本發(fā)明實(shí)施例提供一種數(shù)據(jù)分析方法和系統(tǒng)，獲取用戶行為數(shù)據(jù)；根據(jù)所述用戶行為數(shù)據(jù)中的關(guān)聯(lián)關(guān)系，繪制得到用戶行為軌跡；將所述用戶行為軌跡與網(wǎng)站地圖進(jìn)行軌跡擬合比對，得到比對結(jié)果；若所述比對結(jié)果為所述用戶行為軌跡未擬合到所述網(wǎng)絡(luò)地圖上，確定所述用戶行為軌跡為異常行為軌跡。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種數(shù)據(jù)分析方法和系統(tǒng)。

背景技術(shù)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，基于瀏覽器/服務(wù)器模式(Browser/Server，B/S)架構(gòu)系統(tǒng)已經(jīng)被廣泛運(yùn)用到生活和工作的各個(gè)領(lǐng)域。為了解決上述所涉及的系統(tǒng)安全問題，入侵防御系統(tǒng)/入侵檢測系統(tǒng)(Intrusion Prevention System/Intrusion Detection System，IPS/IDS)及防火墻等防護(hù)方式得到廣泛運(yùn)用。

然而，現(xiàn)有的IPS/IDS，防火墻等防護(hù)方式僅能對介于局域網(wǎng)和互聯(lián)網(wǎng)之間起到防護(hù)作用；對于基于超文本傳輸協(xié)議(Hyper Text Transfer Protocol，HTTP)訪問的B/S架構(gòu)系統(tǒng)，服務(wù)器端信任瀏覽器端發(fā)送來的全部數(shù)據(jù)，而瀏覽器端發(fā)送來的數(shù)據(jù)包經(jīng)常被惡意篡改，使服務(wù)器遭受越權(quán)訪問，跨站腳本攻擊，結(jié)構(gòu)化查詢語言(Structured QueryLanguage，SQL)注入等互聯(lián)網(wǎng)攻擊，從而給系統(tǒng)安全以及用戶信息保護(hù)帶來極大挑戰(zhàn)。

基于此，用戶行為分析系統(tǒng)可以通過對用戶操作日志進(jìn)行分析審計(jì)的方式，做到事后告警攻擊行為。但是，由于用戶日志量巨大，故完全依靠人工分析審計(jì)是件不可能做到的事情。而且，因沒有固定的分類模型，故無法準(zhǔn)確從正常用戶操作行為中識別出異常用戶操作。

發(fā)明內(nèi)容

有鑒于此，為解決上述問題本發(fā)明實(shí)施例提供一種數(shù)據(jù)分析方法和系統(tǒng)。

為達(dá)到上述目的，本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的：

本發(fā)明實(shí)施例提供一種數(shù)據(jù)分析方法，所述方法包括：

獲取用戶行為數(shù)據(jù)；

根據(jù)所述用戶行為數(shù)據(jù)中的關(guān)聯(lián)關(guān)系，繪制得到用戶行為軌跡；

將所述用戶行為軌跡與網(wǎng)站地圖進(jìn)行軌跡擬合比對，得到比對結(jié)果；

若所述比對結(jié)果為所述用戶行為軌跡未擬合到所述網(wǎng)絡(luò)地圖上，確定所述用戶行為軌跡為異常行為軌跡。

上述方案中，在繪制得到用戶行為軌跡之后，所述方法還包括：

檢測所述用戶行為軌跡是否滿足第一預(yù)設(shè)條件，所述第一預(yù)設(shè)條件用于表明所述用戶行為軌跡中在同一統(tǒng)一資源定位符URL上的停留時(shí)間與正常操作時(shí)間閾值之間的時(shí)間間隔小于預(yù)設(shè)閾值；

若所述用戶行為軌跡滿足第一預(yù)設(shè)條件，則確定所述用戶行為軌跡對應(yīng)用戶行為為攻擊行為。

上述方案中，所述方法還包括：

若所述用戶行為軌跡不滿足第一預(yù)設(shè)條件，繼續(xù)檢測所述用戶行為軌跡是否滿足第二預(yù)設(shè)條件，所述第二預(yù)設(shè)條件用于表明所述用戶行為軌跡中在同一URL上的上傳數(shù)據(jù)不同；

若所述用戶行為軌跡不滿足第二預(yù)設(shè)條件，則繼續(xù)執(zhí)行將所述用戶行為軌跡與網(wǎng)站地圖進(jìn)行軌跡擬合比對的處理操作；

若所述用戶行為軌跡滿足第二預(yù)設(shè)條件，則確定所述用戶行為軌跡對應(yīng)用戶行為為攻擊行為。

上述方案中，所述方法還包括：

若所述比對結(jié)果為所述用戶行為軌跡能夠擬合到所述網(wǎng)絡(luò)地圖上，將所述用戶行為軌跡與用戶權(quán)限地圖進(jìn)行擬合判斷處理；

若所述擬合判斷結(jié)果表明所述用戶行為軌跡超出用戶權(quán)限邊界，則確定所述用戶行為軌跡對應(yīng)用戶行為發(fā)生越權(quán)攻擊。