[发明专利]一种面向数据泄露的Web安全事件取证方法及系统

摘要

本发明涉及一种面向数据泄露的Web安全事件取证方法及系统。该方法包括：首先，经过数据预处理之后，将多源日志划分为前端Web流量、Web有效载荷和后端Web数据库访问三个层次，分别基于iForest、BLSTM‑CNN和Canopy‑kmeans三种方法进行异常识别。然后对Web前后端各个层次的异常检测结果进行决策融合，为攻击建模阶段锁定Web数据泄露事件的主要时间段、参与的异常主机以及对应的异常类型。再构建能够反映时间序列和异常事件因果关系的攻击网格图，完成攻击场景建模。最后审计攻击网格图中的相关日志数据，从而完成数据泄露场景的取证还原。