一种网络入侵场景分析处理方法、系统、终端及存储介质与流程

本申请涉及网络安全技术领域，尤其是涉及一种网络入侵场景分析处理方法、系统、终端及存储介质。

背景技术：

入侵检测作为一种网络安全技术能够检测网络中出现的入侵行为，使网络管理人员及时发现网络入侵和攻击并采取相应的处理措施。

入侵检测可以分为异常检测和标识检测两类。异常检测是基于一个主体(比如用户或者系统)的正常行为，任何不同于正常行为的行为都被认为是入侵。标识检测基于已知的入侵和系统易受攻击性的特征，也称之为标签。任何和标签匹配的行为都被视为入侵。

异常检测和标识检测都有其局限性。由于正常行为很难被描述，异常检测有很高的虚假告警率。至于标识检测，其基于已知攻击的特征检测攻击，并将数据包和标签匹配。如果匹配成功，将报告一个攻击，否则将不报告。因此标识检测将不能检测一些未知攻击。

由此可知，入侵检测仍然面对很多挑战，首先，当前的ids更多是关注低级的攻击和异常，并各自报告告警，对隐藏其后攻击的入侵场景之间的逻辑关系不予关心，结果安全人员只能依赖自己描述出这些告警之间的联系；其二，多数的入侵检测通常会生成大量的告警，包括真正的和虚假的告警。在密集入侵的情况下，真正的告警夹杂着虚假的告警，而且告警的数量变得不可管理，导致安全人员/入侵响应系统很难搞清楚告警背后的入侵行为，因此，很难及时采取合适的行动和应对策略。

因此，亟需一种网络入侵场景分析处理方法、系统、终端及存储介质，以解决现有技术中入侵场景关联性差、告警准确率低的问题。

技术实现要素：

针对现有技术的不足，本申请提供一种网络入侵场景分析处理方法、系统、终端及存储介质，解决了现有技术中入侵场景关联性差、告警准确率低等问题。

为解决上述技术问题，第一方面，本申请提供一种网络入侵场景分析处理方法，包括：

获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

将所述攻击者的攻击路径进行阻断。

可选的，所述获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包，包括：

获取待检测网络地址的访问日志和网络流量；

解析所述访问日志和网络流量，获取解析结果；以及

从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包；

其中，所述用户访问信息包括源地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名；所述流量数据包包括：请求信息、返回状态；流量数据包包括：请求信息、返回状态。

可选的，所述根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景，包括：

通过对用户访问信息包括源地址、目的地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名进行sae规则匹配，通过跨设备提出相关字段信息，识别不同的安全入侵场景；

通过流量数据包中请求信息、返回状态，基于ids检测规则和aiwaf检测规则，对网络中的流量进行首轮入侵检测，通过sae规则匹配检测后的信息，实现再次深层次安全分析，识别不同的安全入侵场景。

可选的，所述针对不同入侵场景的网络访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息，包括：

将不同入侵场景的网络访问信息进行解码、样本转向量，得到webshell访问样本；

利用预设的cnn模型对webshell访问样本进行特征提取；

将所述特征输入至预设的cnn(卷积神经网络)+lstm(长短期记忆网络)模型，得到webshell恶意脚本信息。

可选的，所述针对不同入侵场景的网络访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息，还包括：

将识别的不同入侵场景的恶意脚本信息进行人工确认，得到过滤后的恶意脚本信息；

将所述过滤后的恶意脚本信息对所述cnn(卷积神经网络)+lstm(长短期记忆网络)模型进行校正测试。

可选的，所述将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径，包括：

将不同入侵场景的恶意脚本信息的关键字段进行关联溯源，获取相同的攻击者路径。

可选的，所述将所述攻击者的攻击路径进行阻断，包括：

当获取到相同的攻击者路径时，通过手动、自动方式对安全设备防火墙下达阻断策略。

第二方面，本申请还提供一种网络入侵场景分析处理系统，包括：

获取单元，配置用于获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

识别单元，配置用于根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

分类单元，配置用于针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

关联融合单元，配置用于将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

路径阻断单元，配置用于将所述攻击者的攻击路径进行阻断。

可选的，所述获取单元具体用于：

获取待检测网络地址的访问日志和网络流量；

解析所述访问日志和网络流量，获取解析结果；以及

从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包；

其中，所述用户访问信息包括源地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名；所述流量数据包包括：请求信息、返回状态；流量数据包包括：请求信息、返回状态。

可选的，所述识别单元具体用于：

通过对用户访问信息包括源地址、目的地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名进行sae规则匹配，通过跨设备提出相关字段信息，识别不同的安全入侵场景；

通过流量数据包中请求信息、返回状态，基于ids检测规则和aiwaf检测规则，对网络中的流量进行首轮入侵检测，通过sae规则匹配检测后的信息，实现再次深层次安全分析，识别不同的安全入侵场景。

可选的，所述分类单元具体用于：

将不同入侵场景的网络访问信息进行解码、样本转向量，得到webshell访问样本；

利用预设的cnn模型对webshell访问样本进行特征提取；

将所述特征输入至预设的cnn(卷积神经网络)+lstm(长短期记忆网络)模型，得到webshell恶意脚本信息。

可选的，所述分类单元还具体用于：

将识别的不同入侵场景的恶意脚本信息进行人工确认，得到过滤后的恶意脚本信息；

将所述过滤后的恶意脚本信息对所述cnn(卷积神经网络)+lstm(长短期记忆网络)模型进行校正测试。

可选的，所述关联溯源单元具体用于：

将不同入侵场景的恶意脚本信息的关键字段进行关联溯源，获取相同的攻击者路径。

可选的，所述路径阻断单元具体用于：

当获取到相同的攻击者路径时，通过手动、自动方式对安全设备防火墙下达阻断策略。

第三方面，本申请提供一种终端，包括：

处理器、存储器，其中，

该存储器用于存储计算机程序，

该处理器用于从存储器中调用并运行该计算机程序，使得终端执行上述的终端的方法。

第四方面，本申请提供了一种计算机存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

与现有技术相比，本申请具有如下有益效果：

本申请通过网络模型对恶意脚本信息进行识别并对不同入侵场景的恶意脚本信息进行关联融合，解决了现有技术中入侵场景关联性差、告警准确率低的问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种网络入侵场景分析处理方法的流程图；

图2为本申请另一实施例所提供的一种网络入侵场景分析处理系统的结构示意图；

图3为本申请实施例所提供的一种终端系统的结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参考图1，图1为本申请实施例所提供的一种网络入侵场景分析处理方法的流程图，该方法100包括：

s101：获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

s102：根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

s103：针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

s104：将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

s105：将所述攻击者的攻击路径进行阻断。

基于上述实施例，作为可选的实施例，所述s101获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包，包括：

获取待检测网络地址的访问日志和网络流量；

解析所述访问日志和网络流量，获取解析结果；以及

从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包；

其中，所述用户访问信息包括源地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名；所述流量数据包包括：请求信息、返回状态；流量数据包包括：请求信息、返回状态。

具体的，可通过主动获取或被动接受的方式，获取待检测网络地址的访问日志和网络流量；通过etl技术对采集的访问日志和网络流量进行解析和补全，获取解析结果。

基于上述实施例，作为可选的实施例，所述s102根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景，包括：

通过对用户访问信息包括源地址、目的地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名进行sae规则匹配，通过跨设备提出相关字段信息，识别不同的安全入侵场景；

通过流量数据包中请求信息、返回状态，基于ids检测规则和aiwaf检测规则，对网络中的流量进行首轮入侵检测，通过sae规则匹配检测后的信息，实现再次深层次安全分析，识别不同的安全入侵场景。

需要说明的是，需要基于设备访问日志和网络流量，通过两种数据源的综合分析不同的入侵场景。

基于上述实施例，作为可选的实施例，所述s103针对不同入侵场景的网络访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息，包括：

将不同入侵场景的网络访问信息进行解码、样本转向量，得到webshell访问样本；

利用预设的cnn模型对webshell访问样本进行特征提取；

将所述特征输入至预设的cnn(卷积神经网络)+lstm(长短期记忆网络)模型，得到webshell恶意脚本信息。

具体的，将打了标签的powershell脚本作为原始训练数据，以token(也就是分词)和char(逐个字符串)分别训练两个模型，然后聚合在一起，再加一个lstm算法，形成一个有监督的算法模型，以识别恶意powershell。

tokenembedding这里采用了word2vec技术，它可以把一个词表示成一个向量，其实就是将powershell脚本中的所有分词进行向量化，用于后续卷机层的计算，这也是对脚本的预处理过程。例如，表达式invoke-expression及其别名iex的向量值是很接近的。

为了将域名字符串转化为机器可识别的特征向量，我们使用字符级别的unigram,bigram及trigram对域名分词，计算其tf-idf特征向量。此外，还针对dga域名特点，增加了语言特征，如信息熵、域名长度、域名节数、字符比例等。此外，“不易读”也是dga域名的一个显著特征，合法域名为了让人们记住，会选用一些易读的单词(如taobao.com,baidu.com)。使用上述特征工程对恶意、正常样本进行特征提取，训练randomforest，xgboost,lightgbm模型，在预测阶段三个模型多数投票来预测域名标签。目前，本集成学习模型，对dga域名有90％以上检测率，误报率维持在0.6％左右。

cnn算法模型中的嵌入层(embeddinglayer)其实就是数据预处理的过程。cnn算法模型中的卷机层(convolutionallayer)和池化层(max-poolinglayer)其实就是自动提取特征的过程。cnn模型中采用charembedding方式提取特征，然后采用经过卷机层、池化层，再经过长短期记忆网络，最终输出样本判定结果。

基于上述实施例，作为可选的实施例，所述s103针对不同入侵场景的网络访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息，还包括：

将识别的不同入侵场景的恶意脚本信息进行人工确认，得到过滤后的恶意脚本信息；

将所述过滤后的恶意脚本信息对所述cnn(卷积神经网络)+lstm(长短期记忆网络)模型进行校正测试。

基于上述实施例，作为可选的实施例，所述s104将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径，包括：

将不同入侵场景的恶意脚本信息的关键字段进行关联溯源，获取相同的攻击者路径。

基于上述实施例，作为可选的实施例，所述s105将所述攻击者的攻击路径进行阻断，包括：

当获取到相同的攻击者路径时，通过手动、自动方式对安全设备防火墙下达阻断策略。

具体的，当平台产生安全事件时，平台支持手动、自动方式对安全设备防火墙下达阻断策略。手动方式是当平台发现告警，并经安全分析人员分析确认后获取到相同的攻击者路径点击阻断，把阻断某个ip或者域名等通知通过工单发送给安全负责人员，经安全负责人员工单确认阻断，平台会自动把这条阻断策略下发给防火墙，达到快速响应的效果；自动方式是平台发现并经确认是安全事件时，获取到相同的攻击者路径并自动下发策略给防火墙，不需人工确认，但是需要把阻断的记录记录在审计日志中，便于后续追溯审计。

请参考图2，图2为本申请实施例所提供的一种网络入侵场景分析处理系统的结构示意图，该系统200，包括：

获取单元201，配置用于获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

识别单元202，配置用于根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

分类单元203，配置用于针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

关联融合单元204，配置用于将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

路径阻断单元205，配置用于将所述攻击者的攻击路径进行阻断。

基于上述实施例，作为可选的实施例，所述获取单元201具体用于：

通过主动获取或被动接受的方式，获取待检测网络地址的访问日志和网络流量；

通过etl技术对采集的日志和流量进行解析和补全，获取解析结果；以及

从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包；

其中，所述用户访问信息包括源地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名；流量数据包包括：请求信息、返回状态。

基于上述实施例，作为可选的实施例，所述识别单元202具体用于：

通过对用户访问信息包括源地址、目的地址、访问时间、访问请求、访问referer、访问user-agent、访问方法、返回状态及请求主机名进行sae规则匹配，通过跨设备提出相关字段信息，识别不同的安全入侵场景；

通过流量数据包中请求信息、返回状态，基于ids检测规则和aiwaf检测规则，对网络中的流量进行首轮入侵检测，通过sae规则匹配检测后的信息，实现再次深层次安全分析，识别不同的安全入侵场景。

基于上述实施例，作为可选的实施例，所述分类单元203具体用于：

将不同入侵场景的网络访问信息进行解码、样本转向量，得到webshell访问样本；

利用预设的cnn模型对webshell访问样本进行特征提取；

将所述特征输入至预设的cnn(卷积神经网络)+lstm(长短期记忆网络)模型，得到webshell恶意脚本信息。

基于上述实施例，作为可选的实施例，所述关联溯源单元204具体用于：

将不同入侵场景的恶意脚本信息的关键字段进行关联溯源，获取相同的攻击者路径。

基于上述实施例，作为可选的实施例，所述路径阻断单元205具体用于：

当获取到相同的攻击者路径时，通过手动、自动方式对安全设备防火墙下达阻断策略。

请参考图3，图3为本申请实施例所提供的一种终端系统300的结构示意图，该终端系统300可以用于执行本发明实施例提供的网络入侵场景分析处理方法。

其中，该终端系统300可以包括：处理器301、存储器302及通信单元303。这些组件通过一条或多条总线进行通信，本领域技术人员可以理解，图中示出的服务器的结构并不构成对本发明的限定，它既可以是总线形结构，也可以是星型结构，还可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

其中，该存储器302可以用于存储处理器301的执行指令，存储器302可以由任何类型的易失性或非易失性存储终端或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。当存储器302中的执行指令由处理器301执行时，使得终端系统300能够执行以下上述方法实施例中的部分或全部步骤。

处理器301为存储终端的控制中心，利用各种接口和线路连接整个电子终端的各个部分，通过运行或执行存储在存储器302内的软件程序和/或模块，以及调用存储在存储器内的数据，以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(integratedcircuit，简称ic)组成，例如可以由单颗封装的ic所组成，也可以由连接多颗相同功能或不同功能的封装ic而组成。举例来说，处理器301可以仅包括中央处理器(centralprocessingunit，简称cpu)。在本发明实施方式中，cpu可以是单运算核心，也可以包括多运算核心。

通信单元303，用于建立通信信道，从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。

本申请还提供一种计算机存储介质，其中，该计算机存储介质可存储有程序，该程序执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文：read-onlymemory，简称：rom)或随机存储记忆体(英文：randomaccessmemory，简称：ram)等。

本申请通过网络模型对恶意脚本信息进行识别并对不同入侵场景的恶意脚本信息进行关联融合，解决了现有技术中入侵场景关联性差、告警准确率低的问题。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例提供的系统而言，由于其与实施例提供的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。