專利名稱:一種基于可視分析的網(wǎng)站異常訪問行為的檢測方法
技術領域:
本發(fā)明屬于網(wǎng)絡安全可視分析領域���,涉及一種用可視化技術重現(xiàn)用戶在網(wǎng)站上的行為并結合人為分析有效發(fā)現(xiàn)訪問網(wǎng)站異常行為的方法����。
背景技術:
隨著近年來互聯(lián)網(wǎng)的飛速發(fā)展,針對網(wǎng)站的攻擊呈現(xiàn)出頻繁化和多樣化的發(fā)展趨勢?����,F(xiàn)在流行的攻擊方式包括DoS/DDoS攻擊����、SQL注入攻擊等����,有可能有惡意企圖的行為包括惡意試探行為和趴站行為等。由黑客攻擊網(wǎng)站帶來的經(jīng)濟損失不計其數(shù)��,給互聯(lián)網(wǎng)秩序和個人隱私帶來極大危害�。因此,從海量的用戶訪問中找到異常的訪問模式從而發(fā)現(xiàn)惡意行為對于網(wǎng)站安全維護極為重要�����??梢暦治鍪且豁椊鼛啄臧l(fā)展起來的新技術��,是信息可視化與科學可視化領域發(fā)展的產(chǎn)物��,側重于借助于交互式用戶界面而進行的分析推理��。信息可視化技術是在現(xiàn)代信息處理平臺的基礎上�,根據(jù)用戶對信息的需要�����,利用適當?shù)目梢暬柋硎靖鞣N信息和信息內(nèi)外部的關系��,使人們更方便��、迅速地與信息源進行交互�,發(fā)現(xiàn)隱藏在信息中的各類知識。計算機對于信息的可視化展示和人的觀察和分析結合��,形成了高效地可視分析方法來解決各種難題�。如今,人們對于針對網(wǎng)站攻擊的檢測做出了多方面的努力���。一部分研究者把重心放在了通過基于網(wǎng)絡層數(shù)據(jù)包分析的入侵檢測系統(tǒng)來發(fā)現(xiàn)網(wǎng)站攻擊行為�,另一部分則重點研究了服務器日志���,通過分析記錄用戶行為的服務器日志來實現(xiàn)這個目標�����。和基于服務器日志分析的方法相比�����,基于入侵檢測系統(tǒng)的方法更為間接和不準確���。目前通過分析日志的方法發(fā)現(xiàn)攻擊的技術主要使用 的是數(shù)據(jù)挖掘技術�,然而目前的科技水平����,計算機并不可以完全替代人腦�����,需要在智能度和人工度之間做出一個平衡的選擇�����,這樣才能達到最為理想的效果�,從這點上來看���,可視分析的方法由于其出色得信息展示能力和人類理解力的高效利用具有獨特的優(yōu)勢?����;ヂ?lián)網(wǎng)的飛速發(fā)展使得服務器日志達到GB甚至是TB的數(shù)量級�����,如何處理如此大量的數(shù)據(jù)成為難題?,F(xiàn)有的可視分析技術由于可視化方法設計的問題,尚未有一種能克服大量數(shù)據(jù)的難題并且可以用來分析大型網(wǎng)站攻擊行為的方法出現(xiàn)�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的是克服現(xiàn)有技術的上述不足���,提供一種實時可視化檢測方法����,該種檢測方法�,利用GPU加速可視化處理,能夠減輕CPU的負擔���,能高效的分析并顯示網(wǎng)絡數(shù)據(jù)���,從而使用戶能夠發(fā)現(xiàn)DDoS攻擊前期所存在的主機掃描����,端口掃描和正在進行的DDoS攻擊��。本發(fā)明采用如下的技術方案:一種基于可視分析的網(wǎng)站異常訪問行為的檢測方法����,包括下列步驟:(I)對網(wǎng)站服務器日志數(shù)據(jù)進行預處理,將訪問數(shù)據(jù)和網(wǎng)站結構數(shù)據(jù)結合起來�����,將統(tǒng)計原始日志獲得的節(jié)點及其子節(jié)點累加的出現(xiàn)與訪問次數(shù)作為權值定義面積不同的可視化網(wǎng)站樹圖結構�。
( 2 )利用可視化方法展現(xiàn)經(jīng)過預處理后的網(wǎng)站服務器日志數(shù)據(jù)的位置、時間����、內(nèi)容信息���,方法為:a.根據(jù)可視化網(wǎng)站樹圖結構建立位置視圖��,展示用戶訪問的位置信息����,將用戶的動作(包括到來、離開�����、刷新�����,產(chǎn)生錯誤事件)用一些規(guī)定的符號在這個視圖的運動形象的表示出來���,表達用戶行為發(fā)生在網(wǎng)站結構中的位置以及對應的頁面�����;b.通過256進制把用戶的IPv4地址映射到2D空間中�����,得到利用散點圖展示的用戶視圖�����,對于用戶的動作�����,包括到來�����、離開���、刷新�����,產(chǎn)生錯誤事件均在于與位置視圖中一致的符號;c.建立時間軸視圖���,在此視圖中能夠加載相應時間點的各個狀態(tài)碼的數(shù)量,選擇關注的時間段�;d.將上述的三個視圖布置在同一個視窗下,可視化地展現(xiàn)用戶行為的位置�、時間、
內(nèi)容信息����;(3)定義用戶訪問事件的動畫方式,通過所述的三種視圖以及在三個不同視圖上采用的事件的動畫方式來展示每一個訪問地址在不同的時刻執(zhí)行了不同的用戶行為�����,其中用戶訪問時間的動畫方式定義如下表:
權利要求
1.一種基于可視分析的網(wǎng)站異常訪問行為的檢測方法�,包括下列步驟: (1)對網(wǎng)站服務器日志數(shù)據(jù)進行預處理,將訪問數(shù)據(jù)和網(wǎng)站結構數(shù)據(jù)結合起來��,將統(tǒng)計原始日志獲得的節(jié)點及其子節(jié)點累加的出現(xiàn)與訪問次數(shù)作為權值定義面積不同的可視化網(wǎng)站樹圖結構�。
(2)利用可視化方法展現(xiàn)經(jīng)過預處理后的網(wǎng)站服務器日志數(shù)據(jù)的位置、時間�、內(nèi)容信息,方法為: a.根據(jù)可視化網(wǎng)站樹圖結構建立位置視圖����,展示用戶訪問的位置信息,將用戶的動作(包括到來��、離開�、刷新,產(chǎn)生錯誤事件)用一些規(guī)定的符號在這個視圖的運動形象的表示出來���,表達用戶行為發(fā)生在網(wǎng)站結構中的位置以及對應的頁面���; b.通過256進制把用戶的IPv4地址映射到2D空間中��,得到利用散點圖展示的用戶視圖��,對于用戶的動作���,包括到來、離開�、刷新,產(chǎn)生錯誤事件均在于與位置視圖中一致的符號; c.建立時間軸視圖��,在此視圖中能夠加載相應時間點的各個狀態(tài)碼的數(shù)量��,選擇關注的時間段�����; d.將上述的三個視圖布置在同一個視窗下�,可視化地展現(xiàn)用戶行為的位置、時間�、內(nèi)容信息; (3)定義用戶訪問事件的動畫方式��,通過所述的三種視圖以及在三個不同視圖上采用的事件的動畫方式來展示每一個訪問地址在不同的時刻執(zhí)行了不同的用戶行為���,其中用戶訪問時間的動畫方式定義如下表:
2.根據(jù)權利要求1所述的基于可視分析的網(wǎng)站異常訪問行為的檢測方法����,其特征在于����,步驟(6)包括: (1)DoS/DDoS攻擊的發(fā)現(xiàn):若在上述的可視化結果中觀察到短時間內(nèi)產(chǎn)生大量的刷新環(huán),則判斷可能發(fā)生DoS/DDoS攻擊中的HTTP flood攻擊���; (2)SQL注入攻擊的發(fā)現(xiàn):若在上述的可視化結果中觀察到短時間內(nèi)產(chǎn)生大量的刷新環(huán)并且用戶提交參數(shù)異常�,則判斷可能發(fā)生SQL注入攻擊���; (3)惡意試探行為的發(fā)現(xiàn):若在上述的可視化結果中觀察到短時間內(nèi)產(chǎn)生大量的以實體為中心的相應顏色邊框黑色填充的矩形框的出現(xiàn)��,則判斷可能發(fā)生惡意試探行為�; (5)趴站行為的發(fā)現(xiàn):若在上述的可視化結果中觀察到短時間內(nèi)產(chǎn)生大量的訪問路徑��,則判斷可能發(fā)生趴站行為���。
3.根據(jù)權利要求1所述的基于可視分析的網(wǎng)站異常訪問行為的檢測方法�,其特征在于��,步驟(5)的用戶的訪問屬性數(shù)據(jù)包括: Ring Count:自環(huán)個數(shù),即對同一個頁面在較短時間內(nèi)訪問的次數(shù)之和�����; Attribute Length:用戶提交的參數(shù)長度; Page Count:所有訪問的不同頁面的個數(shù)��; Max Level:用戶訪問的最大層級數(shù)���; Status Code2:所有以2開頭的http信號出現(xiàn)的次數(shù)�����; Status Code3:所有以3開頭的http信號出現(xiàn)的次數(shù)��; Status Code4:所有以4開頭的http信號出現(xiàn)的次數(shù)�; Status Code5:所有以5開頭的http信號出現(xiàn)的次數(shù)���; Session Max:在一 個period內(nèi)訪問的所有次數(shù)的和的最大值����。
全文摘要
本發(fā)明屬于網(wǎng)絡安全可視分析領域��,涉及一種基于可視分析的網(wǎng)站異常訪問行為的檢測方法�����,包括把對網(wǎng)站服務器日志數(shù)據(jù)進行預處理;用可視化方法展現(xiàn)數(shù)據(jù)的位置���、時間�����、內(nèi)容信息;用動畫效果展現(xiàn)訪問事件�;對訪問用戶進行聚類分析;數(shù)據(jù)屬性的采集和計算�����;結合可視化結果��、聚類結果的觀察和人為分析進行異常行為模式的發(fā)現(xiàn)����。本發(fā)明的優(yōu)勢在于比傳統(tǒng)的純機器計算方法更清晰直觀更助于使用者理解,并且充分利用了人的智能�,在智能度和人工度之間找到一個比較好的平衡,有助于提高解決問題的效率�����。
文檔編號H04L29/08GK103138986SQ201310010198
公開日2013年6月5日 申請日期2013年1月9日 優(yōu)先權日2013年1月9日
發(fā)明者張加萬, 康凱, 呂文瀚, 趙煜, 陳章磊, 李彥霖 申請人:天津大學