[发明专利]访问路径的分析方法、装置、设备及介质

权利要求书

1.一种访问路径的分析方法，其特征在于，所述方法包括：

从日志库中获取登录日志；

采用决策树算法对所述登录日志进行关联分析，构建日志决策树模型；

根据所述日志决策树模型中所述登录日志的日志类型的关联关系，补充访问路径，以获取全部访问路径；

采用聚类算法K-means对所述全部访问路径进行聚类分析；

根据聚类分析结果输出异常访问路径和访问路径基线；

所述采用决策树算法对所述登录日志进行关联分析，构建日志决策树模型的步骤，包括：

根据所述登录日志中登录登出日志和跳转操作日志的关联规则，计算各个所述访问路径之间的顺序和关联关系；

根据所述顺序和所述关联关系补充客户端IP地址；

采用所述决策树算法，根据所述顺序和所述关联关系和补充的所述客户端IP地址构建所述日志决策树模型；

所述根据所述日志决策树模型中所述登录日志的日志类型的关联关系，补充访问路径，以获取全部访问路径的步骤，包括：

获取所述日志决策树模型中所述登录日志的日志类型的关联关系；

根据所述日志类型的关联关系获取源IP地址、各个跳转IP地址和目标资源IP地址；

根据所述源IP地址、所述各个跳转IP地址和所述目标资源IP地址补充访问路径，获取所述全部访问路径。

2.根据权利要求1所述的方法，其特征在于，所述采用聚类算法K-means对所述全部访问路径进行聚类分析的步骤，包括：

对所述全部访问路径进行预处理，分别计算所述源IP地址、所述各个跳转IP和所述目标资源IP地址所属的对应IP网段；

以各个所述对应IP网段及其发生次数组成预设集合，从所述预设集合中随机选取K个元素分别作为K个聚类簇的簇中心；

分别计算除所述K个元素之外的其他元素到所述簇中心的相异度，将所述其他元素划分到与其相异度最小的聚类簇；

对所述K个聚类簇进行训练，直至聚类分析的结果保持不变，输出所述聚类分析结果。

3.根据权利要求1所述的方法，其特征在于，所述根据所述聚类分析结果输出异常访问路径和访问路径基线的步骤，包括：

根据所述聚类分析结果获得聚类簇和离群点；

对所述离群点进行分析，输出异常访问路径；

根据所述聚类簇确认并输出访问路径基线。

4.根据权利要求3所述的方法，其特征在于，所述对所述离群点进行分析，输出异常访问路径的步骤，包括：

对所述离群点进行挖掘，获得异常访问行为；

根据异常访问行为输出异常访问路径；

其中，所述异常访问行为包括：非常用地点访问、安全专区外访问、非授权IP访问、多级跳转。

5.根据权利要求4所述的方法，其特征在于，在所述根据异常访问行为输出异常访问路径之后，还包括：

生成异常访问路径告警；

对所述异常访问路径挖掘分析，获得隐秘的安全通道和问题网络策略；

根据所述隐秘的安全通道和所述问题网络策略进行网络封堵。

6.根据权利要求3所述的方法，其特征在于，所述根据所述聚类簇确认并输出访问路径基线的步骤，包括：

根据所述聚类簇获得正常访问路径；

根据预设访问规则对所述正常访问路径进行筛选；

将筛选后的正常访问路径作为所述访问路径基线，输出所述访问路径基线。

7.根据权利要求1至6中任一项所述的方法，其特征在于，

所述登录日志包括：管控平台记录的单点登录日志、堡垒主机记录的资源登录日志和远程登录操作日志、资源记录的登录日志和操作日志。