本发明涉及数字信息的传输领域,具体涉及一种信息安全用的入侵检测安全预警系统及其方法,包括:采集购物网站一日内的访问数据信息;利用各IP地址在一日内的访问数据频率的方差、访问数据浏览时长的熵值,得到各IP地址的访问异常程度值,进而获取疑似异常的IP地址;对疑似异常的IP地址的访问异常程度值进行聚类;利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。上述系统和方法可对购物网站的异常入侵进行检测并预警,可提高检测准确度。
1.一种信息安全用的入侵检测安全预警系统,其特征在于,包括采集模块、计算模块、预警模块:采集模块:用于采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据及访问数据的访问时间、浏览时长、IP地址;
计算模块:用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
预警模块:用于对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
2.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个IP地址在一日内的访问数据频率的方差是按照如下方式得到:统计每个IP地址在一日内的所有访问数据;
将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到每个IP地址的访问数据序列;
利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差。
3.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个IP地址在一日内的访问数据浏览时长的熵值是按照如下方式得到:统计每个IP地址在一日内的各访问数据的浏览时长;
计算每个IP地址在一日内的各访问数据的浏览时长出现的概率;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值。
4.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个IP地址在一日内的访问异常程度值的表达式如下:式中, 表示第 个IP地址在一日内的访问异常程度值, 表示第 个IP地址在一日内的访问数据频率的方差, 表示第 个IP地址在一日内的访问数据浏览时长的熵值, 表示自然常数。
5.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中疑似异常的IP地址是按照如下方式获取:设置异常程度值阈值,对每个IP地址在一日内的访问异常程度值进行判断:当IP地址在一日内的访问异常程度值大于异常程度值阈值时,则该IP地址为疑似异常的IP地址;当IP地址在一日内的访问异常程度值小于等于异常程度值阈值时,则该IP地址为正常的IP地址。
6.根据权利要求1所述的一种信息安全用的入侵检测安全预警系统,其特征在于,所述计算模块中每个聚类簇中具有访问同步性的IP地址是按照如下方式获取:对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
选取聚类簇中的任意两个疑似异常的IP地址作为第一IP地址和第二IP地址;
将第一IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到第一IP地址的访问数据序列;
按照得到第一IP地址的访问数据序列的方法得到第二IP地址的访问数据序列;
对第一IP地址的访问数据序列和第二IP地址的访问数据序列进行判断:当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量不相同时,则说明第一IP地址和第二IP地址的访问行为不具有同步性;当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量相同时,则进行如下操作:将第一IP地址的访问数据序列中第一个访问数据的访问时间和第二IP地址的访问数据序列中第一个访问数据的访问时间进行作差,得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值;
按照得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值;
设置访问时间差值阈值,对第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值进行判断:当第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值的绝对值均小于访问时间差值阈值时,则说明第一IP地址和第二IP地址的访问行为具有同步性,反之则说明第一IP地址和第二IP地址的访问行为不具有同步性;
按照对第一IP地址和第二IP地址的访问行为是否具有同步性进行判断的方法对第一IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进行判断,获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址;
按照获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址的方法获取聚类簇中与其他每个IP地址的访问行为具有同步性的所有IP地址。
7.一种信息安全用的入侵检测安全预警方法,其特征在于,包括:
采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据、访问数据的访问时间、浏览时长、IP地址;
利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
一种信息安全用的入侵检测安全预警系统及其方法
技术领域
[0001] 本发明涉及数字信息的传输领域,具体涉及一种信息安全用的入侵检测安全预警系统及其方法。
背景技术
[0002] 随着信息时代的到来,人们对网络的依赖越来越强,尤其是网上购物已然成为一种新的生活模式。但是在网上购物的过程中,由于购物网站的监管不到位,购物网站很容易被不法分子入侵,趁机窃取消费者的信息。因此,对购物网站的异常入侵进行检测并预警是非常有必要的。
[0003] 目前,大多数购物网站通过设置防火墙对购物网站的异常入侵进行检测并预警:首先提取购物网站的访问数据的特征,然后将访问数据的特征与特征库中的异常特征进行匹配,根据匹配结果来判断访问数据中是否存在异常入侵,进一步对异常入侵进行预警。
[0004] 但是,现有的通过设置防火墙对购物网站的异常入侵进行检测并预警的方法需要将访问数据的特征与特征库中的异常特征进行匹配,而当特征库中不存在与异常入侵的访问数据相匹配的异常特征时,则异常入侵就很容易被漏检,导致未能及时预警异常入侵,降低了购物网站的异常入侵检测的准确度,进而降低了购物网站的网络安全性。
发明内容
[0005] 本发明提供一种信息安全用的入侵检测安全预警系统及其方法,以解决现有的购物网站异常入侵检测方法准确度低的问题。
[0006] 为达到上述目的,本发明采用如下技术方案,一种信息安全用的入侵检测安全预警系统,包括采集模块、计算模块、预警模块:
[0007] 采集模块:用于采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据及访问数据的访问时间、浏览时长、IP地址;
[0008] 计算模块:用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
[0009] 利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
[0010] 利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
[0011] 根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
[0012] 对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
[0013] 利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
[0014] 预警模块:用于对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
[0015] 所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个IP地址在一日内的访问数据频率的方差是按照如下方式得到:
[0016] 统计每个IP地址在一日内的所有访问数据;
[0017] 将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到每个IP地址的访问数据序列;
[0018] 利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差。
[0019] 所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个IP地址在一日内的访问数据浏览时长的熵值是按照如下方式得到:
[0020] 统计每个IP地址在一日内的各访问数据的浏览时长;
[0021] 计算每个IP地址在一日内的各访问数据的浏览时长出现的概率;
[0022] 利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值。
[0023] 所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个IP地址在一日内的访问异常程度值的表达式如下:
[0024]
[0025] 式中, 表示第 个IP地址在一日内的访问异常程度值, 表示第 个IP地址在一日内的访问数据频率的方差, 表示第 个IP地址在一日内的访问数据浏览时长的熵值, 表示自然常数。
[0026] 所述一种信息安全用的入侵检测安全预警系统,所述计算模块中疑似异常的IP地址是按照如下方式获取:
[0027] 设置异常程度值阈值,对每个IP地址在一日内的访问异常程度值进行判断:当IP地址在一日内的访问异常程度值大于异常程度值阈值时,则该IP地址为疑似异常的IP地址;当IP地址在一日内的访问异常程度值小于等于异常程度值阈值时,则该IP地址为正常的IP地址。
[0028] 所述一种信息安全用的入侵检测安全预警系统,所述计算模块中每个聚类簇中具有访问同步性的IP地址是按照如下方式获取:
[0029] 对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
[0030] 对每个聚类簇进行如下操作:
[0031] 选取聚类簇中的任意两个疑似异常的IP地址作为第一IP地址和第二IP地址;
[0032] 将第一IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到第一IP地址的访问数据序列;
[0033] 按照得到第一IP地址的访问数据序列的方法得到第二IP地址的访问数据序列;
[0034] 对第一IP地址的访问数据序列和第二IP地址的访问数据序列进行判断:当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量不相同时,则说明第一IP地址和第二IP地址的访问行为不具有同步性;当第一IP地址的访问数据序列中访问数据的数量和第二IP地址的访问数据序列中访问数据的数量相同时,则进行如下操作:
[0035] 将第一IP地址的访问数据序列中第一个访问数据的访问时间和第二IP地址的访问数据序列中第一个访问数据的访问时间进行作差,得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值;
[0036] 按照得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值;
[0037] 设置访问时间差值阈值,对第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值进行判断:当第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值的绝对值均小于访问时间差值阈值时,则说明第一IP地址和第二IP地址的访问行为具有同步性,反之则说明第一IP地址和第二IP地址的访问行为不具有同步性;
[0038] 按照对第一IP地址和第二IP地址的访问行为是否具有同步性进行判断的方法对第一IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进行判断,获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址;
[0039] 按照获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址的方法获取聚类簇中与其他每个IP地址的访问行为具有同步性的所有IP地址。
[0040] 本发明还提供一种信息安全用的入侵检测安全预警方法,包括:
[0041] 采集购物网站一日内的所有访问数据信息,所述访问数据信息包括访问数据、访问数据的访问时间、浏览时长、IP地址;
[0042] 利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;
[0043] 利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;
[0044] 利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;
[0045] 根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;
[0046] 对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;
[0047] 利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;
[0048] 对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
[0049] 本发明的有益效果是:本发明利用每个IP地址的访问数据频率的方差和访问数据浏览时长的熵值,得到每个IP地址的访问异常程度值,利用每个IP地址的访问数据的特征将IP地址的异常程度进行量化,使得异常入侵检测更准确、更容易判定。本发明利用每个IP地址的访问异常程度值初步判断疑似异常的IP地址,然后利用疑似异常的IP地址的访问数据的数量和访问数据的访问时间判断得到异常的IP地址,根据正常访问数据和异常访问数据的特征区分出异常的IP地址,可有效提高异常入侵检测的准确度。相比于现有的通过设置防火墙对购物网站的异常入侵进行检测并预警的方法,本发明对经过防火墙检测后的访问数据进行分析,根据访问数据的特征确定出异常的IP地址,经过两次的异常入侵检测,可有效提高购物网站异常入侵检测的准确度,进而提高了购物网站的网络安全性。
附图说明
[0050] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0051] 图1为本发明实施例提供的一种信息安全用的入侵检测安全预警系统流程框图。
具体实施方式
[0052] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0053] 本发明提出一种信息安全用的入侵检测安全预警系统及其方法,为提高购物网站的网络安全性提供帮助。
[0054] 购物网站时刻都具有极高的访问量,也更容易被不法分子钻空子,而现有的通过设置防火墙来检测购物网站是否存在异常入侵的方法需要将访问数据的特征与特征库中的异常特征进行匹配,而当特征库中不存在与异常入侵的访问数据相匹配的异常特征时,则异常入侵就很容易被漏检,降低了购物网站的异常入侵检测的准确度,进而降低了购物网站的网络安全性。因此,本发明对经过防火墙检测后的访问数据进行分析,根据访问数据的特征确定出异常的IP地址,从而大大提高了购物网站异常入侵检测的准确度,进而提高了购物网站的网络安全性。
[0055] 本实施例是为了避免在防火墙检测后,出现未能识别的异常访问数据,对进入的异常访问数据进行行为监控,因为无论是对运营网页的任何入侵行为,例如恶意破解、口令入侵、流量占用、安全漏洞攻击等,本质上都是需要通过高频入侵、穷举的方式来实现的,这种巨量、高频的入侵行为是不可能通过人为实现的,需要有机器、软件、模拟器等支持,因此我们对防火墙未识别的访问行为,监测其行为异常特征,然后判断所检测出的异常IP地址同一时段内的访问行为是否存在同步性,进一步确定异常入侵行为,拉黑已进入的IP地址,提高购物网站的安全性。
[0056] 本发明的一种信息安全用的入侵检测安全预警系统的实施例,如图1所示,包括:
[0057] 一、采集模块。
[0058] 用于采集购物网站一日内的访问数据信息,所述访问数据信息包括访问数据的访问时间、浏览时长、IP地址:利用事件生成器,从购物网站后台记录所有访问信息,包括访问时间、访问频率、浏览时长、IP地址、访问的网页、所用浏览器等。事件生成器是一个整合所有类型记录日志以及访问行为的工具。从事件生成器得到的访问信息中提取购物网站一日内的访问数据信息,用于后续的异常入侵检测。实施者可根据不同情况提取不同时间段内的访问数据信息。本实施例的访问数据是经过防火墙检测后的访问数据。
[0059] 二、计算模块。
[0060] 1、用于利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差。
[0061] 由于防火墙特征库本身的不足,导致会有漏检的恶意访问被放入防火墙内,因此需要对已放入的访问数据进行监测,根据其异常行为进行二次防护。对当前时段的访问数据,即购物网站一日内的访问数据,按照IP地址进行归类,计算每个IP地址的访问行为特征。密集大量的入侵行为不可能通过人为实现,因此我们根据IP地址的访问特征辨识每个IP地址的访问行为是人的行为还是机器行为。
[0062] 因为访问数据频率是基于时间序列上连续的访问数据,即无论访问数据出现后发生了什么,访问数据频率只采集本次访问数据出现至下次访问数据出现的时间差,因此对于时间序列上连续的随机变量我们用方差来体现访问频率的异常,若IP地址的访问行为是机器行为,则其访问数据频率的方差会特别小,若IP地址的访问行为是人为访问,则其访问数据频率较为离散,方差较大。基于此,计算每个IP地址在一日内的访问数据频率的方差,过程如下:
[0063] 将每个IP地址在一日内的所有访问数据按照访问时间从先到后的顺序进行排序,得到每个IP地址的访问数据序列;
[0064] 利用每个IP地址的访问数据序列中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差:
[0065]
[0066] 式中, 表示第 个IP地址在一日内的访问数据频率的方差, 表示第 个IP地址在一日内的所有访问数据的数量, 表示第 个IP地址的访问数据序列中第i个访问数据的访问时间, 表示第 个IP地址的访问数据序列中第i‑1个访问数据的访问时间, 表示第 个IP地址的访问数据序列中所有访问数据的平均访问时间间隔。此处利用每个IP地址的访问数据序列中相邻访问数据的时间间隔来表示每个IP地址在一日内的访问数据频率,相邻访问数据的时间间隔越小,访问数据频率越大,相邻访问数据的时间间隔越大,访问数据频率越小。然后利用每个IP地址的访问数据序列中所有相邻访问数据的时间间隔计算得到每个IP地址在一日内的访问数据频率的方差,访问数据频率的方差越小,说明该IP地址的访问行为是机器行为的可能性越大。
[0067] 2、利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值。
[0068] 若IP地址的访问行为是人为操作,则每次访问页面的停留时间不同,若IP地址的访问行为是机器操作,则可能每次访问的时间相同。但浏览时长并不是在时间序列上连续,而是离散的随机变量数据,每一次访问的浏览时长都独立存在,因此我们用熵值代表浏览时长的异常。熵值越大代表浏览时长越混乱,越趋向人为操作,熵值越小代表浏览时长越相同,趋向机器操作。基于此,计算每个IP地址在一日内的访问数据浏览时长的熵值,过程如下:
[0069] 计算每个IP地址在一日内的各访问数据的浏览时长出现的概率;
[0070] 利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值:
[0071]
[0072] 表示第 个IP地址在一日内的访问数据浏览时长的熵值, 表示第 个IP地址在一日内的所有访问数据的数量, 表示第 个IP地址在一日内的第j个访问数据的浏览时长, 表示第 个IP地址在一日内的第j个访问数据的浏览时长出现的概率,表示以2为底数的对数函数。此处利用每个IP地址在一日内的各访问数据的浏览时长出现的概率来计算得到每个IP地址在一日内的访问数据浏览时长的熵值,熵值越大代表浏览时长越混乱,越趋向人为操作,熵值越小代表浏览时长越相同,趋向机器操作。
[0073] 需要说明的是:这里用熵值需要跟访问数据频率的方差区分开,简单说就是打开一个网页然后立马关了,过一会打开一个新的网页,和打开一个网页浏览了一定时间然后关掉再打开新的网页,这两种情况的访问频率相同,但浏览时长就完全不同了,所以对于访问频率用方差,对于浏览时长用熵值。
[0074] 3、利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值。
[0075] 计算得到每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值后,就可以计算得到每个IP地址在一日内的访问异常程度值:
[0076]
[0077] 式中, 表示第 个IP地址在一日内的访问异常程度值, 表示第 个IP地址在一日内的访问数据频率的方差, 表示第 个IP地址在一日内的访问数据浏览时长的熵值,表示自然常数。此处分别利用 、 对 、 的取值进行反比例关系归一化, 越小, 在0‑1之间越大, 越小, 在0‑1之间越大,然后
代表将两个特征进行L2范数值计算,得到每个IP地址在一日内
的访问异常程度值。此处结合IP地址的访问数据频率的方差和访问数据浏览时长的熵值计算异常程度值,是因为IP地址的访问数据频率的方差越小,且访问数据浏览时长的熵值越小时,该IP地址的访问行为越异常,即为该IP地址的访问异常程度值越大。
[0078] 4、根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址。
[0079] 设置异常程度值阈值D,D可根据实施者具体实施情况而定,本实施例给出经验参考值D=0.8。
[0080] 对每个IP地址在一日内的访问异常程度值进行判断:当IP地址在一日内的访问异常程度值大于0.8时,则该IP地址为疑似异常的IP地址,反之则为正常。
[0081] 5、对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇。
[0082] 一般异常入侵行为不会仅有一个IP地址进行攻击,为了混淆安全防护系统,往往是多个IP地址同时进行入侵,并且真正的人为点击网页也可能存在频繁点击,导致仅以IP地址的访问异常程度值来识别异常入侵不够全面。
[0083] 我们利用IP地址的访问异常程度值获取购物网站一日内所有疑似异常的IP地址。然后对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇。接着我们分析每个聚类簇内不同IP地址的关联性:异常入侵访问是通过破解器、模拟器等机器设置好参数,利用多个IP地址进行高频访问实现的。同一机器输出的访问行为,具有行为相同、访问时间上并行、连续的特征。
[0084] 6、利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址。
[0085] 由于同一机器输出的访问行为具有行为相同、访问时间上并行、连续的特征,本实施例通过判断每个聚类簇中IP地址的访问行为是否具有同步性,得到异常的IP地址。具体过程如下:
[0086] 选取聚类簇中的任意两个疑似异常的IP地址作为第一IP地址和第二IP地址;
[0087] 将两个IP地址的访问数据序列中的访问数据进行对比:
[0088] 当两个IP地址的访问数据序列中访问数据的数量不相同时,则说明第一IP地址和第二IP地址的访问行为不具有同步性;当两个IP地址的访问数据序列中访问数据的数量相同时,则进行如下操作:
[0089] 将第一IP地址的访问数据序列中第一个访问数据的访问时间和第二IP地址的访问数据序列中第一个访问数据的访问时间进行作差,得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值;
[0090] 按照得到第一IP地址的访问数据序列中第一个访问数据和第二IP地址的访问数据序列中第一个访问数据的访问时间差值的方法得到第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值;
[0091] 设置访问时间差值阈值E,E可根据实施者具体实施情况而定,本实施例给出经验参考值E=5秒。
[0092] 对第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值进行判断:当第一IP地址的访问数据序列中每个访问数据与其在第二IP地址的访问数据序列中对应的访问数据的访问时间差值的绝对值均小于5秒时,则说明第一IP地址和第二IP地址的访问行为具有同步性,反之则说明第一IP地址和第二IP地址的访问行为不具有同步性;
[0093] 依此类推,对第一IP地址和聚类簇中其他IP地址的访问行为是否具有同步性进行判断,获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址;
[0094] 按照获取聚类簇中与第一IP地址的访问行为具有同步性的所有IP地址的方法获取聚类簇中与其他每个IP地址的访问行为具有同步性的所有IP地址。
[0095] 三、预警模块。
[0096] 用于对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑:获取每个聚类簇中具有访问同步性的IP地址后,其中具有访问同步性且大于2组的IP地址都可能是同一机器输出的恶意访问。因此将具有访问同步性且大于2组的IP地址作为异常的IP地址,对这些IP地址进行预警并拉入黑名单。
[0097] 基于与上述系统相同的发明构思,本实施例还提供了一种信息安全用的入侵检测安全预警方法,包括:采集购物网站一日内的访问数据信息,所述访问数据信息包括访问数据的访问时间、浏览时长、IP地址;利用每个IP地址在一日内的所有访问数据中相邻访问数据的时间间隔、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据频率的方差;利用每个IP地址在一日内的各访问数据的浏览时长出现的概率、每个IP地址在一日内的所有访问数据的数量,计算得到每个IP地址在一日内的访问数据浏览时长的熵值;利用每个IP地址在一日内的访问数据频率的方差、每个IP地址在一日内的访问数据浏览时长的熵值,计算得到每个IP地址在一日内的访问异常程度值;根据每个IP地址在一日内的访问异常程度值获取疑似异常的IP地址;对所有疑似异常的IP地址在一日内的访问异常程度值进行聚类,得到所有聚类簇;利用每个聚类簇中各IP地址的访问数据的数量、各IP地址的访问数据的访问时间,获取每个聚类簇中具有访问同步性的IP地址;对每个聚类簇中具有访问同步性的IP地址进行预警并拉黑。
[0098] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
