一种基于Proxy日志数据的网络安全威胁分析方法及系统与流程

技术特征：

1.一种基于Proxy日志数据的网络安全威胁分析方法，其特征在于，该方法包括以下步骤：

1)对镜像网络流量数据进行采集，并对采集的Proxy请求数据进行归一化处理，以输入的Proxy请求数据作为输入文档，通过大量该输入文档对LDA分析模型进行训练，得到收敛的结果，并保存训练好的LDA分析模型，同时设定一个告警阈值；

2)通过所述LDA分析模型对新采集到的Proxy请求数据进行分析得到一个分值；

3)当判断分值低于告警阀值时，确定新采集的Proxy请求数据为可疑Proxy请求数据，在前端页面进行展示，向用户告警，否则直接跳转到步骤4)；

4)结束。

2.根据权利要求1所述的方法，在所述步骤3)中当判断分值低于告警阀值时，确定新采集的Proxy请求数据为可疑Proxy请求数据，在前端页面进行展示，向用户告警之后，还包括下列步骤：

针对确定的发现的可疑Proxy请求数据进行分析，找到该可疑Proxy请求数据对应的Client IP地址和Server IP地址，并与对应的位置信息关联，展示在地图上。

3.根据权利要求1所述的方法，所述LDA分析模型中，将对Proxy请求数据处理后的词语形成的文档作为文档集合D，将Proxy请求数据处理后形成的词语作为文档词语集合W，将Proxy请求数据中的网络行为主题作为文档主题集合T。

4.根据权利要求3所述的方法，所述Proxy请求数据中每个词语在文档集合中出现的概率标识为：根据该概率确定新采集到的Proxy请求数据的分值。

5.根据权利要求3或4所述的方法，所述Proxy请求数据处理后的词语由以下参数组成：Proxy请求数据中的域名标识、请求时间、请求方式、访问uri的熵、返回值类型和返回代码。

6.一种基于Proxy日志数据的网络安全威胁分析系统，其特征在于，该系统包括：

LDA分析模型训练模块，对镜像网络流量数据进行采集，并对采集的Proxy请求数据进行归一化处理，以输入的Proxy请求数据作为输入文档，通过大量该输入文档对LDA分析模型进行训练，得到收敛的结果，并保存训练好的LDA分析模型，同时设定一个告警阀值；

Proxy数据分析模块，通过所述LDA分析模型对新采集到的Proxy请求数据进行分析得到一个分值；

告警模块，当判断分值低于告警阀值时，确定新采集的Proxy请求数据为可疑Proxy请求数据，在前端页面进行展示，向用户告警。

7.根据权利要求6所述的系统，所述告警模块包括：

展示子模块，用于针对确定的发现的可疑Proxy请求数据进行分析，找到该可疑Proxy请求数据对应的Proxy地址对应的Client IP地址和Server IP地址，并与对应的位置信息关联，展示在地图上。

8.根据权利要求6所述的系统，所述LDA分析模型中，将对Proxy请求数据处理后的词语形成的文档作为文档集合D，将Proxy请求数据处理后形成的词语作为文档词语集合W，将Proxy请求数据中的网络行为主题作为文档主题集合T。

9.根据权利要求8所述的系统，所述Proxy请求数据中每个词语在文档集合中出现的概率标识为：根据该概率确定新采集到的Proxy请求数据的分值。

10.一种计算机可读存储介质，该介质存储有计算机程序指令，其特征在于，当执行所述计算机程序指令时，实现如权利要求1-5之一所述的方法。