一种基于可视分析的网站异常访问行为的检测方法

摘要

本发明属于网络安全可视分析领域，涉及一种基于可视分析的网站异常访问行为的检测方法，包括：把对网站服务器日志数据进行预处理；用可视化方法展现数据的位置、时间、内容信息；用动画效果展现访问事件；对访问用户进行聚类分析；数据属性的采集和计算；结合可视化结果、聚类结果的观察和人为分析进行异常行为模式的发现。本发明的优势在于比传统的纯机器计算方法更清晰直观更助于使用者理解，并且充分利用了人的智能，在智能度和人工度之间找到一个比较好的平衡，有助于提高解决问题的效率。

主权项

一种基于可视分析的网站异常访问行为的检测方法，包括下列步骤：(1)对网站服务器日志数据进行预处理，将访问数据和网站结构数据结合起来，将统计原始日志获得的节点及其子节点累加的出现与访问次数作为权值定义面积不同的可视化网站树图结构；(2)利用可视化方法展现经过预处理后的网站服务器日志数据的位置、时间、内容信息，方法为：a.根据可视化网站树图结构建立位置视图，展示用户访问的位置信息，将用户的动作，包括到来、离开、刷新和产生错误事件，用一些规定的符号在这个视图的运动形象的表示出来，表达用户行为发生在网站结构中的位置以及对应的页面；b.通过256进制把用户的IPv4地址映射到2D空间中，得到利用散点图展示的用户视图，对于用户的动作，包括到来、离开、刷新和产生错误事件，均使用与位置视图中一致的符号；c.建立时间轴视图，在此视图中能够加载相应时间点的各个状态码的数量，选择关注的时间段；d.将上述的三个视图布置在同一个视窗下，可视化地展现用户行为的位置、时间、内容信息；(3)定义用户访问事件的动画方式，通过所述的三种视图以及在三个不同视图上采用的事件的动画方式来展示每一个访问地址在不同的时刻执行了不同的用户行为，其中用户访问时间的动画方式定义如下表：会话建立以实体为中心的不同颜色边框的矩形框的出现会话再生以实体为中心的黄色边框的矩形框的出现用户重复访问点旋转的刷新环，运动一周后回到原处错误产生以实体为中心的相应颜色边框黑色填充的矩形框的出现用户访问路径两个实体中心相连得到的贝塞尔曲线(4)对访问用户进行聚类分析，在对用户访问行为重现的同时，增加对数据集进行聚类的功能，借助聚类结果发现其他的相似对象并进行索引，找出具有相似行为的同类用户；(5)对聚类的属性进行过滤和筛选，确定用来发现异常用户模式和与安全相关的行为所必须的用户的访问属性数据，检测聚类中的离群点，发现异常行为，其中，用户的访问属性数据包括：Ring Count:自环个数，即对同一个页面在较短时间内访问的次数之和；Attribute Length:用户提交的参数长度；Page Count:所有访问的不同页面的个数；Max Level:用户访问的最大层级数；Status Code 2:所有以2开头的http信号出现的次数；Status Code 3:所有以3开头的http信号出现的次数；Status Code 4:所有以4开头的http信号出现的次数；Status Code 5:所有以5开头的http信号出现的次数；Session Max:在一个period内访问的所有次数的和的最大值；(6)结合可视化结果的人为观察以及聚类分析发现用户异常行为模式，方法如下：1)DoS/DDoS攻击的发现：若在上述的可视化结果中观察到短时间内产生大量的刷新环，则判断可能发生DoS/DDoS攻击中的HTTP flood攻击；2)SQL注入攻击的发现：若在上述的可视化结果中观察到短时间内产生大量的刷新环并且用户提交参数异常，则判断可能发生SQL注入攻击；3)恶意试探行为的发现：若在上述的可视化结果中观察到短时间内产生大量的以实体为中心的相应颜色边框黑色填充的矩形框的出现，则判断可能发生恶意试探行为；4)趴站行为的发现：若在上述的可视化结果中观察到短时间内产生大量的访问路径，则判断可能发生趴站行为。