【技术实现步骤摘要】
本专利技术涉及网络安全领域,尤其涉及一种网络安全攻击溯源方法及系统。
技术介绍
1、随着信息化进程的不断推进,网络系统已成为各行业核心业务的支撑平台。然而,网络攻击手段日益复杂化和多样化,对系统和数据的安全性构成了严重威胁,网络攻击不仅包括传统的恶意代码注入和分布式拒绝服务攻击,还涵盖了利用代理、跳板等手段实施的隐蔽性渗透攻击,攻击者常常通过多点、多路径的方式来规避检测,给网络系统带来潜在风险和安全隐患。
2、目前,网络攻击溯源技术逐渐成为网络安全研究的热点,网络攻击溯源通过追踪攻击路径和识别攻击源,帮助防御系统快速定位威胁源并采取有效的应对措施,从而降低安全事件带来的损失。然而,传统的攻击溯源方法主要依赖单一指标(如ip地址、访问频率等)来识别潜在攻击源,难以应对复杂多变的攻击手段,导致在精准度和复杂攻击识别能力上存在显著不足。
技术实现思路
1、本专利技术针对现有网络安全攻击溯源方法通常仅依赖单一指标识别潜在攻击源,存在攻击溯源精准度较低,无法有效识别复杂攻击行为的技术问题,提供一种网络安全攻击溯源方法及系统来解决。
2、本专利技术解决上述技术问题的技术方案如下:
3、第一方面,本申请提供了一种网络安全攻击溯源方法,通过一种网络安全攻击溯源系统实现,包括:在启动攻击溯源指令后,调取过去预设时间范围内的网络日志数据,获得溯源日志;在所述溯源日志内对访问ip进行聚类,获得多个访问ip及多个ip访问次数,构建ip溯源图,进行访问ip的次数异常分析,
4、第二方面,本申请还提供了一种网络安全攻击溯源系统,用于执行如第一方面所述的一种网络安全攻击溯源方法,包括:网络日志调取模块,用于在启动攻击溯源指令后,调取过去预设时间范围内的网络日志数据,获得溯源日志;访问次数分析模块,用于在所述溯源日志内对访问ip进行聚类,获得多个访问ip及多个ip访问次数,构建ip溯源图,进行访问ip的次数异常分析,划分获得多个一级异常ip及多个一级ip异常度;访问密集度分析模块,用于在所述溯源日志内,调取所述多个一级异常ip的访问时间戳集合,进行访问密集度分析,并构建访问密集度溯源图,进行访问密集度的异常分析,划分获得多个二级异常ip及多个二级时间异常度;访问离散度分析模块,用于在所述溯源日志内,调取所述多个二级异常ip的请求url集合,进行url离散度分析,并构建url离散度溯源图,进行离散度的异常分析,划分获得多个三级异常ip及多个三级url异常度,并计算获得多个综合异常度,结合所述多个三级异常ip输出网络安全攻击溯源结果。
5、第三方面,本申请还提供了一种电子设备,包括:
6、至少一个处理器;与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述第一方面中任意一项所述方法的步骤。
7、第四方面,一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在执行时实现上述第一方面中任一项所述方法的步骤。
8、本专利技术的有益效果是:
9、通过在启动攻击溯源指令后,调取过去预设时间范围内的网络日志数据,获得溯源日志;接着在所述溯源日志内对访问ip进行聚类,获得多个访问ip及多个ip访问次数,构建ip溯源图,并根据ip溯源图进行访问ip的次数异常分析,划分获得多个一级异常ip及多个一级ip异常度;进一步在所述溯源日志内,调取所述多个一级异常ip的访问时间戳集合,进行访问密集度分析,构建访问密集度溯源图,并根据访问密集度溯源图进行访问密集度的异常分析,划分获得多个二级异常ip及多个二级时间异常度;然后在所述溯源日志内,调取所述多个二级异常ip的请求url集合,进行url离散度分析,并构建url离散度溯源图,进行离散度的异常分析,划分获得多个三级异常ip及多个三级url异常度;然后对多个三级异常ip的一级ip异常度、二级时间异常度和三级url异常度进行加权计算,获得多个综合异常度;最后根据多个综合异常度对多个三级异常ip进行排序,将异常ip溯源排序结果作为网络安全攻击溯源结果;也就是说,通过多层次、多维度的异常分析和攻击溯源,可以精确定位风险较高的攻击ip,有效降低误判和漏判概率,显著提高攻击源的识别精准度和全面性,从而实现有效应对复杂、隐蔽的网络攻击的技术目标,提高网络系统的安全性和防护能力。
本文档来自技高网...【技术保护点】
1.一种网络安全攻击溯源方法,其特征在于,包括:
2.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在启动攻击溯源指令后,调取过去预设时间范围内的网络日志数据,获得溯源日志,包括:
3.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在所述溯源日志内对访问IP进行聚类,获得多个访问IP及多个IP访问次数,构建IP溯源图,进行访问IP的异常度分析,划分获得多个一级异常IP,包括:
4.根据权利要求3所述的一种网络安全攻击溯源方法,其特征在于,在所述IP溯源图内,进行访问IP的异常度分析,获得多个IP异常度,按照所述多个IP异常度划分获得多个一级异常IP,包括:
5.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在所述溯源日志内,调取所述多个一级异常IP的访问时间戳集合,进行访问密集度分析,并构建访问密集度溯源图,划分获得多个二级异常IP,包括:
6.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在所述溯源日志内,调取所述多个二级异常IP的请求URL集合,进行URL离散度分析,并
7.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,计算获得多个综合异常度,结合所述多个三级异常IP输出为网络安全攻击溯源结果,包括:
8.一种网络安全攻击溯源系统,其特征在于,用于实施权利要求1至7中任意一项所述的一种网络安全攻击溯源方法的步骤,包括:
9.一种电子设备,其特征在于,包括:
10.一种非暂态计算机可读存储介质,其特征在于,所述存储介质中存储有计算机软件程序,所述计算机软件程序被处理器执行时实现如权利要求1至7中任意一项所述的一种网络安全攻击溯源方法的步骤。
...【技术特征摘要】
1.一种网络安全攻击溯源方法,其特征在于,包括:
2.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在启动攻击溯源指令后,调取过去预设时间范围内的网络日志数据,获得溯源日志,包括:
3.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在所述溯源日志内对访问ip进行聚类,获得多个访问ip及多个ip访问次数,构建ip溯源图,进行访问ip的异常度分析,划分获得多个一级异常ip,包括:
4.根据权利要求3所述的一种网络安全攻击溯源方法,其特征在于,在所述ip溯源图内,进行访问ip的异常度分析,获得多个ip异常度,按照所述多个ip异常度划分获得多个一级异常ip,包括:
5.根据权利要求1所述的一种网络安全攻击溯源方法,其特征在于,在所述溯源日志内,调取所述多个一级异常ip的访问时间戳集合,进行访问密集度分析,并构建访问密集度溯源图,划分...
【专利技术属性】
技术研发人员:郭义,庄严,赵振动,肖健,冯志文,吴华超,
申请(专利权)人:深圳市常行科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。