[发明专利]一种网络入侵场景分析处理方法、系统、终端及存储介质

说明书

本申请所提供的一种网络入侵场景分析处理方法、系统、终端及存储介质，所述方法包括：获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；将所述攻击者的攻击路径进行阻断；本申请通过网络模型对恶意脚本信息进行识别并对不同入侵场景的恶意脚本信息进行关联融合，解决了现有技术中入侵场景关联性差、告警准确率低的问题。

技术领域

本申请涉及网络安全技术领域，尤其是涉及一种网络入侵场景分析处理方法、系统、终端及存储介质。

背景技术

入侵检测作为一种网络安全技术能够检测网络中出现的入侵行为，使网络管理人员及时发现网络入侵和攻击并采取相应的处理措施。

入侵检测可以分为异常检测和标识检测两类。异常检测是基于一个主体(比如用户或者系统)的正常行为，任何不同于正常行为的行为都被认为是入侵。标识检测基于已知的入侵和系统易受攻击性的特征，也称之为标签。任何和标签匹配的行为都被视为入侵。

异常检测和标识检测都有其局限性。由于正常行为很难被描述，异常检测有很高的虚假告警率。至于标识检测，其基于已知攻击的特征检测攻击，并将数据包和标签匹配。如果匹配成功，将报告一个攻击，否则将不报告。因此标识检测将不能检测一些未知攻击。

由此可知，入侵检测仍然面对很多挑战，首先，当前的IDS更多是关注低级的攻击和异常，并各自报告告警，对隐藏其后攻击的入侵场景之间的逻辑关系不予关心，结果安全人员只能依赖自己描述出这些告警之间的联系；其二，多数的入侵检测通常会生成大量的告警，包括真正的和虚假的告警。在密集入侵的情况下，真正的告警夹杂着虚假的告警，而且告警的数量变得不可管理，导致安全人员/入侵响应系统很难搞清楚告警背后的入侵行为，因此，很难及时采取合适的行动和应对策略。

因此，亟需一种网络入侵场景分析处理方法、系统、终端及存储介质，以解决现有技术中入侵场景关联性差、告警准确率低的问题。

发明内容

针对现有技术的不足，本申请提供一种网络入侵场景分析处理方法、系统、终端及存储介质，解决了现有技术中入侵场景关联性差、告警准确率低等问题。

为解决上述技术问题，第一方面，本申请提供一种网络入侵场景分析处理方法，包括：

获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包；

根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景；

针对不同入侵场景的用户访问信息进行特征提取及特征分类，识别不同入侵场景的恶意脚本信息；

将不同入侵场景的恶意脚本信息进行关联融合获取攻击者的攻击路径；

将所述攻击者的攻击路径进行阻断。

可选的，所述获取待检测网络地址及待检测网络地址对应的用户访问信息、流量数据包，包括：

获取待检测网络地址的访问日志和网络流量；

解析所述访问日志和网络流量，获取解析结果；以及

从所述解析结果中获取所述待检测网络地址对应的用户访问信息、流量数据包；

其中，所述用户访问信息包括源地址、访问时间、访问请求、访问Referer、访问User-agent、访问方法、返回状态及请求主机名；所述流量数据包包括：请求信息、返回状态；流量数据包包括：请求信息、返回状态。

可选的，所述根据所述用户访问信息、流量数据包的数据源类别识别不同入侵场景，包括：