一种基于日志分析的访问风险实时审计方法与系统与流程

1.本发明属于网络安全技术领域，尤其涉及一种基于日志分析的访问风险实时审计方法与系统。


背景技术：

2.为了实现对网络访问风险的实时审计，在发明专利公告号cn109831465b《一种基于大数据日志分析的网站入侵检测方法》中通过采集预设时间段内的web日志,将其按照访问者ip进行聚合；将访问者ip与ip白名单进行匹配，筛选出未在ip白名单内的待检测ip；分析待检测ip对应的web日志，使用自定义的风险模型分别计算各项请求参数的风险值，本发明通过风险模型综合访问者ip及其访问请求信息，多方面计算访问者的入侵风险值，相比传统waf技术对网站入侵更加准确全面，能够减少漏检或误检，但是却存在以下技术问题：
3.忽视了对ip白名单内的待检测ip的分析，对于处于ip白名单内的待检测ip，当其访问的流量数据过多或者访问频率过于频繁时，仍可能会造成一定的数据泄露或者网络安全风险；
4.忽视了结合ip白名单、ip黑名单、未在名单内的待检测ip的综合分析生成分析结果，由于用户的ip地址可以通过代理等方式进行隐藏或者替换，若仅仅考虑某一种类型的分析结果，则有可能无法准确全面的实现对网络风险以及安全隐患的评估。
5.针对上述技术问题，本发明提供了一种基于日志分析的访问风险实时审计方法与系统。


技术实现要素：

6.根据本发明的一个方面，提供了一种基于日志分析的访问风险实时审计方法。
7.一种基于日志分析的访问风险实时审计方法，其特征在于，具体包括：
8.s11对网络日志进行解析得到解析结果，并基于解析结果确定是否存在ip黑名单的待检测ip，若是，则进入步骤s12，若否，则进入步骤s13；
9.s12基于所述待检测ip的访问频率、数据流量、数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s13；
10.s13基于所述解析结果得到不在ip白名单和ip黑名单的待分析ip，并基于所述待分析ip的ip地址确定所述待分析ip的属地，并基于待分析ip的属地得到高风险ip，通过高风险ip的访问频率、数据流量、数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s14；
11.s14将ip白名单的ip地址作为待解析ip，并分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到访问风险类型，并基于所述访问风险类型确定是否需要输出预警信号。
12.通过对待检测ip的解析，从而实现了对黑名单中的待检测ip的确认，并在具有待
检测ip的基础上，通过待检测ip的访问频率、数据流量、数量进行访问风险的确定，使得整体的访问风险的评估效率得到进一步提升，同时也避免了潜在的安全风险。
13.通过结合待分析ip的属地得到高风险ip，通过高风险ip的访问频率、数据流量、数量确定是否存在访问风险，从而实现了从另一角度对访问风险的评估，减少了由于白名单或者黑名单的数量有限导致的评估结果不够准确的问题的出现，进一步提升了访问风险评估的全面性、及时性和准确性。
14.通过分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到访问风险类型，从而实现了从更加全面的角度对访问风险的评估，保证了访问风险评估的准确性和全面性，也为进一步减少访问风险奠定了基础。
15.另一方面，本技术实施例中提供一种计算机系统，包括：通信连接的存储器和处理器，以及存储在所述存储器上并能够在所述处理器上运行的计算机程序，其特征在于：所述处理器运行所述计算机程序时执行上述的一种基于日志分析的访问风险实时审计方法。
16.另一方面，本发明提供了一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行上述的一种基于日志分析的访问风险实时审计方法。
17.其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书以及附图中所特别指出的结构来实现和获得。
18.为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
19.通过参照附图详细描述其示例实施方式，本发明的上述和其它特征及优点将变得更加明显；
20.图1是一种基于日志分析的访问风险实时审计方法的流程图；
21.图2是基于所述待检测ip确定是否存在访问风险的具体步骤的流程图；
22.图3是一种基于日志分析的访问风险实时审计系统的结构图；
23.图4是基于所述高风险ip确定是否存在访问风险的具体步骤的流程图；
24.图5是访问风险类型确定的具体步骤的流程图；
25.图6是一种计算机系统的结构图；
26.图7是一种计算机存储介质的结构图。
具体实施方式
27.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的实施方式；相反，提供这些实施方式使得本发明将全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。图中相同的附图标记表示相同或类似的结构，因而将省略它们的详细描述。
28.用语“一个”、“一”、“该”、“所述”用以表示存在一个或多个要素/组成部分/等；用
语“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素/组成部分/等之外还可存在另外的要素/组成部分/等。
29.为解决上述问题，根据本发明的一个方面，如图1所示，提供了根据本发明的一种基于日志分析的访问风险实时审计方法，其特征在于，具体包括：
30.s11对网络日志进行解析得到解析结果，并基于解析结果确定是否存在ip黑名单的待检测ip，若是，则进入步骤s12，若否，则进入步骤s13；
31.需要说明的是，所述解析结果包括网络访问的ip地址、访问的时间、访问的目标数据、访问者所使用的客户端信息。
32.具体的举个例子，解析结果的提取与分析任务从本质上说是将存储在solite数据库中的数据以人类容易理解的方式展现出来，在具体的实施过程中，提出的基于域名聚合及频繁项集挖掘的历史记录提取与分析框架主要包括以下4个步骤：
33.1)历史记录提取。利用solite数据库的标准接口sqlite3将chrome历史记录导出为.csv文件。
34.2)域名聚合。将上一步骤中提取出的访问记录按有效二级域名聚合获取用户访问的数据类型。
35.3)频繁项集挖掘。基于sam算法挖掘出top-k个用户频繁访问的数据类型。
36.4)关键词关联分析。按时间窗口展示用户检索的关键词并将这些关键词与其访问的数据类型相关联。
37.s12基于所述待检测ip的访问频率、数据流量、数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s13；
38.在实际的操作过程中，待检测ip的访问频率可以结合一定的时间段内的访问情况进行确定，
39.需要说明的是，如图2所示，基于所述待检测ip确定是否存在访问风险的具体步骤为：
40.s21基于所述待检测ip的访问频率、数据流量确定所述待检测ip中的待检测问题ip，并基于所述待检测问题ip的数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s22；
41.具体的举例说明，待检测ip中的待检测问题ip一般将待检测ip中的访问频率极高或者数据流量较大的进行筛选，具体的也可以根据层次分析法的数学模型得到。
42.具体的举例说明，若待检测问题ip的数量大于一定的值以后，则确定其存在访问风险。
43.s22基于所述待检测ip的数量确定是否存在潜在访问风险，若是，则进入步骤s22，若否，则进入步骤s24；
44.具体的举个例子说明，当待检测ip的数量大于一定的量以后，说明黑名单中的ip数量较多，因此此时时存在潜在访问风险，可以通过简单的判断进行潜在访问风险的确定。
45.s23基于所述待检测问题ip与所述待检测ip的数量的比值确定是否存在安全风险，若是，则输出预警信号，若否，则进入步骤s24；
46.s24基于所述待检测ip的访问频率、数据流量、数量、待检测问题ip的数量确定黑名单ip的访问风险值，并基于所述黑名单ip的访问风险值确定是否存在访问风险。
47.需要说明的是，所述黑名单ip的访问风险值大于一定量的时候，确定存在访问风险。
48.在另外一种具体的实施例中，所述黑名单ip的访问风险值的构建采用基于ipso-bp预测模型，其中所述预测模型的具体步骤为：
49.步骤1数据的预处理.对选取的样本数据进行补全和修正，对样本数据进行归一化处理。
50.步骤2模型参数的设置.对粒子群优化算法中的参数进行设置，并初始化粒子的位置和速度，确定粒子各维度上的数值与神经网络中输入层、隐含层、输出层之间的权重相对应。
51.步骤3建立bp神经网络，采用单隐层结构，输入层神经元8个，输出层神经元1个，隐含层神经的个数h可通过试凑法或经验公式确定，即
52.h＝2a+1
53.式中：a，b分别为输入层、输出层的个数；c为常数。
54.步骤4采用均方误差函数，计算出各粒子的适应度值fi。
55.步骤5将粒子的适应度值f与该粒子目前搜索到最优位置时的适应度值f(p
best
)进行比较，若fi》f(p
best
)，则更新p
best
；否则，保持不变；同时，将各粒子的适应度值fi与全部粒子搜索到最优位置时的适应度值f(p
best
)进行比较，若fi》f(g
best
)，则更新g
best
；否则，保持不变；
[0056][0057][0058]
步骤6对粒子的位置、速度和惯性权重系数进行更新，并假设变异概率q0＝0.95，若r《q0，则对粒子进行变异操作。
[0059]
实际问题大多数是复杂、非线性的，选择合适的惯性权重系数可以均衡粒子的全局搜索和局部搜索能力，使粒子摆脱早熟.传统的惯性权重系数对非线性问题的处理能力有限，故引入自适应惯性权重系数，以避免粒子陷入局部最优，即
[0060][0061]
式中：α分布于[15,30]；ω
max
，ω
min
分别为自适应惯性权重系数值的上、下限；m为当前迭代次数，m
max
为最大迭代次数，为取值在之间服从gauss(0,1)分布的随机变量。
[0062]
为避免粒子早熟收敛，并提高种群的多样性，引入变异思想对粒子进行扰动.当粒子一直陷入局部最优，停止向新的方向搜索时，引入变异扰动，迫使粒子进入其他区域继续搜索.假设1个变异概率为q0，若r《q0，r为[0,1]的随机数，则对粒子进行变异操作，有
[0063][0064]
式中：为全局粒子第m+1次迭代后的历史最优位置；δ为服从gauss(0,1)分布的随机变量。
[0065]
需要说明的是，所述待检测问题ip根据所述待检测ip的访问频率的大小、数据流量的大小以及基于访问频率和数据流量构建得到的综合值的大小进行确定。
[0066]
在本实施例中，通过对待检测ip的解析，从而实现了对黑名单中的待检测ip的确认，并在具有待检测ip的基础上，通过待检测ip的访问频率、数据流量、数量进行访问风险的确定，使得整体的访问风险的评估效率得到进一步提升，同时也避免了潜在的安全风险。
[0067]
s13基于所述解析结果得到不在ip白名单和ip黑名单的待分析ip，并基于所述待分析ip的ip地址确定所述待分析ip的属地，并基于待分析ip的属地得到高风险ip，通过高风险ip的访问频率、数据流量、数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s14；
[0068]
具体的举个例子，所述待分析ip的属地根据所述待分析ip的ip地址进行解析得到，并当所述待分析ip的属地不属于特定的属地时，则确定所述待分析ip属于高风险ip。
[0069]
需要说明的是，不管是网页或者是数据，其访问用户的ip地址一般都固定在特定的区域，也即是一般固定的属地的人群进行访问，当某一待分析ip的属地不属于上述地址时，则很有可能属于风险ip，因此将其作为高风险ip。
[0070]
具体的，如图4所示，基于所述高风险ip确定是否存在访问风险的具体步骤为：
[0071]
s31基于所述高风险ip的数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s32；
[0072]
s32基于所述高风险ip的数量确定是否存在潜在访问风险，若是，则进入步骤s33，若否，则进入步骤s34；
[0073]
s33基于所述高风险ip的访问频率、数据流量确定高风险问题ip，饼基于所述高风险问题ip的数量确定是否存在访问风险、若是，则输出预警信号，若否，则进入步骤s34；
[0074]
s34通过高风险ip的访问频率、数据流量、数量、高风险问题ip的数量得到所述高风险ip的访问风险评估值，并基于所述高风险ip的访问风险评估值确定是否存在访问风险。
[0075]
在本实施例中，通过结合待分析ip的属地得到高风险ip，通过高风险ip的访问频率、数据流量、数量确定是否存在访问风险，从而实现了从另一角度对访问风险的评估，减少了由于白名单或者黑名单的数量有限导致的评估结果不够准确的问题的出现，进一步提升了访问风险评估的全面性、及时性和准确性。
[0076]
s14将ip白名单的ip地址作为待解析ip，并分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到访问风险类型，并基于所述访问风险类型确定是否需要输出预警信号。
[0077]
具体的，所述不同类型的ip的访问风险权值根据不同类型的ip的基础权值以及不同类型的ip的数量比进行确定，其中所述基础权值采用专家打分的方式进行确定，所述不
同类型的ip的数量比根据该类型的ip的数量与该类型的设定数量的比值进行确定。
[0078]
具体的，如图5所示，所述访问风险类型确定的具体步骤为：
[0079]
s41基于待检测ip的访问频率、数据流量确定待检测问题ip，基于所述待检测ip的访问频率、数据流量、数量、待检测问题ip的数量确定待检测ip的访问风险值；
[0080]
s42基于高风险ip的访问频率、数据流量确定高风险问题ip，基于所述高风险ip的访问频率、数据流量、数量、高风险问题ip的数量确定高风险ip的访问风险值；
[0081]
s43基于所述高风险ip的访问风险值与访问风险权值，所述待检测ip的访问风险值与风险权值得到综合评估值，并基于所述综合评估值确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s44；
[0082]
需要说明的是，访问风险权值可以根据待检测问题ip以及高风险问题ip的比例以及基础权值进行确定，一般来说比例越高，权值越大，且待检测ip的基础权值大于高风险ip的权值。
[0083]
具体的，所述访问风险值的计算公式为：
[0084]
w＝t1w1+t2w2[0085]
其中w1、w2分别为检测ip的访问风险值、高风险ip的访问风险值，t1、t2分别为待检测ip的访问风险值，高风险ip的访问风险值。
[0086]
s44基于待解析ip的访问频率、数据流量确定待解析问题ip，基于所述带解析ip的访问频率、数据流量、数量、待解析问题ip的数量确定待解析ip的访问风险值；基于待分析ip的访问频率、数据流量确定待分析问题ip，基于所述待分析ip的访问频率、数据流量、数量、待分析问题ip的数量确定待分析ip的访问风险值；
[0087]
s45基于所述待分析ip的访问风险值与访问风险权值，所述待解析ip的访问风险值与风险权值得到低风险综合评估值，并基于所述低风险综合评估值、综合评估值确定访问风险类型。
[0088]
需要说明的是，访问风险类型可以通过分类模型等多种形式进行确定。
[0089]
具体的，所述访问风险类型包括高风险、低风险，并当所述访问风险类型为高风险时，确定需要输出预警信号。
[0090]
在本实施例中，通过分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到访问风险类型，从而实现了从更加全面的角度对访问风险的评估，保证了访问风险评估的准确性和全面性，也为进一步减少访问风险奠定了基础。
[0091]
为了便于理解本发明的方案，下面给出一最优的实施例：
[0092]
对网络日志进行解析得到解析结果，并基于解析结果确定存在ip黑名单的待检测ip；
[0093]
基于所述待检测ip的访问频率、数据流量、数量确定不存在访问风险时，基于所述解析结果得到不在ip白名单和ip黑名单的待分析ip，并基于所述待分析ip的ip地址确定所述待分析ip的属地，将不属于特定属地的作为高风险ip，通过高风险ip的访问频率、数据流量、数量确定不存在访问风险时，进入下一步：
[0094]
基于所述待检测ip、高风险ip的访问频率、数据流量、数量确定得到待检测ip以及高风险ip的访问风险评估值，并结合两者的访问风险权值，得到最终的一个综合的访问风
险值，具体的采用基于层次分析法的数学模型，当确定不存在访问风险时进入下一步；
[0095]
将ip白名单的ip地址作为待解析ip，并分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到一个完整的访问风险评估值，并根据其确定访问风险类型，所述访问风险类型包括高风险、低风险，并当所述访问风险类型为高风险时，确定需要输出预警信号。
[0096]
在另外一种可能的实施例中，如图3所示，本发明提供了一种基于日志分析的访问风险实时审计系统，具体包括：
[0097]
日志解析模块；ip地址区分模块；风险评估模块；风险类型确定模块；
[0098]
其中所述日志解析模块负责对网络日志进行解析得到解析结果；
[0099]
所述ip地址区分模块负责基于解析结果确定是否存在ip黑名单的待检测ip、于所述解析结果得到不在ip白名单和ip黑名单的待分析ip，并基于所述待分析ip的ip地址确定所述待分析ip的属地，并基于待分析ip的属地得到高风险ip、将ip白名单的ip地址作为待解析ip；
[0100]
所述风险评估模块负责基于所述待检测ip的访问频率、数据流量、数量确定是否存在访问风险；通过高风险ip的访问频率、数据流量、数量确定是否存在访问风险；基于所述待检测ip、高风险ip的访问频率、数据流量、数量确定得到待检测ip以及高风险ip的访问风险评估值，并结合两者的访问风险权值确定是否存在访问风险；
[0101]
其中所述风险类型确定模块负责分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到访问风险类型，并基于所述访问风险类型确定是否需要输出预警信号。
[0102]
需要说明的是，基于所述待检测ip的访问频率、数据流量、数量确定是否存在访问风险的具体步骤为：
[0103]
如图2所示，基于所述待检测ip确定是否存在访问风险的具体步骤为：
[0104]
s21基于所述待检测ip的访问频率、数据流量确定所述待检测ip中的待检测问题ip，并基于所述待检测问题ip的数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s22；
[0105]
具体的举例说明，待检测ip中的待检测问题ip一般将待检测ip中的访问频率极高或者数据流量较大的进行筛选，具体的也可以根据层次分析法的数学模型得到。
[0106]
具体的举例说明，若待检测问题ip的数量大于一定的值以后，则确定其存在访问风险。
[0107]
s22基于所述待检测ip的数量确定是否存在潜在访问风险，若是，则进入步骤s22，若否，则进入步骤s24；
[0108]
具体的举个例子说明，当待检测ip的数量大于一定的量以后，说明黑名单中的ip数量较多，因此此时时存在潜在访问风险，可以通过简单的判断进行潜在访问风险的确定。
[0109]
s23基于所述待检测问题ip与所述待检测ip的数量的比值确定是否存在安全风险，若是，则输出预警信号，若否，则进入步骤s24；
[0110]
s24基于所述待检测ip的访问频率、数据流量、数量、待检测问题ip的数量确定黑名单ip的访问风险值，并基于所述黑名单ip的访问风险值确定是否存在访问风险。
[0111]
需要说明的是，所述黑名单ip的访问风险值大于一定量的时候，确定存在访问风险。
[0112]
在另外一种具体的实施例中，所述黑名单ip的访问风险值的构建采用基于ipso-bp预测模型，其中所述预测模型的具体步骤为：
[0113]
步骤1数据的预处理.对选取的样本数据进行补全和修正，对样本数据进行归一化处理。
[0114]
步骤2模型参数的设置.对粒子群优化算法中的参数进行设置，并初始化粒子的位置和速度，确定粒子各维度上的数值与神经网络中输入层、隐含层、输出层之间的权重相对应。
[0115]
步骤3建立bp神经网络，采用单隐层结构，输入层神经元8个，输出层神经元1个，隐含层神经的个数h可通过试凑法或经验公式确定，即
[0116]
h＝2a+1
[0117]
式中：a，b分别为输入层、输出层的个数；c为常数。
[0118]
步骤4采用均方误差函数，计算出各粒子的适应度值fi。
[0119]
步骤5将粒子的适应度值f与该粒子目前搜索到最优位置时的适应度值f(p
best
)进行比较，若fi》f(p
best
)，则更新p
best
；否则，保持不变；同时，将各粒子的适应度值fi与全部粒子搜索到最优位置时的适应度值f(p
best
)进行比较，若fi》f(g
best
)，则更新g
best
；否则，保持不变；
[0120][0121][0122]
步骤6对粒子的位置、速度和惯性权重系数进行更新，并假设变异概率q0＝0.95，若r《q0，则对粒子进行变异操作。
[0123]
实际问题大多数是复杂、非线性的，选择合适的惯性权重系数可以均衡粒子的全局搜索和局部搜索能力，使粒子摆脱早熟.传统的惯性权重系数对非线性问题的处理能力有限，故引入自适应惯性权重系数，以避免粒子陷入局部最优，即
[0124][0125]
式中：α分布于[15,30]；ω
max
，ω
min
分别为自适应惯性权重系数值的上、下限；m为当前迭代次数，m
max
为最大迭代次数，为取值在之间服从gauss(0,1)分布的随机变量。
[0126]
为避免粒子早熟收敛，并提高种群的多样性，引入变异思想对粒子进行扰动.当粒子一直陷入局部最优，停止向新的方向搜索时，引入变异扰动，迫使粒子进入其他区域继续搜索.假设1个变异概率为q0，若r《q0，r为[0,1]的随机数，则对粒子进行变异操作，有
[0127][0128]
式中：为全局粒子第m+1次迭代后的历史最优位置；δ为服从gauss(0,1)分布的随机变量。
[0129]
另一方面，如图6所示，本技术实施例中提供一种计算机系统，包括：通信连接的存储器和处理器，以及存储在所述存储器上并能够在所述处理器上运行的计算机程序，其特征在于：所述处理器运行所述计算机程序时执行上述的一种基于日志分析的访问风险实时审计方法。
[0130]
其中所述一种基于日志分析的访问风险实时审计方法具体包括：
[0131]
对网络日志进行解析得到解析结果，并基于解析结果确定存在ip黑名单的待检测ip；
[0132]
基于所述待检测ip的访问频率、数据流量、数量确定不存在访问风险时，基于所述解析结果得到不在ip白名单和ip黑名单的待分析ip，并基于所述待分析ip的ip地址确定所述待分析ip的属地，将不属于特定属地的作为高风险ip，通过高风险ip的访问频率、数据流量、数量确定不存在访问风险时，进入下一步：
[0133]
基于所述待检测ip、高风险ip的访问频率、数据流量、数量确定得到待检测ip以及高风险ip的访问风险评估值，并结合两者的访问风险权值，得到最终的一个综合的访问风险值，具体的采用基于层次分析法的数学模型，当确定不存在访问风险时进入下一步；
[0134]
将ip白名单的ip地址作为待解析ip，并分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到一个完整的访问风险评估值，并根据其确定访问风险类型，所述访问风险类型包括高风险、低风险，并当所述访问风险类型为高风险时，确定需要输出预警信号。
[0135]
另一方面，如图7所示，本发明提供了一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行上述的一种基于日志分析的访问风险实时审计方法。
[0136]
具体的，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0137]
在本技术所提供的几个实施例中，应该理解到，所揭露的系统和方法，也可以通过
其它的方式实现。以上所描述的系统实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0138]
另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
[0139]
功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0140]
以上述依据本发明的理想实施例为启示，通过上述的说明内容，相关工作人员完全可以在不偏离本项发明技术思想的范围内，进行多样的变更以及修改。本项发明的技术性范围并不局限于说明书上的内容，必须要根据权利要求范围来确定其技术性范围。

技术特征：
1.一种基于日志分析的访问风险实时审计方法，其特征在于，具体包括：s11对网络日志进行解析得到解析结果，并基于解析结果确定是否存在ip黑名单的待检测ip，若是，则进入步骤s12，若否，则进入步骤s13；s12基于所述待检测ip的访问频率、数据流量、数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s13；s13基于所述解析结果得到不在ip白名单和ip黑名单的待分析ip，并基于所述待分析ip的ip地址确定所述待分析ip的属地，并基于待分析ip的属地得到高风险ip，通过高风险ip的访问频率、数据流量、数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s14；s14将ip白名单的ip地址作为待解析ip，并分别基于待解析ip、高风险ip、待分析ip、待检测ip的访问频率、数据流量、数量得到不同类型的ip的访问风险值，并结合不同类型的ip的访问风险权值得到访问风险类型，并基于所述访问风险类型确定是否需要输出预警信号。2.如权利要求1所述的访问风险实时审计方法，其特征在于，所述解析结果包括网络访问的ip地址、访问的时间、访问的目标数据、访问者所使用的客户端信息。3.如权利要求1所述的访问风险实时审计方法，其特征在于，基于所述待检测ip确定是否存在访问风险的具体步骤为：s21基于所述待检测ip的访问频率、数据流量确定所述待检测ip中的待检测问题ip，并基于所述待检测问题ip的数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s22；s22基于所述待检测ip的数量确定是否存在潜在访问风险，若是，则进入步骤s22，若否，则进入步骤s24；s23基于所述待检测问题ip与所述待检测ip的数量的比值确定是否存在安全风险，若是，则输出预警信号，若否，则进入步骤s24；s24基于所述待检测ip的访问频率、数据流量、数量、待检测问题ip的数量确定黑名单ip的访问风险值，并基于所述黑名单ip的访问风险值确定是否存在访问风险。4.如权利要求3所述的访问风险实时审计方法，其特征在于，所述待检测问题ip根据所述待检测ip的访问频率的大小、数据流量的大小以及基于访问频率和数据流量构建得到的综合值的大小进行确定。5.如权利要求1所述的访问风险实时审计方法，其特征在于，所述待分析ip的属地根据所述待分析ip的ip地址进行解析得到，并当所述待分析ip的属地不属于特定的属地时，则确定所述待分析ip属于高风险ip。6.如权利要求1所述的访问风险实时审计方法，其特征在于，基于所述高风险ip确定是否存在访问风险的具体步骤为：s31基于所述高风险ip的数量确定是否存在访问风险，若是，则输出预警信号，若否，则进入步骤s32；s32基于所述高风险ip的数量确定是否存在潜在访问风险，若是，则进入步骤s33，若否，则进入步骤s34；s33基于所述高风险ip的访问频率、数据流量确定高风险问题ip，饼基于所述高风险问
题ip的数量确定是否存在访问风险、若是，则输出预警信号，若否，则进入步骤s34；s34通过高风险ip的访问频率、数据流量、数量、高风险问题ip的数量得到所述高风险ip的访问风险评估值，并基于所述高风险ip的访问风险评估值确定是否存在访问风险。7.如权利要求1所述的访问风险实时审计方法，其特征在于，所述不同类型的ip的访问风险权值根据不同类型的ip的基础权值以及不同类型的ip的数量比进行确定，其中所述基础权值采用专家打分的方式进行确定，所述不同类型的ip的数量比根据该类型的ip的数量与该类型的设定数量的比值进行确定。8.如权利要求1所述的访问风险实时审计方法，其特征在于，所述访问风险类型确定的具体步骤为：基于待检测ip的访问频率、数据流量确定待检测问题ip，基于所述待检测ip的访问频率、数据流量、数量、待检测问题ip的数量确定待检测ip的访问风险值；基于高风险ip的访问频率、数据流量确定高风险问题ip，基于所述高风险ip的访问频率、数据流量、数量、高风险问题ip的数量确定高风险ip的访问风险值；基于所述高风险ip的访问风险值与访问风险权值，所述待检测ip的访问风险值与风险权值得到综合评估值，并基于所述综合评估值确定是否存在访问风险，若是，则输出预警信号，若否，则进入下一步骤；基于待解析ip的访问频率、数据流量确定待解析问题ip，基于所述带解析ip的访问频率、数据流量、数量、待解析问题ip的数量确定待解析ip的访问风险值；基于待分析ip的访问频率、数据流量确定待分析问题ip，基于所述待分析ip的访问频率、数据流量、数量、待分析问题ip的数量确定待分析ip的访问风险值；基于所述待分析ip的访问风险值与访问风险权值，所述待解析ip的访问风险值与风险权值得到低风险综合评估值，并基于所述低风险综合评估值、综合评估值确定访问风险类型。9.如权利要求8所述的访问风险实时审计方法，其特征在于，所述访问风险类型包括高风险、低风险，并当所述访问风险类型为高风险时，确定需要输出预警信号。10.一种计算机系统，包括：通信连接的存储器和处理器，以及存储在所述存储器上并能够在所述处理器上运行的计算机程序，其特征在于：所述处理器运行所述计算机程序时执行权利要求1-9任一项所述的一种基于日志分析的访问风险实时审计方法。11.一种计算机存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行权利要求1-9任一项所述的一种基于日志分析的访问风险实时审计方法。

技术总结
本发明提供一种基于日志分析的访问风险实时审计方法与系统，属于网络安全技术领域，具体包括：对网络日志进行解析得到解析结果，并基于解析结果确定存在IP黑名单的待检测IP、得到不在IP白名单和IP黑名单的待分析IP，并基于待分析IP的属地得到高风险IP，通过高风险IP的访问频率、数据流量、数量进行访问风险的确定，将IP白名单的IP地址作为待解析IP，并分别基于待解析IP、高风险IP、待分析IP、待检测IP的访问频率、数据流量、数量得到不同类型的IP的访问风险值，并结合不同类型的IP的访问风险权值得到访问风险类型，并基于访问风险类型确定是否需要输出预警信号，从而进一步提升了访问风险审计的实时性和准确性。风险审计的实时性和准确性。风险审计的实时性和准确性。


技术研发人员：顾春辉 范必达 毛召锋
受保护的技术使用者：杭州虎符网络有限公司
技术研发日：2023.04.21
技术公布日：2023/7/22