一種數(shù)據(jù)分析方法和系統(tǒng)與流程

文檔序號：12839051閱讀：306來源：國知局

本發(fā)明涉及計算機網(wǎng)絡安全技術領域，尤其涉及一種數(shù)據(jù)分析方法和系統(tǒng)。

背景技術：

隨著互聯(lián)網(wǎng)的飛速發(fā)展，基于瀏覽器/服務器模式(browser/server，b/s)架構系統(tǒng)已經(jīng)被廣泛運用到生活和工作的各個領域。為了解決上述所涉及的系統(tǒng)安全問題，入侵防御系統(tǒng)/入侵檢測系統(tǒng)(intrusionpreventionsystem/intrusiondetectionsystem，ips/ids)及防火墻等防護方式得到廣泛運用。

然而，現(xiàn)有的ips/ids，防火墻等防護方式僅能對介于局域網(wǎng)和互聯(lián)網(wǎng)之間起到防護作用；對于基于超文本傳輸協(xié)議(hypertexttransferprotocol，http)訪問的b/s架構系統(tǒng)，服務器端信任瀏覽器端發(fā)送來的全部數(shù)據(jù)，而瀏覽器端發(fā)送來的數(shù)據(jù)包經(jīng)常被惡意篡改，使服務器遭受越權訪問，跨站腳本攻擊，結構化查詢語言(structuredquerylanguage，sql)注入等互聯(lián)網(wǎng)攻擊，從而給系統(tǒng)安全以及用戶信息保護帶來極大挑戰(zhàn)。

基于此，用戶行為分析系統(tǒng)可以通過對用戶操作日志進行分析審計的方式，做到事后告警攻擊行為。但是，由于用戶日志量巨大，故完全依靠人工分析審計是件不可能做到的事情。而且，因沒有固定的分類模型，故無法準確從正常用戶操作行為中識別出異常用戶操作。

技術實現(xiàn)要素：

有鑒于此，為解決上述問題本發(fā)明實施例提供一種數(shù)據(jù)分析方法和系統(tǒng)。

為達到上述目的，本發(fā)明實施例的技術方案是這樣實現(xiàn)的：

本發(fā)明實施例提供一種數(shù)據(jù)分析方法，所述方法包括：

獲取用戶行為數(shù)據(jù)；

根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。

上述方案中，在繪制得到用戶行為軌跡之后，所述方法還包括：

檢測所述用戶行為軌跡是否滿足第一預設條件，所述第一預設條件用于表明所述用戶行為軌跡中在同一統(tǒng)一資源定位符url上的停留時間與正常操作時間閾值之間的時間間隔小于預設閾值；

若所述用戶行為軌跡滿足第一預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

上述方案中，所述方法還包括：

若所述用戶行為軌跡不滿足第一預設條件，繼續(xù)檢測所述用戶行為軌跡是否滿足第二預設條件，所述第二預設條件用于表明所述用戶行為軌跡中在同一url上的上傳數(shù)據(jù)不同；

若所述用戶行為軌跡不滿足第二預設條件，則繼續(xù)執(zhí)行將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對的處理操作；

若所述用戶行為軌跡滿足第二預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

上述方案中，所述方法還包括：

若所述比對結果為所述用戶行為軌跡能夠擬合到所述網(wǎng)絡地圖上，將所述用戶行為軌跡與用戶權限地圖進行擬合判斷處理；

若所述擬合判斷結果表明所述用戶行為軌跡超出用戶權限邊界，則確定所述用戶行為軌跡對應用戶行為發(fā)生越權攻擊。

上述方案中，所述方法還包括：

若所述擬合判斷結果表明所述用戶行為軌跡未超出用戶權限邊界，對所述用戶行為軌跡進行聚類判斷，得到聚類判斷結果；

若所述聚類判斷結果表明所述用戶行為軌跡為多數(shù)用戶行為，則確定所述用戶行為軌跡為正常用戶軌跡，記錄并添加所述用戶行為軌跡到用戶權限地圖；

若所述聚類判斷結果表明所述用戶行為軌跡為少數(shù)用戶行為，則確定所述用戶行為軌跡為異常行為軌跡。

上述方案中，所述確定所述用戶行為軌跡為異常行為軌跡之后，所述方法還包括：

對所述用戶行為軌跡進行人工審計分析，以進一步判斷所述用戶行為軌跡是否為攻擊行為；

若確定所述用戶行為軌跡為攻擊行為，則記錄并添加所述用戶行為軌跡到用戶權限地圖。

本發(fā)明實施例還提供一種數(shù)據(jù)分析系統(tǒng)，所述系統(tǒng)包括獲取模塊、繪制模塊、擬合比對模塊和確定模塊；

所述獲取模塊，用于獲取用戶行為數(shù)據(jù)；

所述繪制模塊，用于根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

所述擬合比對模塊，用于將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

所述確定模塊，用于若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。

上述方案中，所述系統(tǒng)還包括檢測模塊；

所述檢測模塊，用于檢測所述用戶行為軌跡是否滿足第一預設條件，所述第一預設條件用于表明所述用戶行為軌跡中在同一統(tǒng)一資源定位符url上的停留時間與正常操作時間閾值之間的時間間隔小于預設閾值；

所述確定模塊，還用于若所述用戶行為軌跡滿足第一預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

上述方案中，所述檢測模塊，還用于若所述用戶行為軌跡不滿足第一預設條件，繼續(xù)檢測所述用戶行為軌跡是否滿足第二預設條件，所述第二預設條件用于表明所述用戶行為軌跡中在同一url上的上傳數(shù)據(jù)不同；

相應的，所述擬合比對模塊，還用于若所述用戶行為軌跡不滿足第二預設條件，則繼續(xù)執(zhí)行將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對的處理操作；

所述確定模塊，還用于若所述用戶行為軌跡滿足第二預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

上述方案中，所述系統(tǒng)還包括擬合判斷模塊；

所述擬合判斷模塊，用于若所述比對結果為所述用戶行為軌跡能夠擬合到所述網(wǎng)絡地圖上，將所述用戶行為軌跡與用戶權限地圖進行擬合判斷處理；

所述確定模塊，還用于若所述擬合判斷結果表明所述用戶行為軌跡超出用戶權限邊界，則確定所述用戶行為軌跡對應用戶行為發(fā)生越權攻擊。

上述方案中，所述系統(tǒng)還包括聚類判斷模塊；

所述聚類判斷模塊，用于若所述擬合判斷結果表明所述用戶行為軌跡未超出用戶權限邊界，對所述用戶行為軌跡進行聚類判斷，得到聚類判斷結果；

所述確定模塊，還用于若所述聚類判斷結果表明所述用戶行為軌跡為多數(shù)用戶行為，則確定所述用戶行為軌跡為正常用戶軌跡，記錄并添加所述用戶行為軌跡到用戶權限地圖；還用于若所述聚類判斷結果表明所述用戶行為軌跡為少數(shù)用戶行為，則確定所述用戶行為軌跡為異常行為軌跡。

上述方案中，所述系統(tǒng)還包括人工審計分析模塊；

所述人工審計分析模塊，用于對所述用戶行為軌跡進行人工審計分析，以進一步判斷所述用戶行為軌跡是否為攻擊行為；若確定所述用戶行為軌跡為攻擊行為，則記錄并添加所述用戶行為軌跡到用戶權限地圖。

本發(fā)明實施例中，獲取用戶行為數(shù)據(jù)；根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。如此，通過網(wǎng)站地圖和用戶行為軌跡的擬合，最大程度的發(fā)現(xiàn)異常攻擊行為，從而避免在用戶日志量較大的情況下，無法完全依靠人工分析審計的方式進行異常行為分析的問題。

附圖說明

圖1為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖一；

圖2為本發(fā)明實施例用戶行為分析系統(tǒng)的架構圖；

圖3為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖二；

圖4為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖三；

圖5為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖四；

圖6為本發(fā)明實施例數(shù)據(jù)分析方法的具體實現(xiàn)流程示意圖；

圖7為本發(fā)明實施例數(shù)據(jù)分析系統(tǒng)的組成結構示意圖。

具體實施方式

下面結合附圖及具體實施例對本發(fā)明再作進一步詳細的說明。

實施例一

圖1為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖一，如圖1所示，本發(fā)明實施例數(shù)據(jù)分析方法包括：

步驟101，獲取用戶行為數(shù)據(jù)；

其中，所述用戶行為數(shù)據(jù)包括登陸時間、用戶唯一標識、統(tǒng)一資源定位符(uniformresourcelocator，url)、停留時間、上傳數(shù)據(jù)等信息。

具體地，結合如圖2所示的用戶行為分析系統(tǒng)，所述用戶行為分析系統(tǒng)中的用戶日志記錄器是獲取用戶行為數(shù)據(jù)的重要來源；故可以直接從用戶記錄器中獲取用戶行為數(shù)據(jù)。

步驟102，根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

這里，所述用戶行為數(shù)據(jù)中所包括的登陸時間、用戶唯一標識、url、停留時間、上傳數(shù)據(jù)等信息之間存在有關聯(lián)關系。相應地，如圖2所示，所述用戶行為分析系統(tǒng)中的用戶行為軌跡描繪器根據(jù)所述用戶醒悟數(shù)據(jù)中的關聯(lián)關系，舉例來說，以用戶的唯一標識為區(qū)別，以登陸時間關聯(lián)用戶日志間的前后關系，從而描繪得到用戶從登錄站點，到離開站點全過程的用戶行為軌跡。

步驟103，將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

其中，所述網(wǎng)站地圖是由如圖2所示的網(wǎng)站地圖繪制器利用網(wǎng)絡爬蟲技術繪制網(wǎng)站結構樹，以及各鏈接之間的關聯(lián)關系，從而形成的整個網(wǎng)站的脈絡地圖。這里，用戶的正常操作行為應為在地圖上相鄰連接之間順序變換。如用戶操作行為出現(xiàn)跳躍轉換或者出現(xiàn)在所賦予權限外的某個網(wǎng)站地點均可被辨識出為攻擊性行為。因此，如圖2所示，網(wǎng)站地圖繪制器和軌跡擬合判斷器、正常行為歸類器、異常行為歸類器間均存在著聯(lián)系。網(wǎng)站地圖繪制器為后三者提供基礎地圖服務，是后三者做行為識別判斷的基礎。

步驟104，若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。

結合本發(fā)明實施例所述步驟103～104，如圖2所示，所述用戶數(shù)據(jù)分析系統(tǒng)中的用戶行為軌跡描繪器與軌跡擬合判斷器相連，為軌跡擬合判斷器提供用戶行為軌跡。具體地，軌跡擬合器是用來將用戶的行為軌跡與網(wǎng)站地圖繪制器產(chǎn)生的網(wǎng)站地圖做比較對比；若軌跡能恰當?shù)臄M合到網(wǎng)站地圖上，則將此軌跡傳遞至正常行為歸類器，以供分析；對于無法擬合到網(wǎng)站地圖上的用戶軌跡，將其定義為異常用戶行為，傳遞至異常行為歸類器。

本發(fā)明實施例所述數(shù)據(jù)分析方法，獲取用戶行為數(shù)據(jù)；根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。如此，通過網(wǎng)站地圖和用戶行為軌跡的擬合，最大程度的發(fā)現(xiàn)異常攻擊行為，從而避免在用戶日志量較大的情況下，無法完全依靠人工分析審計的方式進行異常行為分析的問題。

實施例二

圖3為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖二，如圖3所示，本發(fā)明實施例數(shù)據(jù)分析方法包括：

步驟301，獲取用戶行為數(shù)據(jù)；

其中，所述用戶行為數(shù)據(jù)包括登陸時間、用戶唯一標識、url、停留時間、上傳數(shù)據(jù)等信息。

步驟302，根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

步驟303，檢測所述用戶行為軌跡是否滿足第一預設條件；

其中，所述第一預設條件用于表明所述用戶行為軌跡中在同一統(tǒng)一資源定位符url上的停留時間與正常操作時間閾值之間的時間間隔小于預設閾值。

步驟304，若所述用戶行為軌跡滿足第一預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

步驟305，若所述用戶行為軌跡不滿足第一預設條件，繼續(xù)檢測所述用戶行為軌跡是否滿足第二預設條件；

其中，所述第二預設條件用于表明所述用戶行為軌跡中在同一url上的上傳數(shù)據(jù)不同。

步驟306，若所述用戶行為軌跡滿足第二預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

這里，結合本發(fā)明實施例步驟302～306，在描繪用戶行為軌跡的同時，對用戶行為作初步分析，其中可通過在同一url上停留的時間與認為正常操作時間閾值間的比較，辨別出操作來自人工還是來自自動化工具。并以此為標準，初步辨別出攻擊自動化工具產(chǎn)生的攻擊行為。而且還可通過對同url，不同的上傳數(shù)據(jù)，以及前后軌跡間上傳數(shù)據(jù)的不同，進一步發(fā)掘識別出可能的攻擊行為。

步驟307，若所述用戶行為軌跡不滿足第二預設條件，則繼續(xù)將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

步驟308，若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。

結合本發(fā)明實施例所述步驟307～308，如圖2所示，所述用戶數(shù)據(jù)分析系統(tǒng)中的用戶行為軌跡描繪器與軌跡擬合判斷器相連，為軌跡擬合判斷器提供用戶行為軌跡。具體地，軌跡擬合器是用來將用戶的行為軌跡與網(wǎng)站地圖繪制器產(chǎn)生的網(wǎng)站地圖做比較對比；若軌跡能恰當?shù)臄M合到網(wǎng)站地圖上，則將此軌跡傳遞至正常行為歸類器，以供分析；對于無法擬合到網(wǎng)站地圖上的用戶軌跡，將其定義為異常用戶行為，傳遞至異常行為歸類器。

通過本發(fā)明實施例所述數(shù)據(jù)分析方法，通過網(wǎng)站地圖和用戶行為軌跡的擬合，最大程度的發(fā)現(xiàn)異常攻擊行為，從而避免在用戶日志量較大的情況下，無法完全依靠人工分析審計的方式進行異常行為分析的問題。

實施例三

圖4為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖三，如圖4所示，本發(fā)明實施例數(shù)據(jù)分析方法包括：

步驟401，獲取用戶行為數(shù)據(jù)；

其中，所述用戶行為數(shù)據(jù)包括登陸時間、用戶唯一標識、url、停留時間、上傳數(shù)據(jù)等信息。

步驟402，根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

步驟403，將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

結合本發(fā)明實施例所述步驟402～403，如圖2所示，所述用戶數(shù)據(jù)分析系統(tǒng)中的用戶行為軌跡描繪器與軌跡擬合判斷器相連，為軌跡擬合判斷器提供用戶行為軌跡。具體地，軌跡擬合器是用來將用戶的行為軌跡與網(wǎng)站地圖繪制器產(chǎn)生的網(wǎng)站地圖做比較對比；若軌跡能恰當?shù)臄M合到網(wǎng)站地圖上，則將此軌跡傳遞至正常行為歸類器，以供分析。

步驟404，若所述比對結果為所述用戶行為軌跡能夠擬合到所述網(wǎng)絡地圖上，將所述用戶行為軌跡與用戶權限地圖進行擬合判斷處理；

步驟405，若所述擬合判斷結果表明所述用戶行為軌跡超出用戶權限邊界，則確定所述用戶行為軌跡對應用戶行為發(fā)生越權攻擊。

步驟406，若所述擬合判斷結果表明所述用戶行為軌跡未超出用戶權限邊界，對所述用戶行為軌跡進行聚類判斷，得到聚類判斷結果；

步驟407，若所述聚類判斷結果表明所述用戶行為軌跡為多數(shù)用戶行為，則確定所述用戶行為軌跡為正常用戶軌跡，記錄并添加所述用戶行為軌跡到用戶權限地圖；

步驟408，若所述聚類判斷結果表明所述用戶行為軌跡為少數(shù)用戶行為，則確定所述用戶行為軌跡為異常行為軌跡。

這里，如圖2所示，結合本發(fā)明實施例步驟404～408，對于可擬合到網(wǎng)站地圖的用戶行為軌跡，正常行為歸類器將采用模式識別聚類的方法，將用戶行為軌跡歸類。以網(wǎng)站的大多數(shù)用戶行為均為正常操作，異常攻擊行為僅為少數(shù)操作作為辨別依據(jù)，識別出正常用戶行為的操作軌跡。并將此操作軌跡反饋給軌跡擬合器，以識別正常行為。對于無法歸類到正常行為的軌跡，傳遞至異常行為歸類器。

實施例四

圖5為本發(fā)明實施例數(shù)據(jù)分析方法的實現(xiàn)流程示意圖四，如圖5所示，本發(fā)明實施例數(shù)據(jù)分析方法包括：

步驟501，獲取用戶行為數(shù)據(jù)；

其中，所述用戶行為數(shù)據(jù)包括登陸時間、用戶唯一標識、url、停留時間、上傳數(shù)據(jù)等信息。

步驟502，根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

步驟503，將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

結合本發(fā)明實施例所述步驟502～503，如圖2所示，所述用戶數(shù)據(jù)分析系統(tǒng)中的用戶行為軌跡描繪器與軌跡擬合判斷器相連，為軌跡擬合判斷器提供用戶行為軌跡。具體地，軌跡擬合器是用來將用戶的行為軌跡與網(wǎng)站地圖繪制器產(chǎn)生的網(wǎng)站地圖做比較對比；若軌跡能恰當?shù)臄M合到網(wǎng)站地圖上，則將此軌跡傳遞至正常行為歸類器，以供分析。

步驟504，若所述比對結果為所述用戶行為軌跡能夠擬合到所述網(wǎng)絡地圖上，將所述用戶行為軌跡與用戶權限地圖進行擬合判斷處理；

步驟505，若所述擬合判斷結果表明所述用戶行為軌跡超出用戶權限邊界，則確定所述用戶行為軌跡對應用戶行為發(fā)生越權攻擊。

步驟506，若所述擬合判斷結果表明所述用戶行為軌跡未超出用戶權限邊界，對所述用戶行為軌跡進行聚類判斷，得到聚類判斷結果；

步驟507，若所述聚類判斷結果表明所述用戶行為軌跡為多數(shù)用戶行為，則確定所述用戶行為軌跡為正常用戶軌跡，記錄并添加所述用戶行為軌跡到用戶權限地圖；

步驟508，若所述聚類判斷結果表明所述用戶行為軌跡為少數(shù)用戶行為，則確定所述用戶行為軌跡為異常行為軌跡；

這里，如圖2所示，結合本發(fā)明實施例步驟504～508，對于可擬合到網(wǎng)站地圖的用戶行為軌跡，正常行為歸類器將采用模式識別聚類的方法，將用戶行為軌跡歸類。以網(wǎng)站的大多數(shù)用戶行為均為正常操作，異常攻擊行為僅為少數(shù)操作作為辨別依據(jù)，識別出正常用戶行為的操作軌跡。并將此操作軌跡反饋給軌跡擬合器，以識別正常行為。對于無法歸類到正常行為的軌跡，傳遞至異常行為歸類器。

步驟509，對所述用戶行為軌跡進行人工審計分析，以進一步判斷所述用戶行為軌跡是否為攻擊行為；

步驟510，若確定所述用戶行為軌跡為攻擊行為，則記錄并添加所述用戶行為軌跡到用戶權限地圖。

這里，如圖2所示，結合步驟509～510，所述用戶行為分析系統(tǒng)中的異常行為歸類器對于無法擬合的行為軌跡以及不能歸類到正常行為的軌跡，將提請人工審計分析。將結果記錄并反饋到軌跡擬合判斷器，增加自動識別判斷樣本，使用戶行為分析工作形成閉環(huán)處理。通過分析行為，迭代優(yōu)化工作，提升用戶行為分析工作效率。

通過本發(fā)明實施例所述數(shù)據(jù)分析方法，通過網(wǎng)站地圖和用戶行為軌跡的擬合，最大程度的發(fā)現(xiàn)異常攻擊行為，從而避免在用戶日志量較大的情況下，無法完全依靠人工分析審計的方式進行異常行為分析的問題；進一步地，通過正常行為歸類器能夠自動辨識用戶的正常操作行為，極大的減少的人工審計分析工作的工作量；而且，將軌跡擬合判斷器、正常行為歸類器、及異常行為歸類器三者對用戶行為分析做了閉環(huán)處理，從而可通過分析行為，迭代優(yōu)化工作，有效提升用戶行為分析工作效率。

實施例五

圖6為本發(fā)明實施例數(shù)據(jù)分析方法的具體實現(xiàn)流程示意圖，如圖6所示，本發(fā)明實施例數(shù)據(jù)分析方法包括：

步驟601，網(wǎng)站地圖繪制器利用爬蟲技術繪制網(wǎng)站地圖；

步驟602，用戶訪問網(wǎng)站，用戶日志記錄器記錄用戶行為數(shù)據(jù)；

步驟603，用戶行為描繪器利用步驟602產(chǎn)生的用戶行為數(shù)據(jù)，通過用戶的唯一標識id、url、訪問時間，上傳數(shù)據(jù)等信息之間的關聯(lián)關系，繪制用戶行為軌跡；

步驟604，用戶行為描繪器利用同一url上停留的時間與正常認為操作時間閾值間的比較，確定時間間隔是否小于預設閾值；

這里，若時間間隔小于預設閾值，則轉步驟605；否則，轉步驟606；

步驟605，認定訪問來自于自動化工具，并以此為標準，辨別出攻擊自動化工具產(chǎn)生的攻擊行為，做告警處理。

步驟606，對同url，上傳數(shù)據(jù)是否相同，做判定。

這里，若同url，不同上傳數(shù)據(jù)則轉步驟607，否則轉步驟608；

步驟607，同url，不同上傳數(shù)據(jù)，則為攻擊工具加載的不同測試載荷，判定為攻擊行為，做告警處理。

步驟608，軌跡擬合器將用戶行為軌跡和網(wǎng)站地圖做擬合比對處理。若不能在地圖上尋找到連續(xù)不間斷的訪問軌跡，則轉步驟609，否則轉步驟610；

步驟609，因用戶行為軌跡存在著跳躍，判定為異常行為，轉步驟613。

步驟610，用戶軌跡與用戶權限地圖做擬合，判斷是否超出用戶權限邊界。若超出用戶權限邊界，則轉步驟611，否則轉步驟612；

步驟611，用戶超出權限邊界，發(fā)生越權攻擊，做告警處理。

步驟612，可以擬合到網(wǎng)站地圖的用戶軌跡，提交正常行為歸類器來對用戶行為軌跡進行聚類判斷。

這里，正常行為歸類器認為通過用戶行為描繪器，軌跡擬合器的過濾，剩余行為大多數(shù)為正常操作行為，攻擊行為僅為少數(shù)。因此通過正常行為辨別閾值，對歸類后的用戶行為做歸類判斷，即聚類判斷。若用戶屬于多數(shù)行為，則判定為正常用戶軌跡，做記錄處理，并供用戶行為擬合器擬合判定使用；若屬少數(shù)行為，則轉步驟613；

步驟613，通過異常行為歸類器對屬于少數(shù)的用戶行為做人工審計分析，判定是否為攻擊行為，若判定為攻擊行為，則做記錄處理，并供用戶行為擬合器擬合判定使用，用以識別異常攻擊行為。

本發(fā)明實施例通過網(wǎng)站地圖和用戶行為軌跡的擬合，最大程度的發(fā)現(xiàn)異常攻擊行為；通過正常行為歸類器來自動辨識用戶的正常操作行為，極大的減少的人工審計分析工作的工作量；而且，將軌跡擬合判斷器、正常行為歸類器、及異常行為歸類器三者對用戶行為分析做了閉環(huán)處理，從而可通過分析行為，迭代優(yōu)化工作，有效提升用戶行為分析工作效率。

實施例六

圖7為本發(fā)明實施例數(shù)據(jù)分析系統(tǒng)的組成結構示意圖，如圖7所示，所述數(shù)據(jù)分析系統(tǒng)70包括獲取模塊701、繪制模塊702、擬合比對模塊703和確定模塊704；

所述獲取模塊701，用于獲取用戶行為數(shù)據(jù)；

所述繪制模塊702，用于根據(jù)所述用戶行為數(shù)據(jù)中的關聯(lián)關系，繪制得到用戶行為軌跡；

所述擬合比對模塊703，用于將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對，得到比對結果；

所述確定模塊704，用于若所述比對結果為所述用戶行為軌跡未擬合到所述網(wǎng)絡地圖上，確定所述用戶行為軌跡為異常行為軌跡。

在一實施方式中，如圖7所示，所述系統(tǒng)還包括檢測模塊705；

所述檢測模塊705，用于檢測所述用戶行為軌跡是否滿足第一預設條件，所述第一預設條件用于表明所述用戶行為軌跡中在同一統(tǒng)一資源定位符url上的停留時間與正常操作時間閾值之間的時間間隔小于預設閾值；

所述確定模塊704，還用于若所述用戶行為軌跡滿足第一預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

在一實施方式中，如圖7所示，所述檢測模塊705，還用于若所述用戶行為軌跡不滿足第一預設條件，繼續(xù)檢測所述用戶行為軌跡是否滿足第二預設條件，所述第二預設條件用于表明所述用戶行為軌跡中在同一url上的上傳數(shù)據(jù)不同；

相應的，所述擬合比對模塊703，還用于若所述用戶行為軌跡不滿足第二預設條件，則繼續(xù)執(zhí)行將所述用戶行為軌跡與網(wǎng)站地圖進行軌跡擬合比對的處理操作；

所述確定模塊704，還用于若所述用戶行為軌跡滿足第二預設條件，則確定所述用戶行為軌跡對應用戶行為為攻擊行為。

在一實施方式中，如圖7所示，所述系統(tǒng)還包括擬合判斷模塊706；

所述擬合判斷模塊706，用于若所述比對結果為所述用戶行為軌跡能夠擬合到所述網(wǎng)絡地圖上，將所述用戶行為軌跡與用戶權限地圖進行擬合判斷處理；

所述確定模塊704，還用于若所述擬合判斷結果表明所述用戶行為軌跡超出用戶權限邊界，則確定所述用戶行為軌跡對應用戶行為發(fā)生越權攻擊。

在一實施方式中，如圖7所示，所述系統(tǒng)還包括聚類判斷模塊707；

所述聚類判斷模塊707，用于若所述擬合判斷結果表明所述用戶行為軌跡未超出用戶權限邊界，對所述用戶行為軌跡進行聚類判斷，得到聚類判斷結果；

所述確定模塊704，還用于若所述聚類判斷結果表明所述用戶行為軌跡為多數(shù)用戶行為，則確定所述用戶行為軌跡為正常用戶軌跡，記錄并添加所述用戶行為軌跡到用戶權限地圖；還用于若所述聚類判斷結果表明所述用戶行為軌跡為少數(shù)用戶行為，則確定所述用戶行為軌跡為異常行為軌跡。

在一實施方式中，如圖7所示，所述系統(tǒng)還包括人工審計分析模塊708；

所述人工審計分析模塊708，用于對所述用戶行為軌跡進行人工審計分析，以進一步判斷所述用戶行為軌跡是否為攻擊行為；若確定所述用戶行為軌跡為攻擊行為，則記錄并添加所述用戶行為軌跡到用戶權限地圖。

在實際應用中，本發(fā)明實施例所述數(shù)據(jù)分析系統(tǒng)中的各模塊及其各模塊均可以通過所述數(shù)據(jù)分析系統(tǒng)中的處理器實現(xiàn)，也可以通過具體的邏輯電路實現(xiàn)；比如，在實際應用中，可由位于所述數(shù)據(jù)處理裝置的中央處理器(cpu)、微處理器(mpu)、數(shù)字信號處理器(dsp)、或現(xiàn)場可編程門陣列(fpga)等實現(xiàn)。另外，結合本發(fā)明實施例用戶行為分析系統(tǒng)的架構，本發(fā)明實施例所述數(shù)據(jù)分析系統(tǒng)中的所述獲取模塊701可以由用戶日志記錄器來實現(xiàn)；所述繪制模塊702和檢測模塊705可以由用戶行為軌跡描繪器來實現(xiàn)；所述擬合比對模塊703和確定模塊704可以由網(wǎng)站地圖繪制器和軌跡擬合判斷器結合來實現(xiàn)；所述擬合判斷模塊706和聚類判斷模塊707可以由正常行為歸類器來實現(xiàn)；所述人工審計分析模塊708可以由異常行為歸類器來實現(xiàn)。

本發(fā)明實施例六所述數(shù)據(jù)分析系統(tǒng)，為實施例一至五所述的方法提供了具體實現(xiàn)的硬件，能用于實現(xiàn)實施例一至五中任意所述的技術方案，同樣的，可以通過網(wǎng)站地圖和用戶行為軌跡的擬合，最大程度的發(fā)現(xiàn)異常攻擊行為；通過正常行為歸類器來自動辨識用戶的正常操作行為，極大的減少的人工審計分析工作的工作量；而且，將軌跡擬合判斷器、正常行為歸類器、及異常行為歸類器三者對用戶行為分析做了閉環(huán)處理，從而可通過分析行為，迭代優(yōu)化工作，有效提升用戶行為分析工作效率。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統(tǒng)和方法，可以通過其它的方式實現(xiàn)。以上所描述的系統(tǒng)實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，如：多個單元或組件可以結合，或可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設備或單元的間接耦合或通信連接，可以是電性的、機械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元；既可以位于一個地方，也可以分布到多個網(wǎng)絡單元上；可以根據(jù)實際的需要選擇其中的部分或全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各實施例中的各功能單元可以全部集成在一個處理單元中，也可以是各單元分別單獨作為一個單元，也可以兩個或兩個以上單元集成在一個單元中；上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用硬件加軟件功能單元的形式實現(xiàn)。

本領域普通技術人員可以理解：實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成，前述的程序可以存儲于計算機可讀取存儲介質中，該程序在執(zhí)行時，執(zhí)行包括上述方法實施例的步驟；而前述的存儲介質包括：移動存儲設備、只讀存儲器(read-onlymemory，rom)、隨機存取存儲器(randomaccessmemory，ram)、磁碟或者光盤等各種可以存儲程序代碼的介質。

或者，本發(fā)明上述集成的單元如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質中?；谶@樣的理解，本發(fā)明實施例的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機、服務器、或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質包括：移動存儲設備、rom、ram、磁碟或者光盤等各種可以存儲程序代碼的介質。

以上所述，僅為本發(fā)明的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內，可輕易想到變化或替換，都應涵蓋在本發(fā)明的保護范圍之內。因此，本發(fā)明的保護范圍應以所述權利要求的保護范圍為準。

完整全部詳細技術資料下載

當前第1頁1 2