一种基于可视分析的网站异常访问行为的检测方法技术

本发明专利技术属于网络安全可视分析领域，涉及一种基于可视分析的网站异常访问行为的检测方法，包括：把对网站服务器日志数据进行预处理；用可视化方法展现数据的位置、时间、内容信息；用动画效果展现访问事件；对访问用户进行聚类分析；数据属性的采集和计算；结合可视化结果、聚类结果的观察和人为分析进行异常行为模式的发现。本发明专利技术的优势在于比传统的纯机器计算方法更清晰直观更助于使用者理解，并且充分利用了人的智能，在智能度和人工度之间找到一个比较好的平衡，有助于提高解决问题的效率。

【技术实现步骤摘要】

【技术保护点】
一种基于可视分析的网站异常访问行为的检测方法，包括下列步骤：（1）对网站服务器日志数据进行预处理，将访问数据和网站结构数据结合起来，将统计原始日志获得的节点及其子节点累加的出现与访问次数作为权值定义面积不同的可视化网站树图结构。（2）利用可视化方法展现经过预处理后的网站服务器日志数据的位置、时间、内容信息，方法为：a．根据可视化网站树图结构建立位置视图，展示用户访问的位置信息，将用户的动作（包括到来、离开、刷新，产生错误事件）用一些规定的符号在这个视图的运动形象的表示出来，表达用户行为发生在网站结构中的位置以及对应的页面；b．通过256进制把用户的IPv4地址映射到2D空间中，得到利用散点图展示的用户视图，对于用户的动作，包括到来、离开、刷新，产生错误事件均在于与位置视图中一致的符号；c．建立时间轴视图，在此视图中能够加载相应时间点的各个状态码的数量，选择关注的时间段；d．将上述的三个视图布置在同一个视窗下，可视化地展现用户行为的位置、时间、内容信息；（3）定义用户访问事件的动画方式，通过所述的三种视图以及在三个不同视图上采用的事件的动画方式来展示每一个访问地址在不同的时刻执行了不同的用户行为，其中用户访问时间的动画方式定义如下表：会话建立以实体为中心的不同颜色边框的矩形框的出现。会话再生以实体为中心的黄色边框的矩形框的出现。用户重复访问点旋转的刷新环，运动一周后回到原处。错误产生以实体为中心的相应颜色边框黑色填充的矩形框的出现。用户访问路径两个实体中心相连得到的贝塞尔曲线。（4）对访问用户进行聚类分析，在对用户访问行为重现的同时，增加对数据集进行聚类的功能，借助聚类结果发现其他的相似对象并进行索引，找出具有相似行为的同类用户；（5）对聚类的属性进行过滤和筛选，确定用来发现异常用户模式和与安全相关的行为所必须的用户的访问属性数据，检测聚类中的离群点，发现异常行为；（6）结合可视化结果的人为观察以及聚类分析发现用户异常行为模式。...

【技术特征摘要】

【专利技术属性】
技术研发人员：张加万，康凯，吕文瀚，赵煜，陈章磊，李彦霖，
申请(专利权)人：天津大学，
类型：发明
国别省市：