[发明专利]一种从Web日志中挖掘攻击频繁序列模式的方法

权利要求书

1.一种从Web日志中挖掘攻击频繁序列模式的方法，其特征在于实施步骤为：

(1)从服务器中收集日志数据、日志结构信息、网页信息、攻击特征码信息；

(2)将日志进行预处理得到攻击序列数据库，预处理包括攻击特征匹配、URL清理、用户识别、区分人为攻击和漏洞扫描器攻击、会话识别五个步骤；

(3)分别对人为攻击序列数据库和漏洞扫描器攻击序列数据库进行序列模式挖掘；

(4)对频繁序列进行模式分析并转换为图形语言。

2.根据权利要求1所述的从Web日志中挖掘攻击频繁序列模式的方法，其特征在于本方法在数据收集阶段要收集四方面的数据：

(1)日志数据，将其作为分析数据的主体；

(2)日志结构信息，用来解析日志数据，将字符串解析到每个相应的字段；

(3)攻击特征码与其对应的攻击类型，保存为漏洞特征库作为判断攻击的依据；

(4)收集网站页面信息并保存到文件中，作为识别URL请求某一页面的依据。

3.根据权利要求1所述的从Web日志中挖掘攻击频繁序列模式的方法，其特征在于本方法在数据预处理阶段：

(1)进行攻击特征匹配，清理掉正常的用户请求，保留恶意的用户请求，通过日志中的URL来匹配漏洞特征库，查找日志中含有攻击行为的记录，具体根据收集的日志结构信息，将解析到的URL与之前收集到的攻击特征码进行逐一对比，一旦URL中包含任意攻击类型的特征码，就判定该条日志记录产生了攻击的行为，并将其保存为攻击文件；

(2)攻击者的攻击信息保存到攻击文件后，对URL字段进行清理，依据数据收集阶段搜集的网站页面信息，判断本条攻击是对网站哪一个页面进行了Web漏洞的利用。

4.根据权利要求1或3所述的一种从Web日志中挖掘攻击频繁序列模式的方法，其特征在于本方法收集服务器日志数据后，对服务器的日志数据分别进行用户识别、区分人为攻击和漏洞扫描器攻击以及会话识别：

(1)依据日志中的IP字段和客户端信息字段识别多个用户；

(2)分别使用扫描工具指纹，单个用户某段时间内触发规则的次数，单个用户某时间段内响应状态错误的比例，这三种方法来将用户划分为人为攻击和漏洞扫描器的攻击两大类；

(3)分别对两类用户中的每个用户进行会话分割，选择10分钟作为默认的访问时间阈值，用户请求相邻两个页面的时间间隔超过这个阈值则认为用户又开始了一个新的会话。

5.根据权利要求1所述的从Web日志中挖掘攻击频繁序列模式的方法，其特征在于本方法采用数据挖掘中的序列模式挖掘算法，对网站访问日志的攻击数据进行挖掘，探索攻击者的攻击序列模式，在数据挖掘实施之前，将预处理生成的字符串序列数据库转换成数字序列数据库，保存数字与字符串对应的关系，使用前缀序列模式挖掘算法，并且在生成后缀数据库时，将所有后缀中属于前缀的项移除，算法实现步骤如下：

(1)扫描序列数据库，获得所有的1-频繁项集，其中频繁项集的长度为1；

(2)对于每个频繁项产生对应的投影数据库；

(3)获取前缀序列中的所有项，将投影数据库中包含的前缀项移除；

(4)对于每个投影数据库递归地发现频繁序列，直到没有频繁序列产生为止。

6.根据权利要求1所述的从Web日志中挖掘攻击频繁序列模式的方法，其特征在于本方法在得到频繁序列之后，实施：

(1)序列最大化操作，删除挖掘出的频繁序列中冗余的频繁序列；

(2)转化为图形语言操作，本方法按照序列模式挖掘前保存的数字与字符串对应关系的文件，将数字转换成该数字代表的字符串，并转化为图形语言中的一个节点，依据序列的顺序画出该节点与其它相关节点的联系图，得到各个攻击节点的顺序关系图，最后借助于图形显示工具将生成的图形语言打开，得到攻击序列图。