[发明专利]一种网络入侵场景分析处理方法、系统、终端及存储介质

权利要求书

1.一种网络入侵场景分析处理方法，其特征在于，包括：

获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

将所述攻击者的攻击路径进行阻断。

2.根据权利要求1所述的网络入侵场景分析处理方法，其特征在于，获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包，包括：

获取待检测网络地址的访问日志和网络流量；

解析所述访问日志和网络流量，获取解析结果；以及

从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包；

其中，所述用户访问信息包括源地址、访问时间、访问请求、访问Referer、访问User-agent、访问方法、返回状态及请求主机名；所述流量数据包包括：请求信息、返回状态；流量数据包包括：请求信息、返回状态。

3.根据权利要求1所述的网络入侵场景分析处理方法，其特征在于，根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景，包括：

通过对用户访问信息包括源地址、目的地址、访问时间、访问请求、访问Referer、访问User-agent、访问方法、返回状态及请求主机名进行SAE规则匹配，通过跨设备提出相关字段信息，识别不同的安全入侵场景；

通过流量数据包中请求信息、返回状态，基于IDS检测规则和AIWAF检测规则，对网络中的流量进行首轮入侵检测，通过SAE规则匹配检测后的信息，实现再次深层次安全分析，识别不同的安全入侵场景。

4.根据权利要求1所述的网络入侵场景分析处理方法，其特征在于，针对不同入侵场景的网络访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息，包括：

将不同入侵场景的网络访问信息进行解码、样本转向量，得到WebShell访问样本；

利用预设的CNN模型对WebShell访问样本进行特征提取；

将所述特征输入至预设的CNN(卷积神经网络)+LSTM(长短期记忆网络)模型，得到WebShell恶意脚本信息。

5.根据权利要求1所述的网络入侵场景分析处理方法，其特征在于，针对不同入侵场景的网络访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息，还包括：

将识别的不同入侵场景的恶意脚本信息进行人工确认，得到过滤后的恶意脚本信息；

将所述过滤后的恶意脚本信息对所述CNN(卷积神经网络)+LSTM(长短期记忆网络)模型进行校正测试。

6.根据权利要求1所述的网络入侵场景分析处理方法，其特征在于，将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径，包括：

将不同入侵场景的恶意脚本信息的关键字段进行关联溯源，获取相同的攻击者路径。

7.根据权利要求1所述的网络入侵场景分析处理方法，其特征在于，将所述攻击者的攻击路径进行阻断，包括：

当获取到相同的攻击者路径时，通过手动、自动方式对安全设备防火墙下达阻断策略。

8.一种网络入侵场景分析处理系统，其特征在于，包括：

获取单元，配置用于获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

识别单元，配置用于根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

分类单元，配置用于针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

关联融合单元，配置用于将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

路径阻断单元，配置用于将所述攻击者的攻击路径进行阻断。