本發(fā)明提供一種攻擊識(shí)別方法及其識(shí)別系統(tǒng)，包括以下步驟：S1：獲取一域名的訪問日志流，基于所述訪問日志流各用戶在訪問所述域名時(shí)的瀏覽路徑信息，并基于所述瀏覽路徑信息確定該域名的瀏覽路徑規(guī)律；S2：根據(jù)所述瀏覽路徑規(guī)律計(jì)算各用戶訪問所述域名時(shí)采用所述瀏覽路徑規(guī)律中一瀏覽路徑的概率；S3：獲取一用戶訪問所述域名時(shí)采用該瀏覽路徑的次數(shù)；S4：基于所述次數(shù)和所述概率，確定所述用戶采用所述瀏覽路徑訪問所述域名的威脅程度。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于路徑上下文信息的攻擊識(shí)別方法及其識(shí)別系統(tǒng)。

背景技術(shù)

目前主流的網(wǎng)絡(luò)安全算法都是采用統(tǒng)計(jì)、正則匹配等方法，比如統(tǒng)計(jì)基于ip的pv信息、ua信息、報(bào)文大小信息、基于正則的waf算法等，然后根據(jù)某個(gè)時(shí)間窗口內(nèi)的相應(yīng)變量的統(tǒng)計(jì)信息與基準(zhǔn)值的差異度來判斷此次訪問是否合法。現(xiàn)有的統(tǒng)計(jì)方法主要有如下缺點(diǎn)：

1、容易丟失上下文信息，缺失威脅識(shí)別的關(guān)鍵特征；

2、受噪聲的干擾影響大，在極值或者突發(fā)情況(比如客戶某個(gè)時(shí)間點(diǎn)做活動(dòng))會(huì)嚴(yán)重算法的準(zhǔn)確率；

3、閾值設(shè)定不靈活，無法良好應(yīng)對(duì)用戶規(guī)模和訪問量動(dòng)態(tài)變化的情況。

因此，如何克服現(xiàn)有技術(shù)中存在的上述缺陷，成為本領(lǐng)域技術(shù)人員亟待解決的問題。

發(fā)明內(nèi)容

本發(fā)明旨在解決現(xiàn)有網(wǎng)絡(luò)安全算法中存在的特征維度不全、算法準(zhǔn)確率下降的問題。為此，本發(fā)明首先提供了一種基于路徑上下文信息的攻擊識(shí)別方法。

本發(fā)明提出的攻擊識(shí)別方法包括以下步驟：

S1：獲取一域名的訪問日志流，基于所述訪問日志流各用戶在訪問所述域名時(shí)的瀏覽路徑信息，并基于所述瀏覽路徑信息確定該域名的瀏覽路徑規(guī)律；

S2：根據(jù)所述瀏覽路徑規(guī)律計(jì)算各用戶訪問所述域名時(shí)采用所述瀏覽路徑規(guī)律中一瀏覽路徑的概率；

S3：獲取一用戶訪問所述域名時(shí)采用該瀏覽路徑的次數(shù)；

S4：基于所述次數(shù)和所述概率，確定所述用戶采用所述瀏覽路徑訪問所述域名的威脅程度。

根據(jù)本發(fā)明提出的攻擊識(shí)別方法，步驟S1中基于所述瀏覽路徑信息確定該域名的瀏覽路徑規(guī)律的步驟包括：

S11：確定一用戶訪問所述域名時(shí)瀏覽的一頁(yè)面對(duì)應(yīng)的地址節(jié)點(diǎn)是否記錄在瀏覽路徑中；

S12：確定包含一個(gè)或多個(gè)地址節(jié)點(diǎn)的瀏覽路徑的最后地址節(jié)點(diǎn)。

根據(jù)本發(fā)明提出的攻擊識(shí)別方法，當(dāng)滿足下述條件中任一項(xiàng)時(shí)，確定一用戶訪問所述域名時(shí)瀏覽的一頁(yè)面對(duì)應(yīng)的地址節(jié)點(diǎn)記錄在瀏覽路徑中：

一地址節(jié)點(diǎn)的訪問時(shí)刻與該地址節(jié)點(diǎn)的前一個(gè)地址節(jié)點(diǎn)的訪問時(shí)刻之間的時(shí)間間隔超過設(shè)定時(shí)間閾值；

一地址節(jié)點(diǎn)為關(guān)鍵節(jié)點(diǎn)；

一地址節(jié)點(diǎn)的前一個(gè)地址節(jié)點(diǎn)為關(guān)鍵節(jié)點(diǎn)。

根據(jù)本發(fā)明提出的攻擊識(shí)別方法，確定包含一個(gè)或多個(gè)地址節(jié)點(diǎn)的瀏覽路徑的最后地址節(jié)點(diǎn)包括以下方式中任一項(xiàng)：

一地址節(jié)點(diǎn)的訪問時(shí)刻與該地址節(jié)點(diǎn)的前一個(gè)地址節(jié)點(diǎn)的訪問時(shí)刻之間的時(shí)間間隔超過設(shè)定時(shí)間閾值，則該地址節(jié)點(diǎn)為其所在瀏覽路徑中的最后地址節(jié)點(diǎn)；

一地址節(jié)點(diǎn)的前一個(gè)地址節(jié)點(diǎn)為關(guān)鍵節(jié)點(diǎn)，則該地址節(jié)點(diǎn)為其所在瀏覽路徑中的最后地址節(jié)點(diǎn)；

一瀏覽路徑中截止一地址節(jié)點(diǎn)的地址節(jié)點(diǎn)個(gè)數(shù)超過設(shè)定節(jié)點(diǎn)數(shù)閾值，則該地址節(jié)點(diǎn)為所述瀏覽路徑中的最后地址節(jié)點(diǎn)。

根據(jù)本發(fā)明提出的攻擊識(shí)別方法，根據(jù)所述瀏覽路徑規(guī)律計(jì)算各用戶訪問所述域名時(shí)采用所述瀏覽路徑規(guī)律中一路徑的概率包括：