和系统 - Google Patents

一种基于多源数据融合的特定网络行为分析方法和系统 Download PDF

Info

Publication number
CN114500122B
CN114500122B CN202210401600.3A CN202210401600A CN114500122B CN 114500122 B CN114500122 B CN 114500122B CN 202210401600 A CN202210401600 A CN 202210401600A CN 114500122 B CN114500122 B CN 114500122B
Authority
CN
China
Prior art keywords
domain name
specific network
behavior
equipment
network behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210401600.3A
Other languages
English (en)
Other versions
CN114500122A (zh
Inventor
嵇程
许海滨
邢欣
蔡冰
王广帧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Branch Center National Computer Network And Information Security Management Center
Original Assignee
Jiangsu Branch Center National Computer Network And Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Branch Center National Computer Network And Information Security Management Center filed Critical Jiangsu Branch Center National Computer Network And Information Security Management Center
Priority to CN202210401600.3A priority Critical patent/CN114500122B/zh
Publication of CN114500122A publication Critical patent/CN114500122A/zh
Application granted granted Critical
Publication of CN114500122B publication Critical patent/CN114500122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于多源数据融合的特定网络行为分析方法和系统,首先,在局域网流量中采集域名解析数据,同时获取固定IP基础资源信息,并搜集特定网络行为域名情况,建立三张数据表;接着,将三张表进行关联融合,获得特定网络行为下的设备访问记录;最后,以设备号为主数据,统计某时间段内对目标网络地址的访问行为情况,根据统计结果建立综合预警模型,筛选出存在相关行为的重点设备,并对特定网络行为域名情况进行迭代更新。该发明由局域网域名解析数据、IP基础资源数据和特定网络行为域名数据关联融合成设备行为记录数据,进而实现在单位内部网络被“黑客”劫持情况下的综合行为预警和重点设备筛选功能。

Description

一种基于多源数据融合的特定网络行为分析方法和系统
技术领域
本发明属于网络空间安全领域,尤其涉及一种基于多源数据融合的特定网络行为分析方法和系统。
背景技术
目前,网络攻击手段层出不穷,黑客通过系统、软件、服务等漏洞,非法入侵局域网络植入“病毒”,操纵被入侵的电脑、服务器进行分布式拒绝服务攻击、虚拟币挖矿或者用于网络爬虫代理。基于此,网络安全人员需要对局域网中的异常流量进行监测,对特定网站的访问情况进行预警,以及时发现并解决各类风险隐患。
在现有针对上网设备的网络行为分析中,主要通过特征分析、关联分析、预测分类等方式,利用上网设备访问网站的时间点、驻留时长、点击内容、浏览顺序等数据,挖掘该设备的行为偏好,为精准商业营销提供数据支撑。上述方法是利用设备访问网站时产生的行为日志记录,传输至后台服务器后,进行数据挖掘技术,以分析相关情况,该数据仅可被网站的建站方获取。
在网络安全领域中,网络安全人员同样亟需一种能够在不干扰内部网络设备正常访问外部网站情况下,发现其是否被黑客操纵劫持的方法。
发明内容
发明目的:本发明所要解决的技术问题是针对现有技术的不足,提供一种基于多源数据融合的特定网络行为分析方法和系统。
为实现上述目的,第一方面提供一种基于多源数据融合的特定网络行为分析方法,该方法包括以下步骤。
步骤1,数据采集:采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据;对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库。
步骤2,聚合关联:将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录。
步骤3,行为分析:针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备。
在一种可能的实现方式中,所述步骤1包括步骤1a,聚合域名数据:在域名解析流量数据中提取域名、源IP地址、目的IP地址和访问时间,以访问时间为维度进行时段聚合处理,构建域名时段解析记录,所述域名时段解析记录包括域名、源IP地址、目的IP地址、访问时段和访问次数。
步骤1b,建立IP基础资源库:在IP基础资源数据中,提取IP地址和设备号,构建IP基础资源库。
步骤1c,建立特定网络行为域名库:所述特定网络行为包括设备被劫持后用于分布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据在内共计K类行为,K ≥ 3,在网络搜索引擎中使用行为关键词爬取网站,结合局域网中历史访问行为日志,汇总筛选各类域名信息,所述域名信息包括被劫持后访问网站域名、虚拟货币挖矿平台域名、被爬取的网站域名,记第k类特定网络行为的总域名数量为L k ,其中1 ≤ k K;最终构建包括特定网络行为和域名在内的特定网络行为域名库。
在一种可能的实现方式中,所述步骤2包括步骤2a,筛选获得特定网络行为域名记录:将特定网络行为域名库中的域名字段与域名时段解析记录中的域名字段进行关联处理,筛选并组合成特定网络行为域名记录,所述特定网络行为域名记录包括目标域名、特定网络行为、源IP地址、目的IP地址、访问时段和访问次数。
步骤2b,构建特定网络行为设备访问记录:将特定网络行为域名记录中的源IP地址与IP基础资源库中的IP地址进行关联处理,构建特定网络行为设备访问记录,所述特定网络行为设备访问记录包括目标域名、特定网络行为、源IP地址、设备号、目的IP地址、访问时段和访问次数。
在一种可能的实现方式中,所述步骤3包括:步骤3a,构建设备行为记录:针对特定网络行为设备访问记录,在某一时间范围内,以设备号进行分组聚合,筛选并组合成设备行为记录,所述设备行为记录包括设备号、特定网络行为、目标域名和访问次数。
步骤3b,综合预警分析:通过设备行为记录数据,统计该时间范围内第k类访问行 为的总设备数量M k 和总访问次N k ;设定该时间范围内第k类特定网络行为的总设备预警参数
Figure 899563DEST_PATH_IMAGE001
和总访问次数预警参数
Figure 754387DEST_PATH_IMAGE002
,当
Figure 2965DEST_PATH_IMAGE003
Figure 116284DEST_PATH_IMAGE004
时,说明该特定网络行为达到预警 处置警戒线,网络安全人员需要进行关注并分析。
在一种可能的实现方式中,所述重点设备的筛选过程如下。
通过统计设备行为记录数据,记第k类特定网络行为中第i个设备已访问的域名数 量为
Figure 399497DEST_PATH_IMAGE005
个,访问的次数为
Figure 690802DEST_PATH_IMAGE006
次,其中1 ≤ i M k ;设定第k类特定网络行为的设备访问域 名数量预警参数
Figure 426676DEST_PATH_IMAGE007
和平均访问次数预警参数
Figure 343686DEST_PATH_IMAGE008
;当第i个设备的访问域名数量或者平均访 问次数超过预警值,满足
Figure 481406DEST_PATH_IMAGE009
Figure 474770DEST_PATH_IMAGE010
时,即为重点设备,需要采取处置措施。
在一种可能的实现方式中,所述步骤3还包括特定网络行为域名库迭代:
针对第k类特定网络行为筛选出来的重点设备,在域名时段解析记录中检索其目 的IP地址的历史访问记录,与特定网络行为域名库中L k 个域名进行对比和筛选,记录新发 现的第k类特定网络行为域名Q k 个,Q k 0,将其添加至特定网络行为域名库中,更新后的特 定网络行为域名库中,第k类特定网络行为的总域名数量记为
Figure 697941DEST_PATH_IMAGE011
,即,实现特定网络行为域 名库的迭代与更新。
在一种可能的实现方式中,步骤3b中第k类特定网络行为的总设备预警参数
Figure 903794DEST_PATH_IMAGE001
、 总访问次数预警参数
Figure 145288DEST_PATH_IMAGE002
、设备访问域名数量预警参数
Figure 512816DEST_PATH_IMAGE007
和和平均访问次数预警参数
Figure 941392DEST_PATH_IMAGE008
, 根据监测设备总量、实际访问行为次数和网安人员的监测力度进行设置和调整;记网络设 备总量为HH ≥ 1,以单月为时间范围段构建设备行为记录时,设置
Figure 154199DEST_PATH_IMAGE012
Figure 984620DEST_PATH_IMAGE013
Figure 257470DEST_PATH_IMAGE014
Figure 642184DEST_PATH_IMAGE015
第二方面提供了一种基于多源数据融合的特定网络行为分析系统,包括多源数据采集模块、预处理模块、聚合关联模块和行为分析模块。
所述多源数据采集模块,用于采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据。
所述预处理模块,用于对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库。
所述聚合关联模块,用于将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录。
所述行为分析模块,用于针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备。
在一种可能的实现方式中,所述行为分析模块包括综合预警分析单元和重点设备筛选单元。
所述综合预警分析单元,用于构建设备行为记录,根据设备行为记录统计每个特定网络行为的总域名数量、总设备数量和总访问次数,并以此判断对应特定网络行为是否达到预警处置警戒线;若对应特定网络行为达到预警处置警戒线,对重点设备进行处置。
所述重点设备筛选单元,用于当特定网络行为达到预警处置警戒线时,根据设备行为记录统计对应特定网络行为中每个设备访问的域名数量和访问次数,当访问的域名数量或访问次数超过预警值时,判定为重点设备。
在一种可能的实现方式中,所述行为分析模块还包括特定网络行为域名库更新单元,所述特定网络行为域名库更新单元用于针对重点设备,在域名时段解析记录中检索其目的IP地址的历史访问记录,与特定网络行为域名库中已记录的域名进行对比,若有新的行为域名,则将其添加至特定网络行为域名库。
第三方面提供了一种计算机存储介质,该计算机存储介质存储有计算机程序,该程序在由计算机执行时,使得计算机实施如第一方面或第一方面中任意一种可能的实现方式所述的方法。
第四方面提供了一种计算机程序产品,该计算机程序产品存储有指令,该指令在由计算机执行时,使得计算机实施如第一方面或第一方面中任意一种可能的实现方式所述的方法。
第五方面提供了一种芯片系统,该芯片系统包括处理器和存储器。存储器,用于存储计算机程序(也可以称为代码,或指令)。处理器,用于调用存储器中存储的计算机程序或计算机指令,以使得该处理器执行如第一方面或第一方面中任意一种可能的实现方式所述的方法。
有益效果:与现有技术相比,本发明具有以下优点。
1. 充分利用域名记录、IP基础资源和特定行为域名三类数据源,通过聚合、关联操作实现多维数据的融合,挖掘存在特定网络行为的设备。
2. 对被劫持设备存在的网络安全风险行为进行分类,建立相关行为所对应的域名数据库,并通过对重点设备的解析记录分析与反馈,实现数据库的迭代与更新。
3. 设计监测特定网络行为的综合预警模型和重点设备筛选模型,为网络安全人员精准发现局域网中被劫持的设备情况提供数据支撑。
附图说明
下面结合附图和具体实施方式对本发明做更进一步的具体说明,本发明的上述和/或其他方面的优点将会变得更加清楚。
图1为本申请实施例提供的一种基于多源数据融合的特定网络行为分析方法的流程示意图。
图2为本申请实施例提供的一种基于多源数据融合的特定网络行为分析方法的多源数据的融合方式。
图3为本申请实施例提供的一种基于多源数据融合的特定网络行为分析方法的综合预警分析与重点设备筛选模型的流程示意图。
图4为本申请实施例提供的一种基于多源数据融合的特定网络行为分析系统的结构示意图之一。
图5为本申请实施例提供的一种基于多源数据融合的特定网络行为分析系统的结构示意图之二。
具体实施方式
下面将结合附图,对本发明的实施例进行描述。
本申请提供的一种基于多源数据融合的特定网络行为分析方法和系统可以应用于网络安全监控场景,尤其是局域网络中的异常流量监控,以多源网络流量数据为基础,以网络设备被劫持后进行的分布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据等特定网络行为为研究对象,实现对被劫持设备的发现,对相关网络行为的态势预警,对重点设备精准筛选处置。
基于此,本申请实施例利用三种数据源:(1)局域网流量中的域名解析记录,(2)局域网资产中的IP基础资源数据,(3)根据域名解析记录和搜索引擎获取的特定网络行为域名数据,提出一种基于多源数据融合的特定网络行为分析方法和系统,实现局域网络安全的监测、预警和处置。
本申请第一实施例提供了一种基于多源数据融合的特定网络行为分析方法,利用多源网络流量数据,对特定网络行为进行分析、发现和预警,对重点设备进行筛选,如图1所示,包括以下步骤。
步骤1,数据采集:采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据;对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库,具体步骤如下。
步骤1a,聚合域名数据:在域名解析流量数据中提取域名、源IP地址、目的IP地址和访问时间,以访问时间为维度进行时段聚合处理,构建域名时段解析记录,所述域名时段解析记录包括域名、源IP地址、目的IP地址、访问时段和访问次数,用于后续查询,并降低查询计算量;在本实施例中,可以通过搭建局域网,获取该网络中设备的DNS域名解析记录。
步骤1b,建立IP基础资源库:在IP基础资源数据中,提取IP地址和设备号,构建IP基础资源库;所述设备号,是指基于个人隐私保护政策,在局域网中注册、加密后的设备身份信息中的设备号,其中部分设备会拥有多个IP地址。
步骤1c,建立特定网络行为域名库:所述特定网络行为包括设备被劫持后用于分布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据在内共计K类行为,K ≥ 3,在网络搜索引擎中使用行为关键词爬取网站,结合局域网中历史访问行为日志,汇总筛选各类域名信息,所述域名信息包括被劫持后访问网站域名、虚拟货币挖矿平台域名、被爬取的网站域名,记第k类特定网络行为的总域名数量为L k ,其中1 ≤ k K;最终构建包括特定网络行为和域名在内的特定网络行为域名库。
数据采集过程中预处理建立的各数据表如图2所示。
步骤2,聚合关联:将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录。
具体步骤如下。
步骤2a,筛选获得特定网络行为域名记录:将特定网络行为域名库中的域名字段与域名时段解析记录中的域名字段进行关联处理,筛选并组合成特定网络行为域名记录,所述特定网络行为域名记录包括目标域名、特定网络行为、源IP地址、目的IP地址、访问时段和访问次数。
步骤2b,构建特定网络行为设备访问记录:将特定网络行为域名记录中的源IP地址与IP基础资源库中的IP地址进行关联处理,构建特定网络行为设备访问记录,所述特定网络行为设备访问记录包括目标域名、特定网络行为、源IP地址、设备号、目的IP地址、访问时段和访问次数。
数据聚合关联的处理流程如图2所示。
步骤3,行为分析:针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备。如图3所示,具体步骤如下。
步骤3a,构建设备行为记录:针对特定网络行为设备访问记录,在某一时间范围内,以设备号进行分组聚合,筛选并组合成设备行为记录,所述设备行为记录包括设备号、特定网络行为、目标域名和访问次数;该数据精准提供存在特定网络行为的设备和具体记录,同时用于综合分析和设备筛选;由于特定网络行为设备访问记录数据量每天达到上亿条,因此构建设备行为记录时,构建多个时间范围内的设备行为记录以提升数据库访问效率和下述综合预警分析的实时性。具体时间范围的设置可以一天、一周或一月。
步骤3b,综合预警分析:本申请实施例中K=3,通过设备行为记录数据,统计该时间 范围内第k类访问行为的设备数量M k 和访问次数N k ,其中k = 1,2,3。设定该时间范围内第k 类特定网络行为的总设备预警参数
Figure 658681DEST_PATH_IMAGE001
和总访问次数预警参数
Figure 343609DEST_PATH_IMAGE002
,当
Figure 52939DEST_PATH_IMAGE003
Figure 733406DEST_PATH_IMAGE004
时,说明该特定网络行为达到预警处置警戒线,网络安全人员需要进行关注并分 析。
k类特定网络行为的总设备预警参数
Figure 756856DEST_PATH_IMAGE001
、总访问次数预警参数
Figure 93029DEST_PATH_IMAGE002
根根据监测 设备总量、实际访问行为次数和网安人员的监测力度进行设置和调整;记网络设备总量为HH ≥ 1,以单月为时间范围段构建设备行为记录时,设置
Figure 973260DEST_PATH_IMAGE012
Figure 880036DEST_PATH_IMAGE013
。根据实 际预警处置经验,第k类特定网络行为的总设备预警参数
Figure 222025DEST_PATH_IMAGE001
和总访问次数预警参数
Figure 960174DEST_PATH_IMAGE002
的 取值范围可以进一步精确,可参考
Figure 745727DEST_PATH_IMAGE016
Figure 654646DEST_PATH_IMAGE017
。本实施例中,当网络设备总量为10000,时间范围为1个月时, 可以设
Figure 285479DEST_PATH_IMAGE018
Figure 206030DEST_PATH_IMAGE019
所述重点用户的筛选过程如下。
通过统计设备行为记录数据,记第k类特定网络行为中共有M k = 12个设备,第i个 设备已访问的域名数量为
Figure 208490DEST_PATH_IMAGE005
个,访问的次数为
Figure 558700DEST_PATH_IMAGE006
次,其中1 ≤ i M k 。设定第k类特定网络 行为的设备访问域名数量预警参数
Figure 55540DEST_PATH_IMAGE007
和平均访问次数预警参数
Figure 424074DEST_PATH_IMAGE008
,当第i个设备的访问域 名数量或者平均访问次数超过预警值,满足
Figure 82588DEST_PATH_IMAGE009
Figure 982411DEST_PATH_IMAGE010
时,即为重点设备,可采取 处置措施。
k类特定网络行为的设备访问域名数量预警参数
Figure 735472DEST_PATH_IMAGE020
和平均访问次数预警参数
Figure 37141DEST_PATH_IMAGE021
根据监测设备总量、实际访问行为次数和网安人员的监测力度进行设置和调整;记网络 设备总量为HH ≥ 1,以单月为时间范围段构建设备行为记录时,设置
Figure 866556DEST_PATH_IMAGE014
Figure 722517DEST_PATH_IMAGE015
。根据实际预警处置经验,第k类特定网络行为的设备访问域名数量预警参数
Figure 561160DEST_PATH_IMAGE007
和 平均访问次数预警参数
Figure 169865DEST_PATH_IMAGE008
的取值范围可以进一步精确,可参考
Figure 435761DEST_PATH_IMAGE022
Figure 44597DEST_PATH_IMAGE023
。 本实施例中,当网络设备总量为10000,时间范围为1个月时,可以设
Figure 686931DEST_PATH_IMAGE024
Figure 884563DEST_PATH_IMAGE025
所述步骤3还包括特定网络行为域名库迭代:针对第k类特定网络行为筛选出来的 重点设备,在域名时段解析记录中检索其目的IP地址的历史访问记录,与特定网络行为域 名库中L k 个域名进行对比和筛选,记录新发现的第k类特定网络行为域名Q k 个,Q k 0,将其 添加至特定网络行为域名库中,更新后的特定网络行为域名库中,第k类特定网络行为的总 域名数量记为
Figure 321360DEST_PATH_IMAGE011
,即
Figure 417492DEST_PATH_IMAGE026
,实现特定网络行为域名库的迭代与更新。
本申请第二实施例提供了一种基于多源数据融合的特定网络行为分析系统,应用于所述的基于多源数据融合的特定网络行为分析方法,如图4所示,包括多源数据采集模块、预处理模块、聚合关联模块和行为分析模块。
所述多源数据采集模块,用于采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据。
所述预处理模块,用于对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库。
所述聚合关联模块,用于将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录。
所述行为分析模块,用于针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备。
如图5所示,所述行为分析模块包括综合预警分析单元和重点设备筛选单元。
所述综合预警分析单元,用于构建设备行为记录,根据设备行为记录统计每个特定网络行为的总域名数量、总设备数量和总访问次数,并以此判断对应特定网络行为是否达到预警处置警戒线;若对应特定网络行为达到预警处置警戒线,对重点设备进行处置。
所述重点设备筛选单元,用于当特定网络行为达到预警处置警戒线时,根据设备行为记录统计对应特定网络行为中每个设备访问的域名数量和访问次数,当访问的域名数量或访问次数超过预警值时,判定为重点设备。
如图5所示,所述行为分析模块还包括特定网络行为域名库更新单元,所述特定网络行为域名库更新单元用于针对重点设备,在域名时段解析记录中检索其目的IP地址的历史访问记录,与特定网络行为域名库中已记录的域名进行对比,若有新的行为域名,则将其添加至特定网络行为域名库。
本申请实施例还提供了一种计算机存储介质,该计算机存储介质存储有计算机程序,该程序在由计算机执行时,使得计算机实施第一实施例中所述的方法。
本申请实施例还提供了一种计算机程序产品,该计算机程序产品存储有指令,该指令在由计算机执行时,使得计算机实施第一实施例中所述的方法。
本申请实施例还提供了一种芯片系统,该芯片系统包括处理器和存储器。存储器,用于存储计算机程序(也可以称为代码,或指令)。处理器,用于调用存储器中存储的计算机程序或计算机指令,以使得该处理器执行第一实施例中所述的方法。
本发明提供了一种基于多源数据融合的特定网络行为分析方法和系统,具体实现该技术方案的方法和途径很多,以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。本实施例中未明确的各组成部分均可用现有技术加以实现。

Claims (8)

1.一种基于多源数据融合的特定网络行为分析方法,其特征在于,包括以下步骤:
步骤1,数据采集:采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据;对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库;
步骤2,聚合关联:将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录;
步骤3,行为分析:针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备;
所述步骤1包括:
步骤1a,聚合域名数据:在域名解析流量数据中提取域名、源IP地址、目的IP地址和访问时间,以访问时间为维度进行时段聚合处理,构建域名时段解析记录,所述域名时段解析记录包括域名、源IP地址、目的IP地址、访问时段和访问次数;
步骤1b,建立IP基础资源库:在IP基础资源数据中,提取IP地址和设备号,构建IP基础资源库;
步骤1c,建立特定网络行为域名库:所述特定网络行为包括设备被劫持后用于分布式拒绝服务攻击、虚拟货币挖矿、爬取网站数据在内共计K类行为,K ≥ 3,在网络搜索引擎中使用行为关键词爬取网站,结合局域网中历史访问行为日志,汇总筛选各类域名信息,所述域名信息包括被劫持后访问网站域名、虚拟货币挖矿平台域名、被爬取的网站域名,记第k类特定网络行为的总域名数量为L k ,其中1 ≤ k K;最终构建包括特定网络行为和域名在内的特定网络行为域名库。
2.根据权利要求1所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述步骤2包括:
步骤2a,筛选获得特定网络行为域名记录:将特定网络行为域名库中的域名字段与域名时段解析记录中的域名字段进行关联处理,筛选并组合成特定网络行为域名记录,所述特定网络行为域名记录包括目标域名、特定网络行为、源IP地址、目的IP地址、访问时段和访问次数;
步骤2b,构建特定网络行为设备访问记录:将特定网络行为域名记录中的源IP地址与IP基础资源库中的IP地址进行关联处理,构建特定网络行为设备访问记录,所述特定网络行为设备访问记录包括目标域名、特定网络行为、源IP地址、设备号、目的IP地址、访问时段和访问次数。
3.根据权利要求2所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述步骤3包括:
步骤3a,构建设备行为记录:针对特定网络行为设备访问记录,在某一时间范围内,以设备号进行分组聚合,筛选并组合成设备行为记录,所述设备行为记录包括设备号、特定网络行为、目标域名和访问次数;
步骤3b,综合预警分析:通过设备行为记录数据,统计该时间范围内第k类访问行为的 总设备数量M k 和总访问次N k ;设定该时间范围内第k类特定网络行为的总设备预警参数
Figure DEST_PATH_IMAGE001
和总访问次数预警参数
Figure DEST_PATH_IMAGE002
,当
Figure DEST_PATH_IMAGE003
Figure DEST_PATH_IMAGE004
时,说明该特定网络行为达到预警处 置警戒线,网络安全人员需要进行关注并分析。
4.根据权利要求3所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述重点设备的筛选过程如下:
通过统计设备行为记录数据,记第k类特定网络行为中第i个设备已访问的域名数量为
Figure DEST_PATH_IMAGE005
个,访问的次数为
Figure DEST_PATH_IMAGE006
次,其中1 ≤ i M k ;设定第k类特定网络行为的设备访问域名数 量预警参数
Figure DEST_PATH_IMAGE007
和平均访问次数预警参数
Figure DEST_PATH_IMAGE008
;当第i个设备的访问域名数量或者平均访问次 数超过预警值,满足
Figure DEST_PATH_IMAGE009
Figure DEST_PATH_IMAGE010
时,即为重点设备,需要采取处置措施。
5.根据权利要求4所述的一种基于多源数据融合的特定网络行为分析方法,其特征在于,所述步骤3还包括特定网络行为域名库迭代:
针对第k类特定网络行为筛选出来的重点设备,在域名时段解析记录中检索其目的IP 地址的历史访问记录,与特定网络行为域名库中L k 个域名进行对比和筛选,记录新发现的 第k类特定网络行为域名Q k 个,Q k 0,将其添加至特定网络行为域名库中,更新后的特定 网络行为域名库中,第k类特定网络行为的总域名数量记为
Figure DEST_PATH_IMAGE011
,即
Figure DEST_PATH_IMAGE012
,实现特 定网络行为域名库的迭代与更新。
6.根据权利要求5所述的一种基于多源数据融合的特定网络行为分析方法,其特征在 于,步骤3b中第k类特定网络行为的总设备预警参数
Figure 106884DEST_PATH_IMAGE001
、总访问次数预警参数
Figure 326820DEST_PATH_IMAGE002
、设备访 问域名数量预警参数
Figure 168874DEST_PATH_IMAGE007
和平均访问次数预警参数
Figure 564083DEST_PATH_IMAGE008
,根据监测设备总量、实际访问行为次 数和网安人员的监测力度进行设置和调整;记网络设备总量为HH ≥ 1,以单月为时间范 围段构建设备行为记录时,设置
Figure DEST_PATH_IMAGE013
Figure DEST_PATH_IMAGE014
Figure DEST_PATH_IMAGE015
Figure DEST_PATH_IMAGE016
7.一种基于多源数据融合的特定网络行为分析系统,应用于权利要求1-6任一项所述的基于多源数据融合的特定网络行为分析方法,其特征在于,包括多源数据采集模块、预处理模块、聚合关联模块和行为分析模块,
所述多源数据采集模块,用于采集多源数据,所述多源数据包括域名解析流量数据、IP基础资源数据和特定网络行为的域名数据;
所述预处理模块,用于对多源数据进行预处理,获得域名时段解析记录、IP基础资源库和特定网络行为域名库;
所述聚合关联模块,用于将域名时段解析记录、IP基础资源库和特定网络行为域名库进行融合,获得特定网络行为设备访问记录;
所述行为分析模块,用于针对特定网络行为设备访问记录,以设备号为主数据,统计某时间段内设备的特定网络行为情况,进行综合预警分析,并筛选出重点设备;
所述行为分析模块包括综合预警分析单元和重点设备筛选单元,
所述综合预警分析单元,用于构建设备行为记录,根据设备行为记录统计每个特定网络行为的总域名数量、总设备数量和总访问次数,并以此判断对应特定网络行为是否达到预警处置警戒线;若对应特定网络行为达到预警处置警戒线,对重点设备进行处置;
所述重点设备筛选单元,用于当特定网络行为达到预警处置警戒线时,根据设备行为记录统计对应特定网络行为中每个设备访问的域名数量和访问次数,当访问的域名数量或访问次数超过预警值时,判定为重点设备。
8.根据权利要求7所述的一种基于多源数据融合的特定网络行为分析系统,其特征在于,所述行为分析模块还包括特定网络行为域名库更新单元,所述特定网络行为域名库更新单元用于针对重点设备,在域名时段解析记录中检索其目的IP地址的历史访问记录,与特定网络行为域名库中已记录的域名进行对比,若有新的行为域名,则将其添加至特定网络行为域名库。
CN202210401600.3A 2022-04-18 2022-04-18 一种基于多源数据融合的特定网络行为分析方法和系统 Active CN114500122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210401600.3A CN114500122B (zh) 2022-04-18 2022-04-18 一种基于多源数据融合的特定网络行为分析方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210401600.3A CN114500122B (zh) 2022-04-18 2022-04-18 一种基于多源数据融合的特定网络行为分析方法和系统

Publications (2)

Publication Number Publication Date
CN114500122A CN114500122A (zh) 2022-05-13
CN114500122B true CN114500122B (zh) 2022-07-01

Family

ID=81489365

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210401600.3A Active CN114500122B (zh) 2022-04-18 2022-04-18 一种基于多源数据融合的特定网络行为分析方法和系统

Country Status (1)

Country Link
CN (1) CN114500122B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115827414B (zh) * 2023-02-15 2023-05-02 天津戎行集团有限公司 一种基于开源数据的网络用户行为监测分析方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109597869A (zh) * 2018-11-30 2019-04-09 杭州芸品绿信息科技有限公司 恶意网站制作的犯罪团伙筛选方法
CN110401614A (zh) * 2018-04-24 2019-11-01 中移(杭州)信息技术有限公司 恶意域名的溯源方法及装置
CN113987476A (zh) * 2021-10-26 2022-01-28 新华三信息安全技术有限公司 一种失陷主机确定方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101924757B (zh) * 2010-07-30 2013-12-18 中国电信股份有限公司 追溯僵尸网络的方法和系统
WO2014052756A2 (en) * 2012-09-28 2014-04-03 Level 3 Communications, Llc Apparatus, system and method for identifying and mitigating malicious network threats
CN106453401A (zh) * 2016-10-21 2017-02-22 国家计算机网络与信息安全管理中心山东分中心 一种基于多源海量异构数据的网络监测分析及管理平台
CN108566448A (zh) * 2018-04-13 2018-09-21 国家计算机网络与信息安全管理中心 基于互联网基础资源的ip地址关联分析方法和分析系统
CN111010409B (zh) * 2020-01-07 2021-08-17 南京林业大学 加密攻击网络流量检测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110401614A (zh) * 2018-04-24 2019-11-01 中移(杭州)信息技术有限公司 恶意域名的溯源方法及装置
CN109597869A (zh) * 2018-11-30 2019-04-09 杭州芸品绿信息科技有限公司 恶意网站制作的犯罪团伙筛选方法
CN113987476A (zh) * 2021-10-26 2022-01-28 新华三信息安全技术有限公司 一种失陷主机确定方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
多源日志的数据挖掘方法研究;刘成山等;《情报杂志》;20090318(第03期);全文 *

Also Published As

Publication number Publication date
CN114500122A (zh) 2022-05-13

Similar Documents

Publication Publication Date Title
US11388198B2 (en) Collaborative database and reputation management in adversarial information environments
CN110431817B (zh) 识别恶意网络设备
US11297109B2 (en) System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems
AU2019219712B2 (en) System and methods for identifying compromised personally identifiable information on the internet
CN111245793A (zh) 网络数据的异常分析方法及装置
US7278156B2 (en) System and method for enforcing security service level agreements
CN113486351A (zh) 一种民航空管网络安全检测预警平台
US20130067582A1 (en) Systems, methods and devices for providing device authentication, mitigation and risk analysis in the internet and cloud
US20130081065A1 (en) Dynamic Multidimensional Schemas for Event Monitoring
CN103918222A (zh) 用于检测拒绝服务攻击的系统和方法
US11968239B2 (en) System and method for detection and mitigation of data source compromises in adversarial information environments
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN109347808B (zh) 一种基于用户群行为活动的安全分析方法
WO2021243321A1 (en) A system and methods for score cybersecurity
Singhal Data warehousing and data mining techniques for cyber security
EP4024252A1 (en) A system and method for identifying exploited cves using honeypots
CN114500122B (zh) 一种基于多源数据融合的特定网络行为分析方法和系统
Apoorva et al. Analysis of uniform resource locator using boosting algorithms for forensic purpose
Trivedi et al. Threat intelligence analysis of onion websites using sublinks and keywords
US20240171614A1 (en) System and method for internet activity and health forecasting and internet noise analysis
KR102592624B1 (ko) 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법
Golovko Toward Automated Threat Modeling by Adversary Network Infrastructure Discovery
Sharma et al. Scoring Algorithm Identifying Anomalous Behavior in Enterprise Network
Mironeanu et al. Application of Association Rule Mining in Preventing Cyberattacks
CN115840939A (zh) 安全漏洞处理方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant