[发明专利]一种攻击识别方法及其识别系统

说明书

本发明提供一种攻击识别方法及其识别系统，包括以下步骤：S1：获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；S3：获取一用户访问所述域名时采用该浏览路径的次数；S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于路径上下文信息的攻击识别方法及其识别系统。

背景技术

目前主流的网络安全算法都是采用统计、正则匹配等方法，比如统计基于ip的pv信息、ua信息、报文大小信息、基于正则的waf算法等，然后根据某个时间窗口内的相应变量的统计信息与基准值的差异度来判断此次访问是否合法。现有的统计方法主要有如下缺点：

1、容易丢失上下文信息，缺失威胁识别的关键特征；

2、受噪声的干扰影响大，在极值或者突发情况(比如客户某个时间点做活动)会严重算法的准确率；

3、阈值设定不灵活，无法良好应对用户规模和访问量动态变化的情况。

因此，如何克服现有技术中存在的上述缺陷，成为本领域技术人员亟待解决的问题。

发明内容

本发明旨在解决现有网络安全算法中存在的特征维度不全、算法准确率下降的问题。为此，本发明首先提供了一种基于路径上下文信息的攻击识别方法。

本发明提出的攻击识别方法包括以下步骤：

S1：获取一域名的访问日志流，基于所述访问日志流各用户在访问所述域名时的浏览路径信息，并基于所述浏览路径信息确定该域名的浏览路径规律；

S2：根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一浏览路径的概率；

S3：获取一用户访问所述域名时采用该浏览路径的次数；

S4：基于所述次数和所述概率，确定所述用户采用所述浏览路径访问所述域名的威胁程度。

根据本发明提出的攻击识别方法，步骤S1中基于所述浏览路径信息确定该域名的浏览路径规律的步骤包括：

S11：确定一用户访问所述域名时浏览的一页面对应的地址节点是否记录在浏览路径中；

S12：确定包含一个或多个地址节点的浏览路径的最后地址节点。

根据本发明提出的攻击识别方法，当满足下述条件中任一项时，确定一用户访问所述域名时浏览的一页面对应的地址节点记录在浏览路径中：

一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值；

一地址节点为关键节点；

一地址节点的前一个地址节点为关键节点。

根据本发明提出的攻击识别方法，确定包含一个或多个地址节点的浏览路径的最后地址节点包括以下方式中任一项：

一地址节点的访问时刻与该地址节点的前一个地址节点的访问时刻之间的时间间隔超过设定时间阈值，则该地址节点为其所在浏览路径中的最后地址节点；

一地址节点的前一个地址节点为关键节点，则该地址节点为其所在浏览路径中的最后地址节点；

一浏览路径中截止一地址节点的地址节点个数超过设定节点数阈值，则该地址节点为所述浏览路径中的最后地址节点。

根据本发明提出的攻击识别方法，根据所述浏览路径规律计算各用户访问所述域名时采用所述浏览路径规律中一路径的概率包括：