CN115150206B - 一种信息安全用的入侵检测安全预警系统及其方法 - Google Patents

一种信息安全用的入侵检测安全预警系统及其方法 Download PDF

Info

Publication number
CN115150206B
CN115150206B CN202211081145.XA CN202211081145A CN115150206B CN 115150206 B CN115150206 B CN 115150206B CN 202211081145 A CN202211081145 A CN 202211081145A CN 115150206 B CN115150206 B CN 115150206B
Authority
CN
China
Prior art keywords
address
access data
access
day
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211081145.XA
Other languages
English (en)
Other versions
CN115150206A (zh
Inventor
陈鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Guangtai Information Technology Co ltd
Original Assignee
Guangdong Guangtai Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Guangtai Information Technology Co ltd filed Critical Guangdong Guangtai Information Technology Co ltd
Priority to CN202211081145.XA priority Critical patent/CN115150206B/zh
Publication of CN115150206A publication Critical patent/CN115150206A/zh
Application granted granted Critical
Publication of CN115150206B publication Critical patent/CN115150206B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及数字信息的传输领域,具体涉及一种信息安全用的入侵检测安全预警系统及其方法,包括:采集购物网站一日内的访问数据信息;利用各IP地址在一日内的访问数据频率的方差、访问数据浏览时长的熵值,得到各IP地址的访问异常程度值,进而获取疑似异常的IP地址;对疑似异常的IP地址的访问异常程度值进行聚类;利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。上述系统和方法可对购物网站的异常入侵进行检测并预警,可提高检测准确度。

Description

一种信息安全用的入侵检测安全预警系统及其方法
技术领域
本发明涉及数字信息的传输领域,具体涉及一种信息安全用的入侵检测安全预警系统及其方法。
背景技术
随着信息时代的到来,人们对网络的依赖越来越强,尤其是网上购物已然成为一种新的生活模式。但是在网上购物的过程中,由于购物网站的监管不到位,购物网站很容易被不法分子入侵,趁机窃取消费者的信息。因此,对购物网站的异常入侵进行检测并预警是非常有必要的。
目前,大多数购物网站通过设置防火墙对购物网站的异常入侵进行检测并预警:首先提取购物网站的访问数据的特征,然后将访问数据的特征与特征库中的异常特征进行匹配,根据匹配结果来判断访问数据中是否存在异常入侵,进一步对异常入侵进行预警。
但是,现有的通过设置防火墙对购物网站的异常入侵进行检测并预警的方法需要将访问数据的特征与特征库中的异常特征进行匹配,而当特征库中不存在与异常入侵的访问数据相匹配的异常特征时,则异常入侵就很容易被漏检,导致未能及时预警异常入侵,降低了购物网站的异常入侵检测的准确度,进而降低了购物网站的网络安全性。
发明内容
本发明提供一种信息安全用的入侵检测安全预警系统及其方法,以解决现有的购物网站异常入侵检测方法准确度低的问题。
为达到上述目的,本发明采用如下技术方案,一种信息安全用的入侵检测安全预警系统,包括采集模块、计算模块、预警模块:
采集模块:用于采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据及访问数据的访问时间、浏览时长、IP地址;
计算模块:用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
预警模块:用于对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个IP地址在一日内的访问数据频率的方差是按照如下方式得到:
统计每个IP地址在一日内的所有访问数据;
将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到每个IP地址的访问数据序列;
利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差。
所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个IP地址在一日内的访问数据浏览时长的熵值是按照如下方式得到:
统计每个IP地址在一日内的各访问数据的浏览时长;
计算每个IP地址在一日内的各访问数据的浏览时长出现的概率;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值。
所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个IP地址在一日内的访问异常程度值的表达式如下:
Figure 846184DEST_PATH_IMAGE001
式中,
Figure 968861DEST_PATH_IMAGE002
表示第
Figure 663147DEST_PATH_IMAGE003
个IP地址在一日内的访问异常程度值,
Figure 580288DEST_PATH_IMAGE004
表示第
Figure 625604DEST_PATH_IMAGE003
个IP地址在一日内的访问数据频率的方差,
Figure 161759DEST_PATH_IMAGE005
表示第
Figure 710552DEST_PATH_IMAGE003
个IP地址在一日内的访问数据浏览时长的熵值,
Figure 64173DEST_PATH_IMAGE006
表示自然常数。
所述一种信息安全用的入侵检测安全预警系统,所述计算模块中疑似异常的IP地址是按照如下方式获取:
设置异常程度值阈值,对每个IP地址在一日内的访问异常程度值进行判断:当IP地址在一日内的访问异常程度值大于异常程度值阈值时,则该IP地址为疑似异常的IP地址;当IP地址在一日内的访问异常程度值小于等于异常程度值阈值时,则该IP地址为正常的IP地址。
所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个聚类簇中具有访问同步性的IP地址是按照如下方式获取:
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
对每个聚类簇进行如下操作:
选取聚类簇中的任意两个疑似异常的IP地址作为第一IP地址和第二IP地址;
将第一IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到第一IP地址的访问数据序列;
按照得到第一IP地址的访问数据序列的方法得到第二IP地址的访问数据序列;
对第一IP地址的访问数据序列和第二IP地址的访问数据序列进行判断:当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量不相同时,则说明第一IP地址和第二IP地址的访问行为不具有同步性;当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量相同时,则进行如下操作:
将第一IP地址的访问数据序列中第一个访问数据的访问时间和第二IP地址的访问数据序列中第一个访问数据的访问时间进行作差,得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值;
按照得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值;
设置访问时间差值阈值,对第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值进行判断:当第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值的绝对值均小于访问时间差值阈值时,则说明第一IP地址和第二IP地址的访问行为具有同步性,反之则说明第一IP地址和第二IP地址的访问行为不具有同步性;
按照对第一IP地址和第二IP地址的访问行为是否具有同步性进行判断的方法对第一IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进行判断,获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址;
按照获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址的方法获取聚类簇中与其他每个IP地址的访问行为具有同步性的所有IP地址。
本发明还提供一种信息安全用的入侵检测安全预警方法,包括:
采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据、访问数据的访问时间、浏览时长、IP地址;
利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
本发明的有益效果是:本发明利用每个IP地址的访问数据频率的方差和访问数据浏览时长的熵值,得到每个IP地址的访问异常程度值,利用每个IP地址的访问数据的特征将IP地址的异常程度进行量化,使得异常入侵检测更准确、更容易判定。本发明利用每个IP地址的访问异常程度值初步判断疑似异常的IP地址,然后利用疑似异常的IP地址的访问数据的数量和访问数据的访问时间判断得到异常的IP地址,根据正常访问数据和异常访问数据的特征区分出异常的IP地址,可有效提高异常入侵检测的准确度。相比于现有的通过设置防火墙对购物网站的异常入侵进行检测并预警的方法,本发明对经过防火墙检测后的访问数据进行分析,根据访问数据的特征确定出异常的IP地址,经过两次的异常入侵检测,可有效提高购物网站异常入侵检测的准确度,进而提高了购物网站的网络安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种信息安全用的入侵检测安全预警系统流程框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提出一种信息安全用的入侵检测安全预警系统及其方法,为提高购物网站的网络安全性提供帮助。
购物网站时刻都具有极高的访问量,也更容易被不法分子钻空子,而现有的通过设置防火墙来检测购物网站是否存在异常入侵的方法需要将访问数据的特征与特征库中的异常特征进行匹配,而当特征库中不存在与异常入侵的访问数据相匹配的异常特征时,则异常入侵就很容易被漏检,降低了购物网站的异常入侵检测的准确度,进而降低了购物网站的网络安全性。因此,本发明对经过防火墙检测后的访问数据进行分析,根据访问数据的特征确定出异常的IP地址,从而大大提高了购物网站异常入侵检测的准确度,进而提高了购物网站的网络安全性。
本实施例是为了避免在防火墙检测后,出现未能识别的异常访问数据,对进入的异常访问数据进行行为监控,因为无论是对运营网页的任何入侵行为,例如恶意破解、口令入侵、流量占用、安全漏洞攻击等,本质上都是需要通过高频入侵、穷举的方式来实现的,这种巨量、高频的入侵行为是不可能通过人为实现的,需要有机器、软件、模拟器等支持,因此我们对防火墙未识别的访问行为,监测其行为异常特征,然后判断所检测出的异常IP地址同一时段内的访问行为是否存在同步性,进一步确定异常入侵行为,拉黑已进入的IP地址,提高购物网站的安全性。
本发明的一种信息安全用的入侵检测安全预警系统的实施例,如图1所示,包括:
一、采集模块。
用于采集购物网站一日内的访问数据信息,所述访问数据信息包括访问数据的访问时间、浏览时长、IP地址:利用事件生成器,从购物网站后台记录所有访问信息,包括访问时间、访问频率、浏览时长、IP地址、访问的网页、所用浏览器等。事件生成器是一个整合所有类型记录日志以及访问行为的工具。从事件生成器得到的访问信息中提取购物网站一日内的访问数据信息,用于后续的异常入侵检测。实施者可根据不同情况提取不同时间段内的访问数据信息。本实施例的访问数据是经过防火墙检测后的访问数据。
二、计算模块。
1、用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差。
由于防火墙特征库本身的不足,导致会有漏检的恶意访问被放入防火墙内,因此需要对已放入的访问数据进行监测,根据其异常行为进行二次防护。对当前时段的访问数据,即购物网站一日内的访问数据,按照IP地址进行归类,计算每个IP地址的访问行为特征。密集大量的入侵行为不可能通过人为实现,因此我们根据IP地址的访问特征辨识每个IP地址的访问行为是人的行为还是机器行为。
因为访问数据频率是基于时间序列上连续的访问数据,即无论访问数据出现后发生了什么,访问数据频率只采集本次访问数据出现至下次访问数据出现的时间差,因此对于时间序列上连续的随机变量我们用方差来体现访问频率的异常,若IP地址的访问行为是机器行为,则其访问数据频率的方差会特别小,若IP地址的访问行为是人为访问,则其访问数据频率较为离散,方差较大。基于此,计算每个IP地址在一日内的访问数据频率的方差,过程如下:
将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到每个IP地址的访问数据序列;
利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差:
Figure 331206DEST_PATH_IMAGE007
式中,
Figure 795685DEST_PATH_IMAGE008
表示第
Figure 464564DEST_PATH_IMAGE009
个IP地址在一日内的访问数据频率的方差,
Figure 113720DEST_PATH_IMAGE010
表示第
Figure 868049DEST_PATH_IMAGE011
个IP地址在一日内的所有访问数据的数量,
Figure 870641DEST_PATH_IMAGE012
表示第
Figure 394026DEST_PATH_IMAGE013
个IP地址的访问数据序列中第i个访问数据的访问时间,
Figure 823870DEST_PATH_IMAGE014
表示第
Figure 65496DEST_PATH_IMAGE015
个IP地址的访问数据序列中第i-1个访问数据的访问时间,
Figure 606198DEST_PATH_IMAGE016
表示第
Figure 515248DEST_PATH_IMAGE017
个IP地址的访问数据序列中所有访问数据的平均访问时间间隔。此处利用每个IP地址的访问数据序列中相邻访问数据的时间间隔来表示每个IP地址在一日内的访问数据频率,相邻访问数据的时间间隔越小,访问数据频率越大,相邻访问数据的时间间隔越大,访问数据频率越小。然后利用每个IP地址的访问数据序列中所有相邻访问数据的时间间隔计算得到每个IP地址在一日内的访问数据频率的方差,访问数据频率的方差越小,说明该IP地址的访问行为是机器行为的可能性越大。
2、利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值。
若IP地址的访问行为是人为操作,则每次访问页面的停留时间不同,若IP地址的访问行为是机器操作,则可能每次访问的时间相同。但浏览时长并不是在时间序列上连续,而是离散的随机变量数据,每一次访问的浏览时长都独立存在,因此我们用熵值代表浏览时长的异常。熵值越大代表浏览时长越混乱,越趋向人为操作,熵值越小代表浏览时长越相同,趋向机器操作。基于此,计算每个IP地址在一日内的访问数据浏览时长的熵值,过程如下:
计算每个IP地址在一日内的各访问数据的浏览时长出现的概率;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值:
Figure 991360DEST_PATH_IMAGE018
Figure 985861DEST_PATH_IMAGE005
表示第
Figure 64676DEST_PATH_IMAGE019
个IP地址在一日内的访问数据浏览时长的熵值,
Figure 828232DEST_PATH_IMAGE020
表示第
Figure 334300DEST_PATH_IMAGE019
个IP地址在一日内的所有访问数据的数量,
Figure 816097DEST_PATH_IMAGE021
表示第
Figure 698602DEST_PATH_IMAGE019
个IP地址在一日内的第j个访问数据的浏览时长,
Figure 441299DEST_PATH_IMAGE022
表示第
Figure 383847DEST_PATH_IMAGE019
个IP地址在一日内的第j个访问数据的浏览时长出现的概率,
Figure 87361DEST_PATH_IMAGE023
表示以2为底数的对数函数。此处利用每个IP地址在一日内的各访问数据的浏览时长出现的概率来计算得到每个IP地址在一日内的访问数据浏览时长的熵值,熵值越大代表浏览时长越混乱,越趋向人为操作,熵值越小代表浏览时长越相同,趋向机器操作。
需要说明的是:这里用熵值需要跟访问数据频率的方差区分开,简单说就是打开一个网页然后立马关了,过一会打开一个新的网页,和打开一个网页浏览了一定时间然后关掉再打开新的网页,这两种情况的访问频率相同,但浏览时长就完全不同了,所以对于访问频率用方差,对于浏览时长用熵值。
3、利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值。
计算得到每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值后,就可以计算得到每个IP地址在一日内的访问异常程度值:
Figure 507978DEST_PATH_IMAGE024
式中,
Figure 246127DEST_PATH_IMAGE002
表示第
Figure 93997DEST_PATH_IMAGE019
个IP地址在一日内的访问异常程度值,
Figure 284807DEST_PATH_IMAGE004
表示第
Figure 509115DEST_PATH_IMAGE019
个IP地址在一日内的访问数据频率的方差,
Figure 977137DEST_PATH_IMAGE005
表示第
Figure 261488DEST_PATH_IMAGE019
个IP地址在一日内的访问数据浏览时长的熵值,
Figure 939594DEST_PATH_IMAGE006
表示自然常数。此处分别利用
Figure 702013DEST_PATH_IMAGE025
Figure 883596DEST_PATH_IMAGE026
Figure 604427DEST_PATH_IMAGE004
Figure 769829DEST_PATH_IMAGE005
的取值进行反比例关系归一化,
Figure 335940DEST_PATH_IMAGE004
越小,
Figure 762242DEST_PATH_IMAGE025
在0-1之间越大,
Figure 653975DEST_PATH_IMAGE005
越小,
Figure 41094DEST_PATH_IMAGE026
在0-1之间越大,然后
Figure 410895DEST_PATH_IMAGE027
代表将两个特征进行L2范数值计算,得到每个IP地址在一日内的访问异常程度值。此处结合IP地址的访问数据频率的方差和访问数据浏览时长的熵值计算异常程度值,是因为IP地址的访问数据频率的方差越小,且访问数据浏览时长的熵值越小时,该IP地址的访问行为越异常,即为该IP地址的访问异常程度值越大。
4、根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址。
设置异常程度值阈值D,D可根据实施者具体实施情况而定,本实施例给出经验参考值D=0.8。
对每个IP地址在一日内的访问异常程度值进行判断:当IP地址在一日内的访问异常程度值大于0.8时,则该IP地址为疑似异常的IP地址,反之则为正常。
5、对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇。
一般异常入侵行为不会仅有一个IP地址进行攻击,为了混淆安全防护系统,往往是多个IP地址同时进行入侵,并且真正的人为点击网页也可能存在频繁点击,导致仅以IP地址的访问异常程度值来识别异常入侵不够全面。
我们利用IP地址的访问异常程度值获取购物网站一日内所有疑似异常的IP地址。然后对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇。接着我们分析每个聚类簇内不同IP地址的关联性:异常入侵访问是通过破解器、模拟器等机器设置好参数,利用多个IP地址进行高频访问实现的。同一机器输出的访问行为,具有行为相同、访问时间上并行、连续的特征。
6、利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址。
由于同一机器输出的访问行为具有行为相同、访问时间上并行、连续的特征,本实施例通过判断每个聚类簇中IP地址的访问行为是否具有同步性,得到异常的IP地址。具体过程如下:
选取聚类簇中的任意两个疑似异常的IP地址作为第一IP地址和第二IP地址;
将两个IP地址的访问数据序列中的访问数据进行对比:
当两个IP地址的访问数据序列中访问数据的数量不相同时,则说明第一IP地址和第二IP地址的访问行为不具有同步性;当两个IP地址的访问数据序列中访问数据的数量相同时,则进行如下操作:
将第一IP地址的访问数据序列中第一个访问数据的访问时间和第二IP地址的访问数据序列中第一个访问数据的访问时间进行作差,得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值;
按照得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值;
设置访问时间差值阈值E,E可根据实施者具体实施情况而定,本实施例给出经验参考值E=5秒。
对第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值进行判断:当第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值的绝对值均小于5秒时,则说明第一IP地址和第二IP地址的访问行为具有同步性,反之则说明第一IP地址和第二IP地址的访问行为不具有同步性;
依此类推,对第一IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进行判断,获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址;
按照获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址的方法获取聚类簇中与其他每个IP地址的访问行为具有同步性的所有IP地址。
三、预警模块。
用于对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑:获取每个聚类簇中具有访问同步性的IP地址后,其中具有访问同步性且大于2组的IP地址都可能是同一机器输出的恶意访问。因此将具有访问同步性且大于2组的IP地址作为异常的IP地址,对这些IP地址进行预警并拉入黑名单。
基于与上述系统相同的发明构思,本实施例还提供了一种信息安全用的入侵检测安全预警方法,包括:采集购物网站一日内的访问数据信息,所述访问数据信息包括访问数据的访问时间、浏览时长、IP地址;利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种信息安全用的入侵检测安全预警系统,其特征在于,包括采集模块、计算模块、预警模块:
采集模块:用于采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据及访问数据的访问时间、浏览时长、IP地址;
计算模块:用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
预警模块:用于对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
2.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个IP地址在一日内的访问数据频率的方差是按照如下方式得到:
统计每个IP地址在一日内的所有访问数据;
将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到每个IP地址的访问数据序列;
利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差。
3.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个IP地址在一日内的访问数据浏览时长的熵值是按照如下方式得到:
统计每个IP地址在一日内的各访问数据的浏览时长;
计算每个IP地址在一日内的各访问数据的浏览时长出现的概率;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值。
4.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个IP地址在一日内的访问异常程度值的表达式如下:
Figure 307837DEST_PATH_IMAGE001
式中,
Figure 301201DEST_PATH_IMAGE002
表示第
Figure 55530DEST_PATH_IMAGE003
个IP地址在一日内的访问异常程度值,
Figure 58121DEST_PATH_IMAGE004
表示第
Figure 581507DEST_PATH_IMAGE003
个IP地址在一日内的访问数据频率的方差,
Figure 413283DEST_PATH_IMAGE005
表示第
Figure 654908DEST_PATH_IMAGE003
个IP地址在一日内的访问数据浏览时长的熵值,
Figure 195611DEST_PATH_IMAGE006
表示自然常数。
5.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中疑似异常的IP地址是按照如下方式获取:
设置异常程度值阈值,对每个IP地址在一日内的访问异常程度值进行判断:当IP地址在一日内的访问异常程度值大于异常程度值阈值时,则该IP地址为疑似异常的IP地址;当IP地址在一日内的访问异常程度值小于等于异常程度值阈值时,则该IP地址为正常的IP地址。
6.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个聚类簇中具有访问同步性的IP地址是按照如下方式获取:
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
对每个聚类簇进行如下操作:
选取聚类簇中的任意两个疑似异常的IP地址作为第一IP地址和第二IP地址;
将第一IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到第一IP地址的访问数据序列;
按照得到第一IP地址的访问数据序列的方法得到第二IP地址的访问数据序列;
对第一IP地址的访问数据序列和第二IP地址的访问数据序列进行判断:当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量不相同时,则说明第一IP地址和第二IP地址的访问行为不具有同步性;当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量相同时,则进行如下操作:
将第一IP地址的访问数据序列中第一个访问数据的访问时间和第二IP地址的访问数据序列中第一个访问数据的访问时间进行作差,得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值;
按照得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值;
设置访问时间差值阈值,对第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值进行判断:当第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值的绝对值均小于访问时间差值阈值时,则说明第一IP地址和第二IP地址的访问行为具有同步性,反之则说明第一IP地址和第二IP地址的访问行为不具有同步性;
按照对第一IP地址和第二IP地址的访问行为是否具有同步性进行判断的方法对第一IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进行判断,获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址;
按照获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址的方法获取聚类簇中与其他每个IP地址的访问行为具有同步性的所有IP地址。
7.一种信息安全用的入侵检测安全预警方法,其特征在于,包括:
采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据、访问数据的访问时间、浏览时长、IP地址;
利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
CN202211081145.XA 2022-09-06 2022-09-06 一种信息安全用的入侵检测安全预警系统及其方法 Active CN115150206B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211081145.XA CN115150206B (zh) 2022-09-06 2022-09-06 一种信息安全用的入侵检测安全预警系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211081145.XA CN115150206B (zh) 2022-09-06 2022-09-06 一种信息安全用的入侵检测安全预警系统及其方法

Publications (2)

Publication Number Publication Date
CN115150206A CN115150206A (zh) 2022-10-04
CN115150206B true CN115150206B (zh) 2022-11-04

Family

ID=83415163

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211081145.XA Active CN115150206B (zh) 2022-09-06 2022-09-06 一种信息安全用的入侵检测安全预警系统及其方法

Country Status (1)

Country Link
CN (1) CN115150206B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116684202B (zh) * 2023-08-01 2023-10-24 光谷技术有限公司 一种物联网信息安全传输方法
CN118041692B (zh) * 2024-04-11 2024-06-11 武汉明合永安科技有限公司 基于入侵检测技术的网络安全测试方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106156055A (zh) * 2015-03-27 2016-11-23 阿里巴巴集团控股有限公司 搜索引擎爬虫的识别、处理方法及装置
CN109413044A (zh) * 2018-09-26 2019-03-01 中国平安人寿保险股份有限公司 一种异常访问请求识别方法及终端设备
CN109981533A (zh) * 2017-12-27 2019-07-05 中移(杭州)信息技术有限公司 一种DDoS攻击检测方法、装置、电子设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6528448B2 (ja) * 2015-02-19 2019-06-12 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106156055A (zh) * 2015-03-27 2016-11-23 阿里巴巴集团控股有限公司 搜索引擎爬虫的识别、处理方法及装置
CN109981533A (zh) * 2017-12-27 2019-07-05 中移(杭州)信息技术有限公司 一种DDoS攻击检测方法、装置、电子设备及存储介质
CN109413044A (zh) * 2018-09-26 2019-03-01 中国平安人寿保险股份有限公司 一种异常访问请求识别方法及终端设备

Also Published As

Publication number Publication date
CN115150206A (zh) 2022-10-04

Similar Documents

Publication Publication Date Title
CN115150206B (zh) 一种信息安全用的入侵检测安全预警系统及其方法
CN111669375B (zh) 一种电力工控终端在线安全态势评估方法及系统
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN109714324B (zh) 基于机器学习算法的用户网络异常行为发现方法及系统
CN109309675A (zh) 一种基于卷积神经网络的网络入侵检测方法
CN108712453A (zh) 基于逻辑回归算法的注入攻击检测方法、装置和服务器
CN112887325B (zh) 一种基于网络流量的电信网络诈骗犯罪欺诈识别方法
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
CN105959316A (zh) 网络安全性验证系统
CN109257393A (zh) 基于机器学习的xss攻击防御方法及装置
CN106951776A (zh) 一种主机异常检测方法和系统
CN109120592A (zh) 一种基于用户行为的Web异常检测系统
CN112329713A (zh) 网络流量异常在线检测方法、系统、计算机设备及存储介质
CN111191720B (zh) 一种业务场景的识别方法、装置及电子设备
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、系统及介质
CN106792883A (zh) 传感器网络异常数据检测方法与系统
CN115348080B (zh) 基于大数据的网络设备脆弱性综合分析系统及方法
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN115242441A (zh) 一种基于特征选择和深度神经网络的网络入侵检测方法
CN112600828B (zh) 基于数据报文的电力控制系统攻击检测防护方法及装置
CN113283906A (zh) 基于设备指纹的支付购电风险监测方法及装置
Xue Research on network security intrusion detection with an extreme learning machine algorithm
CN116846612A (zh) 攻击链补全方法、装置、电子设备及存储介质
Xinguang et al. Intrusion detection based on system calls and homogeneous Markov chains
CN117834311B (zh) 一种用于网络安全的恶意行为识别系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant