一种网络访问异常检测方法及系统与流程

本发明实施例涉及网络安全技术领域，尤其涉及一种网络访问异常检测方法及系统。

背景技术：

异常流量管理是信息安全管理工作中的一项重要工作。当前异常流量所引发的潜在风险巨大，但又缺乏有效的检测管理机制，通过单一的流量检测设备无法有效解决企业内部异常流量带来的安全风险和影响。

网络流量异常检测的工作一直在不断的往前发展，roy和frank定义了网络正常行为和异常行为的概念，流量异常检测方法则可以分为静态检测方法和动态检测方法两个大类。静态检测方法包括恒定阈值检测方法和自适应阈值检测方法。通常是根据历史数据建立一个正常的参数基线，通过系统在网络运行的过程中自适应的学习能力改变告警阈值。动态检测方法包括基于统计的检测方法，基于小波的检测方法。统计检测方法在实际中最常见的是广义似然比检验(generalizedlikelihoodratio，简称glr)测试。glr考虑两个相邻的时间窗r(t)和s(t)以及这两个合并组成的窗口c(t)，每个窗口运用自回归模型(ar)拟合，应用似然比检验方法，检测两个窗口之间发生的异常变化。当两个窗口的似然度超过某个设定的阈值时则认为两个窗口边界产生异常。amyward等人提出了另外一种统计检测方法，该方法在网络正常运行下建立一套网络参数，当参数出现偏差不符合正常运行情况时产生告警。例如在工作日的网络流量占总流量的绝大部分，节假日的内部网络流量则可以忽略。工作日的网络流量则又呈现出休息时间和工作时间之间存在流量突变的情况，如：早上上班时间和中午休息时间，下午下班时间可将工作日的流量分为三个阶段。第一个阶段流量变化趋势从无到有存在一个剧烈的变化；第二个阶段为中午休息时间，这个阶段存在流量的两个突变，即：中午下班的突然减少或者中午上班时间的突然增大；第三阶段为下班以后，流量在下降后呈现一个平稳的态势。工作日则周期性的出现这样一种流量情况。因此，现有技术中的检测方法都是通过流量本身的不同维度来发现网络流量是否存在异常，但是在网络中可能存在办公系统，邮件系统，视频系统，新闻系统等，现有的检测方法可以检测出发生了异常，但是无法检测出出现异常的特定业务，以及该异常是由哪个用户产生的。

因此，如何针对特定业务，特定用户检测网络访问异常是现如今亟待解决的课题。

技术实现要素：

针对现有技术存在的问题，本发明实施例提供一种网络访问异常检测方法及系统。

一方面，本发明实施例提供一种网络访问异常检测方法，包括：

获取待检测网络信息，其中所述待检测网络信息包括用户信息、业务名称；

获取预先建立的所述用户信息和所述业务名称对应的匹配模型；

根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

另一方面，本发明实施例提供一种网络访问异常检测系统，包括：

第一获取模块，用于获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；

第二获取模块，用于获取预先建立的所述用户信息和所述业务名称对应的匹配模型；

检测模块，用于根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

本发明实施例提供的一种网络访问异常检测方法及系统，通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络访问异常检测方法流程示意图；

图2为本发明实施例提供的url访问序列检测结构示意图；

图3为本发明实施例提供的一种网络访问异常检测方法整体流程示意图；

图4为本发明实施例提供的一种网络访问异常检测系统结构示意图；

图5为本发明另一实施例提供的一种网络访问异常检测系统结构示意图；

图6为本发明又一实施例提供的一种网络访问异常检测系统结构示意图；

图7为本发明实施例提供的一种网络访问异常检测系统实体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种网络访问异常检测方法流程示意图，如图1所示，所述方法包括：

步骤101：获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；

具体地，当有用户访问网络时，实时获取用户访问的网络信息，该网络信息为待检测网络信息，其中待检测网络信息中包括用户信息和业务名称，用户信息可以是用户使用终端的ip地址，也可以是用户id，本发明对此不作具体限定，业务名称为用户要访问的业务对应的业务名称。且应当说明的是用户访问不同层级，其对应的待检测网络信息不同，例如：用户访问网络层对应的业务时，待检测网络信息中除了包括用户信息、业务名称之外，还包括ip五元组信息；当用户访问传输层时，待检测网络信息中还包括连接频率、上下行数量信息；当用户访问应用层时，待检测网络信息中还包括url或请求频率；当用户访问业务层时，待检测网络信息中还包括请求类型。

步骤102：获取预先建立的所述用户信息和所述业务名称对应的匹配模型；

具体地，根据特定用户访问特定业务名称建立相对应的匹配模型，日常工作中，每一个人访问的业务系统(如：客户资源管理系统、生产系统、源代码管理系统等)不一样，访问业务系统的习惯(如：访问时间、访问频率)不一样，访问的周期性(如：天、周、月)也不一样，因此，只有针对每一个人访问每一个业务的情况建立相对应的匹配模型，才能准确地识别出某个用户的行为是否发生了异常。例如：建立用户的业务访问连接关系模型；通过学习和记录用户的访问行为和习惯，建立常规的业务访问模型；通过记录和计算用户的常规网络访问频率及业务访问频率，建立基于业务访问的操作模型等。因此可以获取预先建立好的与用户信息和业务名称相对应的匹配模型。

步骤103：根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

具体地，将获取到的待检测网络信息和与待检测网络信息相对应的匹配模型进行比较，如果待检测网络信息满足预设条件，则说明待检测网络信息为异常信息，否则待检测网络信息是正常的。

本发明实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

在上述实施例的基础上，所述方法还包括：

获取历史网络信息，所述历史网络信息包括所述用户信息、业务名称、所述业务名称对应的访问序列和访问规则；

根据所述访问序列和所述访问规则建立所述用户信息和所述业务名称对应的所述匹配模型。

具体地，在对待检测网络信息进行异常检测之前，需要先建立好匹配模型。获取历史网络信息并将该历史网络信息以分光或镜像的方式进行存储。抓取历史网络信息中的网络数据包，从网络数据包中识别出网络协议，根据网络协议获取待检测网络信息对应的业务访问序列和访问规则，根据业务访问序列和访问规则建立与用户信息和业务名称对应的匹配模型。

另外，在建立匹配模型之前，需要对用户的行为进行学习，例如：针对用户访问某一业务时，学习和记录该用户进行业务访问时的业务流程，假如用户查询“五元组信息”时，用户会打开一个浏览器，然后在搜索框中输入“五元组信息”或“五元组”，然后用户根据搜索结果，查找有关“五元组”的解释。基于该用户访问过程，对用户的业务访问流程进行学习、记录用户访问每一个业务流程的先后顺序等，学习完成后可以建立匹配模型。

本发明实施例通过访问序列和访问规则建立与用户信息和业务名称对应的匹配模型，用于与待检测网络信息进行比较，从而确定待检测网络信息是否为异常信息，提高了检测的准确性。

在上述实施例的基础上，所述预设条件包括以下第一预设条件、第二预设条件、第三预设条件和第四预设条件中任意一项或其组合，其中：

所述第一预设条件包括：所述待检测网络信息中的目标地址没有在所述匹配模型中的可访问地址集中；

所述第二预设条件包括：所述待检测网络信息中的url访问序列与所述匹配模型中的所述url访问序列不一致；

所述第三预设条件包括：在第一预设时间内所述待检测网络信息对应的网络访问频率大于所述匹配模型中的第一预设阈值；

所述第四预设条件包括：在第二预设时间内所述待检测网络信息对应的请求频率大于所述匹配模型中的第二预设阈值。

具体地，用户需要访问某一业务时，其待检测网络信息中会有该业务对应的目标地址，相应地，在该用户、该业务对应的匹配模型中存有该用户、该业务对应的可访问地址集，如果待检测网络信息中的目标地址没有在可访问地址集中，则说明该待检测网络信息为异常信息；

图2为本发明实施例提供的url访问序列检测结构示意图，如图2所示，假如用户要访问业务1的模块1，其访问流程如下：

(1)用户访问首页，http://首页；

(2)用户进行身份验证，http://auth；

(3)用户访问业务1，http://业务1；

(4)用户访问业务1-模块1，http://业务1-模块1；

在用户访问业务1的模块1对应匹配模型中存有这样的url访问序列，如果在待检测网络信息中发现，系统未经过身份验证这一url，直接进入访问业务1，则视为异常；或者用户身份验证后直接访问业务1的模块1，也被视为异常。应当说明的是，只要跟匹配模型中url访问序列不同，就视为异常。

由于用户对某一业务访问会呈现规律性，如果在第一预设时间，用户频繁访问某一业务，即该业务对应的待检测网络信息对应的网络访问频率大于匹配模型中的第一预设阈值时，视为异常。

相应地，用户在第二预设时间内，待检测网络信息对应的请求频率大于匹配模型中的第二预设阈值后，即说明用户发送请求的频率过高，此时，也被视为异常。

应当说明的是，只要满足第一预设条件、第二预设条件、第三预设条件和第四预设条件中至少一个则可以判断出待检测网络信息为异常信息，且上述第一预设时间和第二预设时间可以根据实际情况进行调整，本发明实施例对比不作具体限定。

本发明实施例通过具体的预设条件用于判断待检测网络信息是否异常，提高了检测的准确度。

在上述各实施例的基础上，所述方法还包括：

根据所述异常信息生成告警信息并将所述告警信息输出。

具体地，如果判断出待检测网络信息为异常信息，则根据该异常信息生成告警信息，并将该告警信息输出，用于提示相关管理人员。

本发明实施例将待检测网络信息为异常信息的生成告警信息，并将告警信息输出，用于及时提醒相关人员进行修复等操作。

在上述实施例的基础上，所述告警信息以邮件告警、页面告警或短信告警的方式输出。

具体地，可以以邮件告警的方式将告警信息以邮件的形式发送至相关管理人员，也可以通过页面告警的方式，当相关管理人员登录系统时自动弹出告警页面，还可以通过短信告警的方式，可以理解的是，还可以同时使用上述方式进行告警。

本发明实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

图3为本发明实施例提供的一种网络访问异常检测方法整体流程示意图，如图3所示：

步骤301：获取历史网络信息；历史网络信息中包括用户信息和业务名称；

步骤302：提取访问序列和访问规则；根据历史网络信息，获取该历史网络信息对应的网络协议，从网络协议中获取相应地访问序列和访问规则；

步骤303：建立匹配模型；根据访问序列和访问规则建立该用户信息、该业务名称对应的匹配模型；

步骤304：获取待检测网络信息；待检测网络信息中包括用户信息、业务名称；

步骤305：获取匹配模型；获取与该用户信息的该业务名称相对应的匹配模型；

步骤306：匹配判断；根据获取到的匹配模型，与待检测网络信息进行比较，如果待检测网络信息满足预设条件，则说明该待检测网络信息为异常信息，进行步骤307；否则结束检测；其预设条件此处不再赘述；

步骤307：告警；根据异常信息生成告警信息，并将告警信息以邮件告警、页面告警或短信告警的方式输出，输出后结束检测。

本发明实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

图4为本发明实施例提供的一种网络访问异常检测系统结构示意图，如图4所示，所述系统包括第一获取模块401、第二获取模块402和检测模块403，其中：

第一获取模块401用于获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；第二获取模块402用于获取预先建立的所述用户信息和所述业务名称对应的匹配模型；检测模块403用于根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

具体地，第一获取模块401获取用户访问的网络信息，该网络信息为待检测网络信息，其中待检测网络信息中包括用户信息和业务名称，用户信息可以是用户使用终端的ip地址，也可以是用户id，本发明对此不作具体限定，业务名称为用户要访问的业务对应的业务名称。且应当说明的是用户访问不同层级，其对应的待检测网络信息不同。第二获取模块402获取预先建立好的与用户信息和业务名称相对应的匹配模型，检测模块403将获取到的待检测网络信息和与待检测网络信息相对应的匹配模型进行比较，如果待检测网络信息满足预设条件，则说明待检测网络信息为异常信息，否则待检测网络信息是正常的。

本发明提供的系统的实施例具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

本发明实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

在上述实施例的基础上，图5为本发明另一实施例提供的一种网络访问异常检测系统结构示意图，如图5所示，所述系统包括：第一获取模块401、第二获取模块402、检测模块403和模型建立模块404，其中：

模型建立模块404用于获取历史网络信息，所述历史网络信息包括所述用户信息、业务名称、所述业务名称对应的访问序列和访问规则；根据所述访问序列和所述访问规则建立所述用户信息和所述业务名称对应的所述匹配模型。

具体地，第一获取模块401、第二获取模块402和检测模块403与上述实施例一致，此处不再赘述。在对待检测网络信息进行异常检测之前，需要先建立好匹配模型。模型建立模块404获取历史网络信息并将该历史网络信息以分光或镜像的方式进行存储。抓取历史网络信息中的网络数据包，从网络数据包中识别出网络协议，根据网络协议获取待检测网络信息对应的业务访问序列和访问规则，根据业务访问序列和访问规则建立与用户信息和业务名称对应的匹配模型。

本发明实施例通过根据访问序列和访问规则建立与用户信息和业务名称对应的匹配模型，用于与待检测网络信息进行比较，从而确定待检测网络信息是否为异常信息，提高了检测的准确性。

在上述实施例的基础上，所述预设条件包括以下第一预设条件、第二预设条件、第三预设条件和第四预设条件中任意一项或其组合，其中：

所述第一预设条件包括：所述待检测网络信息中的目标地址没有在所述匹配模型中的可访问地址集中；

所述第二预设条件包括：所述待检测网络信息中的url访问序列与所述匹配模型中的所述url访问序列不一致；

所述第三预设条件包括：在第一预设时间内所述待检测网络信息对应的网络访问频率大于所述匹配模型中的第一预设阈值；

所述第四预设条件包括：在第二预设时间内所述待检测网络信息对应的请求频率大于所述匹配模型中的第二预设阈值。

具体地，用户需要访问某一业务时，其待检测网络信息中会有该业务对应的目标地址，相应地，在该用户、该业务对应的匹配模型中存有该用户、该业务对应的可访问地址集，如果待检测网络信息中的目标地址没有在可访问地址集中，则说明该待检测网络信息为异常信息；

如果待检测网络信息中url访问序列与匹配模型中的url访问序列不一致，则说明待检测网络信息为异常信息；

由于用户对某一业务访问会呈现规律性，如果在第一预设时间，用户频繁访问某一业务，即待检测网络信息对应的网络访问频率大于匹配模型中的第一预设阈值时，视为异常。

相应地，用户在第二预设时间内，待检测网络信息对应的请求频率大于匹配模型中的第二预设阈值后，即说明用户发送请求的频率过高，此时，也被视为异常。

应当说明的是，只要满足第一预设条件、第二预设条件、第三预设条件和第四预设条件中至少一个则可以判断出待检测网络信息为异常信息，且上述第一预设时间和第二预设时间可以根据实际情况进行调整，本发明实施例对比不作具体限定。

本发明提供的系统的实施例具体可以用于执行上述各方法实施例的处理流程，其功能在此不再赘述，可以参照上述方法实施例的详细描述。

本发明实施例通过具体的预设条件用于判断待检测网络信息是否异常，提高了检测的准确度。

在上述实施例的基础上，图6为本发明又一实施例提供的一种网络访问异常检测系统结构示意图，如图6所示，所述系统包括：第一获取模块401、第二获取模块402、检测模块403、模型建立模块404和告警模块405，其中：

告警模块405用于根据所述异常信息生成告警信息并将所述告警信息输出。

具体地，第一获取模块401、第二获取模块402、检测模块403和模型建立模块404与上述实施例一致，此处不再赘述。具体地，如果判断出待检测网络信息为异常信息，则根据该异常信息生成告警信息，并将该告警信息输出，用于提示相关管理人员。

本发明实施例将待检测网络信息为异常信息的生成告警信息，并将告警信息输出，用于及时提醒相关管理人员进行修复等操作。

在上述实施例的基础上，所述告警信息以邮件告警、页面告警或短信告警的方式输出。

具体地，可以以邮件告警的方式将告警信息以邮件的形式发送至相关管理人员，也可以通过页面告警的方式，当相关管理人员登录系统时自动弹出告警页面，还可以通过短信告警的方式，可以理解的是，还可以同时使用上述方式进行告警。

本发明实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

图7为本发明实施例提供的一种网络访问异常检测系统实体结构示意图，如图7所示，所述系统，包括：处理器(processor)701、存储器(memory)702和总线703；其中，

所述处理器701、存储器702通过所述总线703完成相互间的通信；

所述处理器701用于调用所述存储器702中的程序指令，以执行上述各方法实施例所提供的方法，例如包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息、业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息、业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息、业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所描述的系统等实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。