一种基于流量的安全事件检测方法及装置制造方法

一种基于流量的安全事件检测方法及装置制造方法
【专利摘要】本发明公开了一种基于流量的安全事件检测方法及装置，方法为，根据历史数据，获取待检测时间段内每一个时间点对应的预测流量总值；将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较，获取离群点集合；对离群点集合中的所有离群点进行筛选，将误判定离群点由该离群点集合中剔除。采用本发明技术方案，对WAF设备首次检测得到的离群点集合再次进行修正，将误判定离群点进行剔除，从而降低了WAF设备在安全事件检测过程中的误判率，避免了WAF设备由于误判断而进入比较严格的深度防护状态时其他设备无法请求网站中指定服务，使其他设备能够正常请求网站中的指定服务，有效提高了系统性能。
【专利说明】-种基于流量的安全事件检测方法及装置

【技术领域】
[0001] 本发明设及网络安全领域，尤其设及一种基于流量的安全事件检测方法及装置。

【背景技术】
[0002] WAF(Web Application Firewall ;Web应用防火墙）设备是为web服务器提供安 全防护服务的设备，该WAF设备能够为web服务器制定相应的安全策略，统计web服务器中 发生的事件（包括流量和安全攻击等数据），W及控制对web服务器的应用访问。
[0003] 在WAF设备中，安全事件检测是从大量事件中发现安全事件的过程。安全事件检 测有着广泛的应用，例如，获取电子商务中的欺诈行为信息、获取金融领域信用卡恶意透支 信息、W及获取网络安全中的恶意攻击行为信息等。
[0004] 目前，在WAF设备中，安全事件检测主要通过WAF设备对已发生事件构成的历史数 据的自学习实现，即WAF设备基于历史流量和安全攻击等数据进行推断，进而得出安全事 件和非安全事件，当判定当前时刻为非安全状态时，WAF设备随即进入比较严格的深度防护 状态，从而对web服务器提供的某些指定应用进行保护，即WAF设备拒绝其他设备请求访问 该指定应用。
[0005] 由此可见，当检测设备针对需要防护的web服务器定期执行扫描漏洞检测操作 时，WAF设备根据历史数据判断web服务器对应的状态是否为安全状态，由于在不同应用场 景下，根据历史数据进行安全事件检测时得到的检测结果准确性较低，因此，采用上述技术 方案，将存在WAF设备误判断的情况，从而导致web服务器应用访问受限的问题。
[0006] 综上所述，目前在进行安全事件检测时，存在WAF设备误判率高的问题。


【发明内容】

[0007] 本发明实施例提供一种基于流量的安全事件检测方法及装置，用W解决目前在进 行安全事件检测时，存在WAF设备误判率高的问题。
[000引本发明实施例提供的具体技术方案如下：
[0009] 一种基于流量的安全事件检测方法，包括：
[0010] 从本地提取历史数据；其中，所述历史数据包括时间点，所述时间点对应的安全事 件值，W及所述时间点对应的流量总值；
[0011] 根据所述历史数据，分别预测待检测时间段内每一个时间点对应的预测流量总 值；
[0012] 针对所述待检测时间段内的每一个时间点，根据该时间点对应的预测流量总值， W及该时间点对应的实际流量总值，获取该时间点对应的偏离度；
[0013] 从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间点，根据选 取的时间点及其对应的偏离度和实际流量总和，生成离群点集合；
[0014] 根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值，对所述离群 点集合进行筛选，获取所述离群点集合中的误判定离群点，确定所述误判定离群点为安全 事件对应的点。
[0015] 一种基于流量的安全事件检测装置，包括：
[0016] 提取单元，用于从本地提取历史数据；其中，所述历史数据包括时间点，所述时间 点对应的安全事件值，W及所述时间点对应的流量总值；
[0017] 预测单元，用于根据所述历史数据，分别预测待检测时间段内每一个时间点对应 的预测流量总值；
[0018] 获取单元，用于针对所述待检测时间段内的每一个时间点，根据该时间点对应的 预测流量总值，W及该时间点对应的实际流量总值，获取该时间点对应的偏离度；
[0019] 生成单元，用于从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的 时间点，根据选取的时间点及其对应的偏离度和实际流量总和，生成离群点集合；
[0020] 确定单元，根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值， 对所述离群点集合进行筛选，获取所述离群点集合中的误判定离群点，确定所述误判定离 群点为安全事件对应的点。
[0021] 本发明实施例中，根据历史数据，获取待检测时间段内每一个时间点对应的预测 流量总值；将每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比 较，获取离群点集合；对离群点集合中的所有离群点进行筛选，将误判定离群点由该离群点 集合中剔除。采用本发明技术方案，对根据历史数据，对待检测时间段内的每一个时间点及 其对应的实际流量总值进行判定后得到的离群点集合再次进行修正，获取误判定离群点， 从而降低了 WAF设备在安全事件检测过程中的误判率，避免了 WAF设备由于误判断而进入 比较严格的深度防护状态时其他设备应用访问受限的问题，有效提高了系统性能。

【专利附图】

【附图说明】
[0022] 图1为本发明实施例中通信系统架构示意图；
[0023] 图2为本发明实施例中基于流量的安全事件检测流程图；
[0024] 图3为本发明实施例中第一曲线示意图；
[0025] 图4为本发明实施例中第二曲线示意图；
[0026] 图5为本发明实施例中第S曲线示意图；
[0027] 图6为本发明实施例中基于流量的安全事件检测装置结构示意图一；
[0028] 图7为本发明实施例中基于流量的安全事件检测装置结构示意图二。

【具体实施方式】
[0029] 为了解决目前在进行基于流量的安全事件检测时，存在WAF误判率高的问题。本 发明实施例中，根据历史数据，获取待检测时间段内每一个时间点对应的预测流量总值；将 每一个时间点对应的预测流量总值与该时间点对应的实际流量总值进行比较，获取离群点 集合；对离群点集合中的所有离群点进行筛选，将误判定离群点由该离群点集合中剔除。采 用本发明技术方案，对WAF设备首次检测得到的离群点集合再次进行修正，获取误判定离 群点，从而降低了 WAF设备在安全事件检测过程中的误判率，避免了 WAF设备由于误判断而 进入比较严格的深度防护状态时其他设备应用访问受限的问题，使其他设备能够正常请求 访问web服务器中的指定应用，有效提高了系统性能。
[0030] 本发明实施例中，参阅图1所示，为本发明实施例中通信系统架构示意图，该通信 系统包括WAF设备，web服务器，W及应用访问设备；其中，WAF设备，用于为web服务器提 供防护，定期扫描各个web服务器W进行漏洞检测，当检测到非安全事件时，对web服务器 执行应用访问受限操作；web服务器，用于提供相应的网络服务；应用访问设备，用于向web 服务器请求访问相应的应用。
[0031] 下面结合附图对本发明优选的实施方式进行详细说明。
[0032] 本发明实施例中，参阅图2所示，WAF设备进行安全事件检测的过程，包括：
[0033] 步骤200 ;WAF设备从本地提取历史数据。
[0034] 本发明实施例中，WAF设备在对web服务器进行安全防护过程中，监测该web服务 器在每一个时间点的安全事件值和流量总值，并获取该WAF设备阻断的事件，根据WAF设备 阻断的事件对应的时间点，及该时间点对应的安全事件值和流量总值;WAF服务器将该获 取的每一个存在异常的时间点及其对应的安全事件值和流量总值作为历史数据存储至本 地数据库中。其中，历史数据为描述web服务器安全状态的数据。
[0035] 可选的，WAF设备从本地数据库中提取预设时长范围内的历史数据，生成历史数据 集合，该历史数据集合如{t。,，（3。1，TJ}所示；其中，t。,为历史数据集合中的任意一时间 点，为该任意一时间点t时的安全事件值，T为该任意一时间点t时的流量总值，i =1，2,…，n。较佳的，该预设时长范围大于等于一个月。
[0036] 步骤210 ;WAF设备根据上述历史数据，分别预测待检测时间段内每一个时间点对 应的预测流量总值。
[0037] 本发明实施例中，WAF设备预测待检测时间段内每一个时间点对应的预测流量总 值的过程，具体包括；针对上述历史数据中包含的每一个时间点，根据该时间点对应的安全 事件值和流量总值，获取该时间点对应的危险度；其中，该危险度与上述安全事件值成正 比，且该危险度与上述流量总值成反比；对上述历史数据中包含的每一个时间点及每一个 时间点对应的危险度进行曲线拟合，生成第一曲线；其中，该第一曲线上的每一个点对应至 少一个事件；根据生成的第一曲线走势，预测待检测时间段内每一个时间点对应的预测危 险度；根据每一个预测危险度及其对应的时间点，获取每一个时间点对应的预测流量总值。 其中，上述待检测时间段通常为距离当前时刻较为接近的时间段；且该待检测时间段内的 每一个时间点均为按照预设规则采样获得，该预设规则可W为预设周期，可W为其他规则。 [003引可选的，采用如下公式获取任意一时间点对应的危险度： S山
[0039] S心二节 i at
[0040] 可选的，WAF设备根据每一个时间点及其对应的危险度，基于指数函数方程进行曲 线拟合或者直线函数方程进行曲线拟合，获取第一曲线。参阅图3所示，该第一曲线W时间 为横坐标，危险度为纵坐标，点A即为不符合第一曲线的离群点，该点A对应的时间点为ti， 危险度为Si。
[0041] 可选的，WAF设备根据每一个预测危险度及其对应的时间点，获取每一个时间点 对应的预测流量总值的过程，具体包括；针对每一个时间点，获取该时间点对应的预测危险 度，W及该时间点对应的安全事件值，将该安全事件值与该预测危险度之间的比值确定为 该时间点对应的预测流量总值。
[00创步骤220 ;针对待检测时间段内的每一个时间点，WAF设备根据该时间点对应的预 测流量总值，W及该时间点对应的实际流量总值，获取该时间点对应的偏离度。
[0043] 本发明实施例中，WAF设备获取该时间点对应的偏离度的过程，具体包括；针对待 检测时间段内的每一个时间点，均执行如下操作，根据该时间点对应的安全事件值，W及该 时间点对应的实际流量总值，获取该时间点对应的实际危险度；根据该时间点对应的实际 危险度，该时间点对应的实际流量总值，该时间点对应的预测危险度，该时间点对应的预测 流量总值，获取该时间点对应的偏离度；其中，该时间点对应的偏离度与该时间点对应的预 测危险度和实际危险度的乘积成正比。
[0044] 可选的，上述偏离度可W通过如下公式获取：
[0045]

【权利要求】
1. 一种基于流量的安全事件检测方法，其特征在于，包括： 网站应用级入侵访问系统WAF设备从本地提取历史数据；其中，所述历史数据包括时 间点，所述时间点对应的安全事件值，以及所述时间点对应的流量总值； 所述WAF设备根据所述历史数据，分别预测待检测时间段内每一个时间点对应的预测 流量总值； 针对所述待检测时间段内的每一个时间点，所述WAF设备根据该时间点对应的预测流 量总值，以及该时间点对应的实际流量总值，获取该时间点对应的偏离度； 所述WAF设备从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间 点，根据选取的时间点及其对应的偏离度和实际流量总和，生成离群点集合； 所述WAF设备根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值，对 所述离群点集合进行筛选，获取所述离群点集合中的误判定离群点，确定所述误判定离群 点对应的事件为安全事件。
2. 如权利要求1所述的方法，其特征在于，根据所述历史数据，分别预测待检测时间段 内每一个时间点对应的预测流量总值，具体包括： 针对所述历史数据中包含的每一个时间点，根据该时间点对应的安全事件值和流量总 值，获取该时间点对应的危险度；其中，所述危险度与所述安全事件值成正比，且所述危险 度与所述流量总值成反比； 对所述历史数据中包含的每一个时间点及所述每一个时间点对应的危险度进行曲线 拟合，生成第一曲线； 根据生成的所述第一曲线，预测待检测时间段内每一个时间点对应的预测危险度； 根据所述每一个预测危险度及其对应的时间点，获取每一个时间点对应的预测流量总 值。
3. 如权利要求2所述的方法，其特征在于，根据所述待检测时间段内的时间点对应的 预测流量总值，以及该时间点对应的实际流量总值，获取该时间点对应的偏离度，具体包 括： 针对所述待检测时间段内的每一个时间点，均执行如下操作： 根据所述时间点对应的安全事件值，以及所述时间点对应的实际流量总值，获取所述 时间点对应的实际危险度； 根据所述时间点对应的实际危险度，所述时间点对应的实际流量总值，所述时间点对 应的预测危险度，所述时间点对应的预测流量总值，获取所述时间点对应的偏离度；其中， 所述时间点对应的偏离度与所述时间点对应的预测危险度和实际危险度的乘积成正比。
4. 如权利要求3所述的方法，其特征在于，根据所述离群点集合内每一个时间点对应 的偏离度和实际流量总值，对所述离群点集合进行筛选，获取所述离群点集合中的误判定 离群点，具体包括： 根据所述离群点集合中每一个时间点对应的偏离度，以及预设偏离度划分范围，对所 述离群点集合进行划分，生成至少一个第一子集合； 针对每一个第一子集合，根据该第一子集合中每一个时间点对应的实际流量总值，以 及预设流量总值划分范围，对该第一子集合进行划分，生成至少一个第二子集合； 针对每一个第二子集合，分别获取每相邻两个时间点对应的相对危险度； 根据所述每相邻两个时间点之间的时间间隔，以及所述每一个时间间隔对应的相对危 险度，采用直线函数方程进行曲线拟合，生成第二曲线； 获取所述第二曲线中斜率满足预设斜率范围的时间间隔；并 将所述满足预设斜率范围的时间间隔对应的时间点确定为误判定离群点。
5. 如权利要求4所述的方法，其特征在于，分别获取每相邻两个时间点对应的相对危 险度，具体包括： 按照时间先后顺序，对所述第二子集合中所有时间点进行排序； 针对排序后的第二子集合，获取每相邻两个时间点分别对应的安全事件值之差，以及 所述每相邻两个时间点分别对应的实际危险度之差； 将所述每相邻两个时间点对应的安全事件值之差以及实际危险度之差的比值，确定为 所述每相邻两个时间点对应的相对危险度。
6. 如权利要求1-5任一项所述的方法，其特征在于，获取该时间点对应的偏离度之后， 进一步包括：选取偏离度满足预设偏离度划分范围的时间点及其对应的偏离度和实际流量 总和，生成安全点集合； 获取所述离群点集合中的误判定离群点之后，进一步包括： 将所述误判定离群点从所述离群点集合中剔除，并确定剔除误判定离群点后的离群点 集合中包含的所有时间点对应的点为离群点；以及 将所述误判定离群点添加至所述安全点集合中，对所述安全点集合进行修正；根据修 正后的所述安全点集合，进行曲线拟合，生成第三曲线。
7. -种基于流量的安全事件检测装置，其特征在于，包括： 提取单元，用于从本地提取历史数据；其中，所述历史数据包括时间点，所述时间点对 应的安全事件值，以及所述时间点对应的流量总值； 预测单元，用于根据所述历史数据，分别预测待检测时间段内每一个时间点对应的预 测流量总值； 获取单元，用于针对所述待检测时间段内的每一个时间点，根据该时间点对应的预测 流量总值，以及该时间点对应的实际流量总值，获取该时间点对应的偏离度； 生成单元，用于从所述待检测时间段内选取偏离度不满足预设偏离度划分范围的时间 点，根据选取的时间点及其对应的偏离度和实际流量总和，生成离群点集合； 确定单元，根据所述离群点集合内每一个时间点对应的偏离度和实际流量总值，对所 述离群点集合进行筛选，获取所述离群点集合中的误判定离群点，确定所述误判定离群点 对应的事件为安全事件。
8. 如权利要求7所述的装置，其特征在于，所述预测单元，具体用于： 针对所述历史数据中包含的每一个时间点，根据该时间点对应的安全事件值和流量总 值，获取该时间点对应的危险度；其中，所述危险度与所述安全事件值成正比，且所述危险 度与所述流量总值成反比；对所述历史数据中包含的每一个时间点及所述每一个时间点对 应的危险度进行曲线拟合，生成第一曲线；根据生成的所述第一曲线，预测待检测时间段内 每一个时间点对应的预测危险度；根据所述每一个预测危险度及其对应的时间点，获取每 一个时间点对应的预测流量总值。
9. 如权利要求8所述的装置，其特征在于，所述获取单元，具体用于： 针对所述待检测时间段内的每一个时间点，均执行如下操作：根据所述时间点对应的 安全事件值，以及所述时间点对应的实际流量总值，获取所述时间点对应的实际危险度；根 据所述时间点对应的实际危险度，所述时间点对应的实际流量总值，所述时间点对应的预 测危险度，所述时间点对应的预测流量总值，获取所述时间点对应的偏离度；其中，所述时 间点对应的偏离度与所述时间点对应的预测危险度和实际危险度的乘积成正比。
10. 如权利要求9所述的装置，其特征在于，所述确定单元，具体用于： 根据所述离群点集合中每一个时间点对应的偏离度，以及预设偏离度划分范围，对所 述离群点集合进行划分，生成至少一个第一子集合；针对每一个第一子集合，根据该第一子 集合中每一个时间点对应的实际流量总值，以及预设流量总值划分范围，对该第一子集合 进行划分，生成至少一个第二子集合；针对每一个第二子集合，分别获取每相邻两个时间点 对应的相对危险度；根据所述每相邻两个时间点之间的时间间隔，以及所述每一个时间间 隔对应的相对危险度，采用直线函数方程进行曲线拟合，生成第二曲线；获取所述第二曲线 中斜率满足预设斜率范围的时间间隔；并将所述满足预设斜率范围的时间间隔对应的时间 点确定为误判定离群点。
11. 如权利要求10所述的装置，其特征在于，所述确定单元，具体用于： 按照时间先后顺序，对所述第二子集合中所有时间点进行排序；针对排序后的第二子 集合，获取每相邻两个时间点分别对应的安全事件值之差，以及所述每相邻两个时间点分 别对应的实际危险度之差；将所述每相邻两个时间点对应的安全事件值之差以及实际危险 度之差的比值，确定为所述每相邻两个时间点对应的相对危险度。
12. 如权利要求7-11任一项所述的装置，其特征在于，还包括处理单元，用于： 获取该时间点对应的偏离度之后，选取偏离度满足预设偏离度划分范围的时间点及其 对应的偏离度和实际流量总和，生成安全点集合；获取所述离群点集合中的误判定离群点 之后，将所述误判定离群点从所述离群点集合中剔除，并确定剔除误判定离群点后的离群 点集合中包含的所有时间点对应的点为离群点；以及将所述误判定离群点添加至所述安全 点集合中，对所述安全点集合进行修正；根据修正后的所述安全点集合，进行曲线拟合，生 成第三曲线。
【文档编号】H04L29/06GK104486353SQ201410835119
【公开日】2015年4月1日 申请日期:2014年12月26日 优先权日:2014年12月26日
【发明者】张俊锋, 刘嘉奇, 夏兰 申请人:北京神州绿盟信息安全科技股份有限公司, 北京神州绿盟科技有限公司