1.一种基于Proxy日志数据的网络安全威胁分析方法,其特征在于,该方法包括以下步骤:
1)对镜像网络流量数据进行采集,并对采集的Proxy请求数据进行归一化处理,以输入的Proxy请求数据作为输入文档,通过大量该输入文档对LDA分析模型进行训练,得到收敛的结果,并保存训练好的LDA分析模型,同时设定一个告警阈值;
2)通过所述LDA分析模型对新采集到的Proxy请求数据进行分析得到一个分值;
3)当判断分值低于告警阀值时,确定新采集的Proxy请求数据为可疑Proxy请求数据,在前端页面进行展示,向用户告警,否则直接跳转到步骤4);
4)结束。
2.根据权利要求1所述的方法,在所述步骤3)中当判断分值低于告警阀值时,确定新采集的Proxy请求数据为可疑Proxy请求数据,在前端页面进行展示,向用户告警之后,还包括下列步骤:
针对确定的发现的可疑Proxy请求数据进行分析,找到该可疑Proxy请求数据对应的Client IP地址和Server IP地址,并与对应的位置信息关联,展示在地图上。
3.根据权利要求1所述的方法,所述LDA分析模型中,将对Proxy请求数据处理后的词语形成的文档作为文档集合D,将Proxy请求数据处理后形成的词语作为文档词语集合W,将Proxy请求数据中的网络行为主题作为文档主题集合T。
4.根据权利要求3所述的方法,所述Proxy请求数据中每个词语在文档集合中出现的概率标识为:根据该概率确定新采集到的Proxy请求数据的分值。
5.根据权利要求3或4所述的方法,所述Proxy请求数据处理后的词语由以下参数组成:Proxy请求数据中的域名标识、请求时间、请求方式、访问uri的熵、返回值类型和返回代码。
6.一种基于Proxy日志数据的网络安全威胁分析系统,其特征在于,该系统包括:
LDA分析模型训练模块,对镜像网络流量数据进行采集,并对采集的Proxy请求数据进行归一化处理,以输入的Proxy请求数据作为输入文档,通过大量该输入文档对LDA分析模型进行训练,得到收敛的结果,并保存训练好的LDA分析模型,同时设定一个告警阀值;
Proxy数据分析模块,通过所述LDA分析模型对新采集到的Proxy请求数据进行分析得到一个分值;
告警模块,当判断分值低于告警阀值时,确定新采集的Proxy请求数据为可疑Proxy请求数据,在前端页面进行展示,向用户告警。
7.根据权利要求6所述的系统,所述告警模块包括:
展示子模块,用于针对确定的发现的可疑Proxy请求数据进行分析,找到该可疑Proxy请求数据对应的Proxy地址对应的Client IP地址和Server IP地址,并与对应的位置信息关联,展示在地图上。
8.根据权利要求6所述的系统,所述LDA分析模型中,将对Proxy请求数据处理后的词语形成的文档作为文档集合D,将Proxy请求数据处理后形成的词语作为文档词语集合W,将Proxy请求数据中的网络行为主题作为文档主题集合T。
9.根据权利要求8所述的系统,所述Proxy请求数据中每个词语在文档集合中出现的概率标识为:根据该概率确定新采集到的Proxy请求数据的分值。
10.一种计算机可读存储介质,该介质存储有计算机程序指令,其特征在于,当执行所述计算机程序指令时,实现如权利要求1-5之一所述的方法。